مشاركة عبر

التحقيق في الحوادث باستخدام Microsoft Sentinel (قديم)

  • ينطبق على: Microsoft Sentinel in the Azure portal

تساعدك هذه المقالة على استخدام تجربة التحقيق في الحوادث القديمة من Microsoft Sentinel. إذا كنت تستخدم الإصدار الأحدث من الواجهة، فاستخدم مجموعة التعليمات الأحدث لمطابقتها. لمزيد من المعلومات، راجع التنقل والتحقيق في الحوادث في Microsoft Sentinel.

بعد توصيل مصادر البيانات الخاصة بك ب Microsoft Sentinel، تريد أن يتم إعلامك عند حدوث شيء مريب. لتمكينك من القيام بذلك، يتيح لك Microsoft Sentinel إنشاء قواعد تحليلات متقدمة تنشئ الحوادث التي يمكنك تعيينها والتحقيق فيها.

يمكن أن يتضمن الحدث تنبيهات متعددة. إنه تجميع لكل الأدلة ذات الصلة لتحقيق محدد. يتم إنشاء حادث استنادا إلى قواعد التحليلات التي قمت بإنشائها في صفحة التحليلات . يتم تعيين الخصائص المتعلقة بالتنبيهات، مثل الخطورة والحالة، على مستوى الحدث. بعد السماح ل Microsoft Sentinel بمعرفة أنواع التهديدات التي تبحث عنها وكيفية العثور عليها، يمكنك مراقبة التهديدات المكتشفة من خلال التحقيق في الحوادث.

هام

الميزات المذكورة قيد المعاينة حاليا. تتضمن الشروط التكميلية لمعاينة Azure شروطا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في التوفر العام.

المتطلبات الأساسية

  • لن تتمكن من التحقيق في الحادث إلا إذا استخدمت حقول تعيين الكيان عند إعداد قاعدة التحليلات الخاصة بك. يتطلب الرسم البياني للتحقيق أن يتضمن الحادث الأصلي كيانات.

  • إذا كان لديك مستخدم ضيف يحتاج إلى تعيين حوادث، فيجب تعيين دور قارئ الدليل للمستخدم في مستأجر Microsoft Entra. يتم تعيين هذا الدور بشكل افتراضي للمستخدمين العاديين (غير المثيرين للاشمئزاز).

كيفية التحقيق في الحوادث

  1. حدد Incidents. تتيح لك صفحة الحوادث معرفة عدد الحوادث التي لديك وما إذا كانت جديدة أو نشطة أو مغلقة. لكل حادث، يمكنك مشاهدة الوقت الذي حدث فيه وحالة الحدث. انظر إلى الخطورة لتحديد الحوادث التي يجب معالجتها أولا.

    لقطة شاشة لعرض خطورة الحادث.

  2. يمكنك تصفية الحوادث حسب الحاجة، على سبيل المثال حسب الحالة أو الخطورة. لمزيد من المعلومات، راجع البحث عن الحوادث.

  3. لبدء التحقيق، حدد حادثا محددا. على اليمين، يمكنك مشاهدة معلومات مفصلة عن الحادث بما في ذلك شدته، وملخص لعدد الكيانات المعنية، والأحداث الأولية التي أدت إلى هذا الحادث، والمعرف الفريد للحادث، وأي تكتيكات أو تقنيات MITRE ATT&CK معينة.

  4. لعرض مزيد من التفاصيل حول التنبيهات والكيانات في الحدث، حدد عرض التفاصيل الكاملة في صفحة الحدث وراجع علامات التبويب ذات الصلة التي تلخص معلومات الحادث.

    لقطة شاشة لعرض تفاصيل التنبيه.

    • إذا كنت تستخدم التجربة الجديدة حاليا، فقم بتبديلها في الجزء العلوي الأيسر من صفحة تفاصيل الحدث لاستخدام التجربة القديمة بدلا من ذلك.

    • في علامة التبويب المخطط الزمني ، راجع المخطط الزمني للتنبيهات والإشارات المرجعية في الحدث، والتي يمكن أن تساعدك على إعادة إنشاء المخطط الزمني لنشاط المهاجم.

