الكشف المتقدم عن الهجمات متعددة الخطوات في Microsoft Sentinel
هام
بعض الكشف عن الاندماج (انظر تلك المشار إليها أدناه) حاليا في معاينة. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.
يتوفر Microsoft Sentinel الآن بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.
إشعار
للحصول على معلومات حول توافر الميزات في سحابة حكومة الولايات المتحدة، راجع جداول Microsoft Azure Sentinel في توافر الميزات السحابية لعملاء حكومة الولايات المتحدة .
يستخدم Microsoft Sentinel محركا للارتباط يعتمد على خوارزميات التعلم الآلي القابلة للتطوير ، للكشف تلقائيًا عن الهجمات متعددة المراحل (المعروفة أيضًا باسم التهديدات المستمرة المتقدمة أو APT) من خلال تحديد مجموعات من السلوكيات الشاذة والأنشطة المشبوهة التي يتم ملاحظتها في مراحل مختلفة من سلسلة القتل. على أساس هذه الاكتشافات، ينشئ Microsoft Sentinel أحداث كان من الصعب التقاطها لولا ذلك. تتكون هذه الحوادث من تنبيهات أو أنشطة أو أكثر. وبحسب التصميم، فإن هذه الحوادث منخفضة الحجم وعالية الدقة وشديدة الخطورة.
تم تخصيص تقنية الكشف هذه لبيئتك، ولا تقلل فقط معدلات النتائج الإيجابية الخاطئة ولكن يمكنها أيضاً اكتشاف الهجمات بمعلومات محدودة أو مفقودة.
نظرا لأن Fusion تربط إشارات متعددة من منتجات مختلفة للكشف عن الهجمات متعددة المهام المتقدمة، تقديم عمليات الكشف الناجحة عن الاندماج كحوادث اندماج في صفحة أحداث Microsoft Sentinel وليس كتنبيهات، ويتم تخزينها في جدول SecurityIncident في السجلات وليس في جدول SecurityAlert.
كون الاندماج
تمكين الاندماج بشكل افتراضي في Microsoft Sentinel، كقاعدة تحليلات تسمى Advanced multistage attack detection. يمكنك عرض حالة القاعدة وتغييرها، أو تكوين إشارات المصدر لتضمينها في نموذج اندماج التعلم الآلي، أو استبعاد أنماط كشف محددة قد لا تنطبق على البيئة الخاصة بك من الكشف عن الاندماج. التعرف على كيفية تكوين قاعدة Fusion.
إشعار
يستخدم Microsoft Sentinel حاليا بيانات تاريخية مدتها 30 يوما لتدريب خوارزميات التعلم الآلي لمحرك Fusion. تشفير البيانات دائما باستخدام مفاتيح Microsoft أثناء مرورها عبر مسار التعلم الآلي. ومع ذلك، لا يتم تشفير بيانات التدريب باستخدام مفاتيح مُدارة بواسطة العميل (CMK) إذا قمت بتمكين CMK في مساحة عمل Microsoft Sentinel الخاصة بك. لإلغاء الاشتراك في Fusion، انتقل إلى Microsoft Sentinel>تكوين>Analytics > القواعد النشطة، وانقر بزر الماوس الأيمن على Advanced Multistage Attack Detection، وحدد Disable.
في مساحات عمل Microsoft Sentinel المدمجة في النظام الأساسي لعمليات الأمان الموحدة في مدخل Microsoft Defender، يتم تعطيل Fusion، حيث يتم استبدال وظائفه بمحرك الارتباط Microsoft Defender XDR.
اندماج التهديدات الناشئة
هام
- الكشف القائم على الاندماج للتهديدات الناشئة حاليا في المعاينة. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.
يستمر حجم الأحداث الأمنية يتزايد، ونطاق الهجمات وتطورها آخذان في الازدياد. يمكننا تحديد السيناريوهات الخاصة بالهجوم المعروفة، ولكن ماذا عن التهديدات الناشئة وغير المعروفة في بيئتك؟
يمكن أن يساعدك محرك Fusion الذي يعمل بنظام التعلم الآلي من Microsoft Azure الخاص بـ Microsoft Sentinel في العثور على ملف التهديدات الناشئة وغير المعروفة في بيئتك من خلال تقديم الطلب تحليل التعلم الآلي من Microsoft Azure الموسع ومن خلال الارتباطنطاق أوسع من الإشارات غير الطبيعية, مع الحفاظ على إجهاد التنبيه منخفضا.
تتعلم خوارزميات التعلم الآلي لمحرك الاندماج باستمرار من الهجمات الحالية وتطبق التحليل بناء على كيفية تفكير محللي الأمان. لذلك يمكنه اكتشاف التهديدات التي لم يتم الكشف عنها من قبل من ملايين السلوكيات الشاذة عبر سلسلة القتل في جميع أنحاء بيئتك، ما يساعدك على البقاء متقدما بخطوة واحدة على المهاجمين.
