دليل التخطيط والعمليات

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

هذا الدليل هو لمحترفي تكنولوجيا المعلومات (IT)، ومهندسي تكنولوجيا المعلومات، ومحللي أمن المعلومات، ومسؤولي السحابة الذين يخططون لاستخدام Defender for Cloud.

دليل التخطيط

يغطي هذا الدليل المهام التي يمكنك متابعتها لتحسين استخدامك لـ Defender for Cloud استنادًا إلى متطلبات الأمان الخاصة بمؤسستك ونموذج إدارة السحابة. للاستفادة الكاملة من Defender for Cloud، من المهم فهم كيفية استخدام أفراد أو فرق مختلفة في مؤسستك للخدمة لتلبية احتياجات التطوير والعمليات الآمنة، والمراقبة، والحوكمة، والاستجابة للحوادث. المجالات الرئيسية التي يجب مراعاتها عند التخطيط لاستخدام Defender for Cloud هي:

• أدوار الأمان وعناصر التحكم في الوصول
• السياسات الأمنية والتوصيات
• جمع البيانات وتخزينها
• إعداد الموارد غير الموجودة في Azure
• المراقبة الأمنية المستمرة
• الاستجابة للحوادث

في القسم التالي، ستتعلم كيفية التخطيط لكل مجال من هذه المجالات وتطبيق تلك التوصيات بناء على متطلباتك.

ملاحظة

اقرأ الأسئلة المتداولة حول Defender for Cloud لقائمة من الأسئلة المتداولة التي يمكن أن تكون مفيدة أيضًا أثناء مرحلة التصميم والتخطيط.

أدوار الأمان وعناصر التحكم في الوصول

اعتمادًا على حجم وهيكل مؤسستك، قد يستخدم العديد من الأفراد والفرق Defender for Cloud لأداء مهام مختلفة متعلقة بالأمان. في الرسم التخطيطي التالي، لديك مثال على الشخصيات الوهمية وأدوارها ومسؤوليات الأمان الخاصة بها:

تمكن Defender for Cloud هؤلاء الأفراد من الوفاء بهذه المسؤوليات المتعددة. على سبيل المثال:

جيف (مالك حمل العمل)

• إدارة حمل عمل مجموعة النظراء والموارد المرتبطة به
• مسؤول عن تنفيذ وصيانة الحماية وفقاً لسياسة أمن الشركة

إلين (كبير موظفي أمن المعلومات / كبير موظفي المعلومات)

• مسؤول عن جميع جوانب الأمن للشركة
• يريد أن يفهم الموقف الأمني للشركة عبر أحمال العمل السحابية
• يجب أن يكون على علم بالهجمات والمخاطر الكبرى

ديفيد (أمن تكنولوجيا المعلومات)

• وضع سياسات أمان الشركة لضمان توفير الحماية المناسبة
• مراقبة الامتثال للسياسات
• إنشاء تقارير للقيادة أو مراجعي الحسابات

جودي (العمليات الأمنية)

• مراقبة التنبيهات الأمنية والاستجابة لها على مدار الساعة طوال الأسبوع
• التصعيد إلى مالك حمل العمل السحابي أو محلل أمن تكنولوجيا المعلومات

سام (محلل أمني)

• التحقيق في الهجمات
• العمل مع مالك حمل العمل السحابي لتطبيق التصليحات

يستخدمDefender for Cloud عنصر تحكم في الوصول استنادًا إلى الدور فيAzure (Azure RBAC)، والذي يوفر أدوارًا مدمجة يمكن تعيينها للمستخدمين، والمجموعات، والخدمات في Azure. عندما يفتح مستخدم Defender for Cloud، لا يرى سوى المعلومات المتعلقة بالموارد التي لديه حق الوصول إليها. مما يعني أن المستخدم قد تم تعيينه دور المالك أو المساهم أو القارئ للاشتراك أو مجموعة الموارد التي ينتمي إليها المورد. بالإضافة إلى هذه الأدوار، هناك نوعان محددان من أدوار Defender for Cloud:

• قارئ الأمان: يمكن للمستخدم الذي ينتمي إلى هذا الدور عرض تكوينات Defender for Cloud فقط، والتي تتضمن التوصيات، والتنبيهات، والسياسة، والصحة، ولكنه لن يتمكن من إجراء تغييرات.
• مسؤول الأمان: مثل قارئ الأمان ولكن يمكنه أيضاً تحديث سياسة الأمان ورفض التوصيات والتنبيهات.