    • في علامة التبويب الحوادث المماثلة (معاينة)، ترى مجموعة من ما يصل إلى 20 حادثا آخر يشبه إلى حد كبير الحادث الحالي. يتيح لك ذلك عرض الحادث في سياق أكبر ويساعد في توجيه تحقيقك. تعرف على المزيد حول الحوادث المماثلة أدناه.

    • في علامة التبويب Alerts ، راجع التنبيهات المضمنة في هذا الحادث. ترى جميع المعلومات ذات الصلة حول التنبيهات - قواعد التحليلات التي أنتجتها، وعدد النتائج التي تم إرجاعها لكل تنبيه، والقدرة على تشغيل أدلة المبادئ على التنبيهات. للتعمق أكثر في الحدث، حدد عدد الأحداث. يؤدي هذا إلى فتح الاستعلام الذي أنشأ النتائج والأحداث التي أدت إلى تشغيل التنبيه في Log Analytics.

    • في علامة التبويب الإشارات المرجعية ، ترى أي إشارات مرجعية قمت أنت أو المحققون الآخرون بربطها بهذا الحادث. تعرف على المزيد حول الإشارات المرجعية.

    • في علامة التبويب Entities ، يمكنك مشاهدة جميع الكيانات التي قمت بتعيينها كجزء من تعريف قاعدة التنبيه. هذه هي الكائنات التي لعبت دورا في الحدث، سواء كانت مستخدمين أو أجهزة أو عناوين أو ملفات أو أي أنواع أخرى.

    • وأخيرا، في علامة التبويب التعليقات ، يمكنك إضافة تعليقاتك على التحقيق وعرض أي تعليقات أدلى بها محللو ومحققون آخرون. تعرف على المزيد حول التعليقات.

  5. إذا كنت تحقق بنشاط في حادث ما، فمن المستحسن تعيين حالة الحدث إلى نشط حتى تقوم بإغلاقه.

  6. يمكن تعيين الحوادث إلى مستخدم معين أو إلى مجموعة. لكل حادث يمكنك تعيين مالك، عن طريق تعيين حقل المالك . تبدأ جميع الحوادث على أنها غير معينة. يمكنك أيضا إضافة تعليقات حتى يتمكن المحللون الآخرون من فهم ما حققت فيه وما هي مخاوفك حول الحادث.

    لقطة شاشة لتعيين الحدث للمستخدم.

    يظهر المستخدمون والمجموعات المحددة مؤخرا في أعلى القائمة المنسدلة المصورة.

  7. حدد التحقيق لعرض خريطة التحقيق.

استخدام الرسم البياني للتحقيق للتعمق

يمكن الرسم البياني للتحقيق المحللين من طرح الأسئلة الصحيحة لكل تحقيق. يساعدك الرسم البياني للتحقيق على فهم نطاق التهديد الأمني المحتمل وتحديد السبب الجذري له من خلال ربط البيانات ذات الصلة بأي كيان معني. يمكنك التعمق والتحقق من أي كيان معروض في الرسم البياني عن طريق تحديده والاختيار بين خيارات التوسع المختلفة.

يوفر لك الرسم البياني للتحقيق ما يلي:

  • السياق المرئي من البيانات الأولية: يعرض الرسم البياني المرئي المباشر علاقات الكيان المستخرجة تلقائيا من البيانات الأولية. يتيح لك ذلك رؤية الاتصالات بسهولة عبر مصادر البيانات المختلفة.

  • اكتشاف نطاق التحقيق الكامل: قم بتوسيع نطاق التحقيق الخاص بك باستخدام استعلامات الاستكشاف المضمنة لإظهار النطاق الكامل للخرق.

  • خطوات التحقيق المضمنة: استخدم خيارات الاستكشاف المحددة مسبقا للتأكد من أنك تطرح الأسئلة الصحيحة في مواجهة تهديد.

لاستخدام الرسم البياني للتحقيق:

  1. حدد حدثا، ثم حدد التحقيق. يأخذك هذا إلى الرسم البياني للتحقيق. يوفر الرسم البياني خريطة توضيحية للكيانات المتصلة مباشرة بالتنبيهات وكل مورد متصل بشكل أكبر.

    عرض الخريطة.

