مقدمة إلى Microsoft Defender للخوادم
يعد Microsoft Defender for Servers أحد ميزات الأمان المحسنة في Microsoft Defender for Cloud. استخدمه لإضافة اكتشاف التهديدات والدفاعات المتقدمة إلى أجهزة Windows وLinux سواء كانت تعمل في Azure أو AWS أو GCP أو البيئة المحلية.
لحماية الأجهزة في بيئات هجينة ومتعددة السحابة، يستخدم Defender for Cloud Azure Arc. قم باتصال الأجهزة الهجينة ومتعددة السحابة كما هو موضح في التشغيل السريع ذي الصلة:
- اتصال الأجهزة غير Azure إلى Microsoft Defender for Cloud
- اتصال حسابات AWS الخاصة بك إلى Microsoft Defender for Cloud
تلميح
للحصول على تفاصيل حول ميزات Defender for Servers ذات الصلة بالأجهزة التي تعمل على بيئات سحابية أخرى، راجع الميزات المدعومة للأجهزة الظاهرية والخوادم.
ما المقصود ب Microsoft Defender لخطط الخادم؟
يوفر Microsoft Defender for Servers الكشف عن التهديدات والدفاعات المتقدمة لأجهزة Windows وLinux سواء كانت تعمل في Azure أو AWS أو GCP أو محليا. يتوفر Microsoft Defender for Servers في خطتين:
Microsoft Defender for Servers Plan 1 - ينشر Microsoft Defender لنقطة النهاية على خوادمك ويوفر هذه الإمكانات:
- يتم فرض رسوم على تراخيص Microsoft Defender لنقطة النهاية في الساعة بدلا من كل مقعد، مما يقلل من تكاليف حماية الأجهزة الافتراضية فقط عندما تكون قيد الاستخدام.
- Microsoft Defender لنقطة النهاية يتم نشره تلقائيا على جميع أحمال العمل السحابية حتى تعرف أنها محمية عند دورانها.
- يتم عرض التنبيهات وبيانات الثغرات الأمنية من Microsoft Defender لنقطة النهاية في Microsoft Defender for Cloud
خطة Microsoft Defender for Servers 2 (المعروفة سابقا باسم Defender for Servers) - تتضمن مزايا الخطة 1 ودعم جميع ميزات Microsoft Defender for Servers الأخرى.
للاطلاع على تفاصيل التسعير بالعملة التي تختارها ووفقاً لمنطقتك، راجع صفحة التسعير.
لتمكين خطط Microsoft Defender للخوادم:
انتقل إلى إعدادات البيئة وحدد اشتراكك.
إذا لم يتم تمكين Microsoft Defender for Servers، فقم بتعيينه إلى تشغيل. يتم تحديد الخطة 2 بشكل افتراضي.
إذا كنت ترغب في تغيير خطة ديفندر للخوادم:
- في عمود الخطة /التسعير ، حدد تغيير الخطة.
- حدد الخطة التي تريدها وحدد تأكيد.
يصف الجدول التالي ما يتم تضمينه في كل خطة على مستوى عال.
| الميزة | خطة ديفندر للخوادم 1 | خطة ديفندر للخوادم 2 |
|---|---|---|
| الإعداد التلقائي للموارد في Azure وAWS وGCP | 
|
|
| مايكروسوفت إدارة المخاطر والثغرات الأمنية |
|
|
| المرونة في استخدام Microsoft Defender للسحابة أو مدخل Microsoft 365 Defender |
|
|
| دمج Microsoft Defender للسحابة Microsoft Defender لنقطة النهاية (التنبيهات، وجرد البرامج، وتقييم الثغرات الأمنية) |
|
|
| تحليلات السجل (500 ميغابايت مجانا) |
|
|
| تقييم نقاط الضعف باستخدام Qualys |
|
|
| الكشف عن التهديدات: مستوى نظام التشغيل ، طبقة الشبكة ، مستوى التحكم |
|
|
| ضوابط التطبيق التكيفي |
|
|
| مراقبة تكامل الملفات |
|
|
| الوصول إلى VM في الوقت المناسب |
|
|
| تصلب الشبكة التكيفي |
|
ما هي فوائد ديفندر للخوادم؟
تتضمن إمكانات الكشف عن التهديدات والحماية منها المتوفرة مع Microsoft Defender for Servers ما يلي:
ترخيص متكامل Microsoft Defender لنقطة النهاية - يتضمن Microsoft Defender for Servers Microsoft Defender لنقطة النهاية. ويوفران معًا قدرات شاملة للكشف عن تهديدات نقاط النهاية والرد عليها. عند تمكين Microsoft Defender for Servers، يحصل Defender for Cloud على حق الوصول إلى البيانات Microsoft Defender لنقطة النهاية المتعلقة بالثغرات الأمنية والبرامج المثبتة والتنبيهات الخاصة بنقاط النهاية الخاصة بك.
عندما يكشف Defender لنقطة النهاية عن تهديد، فإنه يشغّل تنبيه. يتم عرض التنبيه في Defender for Cloud. من Defender for Cloud، يمكنك أيضاً التركيز على وحدة تحكم Defender لنقطة النهاية، وإجراء تحقيق مفصل للكشف عن نطاق الهجوم. لمزيد من المعلومات، راجع Protect your endpoints.
أدوات تقييم الثغرات الأمنية للأجهزة - يتضمن Microsoft Defender for Servers مجموعة من أدوات اكتشاف الثغرات الأمنية وإدارتها لأجهزتك. من صفحات إعدادات Defender for Cloud، يمكنك تحديد الأدوات المراد نشرها على أجهزتك. يتم عرض نقاط الضعف المكتشفة في توصية أمنية.
Microsoft إدارة المخاطر والثغرات الأمنية - اكتشاف الثغرات الأمنية والتكوينات الخاطئة في الوقت الفعلي باستخدام Microsoft Defender لنقطة النهاية، ودون الحاجة إلى وكلاء آخرين أو عمليات فحص دورية. تحدد التهديدات إدارة الثغرات الأمنية أولويات نقاط الضعف وفقا لمشهد التهديدات والاكتشافات في مؤسستك والمعلومات الحساسة حول الأجهزة الضعيفة وسياق العمل. تعرف على المزيد في التحقيق في نقاط الضعف مع Microsoft Defender لنقطة النهاية للحصول على إدارة المخاطر والثغرات الأمنية
ماسح الثغرات الأمنية المدعوم من Qualys - يعد الماسح الضوئي Qualys أحد الأدوات الرائدة لتحديد نقاط الضعف في الوقت الفعلي في أجهزة Azure والأجهزة الظاهرية المختلطة. لا تحتاج إلى ترخيص Qualys أو حتى حساب Qualys - يتم التعامل مع كل شيء بسلاسة داخل Defender for Cloud. تعرف على المزيد في الماسح الضوئي المتكامل Qualys من Defender for Cloud لـ Azure والأجهزة المختلطة.
الوصول إلى الجهاز الظاهري (VM) في الوقت المناسب (JIT) - يتتبع ممثلو التهديد بنشاط الأجهزة التي يمكن الوصول إليها بمنافذ إدارة مفتوحة، مثل RDP أو SSH. تعد جميع الأجهزة الافتراضية الخاصة بك أهداف محتملة للهجوم. عندما يتم اختراق جهاز ظاهري بنجاح، يتم استخدامه كنقطة دخول لمهاجمة المزيد من الموارد داخل البيئة الخاصة بك.
عند تمكين Microsoft Defender للخوادم، يمكنك استخدام الوصول إلى الجهاز الظاهري في الوقت المناسب لتأمين حركة المرور الواردة إلى الأجهزة الظاهرية. هذا يقلل من التعرض للهجمات ويوفر سهولة الوصول للاتصال بالأجهزة الظاهرية عند الحاجة. راجع فهم إمكانية الوصول لـ JIT VM لمزيد من المعلومات.
مراقبة تكامل الملفات (FIM) - مراقبة تكامل الملفات (FIM)، والمعروفة أيضًا باسم مراقبة التغيير، تفحص ملفات وسجلات نظام التشغيل وبرامج التطبيقات وغيرها بحثًا عن التغييرات التي قد تشير إلى هجوم. يتم استخدام أسلوب المقارنة لتحديد ما إذا كانت الحالة الحالية للملف مختلفة عن آخر فحص للملف. يمكنك استخدام هذه المقارنة لتحديد ما إذا كان قد تم إجراء تعديلات صالحة أو مشبوهة على ملفاتك.
عند تمكين Microsoft Defender for Servers، يمكنك استخدام FIM للتحقق من سلامة ملفات Windows، وسجلات Windows، وملفات Linux الخاصة بك. لمزيد من المعلومات، راجع مراقبة تكامل الملف في Microsoft Defender for Cloud.
عناصر التحكم في التطبيقات التكيفية (AAC) - تُعد عناصر التحكم في التطبيقات التكيفية حلاً ذكيًا وآليًا لتحديد قوائم السماح للتطبيقات المعروفة الآمنة لأجهزة الكمبيوتر الخاصة بك.
بعد تمكين عناصر تحكم التطبيق التكيفية وتكوينها، ستحصل على تنبيهات أمان إذا تم تشغيل أي تطبيق بخلاف التطبيقات التي حددتها على أنها آمنة. لمزيد من المعلومات، راجع استخدام عناصر تحكم التطبيقات التكيفية لتقليل أسطح هجوم الأجهزة.
تصلب الشبكة التكيفية (ANH) - يؤدي تطبيق مجموعات أمان الشبكة (NSG) لتصفية حركة المرور من الموارد وإليها إلى تحسين وضع أمان الشبكة. ومع ذلك، يمكن أن تكون هناك بعض الحالات التي تعد حركة المرور الفعلية التي تتدفق عبر NSG هي مجموعة فرعية من قواعد NSG المعرفة. في هذه الحالات، يمكن تحقيق مزيد من التحسين للوضع الأمني من خلال تشديد قواعد مجموعة موردي المواد النووية، بناءً على أنماط حركة المرور الفعلية.
يوفر زيادة حماية الشبكة التكيفية توصيات لزيادة حماية قواعد NSG. ويستخدم خوارزمية تعلم الآلة التي تساهم في حركة المرور الفعلية، وتكوينات موثوقًا بها معروفة، والتحليل الذكي للمخاطر، ومؤشرات أخرى للتسوية. ثم تقدم ANH توصيات للسماح بحركة المرور فقط من عناوين IP و port محددة. لمزيد من المعلومات، راجع تحسين وضع أمان الشبكة مع تصلب الشبكة التكيفية.
تصلب مضيف Docker - يحدد Microsoft Defender for Cloud الحاويات غير المدارة المستضافة على أجهزة IaaS Linux الظاهرية أو أجهزة Linux الأخرى التي تعمل بحاويات Docker. يقيم Defender for Cloud باستمرار تكوينات هذه الحاويات. ثم يقارنها مع مركز أمان الإنترنت (CIS) Docker Benchmark. يتضمن Defender for Cloud مجموعة القواعد بأكملها من معيار CIS Docker Benchmark وينبهك إذا كانت حاوياتك لا تفي بأي من عناصر التحكم. لمزيد من المعلومات، راجع تصليب مضيفين Docker.
كشف الهجوم بدون ملفات - تقوم الهجمات بدون ملفات بحقن حمولات ضارة في الذاكرة لتجنب الكشف عن طريق تقنيات المسح الضوئي المستندة إلى القرص. ثم تستمر حمولة المهاجم داخل ذاكرة العمليات التي تم اختراقها وتقوم بتنفيذ مجموعة واسعة من الأنشطة الضارة.
مع الكشف عن الهجمات بدون ملفات، تحدد التقنيات الجنائية التلقائية للذاكرة مجموعات أدوات وتقنيات وسلوكيات الهجمات بدون ملفات. يقوم هذا الحل بفحص الجهاز بشكل دوري في وقت التشغيل، ويستخرج نتيجة تحليلات مباشرة من ذاكرة العمليات. وتشمل نتيجة تحليلات المحددة تحديد ما يلي:
مجموعة أدوات معروفة وبرامج تعدين التشفير
Shellcode - جزء صغير من التعليمات البرمجية يستخدم عادة كحمولة في استغلال ثغرة أمنية في البرنامج.
البيانات الأساسية الضارة المدخلة التي يمكن تنفيذها الخبيث في ذاكرة العملية
يُنشئ اكتشاف الهجوم بدون ملفات تنبيهات أمنية مفصلة تتضمن أوصافًا لبيانات تعريف العملية مثل نشاط الشبكة. هذه التفاصيل تسرع فرز التنبيه، والارتباط، ووقت استجابة المصب. يكمل هذا النهج حلول EDR المستندة إلى الأحداث، ويوفر تغطية كشف متزايدة.
للحصول على تفاصيل تنبيهات الكشف عن الهجوم بدون ملفات، راجع الجدول المرجعي للتنبيهات.
تنبيهات المراجعة من Linux وتسجيل تحليلات تكامل وكيل (Linux فقط) -- نظام المراجعة يتكون من نظام فرعي على مستوى النواة، وهو المسؤول عن نظام رصد المكالمات. يقوم بتصفيتهم من خلال مجموعة قواعد محددة، ويكتب الرسائل لهم في مأخذ توصيل. Defender for Cloud يدمج الوظائف من الحزمة المدققة ضمن وكيل تحليلات السجل. هذا التكامل يتيح جمع الأحداث المدققة في جميع توزيعات Linux المعتمدة، دون أي متطلبات مسبقة.
يقوم وكيل تحليلات السجل في Linux بجمع السجلات المدققة وإثرائها وتجميعها في الأحداث. يُضيف Defender for Cloud باستمرار تحليلات جديدة تستخدم إشارات Linux للكشف عن السلوكيات الخبيثة على السحابة وأجهزة Linux المحلية. على غرار قدرات Windows ، تتضمن هذه التحليلات اختبارات تتحقق من العمليات المشبوهة ومحاولات تسجيل الدخول المشكوك فيها وتحميل وحدة kernel النمطية وغيرها من الأنشطة. يمكن أن تشير هذه الأنشطة إلى أن الجهاز إما يتعرض للهجوم أو تم اختراقه.
للحصول على قائمة بتنبيهات Linux، راجع الجدول المرجعي للتنبيهات.
كيف تقوم ديفندر للخوادم بجمع البيانات؟
بالنسبة لـ Windows، يتكامل Microsoft Defender for Cloud مع خدمات Azure لمراقبة الأجهزة المستندة إلى Windows وحمايتها. يقدم Defender for Cloud التنبيهات واقتراحات الإصلاح من جميع هذه الخدمات بتنسيق سهل الاستخدام.
بالنسبة لـ Linux، يجمع Defender for Cloud سجلات التدقيق من أجهزة Linux باستخدام مراجع الحسابات، وهو أحد أطر تدقيق Linux الأكثر شيوعاً.
بالنسبة للسيناريوهات المختلطة ومتعددة السحابات، يتكامل Defender for Cloud مع Azure Arc لضمان رؤية الأجهزة غير Azure كموارد Azure.
محاكاة التنبيهات
يمكنك محاكاة التنبيهات عن طريق تنزيل أحد أدلة المبادئ التالية:
بالنسبة لـ Windows: Microsoft Defender for Cloud Playbook: تنبيهات الأمان
بالنسبة لـ Linux: Microsoft Defender for Cloud Playbook: Linux Detections.
الخطوات التالية
في هذه المقالة، تعرفت على Microsoft Defender for Servers.
للاطلاع على المواد ذات الصلة، راجع الصفحة التالية:
- سواء قام Defender for Cloud بإنشاء تنبيه أو تلقي تنبيه من منتج أمان مختلف، يمكنك تصدير تنبيهات من Defender for Cloud. لتصدير التنبيهات إلى Microsoft Sentinel أو أي SIEM خارجية أو أي أداة خارجية أخرى، اتبع الإرشادات الواردة في تنبيهات التصدير إلى SIEM.