دليل Microsoft Defender لاستكشاف الأخطاء وإصلاحها في السحابة

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

هذا الدليل مخصص لمحترفي تكنولوجيا المعلومات (IT) ومحللي أمن المعلومات ومسؤولي السحابة الذين تحتاج مؤسساتهم إلى استكشاف أخطاء Defender للمشكلات المتعلقة بالسحابة وإصلاحها.

يستخدم Defender for Cloud وكيل Log Analytics لجمع البيانات وتخزينها. راجع Microsoft Defender لترحيل النظام الأساسي السحابي لمعرفة المزيد. تمثل المعلومات الواردة في هذه المقالة وظائف Defender for Cloud بعد الانتقال إلى وكيل Log Analytics.

تلميح

توفر منطقة مخصصة من صفحات Defender for Cloud في بوابة Azure مجموعة مجمعة ومتنامية باستمرار من مواد المساعدة الذاتية لحل التحديات الشائعة مع Defender for Cloud.

عندما تواجه مشكلة، أو تسعى للحصول على المشورة من فريق الدعم لدينا، فإن تشخيص المشكلات وحلها هو المكان المناسب للبحث عن حلول:

دليل استكشاف الأخطاء وإصلاحها

يشرح هذا الدليل كيفية استكشاف أخطاء Defender للمشكلات المتعلقة بالسحابة وإصلاحها.

أنواع التنبيهات:

• التحليل السلوكي للآلة الافتراضية (VMBA)
• تحليل الشبكة
• قاعدة بيانات SQL وتحليل تحليلات Azure Synapse
• المعلومات السياقية

بناء على أنواع التنبيهات، يمكن للعملاء جمع المعلومات اللازمة للتحقيق في التنبيه باستخدام الموارد التالية:

• سجلات الأمان في عارض أحداث الجهاز الظاهري (VM) في Windows
• AuditD في لينكس
• سجلات نشاط Azure وتمكين السجلات التشخيصية على مورد الهجوم.

يمكن للعملاء مشاركة التعليقات حول وصف التنبيه ومدى ملاءمته. انتقل إلى التنبيه نفسه، وحدد الزر كان هذا مفيدا ، وحدد السبب، ثم أدخل تعليقا لشرح ما يفسر الملاحظات. نحن نراقب باستمرار قناة التعليقات هذه لتحسين تنبيهاتنا.

سجل التدقيق

تتم معظم عمليات استكشاف الأخطاء وإصلاحها التي تتم في Defender for Cloud من خلال النظر أولا إلى سجلات سجل التدقيق للمكون الفاشل. من خلال سجلات التدقيق ، يمكنك تحديد:

• العمليات التي تمت
• روبوت Who بدأت العملية
• عند حدوث العملية
• حالة العملية
• قيم الخصائص الأخرى التي قد تساعدك في البحث عن العملية

يحتوي سجل التدقيق على جميع عمليات الكتابة (PUT، POST، DELETE) التي يتم إجراؤها على مواردك، ومع ذلك لا يتضمن عمليات القراءة (GET).

عامل Log Analytics

يستخدم Defender for Cloud وكيل Log Analytics - وهو نفس العامل الذي تستخدمه خدمة Azure Monitor - لجمع بيانات الأمان من أجهزة Azure الظاهرية. بعد تمكين جمع البيانات وتثبيت العامل بشكل صحيح في الجهاز المستهدف ، يجب أن تكون العملية أدناه قيد التنفيذ:

• HealthService.exe

إذا فتحت وحدة تحكم إدارة الخدمات (services.msc)، فسترى أيضا خدمة وكيل Log Analytics قيد التشغيل كما هو موضح أدناه:

لمعرفة إصدار الوكيل الذي لديك، افتح " إدارة المهام"، في علامة التبويب " العمليات "، حدد موقع خدمة وكيل "تحليلات السجل"، وانقر بزر الماوس الأيمن فوقه وانقر فوق خصائص. في علامة التبويب تفاصيل ، انظر إلى إصدار الملف كما هو موضح أدناه:

سيناريوهات تثبيت وكيل Log Analytics

هناك سيناريوهان للتثبيت يمكنهما تحقيق نتائج مختلفة عند تثبيت عامل Log Analytics على جهاز الكمبيوتر الخاص بك. السيناريوهات المدعومة هي:

• وكيل مثبت تلقائيا بواسطة Defender for Cloud: في هذا السيناريو ، ستتمكن من عرض التنبيهات في كلا الموقعين ، Defender for Cloud و Log search. ستتلقى إعلامات بالبريد الإلكتروني إلى عنوان البريد الإلكتروني الذي تم تكوينه في نهج الأمان للاشتراك الذي ينتمي إليه المورد.

• العامل المثبت يدويا على جهاز ظاهري موجود في Azure: في هذا السيناريو، إذا كنت تستخدم وكلاء تم تنزيلهم وتثبيتهم يدويا قبل فبراير 2017، فيمكنك عرض التنبيهات في مدخل Defender for Cloud فقط إذا قمت بالتصفية على الاشتراك الذي تنتمي إليه مساحة العمل. إذا قمت بالتصفية على الاشتراك الذي ينتمي إليه المورد، فلن ترى أي تنبيهات. ستتلقى إعلامات بالبريد الإلكتروني إلى عنوان البريد الإلكتروني الذي تم تكوينه في نهج الأمان للاشتراك الذي تنتمي إليه مساحة العمل.

ملاحظة

لتجنب السلوك الموضح في السيناريو الثاني، تأكد من تنزيل أحدث إصدار من الوكيل.

استكشاف أخطاء متطلبات شبكة وكيل المراقبة وإصلاحها

لكي يتمكن الوكلاء من الاتصال ب Defender for Cloud والتسجيل معه، يجب أن يكون لديهم حق الوصول إلى موارد الشبكة، بما في ذلك أرقام المنافذ وعناوين URL للنطاقات.

• بالنسبة للخوادم الوكيلة، تحتاج إلى التأكد من تكوين موارد الخادم الوكيل المناسبة في إعدادات الوكيل. اقرأ هذه المقالة للحصول على مزيد من المعلومات حول كيفية تغيير إعدادات الوكيل.
• بالنسبة لجدران الحماية التي تقيد الوصول إلى الإنترنت، تحتاج إلى تكوين جدار الحماية للسماح بالوصول إلى Log Analytics. لا يلزم اتخاذ أي إجراء في إعدادات الوكيل.

يوضح الجدول التالي الموارد اللازمة للاتصال.

مورد العامل	منافذ	مراقب Bypass HTTPS
*.ods.opinsights.azure.com	443	نعم
*.oms.opinsights.azure.com	443	نعم
*.blob.core.windows.net	443	نعم
*.azure-automation.net	443	نعم

إذا واجهت مشكلات في الإعداد مع الوكيل، فتأكد من قراءة المقالة كيفية استكشاف مشكلات إعداد مجموعة إدارة العمليات وإصلاحها.

استكشاف أخطاء حماية نقطة النهاية وإصلاحها التي لا تعمل بشكل صحيح

وكيل الضيف هو العملية الأصلية لكل ما يفعله ملحق Microsoft Antimalware . عند فشل عملية وكيل الضيف، قد تفشل أيضا ميزة مكافحة البرامج الضارة ل Microsoft التي يتم تشغيلها كعملية فرعية للوكيل الضيف. في مثل هذه السيناريوهات يوصى بالتحقق من الخيارات التالية:

• إذا كان الجهاز الظاهري المستهدف عبارة عن صورة مخصصة ولم يقم منشئ الجهاز الظاهري بتثبيت وكيل ضيف مطلقا.
• إذا كان الهدف هو جهاز Linux VM بدلا من جهاز VM Windows ، فشل تثبيت الإصدار Windows من ملحق مكافحة البرامج الضارة على جهاز Linux VM. لدى وكيل ضيف Linux متطلبات محددة من حيث إصدار نظام التشغيل والحزم المطلوبة ، وإذا لم يتم استيفاء هذه المتطلبات ، فلن يعمل وكيل VM هناك أيضا.
• إذا تم إنشاء الجهاز الظاهري باستخدام إصدار قديم من وكيل الضيف. إذا كان الأمر كذلك ، فيجب أن تدرك أن بعض الوكلاء القدامى لم يتمكنوا من التحديث التلقائي إلى الإصدار الأحدث وقد يؤدي ذلك إلى هذه المشكلة. استخدم دائما أحدث إصدار من وكيل الضيف في حالة إنشاء صورك الخاصة.
• قد تقوم بعض برامج الإدارة التابعة لجهات خارجية بتعطيل الوكيل الضيف أو حظر الوصول إلى مواقع ملفات معينة. إذا كان لديك جهة خارجية مثبتة على الجهاز الظاهري، فتأكد من أن الوكيل مدرج في قائمة الاستبعاد.
• قد تمنع بعض إعدادات جدار الحماية أو مجموعة أمان الشبكة (NSG) حركة مرور الشبكة من وإلى وكيل الضيف.
• قد تمنع بعض قوائم التحكم في الوصول (ACL) الوصول إلى القرص.
• يمكن أن يؤدي نقص مساحة القرص إلى منع وكيل الضيف من العمل بشكل صحيح.

بشكل افتراضي، يتم تعطيل واجهة مستخدم مكافحة البرامج الضارة ل Microsoft، اقرأ تمكين واجهة مستخدم مكافحة البرامج الضارة من Microsoft على Azure Resource Manager نشر الأجهزة الظاهرية للحصول على مزيد من المعلومات حول كيفية تمكينها إذا كنت بحاجة إلى ذلك.

استكشاف مشكلات تحميل لوحة المعلومات وإصلاحها

إذا واجهت مشكلات في تحميل لوحة معلومات حماية عبء العمل، فتأكد من أن المستخدم الذي يسجل الاشتراك في Defender for Cloud (أي أول مستخدم يفتح Defender for Cloud مع الاشتراك) والمستخدم الذي يرغب في تشغيل جمع البيانات يجب أن يكون المالك أو المساهم في الاشتراك. من تلك اللحظة فصاعدا ، يمكن للمستخدمين الذين لديهم Reader على الاشتراك رؤية لوحة المعلومات / التنبيهات / التوصية / السياسة.

الاتصال بدعم Microsoft

يمكن تحديد بعض المشكلات باستخدام الإرشادات الواردة في هذه المقالة، والبعض الآخر يمكنك أيضا العثور عليه موثقا في صفحة Microsoft QA& العامة في Defender for Cloud. ومع ذلك، إذا كنت بحاجة إلى مزيد من استكشاف الأخطاء وإصلاحها، فيمكنك فتح طلب دعم جديد باستخدام مدخل Azure كما هو موضح أدناه:

راجع أيضًا

في هذه الصفحة، تعلمت كيفية تكوين نهج الأمان في Microsoft Defender for Cloud. لمعرفة المزيد حول Microsoft Defender for Cloud، راجع ما يلي:

• إدارة تنبيهات الأمان والاستجابة لها في Microsoft Defender for Cloud — تعرف على كيفية إدارة تنبيهات الأمان والاستجابة لها
• التحقق من صحة التنبيهات في Microsoft Defender للسحابة
• الأسئلة المتداولة حول Microsoft Defender for Cloud — ابحث عن الأسئلة المتداولة حول استخدام الخدمة