نظرة عامة على تخطيط النظام الأساسي لعمليات الأمان الموحدة من Microsoft
توضح هذه المقالة الأنشطة لتخطيط توزيع منتجات الأمان من Microsoft إلى النظام الأساسي لعمليات الأمان الموحدة من Microsoft لعمليات الأمان الشاملة (SecOps). قم بتوحيد SecOps على النظام الأساسي ل Microsoft لمساعدتك على تقليل المخاطر ومنع الهجمات واكتشاف التهديدات الإلكترونية وتعطيلها في الوقت الفعلي والاستجابة بشكل أسرع باستخدام قدرات الأمان المحسنة الذكاء الاصطناعي، كل ذلك من مدخل Microsoft Defender.
التخطيط للنشر
يجمع النظام الأساسي الموحد ل SecOps من Microsoft بين خدمات مثل Microsoft Defender XDR Microsoft Sentinel إدارة التعرض للأمان في Microsoft Microsoft Security Copilot في مدخل Microsoft Defender.
الخطوة الأولى في تخطيط التوزيع الخاص بك هي تحديد الخدمات التي تريد استخدامها.
كشرط أساسي، ستحتاج إلى كل من Microsoft Defender XDRMicrosoft Sentinel لمراقبة وحماية كل من خدمات وحلول Microsoft وغير التابعة ل Microsoft، بما في ذلك الموارد السحابية والمحلية.
نشر أي من الخدمات التالية لإضافة الأمان عبر نقاط النهاية والهويات والبريد الإلكتروني والتطبيقات لتوفير حماية متكاملة من الهجمات المتطورة.
تشمل خدمات Microsoft Defender XDR ما يلي:
| الخدمة | الوصف |
|---|---|
| Microsoft Defender لـ Office 365 | يحمي من التهديدات التي تشكلها رسائل البريد الإلكتروني وارتباطات URL وأدوات التعاون Office 365. |
| Microsoft Defender للهوية | تحديد التهديدات والكشف عنها والتحقيق فيها من كل من الهويات Active Directory محلي والسحابة مثل Microsoft Entra ID. |
| Microsoft Defender for Endpoint | مراقبة أجهزة نقطة النهاية وحمايتها، واكتشاف انتهاكات الجهاز والتحقيق فيها، والاستجابة تلقائيا للتهديدات الأمنية. |
| Microsoft Defender لـ IoT | يوفر كل من اكتشاف جهاز IoT وقيمة الأمان لأجهزة IoT. |
| إدارة الثغرات الأمنية في Microsoft Defender | يحدد الأصول ومخزون البرامج، ويقيم وضع الجهاز للعثور على الثغرات الأمنية. |
| Microsoft Defender for Cloud Apps | يحمي ويتحكم في الوصول إلى تطبيقات سحابة SaaS. |
تشمل الخدمات الأخرى المدعومة في مدخل Microsoft Defender كجزء من النظام الأساسي الموحد ل SecOps من Microsoft، ولكنها غير مرخصة مع Microsoft Defender XDR، ما يلي:
| الخدمة | الوصف |
|---|---|
| إدارة التعرض للأمان في Microsoft | يوفر عرضا موحدا لوضع الأمان عبر أصول الشركة وأحمال العمل، مما يثري معلومات الأصول مع سياق الأمان. |
| Microsoft Security Copilot | يوفر رؤى وتوصيات تستند إلى الذكاء الاصطناعي لتحسين عمليات الأمان الخاصة بك. |
| Microsoft Defender للسحابة | يحمي البيئات متعددة السحابة والمختلطة مع الكشف المتقدم عن التهديدات والاستجابة لها. |
| تحليل ذكي للمخاطر في Microsoft Defender | يبسط مهام سير عمل التحليل الذكي للمخاطر من خلال تجميع مصادر البيانات الهامة وإثرائها لربط مؤشرات التسوية (IOCs) بالمقالات ذات الصلة وملفات تعريف المستخدمين ونقاط الضعف. |
| Microsoft Entra ID Protection | تقييم بيانات المخاطر من محاولات تسجيل الدخول لتقييم مخاطر كل تسجيل دخول إلى بيئتك. |
| إدارة المخاطر الداخلية لـ Microsoft Purview | يربط إشارات مختلفة لتحديد المخاطر الداخلية الضارة أو غير المقصودة المحتملة، مثل سرقة IP وتسرب البيانات وانتهاكات الأمان. |
مراجعة المتطلبات الأساسية للخدمة
قبل نشر النظام الأساسي لعمليات الأمان الموحدة من Microsoft، راجع المتطلبات الأساسية لكل خدمة تخطط لاستخدامها. يسرد الجدول التالي الخدمات والارتباطات لمزيد من المعلومات:
| خدمة الأمان | المتطلبات الأساسية |
|---|---|
| مطلوب ل SecOps الموحدة | |
| Microsoft Defender XDR | المتطلبات الأساسية Microsoft Defender XDR |
| Microsoft Sentinel | المتطلبات الأساسية لتوزيع Microsoft Sentinel |
| خدمات Microsoft Defender XDR الاختيارية | |
| Microsoft Defender ل Office | المتطلبات الأساسية Microsoft Defender XDR |
| Microsoft Defender للهوية | المتطلبات الأساسية Microsoft Defender for Identity |
| Microsoft Defender for Endpoint | إعداد توزيع Microsoft Defender لنقطة النهاية |
| مراقبة المؤسسة مع Microsoft Defender ل IoT | المتطلبات الأساسية ل Defender ل IoT في مدخل Defender |
| إدارة الثغرات الأمنية في Microsoft Defender | المتطلبات الأساسية & أذونات إدارة الثغرات الأمنية في Microsoft Defender |
| Microsoft Defender for Cloud Apps | بدء العمل باستخدام Microsoft Defender للتطبيقات السحابية |
| الخدمات الأخرى المدعومة في مدخل Microsoft Defender | |
| إدارة التعرض للأمان في Microsoft | المتطلبات الأساسية والدعم |
| Microsoft Security Copilot | الحد الأدنى للمتطلبات |
| Microsoft Defender للسحابة | ابدأ في التخطيط للحماية متعددة السحابات والمقالات الأخرى في نفس القسم. |
| تحليل ذكي للمخاطر في Microsoft Defender | المتطلبات الأساسية ل Defender Threat Intelligence |
| Microsoft Entra ID Protection | المتطلبات الأساسية Microsoft Entra ID Protection |
| إدارة المخاطر الداخلية لـ Microsoft Purview | بدء استخدام إدارة المخاطر الداخلية |
مراجعة ممارسات أمان البيانات والخصوصية
قبل نشر النظام الأساسي لعمليات الأمان الموحدة من Microsoft، تأكد من فهم ممارسات أمان البيانات والخصوصية لكل خدمة تخطط لاستخدامها. يسرد الجدول التالي الخدمات والارتباطات لمزيد من المعلومات. لاحظ أن العديد من الخدمات تستخدم ممارسات أمان البيانات واستبقائها Microsoft Defender XDR بدلا من أن يكون لها ممارسات منفصلة خاصة بها.
تخطيط بنية مساحة عمل Log Analytics
لاستخدام النظام الأساسي SecOps الموحد من Microsoft، تحتاج إلى مساحة عمل Log Analytics ممكنة Microsoft Sentinel. قد تكون مساحة عمل Log Analytics واحدة كافية للعديد من البيئات، ولكن العديد من المؤسسات تنشئ مساحات عمل متعددة لتحسين التكاليف وتلبية متطلبات العمل المختلفة بشكل أفضل. يدعم النظام الأساسي SecOps الموحد من Microsoft مساحة عمل واحدة فقط.
صمم مساحة عمل Log Analytics التي تريد تمكينها Microsoft Sentinel. ضع في اعتبارك معلمات مثل أي متطلبات امتثال لديك لجمع البيانات وتخزينها وكيفية التحكم في الوصول إلى بيانات Microsoft Sentinel.
لمزيد من المعلومات، اطلع على:
تخطيط تكاليف Microsoft Sentinel ومصادر البيانات
ي استيعاب النظام الأساسي SecOps الموحد من Microsoft للبيانات من خدمات Microsoft التابعة لجهة أولى، مثل Microsoft Defender for Cloud Apps Microsoft Defender للسحابة. نوصي بتوسيع تغطيتك إلى مصادر البيانات الأخرى في بيئتك عن طريق إضافة موصلات بيانات Microsoft Sentinel.
تحديد مصادر البيانات
حدد المجموعة الكاملة من مصادر البيانات التي ستتناول البيانات منها، ومتطلبات حجم البيانات لمساعدتك على عرض ميزانية التوزيع والجدول الزمني بدقة. يمكنك تحديد هذه المعلومات أثناء مراجعة حالة استخدام الأعمال، أو عن طريق تقييم SIEM الحالي الذي لديك بالفعل. إذا كان لديك بالفعل SIEM في مكانه، فحلل بياناتك لفهم مصادر البيانات التي توفر أكبر قيمة ويجب استيعابها في Microsoft Sentinel.
على سبيل المثال، قد ترغب في استخدام أي من مصادر البيانات الموصى بها التالية:
خدمات Azure: إذا تم نشر أي من الخدمات التالية في Azure، فاستخدم الموصلات التالية لإرسال سجلات التشخيص الخاصة بهذه الموارد إلى Microsoft Sentinel:
- جدار حماية Azure
- بوابة تطبيق Azure
- Keyvault
- خدمة Azure Kubernetes
- Azure SQL
- مجموعات أمان الشبكة
- خوادم Azure-Arc
نوصي بإعداد نهج Azure لطلب إعادة توجيه سجلاتهم إلى مساحة عمل Log Analytics الأساسية. لمزيد من المعلومات، راجع إنشاء إعدادات التشخيص على نطاق واسع باستخدام نهج Azure.
الأجهزة الظاهرية: بالنسبة للأجهزة الظاهرية المستضافة محليا أو في السحب الأخرى التي تتطلب جمع سجلاتها، استخدم موصلات البيانات التالية:
- أمن Windows الأحداث باستخدام AMA
- الأحداث عبر Defender لنقطة النهاية (للخادم)
- سجل النظام
الأجهزة الظاهرية للشبكة / المصادر المحلية: بالنسبة للأجهزة الظاهرية للشبكة أو المصادر المحلية الأخرى التي تنشئ تنسيق الحدث الشائع (CEF) أو سجلات SYSLOG، استخدم موصلات البيانات التالية:
- Syslog عبر AMA
- تنسيق الحدث الشائع (CEF) عبر AMA
لمزيد من المعلومات، راجع تحديد أولويات موصلات البيانات.
تخطيط ميزانيتك
خطط لميزانيتك Microsoft Sentinel، مع مراعاة الآثار المترتبة على التكلفة لكل سيناريو مخطط له. تأكد من أن ميزانيتك تغطي تكلفة استيعاب البيانات لكل من Microsoft Sentinel وAzure Log Analytics، وأي أدلة مبادئ سيتم نشرها، وما إلى ذلك. لمزيد من المعلومات، اطلع على:
فهم مداخل أمان Microsoft ومراكز الإدارة
في حين أن مدخل Microsoft Defender هو الصفحة الرئيسية لمراقبة وإدارة الأمان عبر هوياتك وبياناتك وأجهزتك وتطبيقاتك، فأنت بحاجة إلى الوصول إلى مداخل مختلفة لمهام متخصصة معينة.
تتضمن مداخل أمان Microsoft ما يلي:
| اسم المدخل | الوصف | رابط |
|---|---|---|
| مدخل Microsoft Defender | مراقبة نشاط التهديد والاستجابة له وتعزيز وضع الأمان عبر الهويات والبريد الإلكتروني والبيانات ونقاط النهاية والتطبيقات باستخدام Microsoft Defender XDR](.. /defender-xdr/microsoft-365-defender.md) |
security.microsoft.com مدخل Microsoft Defender هو المكان الذي تقوم فيه بعرض وإدارة التنبيهات والحوادث والإعدادات والمزيد. |
| مدخل Defender for Cloud | استخدم Microsoft Defender للسحابة لتعزيز الوضع الأمني لمراكز البيانات وأحمال العمل المختلطة في السحابة | portal.azure.com/#blade/Microsoft_Azure_Security |
| مدخل التحليل الذكي لمخاطر الأمان من Microsoft | الحصول على تحديثات التحليل الذكي للأمان Microsoft Defender لنقطة النهاية وإرسال العينات واستكشاف موسوعة التهديد | microsoft.com/wdsi |
يصف الجدول التالي المداخل لأحمال العمل الأخرى التي يمكن أن تؤثر على أمانك. تفضل بزيارة هذه المداخل لإدارة الهويات والأذونات وإعدادات الجهاز ونهج معالجة البيانات.
| اسم المدخل | الوصف | رابط |
|---|---|---|
| مركز مسؤولي Microsoft Entra | الوصول إلى العائلة Microsoft Entra وإدارتها لحماية عملك بهوية لامركزية وحماية الهوية والحوكمة والمزيد، في بيئة متعددة السحابة | entra.microsoft.com |
| مدخل Microsoft Azure | عرض وإدارة جميع موارد Azure | portal.azure.com |
| مدخل Microsoft Purview | إدارة نهج معالجة البيانات وضمان الامتثال للوائح | purview.microsoft.com |
| مركز مسؤولي Microsoft 365 | تكوين خدمات Microsoft 365؛ إدارة الأدوار والتراخيص وتتبع التحديثات لخدمات Microsoft 365 | admin.microsoft.com |
| مركز إدارة Microsoft Intune | استخدم Microsoft Intune لإدارة الأجهزة وتأمينها. يمكن أيضا الجمع بين قدرات Intune Configuration Manager. | intune.microsoft.com |
| مدخل Microsoft Intune | استخدام Microsoft Intune لنشر نهج الجهاز ومراقبة الأجهزة للتوافق | intune.microsoft.com |
تخطيط الأدوار والأذونات
استخدم Microsoft Entra التحكم في الوصول استنادا إلى الدور (RBAC) لإنشاء الأدوار وتعيينها داخل فريق عمليات الأمان لمنح الوصول المناسب إلى الخدمات المضمنة في النظام الأساسي الموحد ل SecOps من Microsoft.
يوفر نموذج التحكم في الوصول الموحد (RBAC) Microsoft Defender XDR تجربة إدارة أذونات واحدة توفر موقعا مركزيا واحدا للمسؤولين للتحكم في أذونات المستخدم عبر العديد من حلول الأمان. لمزيد من المعلومات، راجع Microsoft Defender XDR التحكم في الوصول الموحد المستند إلى الدور (RBAC).
بالنسبة للخدمات التالية، استخدم الأدوار المختلفة المتوفرة، أو أنشئ أدوارا مخصصة، لمنحك تحكما دقيقا في ما يمكن للمستخدمين رؤيته والقيام به. لمزيد من المعلومات، اطلع على:
| خدمة الأمان | الارتباط بمتطلبات الدور |
|---|---|
| مطلوب ل SecOps الموحدة | |
| Microsoft Defender XDR | إدارة الوصول إلى Microsoft Defender XDR بأدوار عمومية Microsoft Entra |
| Microsoft Sentinel | الأدوار والأذونات في Microsoft Sentinel |
| خدمات Microsoft Defender XDR الاختيارية | |
| Microsoft Defender للهوية | Microsoft Defender for Identity مجموعات الأدوار |
| Microsoft Defender ل Office | أذونات Microsoft Defender لـ Office 365 في مدخل Microsoft Defender |
| Microsoft Defender for Endpoint | تعيين الأدوار والأذونات لتوزيع Microsoft Defender لنقطة النهاية |
| إدارة الثغرات الأمنية في Microsoft Defender | خيارات الأذونات ذات الصلة إدارة الثغرات الأمنية في Microsoft Defender |
| Microsoft Defender for Cloud Apps | تكوين وصول المسؤول Microsoft Defender for Cloud Apps |
| الخدمات الأخرى المدعومة في مدخل Microsoft Defender | |
| إدارة التعرض للأمان في Microsoft | أذونات إدارة التعرض للأمان في Microsoft |
| Microsoft Defender للسحابة | أدوار المستخدم وأذوناته |
| إدارة المخاطر الداخلية لـ Microsoft Purview | تمكين الأذونات لإدارة المخاطر الداخلية |
تخطيط أنشطة ثقة معدومة
النظام الأساسي الموحد ل SecOps من Microsoft هو جزء من نموذج الأمان ثقة معدومة من Microsoft، والذي يتضمن المبادئ التالية:
| مبدأ الأمان | الوصف |
|---|---|
| التحقق بشكل صريح | المصادقة والتخويل دائما استنادا إلى جميع نقاط البيانات المتوفرة. |
| استخدام الوصول الأقل امتيازا | تقييد وصول المستخدم باستخدام Just-In-Time و Just-Enough-Access (JIT/JEA)، والنهج التكيفية المستندة إلى المخاطر، وحماية البيانات. |
| افتراض الخرق | تقليل نصف قطر الانفجار والوصول إلى المقطع. تحقق من التشفير الشامل واستخدم التحليلات للحصول على الرؤية، ودفع الكشف عن التهديدات، وتحسين الدفاعات. |
تم تصميم ثقة معدومة الأمان لحماية البيئات الرقمية الحديثة من خلال الاستفادة من تجزئة الشبكة، ومنع الحركة الجانبية، وتوفير الوصول الأقل امتيازا، واستخدام التحليلات المتقدمة للكشف عن التهديدات والاستجابة لها.
لمزيد من المعلومات حول تنفيذ مبادئ ثقة معدومة في النظام الأساسي الموحد ل SecOps من Microsoft، راجع محتوى ثقة معدومة للخدمات التالية:
- Microsoft Defender XDR
- Microsoft Sentinel
- Microsoft Defender للهوية
- Microsoft Defender لـ Office 365
- مشكلات الأداء في Microsoft Defender لنقطة النهاية
- Microsoft Defender for Cloud Apps
- إدارة التعرض للأمان في Microsoft
- Microsoft Defender للسحابة
- Microsoft Security Copilot
- Microsoft Entra ID Protection
- Microsoft Purview
لمزيد من المعلومات، راجع مركز إرشادات ثقة معدومة.