تصدير Microsoft Defender باستمرار للبيانات السحابية

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

يقوم Microsoft Defender for Cloud بإنشاء تنبيهات وتوصيات أمان مفصلة. يمكنك عرضها في البوابة الإلكترونية أو من خلال الأدوات البرمجية. قد تحتاج أيضا إلى تصدير بعض أو كل هذه المعلومات للتتبع باستخدام أدوات المراقبة الأخرى في بيئتك.

يمكنك تخصيص ما سيتم تصديره بالكامل ، وإلى أين سيذهب مع التصدير المستمر. على سبيل المثال، يمكنك تكوينه بحيث:

• يتم إرسال جميع تنبيهات الخطورة العالية إلى مركز أحداث Azure
• يتم إرسال جميع نتائج الخطورة المتوسطة أو الأعلى من عمليات فحص تقييم الثغرات الأمنية لخوادم SQL الخاصة بك إلى مساحة عمل Log Analytics محددة
• يتم تسليم توصيات محددة إلى مركز الأحداث أو مساحة عمل Log Analytics كلما تم إنشاؤها
• يتم إرسال النتيجة الآمنة للاشتراك إلى مساحة عمل Log Analytics كلما تغيرت النتيجة لعنصر تحكم بمقدار 0.01 أو أكثر

على الرغم من أن الميزة تسمى مستمرة ، إلا أن هناك أيضا خيارا لتصدير لقطات أسبوعية.

توضح هذه المقالة كيفية تكوين التصدير المستمر إلى مساحات عمل Log Analytics أو مراكز أحداث Azure.

ملاحظة

إذا كنت بحاجة إلى دمج Defender for Cloud مع SIEM، فراجع دفق التنبيهات إلى حل SIEM أو SOAR أو إدارة خدمات تكنولوجيا المعلومات.

تلميح

يوفر Defender for Cloud أيضا خيار إجراء تصدير يدوي لمرة واحدة إلى CSV. تعرف على المزيد في التصدير اليدوي لمرة واحدة للتنبيهات والتوصيات.

التوفر

الجانب	التفاصيل
حالة الإصدار:	التوافر العام (GA)
التسعير:	مجاني
الأدوار والأذونات المطلوبة:	مسؤول الأمان أو المالك في مجموعة الموارد أذونات الكتابة للمورد الهدف. إذا كنت تستخدم نهج "DeployIfNotExist" الموضحة أدناه في سياسة Azure، فستحتاج أيضا إلى أذونات لتعيين النهج لتصدير البيانات إلى مركز الأحداث، ستحتاج إلى إذن كتابة في نهج مركز الأحداث. للتصدير إلى مساحة عمل Log Analytics: إذا كان يحتوي على حل SecurityCenterFree، فستحتاج إلى الحد الأدنى من أذونات القراءة لحل مساحة العمل: Microsoft.OperationsManagement/solutions/read إذا لم يكن يحتوي على حل SecurityCenterFree، فستحتاج إلى أذونات كتابة لحل مساحة العمل: Microsoft.OperationsManagement/solutions/action تعرف على المزيد حول حلول مساحة عمل Azure Monitor وLog Analytics
سحب:	⁧⁩ السحب التجارية National (Azure Government, Azure China 21Vianet)

ما هي أنواع البيانات التي يمكن تصديرها؟

يمكن للتصدير المستمر تصدير أنواع البيانات التالية كلما تغيرت:

• تنبيهات أمنية.
• توصيات أمنية.
• النتائج الأمنية. يمكن اعتبار هذه التوصيات "فرعية" وتنتمي إلى توصية "الوالدين". على سبيل المثال:
  • التوصيات يجب تثبيت تحديثات النظام على أجهزتك (التي يتم تشغيلها بواسطة مركز التحديث) ويجب تثبيت تحديثات النظام على أجهزتك لكل منها توصية "فرعية" واحدة لكل تحديث نظام معلق.
  • التوصية التي يجب أن يتم حل نتائج الثغرات الأمنية لدى الآلات تحتوي على توصية "فرعية" لكل ثغرة أمنية يحددها ماسح الثغرات الأمنية.

