إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
تناقش هذه المقالة المكونات المختلفة لحل Microsoft Sentinel وكيف يمكنهم العمل معا لمعالجة سيناريوهات العملاء المهمة.
تشتمل منصة Sentinel على بحيرة بيانات ورسم بياني ووظائف دفتر ملاحظات Jupyter وخادم بروتوكول سياق النموذج (MCP) وبيانات من أكثر من 300 موصل Sentinel لمساعدة العملاء على مركزية بيانات الأمان الخاصة بهم وتحليلها بطريقة فعالة من حيث التكلفة. تمكن هذه الإمكانات بالإضافة إلى Microsoft Security Copilot العملاء والشركاء من إنشاء حلول مؤثرة، والتي يمكن نشرها من خلال متجر أمان Microsoft.
يتم استخدام Sentinel SIEM من قبل فرق عمليات الأمان (SOC) لإنشاء الاكتشافات والتحقيق في السلوك الضار ومعالجة التهديدات. من خلال إنشاء موصلات Sentinel لجلب بيانات جديدة، ومن خلال إنشاء محتوى مثل قواعد التحليلات وكتيبات المبادئ واستعلامات الصيد والمحللين والمصنفات، يمكن للشركاء مساعدة فرق SOC في الحصول على المعلومات التي يحتاجونها لتحديد التهديدات والاستجابة بشكل مناسب. يتم نشر حلول Sentinel SIEM من خلال مركز المحتوى الخاص ب Sentinel.
تجميع البيانات
سواء كنت تقوم بإنشاء حل يستخدم مكونات النظام الأساسي أو تستهدف تكامل Sentinel SIEM، فمن الأهمية بمكان أن يكون لديك البيانات المناسبة للسيناريو الخاص بك.
تجلب موصلات Sentinel البيانات إلى Sentinel ، والتي يمكن تحليلها بعد ذلك في البحيرة باستخدام دفاتر ملاحظات Jupyter والوظائف ، أو معالجتها باستخدام محتوى Sentinel SIEM مثل قواعد التحليلات واستعلامات البحث.
يمكن أن تتضمن هذه البيانات الأنواع التالية:
| النوع | الوصف |
|---|---|
| البيانات غير المعالجة | يدعم عمليات الاكتشاف والتتبع. تحليل البيانات التشغيلية الأولية التي قد تظهر عليها علامات نشاط ضار. قم بإحضار البيانات غير المعالجة إلى Microsoft Sentinel لاستخدام ميزات التتبع والكشف المضمنة في Microsoft Sentinel لتحديد المخاطر الجديدة والمزيد. أمثلة: بيانات Syslog أو بيانات CEF عبر Syslog أو التطبيق أو جدار الحماية أو المصادقة أو سجلات الوصول والمزيد. |
| استنتاجات أمنية | ينشئ رؤية تنبيه وفرصة للارتباط. التنبيهات وعمليات الكشف هي استنتاجات تم إجراؤها بالفعل بشأن المخاطر. إن وضع عمليات الكشف في السياق مع جميع الأنشطة والاكتشافات الأخرى الظاهرة في تحقيقات Microsoft Sentinel، يوفر الوقت للمحللين وينشئ صورة أكثر اكتمالاً للحادث، ما يؤدي إلى تحديد أولويات أفضل واتخاذ قرارات أفضل. أمثلة: تنبيهات مكافحة البرامج الضارة، والعمليات المشبوهة، والتواصل مع مضيفين سيئين معروفين، وحركة مرور الشبكة التي تم حظرها ولماذا، وعمليات تسجيل الدخول المشبوهة، وهجمات رش كلمات المرور المكتشفة، وهجمات التتبع الاحتيالي المحددة، وأحداث استخراج البيانات، والمزيد. |
| البيانات المرجعية | يبني السياق مع البيئات المرجعية، ما يوفر جهد التحقيق ويزيد الكفاءة. أمثلة: CMDBs وقواعد بيانات الأصول عالية القيمة وقواعد بيانات تبعية التطبيق وسجلات تخصيص IP ومجموعات معلومات التهديد للتخصيب والمزيد. |
| تحليل ذكي للمخاطر | صلاحيات الكشف عن المخاطر من خلال المساهمة بمؤشرات المخاطر المعروفة. يمكن أن تتضمن معلومات التهديد مؤشرات حالية تمثل مخاطر فورية أو مؤشرات تاريخية يتم الاحتفاظ بها للوقاية في المستقبل. غالباً ما تكون مجموعات البيانات التاريخية كبيرة ويُفضل الرجوع إليها لأغراض مخصصة، بدلاً من استيرادها مباشرةً إلى Microsoft Sentinel. |
المُحللات
المحللون اللغوية هي وظائف KQL التي تحول البيانات المخصصة من منتجات الجهات الخارجية إلى مخطط ASIM موحد. يضمن التسوية عدم ضطرة محللي SOC إلى معرفة تفاصيل حول المخططات الجديدة، وبدلا من ذلك إنشاء قواعد تحليلية واستعلامات تتبع على المخطط العادي الذي هم على دراية به بالفعل. راجع مخططات ASIM المتوفرة التي يوفرها Microsoft Sentinel لتحديد مخططات ASIM ذات الصلة (واحد أو أكثر) لبياناتك لضمان الإلحاق الأسهل لمحللي SOC وللتأكد من أن محتوى الأمان الحالي المكتوب لمخطط ASIM قابل للتطبيق خارج الصندوق لبيانات المنتج. لمزيد من المعلومات حول مخططات ASIM المتوفرة، راجع مخططات نموذج معلومات الأمان المتقدمة (ASIM).