    هام

    • لن تتمكن من التحقيق في الحادث إلا إذا استخدمت حقول تعيين الكيان عند إعداد قاعدة التحليلات الخاصة بك. يتطلب الرسم البياني للتحقيق أن يتضمن الحادث الأصلي كيانات.

    • يدعم Microsoft Sentinel حاليا التحقيق في الحوادث التي يصل عمرها إلى 30 يوما.

  2. حدد كيانا لفتح جزء Entities حتى تتمكن من مراجعة المعلومات حول هذا الكيان.

    عرض الكيانات في الخريطة

  3. قم بتوسيع التحقيق الخاص بك عن طريق تمرير الماوس فوق كل كيان للكشف عن قائمة الأسئلة التي تم تصميمها من قبل خبراء الأمان والمحللين لدينا لكل نوع كيان لتعميق التحقيق الخاص بك. نطلق على استعلامات استكشاف الخيارات هذه.

    استكشاف المزيد من التفاصيل

    على سبيل المثال، يمكنك طلب تنبيهات ذات صلة. إذا قمت بتحديد استعلام استكشاف، تتم إضافة العناوين الناتجة مرة أخرى إلى الرسم البياني. في هذا المثال، يؤدي تحديد التنبيهات ذات الصلة إلى إرجاع التنبيهات التالية إلى الرسم البياني:

    لقطة شاشة: عرض التنبيهات ذات الصلة

    لاحظ أن التنبيهات ذات الصلة تظهر متصلة بالكيان بواسطة خطوط منقطة.

  4. لكل استعلام استكشاف، يمكنك تحديد خيار فتح نتائج الأحداث الأولية والاستعلام المستخدم في Log Analytics، عن طريق تحديد الأحداث>.

  5. من أجل فهم الحادث، يمنحك الرسم البياني جدولاً زمنياً موازياً.

    لقطة شاشة: عرض المخطط الزمني في الخريطة.

  6. مرر مؤشر الماوس فوق المخطط الزمني لمعرفة الأشياء الموجودة على الرسم البياني التي حدثت في أي نقطة زمنية.

    لقطة شاشة: استخدم المخطط الزمني في الخريطة للتحقيق في التنبيهات.'

تركيز التحقيق الخاص بك

تعرف على كيفية توسيع نطاق تحقيقك أو تضييق نطاقه إما عن طريق إضافة تنبيهات إلى الحوادث أو إزالة التنبيهات من الحوادث.

حوادث مماثلة (معاينة)

بصفتك محلل عمليات أمان، عند التحقيق في حادث ما، فإنك تريد الانتباه إلى سياقه الأكبر. على سبيل المثال، ستحتاج إلى معرفة ما إذا كانت حوادث أخرى مثل هذه قد حدثت من قبل أو تحدث الآن.

  • قد ترغب في تحديد الحوادث المتزامنة التي قد تكون جزءا من نفس استراتيجية الهجوم الأكبر.

  • قد ترغب في تحديد حوادث مماثلة في الماضي، لاستخدامها كنقاط مرجعية للتحقيق الحالي.

  • قد ترغب في تحديد مالكي الحوادث المماثلة السابقة، للعثور على الأشخاص في SOC الذين يمكنهم توفير المزيد من السياق، أو الذين يمكنك تصعيد التحقيق إليهم.

تعرض علامة تبويب الحوادث المماثلة في صفحة تفاصيل الحادث، التي أصبحت الآن قيد المعاينة، ما يصل إلى 20 حادثا آخر هو الأكثر شبها بالحادث الحالي. يتم حساب التشابه بواسطة خوارزميات Microsoft Sentinel الداخلية، ويتم فرز الحوادث وعرضها بترتيب تنازلي للتشابه.

لقطة شاشة لعرض الحوادث المماثلة.

حساب التشابه

هناك ثلاثة معايير يتم من خلالها تحديد التشابه:

  • الكيانات المماثلة: يعتبر الحادث مشابها لحادث آخر إذا كان كلاهما يتضمن نفس الكيانات. كلما زاد عدد الكيانات المشتركة بين حادثين، زاد التشابه بينهما.

  • قاعدة مماثلة: يعتبر الحادث مشابها لحادث آخر إذا تم إنشاؤها بواسطة نفس قاعدة التحليلات.

