إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
توضح هذه المقالة كيفية تخطيط التوزيع لعمليات الأمان الموحدة في مدخل Microsoft Defender. توحيد العمليات الأمنية لمساعدتك على تقليل المخاطر ومنع الهجمات واكتشاف التهديدات الإلكترونية وتعطيلها في الوقت الفعلي والاستجابة بشكل أسرع باستخدام قدرات الأمان المحسنة الذكاء الاصطناعي، كل ذلك من مدخل Microsoft Defender.
التخطيط للنشر
يجمع مدخل Defender بين خدمات مثل Microsoft Defender XDR Microsoft Sentinel إدارة التعرض للأمان في Microsoft Microsoft Security Copilot لعمليات الأمان الموحدة.
الخطوة الأولى في تخطيط التوزيع الخاص بك هي تحديد الخدمات التي تريد استخدامها.
كشرط أساسي، ستحتاج إلى كل من Microsoft Defender XDRMicrosoft Sentinel لمراقبة وحماية كل من خدمات وحلول Microsoft وغير التابعة ل Microsoft، بما في ذلك الموارد السحابية والمحلية.
نشر أي من الخدمات التالية لإضافة الأمان عبر نقاط النهاية والهويات والبريد الإلكتروني والتطبيقات لتوفير حماية متكاملة من الهجمات المتطورة.
تشمل خدمات Microsoft Defender XDR ما يلي:
| الخدمة | الوصف |
|---|---|
| Microsoft Defender لـ Office 365 | يحمي من التهديدات التي تشكلها رسائل البريد الإلكتروني وارتباطات URL وأدوات التعاون Office 365. |
| Microsoft Defender للهوية | تحديد التهديدات والكشف عنها والتحقيق فيها من كل من الهويات Active Directory محلي والسحابة مثل Microsoft Entra ID. |
| Microsoft Defender for Endpoint | مراقبة أجهزة نقطة النهاية وحمايتها، واكتشاف انتهاكات الجهاز والتحقيق فيها، والاستجابة تلقائيا للتهديدات الأمنية. |
| Microsoft Defender لـ IoT | يوفر كل من اكتشاف جهاز IoT وقيمة الأمان لأجهزة IoT. |
| إدارة الثغرات الأمنية في Microsoft Defender | يحدد الأصول ومخزون البرامج، ويقيم وضع الجهاز للعثور على الثغرات الأمنية. |
| Microsoft Defender for Cloud Apps | يحمي ويتحكم في الوصول إلى تطبيقات سحابة SaaS. |
تشمل الخدمات الأخرى المدعومة في مدخل Microsoft Defender، ولكنها غير مرخصة مع Microsoft Defender XDR، ما يلي:
| الخدمة | الوصف |
|---|---|
| إدارة التعرض للأمان في Microsoft | يوفر عرضا موحدا لوضع الأمان عبر أصول الشركة وأحمال العمل، مما يثري معلومات الأصول مع سياق الأمان. |
| Microsoft Security Copilot | يوفر رؤى وتوصيات تستند إلى الذكاء الاصطناعي لتحسين عمليات الأمان الخاصة بك. |
| Microsoft Defender للسحابة | يحمي البيئات متعددة السحابة والمختلطة مع الكشف المتقدم عن التهديدات والاستجابة لها. |
| تحليل ذكي للمخاطر في Microsoft Defender | يبسط مهام سير عمل التحليل الذكي للمخاطر من خلال تجميع مصادر البيانات الهامة وإثرائها لربط مؤشرات التسوية (IOCs) بالمقالات ذات الصلة وملفات تعريف المستخدمين ونقاط الضعف. |
| Microsoft Entra ID Protection | تقييم بيانات المخاطر من محاولات تسجيل الدخول لتقييم مخاطر كل تسجيل دخول إلى بيئتك. |
| إدارة المخاطر الداخلية لـ Microsoft Purview | يربط إشارات مختلفة لتحديد المخاطر الداخلية الضارة أو غير المقصودة المحتملة، مثل سرقة IP وتسرب البيانات وانتهاكات الأمان. |
مراجعة المتطلبات الأساسية للخدمة
قبل توزيع خدمات Microsoft Defender لعمليات الأمان الموحدة، راجع المتطلبات الأساسية لكل خدمة تخطط لاستخدامها. يسرد الجدول التالي الخدمات والارتباطات لمزيد من المعلومات:
| خدمة الأمان | المتطلبات الأساسية |
|---|---|
| مطلوب لعمليات الأمان الموحدة | |
| Microsoft Defender XDR | المتطلبات الأساسية Microsoft Defender XDR |
| Microsoft Sentinel | المتطلبات الأساسية لتوزيع Microsoft Sentinel |
| خدمات Microsoft Defender XDR الاختيارية | |
| Microsoft Defender ل Office | المتطلبات الأساسية Microsoft Defender XDR |
| Microsoft Defender للهوية | المتطلبات الأساسية Microsoft Defender for Identity |
| Microsoft Defender for Endpoint | إعداد توزيع Microsoft Defender لنقطة النهاية |
| مراقبة المؤسسة مع Microsoft Defender ل IoT | المتطلبات الأساسية ل Defender ل IoT في مدخل Defender |
| إدارة الثغرات الأمنية في Microsoft Defender | المتطلبات الأساسية & أذونات إدارة الثغرات الأمنية في Microsoft Defender |
| Microsoft Defender for Cloud Apps | بدء العمل باستخدام Microsoft Defender للتطبيقات السحابية |
| الخدمات الأخرى المدعومة في مدخل Microsoft Defender | |
| إدارة التعرض للأمان في Microsoft | المتطلبات الأساسية والدعم |
| Microsoft Security Copilot | الحد الأدنى للمتطلبات |
| Microsoft Defender للسحابة | ابدأ في التخطيط للحماية متعددة السحابات والمقالات الأخرى في نفس القسم. |
| تحليل ذكي للمخاطر في Microsoft Defender | المتطلبات الأساسية ل Defender Threat Intelligence |
| Microsoft Entra ID Protection | المتطلبات الأساسية Microsoft Entra ID Protection |
| إدارة المخاطر الداخلية لـ Microsoft Purview | بدء استخدام إدارة المخاطر الداخلية |
مراجعة ممارسات أمان البيانات والخصوصية
قبل نشر خدمات Microsoft Defender لعمليات الأمان الموحدة، تأكد من فهم ممارسات أمان البيانات والخصوصية لكل خدمة تخطط لاستخدامها. يسرد الجدول التالي الخدمات والارتباطات لمزيد من المعلومات. لاحظ أن العديد من الخدمات تستخدم ممارسات أمان البيانات واستبقائها Microsoft Defender XDR بدلا من أن يكون لها ممارسات منفصلة خاصة بها.
تخطيط بنية مساحة عمل Log Analytics
للبدء في عمليات الأمان الموحدة باستخدام Microsoft Sentinel في مدخل Defender، تحتاج أولا إلى تمكين مساحة عمل Log Analytics Microsoft Sentinel. قد تكون مساحة عمل Log Analytics واحدة كافية للعديد من البيئات، ولكن العديد من المؤسسات تنشئ مساحات عمل متعددة لتحسين التكاليف وتلبية متطلبات العمل المختلفة بشكل أفضل.
صمم مساحة عمل Log Analytics التي تريد تمكينها Microsoft Sentinel. ضع في اعتبارك معلمات مثل أي متطلبات امتثال لديك لجمع البيانات وتخزينها وكيفية التحكم في الوصول إلى بيانات Microsoft Sentinel.
لمزيد من المعلومات، اطلع على:
تخطيط تكاليف Microsoft Sentinel ومصادر البيانات
يمكن لمدخل Defender استيعاب البيانات في الأصل من خدمات Microsoft التابعة لجهة أولى، مثل Microsoft Defender for Cloud Apps Microsoft Defender للسحابة. نوصي بتوسيع تغطيتك إلى مصادر البيانات الأخرى في بيئتك عن طريق إضافة موصلات بيانات Microsoft Sentinel.
