أفضل الممارسات لـ Azure Sentinel
يتم توفير إرشادات أفضل الممارسات في جميع الوثائق التقنية ل Microsoft Sentinel. تسلط هذه المقالة الضوء على بعض الإرشادات الرئيسية التي يجب استخدامها عند نشر Microsoft Sentinel وإدارته واستخدامه.
هام
يتوفر Microsoft Sentinel الآن بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.
إعداد Microsoft Sentinel
ابدأ بدليل النشر ل Microsoft Sentinel. يغطي دليل النشر الخطوات عالية المستوى لتخطيط نشر Microsoft Sentinel ونشره وضبطه. من هذا الدليل، حدد الارتباطات المتوفرة للعثور على إرشادات مفصلة لكل مرحلة في النشر.
تكاملات خدمة أمان Microsoft
يتم تمكين Microsoft Sentinel من خلال المكونات التي ترسل البيانات إلى مساحة العمل الخاصة بك، ويتم تعزيزها من خلال عمليات التكامل مع خدمات Microsoft الأخرى. تسمح أي سجلات تم إدخالها في منتجات، مثل Microsoft Defender for Cloud Apps، Microsoft Defender لنقطة النهاية، وMicrosoft Defender for Identity، بهذه الخدمات لإنشاء عمليات الكشف، وبدورها توفر هذه الاكتشافات إلى Microsoft Sentinel. يمكن أيضًا استيعاب السجلات مباشرة في Microsoft Azure Sentinel لتوفير صورة أكمل للأحداث والحوادث.
على سبيل المثال، توضح الصورة التالية كيفية استيعاب Microsoft Sentinel للبيانات من خدمات Microsoft الأخرى والأنظمة الأساسية متعددة السحابات والشركاء لتوفير تغطية للبيئة الخاصة بك:
أكثر من مجرد استيعاب التنبيهات والسجلات من مصادر أخرى، فإن Microsoft Sentinel تقوم أيضًا بما يلي:
- استخدام المعلومات التي يستوعبها مع التعلم الآلي الذي يسمح بربط أفضل للأحداث وتجميع التنبيهات واكتشاف الحالات الشاذة والمزيد.
- إنشاء وعرض عناصر تحكم تفاعلية عبر المصنفات، يعرض الاتجاهات والمعلومات ذات الصلة والبيانات الرئيسية المستخدمة لكل من مهام المسؤول والتحقيقات.
- تشغيل أدلة المبادئ للعمل على التنبيهات، يجمع المعلومات، وينفذ الإجراءات على العناصر، ويرسل الإعلامات إلى الأنظمة الأساسية المختلفة.
- التكامل مع الأنظمة الأساسية الشريكة، مثل ServiceNow وJira، لتوفير الخدمات الأساسية لفرق SOC.
- استيعاب وجلب موجزات الإثراء من الأنظمة الأساسية للتحليل الذكي للمخاطر لجلب بيانات قيمة للتحقيق.
لمزيد من المعلومات حول دمج البيانات من خدمات أو موفرين آخرين، راجع موصلات بيانات Microsoft Sentinel.
ضع في اعتبارك إلحاق Microsoft Sentinel بمدخل Microsoft Defender لتوحيد القدرات باستخدام Microsoft Defender XDR مثل إدارة الحوادث والتتبع المتقدم. لمزيد من المعلومات، راجع المقالات التالية:
إدارة الحوادث والاستجابة لها
تعرض الصورة التالية الخطوات الموصى بها في عملية إدارة الحوادث والاستجابة لها.
يوفر الجدول التالي أوصافا عالية المستوى لكيفية استخدام ميزات Microsoft Sentinel لإدارة الحوادث والاستجابة لها. لمزيد من المعلومات، راجع التحقيق في الحوادث باستخدام Microsoft Azure Sentinel.
| الإمكانية | أفضل ممارسات |
|---|---|
| الحوادث | يتم عرض أي حوادث تم إنشاؤها على صفحة Incidents، والتي تعمل كموقع مركزي للفرز والتحقيق المبكر. تسرد صفحة Incidents العنوان والخطورة والتنبيهات والسجلات ذات الصلة وأي كيانات ذات أهمية ذات صلة. كما توفر الحوادث قفزة سريعة إلى السجلات المجمعة وأي أدوات تتعلق بالحدث. |
| مخطط الفحص | تعمل صفحة Incidents مع الرسم البياني للتحقيق، وهو أداة تفاعلية تسمح للمستخدمين باستكشاف التنبيه والتعمق فيه لإظهار النطاق الكامل للهجوم. يمكن للمستخدمين بعد ذلك إنشاء مخطط زمني للأحداث واكتشاف مدى سلسلة المخاطر. اكتشف الكيانات الرئيسية، مثل الحسابات وعناوين URL وعنوان IP وأسماء المضيفين والأنشطة والجدول الزمني والمزيد. استخدم هذه البيانات لفهم ما إذا كان لديك نتيجة إيجابية خطأ في متناول اليد، وفي هذه الحالة يمكنك إغلاق الحادث مباشرة. إذا اكتشفت أن نتيجة الحدث إيجابي حقيقي، فاتخذ إجراء مباشرة من صفحة Incidents للتحقيق في السجلات والكيانات واستكشاف سلسلة المخاطر. بعد تحديد التهديد وإنشاء خطة عمل، استخدم أدوات أخرى في Microsoft Sentinel وخدمات أمان Microsoft الأخرى لمتابعة التحقيق. |
| تصور المعلومات | لتصور والحصول على تحليل لما يحدث على بيئتك، أولا، ألق نظرة على لوحة معلومات نظرة عامة على Microsoft Sentinel للحصول على فكرة عن الوضع الأمني لمؤسستك. لمزيد من المعلومات، راجع تصور البيانات المجمعة. بالإضافة إلى المعلومات والاتجاهات في صفحة نظرة عامة على Microsoft Sentinel، تعد المصنفات أدوات تحقيق قيمة. على سبيل المثال، استخدم مصنف Investigation Insights للتحقيق في حوادث معينة مع أي كيانات وتنبيهات مرتبطة. يمكنك هذا المصنف من التعمق في الكيانات من خلال عرض السجلات والإجراءات والتنبيهات ذات الصلة. |
| تتبع المخاطر | في أثناء التحقيق والبحث عن الأسباب الجذرية، قم بتشغيل استعلامات تتبع المخاطر المضمنة وتحقق من النتائج بحثًا عن أي مؤشرات للاختراق. لمزيد من المعلومات، راجع تتبع التهديدات في Microsoft Sentinel. أثناء التحقيق، أو بعد اتخاذ خطوات لمعالجة التهديد والقضاء عليه، استخدم البث المباشر. يسمح لك Livestream بمراقبة، في الوقت الحقيقي، سواء كانت هناك أي أحداث ضارة معلقة، أو إذا كانت الأحداث الضارة لا تزال مستمرة. |
| سلوك الكيان | يسمح سلوك الكيان في Microsoft Sentinel للمستخدمين بمراجعة الإجراءات والتنبيهات والتحقيق فيها لكيانات معينة، مثل التحقق من الحسابات وأسماء المضيفين. لمزيد من المعلومات، راجع: - قم بتمكين تحليلات سلوك المستخدم والكيان (UEBA) في Microsoft Azure Sentinel - التحقيق في الحوادث باستخدام بيانات UEBA - مرجع تحسينات Microsoft Azure Sentinel UEBA |
| قوائم المشاهدة | استخدم قائمة المشاهدة تجمع البيانات من البيانات المستلمة والمصادر الخارجية، مثل بيانات الإثراء. على سبيل المثال، قم بإنشاء قوائم لنطاقات عناوين IP المستخدمة من قِبل مؤسستك أو الموظفين الذين تم إنهاء خدمتهم مؤخرًا. استخدم قوائم المشاهدة مع أدلة المبادئ لجمع بيانات الإثراء، مثل إضافة عناوين IP ضارة إلى قوائم المشاهدة لاستخدامها أثناء الكشف وتعقب المخاطر والتحقيقات. أثناء وقوع حادث، استخدم قوائم المشاهدة لاحتواء بيانات التحقيق، ثم احذفها عند الانتهاء من التحقيق لضمان عدم بقاء البيانات الحساسة في العرض. لمزيد من المعلومات، راجع قوائم المشاهدة في Microsoft Sentinel. |