يدعم الاندماج للتهديدات الناشئة جمع البيانات وتحليلها من المصادر التالية:
- الكشف عن الحالات الشاذة خارج الصندوق
- تنبيهات من منتجات Microsoft:
- Microsoft Entra ID Protection
- Microsoft Defender للسحابة
- Microsoft Defender لإنترنت الأشياء
- Microsoft Defender XDR
- تطبيقات Microsoft Defender للسحابة
- Microsoft Defender لنقطة النهاية
- Microsoft Defender for Identity
- Microsoft Defender for Office 365
- تنبيهات من قواعد التحليلات المجدولة. يجب أن تحتوي قواعد التحليلات على سلسلة القتل (التكتيكات) ومعلومات تعيين الكيان من أجل استخدامها من قبل Fusion.
لا تحتاج إلى توصيل جميع مصادر البيانات المذكورة أعلاه من أجل جعل Fusion للتهديدات الناشئة يعمل. ومع ذلك، كلما زادت مصادر البيانات التي قمت بتوصيلها، زادت التغطية، والمزيد من التهديدات التي سوف يعثر عليها الاندماج.
عندما تؤدي الارتباطات الخاصة بمحرك الاندماج إلى الكشف عن تهديد ناشئ، يتم إنشاء حدث عالي الخطورة بعنوان "أنشطة الهجوم متعددة المهام المحتملة التي اكتشفها بواسطة الاندماج" في جدول الحوادث في مساحة عمل Microsoft Sentinel.
ادمج برامج الفدية الضارة
ينشئ محرك دمج Microsoft Sentinel حادثا عندما يكتشف تنبيهات متعددة بأنواع مختلفة من مصادر البيانات التالية، ويحدد أنها تكون مرتبطة بنشاط برامج الفدية الضارة:
- Microsoft Defender for Cloud
- Microsoft Defender لنقطة النهاية
- موصل Microsoft Defender for Identity
- Microsoft Defender for Cloud Apps
- قواعد التحليلات المجدولة لـ Microsoft Sentinel. لا يأخذ الاندماج في الاعتبار قواعد التحليلات المجدولة مع معلومات التكتيكات والكيانات المرسومة.
تسمى حوادث الاندماج تنبيهات متعددة ربما تتعلق بنشاط برامج الفدية الضارة التي اكتشفت، وأنشئت عند الكشف عن التنبيهات ذات الصلة خلال إطار زمني محدد وترتبط بمرحلتي التنفيذوالتهرب الدفاعي من الهجوم.
على سبيل المثال، ينشئ Microsoft Sentinel حادثا لأنشطة برامج الفدية الضارة المحتملة إذا تم تشغيل التنبيهات التالية على نفس المضيف ضمن إطار زمني محدد:
| التنبيه | المصدر | الأهمية |
|---|---|---|
| أخطاء Windows وأحداث التحذير | قواعد التحليلات المجدولة ل Microsoft Sentinel | إعلامي |
| منعت برامج الفدية الضارة 'GandCrab | Microsoft Defender للسحابة | متوسطة |
| الكشف عن البرامج الضارة 'Emotet' | Microsoft Defender لنقطة النهاية | إعلامي |
| الكشف عن 'Tofsee' backdoor | Microsoft Defender للسحابة | منخفضة |
| الكشف عن البرامج الضارة 'Parite' | Microsoft Defender لنقطة النهاية | إعلامي |
اكتشافات الاندماج القائمة علي السيناريو
يسرد المستند أنواع الهجمات متعددة المراحل المستندة إلى السيناريو، المجمعة حسب تصنيف التهديدات، التي يكتشفها Microsoft Azure Sentinel باستخدام محرك الارتباط المدمج.
لتمكين السيناريوهات الخاصة بالكشف عن الهجمات التي يتم تشغيلها باستخدام الاندماج، استيعاب أي مصادر بيانات مدرجة في مساحة عمل تحليلات السجل. حدد الارتباطات في الجدول أدناه للتعرف على كل سيناريو ومصادر البيانات المرتبطة به.
إشعار
بعض هذه السيناريوهات في المعاينة. وسوف يشار إليها بذلك.
الخطوات التالية
الحصول على مزيد من المعلومات حول الاندماج المتقدم والمتعدد المراحل الكشف عن الهجوم:
- تعرف على المزيد حول اكتشافات الهجوم المستندة إلى سيناريو الاندماج.
- التعرف على كيفية تكوين قاعدة الاندماج.
الآن لقد تعرفت على المزيد حول الكشف المتقدم عن الهجمات متعددة المراحل، قد تكون مهتما بالتشغيل السريع التالي لمعرفة كيفية الحصول على رؤية لبياناتك والتهديدات المحتملة: بدء استخدام Microsoft Sentinel.
إذا كنت مستعداً للتحقيق في الحوادث التي تم إنشاؤها لك، فراجع البرنامج التعليمي التالي: التحقيق في الحوادث باستخدام Microsoft Sentinel.