Azure threat protection

  • مقالة
  • قراءة خلال 21 دقائق

يوفر Azure وظائف مضمنة للحماية من التهديدات من خلال خدمات مثل Azure Active Directory (Azure AD) وسجلات Azure Monitor وMicrosoft Defender for Cloud. توفر هذه المجموعة من خدمات الأمان والقدرات طريقة بسيطة وسريعة لفهم ما يحدث ضمن عمليات نشر Azure الخاصة بك.

يوفر Azure مجموعة كبيرة من الخيارات لتكوين الأمان وتخصيصه لتلبية متطلبات عمليات نشر تطبيقك. تتناول هذه المقالة كيفية تلبية هذه المتطلبات.

Azure Active Directory Identity Protection

Azure AD Identity Protection هي ميزة إصدار Azure Active Directory Premium P2 توفر نظرة عامة على عمليات الكشف عن المخاطر والثغرات الأمنية المحتملة التي يمكن أن تؤثر على هويات مؤسستك. تستخدم حماية الهوية إمكانات الكشف عن الشذوذ في Azure AD الموجودة المتوفرة من خلال تقارير النشاط الشاذ Azure AD، وتقدم أنواعا جديدة للكشف عن المخاطر يمكنها اكتشاف الحالات الشاذة في الوقت الفعلي.

Azure AD Identity Protection diagram

تستخدم حماية الهوية خوارزميات التعلم الآلي التكيفية والاستدلالات للكشف عن الحالات الشاذة واكتشافات المخاطر التي قد تشير إلى أن الهوية قد تم اختراقها. باستخدام هذه البيانات، تقوم حماية الهوية بإنشاء تقارير وتنبيهات حتى تتمكن من التحقيق في عمليات الكشف عن المخاطر هذه واتخاذ إجراءات المعالجة أو التخفيف المناسبة.

تعد حماية هوية Azure Active Directory أكثر من مجرد أداة للمراقبة وإعداد التقارير. استنادا إلى عمليات الكشف عن المخاطر، تقوم حماية الهوية بحساب مستوى مخاطر المستخدم لكل مستخدم، بحيث يمكنك تكوين النهج المستندة إلى المخاطر لحماية هويات مؤسستك تلقائيا.

يمكن لهذه السياسات القائمة على المخاطر، بالإضافة إلى عناصر تحكم الوصول المشروط الأخرى التي يوفرها Azure Active Directory وEMS، حظر أو تقديم إجراءات معالجة تكيفية تلقائيا تتضمن إعادة تعيين كلمة المرور وفرض المصادقة متعددة العوامل.

قدرات حماية الهوية

تعد حماية هوية Azure Active Directory أكثر من مجرد أداة للمراقبة وإعداد التقارير. لحماية هويات مؤسستك، يمكنك تكوين النهج المستندة إلى المخاطر التي تستجيب تلقائيا للمشكلات المكتشفة عند الوصول إلى مستوى مخاطر محدد. يمكن لهذه السياسات، بالإضافة إلى عناصر التحكم الأخرى في الوصول المشروط التي يوفرها Azure Active Directory وEMS، إما حظر إجراءات المعالجة التكيفية أو بدئها تلقائيا بما في ذلك إعادة تعيين كلمة المرور وفرض المصادقة متعددة العوامل.

تتضمن أمثلة بعض الطرق التي يمكن أن تساعد بها Azure Identity Protection في تأمين حساباتك وهوياتك ما يلي:

الكشف عن المخاطر والحسابات الخطرة

  • اكتشف ستة أنواع للكشف عن المخاطر باستخدام التعلم الآلي والقواعد الإرشادية.
  • حساب مستويات مخاطر المستخدم.
  • تقديم توصيات مخصصة لتحسين الوضع الأمني العام من خلال تسليط الضوء على نقاط الضعف.

التحقيق في الكشف عن المخاطر

  • إرسال إشعارات للكشف عن المخاطر.
  • التحقيق في الكشف عن المخاطر باستخدام المعلومات ذات الصلة والسياقية.
  • توفير مهام سير العمل الأساسية لتتبع التحقيقات.
  • توفير سهولة الوصول إلى إجراءات المعالجة مثل إعادة تعيين كلمة المرور.

سياسات الوصول المشروطة القائمة على المخاطر

  • يمكنك تخفيف عمليات تسجيل الدخول المحفوفة بالمخاطر عن طريق حظر عمليات تسجيل الدخول أو طلب تحديات مصادقة متعددة العوامل.
  • حظر حسابات المستخدمين المحفوفة بالمخاطر أو تأمينها.
  • مطالبة المستخدمين بالتسجيل للمصادقة متعددة العوامل.

⁧⁩إدارة الهويات المتميزة في Azure AD⁧⁩

باستخدام Azure Active Directory Privileged Identity Management (PIM)، يمكنك إدارة الوصول داخل مؤسستك والتحكم فيه ومراقبته. تتضمن هذه الميزة الوصول إلى الموارد في Azure AD خدمات الإنترنت Microsoft الأخرى، مثل Microsoft 365 أو Microsoft Intune.

Azure AD Privileged Identity Management diagram

PIM يساعدك على:

  • احصل على تنبيهات وتقارير حول مسؤولي Azure AD والوصول الإداري في الوقت المناسب (JIT) إلى Microsoft خدمات الإنترنت، مثل Microsoft 365 وIntune.

  • احصل على تقارير حول سجل وصول المسؤول والتغييرات في تعيينات المسؤول.