لا يمكن لأدوار Defender for Cloud الموضحة أعلاه الوصول إلى مناطق الخدمة الأخرى في Azure مثل التخزين أو Web & Mobile أو إنترنت الأشياء.

باستخدام الشخصيات الموضحة في الرسم التخطيطي السابق، ستكون هناك حاجة إلى Azure RBAC التالي:

جيف (مالك حمل العمل)

• مالك/مساهم مجموعة الموارد

إلين (كبير موظفي أمن المعلومات / كبير موظفي المعلومات)

• مالك الاشتراك/المساهم أو مسؤول الأمان

ديفيد (أمن تكنولوجيا المعلومات)

• مالك الاشتراك/المساهم أو مسؤول الأمان

جودي (العمليات الأمنية)

• قارئ الاشتراك أو قارئ الأمان لعرض التنبيهات
• مطلوب مالك الاشتراك / المساهم أو مسؤول الأمان لرفض التنبيهات

سام (محلل أمني)

• قارئ الاشتراك لعرض التنبيهات
• مطلوب من مالك الاشتراك/المساهم رفض التنبيهات
• قد يكون الوصول إلى مساحة العمل مطلوباً

بعض المعلومات الهامة الأخرى التي يجب مراعاتها:

• يمكن لمالكي الاشتراكات/المساهمين ومسؤولين الأمان فقط تحرير سياسة أمان.
• يمكن لمالكي ومساهمي الاشتراك ومجموعة الموارد فقط تطبيق توصيات الأمان لمورد.

عند التخطيط للتحكم في الوصول باستخدام Azure RBAC for Defender for Cloud، تأكد من معرفة الأشخاص الموجودين في مؤسستك الذين سوف يستخدمون Defender for Cloud. أيضاً، ما هي أنواع المهام التي سيتم تنفيذها ثم تكوين RBAC Azure وفقا لذلك.

ملاحظة

نوصي بتعيين أقل دور مسموح به للمستخدمين لإكمال مهامهم. على سبيل المثال، يجب تعيين دور القارئ للمستخدمين الذين يحتاجون فقط إلى عرض معلومات حول حالة الأمان للموارد ولكنهم لا يقومون بإجراء، مثل تطبيق التوصيات أو سياسات التحرير.

السياسات الأمنية والتوصيات

تحدد سياسة الأمان التكوين المطلوب لأحمال العمل لديك وتساعد على ضمان الامتثال لمتطلبات الشركة أو متطلبات الأمان التنظيمية. في Defender for Cloud، يمكنك تحديد سياسات اشتراكات Azure، والتي يمكن تصميمها حسب نوع حمل العمل أو حساسية البيانات.

تحتوي سياسات Defender for Cloud على المكونات التالية:

• جمع البيانات: توفير وكيل وإعدادات جمع البيانات.
• سياسة الأمان: سياسة Azure التي تحدد عناصر التحكم التي يتم مراقبتها والتوصية بها من قبل Defender for Cloud، أو استخدام سياسة Azure لإنشاء تعريفات جديدة، وتحديد سياسات إضافية، وتعيين السياسات عبر مجموعات الإدارة.
• إعلامات البريد الإلكتروني: جهات الاتصال الأمنية وإعدادات الإعلام.
• طبقة التسعير: مع ميزات الأمان المحسنة ل Microsoft Defender for Cloud أو بدونها، والتي تحدد ميزات Defender for Cloud المتوفرة للموارد في النطاق (يمكن تحديدها للاشتراكات ومساحات العمل باستخدام واجهة برمجة التطبيقات).

ملاحظة

سيؤدي تحديد جهة اتصال أمان إلى ضمان وصول Azure إلى الشخص المناسب في مؤسستك في حالة حدوث حادث أمني. اقرأ توفير تفاصيل جهة اتصال الأمان في enhanced security features للحصول على مزيد من المعلومات حول كيفية تمكين هذه التوصية.

تعريفات السياسات الأمنية وتوصياتها

ينشئ Defender for Cloud تلقائيًّا سياسة أمان افتراضية لكل اشتراك من اشتراكات Azure الخاصة بك. يمكنك تحرير السياسة في Defender for Cloud أو استخدام سياسة Azure لإنشاء تعريفات جديدة، وتحديد سياسات إضافية، وتعيين سياسات عبر مجموعات الإدارة (التي يمكن أن تمثل المؤسسة بأكملها، ووحدة الأعمال فيها وما إلى ذلك)، ومراقبة التوافق مع هذه السياسات عبر هذه النطاقات.

قبل تكوين نهج الأمان، راجع كل توصية من توصيات الأمان،وحدد ما إذا كانت هذه النهج مناسبة لمختلف الاشتراكات ومجموعات الموارد. ومن المهم أيضاً فهم الإجراءات التي ينبغي اتخاذها لمعالجة التوصيات الأمن ومن سيكون مسؤولاً في منظمتكم عن رصد التوصيات الجديدة واتخاذ الخطوات اللازمة.

جمع البيانات وتخزينها

يستخدم Defender for Cloud وكيل تحليلات السجل – وهو نفس العامل المستخدم من قبل خدمة Azure Monitor – لجمع بيانات الأمان من الأجهزة الظاهرية الخاصة بك. سيتم تخزين البيانات التي تم جمعها من هذا الوكيل في مساحة عمل (مساحات عمل) Log Analytics.

العامل

عند تمكين التوفير التلقائي في نهج الأمان، يتم تثبيت عامل تحليلات السجل (Windows أو Linux)على جميع أجهزة VMs Azure المدعومة وأي عمليات جديدة يتم إنشاؤها. إذا كان الـ VM أو الكمبيوتر مثبتًا عليه بالفعل عامل تحليلات السجل، فسيستفيد Defender for Cloud من العامل المثبت الحالي. تم تصميم عملية العامل لتكون غير الغازية ويكون لها تأثير ضئيل جدا على أداء VM.

يتطلب عامل "تحليلات السجل" Windows استخدام منفذ TCP 443. راجع مقالة استكشاف الأخطاء وإصلاحها للحصول على تفاصيل إضافية.

إذا كنت تريد في مرحلة ما تعطيل "تجميع البيانات"، يمكنك إيقاف التشغيل في سياسة الأمان. ومع ذلك، لأنه قد يتم استخدام عامل "تحليلات السجل" من قبل إدارة Azure أخرى وخدمات المراقبة، لن يتم إلغاء تثبيت العامل تلقائيًّا عند إيقاف تشغيل جمع البيانات في Defender for Cloud. يمكنك إلغاء تثبيت العامل يدوياً إذا لزم الأمر.

ملاحظة

للعثور على قائمة بـ VMs المعتمدة، اقرأ الأسئلة المتداولة حول Defender for Cloud.

مساحة العمل

مساحة العمل هي مورد Azure الذي يعمل كحاوية للبيانات. قد تستخدم أنت أو أعضاء آخرون في منظمتك مساحات عمل متعددة لإدارة مجموعات مختلفة من البيانات التي يتم تجميعها من جميع أو أجزاء البنية الأساسية الخاصة بتكنولوجيا المعلومات.

سيتم تخزين البيانات التي تم جمعها من وكيل تحليلات السجل (نيابة عن Defender for Cloud) إما في مساحة عمل (مساحات عمل) حالية لتحليل السجل مرتبطة باشتراك Azure الخاص بك أو مساحة عمل جديدة (مساحات عمل جديدة)، مع الأخذ في الاعتبار Geo of the VM.

في مدخل Azure، يمكنك الاستعراض لمشاهدة قائمة بمساحات عمل تحليلات السجل، بما في ذلك أي مساحات عمل تم إنشاؤها بواسطة Defender for Cloud. سيتم إنشاء مجموعة موارد ذات صلة لمساحات عمل جديدة. سيتبع كلاهما اصطلاح التسمية هذا:

• مساحة العمل: مساحة العمل الافتراضية- [معرّف الاشتراك] - [الموقع الجغرافي]
• مجموعة الموارد: DefaultResourceGroup- [الموقع الجغرافي]

بالنسبة لمساحات العمل التي أنشأها بواسطة Defender for Cloud، يتم الاحتفاظ بالبيانات لمدة 30 يومًا. بالنسبة لمساحات العمل الحالية، يستند الاحتفاظ إلى مستوى تسعير مساحة العمل. إذا أردت، يمكنك أيضاً استخدام مساحة عمل موجودة بالفعل.

إذا كان وكيلك يقدم تقارير إلى مساحة عمل أخرى غير مساحة العمل الافتراضية ، فيجب أيضا تمكين أي خطط Microsoft Defender لتوفير ميزات أمان محسنة قمت بتمكينها في الاشتراك على مساحة العمل.

ملاحظة

تتعهد Microsoft بالتزامات قوية لحماية خصوصية هذه البيانات وأمانها. تلتزم Microsoft بتعليمات أمان وامتثال صارمة - بدءاً من التكويد إلى تشغيل الخدمات. لمزيد من المعلومات حول معالجة البيانات والخصوصية، اقرأ أمان بيانات Defender for Cloud.

موارد غير موجودة في Azure

يمكن لـDefender for Cloud مراقبة وضع الأمان لأجهزة الكمبيوتر التي لا تعمل بنظام Azure ولكنك تحتاج أولًا إلى إعداد هذه الموارد. اقرأ أجهزة الكمبيوتر الغير موجودة في Azure للحصول على مزيد من المعلومات حول كيفية تضمين موارد غير موجودة بـAzure.

المراقبة الأمنية المستمرة

بعد التكوين الأولي وتطبيق توصيات Defender for Cloud، فإن الخطوة التالية هي النظر في Defender for Cloud للعمليات التشغيلية.

يوفر Defender for Cloud عرضًا موحدًا للأمان عبر جميع موارد Azure وأي موارد غير موجودة في Azure قمت بتوصيلها. يوضح المثال أدناه بيئة بها العديد من المشكلات التي يجب معالجتها:

ملاحظة

لن يتدخل Defender for Cloud في إجراءات التشغيل العادية الخاصة بك، بل سيراقب عمليات النشر بشكل سلبي ويقدم توصيات استنادًا إلى سياسات الأمان التي مكنتها.

عند اختيار استخدام Defender for Cloud لأول مرة لبيئة Azure الحالية الخاصة بك، تأكد من مراجعة جميع التوصيات، والتي يمكن إجراؤها في صفحة التوصيات.

خطط لزيارة خيار معلومات التهديد كجزء من عملياتك الأمنية اليومية. هناك يمكنك تحديد التهديدات الأمنية ضد البيئة، مثل تحديد ما إذا كان جهاز كمبيوتر معين هو جزء من شبكة الروبوتات.

مراقبة الموارد الجديدة أو المتغيرة

معظم بيئات Azure ديناميكية، حيث يتم إنشاء الموارد أو نسجها لأعلى أو لأسفل وإعادة تكوينها وتغييرها بانتظام. يساعد Defender for Cloud في ضمان ظهورك في حالة أمان هذه الموارد الجديدة.

عند إضافة موارد جديدة (VMs، SQL DBs) إلى بيئة Azure الخاصة بك، سيكتشف Defender for Cloud هذه الموارد تلقائيًّا ويبدأ في مراقبة أمانها. وهذا يشمل أيضاً أدوار PaaS على شبكة الإنترنت وأدوار العاملين. إذا تم تمكين "تجميع البيانات" في "سياسة الأمان"،سيتم تمكين قدرات مراقبة إضافية تلقائياً للأجهزة الظاهرية.

يجب أيضاً مراقبة الموارد الموجودة بانتظام للتغييرات في التكوين التي قد تؤدي إلى مخاطر الأمان والانجراف عن خطوط الأساس الموصى بها وتنبيهات الأمان.

تشديد الوصول والتطبيقات

كجزء من عمليات الأمان الخاصة بك، يجب أيضاً اعتماد إجراءات وقائية لتقييد الوصول إلى VMs والتحكم في التطبيقات التي يتم تشغيلها على VMs. من خلال تأمين حركة المرور الواردة إلى نظام رصد السفن Azure الخاص بك، كنت تقليل التعرض للهجمات، وفي الوقت نفسه توفير سهولة الوصول إلى الاتصال بأجهزة VMs عند الحاجة. استخدم ميزة الوصول إلى VM في الوقت المناسب لتصعيب الوصول إلى VMs.