  ملاحظة

  إذا كنت تقوم بتكوين تصدير مستمر باستخدام واجهة برمجة تطبيقات REST، فقم دائما بتضمين الأصل مع النتائج.

• درجة آمنة لكل اشتراك أو لكل عنصر تحكم.
• بيانات الامتثال التنظيمي.

إعداد تصدير مستمر

يمكنك تكوين التصدير المستمر من Microsoft Defender لصفحات السحابة في مدخل Azure أو عبر واجهة برمجة تطبيقات REST أو على نطاق واسع باستخدام قوالب نهج Azure المرفقة. حدد علامة التبويب المناسبة أدناه للحصول على تفاصيل كل منها.

استخدام مدخل Microsoft Azure

تكوين التصدير المستمر من صفحات Defender for Cloud في مدخل Azure

الخطوات أدناه ضرورية سواء كنت تقوم بإعداد تصدير مستمر إلى مساحة عمل Log Analytics أو مراكز أحداث Azure.

1. من قائمة Defender for Cloud، افتح إعدادات البيئة.

2. حدد الاشتراك المحدد الذي تريد تكوين تصدير البيانات له.

3. من الشريط الجانبي لصفحة الإعدادات لهذا الاشتراك، حدد تصدير مستمر.

   

   هنا ترى خيارات التصدير. هناك علامة تبويب لكل هدف تصدير متاح.

4. حدد نوع البيانات الذي تريد تصديره واختر من بين الفلاتر الموجودة في كل نوع (على سبيل المثال، تصدير تنبيهات الخطورة العالية فقط).

5. حدد معدل تكرار التصدير المناسب:

   • البث - سيتم إرسال التقييمات عند تحديث الحالة الصحية للمورد (في حالة عدم حدوث أي تحديثات، فلن يتم إرسال أي بيانات).
   • لقطات - سيتم إرسال لقطة للحالة الحالية لأنواع البيانات المحددة مرة واحدة في الأسبوع لكل اشتراك. لتحديد بيانات اللقطة، ابحث عن الحقل IsSnapshot.

6. اختياريا، إذا كان اختيارك يتضمن إحدى هذه التوصيات، فيمكنك تضمين نتائج تقييم الثغرات الأمنية معها:

   • يجب أن تمتلك قواعد بيانات SQL نتائج لحل مشكلة الثغرات الأمنية
   • يجب أن يكون لدى قواعد البيانات SQL نتائج لحل مشكلة الثغرات الأمنية
   • يجب أن يتم حل نتائج الثغرات الأمنية في صور الحاويات (مدعومة من Qualys)
   • يجب أن يتم حل نتائج الضعف في الآلات
   • يجب تثبيت تحديثات النظام على أجهزتك

   لتضمين النتائج مع هذه التوصيات، قم بتمكين خيار تضمين النتائج الأمنية .

   

7. من منطقة "تصدير الهدف"، اختر المكان الذي تريد حفظ البيانات فيه. يمكن حفظ البيانات في هدف على اشتراك مختلف (على سبيل المثال على مثيل مركز الأحداث المركزي أو مساحة عمل Log Analytics المركزية).

8. حدد ⁧⁩حفظ⁧⁩.

استخدام واجهة برمجة تطبيقات REST

تكوين التصدير المستمر باستخدام واجهة برمجة تطبيقات REST

يمكن تكوين التصدير المستمر وإدارته عبر واجهة برمجة تطبيقات Microsoft Defender for Cloud automations. استخدم واجهة برمجة التطبيقات هذه لإنشاء قواعد للتصدير إلى أي من الوجهات المحتملة التالية أو تحديثها:

• Azure Event Hub
• مساحة عمل Log Analytics
• Azure Logic Apps

توفر واجهة برمجة التطبيقات وظائف إضافية غير متوفرة من مدخل Azure، على سبيل المثال:

• حجم أكبر - يمكنك إنشاء تكوينات تصدير متعددة على اشتراك واحد باستخدام واجهة برمجة التطبيقات. تدعم صفحة التصدير المستمر في واجهة مستخدم مدخل Defender for Cloud تكوين تصدير واحد فقط لكل اشتراك.

• ميزات إضافية - توفر واجهة برمجة التطبيقات معلمات إضافية لا تظهر في واجهة المستخدم. على سبيل المثال، يمكنك إضافة علامات إلى مورد التشغيل التلقائي بالإضافة إلى تحديد عملية التصدير استنادا إلى مجموعة أوسع من خصائص التنبيه والتوصية مقارنة بتلك المتوفرة في صفحة التصدير المستمر في واجهة مستخدم بوابة Defender for Cloud.

• نطاق أكثر تركيزا - توفر واجهة برمجة التطبيقات مستوى أكثر تفصيلا لنطاق تكوينات التصدير الخاصة بك. عند تعريف تصدير باستخدام واجهة برمجة التطبيقات، يمكنك القيام بذلك على مستوى مجموعة الموارد. إذا كنت تستخدم صفحة التصدير المستمر في واجهة مستخدم مدخل Defender for Cloud، فيجب عليك تعريفها على مستوى الاشتراك.

  تلميح

  إذا قمت بإعداد تكوينات تصدير متعددة باستخدام واجهة برمجة التطبيقات، أو إذا كنت قد استخدمت معلمات واجهة برمجة التطبيقات فقط، فلن يتم عرض هذه الميزات الإضافية في Defender for Cloud UI. بدلا من ذلك ، سيكون هناك لافتة تعلمك بوجود تكوينات أخرى.

تعرف على المزيد حول واجهة برمجة تطبيقات التشغيل التلقائي في وثائق واجهة برمجة تطبيقات REST.

النشر على نطاق واسع باستخدام نهج Azure

تكوين التصدير المستمر على نطاق واسع باستخدام النهج المرفقة

يمكن أن تؤدي أتمتة عمليات المراقبة والاستجابة للحوادث في مؤسستك إلى تحسين الوقت الذي يستغرقه التحقيق في الحوادث الأمنية والتخفيف من حدتها بشكل كبير.

لنشر تكوينات التصدير المستمرة عبر مؤسستك، استخدم نهج "DeployIfNotExist" الخاصة بنهج Azure المرفق الموضح أدناه لإنشاء إجراءات تصدير مستمرة وتكوينها.

لتنفيذ هذه السياسات

1. من الجدول أدناه، حدد السياسة التي تريد تطبيقها:

   هدف	النهج	معرف السياسة
   التصدير المستمر إلى مركز الأحداث	نشر التصدير إلى مركز الأحداث ل Microsoft Defender للحصول على تنبيهات وتوصيات السحابة	cdfcce10-4578-4ecd-9703-530938e4abcb
   التصدير المستمر إلى مساحة عمل Log Analytics	نشر التصدير إلى مساحة عمل Log Analytics ل Microsoft Defender للتنبيهات والتوصيات السحابية	ffb6f416-7bd2-4488-8828-56585fef2be9

   تلميح

   يمكنك أيضا العثور عليها من خلال البحث في Azure Policy:

   1. افتح سياسة Azure.
   2. من قائمة نهج Azure، حدد التعريفات وابحث عنها بالاسم.

2. من صفحة نهج Azure ذات الصلة، حدد تعيين.

3. افتح كل علامة تبويب وقم بتعيين المعلمات حسب الرغبة:

   1. في علامة التبويب أساسيات ، قم بتعيين نطاق النهج. لاستخدام الإدارة المركزية، قم بتعيين النهج إلى مجموعة الإدارة التي تحتوي على الاشتراكات التي ستستخدم تكوين التصدير المستمر.
   2. في علامة التبويب معلمات ، قم بتعيين تفاصيل مجموعة الموارد ونوع البيانات.

      تلميح

      تحتوي كل معلمة على تلميح أداة يشرح الخيارات المتاحة لك.

      توفر علامة التبويب (1) معلمات Azure Policy إمكانية الوصول إلى خيارات تكوين مماثلة مثل صفحة التصدير المستمر ل Defender for Cloud (2).

   3. اختياريا، لتطبيق هذا التعيين على الاشتراكات الموجودة، افتح علامة التبويب معالجة وحدد خيار إنشاء مهمة معالجة.

4. راجع صفحة الملخص وحدد إنشاء.

معلومات حول التصدير إلى مساحة عمل Log Analytics

إذا كنت ترغب في تحليل Microsoft Defender لبيانات السحابة داخل مساحة عمل Log Analytics أو استخدام تنبيهات Azure مع تنبيهات Defender for Cloud، فقم بإعداد التصدير المستمر إلى مساحة عمل Log Analytics.

جداول ومخططات "إحصاءات السجل"

يتم تخزين تنبيهات الأمان والتوصيات في جدولي SecurityAlert وSecurityRecommendation على التوالي.

يعتمد اسم حل Log Analytics الذي يحتوي على هذه الجداول على ما إذا كنت قد قمت بتمكين ميزات الأمان المحسنة: الأمان ("الأمان والتدقيق") أو SecurityCenterFree.

تلميح

للاطلاع على البيانات الموجودة على مساحة العمل الوجهة، يجب تمكين أحد هذه الحلول الأمان والتدقيق أو SecurityCenterFree.

لعرض مخططات الأحداث لأنواع البيانات المصدرة، انتقل إلى مخططات جدول Log Analytics.

عرض التنبيهات والتوصيات المصدرة في Azure Monitor

يمكنك أيضا اختيار عرض تنبيهات الأمان و/أو التوصيات المصدرة في Azure Monitor.

يوفر Azure Monitor تجربة تنبيه موحدة لمجموعة متنوعة من تنبيهات Azure بما في ذلك سجل التشخيص وتنبيهات المقاييس والتنبيهات المخصصة استنادا إلى استعلامات مساحة عمل Log Analytics.

لعرض التنبيهات والتوصيات من Defender for Cloud في Azure Monitor، قم بتكوين قاعدة تنبيه استنادا إلى استعلامات Log Analytics (تنبيه السجل):

1. من صفحة تنبيهات Azure Monitor، حدد قاعدة تنبيه جديدة.

   

2. في صفحة إنشاء قاعدة، قم بتكوين القاعدة الجديدة (بنفس الطريقة التي تقوم بها بتكوين قاعدة تنبيه سجل في Azure Monitor):

   • بالنسبة إلى المورد، حدد مساحة عمل Log Analytics التي قمت بتصدير تنبيهات الأمان والتوصيات إليها.

   • بالنسبة إلى الشرط، حدد البحث في سجل مخصص. في الصفحة التي تظهر، قم بتكوين الاستعلام وفترة النظر إلى الوراء وفترة التكرار. في استعلام البحث، يمكنك كتابة SecurityAlert أو SecurityRecommendation للاستعلام عن أنواع البيانات التي يقوم Defender for Cloud بتصديرها باستمرار إليها أثناء تمكين ميزة التصدير المستمر إلى Log Analytics.

   • اختياريا، قم بتكوين مجموعة العمل التي تريد تشغيلها. يمكن لمجموعات العمل تشغيل إرسال البريد الإلكتروني وتذاكر ITSM و WebHooks والمزيد.

سترى الآن تنبيهات أو توصيات Microsoft Defender for Cloud الجديدة (استنادا إلى قواعد التصدير المستمر التي تم تكوينها والشرط الذي حددته في قاعدة تنبيه Azure Monitor) في تنبيهات Azure Monitor، مع التشغيل التلقائي لمجموعة إجراءات (إذا تم توفيرها).

التصدير اليدوي لمرة واحدة للتنبيهات والتوصيات

لتنزيل تقرير CSV للتنبيهات أو التوصيات، افتح صفحة تنبيهات الأمان أو التوصيات وحدد الزر تنزيل تقرير CSV.

