مشاركة عبر

نشر النظام الأساسي الموحد ل SecOps من Microsoft

  • مقالة

يجمع النظام الأساسي لعمليات الأمان الموحدة من Microsoft بين قدرات مدخل Microsoft Defender Microsoft Sentinel وخدمات Microsoft Defender الأخرى. يوفر هذا النظام الأساسي نظرة شاملة على الوضع الأمني لمؤسستك ويساعدك على اكتشاف التهديدات والتحقيق فيها والاستجابة لها عبر مؤسستك.

تتوفر إدارة التعرض للأمان في Microsoft وMicrosoft Threat Intelligence في أي بيئة تفي بالمتطلبات الأساسية، للمستخدمين الذين تم تكوينهم بالأذونات المطلوبة.

المتطلبات الأساسية

توزيع خدمات Microsoft Defender XDR

Microsoft Defender XDR توحيد الاستجابة للحوادث من خلال دمج القدرات الرئيسية عبر الخدمات، بما في ذلك Microsoft Defender لنقطة النهاية Microsoft Defender لـ Office 365، Microsoft Defender for Cloud Apps و Microsoft Defender for Identity تضيف هذه التجربة الموحدة ميزات قوية يمكنك الوصول إليها في مدخل Microsoft Defender.

  1. يتم تشغيل Microsoft Defender XDR تلقائيا عند زيارة العملاء المؤهلين الذين لديهم الأذونات المطلوبة Microsoft Defender المدخل. لمزيد من المعلومات، راجع تشغيل Microsoft Defender XDR.

  2. تابع عن طريق نشر خدمات Microsoft Defender XDR. نوصي باستخدام الترتيب التالي:

    1. توزيع Microsoft Defender for Identity.

    2. توزيع Microsoft Defender لـ Office 365.

    3. توزيع Microsoft Defender لنقطة النهاية. أضف إدارة الثغرات الأمنية في Microsoft Defender و/أو مراقبة المؤسسة لأجهزة IoT، حسب الاقتضاء لبيئتك.

    4. انشر Microsoft Defender for Cloud Apps.

تكوين Microsoft Entra ID Protection

يمكن Microsoft Defender XDR استيعاب الإشارات من Microsoft Entra ID Protection وتضمينها، والتي تقيم بيانات المخاطر من مليارات محاولات تسجيل الدخول وتقيم مخاطر كل تسجيل دخول إلى بيئتك. يستخدم Microsoft Entra ID البيانات Microsoft Entra ID Protection للسماح بالوصول إلى الحساب أو منعه، اعتمادا على كيفية تكوين نهج الوصول المشروط.

قم بتكوين Microsoft Entra ID Protection لتحسين وضع الأمان وإضافة إشارات Microsoft Entra إلى عمليات الأمان الموحدة. لمزيد من المعلومات، راجع تكوين نهج Microsoft Entra ID Protection.

توزيع Microsoft Defender للسحابة

يوفر Microsoft Defender for Cloud تجربة إدارة أمان موحدة لموارد السحابة الخاصة بك، ويمكنه أيضا إرسال إشارات إلى Microsoft Defender XDR. على سبيل المثال، قد ترغب في البدء بتوصيل اشتراكات Azure الخاصة بك Microsoft Defender for Cloud، ثم الانتقال إلى بيئات سحابية أخرى.

لمزيد من المعلومات، راجع توصيل اشتراكات Azure.

إلحاق Microsoft Security Copilot

إلحاق Microsoft Security Copilot لتحسين عمليات الأمان الخاصة بك من خلال الاستفادة من قدرات الذكاء الاصطناعي المتقدمة. يساعد Security Copilot في الكشف عن التهديدات والتحقيق فيها والاستجابة لها، ما يوفر رؤى وتوصيات قابلة للتنفيذ لمساعدتك على البقاء متقدما على التهديدات المحتملة. استخدم Security Copilot لأتمتة المهام الروتينية، وتقليل الوقت للكشف عن الحوادث والاستجابة لها، وتحسين الكفاءة العامة لفريق الأمان الخاص بك.

لمزيد من المعلومات، راجع بدء استخدام Security Copilot.

تصميم مساحة العمل الخاصة بك وإلحاقها Microsoft Sentinel

الخطوة الأولى في استخدام Microsoft Sentinel هي إنشاء مساحة عمل Log Analytics، إذا لم يكن لديك مساحة عمل بالفعل. قد تكون مساحة عمل Log Analytics واحدة كافية للعديد من البيئات، ولكن العديد من المؤسسات تنشئ مساحات عمل متعددة لتحسين التكاليف وتلبية متطلبات العمل المختلفة بشكل أفضل. يدعم النظام الأساسي لعمليات الأمان الموحدة من Microsoft مساحة عمل واحدة فقط.

  1. إنشاء مجموعة موارد أمان لأغراض الحوكمة، ما يسمح لك بعزل موارد Microsoft Sentinel والوصول المستند إلى الدور إلى المجموعة.
  2. إنشاء مساحة عمل Log Analytics في مجموعة موارد الأمان وإلحاق Microsoft Sentinel فيها.

لمزيد من المعلومات، راجع إلحاق Microsoft Sentinel.

تكوين الأدوار والأذونات

قم بتوفير المستخدمين استنادا إلى خطة الوصول التي أعددتها سابقا. للامتثال لمبادئ ثقة معدومة، نوصي باستخدام التحكم في الوصول استنادا إلى الدور (RBAC) لتوفير وصول المستخدم فقط إلى الموارد المسموح بها والملائمة لكل مستخدم، بدلا من توفير الوصول إلى البيئة بأكملها.

لمزيد من المعلومات، اطلع على:

إلحاق ب SecOps الموحد

عند إلحاق Microsoft Sentinel بمدخل Defender، يمكنك توحيد القدرات مع Microsoft Defender XDR مثل إدارة الحوادث والتتبع المتقدم، وإنشاء نظام أساسي SecOps موحد.

  1. قم بتثبيت حل Microsoft Defender XDR Microsoft Sentinel من مركز المحتوى. لمزيد من المعلومات، راجع نشر المحتوى الجاهز وإدارته.
  2. تمكين موصل البيانات Microsoft Defender XDR لجمع الحوادث والتنبيهات. لمزيد من المعلومات، راجع توصيل البيانات من Microsoft Defender XDR إلى Microsoft Sentinel.
  3. إلحاق بمنصة SecOps الموحدة من Microsoft. لمزيد من المعلومات، راجع توصيل Microsoft Sentinel Microsoft Defender.

ضبط تكوينات النظام

استخدم خيارات تكوين Microsoft Sentinel التالية لضبط التوزيع الخاص بك:

تمكين الصحة والتدقيق

مراقبة سلامة موارد Microsoft Sentinel المدعومة وتدقيقها عن طريق تشغيل ميزة التدقيق ومراقبة السلامة في صفحة إعدادات Microsoft Sentinel. احصل على رؤى حول الانحرافات الصحية، مثل أحدث أحداث الفشل أو التغييرات من حالات النجاح إلى حالات الفشل، والإجراءات غير المصرح بها، واستخدم هذه المعلومات لإنشاء إعلامات وإجراءات تلقائية أخرى.

لمزيد من المعلومات، راجعتشغيل التدقيق والمراقبة الصحية Microsoft Sentinel.

تكوين محتوى Microsoft Sentinel

استنادا إلى مصادر البيانات التي حددتها عند التخطيط للتوزيع، قم بتثبيت حلول Microsoft Sentinel وتكوين موصلات البيانات. يوفر Microsoft Sentinel مجموعة واسعة من الحلول المضمنة وموصلات البيانات، ولكن يمكنك أيضا إنشاء موصلات مخصصة وإعداد الموصلات لاستيعاب سجلات CEF أو Syslog.

