استيعاب تنبيهات Microsoft Defender for Cloud إلى Microsoft Sentinel

تسمح لك الحماية المتكاملة لأحمال العمل السحابية من Microsoft Defender for Cloud بالكشف عن التهديدات والاستجابة لها بسرعة عبر أحمال العمل المختلطة ومتعددة السحابات. يتيح لك موصل Microsoft Defender for Cloud استيعاب تنبيهات الأمان من Defender for Cloud إلى Microsoft Sentinel، حتى تتمكن من عرض تنبيهات Defender وتحليلها والاستجابة لها، والحوادث التي تنشئها، في سياق تهديد مؤسسي أوسع.

يتم تمكين خطط Microsoft Defender for Cloud Defender لكل اشتراك. بينما يتم تكوين موصل Microsoft Sentinel القديم ل Defender for Cloud Apps أيضا لكل اشتراك، يسمح لك موصل Microsoft Defender for Cloud المستند إلى المستأجر، في المعاينة، بتجميع تنبيهات Defender for Cloud عبر المستأجر بأكمله دون الحاجة إلى تمكين كل اشتراك بشكل منفصل. يعمل الموصل المستند إلى المستأجر أيضا مع تكامل Defender for Cloud مع Microsoft Defender XDR لضمان تضمين جميع تنبيهات Defender for Cloud بالكامل في أي حوادث تتلقاها من خلال تكامل حدث Microsoft Defender XDR.

• مزامنة التنبيه:

  • عند توصيل Microsoft Defender for Cloud بـ Microsoft Sentinel، تتم مزامنة حالة تنبيهات الأمان التي يتم استيعابها في Microsoft Sentinel بين الخدمتين. لذلك، على سبيل المثال، عند إغلاق تنبيه في Defender for Cloud، يتم عرض هذا التنبيه على أنه مغلق في Microsoft Sentinel أيضا.

  • لن يؤثر تغيير حالة تنبيه في Defender for Cloud على حالة أي حوادث Microsoft Sentinel تحتوي على تنبيه Microsoft Sentinel، فقط حالة التنبيه نفسه.

• مزامنة التنبيه ثنائي الاتجاه: يؤدي تمكين المزامنة ثنائية الاتجاه إلى مزامنة حالة تنبيهات الأمان الأصلية تلقائيا مع حالة حوادث Microsoft Sentinel التي تحتوي على تلك التنبيهات. لذلك، على سبيل المثال، عند إغلاق حدث Microsoft Sentinel يحتوي على تنبيهات أمان، يتم إغلاق التنبيه الأصلي المقابل في Microsoft Defender for Cloud تلقائيا.

المتطلبات الأساسية

• يجب أن تستخدم Microsoft Sentinel في مدخل Microsoft Azure. عند إلحاق Microsoft Sentinel بمدخل Defender، يتم بالفعل استيعاب تنبيهات Defender for Cloud في Microsoft Defender XDR، ولا يتم سرد موصل بيانات Microsoft Defender for Cloud (معاينة) المستند إلى المستأجر في صفحة موصلات البيانات في مدخل Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

  إذا قمت بإلحاق Microsoft Sentinel بمدخل Defender، فستظل بحاجة إلى تثبيت حل Microsoft Defender for Cloud لاستخدام محتوى الأمان المضمن مع Microsoft Sentinel.

  إذا كنت تستخدم Microsoft Sentinel في مدخل Defender بدون Microsoft Defender XDR، فلا يزال هذا الإجراء مناسبا لك.

• يجب أن يكون لديك الأدوار والأذونات التالية:

  • يجب أن يكون لديك أذونات القراءة والكتابة على مساحة عمل Microsoft Sentinel.

  • يجب أن يكون لديك دور المساهم أو المالك في الاشتراك الذي تريد الاتصال به ب Microsoft Sentinel.

  • لتمكين المزامنة ثنائية الاتجاه، يجب أن يكون لديك دور المساهم أو مسؤول الأمان على الاشتراك ذي الصلة.

• ستحتاج إلى تمكين خطة واحدة على الأقل داخل Microsoft Defender for Cloud لكل اشتراك حيث تريد تمكين الموصل. لتمكين خطط Microsoft Defender على اشتراك، يجب أن يكون لديك دور مسؤول الأمان لهذا الاشتراك.

• ستحتاج إلى SecurityInsights تسجيل موفر الموارد لكل اشتراك حيث تريد تمكين الموصل. راجع الإرشادات حول حالة تسجيل موفر الموارد وطرق تسجيله.

الاتصال بـ Microsoft Defender for Cloud

1. في Microsoft Sentinel، قم بتثبيت الحل ل Microsoft Defender for Cloud من مركز المحتوى. لمزيد من المعلومات، راجع اكتشاف المحتوى الجاهز من Microsoft Sentinel وإدارته.

2. حدد موصلات بيانات التكوين>.

3. من صفحة موصلات البيانات، حدد إما Microsoft Defender for Cloud المستند إلى الاشتراك (قديم) أو موصل Microsoft Defender for Cloud (معاينة) المستند إلى المستأجر، ثم حدد فتح صفحة الموصل.

4. ضمن التكوين، سترى قائمة بالاشتراكات في المستأجر الخاص بك، وحالة اتصالها ب Microsoft Defender for Cloud. حدد تبديل الحالة بجوار كل اشتراك تريد بث تنبيهاته إلى Microsoft Sentinel. إذا كنت ترغب في توصيل العديد من الاشتراكات في وقت واحد، يمكنك القيام بذلك عن طريق وضع علامة على خانات الاختيار بجوار الاشتراكات ذات الصلة ثم تحديد زر الاتصال على الشريط أعلى القائمة.

   • تكون خانات الاختيار وأزرار تبديل الاتصال نشطة فقط على الاشتراكات التي لديك الأذونات المطلوبة لها.
   • يكون زر الاتصال نشطا فقط إذا تم وضع علامة على خانة اختيار اشتراك واحد على الأقل.

5. لتمكين المزامنة ثنائية الاتجاه على اشتراك، حدد موقع الاشتراك في القائمة، واختر Enabled من القائمة المنسدلة في عمود Bi-directional sync. لتمكين المزامنة ثنائية الاتجاه على عدة اشتراكات في وقت واحد، ضع علامة على خانات الاختيار الخاصة بها وحدد الزر Enable bi-directional sync على الشريط أعلى القائمة.

   • تكون خانات الاختيار والقوائم المنسدلة نشطة فقط على الاشتراكات التي لديك الأذونات المطلوبة لها.
   • يكون زر تمكين المزامنة ثنائية الاتجاه نشطا فقط إذا تم وضع علامة على خانة اختيار اشتراك واحد على الأقل.

6. في عمود خطط Microsoft Defender في القائمة، يمكنك معرفة ما إذا كانت خطط Microsoft Defender ممكنة على اشتراكك، وهو شرط أساسي لتمكين الموصل.

   قيمة كل اشتراك في هذا العمود إما فارغة، ما يعني أنه لم يتم تمكين خطط Defender أو تمكين الكل أو تمكين بعضها. تحتوي تلك التي تشير إلى تمكين بعض أيضا على ارتباط تمكين كل ما يمكنك تحديده، الذي ينقلك إلى لوحة معلومات تكوين Microsoft Defender for Cloud لهذا الاشتراك، حيث يمكنك اختيار خطط Defender لتمكينها.

   ينقلك الزر تمكين Microsoft Defender لجميع الاشتراكات على الشريط أعلى القائمة إلى صفحة بدء استخدام Microsoft Defender for Cloud، حيث يمكنك اختيار الاشتراكات التي تمكن Microsoft Defender for Cloud تماما. على سبيل المثال:

   

7. يمكنك تحديد ما إذا كنت تريد من تنبيهات Microsoft Defender for Cloud أن تنشئ الأحداث تلقائيا في Microsoft Sentinel. ضمن إنشاء أحداث، حدد تمكين لتشغيل قاعدة التحليلات الافتراضية التي تنشئ الأحداث تلقائيًا من التنبيهات. يمكنك بعد ذلك تحرير هذه القاعدة ضمن التحليلات، في علامة التبويب القواعد النشطة.

   تلميح

   عند تكوين قواعد تحليلات مخصصة للتنبيهات من Microsoft Defender for Cloud، ضع في اعتبارك خطورة التنبيه لتجنب فتح الحوادث للتنبيهات المعلوماتية.

   لا تمثل التنبيهات الإعلامية في Microsoft Defender for Cloud خطرًا أمنيًا من تلقاء نفسها، وهي ذات صلة فقط في سياق حادث مفتوح موجود. لمزيد من المعلومات، راجع تنبيهات الأمان والحوادث في Microsoft Defender for Cloud.

البحث عن بياناتك وتحليلها

يتم تخزين تنبيهات الأمان في جدول SecurityAlert في مساحة عمل Log Analytics. للاستعلام عن تنبيهات الأمان في Log Analytics، انسخ ما يلي في نافذة الاستعلام كنقطة بداية:

SecurityAlert 
| where ProductName == "Azure Security Center"

قد تستغرق مزامنة التنبيه في كلا الاتجاهين بضع دقائق. قد لا يتم عرض التغييرات في حالة التنبيهات على الفور.

راجع علامة التبويب Next steps في صفحة الموصل للحصول على استعلامات نموذجية أكثر فائدة وقوالب قواعد التحليلات والمصنفات الموصى بها.

المحتوى ذو الصلة

في هذا المستند، تعلمت كيفية توصيل Microsoft Defender for Cloud بـ Microsoft Sentinel ومزامنة التنبيهات بينهما. راجع المقالات التالية للتعرُّف على المزيد حول Microsoft Azure Sentinel:

• تعرّف على كيفية الحصول على رؤية لبياناتك والتهديدات المحتملة.
• ابدأ في اكتشاف التهديدات باستخدام Microsoft Azure Sentinel.
• اكتب القواعد الخاصة بك للكشف عن التهديدات.