الرسوم المرئية
يمكنك تضمين تصورات لمساعدة العملاء على إدارة بياناتك وفهمها، من خلال تضمين طرق عرض رسومية لمدى جودة تدفق البيانات إلى Microsoft Sentinel، ومدى فعالية مساهمتها في الاكتشافات.
يمكنك تضمين تصورات لمساعدة العملاء على إدارة بياناتك وفهمها، من خلال تضمين طرق عرض رسومية لمدى جودة تدفق البيانات إلى Microsoft Sentinel، ومدى فعالية مساهمتها في الاكتشافات.
المراقبة والكشف
تعمل ميزات المراقبة والكشف في Sentinel على إنشاء اكتشافات آلية لمساعدة العملاء على توسيع نطاق خبرة فريق SOC الخاص بهم.
تصف الأقسام التالية عناصر المراقبة والكشف التي يمكنك تضمينها في الحل الخاص بك.
وكلاء مساعد الأمن
يقوم وكلاء مساعد الطيار الأمني بأتمتة المهام المتكررة وتقليل أعباء العمل اليدوية. إنها تعزز عمليات الأمان وتكنولوجيا المعلومات عبر السحابة وأمن البيانات والخصوصية والهوية وأمن الشبكة. بالنسبة إلى Sentinel، يمكن للوكلاء الاستعلام عن SIEM أو مستودع البيانات واستدعاء واجهات برمجة التطبيقات لإثراء بيانات Microsoft Sentinel. يمكنهم استخدام وظائف الكمبيوتر المحمول لمعالجة البيانات أو تحليلها بشكل مكثف واستخدام أي عدد من المكونات الإضافية.
وظائف دفتر ملاحظات Jupyter
توفر وظائف دفتر ملاحظات Jupyter أدوات قوية لإجراء تحويلات البيانات المعقدة وتشغيل نماذج التعلم الآلي باستخدام وظائف Spark في بحيرة بيانات Sentinel. يمكن استخدامها من قبل وكلاء Security Copilot لتوفير وسيلة حتمية وفعالة لإجراء تحليل البيانات وتلخيصها وتشغيلها بشكل مستمر. يمكن لمهام دفتر الملاحظات كتابة جداول بيانات مخصصة إلى المستوى التحليلي وبحيرة البيانات لاستخدامها من قبل مكونات الخادم مثل الوكلاء والمصنفات واستعلامات التتبع وغيرها.
قواعد التحليلات
قواعد "إحصاءات Google" هي عمليات اكتشاف معقدة يمكنها إنشاء تنبيهات دقيقة وذات مغزى.
أضف قواعد التحليلات إلى الحل الخاص بك لمساعدة عملائك على الاستفادة من البيانات من نظامك في Microsoft Sentinel. على سبيل المثال، يمكن أن تساعد قواعد التحليلات في توفير الخبرة والرؤية بشأن الأنشطة التي يمكن اكتشافها في البيانات التي يوفرها التكامل.
يمكنهم إخراج التنبيهات (الأحداث البارزة) أو الحوادث (وحدات التحقيق) أو تشغيل أدلة التشغيل الآلي.
يمكنك إضافة قواعد التحليلات من خلال تضمينها في أحد الحلول وعبر مجتمعMicrosoft Sentinel ThreatHunters. ساهم عبر المجتمع لتشجيع الإبداع المجتمعي على البيانات التي يوفرها الشركاء، ما يساعد العملاء في اكتشافات أكثر موثوقية وفعالية.
باستعلامات الاصطياد
تمكن استعلامات التتبع محللي SOC من البحث بشكل استباقي عن الحالات الشاذة الجديدة التي لم يتم اكتشافها بواسطة قواعد التحليلات المجدولة حاليا. ترشد استعلامات التتبع محللي SOC إلى طرح الأسئلة الصحيحة للعثور على المشكلات من البيانات المتوفرة بالفعل في Microsoft Sentinel وتساعدهم على تحديد سيناريوهات التهديد المحتملة. من خلال تضمين استعلامات البحث، يمكنك مساعدة العملاء في العثور على تهديدات غير معروفة في البيانات التي تقدمها.
مصنفات
توفر المصنفات تقارير ولوحات معلومات تفاعلية تساعد المستخدمين على تصور بيانات الأمان وتحديد الأنماط داخل البيانات. تعتمد الحاجة إلى المصنفات على حالة الاستخدام المحددة. أثناء تصميم الحل الخاص بك ، فكر في السيناريوهات التي يمكن شرحها بشكل أفضل بصريا ، خاصة بالنسبة للسيناريوهات لتتبع الأداء.
التحقيق
يوفر الرسم البياني للتحقيق Sentinel للمحققين البيانات ذات الصلة عندما يحتاجون إليها ، مما يوفر رؤية حول الحوادث الأمنية والتنبيهات عبر الكيانات المتصلة. يمكن للمحققين استخدام الرسم البياني للتحقيق للعثور على الأحداث ذات الصلة أو ذات الصلة، والمساهمة في التهديد قيد التحقيق.
يمكن للشركاء المساهمة في الرسم البياني للتحقيق من خلال توفير:
- تنبيهات وحوادث Microsoft Sentinel، التي تم إنشاؤها عبر قواعد التحليلات في حلول الشركاء.
- استعلامات الاستكشاف المخصصة للبيانات التي يوفرها الشريك. توفر استعلامات الاستكشاف المخصصة استكشافاً ثرياً واتصالاً بين البيانات والنتائج المعرفية للمحققين الأمنيين.
الرد
تدعم أدلة التشغيل مهام سير العمل من خلال التشغيل الآلي الغني ، وتشغيل المهام المتعلقة بالأمان عبر بيئات العملاء. إنها ضرورية لضمان عدم إثقال كاهل محللي SOC بالعناصر التكتيكية ويمكنهم التركيز على السبب الجذري الأكثر استراتيجية وأعمق لنقاط الضعف. على سبيل المثال، إذا تم الكشف عن تنبيه عالي الخطورة، يمكن لدليل المبادئ بدء سلسلة من الإجراءات تلقائيا، مثل إعلام فريق الأمان، وعزل الأنظمة المتأثرة، وجمع السجلات ذات الصلة لمزيد من التحليل.
على سبيل المثال، يمكن أن تساعد أدلة المبادئ بأي من الطرق التالية، والمزيد:
- مساعدة العملاء على تكوين نُهج الأمان في المنتجات الشريكة
- جمع بيانات إضافية لتوجيه قرارات التحقيق
- ربط حوادث Microsoft Sentinel بأنظمة الإدارة الخارجية
- دمج إدارة دورة حياة التنبيه عبر حلول الشركاء
أثناء تصميم الحل الخاص بك، فكر في الإجراءات التلقائية التي يمكن اتخاذها لحل الحوادث التي تم إنشاؤها بواسطة القواعد التحليلية المحددة في الحل الخاص بك.
أمثلة على سيناريو Sentinel SIEM
تصف الأقسام التالية سيناريوهات الشركاء الشائعة، وتوصيات حول ما يجب تضمينه في حل لكل سيناريو.
يُنشئ منتجك بيانات مهمة للتحقيقات الأمنية
السيناريو: ينشئ منتجك بيانات يمكن أن تفيد التحقيقات الأمنية.
مثال: تشمل المنتجات التي توفر شكلاً من أشكال بيانات السجل الجدران النارية، ووسطاء أمان التطبيقات السحابية، وأنظمة الوصول المادية، ومخرجات Syslog، وتطبيقات LOB المتاحة تجارياً والمبنية على مستوى المؤسسة، والخوادم، وبيانات التعريف للشبكة، وأي شيء يمكن تسليمه عبرSyslog in تنسيق Syslog أو CEF، أو عبر REST API بتنسيق JSON.
كيفية استخدام بياناتك في Microsoft Sentinel: قم باستيراد بيانات منتجك إلى Microsoft Sentinel عبر موصل بيانات لتوفير التحليلات والتتبع والتحقيقات والتمثيلات والمزيد.