لمزيد من المعلومات، اطلع على:

تمكين تحليلات سلوك المستخدم والكيان (UEBA)

بعد إعداد موصلات البيانات في Microsoft Sentinel، تأكد من تمكين تحليلات سلوك كيان المستخدم لتحديد السلوك المشبوه الذي قد يؤدي إلى استغلال التصيد الاحتيالي وهجمات في النهاية مثل برامج الفدية الضارة. لمزيد من المعلومات، راجع تمكين UEBA في Microsoft Sentinel.

إعداد استبقاء البيانات التفاعلية وطويلة الأجل

قم بإعداد استبقاء البيانات التفاعلية وطويلة الأجل للتأكد من أن مؤسستك تحتفظ بالبيانات المهمة على المدى الطويل. لمزيد من المعلومات، راجع تكوين استبقاء البيانات التفاعلية وطويلة الأجل.

تمكين قواعد التحليلات

تخبر قواعد التحليلات Microsoft Sentinel بتنبيهك إلى الأحداث باستخدام مجموعة من الشروط التي تعتبرها مهمة. تستند القرارات الجاهزة Microsoft Sentinel التي تتخذها إلى تحليلات سلوكية لكيان المستخدم (UEBA) وعلى ارتباطات البيانات عبر مصادر بيانات متعددة. عند تشغيل القواعد التحليلية Microsoft Sentinel، قم بتحديد أولويات التمكين بواسطة مصادر البيانات المتصلة والمخاطر التنظيمية وتكتيك MITRE.

لمزيد من المعلومات، راجع الكشف عن التهديدات في Microsoft Sentinel.

مراجعة قواعد الشذوذ

تتوفر قواعد Microsoft Sentinel الخارجة عن المألوف خارج الصندوق ويتم تمكينها بشكل افتراضي. تستند قواعد الشذوذ إلى نماذج التعلم الآلي وUEBA التي تتدرب على البيانات في مساحة العمل الخاصة بك لوضع علامة على السلوك الشاذ عبر المستخدمين والمضيفين وغيرهم. راجع قواعد الحالات الشاذة وحدود درجة الشذوذ لكل واحدة. إذا كنت تلاحظ إيجابيات خاطئة على سبيل المثال، ففكر في تكرار القاعدة وتعديل الحد.

لمزيد من المعلومات، راجع العمل مع قواعد تحليلات الكشف عن الحالات الشاذة.

استخدام قاعدة تحليلات التحليل الذكي للمخاطر من Microsoft

قم بتمكين قاعدة تحليلات التحليل الذكي للمخاطر من Microsoft الجاهزة وتحقق من أن هذه القاعدة تطابق بيانات السجل الخاصة بك مع التحليل الذكي للمخاطر الذي أنشأته Microsoft. لدى Microsoft مستودع واسع من بيانات التحليل الذكي للمخاطر، وتستخدم هذه القاعدة التحليلية مجموعة فرعية منها لإنشاء تنبيهات وحوادث عالية الدقة لفرق SOC (مراكز عمليات الأمان) للفرز.

تجنب الحوادث المكررة

بعد توصيل Microsoft Sentinel Microsoft Defender، يتم إنشاء مزامنة ثنائية الاتجاه بين حوادث Microsoft Defender XDR Microsoft Sentinel تلقائيا. لتجنب إنشاء حوادث مكررة لنفس التنبيهات، نوصي بإيقاف تشغيل جميع قواعد إنشاء حوادث Microsoft للمنتجات المتكاملة Microsoft Defender XDR، بما في ذلك Defender for Endpoint وDefender for Identity Defender لـ Office 365 Defender for Cloud Apps و Microsoft Entra ID Protection.

لمزيد من المعلومات، راجع إنشاء حدث Microsoft .

إجراء ممر MITRE ATT&CK

مع تمكين القواعد التحليلية للاندماج والشذوذ والتحليل الذكي للمخاطر، قم بإجراء MITRE Att&ck crosswalk لمساعدتك في تحديد القواعد التحليلية المتبقية لتمكين وإنهاء تنفيذ عملية XDR ناضجة (الكشف والاستجابة الموسعة). وهذا يتيح لك اكتشاف الهجوم والاستجابة له طوال دورة حياة الهجوم.

لمزيد من المعلومات، راجع فهم تغطية الأمان.