توصيل Microsoft Sentinel بمدخل Microsoft Defender

يتوفر Microsoft Sentinel بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة (SecOps) من Microsoft في مدخل Microsoft Defender. عند إلحاق Microsoft Sentinel بمدخل Defender باستخدام Microsoft Defender XDR، يمكنك توحيد الإمكانات مثل إدارة الحوادث والتتبع المتقدم. تقليل تبديل الأدوات وإنشاء تحقيق أكثر تركيزا على السياق يسرع الاستجابة للحوادث ويوقف الخروقات بشكل أسرع. لمزيد من المعلومات، اطلع على:

• منشور المدونة: التوفر العام للنظام الأساسي لعمليات الأمان الموحدة من Microsoft
• منشور المدونة: الأسئلة المتداولة حول النظام الأساسي لعمليات الأمان الموحدة
• Microsoft Sentinel في مدخل Microsoft Defender
• تكامل Microsoft Defender XDR مع Microsoft Sentinel

للمعاينة، يتوفر Microsoft Sentinel في مدخل Defender دون Microsoft Defender XDR أو ترخيص E5.

المتطلبات الأساسية

قبل البدء، راجع وثائق الميزة لفهم تغييرات المنتج وقيوده.

• Microsoft Sentinel في مدخل Microsoft Defender
• التتبع المتقدم في مدخل Microsoft Defender
• التنبيهات والحوادث والارتباط في Microsoft Defender XDR
• الأتمتة باستخدام النظام الأساسي لعمليات الأمان الموحدة

يدعم مدخل Microsoft Defender مستأجر Microsoft Entra واحد والاتصال بمساحة عمل واحدة في كل مرة. في سياق هذه المقالة، مساحة العمل هي مساحة عمل Log Analytics مع تمكين Microsoft Sentinel.

المتطلبات الأساسية Microsoft Sentinel

لإلحاق Microsoft Sentinel واستخدامها في مدخل Defender، يجب أن يكون لديك الموارد والوصول التالي:

• مساحة عمل Log Analytics التي تم تمكينها Microsoft Sentinel

• Microsoft Defender XDR تمكين موصل البيانات في Microsoft Sentinel للحوادث والتنبيهات. قم بتثبيت حل Defender XDR وتكوين موصل البيانات لتوصيل Microsoft Sentinel بمدخل Defender. لمزيد من المعلومات، راجع اكتشاف المحتوى الجاهز وإدارته Microsoft Sentinel. ضمن موصل البيانات Defender XDR، يتم إيقاف تشغيل خيار التكوين لتوصيل الحدث والتنبيهات وتعطيله بعد إلحاق Microsoft Sentinel بمدخل Defender.

• حساب Azure مع الأدوار المناسبة لإعداد طلبات الدعم واستخدامها وإنشاءها Microsoft Sentinel في مدخل Defender. لن ترى مساحات العمل في مدخل Defender للإلحاق حيث لا تملك الأذونات المطلوبة. يسلط الجدول التالي الضوء على بعض الأدوار الرئيسية المطلوبة.

  مهمة	Microsoft Entra أو دور Azure المضمن المطلوب	نطاق
  إلحاق Microsoft Sentinel إلى مدخل Defender	مسؤول مسؤول عمومي أو الأمان في Microsoft Entra ID	مستأجر
  توصيل مساحة عمل أو قطع اتصالها مع تمكين Microsoft Sentinel	المالك أو مسؤول وصول المستخدموالمساهم Microsoft Sentinel	- الاشتراك لأدوار المالك أو مسؤول وصول المستخدم - الاشتراك أو مجموعة الموارد أو مورد مساحة العمل Microsoft Sentinel Contributor
  عرض Microsoft Sentinel في مدخل Defender	قارئ Microsoft Sentinel	الاشتراك أو مجموعة الموارد أو مورد مساحة العمل
  الاستعلام Sentinel جداول البيانات أو عرض الحوادث	Microsoft Sentinel Reader أو دور مع الإجراءات التالية: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/Incidents/read - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/tasks/read	الاشتراك أو مجموعة الموارد أو مورد مساحة العمل
  اتخاذ إجراءات تحقيق في الحوادث	Microsoft Sentinel المساهم أو دور مع الإجراءات التالية: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/incidents/read - Microsoft.SecurityInsights/incidents/write - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/comments/write - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/relations/write - Microsoft.SecurityInsights/incidents/tasks/read - Microsoft.SecurityInsights/incidents/tasks/write	الاشتراك أو مجموعة الموارد أو مورد مساحة العمل
  إنشاء طلب دعم	المساهم في طلب المالك أو المساهم أو الدعم أو دور مخصص مع Microsoft.Support/*	اكتتاب

  بعد توصيل Microsoft Sentinel بمدخل Defender، تسمح لك أذونات التحكم في الوصول المستندة إلى دور Azure (RBAC) الحالية بالعمل مع ميزات Microsoft Sentinel التي يمكنك الوصول إليها. تابع إدارة الأدوار والأذونات للمستخدمين Microsoft Sentinel من مدخل Microsoft Azure. تنعكس أي تغييرات في التحكم في الوصول استنادا إلى الدور في Azure في مدخل Defender. لمزيد من المعلومات حول أذونات Microsoft Sentinel، راجع الأدوار والأذونات في Microsoft Sentinel | Microsoft Learn وإدارة الوصول إلى بيانات Microsoft Sentinel حسب المورد | Microsoft Learn.

المتطلبات الأساسية الموحدة للنظام الأساسي SecOps من Microsoft

لتوحيد القدرات مع Defender XDR في النظام الأساسي SecOps الموحد من Microsoft، يجب أن يكون لديك الموارد والوصول التالي:

• ترخيص Defender XDR، كما هو موضح في المتطلبات الأساسية Microsoft Defender XDR
• حساب Defender XDR هو عضو في نفس المستأجر Microsoft Entra الذي يرتبط به Microsoft Sentinel
• الوصول إلى Microsoft Defender XDR في مدخل Defender، كما هو موضح في المتطلبات الأساسية Microsoft Defender XDR

إلحاق Microsoft Sentinel

لتوصيل مساحة عمل Microsoft Sentinel بمدخل Defender، أكمل الخطوات التالية. إذا كنت تقوم بإلحاق Microsoft Sentinel دون Defender XDR (معاينة) فهناك خطوة إضافية لتشغيل الاتصال بمدخل Microsoft Sentinel وDefender.

1. انتقل إلى مدخل Microsoft Defender وسجل الدخول.
2. لإلحاق Microsoft Sentinel دون Defender XDR في مدخل Defender:
   1. لتشغيل الاتصال مع Microsoft Sentinel، حدد التحقيق &حوادث الاستجابة>.
   2. انتظر بضع دقائق حتى يكتمل الاتصال.
3. في مدخل Defender، حدد Overview.
4. حدد Connect a workspace.
5. اختر مساحة العمل التي تريد توصيلها وحدد التالي.
6. قراءة وفهم تغييرات المنتج المرتبطة بتوصيل مساحة العمل الخاصة بك.
7. حدد اتصال.

بعد توصيل مساحة العمل الخاصة بك، يظهر الشعار في صفحة نظرة عامة أن بيئتك جاهزة. يتم تحديث صفحة نظرة عامة بأقسام جديدة تتضمن مقاييس من Microsoft Sentinel مثل عدد موصلات البيانات وقواعد التشغيل التلقائي.

استكشاف ميزات Microsoft Sentinel في مدخل Defender

بعد توصيل مساحة العمل بمدخل Defender، يكون Microsoft Sentinel في جزء التنقل على الجانب الأيسر. إذا قمت بتمكين Defender XDR، فإن صفحات مثل نظرة عامةوالحوادثوالتتبع المتقدم تحتوي على بيانات موحدة من Microsoft Sentinel Defender XDR. إذا لم يكن لديك Defender XDR ممكن، فإن هذه الصفحات تتضمن فقط بيانات من Microsoft Sentinel (معاينة). لمزيد من المعلومات حول القدرات الموحدة والاختلافات بين المداخل، راجع Microsoft Sentinel في مدخل Microsoft Defender.

يتم دمج العديد من ميزات Microsoft Sentinel الموجودة في مدخل Defender. لهذه الميزات، لاحظ أن التجربة بين Microsoft Sentinel في مدخل Microsoft Azure ومدخل Defender متشابهة. استخدم المقالات التالية لمساعدتك في بدء العمل مع Microsoft Sentinel في مدخل Defender. عند استخدام هذه المقالات، ضع في اعتبارك أن نقطة البداية في هذا السياق هي مدخل Defender بدلا من مدخل Microsoft Azure.

• بحث
  • البحث عبر الامتدادات الزمنية الطويلة في مجموعات البيانات الكبيرة
  • استعادة السجلات المؤرشفة من البحث
• إدارة المخاطر
  • تصور بياناتك ومراقبتها باستخدام المصنفات
  • إجراء تتبع شامل للمخاطر باستخدام Hunts
  • استخدام الإشارات المرجعية للتتبع للتحقيقات في البيانات
  • استخدام التتبع Livestream في Microsoft Sentinel للكشف عن التهديد
  • البحث عن التهديدات الأمنية باستخدام دفاتر ملاحظات Jupyter
  • إضافة مؤشرات بشكل مجمع إلى Microsoft Sentinel التحليل الذكي للمخاطر من ملف CSV أو JSON
  • العمل مع مؤشرات التهديد في Microsoft Sentinel
  • فهم التغطية الأمنية بواسطة إطار عمل MITRE ATT&CK
• إدارة المحتوى
  • اكتشاف المحتوى الجاهز وإدارته Microsoft Sentinel
  • كتالوج مركز المحتوى Microsoft Sentinel
  • نشر محتوى مخصص من المستودع الخاص بك
• التكوين
  • البحث عن موصل بيانات Microsoft Sentinel
  • إنشاء قواعد تحليلات مخصصة للكشف عن التهديدات
  • العمل مع قواعد تحليلات الكشف في الوقت الفعلي تقريبا (NRT) في Microsoft Sentinel
  • إنشاء قوائم المشاهدة
  • إدارة قوائم المشاهدة في Microsoft Sentinel
  • إنشاء قواعد التنفيذ التلقائي
  • إنشاء أدلة مبادئ Microsoft Sentinel وتخصيصها من قوالب المحتوى

ابحث عن إعدادات Microsoft Sentinel في مدخل Defender ضمنإعدادات>النظام>Microsoft Sentinel.

إلغاء Microsoft Sentinel

يمكنك توصيل مساحة عمل واحدة فقط بمدخل Defender في كل مرة. إذا كنت ترغب في الاتصال بمساحة عمل مختلفة تم تمكينها Microsoft Sentinel، فافصل مساحة العمل الحالية وقم بتوصيل مساحة العمل الأخرى.

1. انتقل إلى مدخل Microsoft Defender وسجل الدخول.

2. في مدخل Defender، ضمن System، حدد Settings>Microsoft Sentinel.

3. في صفحة مساحات العمل ، حدد مساحة العمل المتصلة وفصل مساحة العمل.

4. قدم سببا لفصل مساحة العمل.

5. تأكد من اختيارك.

   عند قطع اتصال مساحة العمل الخاصة بك، تتم إزالة قسم Microsoft Sentinel من التنقل الجانبي الأيسر لمدخل Defender. لم تعد البيانات من Microsoft Sentinel مضمنة في صفحة نظرة عامة.

إذا كنت تريد الاتصال بمساحة عمل مختلفة، من صفحة مساحات العمل ، حدد مساحة العمل وقم بتوصيل مساحة عمل.

المحتويات ذات الصلة

• Microsoft Sentinel في مدخل Microsoft Defender
• التتبع المتقدم في مدخل Microsoft Defender
• تعطيل الهجوم التلقائي في Microsoft Defender XDR
• التحقيق في الحوادث في مدخل Microsoft Defender
• تحسين عمليات الأمان الخاصة بك