  • احصل على تنبيهات حول الوصول إلى دور متميز.

سجلات Azure Monitor

سجلات Azure Monitor هي حل لإدارة تكنولوجيا المعلومات يستند إلى مجموعة النظراء من Microsoft يساعدك على إدارة وحماية البنية الأساسية المحلية والسحابية. نظرا لأنه يتم تنفيذ سجلات Azure Monitor كخدمة مستندة إلى مجموعة النظراء، يمكنك تشغيلها وتشغيلها بسرعة مع الحد الأدنى من الاستثمار في خدمات البنية الأساسية. يتم تسليم ميزات الأمان الجديدة تلقائيا، مما يوفر تكاليف الصيانة والترقية المستمرة.

بالإضافة إلى توفير خدمات قيمة من تلقاء نفسها، يمكن أن تتكامل سجلات Azure Monitor مع مكونات System Center، مثل System Center Operations Manager، لتوسيع استثماراتك الحالية في إدارة الأمان إلى السحابة. يمكن أن تعمل سجلات System Center وAzure Monitor معا لتوفير تجربة إدارة مختلطة كاملة.

وضع شامل للأمان والامتثال

يوفر Microsoft Defender for Cloud عرضا شاملا لموقف أمان تكنولوجيا المعلومات في مؤسستك، مع استعلامات بحث مضمنة للمشكلات البارزة التي تتطلب انتباهك. يوفر نظرة ثاقبة عالية المستوى على حالة الأمان لأجهزة الكمبيوتر الخاصة بك. يمكنك أيضا عرض جميع الأحداث من آخر 24 ساعة أو 7 أيام أو أي إطار زمني مخصص آخر.

تساعدك سجلات Azure Monitor على فهم الوضع الأمني العام لأي بيئة بسرعة وسهولة، وكل ذلك في سياق عمليات تكنولوجيا المعلومات، بما في ذلك تقييم تحديث البرامج وتقييم مكافحة البرامج الضارة وخطوط أساس التكوين. يمكن الوصول بسهولة إلى بيانات سجل الأمان لتبسيط عمليات تدقيق الأمان والامتثال.

البصيرة والتحليلات

يوجد المستودع في وسط سجلات Azure Monitor الذي يستضيفه Azure .

Insight and analytics diagram

يمكنك جمع البيانات في المستودع من مصادر متصلة عن طريق تكوين مصادر البيانات وإضافة حلول إلى اشتراكك.

تقوم كل من مصادر البيانات والحلول بإنشاء أنواع سجلات منفصلة مع مجموعة الخصائص الخاصة بها، ولكن لا يزال بإمكانك تحليلها معا في استعلامات إلى المستودع. يمكنك استخدام نفس الأدوات والأساليب للعمل مع مجموعة متنوعة من البيانات التي يتم جمعها بواسطة مصادر مختلفة.

تتم معظم تفاعلاتك مع سجلات Azure Monitor من خلال مدخل Azure، الذي يعمل في أي مستعرض ويوفر لك إمكانية الوصول إلى إعدادات التكوين وأدوات متعددة لتحليل البيانات التي تم جمعها والعمل عليها. من البوابة الإلكترونية، يمكنك استخدام:

  • سجل عمليات البحث حيث تقوم بإنشاء استعلامات لتحليل البيانات التي تم جمعها.
  • لوحات المعلومات، والتي يمكنك تخصيصها باستخدام طرق عرض رسومية لعمليات البحث الأكثر قيمة.
  • الحلول، التي توفر وظائف إضافية وأدوات تحليل.

تضيف الحلول وظائف إلى سجلات Azure Monitor. وهي تعمل في المقام الأول في السحابة وتوفر تحليلا للبيانات التي يتم جمعها في مستودع تحليلات السجل. قد تحدد الحلول أيضا أنواع السجلات الجديدة التي سيتم جمعها والتي يمكن تحليلها باستخدام عمليات البحث في السجلات أو باستخدام واجهة مستخدم إضافية يوفرها الحل في لوحة معلومات تحليلات السجل.

يعد Defender for Cloud مثالا على هذه الأنواع من الحلول.

التشغيل الآلي والتحكم: تنبيه بشأن انحرافات تكوين الأمان

تعمل أتمتة Azure على أتمتة العمليات الإدارية باستخدام دفاتر التشغيل التي تستند إلى PowerShell ويتم تشغيلها في السحابة. يمكن أيضا تنفيذ Runbooks على خادم في مركز البيانات المحلي لإدارة الموارد المحلية. توفر أتمتة Azure إدارة التكوين باستخدام تكوين الحالة المطلوبة PowerShell (DSC).

Azure Automation diagram

يمكنك إنشاء موارد DSC المستضافة في Azure وإدارتها وتطبيقها على الأنظمة السحابية والمحلية. ومن خلال القيام بذلك، يمكنك تحديد تكوينها وفرضه تلقائيا أو الحصول على تقارير عن الانجراف للمساعدة في ضمان بقاء تكوينات الأمان ضمن السياسة.

Microsoft Defender للسحابة

يساعد Microsoft Defender for Cloud على حماية بيئة السحابة المختلطة. من خلال إجراء تقييمات أمنية مستمرة لمواردك المتصلة ، يمكنها تقديم توصيات أمان مفصلة للثغرات الأمنية المكتشفة.

