إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
هام
الاكتشافات المخصصة هي الآن أفضل طريقة لإنشاء قواعد جديدة عبر Microsoft Sentinel SIEM Microsoft Defender XDR. باستخدام عمليات الكشف المخصصة، يمكنك تقليل تكاليف الاستيعاب، والحصول على اكتشافات غير محدودة في الوقت الحقيقي، والاستفادة من التكامل السلس مع البيانات Defender XDR والوظائف وإجراءات المعالجة باستخدام تعيين الكيان التلقائي. لمزيد من المعلومات، اقرأ هذه المدونة.
Microsoft Sentinel قواعد التحليلات بإعلامك عند حدوث شيء مريب في شبكتك. لا توجد قاعدة تحليلات مثالية، وأنت ملزم بالحصول على بعض الإيجابيات الخاطئة التي تحتاج إلى معالجة. توضح هذه المقالة كيفية التعامل مع الإيجابيات الخاطئة، إما باستخدام الأتمتة أو عن طريق تعديل قواعد التحليلات المجدولة.
الأسباب الإيجابية الخاطئة والوقاية منها
حتى في قاعدة التحليلات المبنية بشكل صحيح، غالبا ما تنبع الإيجابيات الخاطئة من كيانات محددة مثل المستخدمين أو عناوين IP التي يجب استبعادها من القاعدة.
تشمل السيناريوهات الشائعة ما يلي:
- تظهر الأنشطة العادية من قبل مستخدمين معينين، عادة كيانات الخدمة، نمطا يبدو مريبا.
- يتم الكشف عن نشاط فحص الأمان المتعمد القادم من عناوين IP المعروفة على أنه ضار.
- يجب أن تستبعد القاعدة التي تستبعد عناوين IP الخاصة أيضا بعض عناوين IP الداخلية غير الخاصة.
توضح هذه المقالة طريقتين لتجنب الإيجابيات الخاطئة:
- تنشئ قواعد التنفيذ التلقائي استثناءات دون تعديل قواعد التحليلات.
- تسمح تعديلات قواعد التحليلات المجدولة باستثناءات أكثر تفصيلا ودائمة.
يصف الجدول التالي خصائص كل أسلوب:
| الاسلوب | مميزه |
|---|---|
| قواعد التنفيذ التلقائي |
|
| تعديلات قواعد التحليلات |
|
إضافة استثناءات مع قواعد التشغيل التلقائي (Azure المدخل فقط)
يصف هذا الإجراء كيفية إضافة قاعدة أتمتة عندما ترى حادثا إيجابيا خاطئا. هذا الإجراء مدعوم في مدخل Azure فقط.
إذا تم إلحاق Microsoft Sentinel بمدخل Defender، فقم بإنشاء قواعد التنفيذ التلقائي من البداية استنادا إلى تفاصيل الحادث الخاص بك. لمزيد من المعلومات، راجع أتمتة الاستجابة للتهديدات في Microsoft Sentinel باستخدام قواعد التشغيل التلقائي.
لإضافة قاعدة أتمتة للتعامل مع إيجابية خاطئة:
في Microsoft Sentinel، ضمن الحوادث، حدد الحدث الذي تريد إنشاء استثناء له.
في جزء تفاصيل الحادث على الجانب، حدد Actions > Create automation rule.
في الشريط الجانبي إنشاء قاعدة أتمتة جديدة ، قم بتعديل اسم القاعدة الجديدة اختياريا لتحديد الاستثناء، بدلا من اسم قاعدة التنبيه فقط.
ضمن الشروط، أضف اختياريا المزيد من اسم قاعدة التحليلاتلتطبيق الاستثناء عليه. حدد مربع القائمة المنسدلة الذي يحتوي على اسم قاعدة التحليلات وحدد المزيد من قواعد التحليلات من القائمة.
يعرض الشريط الجانبي الكيانات المحددة في الحادث الحالي الذي قد يكون تسبب في إيجابية خاطئة. احتفظ بالاقتراحات التلقائية، أو قم بتعديلها لضبط الاستثناء. على سبيل المثال، يمكنك تغيير شرط على عنوان IP لتطبيقه على شبكة فرعية بأكملها.
بعد أن تكون راضيا عن الشروط، مرر لأسفل في الجزء الجانبي لمتابعة تحديد ما تفعله القاعدة:
- تم تكوين القاعدة بالفعل لإغلاق حدث يلبي معايير الاستثناء.
- يمكنك الاحتفاظ بسبب الإغلاق المحدد كما هو، أو يمكنك تغييره إذا كان سبب آخر أكثر ملاءمة.
- يمكنك إضافة تعليق إلى الحدث المغلق تلقائيا الذي يشرح الاستثناء. على سبيل المثال، يمكنك تحديد أن الحدث نشأ من نشاط إداري معروف.
- بشكل افتراضي، يتم تعيين القاعدة لتنتهي صلاحيتها تلقائيا بعد 24 ساعة. قد يكون انتهاء الصلاحية هذا هو ما تريده، ويقلل من فرصة حدوث أخطاء سلبية خاطئة. إذا كنت تريد استثناء أطول، فقم بتعيين انتهاء صلاحية القاعدة إلى وقت لاحق.
يمكنك إضافة المزيد من الإجراءات إذا أردت. على سبيل المثال، يمكنك إضافة علامة إلى الحدث، أو يمكنك تشغيل دليل مبادئ لإرسال بريد إلكتروني أو إعلام أو للمزامنة مع نظام خارجي.
حدد تطبيق لتنشيط الاستثناء.
إضافة استثناءات عن طريق تعديل قواعد التحليلات
خيار آخر لتنفيذ الاستثناءات هو تعديل استعلام قاعدة التحليلات. يمكنك تضمين استثناءات مباشرة في القاعدة، أو يفضل، عندما يكون ذلك ممكنا، استخدام مرجع إلى قائمة مراقبة. يمكنك بعد ذلك إدارة قائمة الاستثناءات في قائمة المشاهدة.
تعديل الاستعلام
لتحرير قواعد التحليلات الموجودة، حدد Automation من قائمة التنقل اليسرى Microsoft Sentinel. حدد القاعدة التي تريد تحريرها، ثم حدد تحرير في أسفل اليمين لفتح معالج قواعد التحليلات.
للحصول على إرشادات مفصلة حول استخدام معالج قواعد التحليلات لإنشاء قواعد التحليلات وتحريرها، راجع إنشاء قواعد تحليلات مخصصة للكشف عن التهديدات.
لتنفيذ استثناء في ديباجة قاعدة نموذجية، يمكنك إضافة شرط مثل where IPAddress !in ('<ip addresses>') بالقرب من بداية استعلام القاعدة. يستبعد هذا السطر عناوين IP معينة من القاعدة.
let timeFrame = 1d;
SigninLogs
| where TimeGenerated >= ago(timeFrame)
| where IPAddress !in ('10.0.0.8', '192.168.12.1')
...
لا يقتصر هذا النوع من الاستثناء على عناوين IP. يمكنك استبعاد مستخدمين محددين باستخدام UserPrincipalName الحقل، أو استبعاد تطبيقات معينة باستخدام AppDisplayName.
يمكنك أيضا استبعاد سمات متعددة. على سبيل المثال، لاستبعاد التنبيهات من عنوان 10.0.0.8 IP أو المستخدم user@microsoft.com، استخدم:
| where IPAddress !in ('10.0.0.8')
| where UserPrincipalName != 'user@microsoft.com'
لتنفيذ استثناء أكثر دقة عند الاقتضاء، وتقليل فرصة السلبيات الخاطئة، يمكنك دمج السمات. ينطبق الاستثناء التالي فقط إذا ظهرت كلتا القيمتين في نفس التنبيه:
| where IPAddress != '10.0.0.8' and UserPrincipalName != 'user@microsoft.com'
استبعاد الشبكات الفرعية
يتطلب استبعاد نطاقات IP المستخدمة من قبل المؤسسة استبعاد الشبكة الفرعية. يوضح المثال التالي كيفية استبعاد الشبكات الفرعية.
ipv4_lookup عامل التشغيل هو عامل تشغيل إثراء، وليس عامل تصفية. يقوم where isempty(network) السطر في الواقع بالتصفية، عن طريق فحص تلك الأحداث التي لا تظهر تطابقا.
let subnets = datatable(network:string) [ "111.68.128.0/17", "5.8.0.0/19", ...];
let timeFrame = 1d;
SigninLogs
| where TimeGenerated >= ago(timeFrame)
| evaluate ipv4_lookup(subnets, IPAddress, network, return_unmatched = true)
| where isempty(network)
...
استخدام قوائم المشاهدة لإدارة الاستثناءات
يمكنك استخدام قائمة مراقبة لإدارة قائمة الاستثناءات خارج القاعدة نفسها. عند الاقتضاء، يتمتع هذا الحل بالمزايا التالية:
- يمكن للمحلل إضافة استثناءات دون تحرير القاعدة، والتي تتبع أفضل ممارسات SOC بشكل أفضل.
- يمكن تطبيق نفس قائمة المشاهدة على عدة قواعد، ما يتيح إدارة الاستثناءات المركزية.
يشبه استخدام قائمة المشاهدة استخدام استثناء مباشر. استخدم _GetWatchlist('<watchlist name>') لاستدعاء قائمة المشاهدة:
let timeFrame = 1d;
let logonDiff = 10m;
let allowlist = (_GetWatchlist('ipallowlist') | project IPAddress);
SigninLogs
| where TimeGenerated >= ago(timeFrame)
| where IPAddress !in (allowlist)
...
يمكنك أيضا إجراء تصفية الشبكة الفرعية باستخدام قائمة مراقبة. على سبيل المثال، في التعليمات البرمجية لاستبعاد الشبكات الفرعية السابقة، يمكنك استبدال تعريف الشبكات datatable الفرعية بقائم المشاهدة:
let subnets = _GetWatchlist('subnetallowlist');
راجع المزيد من المعلومات حول العناصر التالية المستخدمة في الأمثلة السابقة، في وثائق Kusto:
- عبارة let
- حيث عامل التشغيل
- عامل تشغيل المشروع
- عامل تشغيل datatable
- تقييم عامل تشغيل المكون الإضافي
- دالة ago()
- دالة isempty()
- المكون الإضافي ipv4_lookup
لمزيد من المعلومات حول KQL، راجع نظرة عامة على لغة استعلام Kusto (KQL).
الموارد الأخرى:
مثال: إدارة الاستثناءات لحل Microsoft Sentinel لتطبيقات SAP®
يوفر الحل Microsoft Sentinel لتطبيقات SAP® وظائف يمكنك استخدامها لاستبعاد المستخدمين أو الأنظمة من تشغيل التنبيهات.
استبعاد المستخدمين. استخدم الدالة SAPUsersGetVIP من أجل:
- استدعاء العلامات للمستخدمين الذين تريد استبعادهم من تشغيل التنبيهات. ضع علامة على المستخدمين في قائمة المشاهدة SAP_User_Config ، باستخدام علامات نجمية (*) كأحرف بدل لوضع علامة على جميع المستخدمين باستخدام بناء جملة تسمية محدد.
- سرد أدوار SAP و/أو ملفات التعريف المحددة التي تريد استبعادها من تشغيل التنبيهات.
استبعاد الأنظمة. استخدم الدالات التي تدعم المعلمة SelectedSystemRoles لتحديد أن أنواعا معينة فقط من الأنظمة تشغل التنبيهات، بما في ذلك أنظمة الإنتاج فقط أو أنظمة UAT فقط أو كليهما.
لمزيد من المعلومات، راجع Microsoft Sentinel الحل لمرجع بيانات تطبيقات SAP®.
المحتويات ذات الصلة
لمزيد من المعلومات، اطلع على: