مشاركة عبر

البرنامج التعليمي: تكوين تحليلات الأمان لبيانات Microsoft Azure Active Directory B2C باستخدام Microsoft Sentinel

  • مقالة

قم بزيادة أمان بيئة Azure Active Directory B2C (Azure AD B2C) عن طريق توجيه السجلات ومعلومات التدقيق إلى Microsoft Sentinel. Microsoft Sentinel القابل للتطوير هو حل إدارة معلومات الأمان والأحداث (SIEM) وإدارة معلومات الأمان والأتمتة والاستجابة (SOAR) القابل للتطوير. استخدم الحل للكشف عن التنبيه ورؤية التهديدات والتتبع الاستباقي والاستجابة للتهديدات Azure AD B2C.

تعرّف على المزيد:

المزيد من الاستخدامات ل Microsoft Sentinel، مع Azure AD B2C، هي:

  • الكشف عن التهديدات التي لم يتم اكتشافها مسبقا وتقليل الإيجابيات الخاطئة باستخدام التحليلات وميزات التحليل الذكي للمخاطر
  • التحقيق في التهديدات باستخدام الذكاء الاصطناعي (الذكاء الاصطناعي)
    • البحث عن الأنشطة المشبوهة على نطاق واسع، والاستفادة من تجربة سنوات من عمل الأمان عبر الإنترنت في Microsoft
  • الاستجابة للحوادث بسرعة من خلال تنسيق المهام والأتمتة الشائعة
  • تلبية متطلبات الأمان والتوافق لمؤسستك

تتعلم في هذا البرنامج التعليمي، كيفية القيام بما يلي:

  • نقل سجلات B2C Azure AD إلى مساحة عمل Log Analytics
  • تمكين Microsoft Sentinel في مساحة عمل Log Analytics
  • إنشاء نموذج قاعدة في Microsoft Sentinel لتشغيل حادث
  • تكوين استجابة تلقائية

تكوين Azure AD B2C باستخدام تحليلات سجل مراقبة Azure

لتحديد مكان إرسال السجلات والمقاييس لمورد،

  1. تمكين إعدادات التشخيص في معرف Microsoft Entra، في مستأجر B2C Azure AD.
  2. تكوين Azure AD B2C لإرسال السجلات إلى Azure Monitor.

تعرف على المزيد، مراقبة Azure AD B2C باستخدام Azure Monitor.

نشر مثيل Microsoft Sentinel

بعد تكوين مثيل B2C Azure AD لإرسال السجلات إلى Azure Monitor، قم بتمكين مثيل Microsoft Sentinel.

هام

لتمكين Microsoft Sentinel، احصل على أذونات المساهم للاشتراك الذي توجد فيه مساحة عمل Microsoft Sentinel. لاستخدام Microsoft Sentinel، استخدم أذونات المساهم أو القارئ على مجموعة الموارد التي تنتمي إليها مساحة العمل.

  1. تسجيل الدخول إلى ⁧⁩مدخل Microsoft Azure⁧⁩.

  2. حدد الاشتراك الذي تم إنشاء مساحة عمل سجل تحليلات فيه.

  3. ابحث عن وحدد Microsoft Sentinel.

    لقطة شاشة ل Azure Sentinel الذي تم إدخاله في حقل البحث وخيار Azure Sentinel الذي يظهر.

  4. حدد ⁧⁩إضافة⁧⁩.

  5. في حقل مساحات عمل البحث ، حدد مساحة العمل الجديدة.

    لقطة شاشة لحقل مساحات عمل البحث ضمن اختيار مساحة عمل لإضافتها إلى Azure Sentinel.

  6. حدد Add Microsoft Sentinel.

    ملاحظة

    من الممكن تشغيل Microsoft Sentinel على أكثر من مساحة عمل واحدة، ولكن البيانات معزولة في مساحة عمل واحدة.
    راجع التشغيل السريع: إلحاق Microsoft Sentinel

إنشاء قاعدة Microsoft Sentinel

بعد تمكين Microsoft Sentinel، يتم إعلامك عند حدوث شيء مريب في مستأجر B2C Azure AD.

يمكنك إنشاء قواعد تحليلات مخصصة لاكتشاف التهديدات والسلوكيات الشاذة في بيئتك. تبحث هذه القواعد عن أحداث أو مجموعات أحداث معينة، وتنبيهك عند استيفاء حدود الحدث أو شروطه. ثم يتم إنشاء الحوادث للتحقيق.

راجع، إنشاء قواعد تحليلات مخصصة للكشف عن التهديدات

ملاحظة

يحتوي Microsoft Sentinel على قوالب لإنشاء قواعد الكشف عن التهديدات التي تبحث في بياناتك عن نشاط مشبوه. لهذا البرنامج التعليمي، يمكنك إنشاء قاعدة.

قاعدة الإعلام للوصول القسري غير الناجح

استخدم الخطوات التالية لتلقي إعلام حول محاولتين أو أكثر من محاولات الوصول القسري غير الناجحة إلى بيئتك. مثال على ذلك هو هجوم القوة الغاشمة.

  1. في Microsoft Sentinel، من القائمة اليسرى، حدد Analytics.

  2. في الشريط العلوي، حدد + Create>Scheduled query rule.

    لقطة شاشة لخيار Create ضمن Analytics.

  3. في معالج قاعدة التحليلات، انتقل إلى عام.

  4. بالنسبة إلى Name، أدخل اسما لتسجيلات الدخول غير الناجحة.

  5. بالنسبة إلى الوصف، أشر إلى أن القاعدة تقوم بإعلام تسجيلين أو أكثر من عمليات تسجيل الدخول غير الناجحة، في غضون 60 ثانية.

  6. بالنسبة إلى التكتيكات، حدد فئة. على سبيل المثال، حدد PreAttack.

  7. بالنسبة إلى الخطورة، حدد مستوى خطورة.

  8. الحالةممكنة بشكل افتراضي. لتغيير قاعدة، انتقل إلى علامة التبويب القواعد النشطة .

    لقطة شاشة لإنشاء قاعدة جديدة مع الخيارات والاختيارات.

  9. حدد علامة التبويب Set rule logic.

  10. أدخل استعلاما في حقل استعلام القاعدة . ينظم مثال الاستعلام عمليات تسجيل الدخول بواسطة UserPrincipalName.

    لقطة شاشة لنص الاستعلام في حقل استعلام القاعدة ضمن تعيين منطق القاعدة.

  11. انتقل إلى جدولة الاستعلام.

  12. لتشغيل الاستعلام كل، أدخل 5ودقائق.

  13. للحصول على بيانات البحث من الأخير، أدخل 5ودقائق.

  14. لإنشاء تنبيه عند عدد نتائج الاستعلام، حدد هو أكبر منو0.

  15. لتجميع الأحداث، حدد تجميع جميع الأحداث في تنبيه واحد.

  16. لإيقاف تشغيل الاستعلام بعد إنشاء التنبيه، حدد إيقاف التشغيل.

  17. حدد التالي: إعدادات الحدث (إصدار أولي).

لقطة شاشة لتحديدات وخيارات جدولة الاستعلام.

  1. انتقل إلى علامة التبويب مراجعة وإنشاء لمراجعة إعدادات القاعدة.

  2. عند ظهور شعار التحقق من الصحة الذي تم تمريره ، حدد إنشاء.

    لقطة شاشة للإعدادات المحددة، وشعار التحقق من الصحة الذي تم تمريره، وخيار Create.

عرض القاعدة والحوادث التي تنشئها. ابحث عن القاعدة المخصصة التي تم إنشاؤها حديثا من النوع Scheduled في الجدول ضمن علامة التبويب Active rules على الرئيسي

  1. انتقل إلى شاشة التحليلات .
  2. حدد علامة التبويب القواعد النشطة .
  3. في الجدول، ضمن مجدول، ابحث عن القاعدة.

يمكنك تحرير القاعدة أو تمكينها أو تعطيلها أو حذفها.

لقطة شاشة للقواعد النشطة مع خيارات تمكين وتعطيل وحذف وتحرير.

فرز الحوادث والتحقيق فيها ومعالجتها

يمكن أن يتضمن الحادث تنبيهات متعددة، وهو تجميع للأدلة ذات الصلة للتحقيق. على مستوى الحدث، يمكنك تعيين خصائص مثل الخطورة والحالة.

تعرف على المزيد: التحقيق في الحوادث باستخدام Microsoft Sentinel.

  1. انتقل إلى صفحة الحوادث .

  2. حدد حادثا.

  3. على اليمين، تظهر معلومات مفصلة عن الحادث، بما في ذلك الخطورة والكيانات والأحداث ومعرف الحادث.

    لقطة شاشة تعرض معلومات الحدث.

  4. في جزء Incidents ، اختر View full details.

  5. مراجعة علامات التبويب التي تلخص الحادث.

    لقطة شاشة لقائمة بالحوادث.

  6. حدد دليل>أحداث>رابط إلى سجل التحليلات.

  7. في النتائج، راجع قيمة الهوية UserPrincipalName التي تحاول تسجيل الدخول.

    لقطة شاشة لتفاصيل الحدث.

استجابة تلقائية

يحتوي Microsoft Sentinel على وظائف تنسيق الأمان والتشغيل التلقائي والاستجابة (SOAR). إرفاق الإجراءات التلقائية، أو دليل المبادئ، بقواعد التحليلات.

انظر، ما هو SOAR؟

إعلام بالبريد الإلكتروني لحادث

لهذه المهمة، استخدم دليل مبادئ من مستودع Microsoft Sentinel GitHub.

  1. انتقل إلى دليل مبادئ تم تكوينه.
  2. تحرير القاعدة.
  3. في علامة التبويب الاستجابة التلقائية ، حدد دليل المبادئ.

تعرف على المزيد: Incident-Email-Notification

لقطة شاشة لخيارات الاستجابة التلقائية لقاعدة.

الموارد

لمزيد من المعلومات حول Microsoft Sentinel وAzure AD B2C، راجع:

الخطوة التالية

التعامل مع النتائج الإيجابية الزائفة في Microsoft Sentinel