تستند توصيات Defender for Cloud إلى معيار أمان Azure - وهو مجموعة من الإرشادات التي أعدتها Microsoft والخاصة ب Azure للحصول على أفضل ممارسات الأمان والتوافق استنادا إلى أطر عمل التوافق الشائعة. يعتمد هذا المعيار الذي يحظى باحترام واسع النطاق على الضوابط الصادرة عن مركز أمن الإنترنت (CIS ) والمعهد الوطني للمعايير والتكنولوجيا (NIST) مع التركيز على الأمن المتمحور حول السحابة.

يوفر تمكين ميزات الأمان المحسنة في Defender for Cloud حماية متقدمة وذكية لموارد Azure وأعباء العمل المختلطة ومتعددة السحابة. تعرف على المزيد في Microsoft Defender لميزات الأمان المحسنة في Cloud.

توفر لوحة معلومات حماية أحمال العمل في Defender for Cloud الرؤية والتحكم في ميزات حماية عبء العمل السحابية المتكاملة التي توفرها مجموعة من خطط Microsoft Defender :

An example of Defender for Cloud's workload protections dashboard.

تلميح

تعرف على المزيد حول الأقسام المرقمة في لوحة معلومات حماية عبء العمل.

باحثو الأمن في Microsoft على اطلاع دائم بالتهديدات. لديهم إمكانية الوصول إلى مجموعة واسعة من القياس عن بعد المكتسبة من وجود Microsoft العالمي في السحابة والمحلية. تمكن هذه المجموعة الواسعة والمتنوعة من مجموعات البيانات Microsoft من اكتشاف أنماط واتجاهات جديدة للهجمات عبر منتجاتها المحلية للمستهلكين والمؤسسات، فضلا عن خدمات الإنترنت.

وبالتالي ، يمكن ل Defender for Cloud تحديث خوارزميات الكشف الخاصة به بسرعة حيث يطلق المهاجمون عمليات استغلال جديدة ومتطورة بشكل متزايد. يساعدك هذا النهج على مواكبة بيئة التهديد سريع الحركة.

Microsoft Defender for Cloud's security alerts list

يقوم Microsoft Defender for Cloud تلقائيا بتجميع معلومات الأمان من مواردك والشبكة وحلول الشركاء المتصلين. وهو يحلل هذه المعلومات، ويربط المعلومات من مصادر متعددة، لتحديد التهديدات.

يتم إعطاء الأولوية لتنبيهات الأمان في Defender for Cloud إلى جانب توصيات حول كيفية معالجة التهديدات.

تستخدم Defender for Cloud تحليلات الأمان المتقدمة، والتي تتجاوز النُهج القائمة على التوقيعات. يتم استخدام الاختراقات في تقنيات البيانات الضخمة والتعلم الآلي لتقييم الأحداث عبر السحابة بأكملها. يمكن للتحليلات المتقدمة اكتشاف التهديدات التي سيكون من المستحيل تحديدها من خلال النهج اليدوية والتنبؤ بتطور الهجمات. يتم تغطية أنواع تحليلات الأمان هذه في الأقسام التالية.

التحليل الذكي للمخاطر

تتمتع Microsoft بإمكانية الوصول إلى كمية هائلة من معلومات التهديدات العالمية.

تتدفق بيانات تتبع الاستخدام عن بعد من مصادر متعددة، مثل Azure وMicrosoft 365 وMicrosoft CRM عبر الإنترنت وMicrosoft Dynamics AX وoutlook.com وMSN.com ووحدة الجرائم الرقمية لـ Microsoft (DCU) ومركز الاستجابة الأمنية لـ Microsoft (MSRC).

Threat intelligence findings

يتلقى الباحثون أيضا معلومات استخباراتية عن التهديدات يتم مشاركتها بين مزودي الخدمات السحابية الرئيسيين ، ويشتركون في خلاصات استخبارات التهديدات من أطراف ثالثة. يمكن ل Microsoft Defender for Cloud استخدام هذه المعلومات لتنبيهك إلى التهديدات من الجهات الفاعلة السيئة المعروفة. من بين الأمثلة:

  • تسخير قوة التعلم الآلي: يتمتع Microsoft Defender for Cloud بإمكانية الوصول إلى كمية هائلة من البيانات حول نشاط الشبكة السحابية، والتي يمكن استخدامها للكشف عن التهديدات التي تستهدف عمليات نشر Azure الخاصة بك.

  • اكتشاف القوة الغاشمة: يستخدم التعلم الآلي لإنشاء نمط تاريخي من محاولات الوصول عن بعد، مما يسمح له باكتشاف هجمات القوة الغاشمة ضد منافذ Secure Shell (SSH) وبروتوكول سطح المكتب البعيد (RDP) SQL.

  • اكتشاف DDoS و botnet الصادر: يتمثل أحد الأهداف الشائعة للهجمات التي تستهدف الموارد السحابية في استخدام قوة الحوسبة لهذه الموارد لتنفيذ هجمات أخرى.

  • خوادم التحليلات السلوكية الجديدة والأجهزة الظاهرية: بعد اختراق خادم أو جهاز ظاهري ، يستخدم المهاجمون مجموعة واسعة من التقنيات لتنفيذ التعليمات البرمجية الضارة على هذا النظام مع تجنب الكشف وضمان المثابرة وتجنب عناصر التحكم في الأمان.

  • Azure SQL Database Threat Detection: اكتشاف التهديدات لقاعدة بيانات Azure SQL، والذي يحدد أنشطة قاعدة البيانات الشاذة التي تشير إلى محاولات غير عادية وربما ضارة للوصول إلى قواعد البيانات أو استغلالها.

التحليلات السلوكية

التحليلات السلوكية هي تقنية تحلل البيانات وتقارنها بمجموعة من الأنماط المعروفة. ومع ذلك، هذه الأنماط ليست توقيعات بسيطة. يتم تحديدها من خلال خوارزميات التعلم الآلي المعقدة التي يتم تطبيقها على مجموعات البيانات الضخمة.

Behavioral analytics findings

يتم تحديد الأنماط أيضا من خلال التحليل الدقيق للسلوكيات الضارة من قبل المحللين الخبراء. يمكن ل Microsoft Defender for Cloud استخدام التحليلات السلوكية لتحديد الموارد المخترقة استنادا إلى تحليل سجلات الجهاز الظاهري وسجلات أجهزة الشبكة الظاهرية وسجلات النسيج ومقالب الأعطال ومصادر أخرى.

بالإضافة إلى ذلك ، ترتبط الأنماط بإشارات أخرى للتحقق من وجود أدلة داعمة على حملة واسعة النطاق. ويساعد هذا الارتباط على تحديد الأحداث التي تتسق مع المؤشرات الثابتة للتسوية.

من بين الأمثلة:

  • تنفيذ العمليات المشبوهة: يستخدم المهاجمون العديد من التقنيات لتنفيذ البرامج الضارة دون اكتشافها. على سبيل المثال، قد يعطي المهاجم البرامج الضارة نفس أسماء ملفات النظام الشرعية، ولكنه يضع هذه الملفات في موقع بديل، أو يستخدم اسما مشابها لاسم ملف حميد، أو يخفي الامتداد الحقيقي للملف. تقوم نماذج Defender for Cloud بمعالجة السلوكيات ومراقبة عمليات تنفيذ العمليات للكشف عن القيم المتطرفة مثل هذه.

  • البرامج الضارة المخفية ومحاولات الاستغلال: يمكن للبرامج الضارة المتطورة التهرب من منتجات مكافحة البرامج الضارة التقليدية إما عن طريق عدم الكتابة أبدا على القرص أو تشفير مكونات البرامج المخزنة على القرص. ومع ذلك ، يمكن اكتشاف هذه البرامج الضارة باستخدام تحليل الذاكرة ، لأن البرامج الضارة يجب أن تترك آثارا في الذاكرة حتى تعمل. عند تعطل البرنامج، يلتقط تفريغ الأعطال جزءا من الذاكرة في وقت حدوث العطل. من خلال تحليل الذاكرة في تفريغ الأعطال، يمكن ل Microsoft Defender for Cloud اكتشاف التقنيات المستخدمة لاستغلال الثغرات الأمنية في البرامج والوصول إلى البيانات السرية والاستمرار خلسة داخل جهاز مخترق دون التأثير على أداء جهازك.

  • الحركة الجانبية والاستطلاع الداخلي: للاستمرار في شبكة مخترقة وتحديد موقع البيانات القيمة وحصادها ، غالبا ما يحاول المهاجمون الانتقال أفقيا من الجهاز المخترق إلى الآخرين داخل نفس الشبكة. يراقب Defender for Cloud أنشطة المعالجة وتسجيل الدخول لاكتشاف محاولات توسيع موطئ قدم المهاجم داخل الشبكة، مثل تنفيذ الأوامر عن بعد، وفحص الشبكة، وتعداد الحساب.

  • البرامج النصية PowerShell الضارة: يمكن استخدام PowerShell من قبل المهاجمين لتنفيذ تعليمات برمجية ضارة على الأجهزة الظاهرية المستهدفة لأغراض مختلفة. يقوم Defender for Cloud بفحص نشاط PowerShell بحثا عن أدلة على وجود نشاط مشبوه.

  • الهجمات الصادرة: غالبا ما يستهدف المهاجمون الموارد السحابية بهدف استخدام هذه الموارد لشن هجمات إضافية. على سبيل المثال، يمكن استخدام الأجهزة الافتراضية المخترقة لشن هجمات بالقوة الغاشمة ضد الأجهزة الافتراضية الأخرى، أو إرسال رسائل غير مرغوب فيها، أو مسح المنافذ المفتوحة والأجهزة الأخرى على الإنترنت. من خلال تطبيق التعلم الآلي على حركة مرور الشبكة، يمكن ل Defender for Cloud اكتشاف متى تتجاوز اتصالات الشبكة الصادرة القاعدة. عند اكتشاف الرسائل غير المرغوب فيها، يربط Defender for Cloud أيضا حركة مرور البريد الإلكتروني غير العادية بمعلومات استخبارية من Microsoft 365 لتحديد ما إذا كان البريد شائنا على الأرجح أو نتيجة لحملة بريد إلكتروني مشروعة.

