توصيل Microsoft Sentinel بمدخل Microsoft Defender

ينطبق على: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

تتوفر Microsoft Sentinel بشكل عام في مدخل Microsoft Defender، مع أو بدون Microsoft Defender XDR أو ترخيص E5. باستخدام Microsoft Sentinel في مدخل Defender مع خدمات Microsoft Defender XDR، يمكنك توحيد الإمكانات مثل إدارة الحوادث والتتبع المتقدم. تقليل تبديل الأدوات وإنشاء تحقيق أكثر تركيزا على السياق يسرع الاستجابة للحوادث ويوقف الخروقات بشكل أسرع.

هذه المقالة ذات صلة للعملاء الذين Microsoft Sentinel مساحات العمل غير متصلة بعد بمدخل Defender. في كثير من الحالات، يتم إلحاق العملاء الذين يإلحاقون Microsoft Sentinel بعد 1 يوليو 2025 تلقائيا بمدخل Defender.

لمزيد من المعلومات، اطلع على:

المتطلبات الأساسية

قبل البدء، راجع وثائق الميزة لفهم تغييرات المنتج وقيوده.

يدعم مدخل Microsoft Defender مستأجر Microsoft Entra واحد والاتصال بمساحة عمل أساسية ومساحات عمل ثانوية متعددة. إذا كان لديك مساحة عمل واحدة فقط عند إلحاق Microsoft Sentinel، يتم تعيين مساحة العمل هذه كمساحة عمل أساسية. لمزيد من المعلومات، راجع مساحات عمل متعددة Microsoft Sentinel في مدخل Defender. في سياق هذه المقالة، مساحة العمل هي مساحة عمل Log Analytics مع تمكين Microsoft Sentinel.

المتطلبات الأساسية Microsoft Sentinel

لإلحاق Microsoft Sentinel واستخدامها في مدخل Defender، يجب أن يكون لديك الموارد والوصول التالي:

مساحة عمل Log Analytics التي تم تمكينها Microsoft Sentinel

حساب Azure مع الأدوار المناسبة لإعداد طلبات الدعم واستخدامها وإنشاءها Microsoft Sentinel في مدخل Defender. لن ترى مساحات العمل في مدخل Defender للإلحاق حيث لا تملك الأذونات المطلوبة. يسلط الجدول التالي الضوء على بعض الأدوار الرئيسية المطلوبة.

المهمه	مطلوب دور مضمن Microsoft Entra أو Azure	نطاق
إلحاق Microsoft Sentinel إلى مدخل Defender	مسؤول الأمان أو أعلى في Microsoft Entra ID و المالك أو مسؤول وصول المستخدم والمساهم Microsoft Sentinel	مستأجر - الاشتراك لأدوار المالك أو مسؤول وصول المستخدم - الاشتراك أو مجموعة الموارد أو مورد مساحة العمل Microsoft Sentinel Contributor
توصيل مساحة عمل ثانوية أو قطع اتصالها	المالك أو مسؤول وصول المستخدم والمساهم Microsoft Sentinel	مستأجر - الاشتراك لأدوار المالك أو مسؤول وصول المستخدم - الاشتراك أو مجموعة الموارد أو مورد مساحة العمل Microsoft Sentinel Contributor
تغيير مساحة العمل الأساسية	مسؤول الأمان أو أعلى في Microsoft Entra ID و المالك أو مسؤول وصول المستخدم والمساهم Microsoft Sentinel	مستأجر - الاشتراك لأدوار المالك أو مسؤول وصول المستخدم - الاشتراك أو مجموعة الموارد أو مورد مساحة العمل Microsoft Sentinel Contributor
عرض Microsoft Sentinel في مدخل Defender	قارئ Microsoft Sentinel	الاشتراك أو مجموعة الموارد أو مورد مساحة العمل
الاستعلام Microsoft Sentinel جداول البيانات أو عرض الحوادث	Microsoft Sentinel Reader أو دور مع الإجراءات التالية: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/Incidents/read - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/tasks/read	الاشتراك أو مجموعة الموارد أو مورد مساحة العمل
اتخاذ إجراءات تحقيق في الحوادث	Microsoft Sentinel المساهم أو دور مع الإجراءات التالية: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/incidents/read - Microsoft.SecurityInsights/incidents/write - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/comments/write - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/relations/write - Microsoft.SecurityInsights/incidents/tasks/read - Microsoft.SecurityInsights/incidents/tasks/write	الاشتراك أو مجموعة الموارد أو مورد مساحة العمل
إنشاء طلب دعم	المساهم في طلب المالك أو المساهم أو الدعم أو دور مخصص مع Microsoft.Support/*	الاشتراك

إذا كنت تعمل مع عدة مستأجرين، فلاحظ أن امتيازات المسؤول المفوضة الدقيقة (GDAP) مع Azure Lighthouse غير مدعومة لبيانات Microsoft Sentinel في مدخل Defender. بدلا من ذلك، استخدم مصادقة B2B Microsoft Entra. لمزيد من المعلومات، راجع إعداد Microsoft Defender إدارة متعددة المستأجرين.

بعد الاتصال Microsoft Sentinel بمدخل Defender، تسمح لك أذونات التحكم في الوصول المستندة إلى الدور (RBAC) الموجودة Azure بالعمل مع ميزات Microsoft Sentinel التي يمكنك الوصول إليها. استمر في إدارة الأدوار والأذونات للمستخدمين Microsoft Sentinel من مدخل Azure، حيث تنعكس أي تغييرات Azure RBAC في مدخل Defender.

لمزيد من المعلومات، راجع الأدوار والأذونات في Microsoft Sentinel وإدارة الوصول إلى البيانات Microsoft Sentinel حسب المورد.

هام

توصي Microsoft باستخدام الأدوار ذات الأذونات القليلة. يساعد ذلك في تحسين الأمان لمؤسستك.

المتطلبات الأساسية لعمليات الأمان الموحدة

لتوحيد عمليات الأمان Microsoft Defender XDR Microsoft Sentinel في مدخل Defender، يجب أن يكون لديك الموارد والوصول التالية:

ترخيص Defender XDR، كما هو موضح في المتطلبات الأساسية Microsoft Defender XDR
حساب Defender XDR هو عضو في نفس المستأجر Microsoft Entra الذي يرتبط به Microsoft Sentinel
الوصول إلى Microsoft Defender XDR في مدخل Defender، كما هو موضح في المتطلبات الأساسية Microsoft Defender XDR

إذا كان ذلك ممكنا، فأكمل هذه المتطلبات الأساسية:

الخدمة	شرط
إدارة المخاطر الداخلية لـ Microsoft Purview	إذا كانت مؤسستك تستخدم إدارة المخاطر الداخلية في Microsoft Purview، فدمج هذه البيانات عن طريق تمكين موصل البيانات Microsoft 365 Insider Risk Management على مساحة العمل الأساسية Microsoft Sentinel. قم بتعطيل هذا الموصل على أي مساحات عمل ثانوية Microsoft Sentinel تخطط لإلحاقها بمدخل Defender. - قم بتثبيت الحل إدارة المخاطر الداخلية في Microsoft Purview من مركز المحتوى على مساحة العمل الأساسية. - تكوين موصل البيانات. لمزيد من المعلومات، راجع اكتشاف المحتوى الجاهز وإدارته Microsoft Sentinel.
Microsoft Defender للسحابة	لدفق أحداث Defender for Cloud المرتبطة عبر جميع اشتراكات المستأجر إلى مساحة العمل الأساسية Microsoft Sentinel: - قم بتوصيل موصل بيانات Microsoft Defender المستند إلى المستأجر للسحابة (معاينة) في مساحة العمل الأساسية. - افصل موصل تنبيهات Microsoft Defender للسحابة (القديمة) المستند إلى الاشتراك من جميع مساحات العمل في المستأجر. إذا كنت لا تريد دفق بيانات المستأجر المرتبطة ل Defender for Cloud إلى مساحة العمل الأساسية، فتابع استخدام موصل Microsoft Defender للسحابة (القديمة) المستند إلى الاشتراك على مساحات العمل الخاصة بك. لمزيد من المعلومات، راجع استيعاب Microsoft Defender لحوادث السحابة مع تكامل Microsoft Defender XDR.

الخدمة

شرط

إدارة المخاطر الداخلية لـ Microsoft Purview

إذا كانت مؤسستك تستخدم إدارة المخاطر الداخلية في Microsoft Purview، فدمج هذه البيانات عن طريق تمكين موصل البيانات Microsoft 365 Insider Risk Management على مساحة العمل الأساسية Microsoft Sentinel. قم بتعطيل هذا الموصل على أي مساحات عمل ثانوية Microsoft Sentinel تخطط لإلحاقها بمدخل Defender.

- قم بتثبيت الحل إدارة المخاطر الداخلية في Microsoft Purview من مركز المحتوى على مساحة العمل الأساسية.
- تكوين موصل البيانات.

لمزيد من المعلومات، راجع اكتشاف المحتوى الجاهز وإدارته Microsoft Sentinel.

Microsoft Defender للسحابة

لدفق أحداث Defender for Cloud المرتبطة عبر جميع اشتراكات المستأجر إلى مساحة العمل الأساسية Microsoft Sentinel:

- قم بتوصيل موصل بيانات Microsoft Defender المستند إلى المستأجر للسحابة (معاينة) في مساحة العمل الأساسية.
- افصل موصل تنبيهات Microsoft Defender للسحابة (القديمة) المستند إلى الاشتراك من جميع مساحات العمل في المستأجر.

إذا كنت لا تريد دفق بيانات المستأجر المرتبطة ل Defender for Cloud إلى مساحة العمل الأساسية، فتابع استخدام موصل Microsoft Defender للسحابة (القديمة) المستند إلى الاشتراك على مساحات العمل الخاصة بك. لمزيد من المعلومات، راجع استيعاب Microsoft Defender لحوادث السحابة مع تكامل Microsoft Defender XDR.

إلحاق Microsoft Sentinel

يصف هذا الإجراء كيفية إلحاق مساحة عمل ممكنة Microsoft Sentinel إلى مدخل Defender.

انتقل إلى مدخل Microsoft Defender وسجل الدخول.
> حددSystem Settings>Microsoft Sentinel>Connect a workspace.
حدد مساحات العمل التي تريد توصيلها وحدد التالي.
حدد مساحة العمل الأساسية.
قراءة وفهم تغييرات المنتج المرتبطة بتوصيل مساحة العمل الخاصة بك.
حدد اتصال.

بعد توصيل مساحة العمل الخاصة بك، يظهر الشعار على الصفحة الرئيسية أن بيئتك جاهزة. يتم تحديث الصفحة الرئيسية بأقسام جديدة تتضمن مقاييس من Microsoft Sentinel، مثل عدد موصلات البيانات وقواعد التشغيل التلقائي.

استكشاف ميزات Microsoft Sentinel في مدخل Defender

بعد توصيل مساحة العمل بمدخل Defender، يكون Microsoft Sentinel في جزء التنقل على الجانب الأيسر. إذا قمت بتمكين Defender XDR، فإن صفحات مثل الصفحة الرئيسيةوالحوادثوالتتبع المتقدم تحتوي على بيانات موحدة من مساحة العمل الأساسية Microsoft Sentinel Defender XDR. إذا لم يكن لديك Defender XDR ممكن، فإن هذه الصفحات تتضمن فقط بيانات من Microsoft Sentinel. لمزيد من المعلومات حول القدرات الموحدة والاختلافات بين المداخل، راجع Microsoft Sentinel في مدخل Microsoft Defender.

يتم دمج العديد من ميزات Microsoft Sentinel الموجودة في مدخل Defender. بالنسبة لهذه الميزات، لاحظ أن التجربة بين Microsoft Sentinel في مدخل Azure ومدخل Defender متشابهة. استخدم المقالات التالية لمساعدتك في بدء العمل مع Microsoft Sentinel في مدخل Defender. عند استخدام هذه المقالات، ضع في اعتبارك أن نقطة البداية في هذا السياق هي مدخل Defender بدلا من مدخل Azure.

فئة الميزة	الروابط
البحث	- البحث عبر الامتدادات الزمنية الطويلة في مجموعات البيانات الكبيرة - استعادة السجلات المؤرشفة من البحث
إدارة المخاطر	- تصور بياناتك ومراقبتها باستخدام المصنفات - إجراء تتبع شامل للمخاطر باستخدام Hunts - استخدام الإشارات المرجعية للتتبع للتحقيقات في البيانات - استخدام التتبع Livestream في Microsoft Sentinel للكشف عن التهديد - البحث عن التهديدات الأمنية باستخدام دفاتر ملاحظات Jupyter - إضافة مؤشرات بشكل مجمع إلى Microsoft Sentinel التحليل الذكي للمخاطر من ملف CSV أو JSON - العمل مع مؤشرات التهديد في Microsoft Sentinel - فهم التغطية الأمنية بواسطة إطار عمل MITRE ATT&CK
إدارة المحتوى	- اكتشاف المحتوى الجاهز وإدارته Microsoft Sentinel - كتالوج مركز المحتوى Microsoft Sentinel - نشر محتوى مخصص من المستودع الخاص بك
التكوين	- البحث عن موصل بيانات Microsoft Sentinel - إنشاء قواعد تحليلات مخصصة للكشف عن التهديدات - العمل مع قواعد تحليلات الكشف في الوقت الفعلي تقريبا (NRT) في Microsoft Sentinel - إنشاء قوائم المشاهدة - إدارة قوائم المشاهدة في Microsoft Sentinel - إنشاء قواعد التنفيذ التلقائي - إنشاء أدلة مبادئ Microsoft Sentinel وتخصيصها من قوالب المحتوى

ابحث عن إعدادات Microsoft Sentinel في مدخل Defender ضمنإعدادات>النظام>Microsoft Sentinel.

تغيير مساحة العمل الأساسية

يمكنك توصيل مساحة عمل أساسية واحدة فقط بمدخل Defender في كل مرة. ولكن يمكنك تغيير مساحة العمل الأساسية.

في مدخل Defender، انتقل إلى>System Settings>Microsoft Sentinel>Workspaces.
حدد اسم مساحة العمل التي تريد جعلها أساسية.
حدد تعيين كأساسي.
قراءة وفهم تغييرات المنتج المرتبطة بتغيير مساحة العمل الأساسية.
حدد Confirm ومتابعة.

عند تبديل مساحة العمل الأساسية Microsoft Sentinel، يتم توصيل موصل Defender XDR إلى الأساسي الجديد ويتم قطع اتصاله بالآخر تلقائيا. لمزيد من المعلومات، راجع مساحات عمل متعددة Microsoft Sentinel في مدخل Defender.

إلغاء Microsoft Sentinel

إذا قررت إلغاء إلحاق مساحة عمل من مدخل Defender، فافصل مساحة العمل عن إعدادات Microsoft Sentinel.

إذا كانت مساحة العمل تحتوي على موصل Microsoft Defender XDR تم تكوينه، فإن إلغاء إلحاق مساحة العمل من مدخل Defender سيؤدي أيضا إلى قطع اتصال موصل Microsoft Defender XDR.

انتقل إلى مدخل Microsoft Defender وسجل الدخول.
في مدخل Defender، ضمن System، حدد Settings>Microsoft Sentinel.
في صفحة مساحات العمل ، حدد مساحة العمل المتصلة وفصل مساحة العمل.
قدم سببا لفصل مساحة العمل.
تأكد من اختيارك.

عند قطع اتصال مساحة العمل الخاصة بك، تتم إزالة قسم Microsoft Sentinel من التنقل الجانبي الأيسر لمدخل Defender. لم تعد البيانات من Microsoft Sentinel مضمنة في الصفحة الرئيسية.

إذا كنت تريد الاتصال بمساحة عمل مختلفة، من صفحة مساحات العمل ، حدد مساحة العمل وقم بتوصيل مساحة عمل.

الملاحظات

هل كانت هذه الصفحة مفيدة؟

Last updated on 2025-09-29