الاتصال Microsoft Defender لتنبيهات السحابة إلى Microsoft Sentinel

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

ملاحظة

يسمى Azure Sentinel الآن Microsoft Sentinel، وسنقوم بتحديث هذه الصفحات في الأسابيع القادمة. تعرف على المزيد حول التحسينات الأمنية الأخيرة لـ Microsoft.

الخلفية

ملاحظة

• كان يعرف Microsoft Defender for Cloud سابقا باسم مركز أمان Azure.
• كانت ميزات الأمان المحسنة في Defender for Cloud تعرف سابقا باسم Azure Defender.

تتيح لك حماية أحمال العمل السحابية المتكاملة من Microsoft Defender for Cloud اكتشاف التهديدات والاستجابة لها بسرعة عبر أحمال العمل المختلطة ومتعددة السحابة.

يسمح لك هذا الموصل بدفق تنبيهات الأمان من Defender for Cloud إلى Microsoft Sentinel، حتى تتمكن من عرض تنبيهات Defender والحوادث التي تولدها وتحليلها والاستجابة لها في سياق تهديد مؤسسي أوسع.

نظرا لتمكين ميزات الأمان المحسنة في Microsoft Defender for Cloud لكل اشتراك، يتم أيضا تمكين موصل البيانات هذا أو تعطيله بشكل منفصل لكل اشتراك.

ملاحظة

للحصول على معلومات حول توفر الميزات في السحابات الحكومية الأمريكية، راجع جداول Microsoft Sentinel في توفر ميزة السحابة لعملاء الحكومة الأمريكية.

مزامنة التنبيه

• عند توصيل Microsoft Defender for Cloud ب Microsoft Sentinel، تتم مزامنة حالة تنبيهات الأمان التي يتم استيعابها في Microsoft Sentinel بين الخدمتين. لذلك ، على سبيل المثال ، عندما يتم إغلاق تنبيه في Defender for Cloud ، سيتم عرض هذا التنبيه على أنه مغلق في Microsoft Sentinel أيضا.

• لن يؤثر تغيير حالة تنبيه في Defender for Cloud على حالة أي حوادث Microsoft Sentinel تحتوي على تنبيه Microsoft Sentinel، بل سيؤثر فقط على حالة التنبيه نفسه.

مزامنة التنبيه ثنائي الاتجاه

• سيؤدي تمكين المزامنة ثنائية الاتجاه إلى مزامنة حالة تنبيهات الأمان الأصلية تلقائيا مع حالة حوادث Microsoft Sentinel التي تحتوي على هذه التنبيهات. لذلك ، على سبيل المثال ، عند إغلاق حادث Microsoft Sentinel يحتوي على تنبيهات أمان ، سيتم إغلاق التنبيه الأصلي المقابل في Microsoft Defender for Cloud تلقائيا.

المتطلبات الأساسية

• يجب أن يكون لديك أذونات القراءة والكتابة على مساحة عمل Microsoft Sentinel الخاصة بك.

• يجب أن يكون لديك دور "قارئ الأمان" في اشتراكات السجلات التي تقوم بدفقها.

• ستحتاج إلى تمكين خطة واحدة على الأقل داخل Microsoft Defender for Cloud لكل اشتراك تريد تمكين الموصل فيه. لتمكين خطط Microsoft Defender على اشتراك، يجب أن يكون لديك دور مسؤول الأمان لهذا الاشتراك.

• لتمكين المزامنة ثنائية الاتجاه، يجب أن يكون لديك دور المساهم أو مسؤول الأمان في الاشتراك ذي الصلة.

الاتصال إلى Microsoft Defender for Cloud

1. في Microsoft Sentinel، حدد موصلات البيانات من قائمة التنقل.

2. من معرض موصلات البيانات، حدد Microsoft Defender for Cloud، وحدد فتح صفحة الموصل في جزء التفاصيل.

3. ضمن التكوين، سترى قائمة بالاشتراكات في المستأجر وحالة اتصالها ب Microsoft Defender for Cloud. حدد مفتاح تبديل الحالة بجوار كل اشتراك تريد بث تنبيهاته إلى Microsoft Sentinel. إذا كنت ترغب في توصيل عدة اشتراكات في وقت واحد، فيمكنك القيام بذلك عن طريق وضع علامة على خانات الاختيار الموجودة بجوار الاشتراكات ذات الصلة ثم تحديد الزر الاتصال على الشريط أعلى القائمة.

   ملاحظة

   • ستكون خانات الاختيار ومفاتيح تبديل الاتصال نشطة فقط على الاشتراكات التي لديك الأذونات المطلوبة لها.
   • لن يكون الزر الاتصال نشطا إلا إذا تم وضع علامة على خانة الاختيار الخاصة باشتراك واحد على الأقل.

4. لتمكين المزامنة ثنائية الاتجاه على اشتراك، حدد موقع الاشتراك في القائمة، واختر ممكن من القائمة المنسدلة في عمود المزامنة ثنائية الاتجاه . لتمكين المزامنة ثنائية الاتجاه على عدة اشتراكات في وقت واحد، حدد خانات الاختيار الخاصة بها وحدد الزر تمكين المزامنة ثنائية الاتجاه على الشريط أعلى القائمة.

   ملاحظة

   • ستكون خانات الاختيار والقوائم المنسدلة نشطة فقط على الاشتراكات التي لديك الأذونات المطلوبة لها.
   • لن يكون الزر تمكين المزامنة ثنائية الاتجاه نشطا إلا إذا تم وضع علامة على خانة الاختيار الخاصة باشتراك واحد على الأقل.

5. في عمود خطط Microsoft Defender في القائمة، يمكنك معرفة ما إذا كانت خطط Microsoft Defender ممكنة في اشتراكك (وهو شرط أساسي لتمكين الموصل). ستكون قيمة كل اشتراك في هذا العمود إما فارغة (مما يعني عدم تمكين أي خطط Defender) أو "تم تمكين الكل" أو "تم تمكين بعضها". ستحتوي تلك التي تقول "تم تمكين البعض" أيضا على ارتباط تمكين الكل الذي يمكنك تحديده ، والذي سينقلك إلى لوحة معلومات تكوين Microsoft Defender for Cloud لهذا الاشتراك ، حيث يمكنك اختيار خطط Defender لتمكينها. سينقلك زر الارتباط تمكين Microsoft Defender لجميع الاشتراكات الموجود على الشريط أعلى القائمة إلى صفحة Microsoft Defender for Cloud التي تبدأ بها، حيث يمكنك اختيار الاشتراكات لتمكين Microsoft Defender for Cloud تماما.

   

6. يمكنك تحديد ما إذا كنت تريد أن تقوم التنبيهات من Microsoft Defender for Cloud بإنشاء حوادث تلقائيا في Microsoft Sentinel. ضمن إنشاء حوادث، حدد ممكن لتشغيل قاعدة التحليلات الافتراضية التي تنشئ الحوادث تلقائيا من التنبيهات. يمكنك بعد ذلك تعديل هذه القاعدة ضمن Analytics، في علامة التبويب القواعد النشطة .

   تلميح

   عند تكوين قواعد التحليلات المخصصة للتنبيهات من Microsoft Defender for Cloud، ضع في اعتبارك شدة التنبيه لتجنب فتح الحوادث للتنبيهات الإعلامية.

   لا تمثل التنبيهات الإعلامية في Microsoft Defender for Cloud خطرا أمنيا من تلقاء نفسها، ولا تكون ذات صلة إلا في سياق حادث موجود ومفتوح. لمزيد من المعلومات، راجع تنبيهات الأمان والحوادث في Microsoft Defender for Cloud.

البحث عن بياناتك وتحليلها

ملاحظة

قد تستغرق مزامنة التنبيه في كلا الاتجاهين بضع دقائق. قد لا يتم عرض التغييرات في حالة التنبيهات على الفور.

• يتم تخزين تنبيهات الأمان في جدول SecurityAlert في مساحة عمل Log Analytics.

• للاستعلام عن تنبيهات الأمان في Log Analytics، انسخ ما يلي إلى نافذة الاستعلام كنقطة بداية:

  SecurityAlert 
  | where ProductName == "Azure Security Center"
  

• راجع علامة التبويب الخطوات التالية في صفحة الموصل للحصول على نماذج استعلامات إضافية مفيدة وقوالب قواعد التحليلات والمصنفات الموصى بها.

الخطوات التالية

في هذا المستند، تعلمت كيفية توصيل Microsoft Defender for Cloud ب Microsoft Sentinel ومزامنة التنبيهات بينهما. لمعرفة المزيد حول Microsoft Sentinel، راجع المقالات التالية:

• تعرف على كيفية الحصول على رؤية واضحة لبياناتك والتهديدات المحتملة.
• ابدأ في اكتشاف التهديدات باستخدام Microsoft Sentinel.
• اكتب قواعدك الخاصة للكشف عن التهديدات.