التنبيهات والحوادث في Microsoft Defender XDR
تم دمج Microsoft Defender for Cloud مع Microsoft Defender XDR. يسمح هذا التكامل لفرق الأمان بالوصول إلى تنبيهات Defender for Cloud والحوادث داخل مدخل Microsoft Defender. يوفر هذا التكامل سياقا أكثر ثراء للتحقيقات التي تمتد عبر موارد السحابة والأجهزة والهويات.
تسمح الشراكة مع Microsoft Defender XDR لفرق الأمان بالحصول على الصورة الكاملة للهجوم، بما في ذلك الأحداث المشبوهة والضارة التي تحدث في بيئة السحابة الخاصة بهم. يمكن لفرق الأمان تحقيق هذا الهدف من خلال الارتباطات الفورية للتنبيهات والحوادث.
يقدم Microsoft Defender XDR حلا شاملا يجمع بين قدرات الحماية والكشف والتحقيق والاستجابة. يحمي الحل من الهجمات على الأجهزة والبريد الإلكتروني والتعاون والهوية والتطبيقات السحابية. يتم الآن توسيع قدرات الكشف والتحقيق لدينا لتشمل الكيانات السحابية، ما يوفر لفرق عمليات الأمان جزءا واحدا من الزجاج لتحسين كفاءتها التشغيلية بشكل كبير.
أصبحت الحوادث والتنبيهات الآن جزءا من واجهة برمجة التطبيقات العامة ل Microsoft Defender XDR. يسمح هذا التكامل بتصدير بيانات تنبيهات الأمان إلى أي نظام باستخدام واجهة برمجة تطبيقات واحدة. بصفتنا Microsoft Defender for Cloud، نحن ملتزمون بتزويد المستخدمين بأفضل حلول الأمان الممكنة، وهذا التكامل خطوة مهمة نحو تحقيق هذا الهدف.
تجربة التحقيق في Microsoft Defender XDR
يصف الجدول التالي تجربة الكشف والتحقيق في Microsoft Defender XDR مع تنبيهات Defender for Cloud.
| المنطقة | الوصف |
|---|---|
| الحوادث | يتم دمج جميع أحداث Defender for Cloud في Microsoft Defender XDR. - يتم دعم البحث عن أصول موارد السحابة في قائمة انتظار الحوادث. - يعرض الرسم البياني لقصة الهجوم مورد السحابة. - تعرض علامة تبويب الأصول في صفحة الحدث مورد السحابة. - لكل جهاز ظاهري صفحة كيان خاصة به تحتوي على جميع التنبيهات والنشاطات ذات الصلة. لا توجد تكرارات للحوادث من أحمال عمل Defender الأخرى. |
| التنبيهات | يتم دمج جميع تنبيهات Defender for Cloud، بما في ذلك تنبيهات موفري السحابة المتعددة والداخلية والخارجية، في Microsoft Defender XDR. تظهر تنبيهات Defender for Cloud في قائمة انتظار تنبيه Microsoft Defender XDR. Microsoft Defender XDR cloud resource يظهر الأصل في علامة التبويب Asset في تنبيه. يتم تحديد الموارد بوضوح كمورد Azure أو Amazon أو Google Cloud. يتم ربط Defenders for Cloud alerts تلقائيا بمستأجر. لا توجد تكرارات للتنبيهات من أحمال عمل Defender الأخرى. |
| ارتباط التنبيه والحادث | ترتبط التنبيهات والحوادث تلقائيا، ما يوفر سياقا قويا لفرق عمليات الأمان لفهم قصة الهجوم الكاملة في بيئة السحابة الخاصة بهم. |
| اكتشاف التهديد | المطابقة الدقيقة للكيانات الظاهرية مع كيانات الجهاز لضمان الدقة والكشف الفعال عن التهديدات. |
| واجهة برمجة التطبيقات الموحدة | يتم الآن تضمين تنبيهات وحوادث Defender for Cloud في واجهة برمجة التطبيقات العامة ل Microsoft Defender XDR، ما يسمح للعملاء بتصدير بيانات تنبيهات الأمان الخاصة بهم إلى أنظمة أخرى باستخدام واجهة برمجة تطبيقات واحدة. |
تعرف على المزيد حول معالجة التنبيهات في Microsoft Defender XDR.