ما يجب إنشاؤه: بالنسبة لهذا السيناريو، قم بتضمين العناصر التالية في الحل الخاص بك:
| النوع | العناصر المراد تضمينها |
|---|---|
| مطلوب | - موصل بيانات Microsoft Sentinel لتسليم البيانات وربط التخصيصات الأخرى في المدخل. استعلامات البيانات النموذجية |
| مستحسن | -المصنفات - قواعد التحليلات، لبناء اكتشافات تستند إلى بياناتك في Microsoft Sentinel |
| اختياري | - استعلامات التتبع، لتزويد الصيادين باستعلامات خارج الصندوق لاستخدامها عند التتبع - أجهزة الكمبيوتر المحمولة، لتقديم تجربة تتبع متكررة وموجهة بالكامل |
يوفر منتجك اكتشافات
السيناريو: يوفر منتجك عمليات اكتشاف تكمل التنبيهات والحوادث من الأنظمة الأخرى
أمثلة: مكافحة البرامج الضارة ، وحلول الكشف عن المؤسسات والاستجابة لها ، وحلول الكشف عن الشبكة والاستجابة لها ، وحلول أمان البريد مثل منتجات مكافحة التصيد الاحتيالي ، وفحص الثغرات الأمنية ، وحلول إدارة الأجهزة المحمولة ، وحلول UEBA ، وخدمات حماية المعلومات ، وما إلى ذلك.
كيفية استخدام بياناتك في Microsoft Sentinel: اجعل اكتشافاتك أو تنبيهاتك أو أحداثك متاحة في Microsoft Sentinel لإظهارها في سياق التنبيهات والحوادث الأخرى التي قد تحدث في بيئات عملائك. ضع في اعتبارك أيضاً تقديم السجلات وبيانات التعريف التي تدعم اكتشافاتك، كسياق إضافي للتحقيقات.
ما يجب إنشاؤه: بالنسبة لهذا السيناريو، قم بتضمين العناصر التالية في الحل الخاص بك:
| النوع | العناصر المراد تضمينها |
|---|---|
| مطلوب | موصل بيانات Microsoft Sentinel لتسليم البيانات وربط التخصيصات الأخرى في المدخل. |
| مستحسن | قواعد التحليلات، لإنشاء حوادث Microsoft Sentinel من اكتشافاتك والتي تكون مفيدة في التحقيقات |
يوفر منتجك مؤشرات التحليل الذكي للمخاطرات
السيناريو: يوفر منتجك مؤشرات معلومات المخاطر التي يمكن أن توفر سياقاً للأحداث الأمنية التي تحدث في بيئات العملاء
أمثلة: منصات TIP ومجموعات STIX/TAXII ومصادر التحليل الذكي للمخاطرات العامة أو المرخصة. البيانات المرجعية، مثل WhoIS أو GeoIP أو المجالات التي تمت ملاحظتها حديثاً.
كيفية استخدام بياناتك في Microsoft Sentinel: تسليم المؤشرات الحالية إلى Microsoft Sentinel لاستخدامها عبر الأنظمة الأساسية للكشف عن Microsoft. استخدم مجموعات بيانات تاريخية أو كبيرة الحجم لسيناريوهات الإثراء عبر الوصول عن بُعد.
ما يجب إنشاؤه: بالنسبة لهذا السيناريو، قم بتضمين العناصر التالية في الحل الخاص بك:
| النوع | العناصر المراد تضمينها |
|---|---|
| معلومات التهديد الحالية | قم ببناء موصل بيانات GSAPI لدفع المؤشرات إلى Microsoft Sentinel. قم بتوفير خادم STIX 2.0 أو 2.1 TAXII يمكن للعملاء استخدامه مع موصل بيانات TAXII الجاهز. |
| المؤشرات التاريخية و/أو مجموعات البيانات المرجعية | قم بتوفير موصل تطبيق منطقي للوصول إلى البيانات وكتيب إرشادات سير عمل إثراء يوجه البيانات إلى الأماكن الصحيحة. |
يوفر منتجك سياقاً إضافياً للتحقيقات
السيناريو: يوفر منتجك بيانات سياقية إضافية للتحقيقات القائمة فيMicrosoft Sentinel.
أمثلة: سياق إضافي لـ CMDBs، وقواعد بيانات الأصول عالية القيمة، وقواعد بيانات VIP، وقواعد بيانات تبعية التطبيقات، وأنظمة إدارة الحوادث، وأنظمة إصدار التذاكر
كيفية استخدام بياناتك في Microsoft Sentinel: استخدم بياناتك فيMicrosoft Sentinel لإثراء كل من التنبيهات والحوادث.
