مشاركة عبر

Microsoft Sentinel في مدخل Microsoft Defender

  • مقالة
  • ينطبق على:
    Microsoft Sentinel in the Microsoft Defender portal

توضح هذه المقالة تجربة Microsoft Sentinel في مدخل Microsoft Defender. يتوفر Microsoft Sentinel بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender باستخدام Microsoft Defender XDR. لمزيد من المعلومات، راجع:

للمعاينة، يتوفر Microsoft Sentinel في مدخل Defender بدون Microsoft Defender XDR أو ترخيص E5.

قدرات جديدة ومحسنة

يصف الجدول التالي الإمكانات الجديدة أو المحسنة المتوفرة في مدخل Defender مع تكامل Microsoft Sentinel. تواصل Microsoft الابتكار في هذه التجربة الجديدة مع الميزات التي قد تكون حصرية لمدخل Defender.

القدرات ‏‏الوصف
الصيد المتقدم الاستعلام من مدخل واحد عبر مجموعات بيانات مختلفة لجعل التتبع أكثر كفاءة وإزالة الحاجة إلى تبديل السياق. استخدم Security Copilot للمساعدة في إنشاء KQL الخاص بك. عرض واستعلام جميع البيانات بما في ذلك البيانات من خدمات أمان Microsoft وMicrosoft Sentinel. استخدم جميع محتويات مساحة عمل Microsoft Sentinel الموجودة، بما في ذلك الاستعلامات والوظائف.

لمزيد من المعلومات، راجع المقالات التالية:
- التتبع المتقدم في مدخل Microsoft Defender
- Security Copilot في التتبع المتقدم
إدارة الحالات إدارة حالات SecOps أصلا في مدخل Defender دون فقدان سياق الأمان. حدد سير عمل الحالة الخاص بك بقيم الحالة المخصصة. تعيين المهام إلى المتعاونين وتكوين تواريخ الاستحقاق. التعامل مع التصعيدات والحالات المعقدة من خلال ربط حوادث متعددة بحالة.

لمزيد من المعلومات، راجع إدارة الحالات أصلا في النظام الأساسي لعمليات الأمان الموحدة من Microsoft.
Microsoft Copilot في Microsoft Defender عند التحقيق في الحوادث في مدخل Defender،
- تلخيص الحوادث
- تحليل البرامج النصية
- تحليل الملفات
- إنشاء تقارير الحوادث

عند البحث عن التهديدات في التتبع المتقدم، قم بإنشاء استعلامات KQL جاهزة للتشغيل باستخدام مساعد الاستعلام. لمزيد من المعلومات، راجع Microsoft Security Copilot في التتبع المتقدم.
تحسينات SOC احصل على توصيات عالية الدقة وقابلة للتنفيذ لمساعدتك في تحديد المجالات من أجل:
- خفض التكاليف
- إضافة عناصر تحكم الأمان
- إضافة بيانات مفقودة
تتوفر تحسينات SOC في مداخل Defender وAzure، وهي مصممة خصيصا للبيئة الخاصة بك، وتستند إلى التغطية الحالية والمشهد الأفقي للمخاطر.

لمزيد من المعلومات، راجع المقالات التالية:
- تحسين عمليات الأمان
- استخدام تحسينات SOC برمجيا
- مرجع تحسين SOC للتوصيات

يصف الجدول التالي الإمكانات الإضافية المتوفرة في مدخل Defender مع تكامل Microsoft Sentinel وMicrosoft Defender XDR كجزء من النظام الأساسي لعمليات الأمان الموحدة من Microsoft.

القدرات ‏‏الوصف
تعطيل الهجوم نشر تعطيل الهجوم التلقائي ل SAP مع كل من مدخل Defender وحل Microsoft Sentinel لتطبيقات SAP. على سبيل المثال، تحتوي على أصول مخترقة عن طريق تأمين مستخدمي SAP المشبوهين في حالة هجوم التلاعب بالعملية المالية.

تتوفر قدرات تعطيل الهجوم ل SAP في مدخل Defender فقط. لاستخدام تعطيل الهجوم ل SAP، قم بتحديث إصدار عامل موصل البيانات وتأكد من تعيين دور Azure ذي الصلة إلى هوية العامل الخاص بك.

لمزيد من المعلومات، راجع تعطيل الهجوم التلقائي ل SAP.
الكيانات الموحدة تعرض صفحات الكيان للأجهزة والمستخدمين وعناوين IP وموارد Azure في مدخل Defender معلومات من مصادر بيانات Microsoft Sentinel وDefender. تمنحك صفحات الكيان هذه سياقا موسعا لتحقيقاتك في الحوادث والتنبيهات في مدخل Defender.

لمزيد من المعلومات، راجع التحقيق في الكيانات ذات صفحات الكيان في Microsoft Sentinel.
الحوادث الموحدة إدارة الحوادث الأمنية والتحقيق فيها في موقع واحد ومن قائمة انتظار واحدة في مدخل Defender. استخدم Security Copilot للتلخيص والاستجابة والإبلاغ. وتشمل الحوادث ما يلي:
- بيانات من اتساع المصادر
- الذكاء الاصطناعي أدوات التحليلات لمعلومات الأمان وإدارة الأحداث (SIEM)
- أدوات السياق والتخفيف التي يوفرها الكشف والاستجابة الموسعة (XDR)

لمزيد من المعلومات، راجع المقالات التالية:
- الاستجابة للحوادث في مدخل Microsoft Defender
- التحقيق في حوادث Microsoft Sentinel في Security Copilot
Microsoft Copilot في Microsoft Defender عند التحقيق في الحوادث باستخدام Microsoft Sentinel المتكامل مع Defender XDR،
- فرز الحوادث والتحقيق فيها باستخدام الاستجابات الموجهة
- تلخيص معلومات الجهاز
- تلخيص معلومات الهوية

لخص التهديدات ذات الصلة التي تؤثر على بيئتك، أو لتحديد أولويات حل التهديدات استنادا إلى مستويات التعرض الخاصة بك، أو للعثور على جهات التهديد التي قد تستهدف صناعتك باستخدام Security Copilot في التحليل الذكي للمخاطر. لمزيد من المعلومات، راجع استخدام Microsoft Security Copilot للتحليل الذكي للمخاطر.

اختلافات القدرة بين المداخل

تتوفر معظم قدرات Microsoft Sentinel في كل من مداخل Azure وDefender. في مدخل Defender، تفتح بعض تجارب Microsoft Sentinel على مدخل Microsoft Azure لإكمال مهمة.

يغطي هذا القسم إمكانات Microsoft Sentinel أو عمليات التكامل المتوفرة فقط في مدخل Microsoft Azure أو مدخل Defender أو الاختلافات الهامة الأخرى بين المداخل. يستثني تجارب Microsoft Sentinel التي تفتح مدخل Microsoft Azure من مدخل Defender.

الإمكانية التوافر ‏‏الوصف
التتبع المتقدم باستخدام الإشارات المرجعية مدخل Azure فقط الإشارات المرجعية غير مدعومة في تجربة التتبع المتقدمة في مدخل Microsoft Defender. في مدخل Defender، يتم دعمها في Microsoft Sentinel > Threat management > Hunting.

لمزيد من المعلومات، راجع تعقب البيانات أثناء التتبع باستخدام Microsoft Sentinel.
تعطيل الهجوم ل SAP مدخل Defender فقط مع Defender XDR هذه الوظيفة غير متوفرة في مدخل Microsoft Azure.

لمزيد من المعلومات، راجع تعطيل الهجوم التلقائي في مدخل Microsoft Defender.
Automation تتوفر بعض إجراءات التنفيذ التلقائي فقط في مدخل Microsoft Azure.

إجراءات التنفيذ التلقائي الأخرى هي نفسها في مداخل Defender وAzure، ولكنها تختلف في مدخل Azure بين مساحات العمل التي تم إلحاقها بمدخل Defender ومساحات العمل غير الموجودة.

لمزيد من المعلومات، راجع التنفيذ التلقائي مع النظام الأساسي لعمليات الأمان الموحدة.
موصلات البيانات: رؤية الموصلات المستخدمة من قبل النظام الأساسي لعمليات الأمان الموحدة مدخل Azure فقط في مدخل Defender، بعد إلحاق Microsoft Sentinel، لا تظهر موصلات البيانات التالية التي تعد جزءا من النظام الأساسي لعمليات الأمان الموحدة في صفحة موصلات البيانات:
  • تطبيقات Microsoft Defender للسحابة
  • Microsoft Defender لنقطة النهاية
  • Microsoft Defender for Identity
  • Microsoft Defender لـ Office 365 (معاينة)
  • Microsoft Defender XDR
  • Microsoft Defender for Cloud المستند إلى الاشتراك (قديم)
  • Microsoft Defender for Cloud المستند إلى المستأجر (معاينة)

    في مدخل Microsoft Azure، لا تزال موصلات البيانات هذه مدرجة مع موصلات البيانات المثبتة في Microsoft Sentinel.
    		•
    الكيانات: إضافة كيانات إلى التحليل الذكي للمخاطر من الحوادث مدخل Azure فقط هذه الوظيفة غير متوفرة في مدخل Defender.

    لمزيد من المعلومات، راجع إضافة كيان إلى مؤشرات التهديد.
    الاندماج: الكشف المتقدم عن الهجمات متعددة المهام مدخل Azure فقط يتم تعطيل قاعدة تحليلات الاندماج، التي تنشئ حوادث استنادا إلى ارتباطات التنبيه التي أجراها محرك ارتباط Fusion، عند إلحاق Microsoft Sentinel بمدخل Defender.

    يستخدم مدخل Defender وظائف إنشاء الحوادث والارتباط في Microsoft Defender لاستبدال وظائف محرك Fusion.

    لمزيد من المعلومات، راجع الكشف المتقدم عن الهجمات متعددة المهام في Microsoft Sentinel
    الحوادث: إضافة تنبيهات إلى الحوادث /
    إزالة التنبيهات من الحوادث    		 مدخل Defender فقط بعد إلحاق Microsoft Sentinel بمدخل Defender، لم يعد بإمكانك إضافة تنبيهات إلى الحوادث في مدخل Microsoft Azure أو إزالتها منها.

    يمكنك إزالة تنبيه من حدث في مدخل Defender، ولكن فقط عن طريق ربط التنبيه بحادث آخر (موجود أو جديد).
    الحوادث: الإنشاء بعد الإلحاق بمدخل Defender: يتم إنشاء الحوادث بواسطة محرك الارتباط في مدخل Microsoft Defender. الحوادث التي تم إنشاؤها في مدخل Defender للتنبيهات التي تم إنشاؤها بواسطة Microsoft Sentinel لها اسم = موفر الحادث Microsoft Defender XDR.

    يتم إلغاء تنشيط أي قواعد نشطة لإنشاء أحداث أمان Microsoft لتجنب إنشاء حوادث مكررة. تظل إعدادات إنشاء الحدث في أنواع أخرى من قواعد التحليلات كما كانت، ولكن يتم تنفيذ هذه الإعدادات في مدخل Defender، وليس في Microsoft Sentinel.

    قد يستغرق ظهور أحداث Microsoft Defender في Microsoft Sentinel ما يصل إلى 5 دقائق. لا يؤثر هذا على الميزات التي يوفرها Microsoft Defender مباشرة، مثل تعطيل الهجوم التلقائي.

    لمزيد من المعلومات، راجع المقالات التالية:
    - الحوادث والتنبيهات في مدخل Microsoft Defender
    - ارتباط التنبيه ودمج الحدث في مدخل Microsoft Defender
    الأحداث: تحرير التعليقات مدخل Azure فقط بعد إلحاق Microsoft Sentinel بمدخل Defender، يمكنك إضافة تعليقات إلى الحوادث في أي من المدخلين، ولكن لا يمكنك تحرير التعليقات الموجودة.

    لا تتم مزامنة عمليات التحرير التي تم إجراؤها على التعليقات في مدخل Microsoft Azure مع مدخل Defender.
    الحوادث: الإنشاء البرمجي واليدوي للحوادث مدخل Azure فقط لا تتم مزامنة الحوادث التي تم إنشاؤها في Microsoft Sentinel من خلال واجهة برمجة التطبيقات، أو بواسطة دليل مبادئ Logic App، أو يدويا من مدخل Microsoft Azure، إلى مدخل Defender. لا تزال هذه الحوادث مدعومة في مدخل Microsoft Azure وواجهة برمجة التطبيقات. راجع إنشاء الحوادث الخاصة بك يدويا في Microsoft Sentinel.
    الحوادث: إعادة فتح الحوادث المغلقة مدخل Azure فقط في مدخل Defender، لا يمكنك تعيين تجميع التنبيهات في قواعد تحليلات Microsoft Sentinel لإعادة فتح الحوادث المغلقة إذا تمت إضافة تنبيهات جديدة.
    لا يعاد فتح الحوادث المغلقة في هذه الحالة، وتشغل التنبيهات الجديدة حوادث جديدة.
    الحوادث: المهام مدخل Azure فقط المهام غير متوفرة في مدخل Defender.

    لمزيد من المعلومات، راجع استخدام المهام لإدارة الحوادث في Microsoft Sentinel.
    إدارة مساحة عمل متعددة ل Microsoft Sentinel مدخل Defender: يقتصر على مساحة عمل واحدة من Microsoft Sentinel لكل مستأجر

    مدخل Microsoft Azure: إدارة مساحات عمل Microsoft Sentinel متعددة للمستأجرين مركزيا    		 مساحة عمل Microsoft Sentinel واحدة فقط لكل مستأجر مدعومة حاليا في مدخل Defender. لذلك، تدعم الإدارة متعددة المستأجرين من Microsoft Defender مساحة عمل واحدة من Microsoft Sentinel لكل مستأجر.

    لمزيد من المعلومات، راجع المقالات التالية:
    - مدخل Defender: إدارة متعددة المستأجرين من Microsoft Defender
    - مدخل Microsoft Azure: إدارة مساحات عمل متعددة من Microsoft Sentinel باستخدام مدير مساحة العمل

    قدرات محدودة أو غير متوفرة

    عند إلحاق Microsoft Sentinel بمدخل Defender دون تمكين Defender XDR أو الخدمات الأخرى، تكون الميزات التالية التي تظهر في مدخل Defender محدودة أو غير متوفرة حاليا.

