مشاركة عبر


نظرة عامة على تخطيط النظام الأساسي لعمليات الأمان الموحدة من Microsoft

توضح هذه المقالة الأنشطة لتخطيط توزيع منتجات الأمان من Microsoft إلى النظام الأساسي لعمليات الأمان الموحدة من Microsoft لعمليات الأمان الشاملة (SecOps). قم بتوحيد SecOps على النظام الأساسي ل Microsoft لمساعدتك على تقليل المخاطر ومنع الهجمات واكتشاف التهديدات الإلكترونية وتعطيلها في الوقت الفعلي والاستجابة بشكل أسرع باستخدام قدرات الأمان المحسنة الذكاء الاصطناعي، كل ذلك من مدخل Microsoft Defender.

التخطيط للنشر

يجمع النظام الأساسي الموحد ل SecOps من Microsoft بين خدمات مثل Microsoft Defender XDR Microsoft Sentinel إدارة التعرض للأمان في Microsoft Microsoft Security Copilot في مدخل Microsoft Defender.

الخطوة الأولى في تخطيط التوزيع الخاص بك هي تحديد الخدمات التي تريد استخدامها.

كشرط أساسي، ستحتاج إلى كل من Microsoft Defender XDRMicrosoft Sentinel لمراقبة وحماية كل من خدمات وحلول Microsoft وغير التابعة ل Microsoft، بما في ذلك الموارد السحابية والمحلية.

نشر أي من الخدمات التالية لإضافة الأمان عبر نقاط النهاية والهويات والبريد الإلكتروني والتطبيقات لتوفير حماية متكاملة من الهجمات المتطورة.

تشمل خدمات Microsoft Defender XDR ما يلي:

الخدمة الوصف
Microsoft Defender لـ Office 365 يحمي من التهديدات التي تشكلها رسائل البريد الإلكتروني وارتباطات URL وأدوات التعاون Office 365.
Microsoft Defender للهوية تحديد التهديدات والكشف عنها والتحقيق فيها من كل من الهويات Active Directory محلي والسحابة مثل Microsoft Entra ID.
Microsoft Defender for Endpoint مراقبة أجهزة نقطة النهاية وحمايتها، واكتشاف انتهاكات الجهاز والتحقيق فيها، والاستجابة تلقائيا للتهديدات الأمنية.
Microsoft Defender لـ IoT يوفر كل من اكتشاف جهاز IoT وقيمة الأمان لأجهزة IoT.
إدارة الثغرات الأمنية في Microsoft Defender يحدد الأصول ومخزون البرامج، ويقيم وضع الجهاز للعثور على الثغرات الأمنية.
Microsoft Defender for Cloud Apps يحمي ويتحكم في الوصول إلى تطبيقات سحابة SaaS.

تشمل الخدمات الأخرى المدعومة في مدخل Microsoft Defender كجزء من النظام الأساسي الموحد ل SecOps من Microsoft، ولكنها غير مرخصة مع Microsoft Defender XDR، ما يلي:

الخدمة الوصف
إدارة التعرض للأمان في Microsoft يوفر عرضا موحدا لوضع الأمان عبر أصول الشركة وأحمال العمل، مما يثري معلومات الأصول مع سياق الأمان.
Microsoft Security Copilot يوفر رؤى وتوصيات تستند إلى الذكاء الاصطناعي لتحسين عمليات الأمان الخاصة بك.
Microsoft Defender للسحابة يحمي البيئات متعددة السحابة والمختلطة مع الكشف المتقدم عن التهديدات والاستجابة لها.
تحليل ذكي للمخاطر في Microsoft Defender يبسط مهام سير عمل التحليل الذكي للمخاطر من خلال تجميع مصادر البيانات الهامة وإثرائها لربط مؤشرات التسوية (IOCs) بالمقالات ذات الصلة وملفات تعريف المستخدمين ونقاط الضعف.
Microsoft Entra ID Protection تقييم بيانات المخاطر من محاولات تسجيل الدخول لتقييم مخاطر كل تسجيل دخول إلى بيئتك.
إدارة المخاطر الداخلية لـ Microsoft Purview يربط إشارات مختلفة لتحديد المخاطر الداخلية الضارة أو غير المقصودة المحتملة، مثل سرقة IP وتسرب البيانات وانتهاكات الأمان.

مراجعة المتطلبات الأساسية للخدمة

قبل نشر النظام الأساسي لعمليات الأمان الموحدة من Microsoft، راجع المتطلبات الأساسية لكل خدمة تخطط لاستخدامها. يسرد الجدول التالي الخدمات والارتباطات لمزيد من المعلومات:

خدمة الأمان المتطلبات الأساسية
مطلوب ل SecOps الموحدة
Microsoft Defender XDR المتطلبات الأساسية Microsoft Defender XDR
Microsoft Sentinel المتطلبات الأساسية لتوزيع Microsoft Sentinel
خدمات Microsoft Defender XDR الاختيارية
Microsoft Defender ل Office المتطلبات الأساسية Microsoft Defender XDR
Microsoft Defender للهوية المتطلبات الأساسية Microsoft Defender for Identity
Microsoft Defender for Endpoint إعداد توزيع Microsoft Defender لنقطة النهاية
مراقبة المؤسسة مع Microsoft Defender ل IoT المتطلبات الأساسية ل Defender ل IoT في مدخل Defender
إدارة الثغرات الأمنية في Microsoft Defender المتطلبات الأساسية & أذونات إدارة الثغرات الأمنية في Microsoft Defender
Microsoft Defender for Cloud Apps بدء العمل باستخدام Microsoft Defender للتطبيقات السحابية
الخدمات الأخرى المدعومة في مدخل Microsoft Defender
إدارة التعرض للأمان في Microsoft المتطلبات الأساسية والدعم
Microsoft Security Copilot الحد الأدنى للمتطلبات
Microsoft Defender للسحابة ابدأ في التخطيط للحماية متعددة السحابات والمقالات الأخرى في نفس القسم.
تحليل ذكي للمخاطر في Microsoft Defender المتطلبات الأساسية ل Defender Threat Intelligence
Microsoft Entra ID Protection المتطلبات الأساسية Microsoft Entra ID Protection
إدارة المخاطر الداخلية لـ Microsoft Purview بدء استخدام إدارة المخاطر الداخلية

مراجعة ممارسات أمان البيانات والخصوصية

قبل نشر النظام الأساسي لعمليات الأمان الموحدة من Microsoft، تأكد من فهم ممارسات أمان البيانات والخصوصية لكل خدمة تخطط لاستخدامها. يسرد الجدول التالي الخدمات والارتباطات لمزيد من المعلومات. لاحظ أن العديد من الخدمات تستخدم ممارسات أمان البيانات واستبقائها Microsoft Defender XDR بدلا من أن يكون لها ممارسات منفصلة خاصة بها.

خدمة الأمان الخصوصية وأمان البيانات
مطلوب ل SecOps الموحدة
Microsoft Defender XDR أمان البيانات واستبقاءها في Microsoft Defender XDR
Microsoft Sentinel التوفر الجغرافي وإقامة البيانات في Microsoft Sentinel
خدمات Microsoft Defender XDR الاختيارية
Microsoft Defender ل Office أمان البيانات واستبقاءها في Microsoft Defender XDR
Microsoft Defender للهوية الخصوصية مع Microsoft Defender for Identity
Microsoft Defender for Endpoint Microsoft Defender لنقطة النهاية تخزين البيانات والخصوصية
مراقبة المؤسسة مع Microsoft Defender ل IoT أمان البيانات واستبقاءها في Microsoft Defender XDR
إدارة الثغرات الأمنية في Microsoft Defender Microsoft Defender لنقطة النهاية تخزين البيانات والخصوصية
Microsoft Defender for Cloud Apps الخصوصية مع Microsoft Defender for Cloud Apps
الخدمات الأخرى المدعومة في مدخل Microsoft Defender
إدارة التعرض للأمان في Microsoft نضارة البيانات والاحتفاظ بها والوظائف ذات الصلة
Microsoft Security Copilot الخصوصية وأمان البيانات في Microsoft Security Copilot
Microsoft Defender للسحابة Microsoft Defender لأمان بيانات السحابة
تحليل ذكي للمخاطر في Microsoft Defender أمان البيانات واستبقاءها في Microsoft Defender XDR
Microsoft Entra ID Protection استبقاء البيانات Microsoft Entra
إدارة المخاطر الداخلية لـ Microsoft Purview دليل خصوصية إدارة المخاطر الداخلية في Microsoft Purview وتوافق الاتصالات

إدارة سجلات المراسلة (MRM) ونهج الاستبقاء في Microsoft 365

تخطيط بنية مساحة عمل Log Analytics

لاستخدام النظام الأساسي SecOps الموحد من Microsoft، تحتاج إلى مساحة عمل Log Analytics ممكنة Microsoft Sentinel. قد تكون مساحة عمل Log Analytics واحدة كافية للعديد من البيئات، ولكن العديد من المؤسسات تنشئ مساحات عمل متعددة لتحسين التكاليف وتلبية متطلبات العمل المختلفة بشكل أفضل. يدعم النظام الأساسي SecOps الموحد من Microsoft مساحة عمل واحدة فقط.

صمم مساحة عمل Log Analytics التي تريد تمكينها Microsoft Sentinel. ضع في اعتبارك معلمات مثل أي متطلبات امتثال لديك لجمع البيانات وتخزينها وكيفية التحكم في الوصول إلى بيانات Microsoft Sentinel.

لمزيد من المعلومات، اطلع على:

  1. تصميم بنية مساحة العمل
  2. مراجعة نماذج تصميمات مساحة العمل

تخطيط تكاليف Microsoft Sentinel ومصادر البيانات

ي استيعاب النظام الأساسي SecOps الموحد من Microsoft للبيانات من خدمات Microsoft التابعة لجهة أولى، مثل Microsoft Defender for Cloud Apps Microsoft Defender للسحابة. نوصي بتوسيع تغطيتك إلى مصادر البيانات الأخرى في بيئتك عن طريق إضافة موصلات بيانات Microsoft Sentinel.

تحديد مصادر البيانات

حدد المجموعة الكاملة من مصادر البيانات التي ستتناول البيانات منها، ومتطلبات حجم البيانات لمساعدتك على عرض ميزانية التوزيع والجدول الزمني بدقة. يمكنك تحديد هذه المعلومات أثناء مراجعة حالة استخدام الأعمال، أو عن طريق تقييم SIEM الحالي الذي لديك بالفعل. إذا كان لديك بالفعل SIEM في مكانه، فحلل بياناتك لفهم مصادر البيانات التي توفر أكبر قيمة ويجب استيعابها في Microsoft Sentinel.

على سبيل المثال، قد ترغب في استخدام أي من مصادر البيانات الموصى بها التالية:

  • خدمات Azure: إذا تم نشر أي من الخدمات التالية في Azure، فاستخدم الموصلات التالية لإرسال سجلات التشخيص الخاصة بهذه الموارد إلى Microsoft Sentinel:

    • جدار حماية Azure
    • بوابة تطبيق Azure
    • Keyvault
    • خدمة Azure Kubernetes
    • Azure SQL
    • مجموعات أمان الشبكة
    • خوادم Azure-Arc

    نوصي بإعداد نهج Azure لطلب إعادة توجيه سجلاتهم إلى مساحة عمل Log Analytics الأساسية. لمزيد من المعلومات، راجع إنشاء إعدادات التشخيص على نطاق واسع باستخدام نهج Azure.

  • الأجهزة الظاهرية: بالنسبة للأجهزة الظاهرية المستضافة محليا أو في السحب الأخرى التي تتطلب جمع سجلاتها، استخدم موصلات البيانات التالية:

    • أمن Windows الأحداث باستخدام AMA
    • الأحداث عبر Defender لنقطة النهاية (للخادم)
    • سجل النظام
  • الأجهزة الظاهرية للشبكة / المصادر المحلية: بالنسبة للأجهزة الظاهرية للشبكة أو المصادر المحلية الأخرى التي تنشئ تنسيق الحدث الشائع (CEF) أو سجلات SYSLOG، استخدم موصلات البيانات التالية:

    • Syslog عبر AMA
    • تنسيق الحدث الشائع (CEF) عبر AMA

لمزيد من المعلومات، راجع تحديد أولويات موصلات البيانات.

تخطيط ميزانيتك

خطط لميزانيتك Microsoft Sentinel، مع مراعاة الآثار المترتبة على التكلفة لكل سيناريو مخطط له. تأكد من أن ميزانيتك تغطي تكلفة استيعاب البيانات لكل من Microsoft Sentinel وAzure Log Analytics، وأي أدلة مبادئ سيتم نشرها، وما إلى ذلك. لمزيد من المعلومات، اطلع على:

فهم مداخل أمان Microsoft ومراكز الإدارة

في حين أن مدخل Microsoft Defender هو الصفحة الرئيسية لمراقبة وإدارة الأمان عبر هوياتك وبياناتك وأجهزتك وتطبيقاتك، فأنت بحاجة إلى الوصول إلى مداخل مختلفة لمهام متخصصة معينة.

تتضمن مداخل أمان Microsoft ما يلي:

اسم المدخل الوصف رابط
مدخل Microsoft Defender مراقبة نشاط التهديد والاستجابة له وتعزيز وضع الأمان عبر الهويات والبريد الإلكتروني والبيانات ونقاط النهاية والتطبيقات باستخدام Microsoft Defender XDR](.. /defender-xdr/microsoft-365-defender.md) security.microsoft.com

مدخل Microsoft Defender هو المكان الذي تقوم فيه بعرض وإدارة التنبيهات والحوادث والإعدادات والمزيد.
مدخل Defender for Cloud استخدم Microsoft Defender للسحابة لتعزيز الوضع الأمني لمراكز البيانات وأحمال العمل المختلطة في السحابة portal.azure.com/#blade/Microsoft_Azure_Security
مدخل التحليل الذكي لمخاطر الأمان من Microsoft الحصول على تحديثات التحليل الذكي للأمان Microsoft Defender لنقطة النهاية وإرسال العينات واستكشاف موسوعة التهديد microsoft.com/wdsi

يصف الجدول التالي المداخل لأحمال العمل الأخرى التي يمكن أن تؤثر على أمانك. تفضل بزيارة هذه المداخل لإدارة الهويات والأذونات وإعدادات الجهاز ونهج معالجة البيانات.

اسم المدخل الوصف رابط
مركز مسؤولي Microsoft Entra الوصول إلى العائلة Microsoft Entra وإدارتها لحماية عملك بهوية لامركزية وحماية الهوية والحوكمة والمزيد، في بيئة متعددة السحابة entra.microsoft.com
مدخل Microsoft Azure عرض وإدارة جميع موارد Azure portal.azure.com
مدخل Microsoft Purview إدارة نهج معالجة البيانات وضمان الامتثال للوائح purview.microsoft.com
مركز مسؤولي Microsoft 365 تكوين خدمات Microsoft 365؛ إدارة الأدوار والتراخيص وتتبع التحديثات لخدمات Microsoft 365 admin.microsoft.com
مركز إدارة Microsoft Intune استخدم Microsoft Intune لإدارة الأجهزة وتأمينها. يمكن أيضا الجمع بين قدرات Intune Configuration Manager. intune.microsoft.com
مدخل Microsoft Intune استخدام Microsoft Intune لنشر نهج الجهاز ومراقبة الأجهزة للتوافق intune.microsoft.com

تخطيط الأدوار والأذونات

استخدم Microsoft Entra التحكم في الوصول استنادا إلى الدور (RBAC) لإنشاء الأدوار وتعيينها داخل فريق عمليات الأمان لمنح الوصول المناسب إلى الخدمات المضمنة في النظام الأساسي الموحد ل SecOps من Microsoft.

يوفر نموذج التحكم في الوصول الموحد (RBAC) Microsoft Defender XDR تجربة إدارة أذونات واحدة توفر موقعا مركزيا واحدا للمسؤولين للتحكم في أذونات المستخدم عبر العديد من حلول الأمان. لمزيد من المعلومات، راجع Microsoft Defender XDR التحكم في الوصول الموحد المستند إلى الدور (RBAC).

بالنسبة للخدمات التالية، استخدم الأدوار المختلفة المتوفرة، أو أنشئ أدوارا مخصصة، لمنحك تحكما دقيقا في ما يمكن للمستخدمين رؤيته والقيام به. لمزيد من المعلومات، اطلع على:

خدمة الأمان الارتباط بمتطلبات الدور
مطلوب ل SecOps الموحدة
Microsoft Defender XDR إدارة الوصول إلى Microsoft Defender XDR بأدوار عمومية Microsoft Entra
Microsoft Sentinel الأدوار والأذونات في Microsoft Sentinel
خدمات Microsoft Defender XDR الاختيارية
Microsoft Defender للهوية Microsoft Defender for Identity مجموعات الأدوار
Microsoft Defender ل Office أذونات Microsoft Defender لـ Office 365 في مدخل Microsoft Defender
Microsoft Defender for Endpoint تعيين الأدوار والأذونات لتوزيع Microsoft Defender لنقطة النهاية
إدارة الثغرات الأمنية في Microsoft Defender خيارات الأذونات ذات الصلة إدارة الثغرات الأمنية في Microsoft Defender
Microsoft Defender for Cloud Apps تكوين وصول المسؤول Microsoft Defender for Cloud Apps
الخدمات الأخرى المدعومة في مدخل Microsoft Defender
إدارة التعرض للأمان في Microsoft أذونات إدارة التعرض للأمان في Microsoft
Microsoft Defender للسحابة أدوار المستخدم وأذوناته
إدارة المخاطر الداخلية لـ Microsoft Purview تمكين الأذونات لإدارة المخاطر الداخلية

تخطيط أنشطة ثقة معدومة

النظام الأساسي الموحد ل SecOps من Microsoft هو جزء من نموذج الأمان ثقة معدومة من Microsoft، والذي يتضمن المبادئ التالية:

مبدأ الأمان الوصف
التحقق بشكل صريح المصادقة والتخويل دائما استنادا إلى جميع نقاط البيانات المتوفرة.
استخدام الوصول الأقل امتيازا تقييد وصول المستخدم باستخدام Just-In-Time و Just-Enough-Access (JIT/JEA)، والنهج التكيفية المستندة إلى المخاطر، وحماية البيانات.
افتراض الخرق تقليل نصف قطر الانفجار والوصول إلى المقطع. تحقق من التشفير الشامل واستخدم التحليلات للحصول على الرؤية، ودفع الكشف عن التهديدات، وتحسين الدفاعات.

تم تصميم ثقة معدومة الأمان لحماية البيئات الرقمية الحديثة من خلال الاستفادة من تجزئة الشبكة، ومنع الحركة الجانبية، وتوفير الوصول الأقل امتيازا، واستخدام التحليلات المتقدمة للكشف عن التهديدات والاستجابة لها.

لمزيد من المعلومات حول تنفيذ مبادئ ثقة معدومة في النظام الأساسي الموحد ل SecOps من Microsoft، راجع محتوى ثقة معدومة للخدمات التالية:

لمزيد من المعلومات، راجع مركز إرشادات ثقة معدومة.

الخطوة التالية

توزيع النظام الأساسي لعمليات الأمان الموحدة من Microsoft