الكشف عن الحالات الشاذة

يستخدم Microsoft Defender for Cloud أيضا اكتشاف الحالات الشاذة لتحديد التهديدات. على النقيض من التحليلات السلوكية (التي تعتمد على الأنماط المعروفة المستمدة من مجموعات البيانات الكبيرة) ، فإن اكتشاف الحالات الشاذة أكثر "تخصيصا" ويركز على خطوط الأساس الخاصة بعمليات النشر الخاصة بك. يتم تطبيق التعلم الآلي لتحديد النشاط العادي لعمليات النشر الخاصة بك، ثم يتم إنشاء قواعد لتحديد الظروف المتطرفة التي يمكن أن تمثل حدث أمان. وفيما يلي مثال على ذلك:

  • هجمات القوة الغاشمة RDP / SSH الواردة: قد تحتوي عمليات النشر الخاصة بك على أجهزة افتراضية مشغولة بها العديد من عمليات تسجيل الدخول كل يوم والأجهزة الظاهرية الأخرى التي تحتوي على عدد قليل من عمليات تسجيل الدخول ، إن وجدت. يمكن ل Microsoft Defender for Cloud تحديد نشاط تسجيل الدخول الأساسي لهذه الأجهزة الظاهرية واستخدام التعلم الآلي لتحديد أنشطة تسجيل الدخول العادية. إذا كان هناك أي تناقض مع خط الأساس المحدد للخصائص المتعلقة بتسجيل الدخول، فقد يتم إنشاء تنبيه. مرة أخرى ، يحدد التعلم الآلي ما هو مهم.

المراقبة المستمرة للمعلومات الاستخبارية عن التهديدات

يعمل Microsoft Defender for Cloud مع فرق أبحاث الأمان وعلوم البيانات في جميع أنحاء العالم التي تراقب باستمرار التغييرات في مشهد التهديدات. ويشمل ذلك المبادرات التالية:

  • ⁩رصد استخبارات التهديد⁧⁩: تشمل المعلومات الاستخباراتية المتعلقة بالتهديد الآليات والمؤشرات والنتائج والنصائح القابلة للتنفيذ بشأن التهديدات القائمة أو الناشئة. تتم مشاركة هذه المعلومات في مجتمع الأمان، وتقوم Microsoft بمراقبة موجزات استخبارات التهديدات من مصادر داخلية وخارجية باستمرار.

  • مشاركة الإشارات: تتم مشاركة وتحليل Insights من فرق الأمان عبر مجموعة Microsoft الواسعة من الخدمات السحابية والمحلية والخوادم وأجهزة نقاط نهاية العميل.

  • أخصائيو أمان Microsoft: المشاركة المستمرة مع الفرق عبر Microsoft التي تعمل في مجالات الأمان المتخصصة، مثل الطب الشرعي واكتشاف هجمات الويب.

  • ⁩ضبط الكشف⁧⁩: يتم تشغيل الخوارزميات مقابل مجموعات بيانات العملاء الحقيقية، ويعمل باحثو الأمان مع العملاء للتحقق من صحة النتائج. يتم استخدام الإيجابيات الحقيقية والزائفة لتحسين خوارزميات التعلم الآلي.

تتوج هذه الجهود المشتركة باكتشافات جديدة ومحسنة ، والتي يمكنك الاستفادة منها على الفور. لا يوجد أي إجراء عليك اتخاذه.

ميزات الحماية من التهديدات: خدمات Azure الأخرى

الأجهزة الافتراضية: مكافحة البرامج الضارة من Microsoft

يعد Microsoft Antimalware for Azure حلا أحادي الوكيل للتطبيقات وبيئات المستأجرين، وهو مصمم للعمل في الخلفية دون تدخل بشري. يمكنك نشر الحماية استنادا إلى احتياجات أحمال عمل التطبيق، إما من خلال التكوين الأساسي الآمن بشكل افتراضي أو التكوين المخصص المتقدم، بما في ذلك مراقبة مكافحة البرامج الضارة. Azure antimalware هو خيار أمان لأجهزة Azure الظاهرية التي يتم تثبيتها تلقائيا على جميع الأجهزة الظاهرية Azure PaaS.

الميزات الأساسية لمكافحة البرامج الضارة من Microsoft

فيما يلي ميزات Azure التي تنشر وتمكن Microsoft من مكافحة البرامج الضارة لتطبيقاتك:

  • الحماية في الوقت الفعلي: يراقب النشاط في الخدمات السحابية وعلى الأجهزة الافتراضية للكشف عن تنفيذ البرامج الضارة وحظره.

  • المسح الضوئي المجدول: يقوم بإجراء فحص مستهدف بشكل دوري للكشف عن البرامج الضارة، بما في ذلك البرامج التي تعمل بنشاط.

  • معالجة البرامج الضارة: تعمل تلقائيا على البرامج الضارة المكتشفة، مثل حذف الملفات الضارة أو وضعها في الحجر الصحي وتنظيف إدخالات التسجيل الضارة.

  • تحديثات التوقيع: يقوم تلقائيا بتثبيت أحدث توقيعات الحماية (تعريفات الفيروسات) لضمان تحديث الحماية على تردد محدد مسبقا.

  • تحديثات محرك مكافحة البرامج الضارة: تحديث محرك مكافحة البرامج الضارة Microsoft تلقائيا.

  • تحديثات النظام الأساسي لمكافحة البرامج الضارة: يقوم تلقائيا بتحديث النظام الأساسي لمكافحة البرامج الضارة من Microsoft.

  • الحماية النشطة: يبلغ Microsoft Azure عن بيانات تعريف القياس عن بعد حول التهديدات المكتشفة والموارد المشبوهة لضمان الاستجابة السريعة لمشهد التهديدات المتطور، مما يتيح تسليم التوقيع المتزامن في الوقت الفعلي من خلال نظام الحماية النشط من Microsoft.

  • نماذج التقارير: يوفر عينات ويبلغ عنها إلى خدمة مكافحة البرامج الضارة من Microsoft للمساعدة في تحسين الخدمة وتمكين استكشاف الأخطاء وإصلاحها.

  • الاستثناءات: تسمح لمسؤولي التطبيقات والخدمات بتكوين ملفات وعمليات ومحركات أقراص معينة للاستبعاد من الحماية والمسح الضوئي للأداء ولأسباب أخرى.

  • تجميع أحداث مكافحة البرامج الضارة: يسجل حالة خدمة مكافحة البرامج الضارة والأنشطة المشبوهة وإجراءات المعالجة المتخذة في سجل أحداث نظام التشغيل ويجمعها في حساب تخزين Azure الخاص بالعميل.

Azure SQL Database Threat Detection

Azure SQL Database Threat Detection هي ميزة ذكاء أمان جديدة مضمنة في خدمة قاعدة بيانات Azure SQL. من خلال العمل على مدار الساعة للتعلم والتعريف والكشف عن أنشطة قاعدة البيانات الشاذة، يحدد Azure SQL Database Threat Detection التهديدات المحتملة لقاعدة البيانات.

يمكن لضباط الأمن أو غيرهم من المسؤولين المعينين الحصول على إشعار فوري حول أنشطة قاعدة البيانات المشبوهة عند حدوثها. ويقدم كل إخطار تفاصيل عن النشاط المشبوه ويوصي بكيفية مواصلة التحقيق في التهديد والتخفيف من حدته.

حاليا، يكتشف Azure SQL Database Threat Detection الثغرات الأمنية المحتملة وهجمات حقن SQL وأنماط الوصول إلى قاعدة البيانات الشاذة.

عند تلقي إشعار بالبريد الإلكتروني للكشف عن التهديدات ، يمكن للمستخدمين التنقل وعرض سجلات التدقيق ذات الصلة من خلال رابط عميق في البريد. يفتح الرابط عارض تدقيق أو قالب تدقيق Excel تم تكوينه مسبقا يعرض سجلات التدقيق ذات الصلة في وقت قريب من وقوع الحدث المشبوه، وفقا لما يلي:

  • تدقيق التخزين لقاعدة البيانات / الخادم باستخدام أنشطة قاعدة البيانات الشاذة.

  • جدول تخزين التدقيق ذي الصلة الذي تم استخدامه في وقت الحدث لكتابة سجل التدقيق.

  • سجلات التدقيق للساعة التالية مباشرة لوقوع الحدث.

  • سجلات التدقيق باستخدام معرف حدث مماثل في وقت الحدث (اختياري لبعض أجهزة الكشف).

SQL تستخدم أجهزة الكشف عن تهديدات قاعدة البيانات إحدى منهجيات الكشف التالية:

  • الكشف الحتمي: يكتشف الأنماط المشبوهة (المستندة إلى القواعد) في استعلامات العميل SQL التي تطابق الهجمات المعروفة. تتميز هذه المنهجية باكتشاف مرتفع وتغطية إيجابية خاطئة منخفضة ، ولكنها محدودة لأنها تقع ضمن فئة "الاكتشافات الذرية".

  • الكشف السلوكي: يكتشف النشاط الشاذ، وهو سلوك غير طبيعي في قاعدة البيانات لم يتم رؤيته خلال آخر 30 يوما. يمكن أن تكون الأمثلة على النشاط الشاذ SQL العميل ارتفاعا حادا في عمليات تسجيل الدخول أو الاستعلامات الفاشلة أو كمية كبيرة من البيانات التي يتم استخراجها أو الاستعلامات الأساسية غير العادية أو عناوين IP غير المألوفة المستخدمة للوصول إلى قاعدة البيانات.

جدار حماية تطبيق Application Gateway Web

جدار حماية تطبيقات الويب (WAF) هو أحد ميزات Azure Application Gateway التي توفر الحماية لتطبيقات الويب التي تستخدم بوابة تطبيقات لوظائف التحكم في تسليم التطبيقات القياسية. يقوم جدار حماية تطبيقات الويب بذلك عن طريق حمايتهم من معظم أفضل 10 ثغرات أمنية شائعة في الويب Project أمان تطبيقات الويب المفتوحة (OWASP).

Application Gateway Web Application Firewall diagram

تشمل وسائل الحماية ما يلي:

  • حماية SQL من الحقن.

  • حماية البرمجة النصية عبر المواقع.

  • الحماية الشائعة من هجمات الويب، مثل حقن الأوامر وتهريب طلبات HTTP وتقسيم استجابة HTTP وهجوم تضمين الملفات عن بعد.

  • الحماية من انتهاكات بروتوكول HTTP.

  • الحماية من الحالات الشاذة لبروتوكول HTTP، مثل فقدان وكيل المستخدم المضيف وقبول الرؤوس.

  • الوقاية من برامج الروبوت والزواحف والماسحات الضوئية.

  • الكشف عن التكوينات الخاطئة الشائعة للتطبيق (أي Apache و IIS وما إلى ذلك).

يوفر تكوين WAF في بوابة التطبيق الخاصة بك المزايا التالية:

  • يحمي تطبيق الويب الخاص بك من نقاط الضعف والهجمات على الويب دون تعديل التعليمات البرمجية الخلفية.

  • يحمي تطبيقات ويب متعددة في نفس الوقت خلف بوابة التطبيق. تدعم بوابة التطبيق استضافة ما يصل إلى 20 موقعا إلكترونيا.

  • يراقب تطبيقات الويب ضد الهجمات باستخدام التقارير في الوقت الفعلي التي يتم إنشاؤها بواسطة سجلات WAF لبوابة التطبيقات.

  • يساعد على تلبية متطلبات الامتثال. تتطلب بعض عناصر التحكم في الامتثال حماية جميع نقاط النهاية التي تواجه الإنترنت بواسطة حل WAF.

واجهة برمجة تطبيقات اكتشاف الشذوذ: تم إنشاؤها باستخدام Azure التعلم الآلي

واجهة برمجة تطبيقات اكتشاف الشذوذ هي واجهة برمجة تطبيقات مفيدة للكشف عن مجموعة متنوعة من الأنماط الشاذة في بيانات السلاسل الزمنية. تقوم واجهة برمجة التطبيقات بتعيين درجة شاذة لكل نقطة بيانات في السلسلة الزمنية ، والتي يمكن استخدامها لإنشاء تنبيهات أو مراقبة من خلال لوحات المعلومات أو الاتصال بأنظمة التذاكر الخاصة بك.

يمكن لواجهة برمجة تطبيقات الكشف عن الشذوذ اكتشاف الأنواع التالية من الحالات الشاذة في بيانات السلاسل الزمنية:

  • المسامير والانخفاضات: عندما تراقب عدد حالات فشل تسجيل الدخول إلى خدمة أو عدد عمليات الدفع في موقع للتجارة الإلكترونية، قد تشير الارتفاعات أو الانخفاضات غير العادية إلى هجمات أمنية أو تعطل الخدمة.

  • الاتجاهات الإيجابية والسلبية: عندما تراقب استخدام الذاكرة في الحوسبة، يشير تقلص حجم الذاكرة الحرة إلى احتمال تسرب الذاكرة. بالنسبة لمراقبة طول قائمة انتظار الخدمة، قد يشير الاتجاه التصاعدي المستمر إلى وجود مشكلة أساسية في البرنامج.

  • تغييرات المستوى والتغيرات في النطاق الديناميكي للقيم: يمكن أن تكون تغيرات المستوى في زمن انتقال الخدمة بعد ترقية الخدمة أو المستويات المنخفضة من الاستثناءات بعد الترقية مثيرة للاهتمام للمراقبة.

تتيح واجهة برمجة التطبيقات المستندة إلى التعلم الآلي ما يلي:

  • الكشف المرن والقوي: تسمح نماذج الكشف عن الحالات الشاذة للمستخدمين بتكوين إعدادات الحساسية واكتشاف الحالات الشاذة بين مجموعات البيانات الموسمية وغير الموسمية. يمكن للمستخدمين ضبط نموذج الكشف عن الحالات الشاذة لجعل واجهة برمجة تطبيقات الكشف أقل أو أكثر حساسية وفقا لاحتياجاتهم. وهذا يعني الكشف عن الحالات الشاذة الأقل أو الأكثر وضوحا في البيانات مع أو بدون أنماط موسمية.

  • الكشف القابل للتطوير وفي الوقت المناسب: الطريقة التقليدية للرصد مع العتبات الحالية التي تحددها معرفة الخبراء بالمجال مكلفة وغير قابلة للتطوير لملايين مجموعات البيانات المتغيرة ديناميكيا. يتم تعلم نماذج الكشف عن الشذوذ في واجهة برمجة التطبيقات هذه ، ويتم ضبط النماذج تلقائيا من كل من البيانات التاريخية وفي الوقت الفعلي.

  • الكشف الاستباقي والقابل للتنفيذ: يمكن تطبيق الكشف البطيء عن الاتجاه وتغيير المستوى للكشف المبكر عن الشذوذ. يمكن استخدام الإشارات غير الطبيعية المبكرة التي يتم اكتشافها لتوجيه البشر للتحقيق في مناطق المشكلة والعمل عليها. بالإضافة إلى ذلك ، يمكن تطوير نماذج تحليل الأسباب الجذرية وأدوات التنبيه على رأس خدمة واجهة برمجة التطبيقات للكشف عن الحالات الشاذة هذه.

تعد واجهة برمجة تطبيقات الكشف عن الحالات الشاذة حلا فعالا وكفؤا لمجموعة واسعة من السيناريوهات، مثل مراقبة حالة الخدمة ومؤشرات الأداء الرئيسية وإنترنت الأشياء ومراقبة الأداء ومراقبة حركة مرور الشبكة. فيما يلي بعض السيناريوهات الشائعة حيث يمكن أن تكون واجهة برمجة التطبيقات هذه مفيدة:

  • تحتاج أقسام تكنولوجيا المعلومات إلى أدوات لتتبع الأحداث ورمز الخطأ وسجل الاستخدام والأداء (وحدة المعالجة المركزية والذاكرة وما إلى ذلك) في الوقت المناسب.

  • تريد مواقع التجارة عبر الإنترنت تتبع أنشطة العملاء ومشاهدات الصفحة والنقرات وما إلى ذلك.

  • ترغب شركات المرافق في تتبع استهلاك المياه والغاز والكهرباء والموارد الأخرى.

  • تريد خدمات إدارة المرافق أو المباني مراقبة درجة الحرارة والرطوبة وحركة المرور وما إلى ذلك.

  • تريد الشركات المصنعة لإنترنت الأشياء / الشركات المصنعة استخدام بيانات المستشعر في سلاسل زمنية لمراقبة تدفق العمل والجودة وما إلى ذلك.

  • يحتاج مقدمو الخدمات ، مثل مراكز الاتصال ، إلى مراقبة اتجاه الطلب على الخدمة ، وحجم الحوادث ، وطول قائمة الانتظار ، وما إلى ذلك.

  • ترغب مجموعات تحليلات الأعمال في مراقبة الحركة غير الطبيعية لمؤشرات الأداء الرئيسية للأعمال (مثل حجم المبيعات أو مشاعر العملاء أو التسعير) في الوقت الفعلي.

Defender for Cloud Apps

يعد Defender for Cloud Apps مكونا مهما في مكدس أمان Microsoft Cloud. إنه حل شامل يمكن أن يساعد مؤسستك أثناء انتقالك للاستفادة الكاملة من وعد التطبيقات السحابية. يبقيك في السيطرة ، من خلال تحسين الرؤية في النشاط. كما أنه يساعد على زيادة حماية البيانات الهامة عبر التطبيقات السحابية.

باستخدام الأدوات التي تساعد في الكشف عن تكنولوجيا المعلومات الظلية، وتقييم المخاطر، وفرض السياسات، والتحقيق في الأنشطة، وإيقاف التهديدات، يمكن لمؤسستك الانتقال بأمان أكبر إلى السحابة مع الحفاظ على التحكم في البيانات الهامة.

الفئة الوصف
اكتشاف اكتشف تكنولوجيا المعلومات الظل مع Defender for Cloud Apps. احصل على رؤية من خلال اكتشاف التطبيقات والأنشطة والمستخدمين والبيانات والملفات في بيئة السحابة الخاصة بك. اكتشف تطبيقات الجهات الخارجية المتصلة بالسحابة.
التحقق تحقق من تطبيقاتك السحابية باستخدام أدوات الطب الشرعي السحابي للتعمق في التطبيقات المحفوفة بالمخاطر والمستخدمين المحددين والملفات الموجودة في شبكتك. ابحث عن أنماط في البيانات التي تم جمعها من السحابة. إنشاء تقارير لمراقبة السحابة.
عنصر التحكم يمكنك تخفيف المخاطر من خلال وضع السياسات والتنبيهات لتحقيق أقصى قدر من التحكم في حركة مرور الشبكة السحابية. استخدم Defender for Cloud Apps لترحيل المستخدمين إلى بدائل تطبيقات سحابية آمنة ومعاقبة.
الحماية استخدم Defender for Cloud Apps لمعاقبة التطبيقات أو حظرها، وفرض منع فقدان البيانات، والتحكم في الأذونات والمشاركة، وإنشاء تقارير وتنبيهات مخصصة.
عنصر التحكم يمكنك تخفيف المخاطر من خلال وضع السياسات والتنبيهات لتحقيق أقصى قدر من التحكم في حركة مرور الشبكة السحابية. استخدم Defender for Cloud Apps لترحيل المستخدمين إلى بدائل تطبيقات سحابية آمنة ومعاقبة.

Defender for Cloud Apps diagram

يدمج Defender for Cloud Apps الرؤية مع السحابة الخاصة بك من خلال:

  • استخدام Cloud Discovery لتعيين وتحديد بيئة السحابة الخاصة بك وتطبيقات السحابة التي تستخدمها مؤسستك.

  • فرض عقوبات على التطبيقات وحظرها في السحابة.

  • استخدام روابط التطبيق سهلة النشر التي تستفيد من واجهات برمجة التطبيقات للموفر، من أجل رؤية التطبيقات التي تتصل بها وحوكمتها.

  • مساعدتك في التحكم المستمر من خلال إعداد النُهج، ثم ضبطها باستمرار.

عند جمع البيانات من هذه المصادر ، يقوم Defender for Cloud Apps بإجراء تحليل متطور عليها. ينبهك على الفور إلى الأنشطة الشاذة ، ويمنحك رؤية عميقة في بيئتك السحابية. يمكنك تكوين نهج في Defender for Cloud Apps واستخدامه لحماية كل شيء في بيئة السحابة الخاصة بك.

قدرات الحماية من التهديدات التابعة لجهات خارجية من خلال Azure Marketplace

جدار حماية تطبيق الويب

يقوم جدار حماية تطبيقات الويب بفحص حركة مرور الويب الواردة وحظر الحقن SQL والبرمجة النصية عبر المواقع وتحميلات البرامج الضارة وهجمات DDoS للتطبيقات والهجمات الأخرى التي تستهدف تطبيقات الويب الخاصة بك. كما يقوم بفحص الاستجابات من خوادم الويب الخلفية لمنع فقدان البيانات (DLP). يمكن محرك التحكم في الوصول المتكامل المسؤولين من إنشاء سياسات تحكم في الوصول دقيقة للمصادقة والتفويض والمحاسبة (AAA)، مما يمنح المؤسسات مصادقة قوية وتحكم المستخدم.

يوفر جدار حماية تطبيق الويب المزايا التالية:

  • يكتشف ويحظر الحقن SQL أو البرمجة النصية عبر المواقع أو تحميلات البرامج الضارة أو DDoS للتطبيق أو أي هجمات أخرى ضد تطبيقك.

  • المصادقة والتحكم في الوصول.

  • يقوم بمسح حركة المرور الصادرة للكشف عن البيانات الحساسة ويمكن أن يخفي أو يمنع المعلومات من التسرب.

  • يسرع تسليم محتويات تطبيقات الويب، باستخدام إمكانات مثل التخزين المؤقت والضغط وتحسين حركة المرور الأخرى.

للحصول على أمثلة على جدران حماية تطبيقات الويب المتوفرة في Azure Marketplace، راجع Barracuda WAF وجدار حماية تطبيق الويب الظاهري Brocade (vWAF) وImperva SecureSphere وجدار حماية ThreatSTOP IP.

الخطوات التالية