التتبع المتقدم في XDR
يتم توسيع قدرات التتبع المتقدمة ل Microsoft Defender XDR لتشمل تنبيهات وحوادث Defender for Cloud. يسمح هذا التكامل لفرق الأمان بتتبع جميع مواردها السحابية وأجهزتها وهوياتها في استعلام واحد.
تم تصميم تجربة التتبع المتقدمة في Microsoft Defender XDR لتزويد فرق الأمان بالمرونة لإنشاء استعلامات مخصصة للبحث عن التهديدات عبر بيئتهم. يسمح التكامل مع تنبيهات وحوادث Defender for Cloud لفرق الأمان بالبحث عن التهديدات عبر مواردها السحابية وأجهزتها وهوياتها.
يسمح لك جدول CloudAuditEvents في التتبع المتقدم بالتحقيق والبحث من خلال أحداث وحدة التحكم وإنشاء اكتشافات مخصصة لعرض أنشطة وحدة التحكم Azure Resource Manager وKubernetes (KubeAudit) المشبوهة.
يسمح لك جدول CloudProcessEvents في التتبع المتقدم بفرز الاكتشافات المخصصة للأنشطة المشبوهة التي يتم استدعاؤها في البنية الأساسية السحابية الخاصة بك والتحقيق فيها وإنشاءها بمعلومات تتضمن تفاصيل العملية.
عملاء Microsoft Azure Sentinel
إذا كنت عميل Microsoft Sentinel الذي تم إلحاقه بالنظام الأساسي لعمليات الأمان الموحدة (SecOps) من Microsoft، يتم بالفعل استيعاب تنبيهات Defender for Cloud مباشرة إلى Defender XDR. للاستفادة من محتوى الأمان المضمن، تأكد من تثبيت حل Microsoft Defender for Cloud من مركز محتوى Microsoft Sentinel.
يمكن لعملاء Microsoft Sentinel الذين لا يستخدمون النظام الأساسي SecOps الموحد من Microsoft الاستفادة أيضا من تكامل Defender for Cloud مع Microsoft 365 Defender في مساحات العمل الخاصة بهم باستخدام موصل التنبيهات وحوادث Microsoft 365 Defender.
تحتاج أولا إلى تمكين تكامل الحدث في موصل Microsoft 365 Defender.
بعد ذلك، قم بتمكين موصل بيانات Microsoft Defender for Cloud (معاينة) المستند إلى المستأجر لمزامنة اشتراكاتك مع أحداث Defender for Cloud المستندة إلى المستأجر للبث عبر موصل أحداث Microsoft 365 Defender.
يتوفر موصل بيانات Microsoft Defender for Cloud (معاينة) المستند إلى المستأجر من خلال حل Microsoft Defender for Cloud، الإصدار 3.0.0، من مركز محتوى Microsoft Sentinel. إذا كان لديك إصدار سابق من هذا الحل، نوصي بتحديث إصدار الحل الخاص بك. إذا كان لا يزال لديك موصل بيانات Microsoft Defender for Cloud (قديم) المستند إلى الاشتراك ممكنا، نوصي بقطع اتصال الموصل لمنع تكرار التنبيهات في سجلاتك.
نوصي أيضا بتعطيل أي قواعد تحليلات تنشئ أحداثا من تنبيهات Microsoft Defender for Cloud مباشرة. استخدم قواعد أتمتة Microsoft Sentinel لإغلاق الحوادث على الفور ومنع أنواع معينة من تنبيهات Defender for Cloud من أن تصبح حوادث، أو استخدم قدرات الضبط المضمنة في مدخل Microsoft Defender لمنع التنبيهات من أن تصبح حوادث.
إذا قمت بدمج أحداث Microsoft 365 Defender في Microsoft Sentinel وتريد الاحتفاظ بإعداداتها المستندة إلى الاشتراك وتجنب المزامنة المستندة إلى المستأجر، فيمكن أن تختار عدم مزامنة الحوادث والتنبيهات باستخدام موصل Microsoft 365 Defender.
لمزيد من المعلومات، راجع:
- اكتشاف المحتوى الجاهز من Microsoft Sentinel وإدارته
- استيعاب أحداث Microsoft Defender for Cloud مع تكامل Microsoft Defender XDR
- أمان بيانات Microsoft Defender for Cloud.