  • تفاصيل تنبيه مشابهة: يعتبر الحدث مشابها لحادث آخر إذا شاركوا نفس العنوان واسم المنتج و/أو التفاصيل المخصصة.

يتم عرض أسباب ظهور حادث في قائمة الحوادث المماثلة في عمود سبب التشابه . مرر مؤشر الماوس فوق أيقونة المعلومات لإظهار العناصر الشائعة (الكيانات أو اسم القاعدة أو التفاصيل).

لقطة شاشة للعرض المنبثق تفاصيل الحادث المماثلة.

الإطار الزمني للتشابه

يتم حساب تشابه الحادث بناء على بيانات من 14 يوماً قبل آخر نشاط في الحادث، وهو وقت انتهاء أحدث تنبيه في الحادث.

تتم إعادة حساب تشابه الحادث في كل مرة تدخل فيها صفحة تفاصيل الحادث، لذلك قد تختلف النتائج بين الجلسات إذا تم إنشاء حوادث جديدة أو تحديثها.

التعليق على الحوادث

بصفتك محلل عمليات أمنية، عند التحقيق في حادث ما، ستحتاج إلى توثيق الخطوات التي تتخذها بدقة، لضمان تقديم تقارير دقيقة إلى الإدارة ولتمكين التعاون والتعاون السلسين بين زملاء العمل. يمنحك Microsoft Sentinel بيئة ثرية للتعليق لمساعدتك على تحقيق ذلك.

شيء آخر مهم يمكنك القيام به مع التعليقات هو إثراء الحوادث الخاصة بك تلقائيا. عند تشغيل دليل المبادئ على حادث يجلب معلومات ذات صلة من مصادر خارجية (على سبيل المثال، التحقق من ملف للبرامج الضارة في VirusTotal)، يمكنك أن يكون دليل المبادئ يضع استجابة المصدر الخارجي - إلى جانب أي معلومات أخرى تحددها - في تعليقات الحدث.

التعليقات بسيطة الاستخدام. يمكنك الوصول إليها من خلال علامة التبويب التعليقات في صفحة تفاصيل الحادث.

لقطة شاشة لعرض التعليقات وإدخالها.

الأسئلة المتداولة حول تعليقات الحادث

هناك العديد من الاعتبارات التي يجب أخذها في الاعتبار عند استخدام تعليقات الحدث. تشير قائمة الأسئلة التالية إلى هذه الاعتبارات.

ما أنواع الإدخالات المدعومة؟

  • نص: تدعم التعليقات في Microsoft Sentinel إدخالات النص بالنص العادي وHTML الأساسي و Markdown. يمكنك أيضاً لصق النص المنسوخ وHTML و Markdown في نافذة التعليق.

  • الصور: يمكنك إدراج ارتباطات إلى الصور في التعليقات ويتم عرض الصور بشكل مضمن، ولكن يجب استضافة الصور بالفعل في موقع يمكن الوصول إليه بشكل عام مثل Dropbox وOneDrive وGoogle Drive وما إلى ذلك. لا يمكن تحميل الصور مباشرة إلى التعليقات.

هل هناك حد لحجم التعليقات؟

  • لكل تعليق: يمكن أن يحتوي تعليق واحد على ما يصل إلى 30000 حرف.

  • لكل حادث: يمكن أن يحتوي حادث واحد على ما يصل إلى 100 تعليق.

    إشعار

    حد حجم سجل حادث واحد في جدول SecurityIncident في Log Analytics هو 64 كيلوبايت. إذا تم تجاوز هذا الحد، اقتطاع التعليقات (بدءا من الأقدم)، مما قد يؤثر على التعليقات التي ستظهر في نتائج البحث المتقدمة .

    لن تتأثر سجلات الحوادث الفعلية في قاعدة بيانات الحوادث.

من يمكنه تحرير التعليقات أو حذفها؟

  • التحرير: يملك كاتب التعليق فقط الإذن بتحريره.

  • حذف: فقط المستخدمون الذين لديهم دور Microsoft Sentinel Contributor لديهم إذن لحذف التعليقات. حتى مؤلف التعليق يجب أن يكون له هذا الدور من أجل حذفه.

