تكوين قواعد الكشف عن الهجمات متعددة المراحل (Fusion) في Microsoft Sentinel

هام

الإصدار الجديد من قاعدة Fusion Analytics حالياً في الإصدار الأوَّلي. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.

إشعار

للحصول على معلومات حول توافر الميزات في سحابة حكومة الولايات المتحدة، راجع جداول Microsoft Azure Sentinel في توافر الميزات السحابية لعملاء حكومة الولايات المتحدة .

تستخدم Microsoft Sentinel محرك Fusion، وهو محرك ارتباط يعتمد على خوارزميات التعلم الآلي القابلة لتغيير الحجم، لاكتشاف الهجمات متعددة المراحل تلقائياً عن طريق تحديد مجموعات من السلوكيات غير المألوفة والأنشطة المشبوهة التي يتم ملاحظتها في مراحل مختلفة من سلسلة القتل. استنادا إلى هذه الاكتشافات، ينشئ Microsoft Sentinel حوادث قد يكون من الصعب التقاطها. تتكون هذه الحوادث من تنبيهات أو أنشطة أو أكثر. وبحسب التصميم، فإن هذه الحوادث منخفضة الحجم وعالية الدقة وشديدة الخطورة.

تم تخصيص تقنية الكشف هذه لبيئتك، ولا تقلل فقط معدلات النتائج الإيجابية الخاطئة ولكن يمكنها أيضاً اكتشاف الهجمات بمعلومات محدودة أو مفقودة.

تكوين قواعد Fusion

يتم تمكين هذا الاكتشاف افتراضياً في Microsoft Sentinel. للتحقق من حالتها أو تغييرها، استخدم الإرشادات التالية:

1. سجّل الدخول إلى مدخل Microsoft Azure وأدخل Microsoft Sentinel.

2. من قائمة التنقل Microsoft Sentinel، حدد Analytics.

3. حدد علامة التبويب Active rules، ثم حدد موقع Advanced Multistage Attack Detection في العمود NAME عن طريق تصفية القائمة لنوع القاعدة Fusion. تحقق من عمود STATUS لتأكيد ما إذا كان هذا الاكتشاف ممكّناً أو معطلاً.

   

4. لتغيير الحالة، حدد هذا الإدخال وفي جزء المعاينة اكتشاف هجوم متعدد المراحل المتقدم، حدد Edit.

5. في علامة التبويب General من معالج قاعدة Analytics، لاحظ الحالة (ممكّنة/معطلة)، أو غيّرها إذا أردت.

   إذا غيرت الحالة ولم يكن لديك المزيد من التغييرات، فحدد علامة التبويب Review and update وحدد Save.

   لتكوين قاعدة الكشف عن Fusion، حدد Next: Configure Fusion.

   

6. تكوين إشارات المصدر لاكتشاف Fusion: نوصي بتضمين جميع إشارات المصدر المدرجة، بجميع مستويات الخطورة، للحصول على أفضل نتيجة. بشكل افتراضي، يتم تضمينها جميعاً بالفعل، ولكن لديك خيار إجراء التغييرات بالطرق التالية:

   إشعار

   إذا قمت باستبعاد إشارة مصدر معينة أو مستوى خطورة تنبيه، فلن يتم تشغيل أي اكتشافات Fusion تعتمد على إشارات من هذا المصدر، أو على التنبيهات المطابقة لمستوى الخطورة هذا.

   • استبعاد الإشارات من عمليات اكتشاف Fusion، بما في ذلك الحالات غير المألوفة والتنبيهات من مختلف المزودين والسجلات الأوَّلية.

     حالة الاستخدام: إذا كنت تختبر مصدر إشارة محدداً يُعرف بإصدار تنبيهات مزعجة، فيمكنك إيقاف تشغيل الإشارات مؤقتاً من مصدر الإشارة المحدد لاكتشافات Fusion.

   • تكوين درجة خطورة التنبيه لكل مزود: حسب التصميم، يربط نموذج Fusion التعلم الآلي الإشارات منخفضة الدقة بحادث واحد شديد الخطورة استناداً إلى إشارات غير طبيعية عبر سلسلة القتل من مصادر بيانات متعددة. عادةً ما تكون التنبيهات المضمنة في Fusion أقل خطورة (متوسطة، منخفضة، إعلامية)، ولكن أحياناً يتم تضمين التنبيهات عالية الخطورة ذات الصلة.

     حالة الاستخدام: إذا كانت لديك عملية منفصلة لفرز الفرز والتحقيق في التنبيهات الشديدة الخطورة وكنت تفضل عدم تضمين هذه التنبيهات في Fusion، فيمكنك تكوين إشارات المصدر لاستبعاد التنبيهات عالية الخطورة من اكتشافات Fusion.

   • استبعاد أنماط الكشف المحددة من Fusion Detection. قد لا تنطبق بعض عمليات الكشف عن الاندماج على بيئتك، أو قد تكون عرضة لتوليد إيجابيات خاطئة. إذا كنت ترغب في استبعاد نمط اكتشاف Fusion معين، فاتبع الإرشادات أدناه:

     1. حدد موقع حدث Fusion من النوع الذي تريد استبعاده وافتحه.

     2. في قسم Description، حدد Show more.

     3. ضمن Exclude this specific detection pattern، حدد exclusion link، الذي يعيد توجيهك إلى علامة التبويب Configure Fusion في معالج قواعد التحليلات.

        

     في علامة التبويب Configure Fusion ، ترى أنه تمت إضافة نمط الكشف - وهو مزيج من التنبيهات والشذوذ في حدث Fusion - إلى قائمة الاستبعاد، إلى جانب الوقت الذي تمت فيه إضافة نمط الكشف.

     يمكنك إزالة نمط الكشف المستبعد في أي وقت عن طريق تحديد أيقونة سلة المهملات على نمط الكشف هذا.

     

     سيستمر تشغيل الأحداث التي تتطابق مع أنماط الاكتشاف المستبعدة، لكنها لن تظهر في قائمة انتظار الحوادث النشطة. سيتم ملؤها تلقائياً بالقيم التالية:

     • Status: "Closed"

     • Closing classification: “Undetermined”

     • Comment: “Auto closed, excluded Fusion detection pattern”

     • Tag: "ExcludedFusionDetectionPattern" - يمكنك الاستعلام عن هذه العلامة لعرض جميع الحوادث المطابقة لنمط الاكتشاف هذا.

       

إشعار

يستخدم Microsoft Sentinel حالياً 30 يوماً من البيانات التاريخية لتدريب أنظمة التعلم الآلي. تشفير البيانات دائما باستخدام مفاتيح Microsoft أثناء مرورها عبر مسار التعلم الآلي. ومع ذلك، لا يتم تشفير بيانات التدريب باستخدام مفاتيح مُدارة بواسطة العميل (CMK) إذا قمت بتمكين CMK في مساحة عمل Microsoft Sentinel الخاصة بك. لإلغاء الاشتراك في Fusion، انتقل إلى Microsoft Sentinel>تكوين>Analytics > القواعد النشطة، وانقر بزر الماوس الأيمن على Advanced Multistage Attack Detection، وحدد Disable.

تكوين قواعد التحليلات المجدولة لاكتشافات Fusion

هام

• يتوفر الاكتشاف المستند إلى Fusion باستخدام تنبيهات قواعد التحليلات حالياً في PREVIEW. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.

يمكن لـ Fusion اكتشاف الهجمات متعددة المراحل المستندة إلى السيناريو والتهديدات الناشئة باستخدام التنبيهات التي تم إنشاؤها بواسطة قواعد التحليلات المجدولة. نوصيك باتخاذ الخطوات التالية لتكوين هذه القواعد وتمكينها، بحيث يمكنك تحقيق أقصى استفادة من إمكانيات Microsoft Sentinel's Fusion.

1. يمكن أن يستخدم الاندماج للتهديدات الناشئة التنبيهات التي تم إنشاؤها بواسطة أي قواعد تحليلات مجدولة تحتوي على سلسلة القتل (التكتيكات) ومعلومات تعيين الكيان. للتأكد من أن مخرجات قاعدة التحليلات يمكن استخدامها بواسطة Fusion لاكتشاف التهديدات الناشئة:

   • راجع تعيين الكيان لهذه القواعد المجدولة. استخدم قسم تكوين تعيين الكيان لتعيين المعلمات من نتائج الاستعلام إلى الكيانات المعروفة بـ Microsoft Sentinel. نظراً لأن Fusion يربط التنبيهات استناداً إلى الكيانات (مثل حساب المستخدم أو عنوان IP)، لا يمكن لخوارزميات التعلم الآلي الخاصة به إجراء مطابقة التنبيه دون معلومات الكيان.

   • راجع التكتيكات والأساليب في تفاصيل قاعدة التحليلات. تستخدم خوارزمية Fusion ML معلومات MITRE ATT&CK للكشف عن الهجمات متعددة المراحل، وستظهر التكتيكات والتقنيات التي تسمي قواعد التحليلات بها في الحوادث الناتجة. قد تتأثر حسابات الاندماج إذا كانت التنبيهات الواردة تفتقد معلومات التكتيك.

2. يمكن أن يكتشف Fusion أيضاً التهديدات المستندة إلى السيناريو باستخدام قواعد تستند إلى قوالب قواعد التحليلات المجدولةالتالية.

   لتمكين الاستعلامات المتوفرة كقوالب في صفحة التحليلات ، انتقل إلى علامة التبويب قوالب القاعدة، وحدد اسم القاعدة في معرض القوالب، وحدد إنشاء قاعدة في جزء التفاصيل.

   • Cisco - كتلة جدار الحماية ولكن نجاح تسجيل الدخول إلى معرف Microsoft Entra
   • Fortinet - تم اكتشاف نمط منارة
   • IP مع العديد من عمليات تسجيل الدخول الفاشلة من Microsoft Entra يسجل الدخول بنجاح إلى Palo Alto VPN
   • إعادة تعيين كلمة المرور المتعددة بواسطة المستخدم
   • الموافقة على طلب نادر
   • SharePointFileOperation عبر عناوين IP غير المرئية من قبل
   • توزيع موارد مريبة
   • توقيعات Palo Alto Threat من عناوين IP غير عادية

   لإضافة استعلامات غير متوفرة حاليا كقالب قاعدة، راجع إنشاء قاعدة تحليلات مخصصة من البداية.

   • تمت مشاهدة نشاط حساب المسؤول الجديد والذي لم تتم رؤيته في السابق

   لمزيد من المعلومات، راجع سيناريوهات Fusion المتقدمة لاكتشاف الهجمات متعددة المراحل مع قواعد Analytics المجدولة.

   إشعار

   بالنسبة لمجموعة قواعد التحليلات المجدولة التي يستخدمها Fusion، تقوم خوارزمية التعلم الآلي بإجراء مطابقة غامضة لاستعلامات KQL المتوفرة في القوالب. لن تؤثر إعادة تسمية القوالب على عمليات اكتشاف Fusion.

الخطوات التالية

تعرَّف على المزيد بشأن اكتشافات Fusion في Microsoft Sentinel.

تعرَّف على المزيد بشأن العديد من عمليات اكتشاف Fusion المستندة إلى السيناريو.

الآن لقد تعرفت على المزيد حول الكشف المتقدم عن الهجمات متعددة المراحل، قد تكون مهتما بالتشغيل السريع التالي لمعرفة كيفية الحصول على رؤية لبياناتك والتهديدات المحتملة: بدء استخدام Microsoft Sentinel.

إذا كنت مستعداً للتحقيق في الحوادث التي تم إنشاؤها لك، فراجع البرنامج التعليمي التالي: التحقيق في الحوادث باستخدام Microsoft Sentinel.