تحديد مصادر البيانات
حدد المجموعة الكاملة من مصادر البيانات التي ستتناول البيانات منها، ومتطلبات حجم البيانات لمساعدتك على عرض ميزانية التوزيع والجدول الزمني بدقة. يمكنك تحديد هذه المعلومات أثناء مراجعة حالة استخدام الأعمال، أو عن طريق تقييم SIEM الحالي الذي لديك بالفعل. إذا كان لديك بالفعل SIEM في مكانه، فحلل بياناتك لفهم مصادر البيانات التي توفر أكبر قيمة ويجب استيعابها في Microsoft Sentinel.
على سبيل المثال، قد ترغب في استخدام أي من مصادر البيانات الموصى بها التالية:
خدمات Azure: إذا تم نشر أي من الخدمات التالية في Azure، فاستخدم الموصلات التالية لإرسال سجلات التشخيص الخاصة بهذه الموارد إلى Microsoft Sentinel:
- جدار حماية Azure
- بوابة تطبيق Azure
- Keyvault
- خدمة Azure Kubernetes
- Azure SQL
- مجموعات أمان الشبكة
- خوادم Azure-Arc
نوصي بإعداد نهج Azure لطلب إعادة توجيه سجلاتهم إلى مساحة عمل Log Analytics الأساسية. لمزيد من المعلومات، راجع إنشاء إعدادات التشخيص على نطاق واسع باستخدام نهج Azure.
الأجهزة الظاهرية: بالنسبة للأجهزة الظاهرية المستضافة محليا أو في السحب الأخرى التي تتطلب جمع سجلاتها، استخدم موصلات البيانات التالية:
- أمن Windows الأحداث باستخدام AMA
- الأحداث عبر Defender لنقطة النهاية (للخادم)
- سجل النظام
الأجهزة الظاهرية للشبكة / المصادر المحلية: بالنسبة للأجهزة الظاهرية للشبكة أو المصادر المحلية الأخرى التي تنشئ تنسيق الحدث الشائع (CEF) أو سجلات SYSLOG، استخدم موصلات البيانات التالية:
- Syslog عبر AMA
- تنسيق الحدث الشائع (CEF) عبر AMA
لمزيد من المعلومات، راجع تحديد أولويات موصلات البيانات.
تخطيط ميزانيتك
خطط لميزانيتك Microsoft Sentinel، مع مراعاة الآثار المترتبة على التكلفة لكل سيناريو مخطط له. تأكد من أن ميزانيتك تغطي تكلفة استيعاب البيانات لكل من Microsoft Sentinel وAzure Log Analytics، وأي أدلة مبادئ سيتم نشرها، وما إلى ذلك. لمزيد من المعلومات، اطلع على:
فهم مداخل أمان Microsoft ومراكز الإدارة
في حين أن مدخل Microsoft Defender هو الصفحة الرئيسية لمراقبة وإدارة الأمان عبر هوياتك وبياناتك وأجهزتك وتطبيقاتك، فأنت بحاجة إلى الوصول إلى مداخل مختلفة لمهام متخصصة معينة.
تتضمن مداخل أمان Microsoft ما يلي:
| اسم المدخل | الوصف | رابط |
|---|---|---|
| مدخل Microsoft Defender | مراقبة نشاط التهديد والاستجابة له وتعزيز وضع الأمان عبر الهويات والبريد الإلكتروني والبيانات ونقاط النهاية والتطبيقات باستخدام Microsoft Defender XDR |
security.microsoft.com مدخل Microsoft Defender هو المكان الذي تقوم فيه بعرض وإدارة التنبيهات والحوادث والإعدادات والمزيد. |
| مدخل Defender for Cloud | استخدم Microsoft Defender للسحابة لتعزيز الوضع الأمني لمراكز البيانات وأحمال العمل المختلطة في السحابة | portal.azure.com/#blade/Microsoft_Azure_Security |
| مدخل التحليل الذكي لمخاطر الأمان من Microsoft | الحصول على تحديثات التحليل الذكي للأمان Microsoft Defender لنقطة النهاية وإرسال العينات واستكشاف موسوعة التهديد | microsoft.com/wdsi |
يصف الجدول التالي المداخل لأحمال العمل الأخرى التي يمكن أن تؤثر على أمانك. تفضل بزيارة هذه المداخل لإدارة الهويات والأذونات وإعدادات الجهاز ونهج معالجة البيانات.
| اسم المدخل | الوصف | رابط |
|---|---|---|
| مركز مسؤولي Microsoft Entra | الوصول إلى العائلة Microsoft Entra وإدارتها لحماية عملك بهوية لامركزية وحماية الهوية والحوكمة والمزيد، في بيئة متعددة السحابة | entra.microsoft.com |
| مدخل Microsoft Azure | عرض وإدارة جميع موارد Azure | portal.azure.com |
| مدخل Microsoft Purview | إدارة نهج معالجة البيانات وضمان الامتثال للوائح | purview.microsoft.com |
| مركز مسؤولي Microsoft 365 | تكوين خدمات Microsoft 365؛ إدارة الأدوار والتراخيص وتتبع التحديثات لخدمات Microsoft 365 | admin.microsoft.com |
| مركز إدارة Microsoft Intune | استخدم Microsoft Intune لإدارة الأجهزة وتأمينها. يمكن أيضا الجمع بين قدرات Intune Configuration Manager. | intune.microsoft.com |
| مدخل Microsoft Intune | استخدام Microsoft Intune لنشر نهج الجهاز ومراقبة الأجهزة للتوافق | intune.microsoft.com |
تخطيط الأدوار والأذونات
يوحد مدخل Microsoft Defender نماذج التحكم في الوصول المستندة إلى الدور (RBAC) التالية لعمليات الأمان الموحدة:
- Microsoft Entra ID RBAC، تستخدم لتفويض الوصول إلى الوصول إلى Defender، مثل مجموعات الأجهزة
- Azure RBAC، المستخدم من قبل Microsoft Sentinel لتفويض الأذونات
- Defender unified RBAC، يستخدم لتفويض الأذونات عبر حلول Defender
بينما يتم توحيد الأذونات الممنوحة من خلال Azure RBAC Microsoft Sentinel أثناء وقت التشغيل باستخدام RBAC الموحد ل Defender، لا تزال إدارة التحكم في الوصول استنادا إلى الدور في Azure و Defender RBAC تتم إدارتها بشكل منفصل.
RBAC الموحد ل Defender غير مطلوب لمساحة العمل الخاصة بك ليتم إلحاقها بمدخل Defender، وتستمر أذونات Microsoft Sentinel في العمل كما هو متوقع في مدخل Defender حتى بدون التحكم في الوصول استنادا إلى الدور الموحد. ومع ذلك، فإن استخدام التحكم في الوصول استنادا إلى الدور الموحد يبسط تفويض الأذونات عبر حلول Defender. لمزيد من المعلومات، راجع تنشيط Microsoft Defender XDR التحكم في الوصول الموحد المستند إلى الدور (RBAC).
الحد الأدنى من الإذن المطلوب للمحلل لعرض بيانات Microsoft Sentinel هو تفويض الأذونات لدور Azure RBAC Sentinel Reader. يتم تطبيق هذه الأذونات أيضا على المدخل الموحد. بدون هذه الأذونات، لا تتوفر قائمة التنقل Microsoft Sentinel على المدخل الموحد، على الرغم من أن المحلل لديه حق الوصول إلى مدخل Microsoft Defender.
من أفضل الممارسات أن يكون لديك جميع الموارد ذات الصلة Microsoft Sentinel في نفس مجموعة موارد Azure، ثم تفويض أذونات دور Microsoft Sentinel (مثل دور قارئ Sentinel) على مستوى مجموعة الموارد التي تحتوي على مساحة عمل Microsoft Sentinel. من خلال القيام بذلك، ينطبق تعيين الدور على جميع الموارد التي تدعم Microsoft Sentinel.
بالنسبة للخدمات التالية، استخدم الأدوار المختلفة المتوفرة، أو أنشئ أدوارا مخصصة، لمنحك تحكما دقيقا في ما يمكن للمستخدمين رؤيته والقيام به. لمزيد من المعلومات، اطلع على:
| خدمة الأمان | الارتباط بمتطلبات الدور |
|---|---|
| مطلوب لعمليات الأمان الموحدة | |
| Microsoft Defender XDR | إدارة الوصول إلى Microsoft Defender XDR بأدوار عمومية Microsoft Entra |
| Microsoft Sentinel | الأدوار والأذونات في Microsoft Sentinel |
| خدمات Microsoft Defender XDR الاختيارية | |
| Microsoft Defender للهوية | Microsoft Defender for Identity مجموعات الأدوار |
| Microsoft Defender ل Office | أذونات Microsoft Defender لـ Office 365 في مدخل Microsoft Defender |
| Microsoft Defender for Endpoint | تعيين الأدوار والأذونات لتوزيع Microsoft Defender لنقطة النهاية |
| إدارة الثغرات الأمنية في Microsoft Defender | خيارات الأذونات ذات الصلة إدارة الثغرات الأمنية في Microsoft Defender |
| Microsoft Defender for Cloud Apps | تكوين وصول المسؤول Microsoft Defender for Cloud Apps |
| الخدمات الأخرى المدعومة في مدخل Microsoft Defender | |
| إدارة التعرض للأمان في Microsoft | أذونات إدارة التعرض للأمان في Microsoft |
| Microsoft Defender للسحابة | أدوار المستخدم وأذوناته |
| إدارة المخاطر الداخلية لـ Microsoft Purview | تمكين الأذونات لإدارة المخاطر الداخلية |
لمزيد من المعلومات، اطلع على:
- تخطيط الأدوار والأذونات Microsoft Sentinel
- أدوار Azure المضمنة
- أدوار Microsoft Sentinel
- المتطلبات الأساسية للإلحاق
- إدارة التحكم في الوصول استنادا إلى الدور الموحد في Microsoft Defender (عرض توضيحي للفيديو)
تخطيط أنشطة ثقة معدومة
تعد عمليات الأمان الموحدة في مدخل Defender جزءا من نموذج الأمان ثقة معدومة من Microsoft، والذي يتضمن المبادئ التالية:
| مبدأ الأمان | الوصف |
|---|---|
| التحقق بشكل صريح | المصادقة والتخويل دائما استنادا إلى جميع نقاط البيانات المتوفرة. |
| استخدام الوصول الأقل امتيازا | تقييد وصول المستخدم باستخدام Just-In-Time و Just-Enough-Access (JIT/JEA)، والنهج التكيفية المستندة إلى المخاطر، وحماية البيانات. |
| افتراض الخرق | تقليل نصف قطر الانفجار والوصول إلى المقطع. تحقق من التشفير الشامل واستخدم التحليلات للحصول على الرؤية، ودفع الكشف عن التهديدات، وتحسين الدفاعات. |
تم تصميم ثقة معدومة الأمان لحماية البيئات الرقمية الحديثة من خلال الاستفادة من تجزئة الشبكة، ومنع الحركة الجانبية، وتوفير الوصول الأقل امتيازا، واستخدام التحليلات المتقدمة للكشف عن التهديدات والاستجابة لها.
لمزيد من المعلومات حول تنفيذ مبادئ ثقة معدومة في مدخل Defender، راجع ثقة معدومة المحتوى للخدمات التالية:
- Microsoft Defender XDR
- Microsoft Sentinel
- Microsoft Defender للهوية
- Microsoft Defender لـ Office 365
- مشكلات الأداء في Microsoft Defender لنقطة النهاية
- Microsoft Defender for Cloud Apps
- إدارة التعرض للأمان في Microsoft
- Microsoft Defender للسحابة
- Microsoft Security Copilot
- Microsoft Entra ID Protection
- Microsoft Purview
لمزيد من المعلومات، راجع مركز إرشادات ثقة معدومة.