إغلاق حادث

بمجرد حل حدث معين (على سبيل المثال، عندما يصل التحقيق إلى نهايته)، يجب تعيين حالة الحدث إلى مغلق. عند القيام بذلك، ستتم مطالبتك بتصنيف الحادث عن طريق تحديد سبب إغلاقه. هذه الخطوة إلزامية. حدد تحديد التصنيف واختر أحد الإجراءات التالية من القائمة المنسدلة:

  • True Positive - نشاط مشبوه
  • إيجابية حميدة - مريبة ولكن متوقعة
  • إيجابي خاطئ - منطق تنبيه غير صحيح
  • إيجابية خاطئة - بيانات غير صحيحة
  • "Undetermined"

لقطة شاشة تبرز التصنيفات المتوفرة في قائمة تحديد التصنيف.

لمزيد من المعلومات حول الإيجابيات الزائفة والإيجابيات الحميدة، راجع معالجة الإيجابيات الزائفة في Microsoft Sentinel.

بعد اختيار التصنيف المناسب، أضف نصا وصفيا في حقل التعليق . هذا مفيد في حال كنت بحاجة إلى الرجوع إلى هذا الحدث. حدد تطبيق عند الانتهاء، ويتم إغلاق الحدث.

لقطة شاشة لإغلاق حادث.

البحث عن الحوادث

للعثور على حدث معين بسرعة، أدخل سلسلة بحث في مربع البحث أعلى شبكة الحوادث واضغط على Enter لتعديل قائمة الحوادث المعروضة وفقا لذلك. إذا لم يتم تضمين الحادث في النتائج، فقد تحتاج إلى تضييق نطاق البحث باستخدام خيارات البحث المتقدمة .

لتعديل معلمات البحث، حدد الزر بحث ثم حدد المعلمات التي تريد تشغيل البحث فيها.

على سبيل المثال:

لقطة شاشة لمربع البحث عن الحادث والزر لتحديد خيارات البحث الأساسية و/أو المتقدمة.

بشكل افتراضي، يتم تشغيل عمليات البحث عن الحوادث عبر قيم معرف الحدثوالعنوانوالعلاماتوالمالكواسم المنتج فقط. في جزء البحث، مرر لأسفل القائمة لتحديد معلمة واحدة أو أكثر للبحث، وحدد تطبيق لتحديث معلمات البحث. حدد Set to default reset the selected parameters to the default option.

إشعار

تدعم عمليات البحث في حقل المالك كلا من الأسماء وعناوين البريد الإلكتروني.

يؤدي استخدام خيارات البحث المتقدم إلى تغيير سلوك البحث على النحو التالي:

سلوك البحث ‏‏الوصف
لون زر البحث يتغير لون زر البحث، اعتماداً على أنواع المعلمات المستخدمة حالياً في البحث.
  • طالما تم تحديد المعلمات الافتراضية فقط، يكون الزر رمادياً.
  • بمجرد تحديد معلمات مختلفة، مثل معلمات البحث المتقدم، يتحول الزر إلى اللون الأزرق.
التحديث التلقائي يمنعك استخدام معلمات البحث المتقدم من تحديد تحديث نتائجك تلقائياً.
معلمات الكيان يتم دعم جميع معلمات الكيانات لعمليات البحث المتقدمة. عند البحث في أي معلمة كيان، يتم تشغيل البحث في كافة معلمات الكيان.
سلاسل البحث يتضمن البحث عن سلسلة من الكلمات جميع الكلمات الموجودة في استعلام البحث. سلاسل البحث حساسة لحالة الأحرف.
دعم مساحة العمل المشتركة عمليات البحث المتقدمة غير مدعومة لطرق العرض عبر مساحات العمل.
عدد نتائج البحث المعروضة عند استخدام معلمات البحث المتقدم، يتم عرض 50 نتيجة فقط في المرة الواحدة.

تلميح

إذا لم تتمكن من العثور على الحادث الذي تبحث عنه، فأزل معلمات البحث لتوسيع نطاق البحث. إذا كانت نتائج البحث تحتوي على عدد كبير جدا من العناصر، فأضف المزيد من الفلاتر لتضييق نطاق النتائج.

المحتوى ذو الصلة

في هذه المقالة، تعلمت كيفية البدء في التحقيق في الحوادث باستخدام Microsoft Azure Sentinel. لمزيد من المعلومات، راجع: