ترحيل قواعد الكشف عن QRadar إلى Microsoft Sentinel
توضح هذه المقالة كيفية تحديد قواعد الكشف عن QRadar ومقارنتها وترحيلها إلى القواعد المضمنة في Microsoft Sentinel.
تحديد القواعد وترحيلها
يستخدم Azure Sentinel تحليلات التعلم الآلي لإنشاء حوادث عالية الدقة وقابلة للتنفيذ، وقد تكون بعض عمليات الكشف الحالية متكررة في Azure Sentinel. لذلك، لا ترحل جميع قواعد الكشف والتحليل بشكل أعمى. راجع هذه الاعتبارات خلال تحديد قواعد الكشف الحالية.
- تأكد من تحديد حالات الاستخدام التي تبرر ترحيل القواعد، مع مراعاة أولوية العمل وكفاءته.
- تحقق من فهمك أنواع قواعد Azure Sentinel.
- تحقق من فهمك للمصطلحات الخاصة بالقاعدة.
- راجع أي قواعد لم تشغل أي تنبيهات في الأشهر 6-12 الماضية، وحدد ما إذا كانت لا تزال ذات صلة.
- تخلص من التهديدات أو التنبيهات منخفضة المستوى التي تتجاهلها بشكل روتيني.
- استخدم الوظائف الحالية، وتحقق مما إذا كانت قواعد التحليلات المضمنة في Azure Sentinel قد تعالج حالات الاستخدام الحالية. نظرًا لأن Azure Sentinel يستخدم تحليلات التعلم الآلي لإنتاج حوادث عالية الدقة وقابلة للتنفيذ، فمن المحتمل أن بعض اكتشافاتك الحالية لن تكون مطلوبة بعد الآن.
- أكد مصادر البيانات المتصلة وراجع طرق اتصال البيانات الخاصة بك. أعد زيارة محادثات جمع البيانات لضمان عمق البيانات واتساعها عبر حالات الاستخدام التي تخطط للكشف عنها.
- استكشف موارد المجتمع مثل SOC Prime Threat Detection Marketplace للتحقق مما إذا كانت القواعد الخاصة بك متوفرة أم لا.
- ضع في اعتبارك ما إذا كان محول استعلام عبر الإنترنت مثل Uncoder.io يمكن أن يعمل مع القواعد الخاصة بك أم لا.
- في حالة لم تكن القواعد متاحة أو لا يمكن تحويلها، فيجب إنشاؤها يدويًا باستخدام استعلام KQL. راجع تعيين قواعد لإنشاء استعلامات جديدة.
تعرف على المزيد عن أفضل الممارسات لترحيل قواعد الكشف.
لترحيل قواعد التحليلات الخاصة بك إلى Azure Sentinel:
تأكد من وجود نظام اختبار لكل قاعدة تريد ترحيلها.
أعد عملية التحقق من الصحة للقواعد التي تم ترحيلها، بما في ذلك سيناريوهات الاختبار الكاملة والبرامج النصية.
تأكد من أن فريقك لديه موارد مفيدة لاختبار القواعد التي رحلت.
تأكد من حصولك علي أي مصادر بيانات مطلوبة متصلة، وراجع أساليب اتصال البيانات.
تحقق مما إذا كانت اكتشافاتك متاحة كقوالب مضمنة في Azure Sentinel:
في حالة كون القواعد المضمنة كافية، فاستخدم نماذج القواعد المضمنة لإنشاء قواعد لمساحة العمل الخاصة بك.
في Azure Sentinel، انتقل إلى علامة التبويب Configuration > Analytics >Rule templates، وأنشئ وحدث كل قاعدة تحليلات ذات صلة.
للمزيد من المعلومات، راجع الكشف عن التهديدات الخارجة عن السياق.
إذا كان لديك اكتشافات لا تغطيها القواعد المضمنة في Azure Sentinel، فجرب محول استعلام عبر الإنترنت، مثل Uncoder.io لتحويل الاستعلامات الخاصة بك إلى KQL.
حدد شرط المشغل وقاعدة الإجراء، ثم أنشئ استعلام KQL الخاص بك وراجعه.
إذا لم تكن القواعد المضمنة ولا محول القواعد عبر الإنترنت كافيين ، فستحتاج إلى إنشاء القاعدة يدوياً. في مثل هذه الحالات، استخدم الخطوات الموضحة أدناه لبدء إنشاء القاعدة الخاصة بك:
حدد مصادر البيانات التي ترغب استخدامها في القاعدة الخاصة بك. ستحتاج إلى إنشاء جدول تعيين بين مصادر البيانات وجداول البيانات في Azure Sentinel لتحديد الجداول التي تريد الاستعلام عنها.
حدد أي سمات أو حقول أو كيانات في البيانات الخاصة بك تريد استخدامها في القواعد.
حدد المعايير الخاصة بالقاعدة والمنطق. في هذه المرحلة، يمكن أن تحتاج إلى استخدام نماذج القواعد كعينات لكيفية إنشاء استعلامات KQL.
ضع في اعتبارك عوامل التصفية وقواعد الارتباط والقوائم النشطة ومجموعات المراجع وقوائم المراقبة والاكتشافات الشاذة والتجميعات وما إلى ذلك. يمكنك استخدام المراجع التي يتيحها SIEM القديم لفهم كيفية أفضل طريقة لتعيين بناء جملة الاستعلام الخاص بك.
حدد شرط المشغل وقاعدة الإجراء، ثم أنشئ استعلام KQL الخاص بك ومراجعته. أثناء مراجعة الاستعلام الخاص بك، ضع في اعتبارك موارد إرشادات التحسين KQL.
تأكد من اختبار القاعدة مع كل حالة من حالات الاستخدام ذات الصلة. في حالة عدم توفر النتائج المتوقعة، فقد تحتاج إلى مراجعة KQL واختباره مرة أخرى.
عندما تكون راضياً، يمكنك اعتبار القاعدة التي تم ترحيلها. أنشئ دليل المبادئ لإجراءات القاعدة الخاصة بك عند الحاجة. للمزيد من المعلومات، راجع أتمتة الاستجابة للمخاطر باستخدام أدلة المبادئ في Azure Sentinel.
تعرف على المزيد عن قواعد التحليلات:
- أنشئ قواعد تحليلات مخصصة للكشف عن التهديدات. استخدم تجميع التنبيهات لتقليل إجهاد التنبيه عن طريق تجميع التنبيهات التي تحدث ضمن إطار زمني معين.
- تعيين حقول البيانات إلى كيانات في Azure Sentinel لتمكين مهندسي SOC من تحديد الكيانات كجزء من الأدلة التي يجب تعقبها أثناء التحقيق. كما يوفر تعيين الكيانات لمحللي SOC للاستفادة من [رسم بياني بديهي للتحقيق (investigate-cases.md#use-the-investigation-graph-to-deep-dive) يمكن أن يساعد في تقليل الوقت والجهد.
- تحقق من الأحداث باستخدام بيانات UEBA، كمثال على كيفية استخدام الأدلة لعرض الأحداث والتنبيهات وأي إشارات مرجعية ذات صلة بحدث معين في جزء الإصدار الأولي للحدث.
- لغة استعلام الخاصة بـ Kusto (KQL) والتي يمكنك استخدامها لإرسال طلبات للقراءة فقط إلى قاعدة بيانات Log Analytics لمعالجة البيانات وإرجاع النتائج. يستخدم KQL أيضاً من خلال خدمات Microsoft الأخرى، مثل Microsoft Defender لنقطة النهاية وApplication Insights.
مقارنة مصطلحات القاعدة
يساعدك هذا الجدول على توضيح مفهوم قاعدة في Microsoft Sentinel مقارنة بـ QRadar.
QRadar | Microsoft Sentinel | |
---|---|---|
نوع القاعدة | • أحداث • سير • عام • مخالفة • قواعد الكشف عن الخارج عن المألوف |
• استعلام مجدول • Fusion • Microsoft Security • تحليلات سلوك التعلم الآلي من Microsoft Azure |
المعايير | تعريف في حالة الاختبار | تعريف في KQL |
شرط المشغل | تعريف في القاعدة | الحد: عدد نتائج الاستعلام |
إجراء | • إنشاء مخالفة • إرسال حدث جديد • إضافة إلى مجموعة مرجعية أو بيانات • والمزيد |
• أنشئ تنبيه أو حدث • تكامل مع Logic Apps |
تعيين نماذج القواعد ومقارنتها
استخدم هذه العينات لمقارنة القواعد وتعيينها من QRadar إلى Microsoft Sentinel في سيناريوهات مختلفة.
بناء جملة اختبارات الخصائص الشائعة
فيما يلي بناء جملة QRadar لقاعدة اختبارات الخصائص الشائعة.
اختبارات الخصائص الشائعة: مثال على التعبير العادي (QRadar)
فيما يلي بناء الجملة لعينة من قاعدة اختبارات الخاصية الشائعة QRadar التي تستخدم تعبيراً عادياً:
when any of <these properties> match <this regular expression>
فيما يلي عينة القاعدة في QRadar.
اختبارات الخصائص الشائعة: مثال على التعبير العادي (KQL)
فيما يلي قاعدة اختبارات الخاصية الشائعة مع تعبير عادي في KQL.
CommonSecurityLog
| where tostring(SourcePort) matches regex @"\d{1,5}" or tostring(DestinationPort) matches regex @"\d{1,5}"
اختبارات الخصائص الشائعة: مثال للاستعلام عن عامل تصفية AQL (QRadar)
فيما يلي بناء الجملة لعينة من قاعدة اختبارات الخاصية الشائعة QRadar التي تستخدم استعلام عن عامل تصفية AQL.
when the event matches <this> AQL filter query
فيما يلي عينة القاعدة في QRadar.
اختبارات الخصائص الشائعة: مثال للاستعلام عن عامل تصفية AQL (KQL)
فيما يلي قاعدة اختبارات الخاصية الشائعة مع استعلام عن عامل تصفية AQL في KQL.
CommonSecurityLog
| where SourceIP == '10.1.1.10'
اختبارات الخصائص الشائعة: تساوي/لا تساوي المثال (QRadar)
فيما يلي بناء الجملة لعينة من قاعدة اختبارات الخاصية الشائعة QRadar التي تستخدم عامل تشغيل equals
أو not equals
.
and when <this property> <equals/not equals> <this property>
فيما يلي عينة القاعدة في QRadar.
اختبارات الخصائص الشائعة: مثال على يساوي/لا يساوي (KQL)
فيما يلي قاعدة اختبارات الخاصية الشائعة مع عامل التشغيل equals
أو not equals
في KQL.
CommonSecurityLog
| where SourceIP == DestinationIP
بناء جملة اختبارات التاريخ/الوقت
فيما يلي بناء جملة QRadar لقاعدة اختبارات التاريخ/الوقت.
اختبارات التاريخ/الوقت: مثال على اليوم المحدد من الشهر (QRadar)
فيما يلي بناء الجملة لعينة من قاعدة اختبارات التاريخ/الوقت لـ QRadar التي تستخدم يوماً محدداً من الشهر.
and when the event(s) occur <on/after/before> the <selected> day of the month
فيما يلي عينة القاعدة في QRadar.
اختبارات التاريخ/الوقت: مثال على اليوم المحدد من الشهر (KQL)
فيما يلي قاعدة اختبارات التاريخ/الوقت مع يوم محدد من الشهر في KQL.
SecurityEvent
| where dayofmonth(TimeGenerated) < 4
اختبارات التاريخ/الوقت: مثال على اليوم المحدد من الأسبوع (QRadar)
فيما يلي بناء الجملة لعينة قاعدة اختبارات التاريخ/الوقت QRadar التي تستخدم يوماً محدداً من الأسبوع:
and when the event(s) occur on any of <these days of the week{Monday, Tuesday, Wednesday, Thursday, Friday, Saturday, Sunday}>
فيما يلي عينة القاعدة في QRadar.
اختبارات التاريخ/الوقت: مثال على اليوم المحدد من الأسبوع (KQL)
فيما يلي قاعدة اختبارات التاريخ/الوقت مع يوم محدد من الأسبوع في KQL.
SecurityEvent
| where dayofweek(TimeGenerated) between (3d .. 5d)
اختبارات التاريخ/الوقت: مثال على بعد/قبل/في (QRadar)
فيما يلي بناء الجملة لعينة من قاعدة اختبارات التاريخ/الوقت لـ QRadar التي تستخدم عامل تشغيل after
أو before
أو at
.
and when the event(s) occur <after/before/at> <this time{12.00AM, 12.05AM, ...11.50PM, 11.55PM}>
فيما يلي عينة القاعدة في QRadar.
اختبارات التاريخ/الوقت: مثال على بعد/قبل/في (KQL)
فيما يلي قاعدة اختبارات التاريخ/الوقت التي تستخدم عامل التشغيل after
أو before
أو at
في KQL.
SecurityEvent
| where format_datetime(TimeGenerated,'HH:mm')=="23:55"
TimeGenerated
في التوقيت العالمي المتفق عليه /غرينيتش.
بناء جملة اختبارات خاصية الحدث
فيما يلي بناء جملة QRadar لقاعدة اختبارات خاصية الحدث.
اختبارات خاصية الحدث: مثال على بروتوكول IP (QRadar)
فيما يلي بناء الجملة لعينة قاعدة اختبارات خاصية حدث QRadar التي تستخدم بروتوكول IP.
and when the IP protocol is one of the following <protocols>
فيما يلي عينة القاعدة في QRadar.
اختبارات خاصية الحدث: مثال على بروتوكول IP (KQL)
CommonSecurityLog
| where Protocol in ("UDP","ICMP")
اختبارات خاصية الحدث: مثال على سلسلة حمولة الحدث (QRadar)
فيما يلي بناء الجملة لعينة قاعدة اختبارات خاصية حدث QRadar التي تستخدم قيمة السلسلة Event Payload
.
and when the Event Payload contains <this string>
فيما يلي عينة القاعدة في QRadar.
اختبارات خاصية الحدث: مثال على سلسلة حمولة الحدث (KQL)
CommonSecurityLog
| where DeviceVendor has "Palo Alto"
search "Palo Alto"
لتحسين الأداء، تجنب استخدام الأمر search
إذا كنت تعرف اسم الجدول بالفعل.
الدالات: بناء جملة العدادات
فيما يلي بناء جملة QRadar لقاعدة دالات تستخدم العدادات.
العدادات: مثال على خاصية الحدث والوقت (QRadar)
فيما يلي بناء الجملة لعينة قاعدة دالات QRadar التي تستخدم عدداً محدداً من خصائص الحدث في عدد محدد من الدقائق.
and when at least <this many> events are seen with the same <event properties> in <this many> <minutes>
فيما يلي عينة القاعدة في QRadar.
العدادات: مثال على خاصية الحدث والوقت (KQL)
CommonSecurityLog
| summarize Count = count() by SourceIP, DestinationIP
| where Count >= 5
الدالات: بناء جملة الشروط السالبة
فيما يلي بناء جملة QRadar لقاعدة دالات تستخدم الشروط السالبة.
مثال على الشروط السالبة (QRadar)
فيما يلي بناء الجملة لعينة قاعدة دالات QRadar التي تستخدم الشروط السالبة.
and when none of <these rules> match in <this many> <minutes> after <these rules> match with the same <event properties>
فيما يلي قاعدتان محددتان في QRadar. تستند الشروط السالبة إلى هذه القواعد.
فيما يلي عينة من قاعدة الشروط السلبية استناداً إلى القواعد أعلاه.
مثال على الشروط السالبة (KQL)
let spanoftime = 10m;
let Test2 = (
CommonSecurityLog
| where Protocol !in ("UDP","ICMP")
| where TimeGenerated > ago(spanoftime)
);
let Test6 = (
CommonSecurityLog
| where SourceIP == DestinationIP
);
Test2
| join kind=rightanti Test6 on $left. SourceIP == $right. SourceIP and $left. Protocol ==$right. Protocol
الدالات: بناء جملة شروط بسيطة
فيما يلي بناء جملة QRadar لقاعدة دالات تستخدم شروطاً بسيطة.
مثال على الشروط البسيطة (QRadar)
فيما يلي بناء الجملة لعينة قاعدة دالات QRadar التي تستخدم شروطاً بسيطة.
and when an event matches <any|all> of the following <rules>
فيما يلي عينة القاعدة في QRadar.
مثال على الشروط البسيطة (KQL)
CommonSecurityLog
| where Protocol !in ("UDP","ICMP") or SourceIP == DestinationIP
بناء جملة اختبارات IP/المنفذ
فيما يلي بناء جملة QRadar لقاعدة اختبارات IP/المنفذ.
اختبارات IP/المنفذ: مثال على المنفذ المصدر (QRadar)
فيما يلي بناء جملة لعينة قاعدة QRadar التي تحدد منفذ مصدر.
and when the source port is one of the following <ports>
فيما يلي عينة القاعدة في QRadar.
اختبارات IP/المنفذ: مثال على المنفذ المصدر (KQL)
CommonSecurityLog
| where SourcePort == 20
اختبارات IP/المنفذ: مثال على IP المصدر (QRadar)
فيما يلي بناء جملة لعينة قاعدة QRadar تحدد عنوان IP مصدر.
and when the source IP is one of the following <IP addresses>
فيما يلي عينة القاعدة في QRadar.
اختبارات IP/المنفذ: مثال على IP المصدر (KQL)
CommonSecurityLog
| where SourceIP in (“10.1.1.1”,”10.2.2.2”)
بناء جملة اختبارات مصدر السجل
فيما يلي بناء جملة QRadar لقاعدة اختبارات مصدر السجل.
مثال على مصدر السجل (QRadar)
فيما يلي بناء جملة لعينة قاعدة QRadar تحدد مصادر السجل.
and when the event(s) were detected by one or more of these <log source types>
فيما يلي عينة القاعدة في QRadar.
مثال على مصدر السجل (KQL)
OfficeActivity
| where OfficeWorkload == "Exchange"
الخطوات التالية
في هذه المقالة، تعلمت كيفية تعيين قواعد الترحيل الخاصة بك من QRadar إلى Microsoft Sentinel.