    الإمكانية الخدمة مطلوبة
    إدارة التعرض إدارة التعرض لمخاطر الأمان من Microsoft
    قواعد الكشف المخصصة Microsoft Defender XDR
    مركز التحكم Microsoft Defender XDR

    تنطبق القيود التالية أيضا على Microsoft Sentinel في مدخل Defender دون تمكين Defender XDR أو الخدمات الأخرى:

    • عملاء Microsoft Sentinel الجدد غير مؤهلين لإلحاق مساحة عمل Log Analytics التي تم إنشاؤها في منطقة إسرائيل. للإلحاق بمدخل Defender، قم بإنشاء مساحة عمل أخرى ل Microsoft Sentinel في منطقة مختلفة. لا تحتاج مساحة العمل الإضافية هذه إلى احتواء أي بيانات.
    • يتم تزويد العملاء الذين يستخدمون تحليلات سلوك المستخدم والكيان في Microsoft Sentinel (UEBA) بإصدار محدود من جدول IdentityInfo.

    مرجع سريع

    يتم دمج بعض قدرات Microsoft Sentinel، مثل قائمة انتظار الحوادث الموحدة، مع Microsoft Defender XDR في النظام الأساسي لعمليات الأمان الموحدة من Microsoft. تتوفر العديد من قدرات Microsoft Sentinel الأخرى في قسم Microsoft Sentinel في مدخل Defender.

    تظهر الصورة التالية قائمة Microsoft Sentinel في مدخل Defender:

    لقطة شاشة لمدخل Defender للتنقل الأيسر مع قسم Microsoft Sentinel.

    تصف الأقسام التالية مكان العثور على ميزات Microsoft Sentinel في مدخل Defender. يتم تنظيم الأقسام حيث يوجد Microsoft Sentinel في مدخل Microsoft Azure.

    عام

    يسرد الجدول التالي التغييرات في التنقل بين مداخل Azure وDefender للقسم عام في مدخل Microsoft Azure.

    مدخل Azure مدخل Defender
    نظرة عامة نظرة عامة
    السجلات البحث والاستجابة > التتبع > المتقدم
    الأخبار والأدلة غير متوفرة
    بحث بحث Microsoft Sentinel >

    إدارة التهديدات

    يسرد الجدول التالي التغييرات في التنقل بين مداخل Azure وDefender لقسم إدارة المخاطر في مدخل Microsoft Azure.

    مدخل Azure مدخل Defender
    الحوادث التحقيق والاستجابة > لحوادث التنبيهات >
    مصنفات مصنفات إدارة> المخاطر في Microsoft Sentinel >
    التتبع تتبع إدارة > المخاطر في Microsoft Sentinel >
    دفاتر الملاحظات دفاتر ملاحظات إدارة > المخاطر في Microsoft Sentinel >
    سلوك الكيان صفحة كيان المستخدم: هويات> الأصول > {user}> أحداث Sentinel
    صفحة كيان الجهاز: أجهزة الأصول >>{device}> أحداث Sentinel

    ابحث أيضا عن صفحات الكيان لأنواع كيان المستخدم والجهاز وIP وAzure من الحوادث والتنبيهات كما تظهر.
    تحليل ذكي للمخاطر تحليل ذكي للمخاطر لإدارة > المخاطر في Microsoft Sentinel >
    MITRE ATT CK إدارة > المخاطر في Microsoft Sentinel > MITRE ATT CK

    إدارة المحتوى

    يسرد الجدول التالي التغييرات في التنقل بين مداخل Azure وDefender لقسم إدارة المحتوى في مدخل Microsoft Azure.

    مدخل Azure مدخل Defender
    مركز المحتوى مركز محتوى إدارة > محتوى Microsoft Sentinel >
    المستودعات مستودعات إدارة > محتوى Microsoft Sentinel >
    المجتمع مجتمع إدارة > محتوى Microsoft Sentinel >

    التكوين

    يسرد الجدول التالي التغييرات في التنقل بين مداخل Azure وDefender لقسم التكوين في مدخل Microsoft Azure.

    مدخل Azure مدخل Defender
    مدير مساحة العمل غير متوفرة
    موصلات البيانات موصلات بيانات تكوين > Microsoft Sentinel >
    التحليلات تحليلات تكوين > Microsoft Sentinel >
    قوائم المشاهدة قوائم مراقبة تكوين > Microsoft Sentinel >
    Automation أتمتة تكوين > Microsoft Sentinel >
    إعدادات إعدادات > النظام > Microsoft Sentinel

    المحتوى ذو الصلة