يمكنك استخدام ضوابط التطبيق التكيفية لتحديد التطبيقات التي يمكن تشغيلها على VMs الموجود في Azure. من بين الفوائد الأخرى، هذا يساعد على تصعيب VMs ضد البرامج الضارة. باستخدام التعلم الآلي، يقوم Defender for Cloud بتحليل العمليات التي تعمل في الجهاز الظاهري لمساعدتك في إنشاء قواعد قائمة السماح.

الاستجابة للحدث

Defender for Cloud يكشف وينبهك إلى التهديدات عند حدوثها. ينبغي للمنظمات رصد التنبيهات الأمنية الجديدة واتخاذ الإجراءات اللازمة لإجراء مزيد من التحقيق في الهجوم أو علاجه. لمزيد من المعلومات حول كيفية عمل Defender for Cloud لحماية التهديدات، اقرأ كيف يكتشف Defender for Cloud التهديدات ويستجيب لها.

على الرغم من أن هذه المقالة لا تهدف إلى مساعدتك في إنشاء خطة الاستجابة للحوادث الخاصة بك، إلا أننا سنستخدم استجابة أمان Microsoft Azure في دورة حياة السحابة كأساس لمراحل الاستجابة للحوادث. تظهر المراحل في الرسم التخطيطي التالي:

ملاحظة

يمكنك استخدام المعهد الوطني للمعايير والتكنولوجيا (NIST) دليل التعامل مع الحوادث أمن الكمبيوتر كمرجع لمساعدتك في بناء مرجعك.

يمكنك استخدام تنبيهات Defender for Cloud خلال المراحل التالية:

• الكشف: تحديد نشاط مشبوه في مورد واحد أو أكثر.
• التقييم: إجراء التقييم الأولي للحصول على مزيد من المعلومات حول النشاط المشبوه.
• التشخيص: استخدام خطوات الإصلاح لإجراء الإجراء التقني لمعالجة المشكلة.

يوفر كل تنبيه أمني معلومات يمكن استخدامها لفهم طبيعة الهجوم بشكل أفضل واقتراح التخفيفات المحتملة. توفر بعض التنبيهات أيضاً ارتباطات إلى مزيد من المعلومات أو مصادر أخرى للمعلومات داخل Azure. يمكنك استخدام المعلومات المقدمة لمزيد من البحث وبدء التخفيف ، ويمكنك أيضاً البحث في البيانات المتعلقة بالأمان المخزنة في مساحة العمل الخاصة بك.

يوضح المثال التالي حدوث نشاط RDP مريب:

تعرض هذه الصفحة التفاصيل المتعلقة بالوقت الذي وقع فيه الهجوم واسم المضيف المصدر وVM المستهدف وتعطي أيضاً خطوات التوصية. في بعض الظروف، قد تكون المعلومات المصدرية للهجوم فارغة. اقرأ معلومات المصدر المفقودة في تنبيهات Defender for Cloud لمزيد من المعلومات حول هذا النوع من السلوك.

بمجرد تحديد النظام الذي تم اختراقه، يمكنك تشغيل أتمتة سير العمل التي تم إنشاؤها مسبقاً. هذه هي مجموعة من الإجراءات التي يمكن تنفيذها من Defender for Cloud بمجرد تشغيلها بواسطة تنبيه.

في مجموعة إدارة عمليات Microsoft ل Defender for Cloud لفيديو الاستجابة للحوادث، يمكنك مشاهدة بعض العروض التوضيحية التي توضح كيفية استخدام Defender for Cloud & في كل مرحلة من هذه المراحل.

ملاحظة

اقرأ إدارة التنبيهات الأمنية والاستجابة لها في Defender for Cloud لمزيد من المعلومات حول كيفية استخدام قدرات Defender for Cloud لمساعدتك أثناء عملية الاستجابة للحوادث.

الخطوات التالية

في هذه الوثيقة، تعلمت كيفية التخطيط لاعتماد Defender for Cloud. لمعرفة المزيد حول Defender for Cloud، راجع ما يلي:

• إدارة التنبيهات الأمنية والاستجابة لها في Defender for Cloud
• مراقبة حلول الشركاء باستخدام Defender for Cloud - تعرف على كيفية مراقبة الحالة الصحية لحلول شركائك.
• الأسئلة المتداولة حول Defender for Cloud - ابحث عن الأسئلة المتداولة حول استخدام الخدمة.
• مدونة أمان Azure - ابحث عن منشورات مدونة حول أمان والتزام Azure.