تنبيهات الأمان - دليل مرجعي
توفر هذه المقالة ارتباطات إلى صفحات تسرد تنبيهات الأمان التي قد تتلقاها من Microsoft Defender for Cloud وأي خطط Microsoft Defender ممكنة. تعتمد التنبيهات المعروضة في بيئتك على الموارد والخدمات التي تحميها والتكوين المخصص.
إشعار
قد تكون بعض التنبيهات المضافة مؤخرا التي يتم تشغيلها بواسطة تحليل ذكي للمخاطر في Microsoft Defender Microsoft Defender لنقطة النهاية غير مستندة.
تتضمن هذه الصفحة أيضا جدولا يصف سلسلة إيقاف Microsoft Defender for Cloud تتماشى مع الإصدار 9 من مصفوفة MITRE ATT&CK.
تعرف على كيفية الاستجابة لهذه التنبيهات.
تعرف على كيفية تصدير التنبيهات.
إشعار
قد تستغرق التنبيهات من مصادر مختلفة وقتاً مختلفاً للظهور. مثلاً، قد تستغرق التنبيهات التي تتطلب تحليل حركة مرور الشبكة وقتاً أطول من التنبيهات المتعلقة بالعمليات المشبوهة التي تعمل على الأجهزة الظاهرية.
صفحات تنبيه الأمان حسب الفئة
- تنبيهات لأجهزة Windows
- تنبيهات لأجهزة Linux
- تنبيهات ل DNS
- تنبيهات لملحقات Azure VM
- تنبيهات ل Azure App Service
- تنبيهات للحاويات - مجموعات Kubernetes
- تنبيهات لقاعدة بيانات SQL وتحليلات Azure Synapse
- تنبيهات لقواعد البيانات الارتباطية مفتوحة المصدر
- تنبيهات ل Resource Manager
- تنبيهات ل Azure Storage
- تنبيهات ل Azure Cosmos DB
- تنبيهات لطبقة شبكة Azure
- تنبيهات ل Azure Key Vault
- تنبيهات Azure DDoS Protection
- تنبيهات ل Defender لواجهات برمجة التطبيقات
- تنبيهات لأحمال العمل الذكاء الاصطناعي
- تنبيهات الأمان المهملة
تكتيكات MITRE ATT CK
يمكن أن يساعدك فهم القصد من الهجوم على التحقيق في الحدث والإبلاغ عنه بسهولة أكبر. للمساعدة في هذه الجهود، تتضمن تنبيهات Microsoft Defender for Cloud تكتيكات MITRE مع العديد من التنبيهات.
وغالبًا ما يشار إلى سلسلة الخطوات التي تصف تطور الهجوم الإلكتروني من الاستطلاع إلى تصفية البيانات باسم "سلسلة القتل".
تستند أهداف سلسلة القتل المدعومة من Defender for Cloud إلى الإصدار 9 من مصفوفة MITRE ATT&CK والموضحة في الجدول أدناه.
| الأسلوب | إصدار ATT&CK | الوصف |
|---|---|---|
| PreAttack | قد يكون PreAttack إما محاولة للوصول إلى مورد معين بغض النظر عن نية ضارة، أو محاولة فاشلة للوصول إلى نظام الهدف لجمع المعلومات قبل الاستغلال. عادة ما يتم الكشف عن هذه الخطوة كمحاولة، من خارج الشبكة، لمسح النظام المستهدف وتحديد نقطة دخول. | |
| الوصول الأولي | V7، V9 | الوصول الأولي هو المرحلة التي يتمكن فيها المهاجم من الحصول على موطئ قدم على المورد الذي تعرض للهجوم. وهذه الخطوة ذات صلة بمضيفي الحوسبة والموارد مثل حسابات المستخدمين والشهادات، إلخ. غالبًا ما تتمكن الجهات الفاعلة في التهديد بالتحكم في المورد بعد هذه المرحلة. |
| استمرار | V7، V9 | الثبات هو أي وصول أو إجراء أو تغيير تكوين في نظام يعطي الجهة الفاعلة في التهديد وجودًا مستمرًا على هذا النظام. غالبًا ما تحتاج الجهات الفاعلة في التهديد إلى الحفاظ على الوصول إلى الأنظمة من خلال عمليات الإيقاف مثل إعادة تشغيل النظام أو فقدان بيانات الاعتماد أو حالات فشل أخرى تتطلب أداة وصول عن بُعد لإعادة التشغيل أو توفير باب خلفي بديل لهم لاستعادة الوصول. |
| زيادة الامتيازات | V7، V9 | تصعيد الامتيازات هو نتيجة الإجراءات التي تسمح للخصم بالحصول على مستوى أعلى من الأذونات على نظام أو شبكة اتصال. تتطلب بعض الأدوات أو الإجراءات مستوى أعلى من الامتياز للعمل، ومن المرجح أن تكون ضرورية في العديد من النقاط خلال العملية. يمكن أيضا اعتبار حسابات المستخدمين التي لديها أذونات للوصول إلى أنظمة محددة أو أداء وظائف محددة ضرورية للخصوم لتحقيق هدفهم تصعيدا للامتيازات. |
| التهرب الدفاعي | V7، V9 | يتكون التهرب الدفاعي من تقنيات قد يستخدمها الخصم للتهرب من الكشف أو تجنب الدفاعات الأخرى. في بعض الأحيان تكون هذه الإجراءات هي نفس (أو أشكال مختلفة من) التقنيات في فئات أخرى لها فائدة إضافية من تخريب دفاع معين أو التخفيف من شدته. |
| الوصول إلى بيانات تسجيل الدخول | V7، V9 | يمثل الوصول إلى بيانات الاعتماد التقنيات الناتجة عن الوصول إلى بيانات اعتماد النظام أو المجال أو الخدمة المستخدمة داخل بيئة المؤسسة أو التحكم فيها. سيحاول الخصوم على الأرجح الحصول على بيانات اعتماد شرعية من حسابات المستخدمين أو المسؤول (مسؤول النظام المحلي أو مستخدمي المجال الذين يملكون حق وصول المسؤول) لاستخدامها داخل الشبكة. مع وصول كاف داخل الشبكة، يمكن للخصم إنشاء حسابات لاستخدامها في وقت لاحق داخل البيئة. |
| الاكتشاف | V7، V9 | يتكون الاكتشاف من التقنيات التي تسمح للخصم باكتساب المعرفة حول النظام والشبكة الداخلية. وعندما يتمكن الخصوم من الوصول إلى نظام جديد، يجب عليهم أن يوجهوا أنفسهم إلى ما يسيطرون عليه الآن وما هي الفوائد التي يحققها التشغيل من ذلك النظام لهدفهم الحالي أو أهدافهم العامة أثناء الاقتحام. يوفر نظام التشغيل العديد من الأدوات الأصلية التي تساعد في مرحلة جمع المعلومات بعد التسوية. |
| الحركة الجانبية | V7، V9 | تتألف الحركة الجانبيـة من تقنيات تمكّن الخصم من الوصول إلى النظم عن بُعد والتحكم فيها على الشبكة، ويمكن أن تشمل، ولكنها لا تشمل بالضرورة، تنفيذ أدوات على النظم البعيدة. ويمكن لتقنيات الحركة الجانبيّة أن تسمح للخصم بجمع المعلومات من نظام ما دون الحاجة إلى مزيد من الأدوات، مثل أداة الوصول عن بُعد. يمكن للخصم استخدام الحركة الجانبية لأغراض عديدة، بما في ذلك التنفيذ عن بعد للأدوات، أو التركيز على المزيد من الأنظمة، أو الوصول إلى معلومات أو ملفات محددة، أو الوصول إلى المزيد من بيانات الاعتماد، أو لإحداث تأثير. |
| تنفيذ | V7، V9 | يمثل تكتيك التنفيذ التقنيات التي تؤدي إلى تنفيذ التعليمات البرمجية التي يتحكم فيها الخصم على نظام محلي أو بعيد. وغالبًا ما يستخدم هذا التكتيك بالاقتران مع الحركة الجانبية لتوسيع نطاق الوصول إلى الأنظمة البعيدة على الشبكة. |
| مجموعة | V7، V9 | تتألف المجموعة من تقنيات تستخدم في تحديد وجمع المعلومات، مثل الملفات الحساسة، من الشبكة المستهدفة قبل التسلل. تغطي هذه الفئة أيضا المواقع على نظام أو شبكة حيث قد يبحث المتطفل عن معلومات لتهريبها. |
| الأوامر والتحكم | V7، V9 | يمثل تكتيك القيادة والتحكم كيفية تواصل الخصوم مع الأنظمة الخاضعة لسيطرتهم داخل شبكة مستهدفة. |
| النقل غير المصرَّح به | V7، V9 | يشير التسلل إلى التقنيات والسمات التي تنتج أو تساعد في إزالة الخصم للملفات والمعلومات من الشبكة المستهدفة. تغطي هذه الفئة أيضا المواقع على نظام أو شبكة حيث قد يبحث المتطفل عن معلومات لتهريبها. |
| تأثير | V7، V9 | تحاول أحداث التأثير في المقام الأول تقليل توفر أو سلامة نظام أو خدمة أو شبكة بشكل مباشر، بما في ذلك معالجة البيانات للتأثير على الأعمال أو العمليات التشغيلية. وغالبًا ما يشير ذلك إلى تقنيات مثل برامج الفدية، التشويه، التلاعب بالبيانات، وغيرها. |
إشعار
للتنبيهات في المعاينة: تتضمن شروط Azure Preview التكميلية شروطًا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في الإتاحة العامة.