إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
Important
الاكتشافات المخصصة هي الآن أفضل طريقة لإنشاء قواعد جديدة عبر microsoft Sentinel SIEM Microsoft Defender XDR. باستخدام عمليات الكشف المخصصة، يمكنك تقليل تكاليف الاستيعاب، والحصول على اكتشافات غير محدودة في الوقت الحقيقي، والاستفادة من التكامل السلس مع البيانات Defender XDR والوظائف وإجراءات المعالجة باستخدام تعيين الكيان التلقائي. لمزيد من المعلومات، اقرأ هذه المدونة.
يستخدم Microsoft Sentinel محركا للارتباط يعتمد على خوارزميات التعلم الآلي القابلة للتطوير ، للكشف تلقائيًا عن الهجمات متعددة المراحل (المعروفة أيضًا باسم التهديدات المستمرة المتقدمة أو APT) من خلال تحديد مجموعات من السلوكيات الشاذة والأنشطة المشبوهة التي يتم ملاحظتها في مراحل مختلفة من سلسلة القتل. استنادا إلى هذه الاكتشافات، ينشئ Microsoft Sentinel حوادث قد يكون من الصعب التقاطها. تتكون هذه الحوادث من تنبيهات أو أنشطة أو أكثر. وبحسب التصميم، فإن هذه الحوادث منخفضة الحجم وعالية الدقة وشديدة الخطورة.
لا تقلل تقنية الكشف هذه ، المخصصة لبيئتك ، من معدلات الإيجابية الخاطئة فحسب ، بل يمكنها أيضا اكتشاف الهجمات ذات المعلومات المحدودة أو المفقودة.
نظرا لأن Fusion يربط إشارات متعددة من منتجات مختلفة لاكتشاف الهجمات المتقدمة متعددة المراحل، يتم تقديم اكتشافات Fusion الناجحة كحوادث Fusion في صفحة حوادث Microsoft Sentinel وليس كتنبيهات، ويتم تخزينها في جدول SecurityIncident في السجلات وليس في جدول SecurityAlert .
تكوين Fusion
يتم تمكين Fusion افتراضيا في Microsoft Sentinel، كقاعدة تحليلات تسمى الكشف المتقدم عن الهجوم متعدد المراحل. يمكنك عرض حالة القاعدة وتغييرها، أو تكوين إشارات المصدر لتضمينها في نموذج اندماج التعلم الآلي، أو استبعاد أنماط كشف محددة قد لا تنطبق على البيئة الخاصة بك من الكشف عن الاندماج. تعرف على كيفية تكوين قاعدة Fusion.
Note
يستخدم Microsoft Sentinel حاليا بيانات تاريخية مدتها 30 يوما لتدريب خوارزميات التعلم الآلي لمحرك Fusion. تشفير البيانات دائما باستخدام مفاتيح Microsoft أثناء مرورها عبر مسار التعلم الآلي. ومع ذلك، لا يتم تشفير بيانات التدريب باستخدام مفاتيحCustomer-Managed (CMK) إذا قمت بتمكين CMK في مساحة عمل Microsoft Sentinel. لإلغاء الاشتراك في Fusion، انتقل إلى قواعد Microsoft Sentinel>Configuration>Analytics > النشطة، وانقر بزر الماوس الأيمن فوق قاعدة الكشف عن الهجوم متعدد المراحل المتقدم ، وحدد تعطيل.
بالنسبة لمساحات عمل Microsoft Sentinel المدمجة في مدخل Microsoft Defender، يتم تعطيل Fusion. يتم استبدال وظائفه بمحرك الارتباط Microsoft Defender XDR.
اندماج التهديدات الناشئة
Important
اكتشافات الاندماج المشار إليها قيد المعاينة حاليا. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في التوفر العام.
بدءا من يوليو 2026، ستتم إعادة توجيه جميع العملاء الذين يستخدمون Microsoft Sentinel في مدخل Microsoft Azure إلى مدخل Defender وسيستخدمون Microsoft Sentinel في مدخل Defender فقط. بدءا من يوليو 2025، يتم أيضا إلحاق العديد من المستخدمين الجدد وإعادة توجيههم تلقائيا من مدخل Microsoft Azure إلى مدخل Defender. إذا كنت لا تزال تستخدم Microsoft Sentinel في مدخل Microsoft Azure، نوصيك بالبدء في التخطيط للانتقال إلى مدخل Defender لضمان انتقال سلس والاستفادة الكاملة من تجربة عمليات الأمان الموحدة التي يقدمها Microsoft Defender. لمزيد من المعلومات، راجع حان الوقت للنقل: إيقاف مدخل Microsoft Sentinel Azure لمزيد من الأمان.
Note
للحصول على معلومات حول توفر الميزات في سحابات حكومة الولايات المتحدة، راجع جداول Microsoft Sentinel في توفر ميزات السحابة لعملاء حكومة الولايات المتحدة.
تكوين Fusion
يتم تمكين Fusion افتراضيا في Microsoft Sentinel، كقاعدة تحليلات تسمى الكشف المتقدم عن الهجوم متعدد المراحل. يمكنك عرض حالة القاعدة وتغييرها، أو تكوين إشارات المصدر ليتم تضمينها في نموذج Fusion ML، أو استبعاد أنماط الكشف المحددة التي قد لا تكون قابلة للتطبيق على بيئتك من الكشف عن الاندماج. تعرف على كيفية تكوين قاعدة Fusion.
قد ترغب في إلغاء الاشتراك في Fusion إذا قمت بتمكين مفاتيحCustomer-Managed (CMK) في مساحة العمل الخاصة بك. يستخدم Microsoft Sentinel حاليا 30 يوما من البيانات التاريخية لتدريب خوارزميات التعلم الآلي لمحرك Fusion، ويتم تشفير هذه البيانات دائما باستخدام مفاتيح Microsoft أثناء مرورها عبر مسار التعلم الآلي. ومع ذلك، لا يتم تشفير بيانات التدريب باستخدام CMK. لإلغاء الاشتراك في الاندماج، قم بتعطيل قاعدة Advanced Multistage Attack Detection analytics في Microsoft Sentinel. لمزيد من المعلومات، راجع تكوين قواعد الاندماج.
يتم تعطيل الاندماج عند إلحاق Microsoft Sentinel إلى مدخل Defender. بدلا من ذلك، عند العمل في مدخل Defender، يتم استبدال الوظائف التي يوفرها Fusion بمحرك الارتباط Microsoft Defender XDR.
الاندماج للتهديدات الناشئة (معاينة)
يستمر حجم الأحداث الأمنية يتزايد، ونطاق الهجمات وتطورها آخذان في الازدياد. يمكننا تحديد السيناريوهات الخاصة بالهجوم المعروفة، ولكن ماذا عن التهديدات الناشئة وغير المعروفة في بيئتك؟
يمكن أن يساعدك محرك الاندماج المشغل بواسطة التعلم الآلي من Microsoft Sentinel في العثور على التهديدات الناشئة وغير المعروفة في بيئتك من خلال تطبيق تحليل التعلم الآلي الموسع ومن خلال ربط نطاق أوسع من الإشارات الشاذة، مع الحفاظ على إجهاد التنبيه منخفضا.
تتعلم خوارزميات التعلم الآلي لمحرك الاندماج باستمرار من الهجمات الحالية وتطبق التحليل بناء على كيفية تفكير محللي الأمان. لذلك يمكنه اكتشاف التهديدات التي لم يتم الكشف عنها من قبل من ملايين السلوكيات الشاذة عبر سلسلة القتل في جميع أنحاء بيئتك، ما يساعدك على البقاء متقدما بخطوة واحدة على المهاجمين.
يدعم الاندماج للتهديدات الناشئة جمع البيانات وتحليلها من المصادر التالية:
التنبيهات من خدمات Microsoft:
- حماية معرف Microsoft Entra
- Microsoft Defender للسحابة
- Microsoft Defender لإنترنت الأشياء
- Microsoft Defender XDR
- تطبيقات Microsoft Defender للسحابة
- Microsoft Defender لنقطة النهاية
- Microsoft Defender للهوية
- Microsoft Defender ل Office 365
تنبيهات من قواعد التحليلات المجدولة. يجب أن تحتوي قواعد التحليلات على سلسلة القتل (التكتيكات) ومعلومات تعيين الكيانات حتى يتم استخدامها بواسطة Fusion.
لا تحتاج إلى توصيل جميع مصادر البيانات المذكورة أعلاه من أجل جعل Fusion للتهديدات الناشئة يعمل. ومع ذلك، كلما زادت مصادر البيانات التي قمت بتوصيلها، زادت التغطية، والمزيد من التهديدات التي سوف يعثر عليها الاندماج.
عندما تؤدي ارتباطات محرك Fusion إلى الكشف عن تهديد ناشئ، ينشئ Microsoft Sentinel حادثا شديد الخطورة بعنوان أنشطة الهجوم المحتملة متعددة المهام التي تم اكتشافها بواسطة Fusion.
ادمج برامج الفدية الضارة
ينشئ محرك الاندماج في Microsoft Sentinel حادثا عندما يكتشف تنبيهات متعددة بأنواع مختلفة من مصادر البيانات التالية، ويحدد أنها قد تكون مرتبطة بنشاط برامج الفدية الضارة:
- Microsoft Defender للسحابة
- Microsoft Defender لنقطة النهاية
- موصل Microsoft Defender for Identity
- Microsoft Defender لتطبيقات السحابة
- قواعد التحليلات المجدولة من Microsoft Sentinel. لا يأخذ الاندماج في الاعتبار قواعد التحليلات المجدولة مع معلومات التكتيكات والكيانات المرسومة.
تسمى حوادث الاندماج هذه تنبيهات متعددة ربما تتعلق بنشاط برامج الفدية الضارة التي تم اكتشافها، ويتم إنشاؤها عند اكتشاف التنبيهات ذات الصلة خلال إطار زمني محدد وترتبط بمرحلتي التنفيذوالتهرب الدفاعي من الهجوم.
على سبيل المثال، ينشئ Microsoft Sentinel حادثا لأنشطة برامج الفدية الضارة المحتملة إذا تم تشغيل التنبيهات التالية على نفس المضيف ضمن إطار زمني محدد:
| Alert | Source | Severity |
|---|---|---|
| أحداث الخطأ والتحذير في Windows | قواعد التحليلات المجدولة ل Microsoft Sentinel | informational |
| تم منع 'GandCrab' برامج الفدية الضارة | Microsoft Defender للسحابة | medium |
| تم الكشف عن البرامج الضارة "Emotet" | Microsoft Defender لنقطة النهاية | informational |
| تم الكشف عن خلفية "Tofsee" | Microsoft Defender للسحابة | low |
| تم الكشف عن البرامج الضارة "Parite" | Microsoft Defender لنقطة النهاية | informational |
اكتشافات الاندماج القائمة علي السيناريو
يسرد القسم التالي أنواع الهجمات متعددة المهام المستندة إلى السيناريو، مجمعة حسب تصنيف التهديدات، التي يكتشفها Microsoft Sentinel باستخدام محرك ارتباط الاندماج.
لتمكين السيناريوهات الخاصة بالكشف عن الهجمات التي يتم تشغيلها باستخدام الاندماج، استيعاب أي مصادر بيانات مدرجة في مساحة عمل تحليلات السجل. حدد الارتباطات في الجدول أدناه للتعرف على كل سيناريو ومصادر البيانات المرتبطة به.
المحتويات ذات الصلة
لمزيد من المعلومات، راجع: