الأسئلة المتداولة - أسئلة حول جمع البيانات والوكلاء ومساحات العمل

كلا. مساحات العمل التي تم إنشاؤها بواسطة Defender for Cloud، أثناء تكوينها لسجلات Azure Monitor لكل فوترة عقدة، لا تتحمل رسوم سجلات Azure Monitor. تعتمد فوترة Defender for Cloud دائما على سياسة أمان Defender for Cloud والحلول المثبتة على مساحة العمل:

• إيقاف تشغيل الأمان المحسن - يتيح Defender for Cloud حل "SecurityCenterFree" على مساحة العمل الافتراضية. لن تتم محاسبتك إذا تم إيقاف تشغيل Microsoft Defender for Cloud.

• تمكين جميع خطط Microsoft Defender for Cloud - يتيح Defender for Cloud حل "الأمان" في مساحة العمل الافتراضية.

للحصول على تفاصيل التسعير بعملتك المحلية أو منطقتك، راجع صفحة التسعير.

لمراقبة الثغرات الأمنية والتهديدات، يعتمد Microsoft Defender for Cloud على عامل Log Analytics - وهذا هو نفس العامل الذي تستخدمه خدمة Azure Monitor.

يشار إلى العامل أحيانا باسم عامل مراقبة Microsoft (أو "MMA").

يجمع الوكيل العديد من تفاصيل التكوين المتعلقة بالأمان وسجلات الأحداث من الأجهزة المتصلة، ثم ينسخ البيانات إلى مساحة عمل Log Analytics لمزيد من التحليل. ومن أمثلة هذه البيانات: نوع نظام التشغيل وإصداره، وسجلات نظام التشغيل (سجلات أحداث Windows)، والعمليات الجارية، واسم الجهاز، وعناوين IP، والمستخدم الذي سجل الدخول.

تأكد من أن أجهزتك تعمل بأحد أنظمة التشغيل المدعومة للوكيل كما هو موضح في الصفحات التالية:

• ⁧⁩وكيل Log Analytics لأنظمة التشغيل المدعومة من Windows⁧⁩

• ⁧⁩وكيل Log Analytics لأنظمة التشغيل المدعومة من Linux⁧⁩

تعرف على المزيد حول البيانات التي يجمعها وكيل Log Analytics.

Windows أو Linux IaaS VMs مؤهلة إذا:

• ملحق وكيل Log Analytics غير مثبت حاليا على الجهاز الظاهري.
• الجهاز الظاهري في حالة تشغيل.
• تم تثبيت Windows أو Linux Azure Virtual Machine Agent.
• لا يتم استخدام الجهاز الظاهري كجهاز مثل جدار حماية تطبيق الويب أو جدار الحماية من الجيل التالي.

يعتمد موقع مساحة العمل الافتراضية على منطقة Azure الخاصة بك:

• بالنسبة للأجهزة الظاهرية في الولايات المتحدة والبرازيل ، يكون موقع مساحة العمل هو الولايات المتحدة
• بالنسبة إلى الأجهزة الظاهرية في كندا، يكون موقع مساحة العمل هو كندا
• بالنسبة للأجهزة الظاهرية في أوروبا ، فإن موقع مساحة العمل هو أوروبا
• بالنسبة للأجهزة الظاهرية في المملكة المتحدة ، فإن موقع مساحة العمل هو المملكة المتحدة
• بالنسبة للأجهزة الظاهرية في شرق آسيا وجنوب شرق آسيا ، يكون موقع مساحة العمل هو آسيا
• بالنسبة إلى الأجهزة الظاهرية في كوريا، يكون موقع مساحة العمل هو كوريا
• بالنسبة إلى الأجهزة الظاهرية في الهند، يكون موقع مساحة العمل هو الهند
• بالنسبة إلى الأجهزة الظاهرية في اليابان، يكون موقع مساحة العمل هو اليابان
• بالنسبة للأجهزة الظاهرية في الصين ، يكون موقع مساحة العمل هو الصين
• بالنسبة إلى الأجهزة الظاهرية في أستراليا، يكون موقع مساحة العمل هو أستراليا

للحصول على قائمة كاملة بأحداث الأمان التي يجمعها الوكيل، راجع ما هي أنواع الأحداث المخزنة لإعدادات أحداث الأمان "المشتركة" و"الحد الأدنى"؟.

لا ينصح بحذف مساحة العمل الافتراضية. يستخدم Defender for Cloud مساحات العمل الافتراضية لتخزين بيانات الأمان من الأجهزة الظاهرية. إذا قمت بحذف مساحة عمل، فلن يتمكن Defender for Cloud من جمع هذه البيانات ولن تتوفر بعض توصيات الأمان والتنبيهات.

للاسترداد، قم بإزالة عامل Log Analytics على الأجهزة الظاهرية المتصلة بمساحة العمل المحذوفة. يقوم Defender for Cloud بإعادة تثبيت الوكيل وإنشاء مساحات عمل افتراضية جديدة.

يمكنك تحديد مساحة عمل Log Analytics حالية لتخزين البيانات التي تم جمعها بواسطة Defender for Cloud. لاستخدام مساحة عمل "إحصاءات السجل" الحالية:

• يجب أن تكون مساحة العمل مقترنة باشتراكك في Azure المحدد.
• كحد أدنى، يجب أن يكون لديك أذونات قراءة للوصول إلى مساحة العمل.

لتحديد مساحة عمل Log Analytics موجودة:

1. من قائمة Defender for Cloud، افتح إعدادات البيئة.

2. حدد الاشتراك ذا الصلة.

3. افتح صفحة إدارة الحسابات التلقائية .

4. بالنسبة إلى وكيل Log Analytics، حدد تحرير التكوين.

   

5. حدد الاتصال أجهزة Azure الظاهرية إلى مساحة عمل مختلفة واختر مساحة العمل الحالية.

   

   تلميح

   تتضمن القائمة فقط مساحات العمل التي يمكنك الوصول إليها والتي توجد في اشتراكك في Azure.

6. حدد ⁧⁩حفظ⁧⁩. سيتم سؤالك عما إذا كنت ترغب في إعادة تكوين الأجهزة الظاهرية الخاضعة للمراقبة.

   هام

   يكون هذا الاختيار مناسبا فقط إذا كنت تقوم بتغيير التكوين من مساحة العمل الافتراضية إلى مساحة عمل مخصصة. إذا كنت تقوم بتغيير الإعداد من مساحة عمل مخصصة إلى أخرى، أو من مساحة عمل مخصصة إلى مساحة العمل الافتراضية، فلن يتم تطبيق التغيير على الأجهزة الموجودة.

   • حدد لا إذا كنت تريد تطبيق إعدادات مساحة العمل الجديدة على الأجهزة الظاهرية الجديدة فقط. تنطبق إعدادات مساحة العمل الجديدة فقط على عمليات تثبيت الوكيل الجديد; الأجهزة الظاهرية المكتشفة حديثا والتي لم يتم تثبيت عامل Log Analytics عليها.
   • حدد نعم إذا كنت تريد تطبيق إعدادات مساحة العمل الجديدة على جميع الأجهزة الظاهرية. بالإضافة إلى ذلك، تتم إعادة توصيل كل جهاز ظاهري متصل بمساحة عمل تم إنشاؤها بواسطة Defender for Cloud بمساحة العمل المستهدفة الجديدة.

   ملاحظة

   إذا قمت بتحديد نعم، فلا تحذف أي مساحات عمل تم إنشاؤها بواسطة Defender for Cloud حتى تتم إعادة توصيل جميع الأجهزة الظاهرية بمساحة العمل المستهدفة الجديدة. تفشل هذه العملية إذا تم حذف مساحة العمل في وقت مبكر جدًا.

عندما يتم تثبيت وكيل مراقبة كملحق، فإن تكوين الامتداد يسمح بالإبلاغ إلى مساحة عمل واحدة فقط. لا يمنع Defender for Cloud الاتصالات الموجودة بمساحات عمل المستخدم. سيقوم Defender for Cloud بتخزين بيانات الأمان من جهاز ظاهري في مساحة عمل متصلة بالفعل ، شريطة أن يكون حل "Security" أو "SecurityCenterFree" قد تم تثبيته عليه. قد يباشر Defender for Cloud بترقية إصدار الامتداد إلى أحدث إصدار في هذه العملية.

لمزيد من المعلومات، راجع إدارة الحسابات التلقائية في حالات تثبيت عامل موجود مسبقا.

إذا تم تثبيت وكيل Log Analytics مباشرة على الجهاز الظاهري (وليس كملحق Azure)، فسيقوم Defender for Cloud بتثبيت ملحق وكيل Log Analytics، وقد يقوم بترقية وكيل Log Analytics إلى أحدث إصدار.

سيستمر الوكيل المثبت في تقديم التقارير إلى مساحة (مساحات) العمل التي تم تكوينها بالفعل، بالإضافة إلى ذلك سيقدم تقريرا إلى مساحة العمل التي تم تكوينها في Defender for Cloud (يتم دعم التوجيه المتعدد على أجهزة Windows).

إذا كانت مساحة العمل التي تم تكوينها عبارة عن مساحة عمل للمستخدم (وليس مساحة العمل الافتراضية ل Defender for Cloud)، فستحتاج إلى تثبيت حل "الأمان" أو "SecurityCenterFree" عليها حتى يتمكن Defender for Cloud من بدء معالجة الأحداث من الأجهزة الظاهرية وأجهزة الكمبيوتر التي تقدم تقارير إلى مساحة العمل هذه.

بالنسبة إلى أجهزة Linux، لم يتم دعم برنامج Agent multi-homing - وبالتالي، إذا تم اكتشاف تثبيت وكيل حالي، فلن يحدث التوفير التلقائي ولن يتم تغيير تكوين الجهاز.

بالنسبة للأجهزة الحالية على الاشتراكات المضمنة في Defender for Cloud قبل 17 مارس 2019، عندما يتم اكتشاف وكيل حالي، لن يتم تثبيت ملحق وكيل Log Analytics ولن يتأثر الجهاز. بالنسبة لهذه الأجهزة، راجع التوصية "حل مشكلات سلامة عامل المراقبة على أجهزتك" لحل مشكلات تثبيت العامل على هذه الأجهزة

لمزيد من المعلومات، راجع القسم التالي ماذا يحدث إذا كان مدير عمليات مركز النظام أو وكيل OMS المباشر مثبتا بالفعل على الجهاز الظاهري الخاص بي؟

سيقوم Defender for Cloud بتثبيت ملحق وكيل Log Analytics جنبا إلى جنب مع وكيل System Center Operations Manager الحالي. سيستمر العامل الحالي في تقديم التقارير إلى خادم "إدارة عمليات مركز النظام" بشكل طبيعي. لاحظ أن وكيل "إدارة العمليات" وعامل "تحليلات السجلات" يشتركان في مكتبات وقت التشغيل الشائعة، والتي سيتم تحديثها إلى أحدث إصدار أثناء هذه العملية. ملاحظة - إذا تم تثبيت الإصدار 2012 من عامل "إدارة العمليات"، فلا تقم بتشغيل "إدارة الحسابات التلقائية" (يمكن فقدان إمكانات إمكانية الإدارة عندما يكون خادم "إدارة العمليات" هو الإصدار 2012 أيضا).

إذا قمت بإزالة ملحق مراقبة Microsoft، فلن يتمكن Defender for Cloud من جمع بيانات الأمان من الجهاز الظاهري ولا تتوفر بعض توصيات الأمان والتنبيهات. في غضون 24 ساعة، يحدد Defender for Cloud أن الجهاز الظاهري يفتقد الامتداد ويعيد تثبيت الإضافة.

يمكنك إيقاف إدارة الحسابات التلقائية لاشتراكاتك في سياسة الأمان، ولكن لا يوصى بذلك. يؤدي إيقاف تشغيل إدارة الحسابات التلقائية إلى الحد من توصيات وتنبيهات Defender for Cloud. لتعطيل إدارة الحسابات التلقائية لوكيل أو إضافة معينة:

1. من قائمة Defender for Cloud، افتح إعدادات البيئة.

2. حدد الاشتراك ذا الصلة.

3. من صفحة إدارة الحسابات التلقائية ، قم بتبديل حالة الوكيل أو الإضافة التي تريد إيقاف إدارتها تلقائيا.

   

4. حدد ⁧⁩حفظ⁧⁩.

قد ترغب في إلغاء الاشتراك في إدارة الحسابات التلقائية إذا كان ما يلي ينطبق عليك:

• ينطبق التثبيت التلقائي للوكيل بواسطة Defender for Cloud على الاشتراك بأكمله. لا يمكنك تطبيق التثبيت التلقائي على مجموعة فرعية من الأجهزة الظاهرية. إذا كانت هناك أجهزة ظاهرية مهمة لا يمكن تثبيتها باستخدام وكيل Log Analytics، فيجب عليك إلغاء الاشتراك في إدارة الحسابات التلقائية.

• يؤدي تثبيت ملحق وكيل Log Analytics إلى تحديث إصدار الوكيل. ينطبق هذا على وكيل مباشر ووكيل إدارة عمليات System Center (في الأخير ، يشارك وكيل إدارة العمليات و Log Analytics مكتبات وقت التشغيل الشائعة - والتي سيتم تحديثها في هذه العملية). إذا كان عامل "إدارة العمليات" المثبت هو الإصدار 2012 وتم ترقيته، يمكن فقدان إمكانات الإدارة عندما يكون خادم "إدارة العمليات" هو الإصدار 2012 أيضا. فكر في إلغاء الاشتراك في إدارة الحسابات التلقائية إذا كان عامل إدارة العمليات المثبت هو الإصدار 2012.

• إذا كنت ترغب في تجنب إنشاء مساحات عمل متعددة لكل اشتراك وكان لديك مساحة عمل مخصصة خاصة بك داخل الاشتراك، فلديك خياران:

  • يمكنك إلغاء الاشتراك في إدارة الحسابات التلقائية. بعد الترحيل، قم بتعيين إعدادات مساحة العمل الافتراضية كما هو موضح في كيف يمكنني استخدام مساحة عمل Log Analytics الحالية؟

  • أو يمكنك السماح باكتمال الترحيل، وتثبيت عامل Log Analytics على الأجهزة الظاهرية، والأجهزة الظاهرية المتصلة بمساحة العمل التي تم إنشاؤها. بعد ذلك، حدد مساحة العمل المخصصة الخاصة بك عن طريق تعيين إعداد مساحة العمل الافتراضية مع الاشتراك في إعادة تكوين العوامل المثبتة بالفعل. لمزيد من المعلومات، راجع كيف يمكنني استخدام مساحة عمل Log Analytics الحالية؟

عند اكتمال الترحيل، لا يمكن ل Defender for Cloud جمع بيانات الأمان من الجهاز الظاهري ولا تتوفر بعض توصيات الأمان والتنبيهات. إذا قمت بإلغاء الاشتراك، فقم بتثبيت وكيل Log Analytics يدويا. اطلع على الخطوات الموصى بها عند إلغاء الاشتراك.

قم بتثبيت ملحق وكيل Log Analytics يدويا حتى يتمكن Defender for Cloud من جمع بيانات الأمان من الأجهزة الظاهرية وتقديم التوصيات والتنبيهات. راجع تثبيت العامل للحصول على Windows الجهاز الظاهري أو تثبيت العامل لجهاز Linux الظاهري للحصول على إرشادات حول التثبيت.

يمكنك توصيل الوكيل بأي مساحة عمل مخصصة موجودة أو مساحة عمل تم إنشاؤها بواسطة Defender for Cloud. إذا لم يكن لدى مساحة عمل مخصصة حلول "الأمان" أو "SecurityCenterFree" ممكنة ، فستحتاج إلى تطبيق حل. للتقديم، حدد مساحة العمل المخصصة وقم بتطبيق طبقة تسعير عبر صفحة إعدادات البيئةخطط>Defender.

سيقوم Defender for Cloud بتمكين الحل الصحيح في مساحة العمل استنادا إلى الخيارات المحددة.

يمكنك إزالة وكيل Log Analytics يدويا. لا ينصح بذلك لأنه يحد من توصيات Defender وتنبيهات Cloud.

لإزالة العامل يدويا:

1. في البوابة الإلكترونية، افتح Log Analytics.

2. في صفحة Log Analytics، حدد مساحة عمل:

3. حدد الأجهزة الظاهرية التي لا تريد مراقبتها وحدد قطع الاتصال.

   

يوصى بشدة بالتوفير التلقائي للحصول على تنبيهات الأمان والتوصيات حول تحديثات النظام وثغرات نظام التشغيل وحماية نقطة النهاية. بشكل افتراضي، يتم تعطيل إدارة الحسابات التلقائية.

إذا قمت بتمكينه ولكنك تريد الآن تعطيله:

1. من مدخل Azure، افتح Defender for Cloud وحدد إعدادات البيئة.

2. حدد الاشتراك الذي تريد تعطيل إدارة الحسابات التلقائية عليه.

3. افتح إدارة الحسابات التلقائية، واضبط حالة إدارة حسابات وكيل Log Analytics على إيقاف التشغيل.

يمكنك تمكين جمع البيانات لاشتراكك في Azure في نهج الأمان. لتمكين جمع البيانات. سجل الدخول إلى مدخل Azure، وحدد استعراض، وحدد Defender for Cloud، وحدد نهج الأمان. حدد الاشتراك الذي ترغب في تمكين إدارة الحسابات التلقائية. عند تحديد سياسة أمان اشتراك - يتم فتح جمع البيانات . ضمن إدارة الحسابات التلقائية، حدد تشغيل.

عند تمكين إدارة الحسابات التلقائية، يقوم Defender for Cloud بتوفير وكيل Log Analytics على جميع أجهزة Azure الظاهرية المدعومة وأي أجهزة جديدة يتم إنشاؤها. يوصى بالتوفير التلقائي ولكن يتوفر أيضا التثبيت اليدوي للوكيل. تعرف على كيفية تثبيت إضافة وكيل Log Analytics.

يقوم العامل بتمكين حدث إنشاء العملية 4688 وحقل CommandLine داخل الحدث 4688. يتم تسجيل العمليات الجديدة التي تم إنشاؤها على الجهاز الظاهري بواسطة EventLog ومراقبتها بواسطة خدمات الكشف الخاصة ب Defender for Cloud. لمزيد من المعلومات حول التفاصيل المسجلة لكل عملية جديدة، راجع حقول الوصف في 4688. يقوم الوكيل أيضا بجمع أحداث 4688 التي تم إنشاؤها على الجهاز الظاهري وتخزينها في البحث.

يتيح الوكيل أيضا جمع البيانات لعناصر التحكم في التطبيقات التكيفية ، يقوم Defender for Cloud بتكوين سياسة AppLocker محلية في وضع التدقيق للسماح بجميع التطبيقات. ستتسبب هذه السياسة في قيام AppLocker بإنشاء أحداث، والتي يتم جمعها بعد ذلك والاستفادة منها بواسطة Defender for Cloud. من المهم ملاحظة أن هذا النهج لن يُكوّن على أي أجهزة يوجد عليها بالفعل نهج AppLocker مهيأ.

عندما يكتشف Defender for Cloud نشاطا مشبوها على الجهاز الظاهري، يتم إخطار العميل عبر البريد الإلكتروني إذا تم توفير معلومات الاتصال الأمنية . يظهر تنبيه أيضا في لوحة معلومات تنبيهات الأمان في Defender for Cloud.

نعم. يستفيد Microsoft Defender for Cloud من Azure Monitor لجمع البيانات من الأجهزة الظاهرية والخوادم في Azure، باستخدام وكيل Log Analytics. لجمع البيانات، يجب أن يتصل كل جهاز ظاهري وخادم بالإنترنت باستخدام HTTPS. يمكن أن يكون الاتصال مباشرا ، باستخدام وكيل ، أو من خلال بوابة OMS.

يستهلك الوكيل كمية اسمية من موارد النظام ويجب أن يكون له تأثير ضئيل على الأداء. لمزيد من المعلومات حول تأثير الأداء والوكيل والتمديد، راجع دليل التخطيط والعمليات.