تلميح

نظرا لقيود Graph موارد Azure، تقتصر التقارير على حجم ملف يبلغ 13 ألف صف. إذا كنت ترى أخطاء تتعلق بتصدير الكثير من البيانات، فحاول الحد من الإخراج عن طريق تحديد مجموعة أصغر من الاشتراكات المراد تصديرها.

ملاحظة

تحتوي هذه التقارير على تنبيهات وتوصيات للموارد من الاشتراكات المحددة حاليا.

الأسئلة الشائعة - التصدير المستمر

ما هي التكاليف التي ينطوي عليها تصدير البيانات؟

لا توجد تكلفة لتمكين التصدير المستمر. قد يتم تكبد تكاليف لاستيعاب البيانات والاحتفاظ بها في مساحة عمل Log Analytics، بناء على التكوين الخاص بك هناك.

تعرف على المزيد حول تسعير مساحة عمل Log Analytics.

تعرف على المزيد حول تسعير مركز أحداث Azure.

هل يتضمن التصدير بيانات حول الحالة الحالية لجميع الموارد؟

كلا. تم تصميم التصدير المستمر لتدفق الأحداث:

• لن يتم تصدير التنبيهات التي يتم تلقيها قبل تمكين التصدير.
• يتم إرسال التوصيات كلما تغيرت حالة امتثال المورد. على سبيل المثال ، عندما يتحول المورد من صحي إلى غير صحي. لذلك، كما هو الحال مع التنبيهات، لن يتم تصدير التوصيات الخاصة بالموارد التي لم تتغير حالتها منذ تمكين التصدير.
• يتم إرسال النتيجة الآمنة لكل عنصر تحكم أمان أو اشتراك عندما تتغير درجة عنصر تحكم الأمان بمقدار 0.01 أو أكثر.
• يتم إرسال حالة الامتثال التنظيمي عندما تتغير حالة امتثال المورد.

لماذا يتم إرسال التوصيات على فترات مختلفة؟

تحتوي التوصيات المختلفة على فترات زمنية مختلفة لتقييم الامتثال ، والتي يمكن أن تختلف من بضع دقائق إلى كل بضعة أيام. وبالتالي ، ستختلف التوصيات في مقدار الوقت الذي تستغرقه لتظهر في صادراتك.

هل يدعم التصدير المستمر أي سيناريوهات لاستمرارية الأعمال أو التعافي من الكوارث؟

عند إعداد بيئتك لسيناريوهات غرفة البحرين لتسوية المنازعات، حيث يواجه المورد المستهدف انقطاعا أو كارثة أخرى، تقع على عاتق المؤسسة مسؤولية منع فقدان البيانات من خلال إنشاء نسخ احتياطية وفقا للإرشادات الواردة من مراكز أحداث Azure ومساحة عمل Log Analytics وتطبيق Logic App.

تعرف على المزيد في مراكز أحداث Azure - التعافي الجغرافي بعد الكوارث.

هل التصدير المستمر متاح مجانا؟

نعم! لاحظ أنه لا يتم توفير العديد من التنبيهات إلا عند تمكين الحماية المتقدمة. تتمثل إحدى الطرق الجيدة لمعاينة التنبيهات التي ستحصل عليها في بياناتك المصدرة في رؤية التنبيهات المعروضة في صفحات Defender for Cloud في مدخل Azure.

الخطوات التالية

في هذه المقالة، تعلمت كيفية تكوين عمليات التصدير المستمرة للتوصيات والتنبيهات. تعلمت أيضا كيفية تنزيل بيانات التنبيهات كملف CSV.

للاطلاع على المواد ذات الصلة، انظر الوثائق التالية:

• تعرف على المزيد حول قوالب أتمتة سير العمل.
• وثائق مراكز أحداث Azure
• وثائق Microsoft Sentinel
• وثائق Azure Monitor
• تصدير مخططات أنواع البيانات