ما يجب إنشاؤه: بالنسبة لهذا السيناريو، قم بتضمين العناصر التالية في الحل الخاص بك:
- موصل تطبيق منطقي
- دليل سير عمل الإثراء
- سير عمل إدارة دورة حياة الحوادث الخارجية (اختياري)
يمكن لمنتجك تنفيذ نُهج الأمان
السيناريو: يمكن لمنتجك تنفيذ نُهج الأمان في Azure Policy والأنظمة الأخرى
أمثلة: جدران الحماية أو NDR أو EDR أو MDM أو حلول الهوية أو حلول الوصول المشروط أو حلول الوصول المادي أو المنتجات الأخرى التي تدعم الحظر/السماح أو نُهج الأمان الأخرى القابلة للتنفيذ
كيفية استخدام بياناتك في Microsoft Sentinel: إجراءات Microsoft Sentinel ومهام سير العمل التي تتيح الحلول والاستجابات للمخاطر
ما يجب إنشاؤه: بالنسبة لهذا السيناريو، قم بتضمين العناصر التالية في الحل الخاص بك:
- موصل تطبيق منطقي
- دليل سير العمل
مراجع للبدء
تبدأ جميع عمليات تكامل Microsoft Sentinel SIEM بمستودع Microsoft Sentinel GitHubوإرشادات المساهمة.
عندما تكون مستعداً لبدء العمل على حل Microsoft Sentinel، ابحث عن إرشادات الإرسال والتعبئة والنشر في دليل إنشاء حلول Microsoft Sentinel.
الوصول إلى السوق
تقدم Microsoft البرامج لمساعدة الشركاء في التعامل مع عملاء Microsoft:
شبكة شركاء Microsoft (MPN). البرنامج الأساسي للشراكة مع Microsoft هو شبكة شركاء Microsoft. يلزم العضوية في MPN لتصبح ناشراً في Azure Marketplace، حيث يتم نشر جميع حلول Microsoft Sentinel.
Microsoft Azure Marketplace. يتم تقديم حلول Microsoft Sentinel عبر Microsoft Azure Marketplace، حيث يذهب العملاء لاكتشاف وتوزيع تكاملات Azure العامة المقدمة من Microsoft والشركاء.
تعد حلول Microsoft Sentinel أحد أنواع العروض العديدة الموجودة في السوق. يمكنك أيضاً العثور على عروض الحلول المضمنة في Microsoft Sentinel مركز المحتوى
Microsoft Intelligent Security Association (MISA). تزود MISA شركاء الأمان من Microsoft بالمساعدة في خلق الوعي بشأن عمليات التكامل التي ينشئها الشركاء مع عملاء Microsoft، وتساعد على توفير إمكانية الاكتشاف لعمليات تكامل منتجاتMicrosoft Security.
يتطلب الانضمام إلى برنامج MISA ترشيحاً من فريق منتج أمان Microsoft مشارك. يمكن أن يؤهل بناء أي من عمليات الدمج التالية الشركاء للترشيح:
- موصل بيانات Microsoft Sentinel والمحتوى المرتبط به، مثل المصنفات واستعلامات عينة وقواعد التحليلات
- موصل Logic Apps المنشور وكتيبات مبادئ Microsoft Sentinel
- تكامل API، على أساس كل حالة على حدة
لطلب مراجعة ترشيح MISA أو لطرح أسئلة، اتصل بـ AzureSentinelPartner@microsoft.com.
الخطوات التالية
لمزيد من المعلومات، راجع:
جمع البيانات:
- أفضل ممارسات جمع البيانات
- موصلات بيانات Microsoft Azure Sentinel
- البحث عن موصل بيانات Microsoft Azure Sentinel
- فهم التحليل الذكي للمخاطر في Microsoft Sentinel
اكتشاف التهديد:
- أتمتة معالجة الحوادث في Microsoft Sentinel باستخدام قواعد التنفيذ التلقائي
- التحقيق في الحوادث باستخدام Microsoft Azure Sentinel
- أتمتة الاستجابة للتهديدات باستخدام أدلة المبادئ في Microsoft Sentinel
التتبع ودفاتر الملاحظات
- البحث عن التهديدات باستخدام Microsoft Sentinel
- إدارة استعلامات التتبع والبث المباشر في Microsoft Sentinel باستخدام واجهة برمجة تطبيقات REST
- استخدم دفاتر Jupyter للبحث عن التهديدات الأمنية
التمثيل البصري: تمثيل البيانات المجمعة.
التحقيق: تحقق من الحوادث باستخدام Microsoft Sentinel.
الاستجابة: