مشاركة عبر

التدريب على المهارات في Microsoft Sentinel

  • مقالة

ترشدك هذه المقالة خلال التدريب على المستوى 400 لمساعدتك على تطوير مهاراتك في Microsoft Sentinel. ويشمل التدريب 21 وحدة نمطية ذاتية الوتيرة تقدم وثائق المنتجات ذات الصلة، ومنشورات المدونة، وموارد أخرى.

يتم تقسيم الوحدات المذكورة هنا إلى خمسة أجزاء بعد دورة حياة مركز عمليات الأمان (SOC):

الجزء الأول: نظرة عامة

الجزء 2: التصميم والتوزيع

الجزء 3: إنشاء محتوى

الجزء الرابع: التشغيل

الجزء الخامس: متقدم

الجزء الأول: نظرة عامة

الوحدة 0: خيارات التعلم والدعم الأخرى

يستند هذا التدريب على تطوير المهارات على المستوى 400 إلى تدريب Microsoft Sentinel Ninja. إذا كنت لا تريد التعمق، أو واجهت مشكلة معينة لحلها، فقد تكون الموارد الأخرى أكثر ملاءمة:

  • على الرغم من أن التدريب على تطوير المهارات واسع النطاق، إلا إنه يجب أن يتبع برنامجًا نصيًا، ولا يمكن توسيعه في كل موضوع. راجع الوثائق المشار إليها للحصول على معلومات حول كل مقالة.
  • يمكنك الآن أن تصبح معتمدًا من خلال الشهادة الجديدة SC-200: محلل عمليات أمان Microsoft، والتي تغطي Microsoft Sentinel. للحصول على عرض أوسع ومستوى أعلى لمجموعة Microsoft Security، قد ترغب أيضًا في التفكير في SC-900: أساسيات الأمان والتوافق والهوية من Microsoft أو AZ-500: Microsoft Azure Security Technologies.
  • إذا كنت ماهرًا بالفعل في Microsoft Sentinel، فتابع الجديد أو انضم إلى برنامج Microsoft Cloud Security Private Community للحصول على عرض سابق في الإصدارات القادمة.
  • هل لديك فكرة ميزة لمشاركتها معنا؟ أخبرنا على صفحة صوت مستخدم Microsoft Sentinel.
  • هل أنت عميل مميز؟ قد تحتاج إلى ورشة عمل أساسيات Microsoft Sentinel على الموقع أو عن بُعد لمدة أربعة أيام. اتصل بمدير حسابات نجاح العملاء للحصول على مزيد من التفاصيل.
  • هل تواجه مشكلة معينة؟ اسأل (أو أجب عن الآخرين) على مجتمع Microsoft Sentinel Tech. أو يمكنك إرسال سؤالك أو المشكلة إلينا عبر البريد الإلكتروني على MicrosoftSentinel@microsoft.com.

الوحدة النمطية 1: بدء العمل باستخدام Microsoft Sentinel

إن Microsoft Sentinel عبارة عن حل قابل للتطوير ويستند إلى السحابة لإدارة أحداث معلومات الأمان (SIEM)، والاستجابة التلقائية لتنسيق الأمان (SOAR). يقدم Microsoft Sentinel تحليلات الأمان والتحليل الذكي للمخاطر في المؤسسة. يوفر حلاً منفردًا لاكتشاف التنبيهات ورؤية التهديدات والصيد الاستباقي والاستجابة للتهديدات. لمزيد من المعلومات، راجع ما هو Microsoft Sentinel؟.

إذا كنت ترغب في الحصول على نظرة عامة أولية حول الإمكانات التقنية لـ Microsoft Sentinel، فإن العرض التقديمي Ignite يعد نقطة بداية جيدة. قد تجد أيضًا دليل البدء السريع لـ Microsoft Sentinel مفيدًا (يتطلب التسجيل على الموقع).

ابحث عن نظرة عامة أكثر تفصيلا في مؤتمر ويب Microsoft Sentinel هذا: YouTube أو MP4 أو العرض التقديمي.

وأخيرًا، هل تريد أن تجربه بنفسك؟ يقدم مسرِّع Microsoft Sentinel الكل في واحد (مدونة أو YouTube أو MP4 أو عرض تقديمي) طريقة سهلة لبدء الاستخدام. لمعرفة كيفية البدء بنفسك، راجع وثائق الإلحاق، أو راجع فيديو إعداد وتكوين Microsoft Sentinel لـ Insight.

التعلم من مستخدمين آخرين

تستخدم الآلاف من المؤسسات وموفري الخدمات Microsoft Sentinel. وكما هو معتاد مع المنتجات الأمنية، فإن معظم المؤسسات لا تتحدث عنها علنًا. ومع ذلك، إليك بعض الأشخاص الذين حصلوا عليها:

التعلم من المحللين

الوحدة النمطية 2: كيف يُستخدم Microsoft Sentinel؟

تستخدم العديد من المؤسسات Microsoft Sentinel كـ SIEM الأساسي الخاص بهم. تغطي معظم الوحدات النمطية في هذه الدورة التدريبية حالة الاستخدام هذه. في هذه الوحدة النمطية، نقدم بعض الطرق الإضافية لاستخدام Microsoft Sentinel.

استخدام Microsoft Sentinel كجزء من مكدس أمان Microsoft

استخدم Microsoft Sentinel وMicrosoft Defender for Cloud وMicrosoft Defender XDR معا لحماية أحمال عمل Microsoft، بما في ذلك Windows وAzure وOffice:

لمراقبة أحمال العمل متعددة السحابات

السحابة (لا تزال) جديدة وغالباً لا تتم مراقبتها بشكل مكثف مثل أحمال العمل المحلية. اقرأ هذا العرض التقديمي لمعرفة كيف يمكن أن يساعدك Microsoft Sentinel في سد فجوة مراقبة السحابة عبر السحب الخاصة بك.

استخدام Microsoft Sentinel جنباً إلى جنب مع إدارة معلومات الأمان والأحداث (SIEM) الموجودة

إذا كنت تستخدم Microsoft Sentinel لأحمال العمل السحابية إما لفترة انتقالية أو لفترة أطول، فيمكنك استخدام Microsoft Sentinel جنبًا إلى جنب مع SIEM الموجود لديك. ويمكنك أيضاً استخدام كليهما مع نظام إصدار تذاكر مثل Service Now.

لمزيد من المعلومات حول الترحيل من SIEM آخر إلى Microsoft Sentinel، شاهد ندوة الترحيل على الإنترنت: YouTube أو MP4 أو عرض تقديمي.

هناك ثلاثة سيناريوهات شائعة للتوزيع المتعدد:

يمكنك أيضًا إرسال التنبيهات من Microsoft Sentinel إلى نظام SIEM أو إصدار التذاكر التابع لجهة خارجية باستخدام واجهة برمجة تطبيقات الأمان Graph. هذا الأسلوب أبسط، ولكنه لا يمكّن إرسال بيانات أخرى.

استخدام Microsoft Sentinel لـ MSSPs

نظرًا لأن Microsoft Sentinel يلغي تكلفة الإعداد وهو غير مؤكد للموقع، فإنه يعد خيارًا شائعًا لتوفير SIEM كخدمة. ابحث عن قائمة بموفري خدمات الأمان المدارة بواسطة أعضاء MISA (Microsoft Intelligent Security Association) (MSSPs) الذين يستخدمون Microsoft Sentinel. تستخدم العديد من MSSPs الأخرى، خاصةً الإقليمية منها والأصغر حجماً، Microsoft Sentinel ولكنها ليست أعضاء في MISA.

لبدء رحلتك كـ MSSP، يجب عليك قراءة دليل مبادئ Microsoft Sentinel التقني لـ MSSPs. يتم تضمين مزيد من المعلومات حول دعم MSSP في الوحدة النمطية التالية، والتي تغطي بنية السحابة والدعم متعدد المستأجرين.

الجزء 2: التصميم والتوزيع

على الرغم من أن "الجزء 1: نظرة عامة" يوفر طرقًا لبدء استخدام Microsoft Sentinel في غضون دقائق، قبل بدء توزيع الإنتاج، من المهم إنشاء خطة.

يرشدك هذا القسم إلى المجالات التي تحتاج إلى أخذها في الاعتبار عند تصميم الحل الخاص بك، ويقدم إرشادات حول كيفية تنفيذ التصميم الخاص بك:

  • مساحة العمل وهندسة المستأجر
  • تجميع البيانات
  • إدارة السجل
  • الحصول على التحليل الذكي للمخاطر

الوحدة النمطية 3: مساحة العمل وهندسة المستأجر

يُعرف مثيل Microsoft Sentinel باسم مساحة عمل. مساحة العمل هي نفس مساحة عمل Log Analytics وتدعم أي إمكانية لـ Log Analytics. يمكنك التفكير في Microsoft Sentinel كحل يضيف ميزات SIEM أعلى مساحة عمل Log Analytics.

غالباً ما تكون مساحات العمل المتعددة ضرورية ويمكن أن تعمل معاً كنظام Microsoft Sentinel واحد. هناك حالة استخدام خاصة تتمثل في تقديم خدمة باستخدام Microsoft Sentinel، (على سبيل المثال، بواسطة MSSP (مقدم خدمة أمان مُدار) أو عن طريق SOC عمومي في مؤسسة كبيرة).

لمعرفة المزيد حول استخدام مساحات عمل متعددة كنظام Microsoft Sentinel واحد، اقرأ توسيع Microsoft Sentinel عبر مساحات العمل والمستأجرين أو شاهد ندوة الإنترنت: YouTube أو MP4 أو عرض تقديمي.

عند استخدام مساحات عمل متعددة، ضع في اعتبارك ما يلي:

يوفر دليل المبادئ التقني لـ MSSPs في Microsoft Sentinel إرشادات مفصّلة للعديد من هذه الموضوعات، وهو مفيد أيضًا للمؤسسات الكبيرة، وليس فقط لـ MSSPs.

الوحدة 4: جمع البيانات

يتمثل أساس SIEM في جمع بيانات تتبع الاستخدام: الأحداث والتنبيهات ومعلومات الإثراء السياقية مثل التحليل الذكي للمخاطر وبيانات الثغرات الأمنية ومعلومات الأصول. فيما يلي قائمة بالمصادر التي يجب الرجوع إليها:

  • اقرأ موصلات بيانات Microsoft Sentinel.
  • انتقل إلى البحث عن موصل بيانات Microsoft Sentinel الخاص بك للاطلاع على جميع موصلات البيانات المدعومة والمبتكرة. ابحث عن ارتباطات لإجراءات النشر العامة والخطوات الإضافية المطلوبة لموصلات معينة.
  • سيناريوهات تجميع البيانات: تعرف على أساليب التجميع مثل Logstash/CEF/WEF. السيناريوهات الشائعة الأخرى هي تقييد الأذونات للجداول وتصفية السجل وجمع السجلات من Amazon Web Services (AWS) أو Google Cloud Platform (GCP) وسجلات Microsoft 365 الأولية وما إلى ذلك. يمكن العثور على الكل في ندوة الإنترنت "سيناريوهات جمع البيانات": YouTube أو MP4 أو العرض التقديمي.

الجزء الأول من المعلومات التي تراها لكل موصل هو طريقة استيعاب البيانات الخاصة به. يحتوي الأسلوب الذي يظهر على ارتباط بأحد إجراءات النشر العامة التالية، والتي تحتوي على معظم المعلومات التي تحتاجها لتوصيل مصادر البيانات الخاصة بك ب Microsoft Sentinel:

طريقة استيعاب البيانات مقالة مقترنة
تكامل خدمة إلى خدمة Azure الاتصال إلى خدمات Azure Windows وMicrosoft وAmazon
Common Event Format (CEF) عبر Syslog استيعاب رسائل Syslog وCEF إلى Microsoft Sentinel باستخدام عامل Azure Monitor
جامع البيانات Microsoft Sentinel API قم بتوصيل مصدر بياناتك بواجهة برمجة تطبيقات جامع بيانات Microsoft Sentinel لاستيعاب البيانات
Azure Functions وواجهة برمجة تطبيقات REST استخدام وظائف Azure لتوصيل Microsoft Sentinel بمصدر البيانات الخاص بك
Syslog استيعاب رسائل Syslog وCEF إلى Microsoft Sentinel باستخدام عامل Azure Monitor
سجلات مخصصة سجلات مخصصة عبر موصل بيانات AMA - تكوين استيعاب البيانات إلى Microsoft Sentinel من تطبيقات معينة

إذا لم يكن مصدرك متوفراً، يمكنك إنشاء موصل مخصص. تستخدم الموصلات المخصصة واجهة برمجة تطبيقات الاستيعاب، ولذلك فهي تشبه المصادر المباشرة. غالبًا ما تقوم بتنفيذ موصلات مخصصة باستخدام Azure Logic Apps، والذي يوفر خيارًا بدون تعليمات برمجية، أو Azure Functions.

الوحدة 5: إدارة السجلات

أول قرار تصميم يجب مراعاته عند تكوين Microsoft Sentinel، هو عدد مساحات العمل وتلك التي يجب استخدامها. تتضمن القرارات التصميمية الأخرى لإدارة السجلات الرئيسية التي يجب مراعاتها ما يلي:

  • موقع ومدة استبقاء البيانات.
  • كيفية إدارة الوصول إلى البيانات وتأمينها على أفضل نحو.

استيعاب البيانات وأرشفتها والبحث فيها واستعادتها داخل Microsoft Sentinel

للبدء، اعرض ندوة الإنترنت "إدارة دورة حياة السجل باستخدام أساليب جديدة للاستيعاب والأرشفة والبحث والاستعادة".

تحتوي مجموعة الميزات هذه على:

  • طبقة الاستيعاب الأساسية: طبقة تسعير جديدة لسجلات Azure Monitor تتيح لك استيعاب السجلات بتكلفة أقل. يتم استبقاء هذه البيانات في مساحة العمل لمدة ثمانية أيام.
  • مستوى الأرشيف: وسعت سجلات Azure Monitor إمكانية الاستبقاء من عامين إلى سبع سنوات. باستخدام هذه الطبقة الجديدة، يمكنك الاحتفاظ بالبيانات لمدة تصل إلى سبع سنوات في حالة أرشفة منخفضة التكلفة.
  • وظائف البحث: مهام البحث التي تقوم بتشغيل KQL محدود من أجل البحث عن جميع السجلات ذات الصلة وإعادتها. تبحث هذه الوظائف عن البيانات عبر طبقة التحليلات والطبقة الأساسية والبيانات المؤرشفة.
  • استعادة البيانات: ميزة جديدة تتيح لك اختيار جدول بيانات ونطاق زمني بحيث يمكنك استعادة البيانات إلى مساحة العمل عبر جدول استعادة.

لمزيد من المعلومات حول هذه الميزات الجديدة، راجع استيعاب البيانات وأرشيفها والبحث عنها واستعادتها في Microsoft Sentinel.

خيارات الاستبقاء البديلة خارج نظام Microsoft Sentinel الأساسي

إذا كنت ترغب في استبقاء البياناتلأكثر من عامين أو تقليل تكلفة استبقاء البيانات، فيمكنك التفكير في استخدام Azure Data Explorer للاستبقاء طويل الأجل لسجلات Microsoft Sentinel. راجع الشرائح الخاصة بندوة عبر الإنترنت أو تسجيل ندوة عبر الإنترنت أو مدونة.

هل تريد المزيد من المعلومات المتعمقة؟ شاهد ندوة الإنترنت الخاصة "بتحسين اتساع نطاق تتبع التهديدات وتغطيتها من خلال دعم ADX، والمزيد من أنواع الكيانات، وتكامل MITER المحدث".

إذا كنت تفضل حل استبقاء آخر طويل الأجل، فراجع التصدير من مساحة عمل Microsoft Sentinel / Log Analytics إلى Azure Storage ومراكز الأحداث أو نقل السجلات إلى التخزين طويل الأجل باستخدام Azure Logic Apps. تتمثل ميزة استخدام Logic Apps في أنه يمكنه تصدير محفوظات البيانات.

وأخيرًا، يمكنك تعيين فترات استبقاء دقيقة باستخدام إعدادات الاستبقاء على مستوى الجدول. للمزيد من المعلومات، راجع تكوين نُهج الأرشفة واستبقاء البيانات في سجلات Azure Monitor (معاينة).

أمان السجلات

نظام مجموعة مخصصة

استخدم نظام مجموعة مساحة عمل مخصصة إذا كان استيعاب البيانات المتوقع الخاص بك يصل إلى 500 غيغابايت في اليوم تقريبًا أو أكثر. باستخدام نظام المجموعة المخصصة، يمكنك تأمين الموارد لبيانات Microsoft Sentinel الخاصة بك، ما يمكن أداء استعلام أفضل لمجموعات البيانات الكبيرة.

الوحدة 6: الإثراء: التحليل الذكي للمخاطر وقائمة المشاهدة والمزيد

تتمثل إحدى الوظائف المهمة لـ SIEM في تطبيق المعلومات السياقية على تدفق الحدث، ما يتيح الكشف وتحديد أولويات التنبيه وفحص الحدث. تتضمن المعلومات السياقية، على سبيل المثال، التحليل الذكي للمخاطر، وذكاء IP، ومعلومات المضيف والمستخدم، وقوائم المشاهدة.

يوفر Microsoft Sentinel أدوات شاملة لاستيراد التحليل الذكي للمخاطر وإدارته واستخدامه. بالنسبة للأنواع الأخرى من المعلومات السياقية، يوفر Microsoft Sentinel قوائم المشاهدة والحلول البديلة الأخرى.

تحليل ذكي للمخاطر

التحليل الذكي للمخاطر هو كتلة بنية مهمة في SIEM. راجع ندوة الإنترنت "استكشاف قوة التحليل الذكي للمخاطر في Microsoft Sentinel".

في Microsoft Sentinel، يمكنك دمج التحليل الذكي للمخاطر باستخدام الموصلات المضمنة من خوادم TAXII (التبادل الموثوق به الذي يتم تشغيله تلقائيًا لمعلومات المؤشر) أو من خلال واجهة برمجة التطبيقات لأمان Microsoft Graph. لمزيد من المعلومات، راجع تكامل التحليل الذكي للمخاطر في Microsoft Sentinel. لمزيد من المعلومات حول استيراد التحليل الذكي للمخاطر، راجع أقسام الوحدة 4: جمع البيانات.

بمجرد الاستيراد، يتم استخدام التحليل الذكي للمخاطر على نطاق واسع في Microsoft Sentinel. تركز الميزات التالية على استخدام التحليل الذكي للمخاطر:

راجع ندوة الإنترنت "التشغيل التلقائي جهود فرز Microsoft Sentinel الخاص بك باستخدام التحليل الذكي للمخاطر لـ RiskIQ"YouTube أو العرض التقديمي.

هل لديك وقت كافٍ؟ راجع جلسة Ignite (28 دقيقة).

هل تريد المزيد من المعلومات المتعمقة؟ راجع ندوة الإنترنت "التعمق في التحليل الذكي للمخاطر": YouTube أو MP4 أو العرض التقديمي.

قوائم المشاهدة وآليات البحث الأخرى

لاستيراد أي نوع من المعلومات السياقية وإدارتها، يوفر Microsoft Sentinel قوائم المشاهدة. باستخدام قوائم المشاهدة من تحميل جداول البيانات بتنسيق CSV واستخدامها في استعلامات KQL. لمزيد من المعلومات، راجع استخدام قوائم المشاهدة في Microsoft Sentinel، أو عرض ندوة الإنترنت "استخدام قوائم المشاهدة لإدارة التنبيهات، وتقليل عناء التنبيهات، وتحسين كفاءة SOC": YouTube أو العرض التقديمي.

استخدم قوائم المشاهدة لمساعدتك في السيناريوهات الآتية:

  • التحقيق في التهديدات والاستجابة للحوادث بسرعة: الاستيراد السريع لعناوين IP وتجزئة الملفات والبيانات الأخرى من ملفات CSV. بمجرد استيراد هذه البيانات، استخدم أزواج اسم وقيم قائمة المشاهدة للصلات وعوامل التصفية في قواعد التنبيه والبحث عن التهديدات والمصنفات ودفاتر الملاحظات والاستعلامات العامة.

  • استيراد بيانات العمل كقوائم مشاهدة: على سبيل المثال، استيراد قوائم المستخدمين الذين لديهم وصول متميز إلى النظام، أو الموظفين الذين تم إنهاء خدمتهم. بعد ذلك، استخدم قائمة المشاهدة لإنشاء قوائم السماح وقوائم الحظر لاكتشاف أو منع هؤلاء المستخدمين من تسجيل الدخول إلى الشبكة.

  • تقليل عناء التنبيهات: أنشئ قوائم السماح لمنع التنبيهات من مجموعة من المستخدمين، مثل المستخدمين من عناوين IP المصرح بها والتي تؤدي المهام التي عادةً ما تؤدي إلى تشغيل التنبيه. امنع الأحداث غير الضارة من أن تصبح تنبيهات.

  • إثراء بيانات الحدث: استخدِم قوائم المشاهدة لإثراء بيانات الحدث الخاص بك بمجموعات اسم-قيمة المشتقة من مصادر البيانات الخارجية.

بالإضافة إلى قوائم المشاهدة، يمكنك أيضًا استخدام عامل تشغيل بيانات KQL الخارجية والسجلات المخصصة ووظائف KQL لإدارة المعلومات السياقية والاستعلام فيها. كل أسلوب من الأساليب الأربعة له إيجابياته وسلبياته، ويمكنك قراءة المزيد حول المقارنات بينهما في منشور المدونة "تنفيذ عمليات البحث في Microsoft Sentinel". على الرغم من أن كل أسلوب مختلف، فإن استخدام المعلومات الناتجة في استعلاماتك مشابه ويمكن التبديل السهل بينها.

للحصول على أفكار حول استخدام قوائم المشاهدة خارج القواعد التحليلية، راجع الاستفادة من قوائم المشاهدة لدفع الكفاءة أثناء عمليات فحص Microsoft Sentinel.

شاهد ندوة الإنترنت "استخدام قوائم المشاهدة لإدارة التنبيهات وتقليل عناء التنبيهات وتحسين كفاءة SOC": YouTube أو العرض التقديمي.

الوحدة النمطية 7: تحويل السجلات

يدعم Microsoft Azure Sentinel ميزتين جديدتين لاستيعاب البيانات وتحويلها. تعمل هذه الميزات، التي يوفرها Log Analytics، على بياناتك حتى قبل تخزينها في مساحة العمل الخاصة بك. الميزات هي:

لمزيد من المعلومات، راجع:

الوحدة النمطية 8: الترحيل

في العديد من الحالات (إن لم يكن معظمها)، يكون لديك بالفعل SIEM وتحتاج إلى الترحيل إلى Microsoft Sentinel. على الرغم من أنه قد يكون الوقت المناسب للبدء من جديد، وإعادة التفكير في تنفيذ SIEM الخاص بك، فمن المنطقي استخدام بعض الأصول التي قمت بإنشائها بالفعل في التنفيذ الحالي. شاهد ندوة الإنترنت "أفضل الممارسات لتحويل قواعد الكشف" (من Splunk وQRadar وArcSight إلى قواعد Azure Sentinel): YouTube أو MP4 أو عرض تقديمي أو مدونة.

قد تكون مهتمًا أيضًا بالموارد التالية:

الوحدة 9: نموذج معلومات SIEM المتقدم (ASIM) والتسوية

يعد العمل مع أنواع البيانات والجداول المختلفة معًا أمرًا صعبًا. يجب أن تكون على دراية بأنواع البيانات والمخططات المختلفة، أثناء كتابتك واستخدامك لمجموعة فريدة من قواعد التحليلات والمصنفات واستعلامات التتبع. يمكن أن يكون الربط بين أنواع البيانات الضرورية للفحص والتتبع أمرًا صعبًا أيضًا.

يوفر نموذج معلومات SIEM المتقدم (ASIM) تجربة سلسة للتعامل مع المصادر المختلفة في طرق العرض الموحدة والتي تمت تسويتها. يتوافق ASIM مع نموذج المعلومات المشترك لبيانات التعريف الخاصة بالأحداث الأمنية مفتوحة المصدر (OSSEM)، ما يعزز التسوية غير المحددة للبائعين على مستوى الصناعة. راجع ندوة الإنترنت "نموذج معلومات SIEM المتقدم (ASIM): مضمن الآن في Microsoft Sentinel": YouTube أو العرض التقديمي.

يعتمد التنفيذ الحالي على تسوية وقت الاستعلام باستخدام وظائف KQL:

  • تغطي المخططات التي تمت تسويتها مجموعات قياسية من أنواع الأحداث القابلة للتنبؤ التي يسهل التعامل معها وتبني إمكانات موحدة. يحدد المخطط الحقول التي يجب أن تمثل حدثاً، وإصلاح تسمية عمود معياري، وتنسيق قياسي لقيم الحقول.

  • تقوم المحللات بتعيين البيانات الموجودة إلى المخططات التي تمت تسويتها. يمكنك تنفيذ المحللات باستخدام وظائف KQL. راجع ندوة الإنترنت "توسيع وإدارة ASIM: تطوير واختبار وتوزيع المحللات": YouTube أو العرض التقديمي.

  • يتضمن المحتوى لكل مخطط تمت تسويته قواعد التحليلات والمصنفات واستعلامات التتبع. يعمل هذا المحتوى على أي بيانات تمت تسويتها دون الحاجة إلى إنشاء محتوى خاص بالمصدر.

يوفر استخدام ASIM الفوائد التالية:

  • الكشف عن المصادر المشتركة: تعمل القواعد التحليلية التي تمت تسويتها عبر المصادر المحلية وفي السحابة. تكشف القواعد عن الهجمات، مثل القوة الغاشمة، أو التنقل المستحيل عبر الأنظمة، بما في ذلك Okta وAWS وAzure.

  • السماح بالمحتوى غير المحدد للمصدر: تتوسع تغطية المحتوى المضمن والمخصص باستخدام ASIM تلقائيًا إلى أي مصدر يدعم ASIM، حتى إذا تمت إضافة المصدر بعد إنشاء المحتوى. على سبيل المثال، تدعم تحليلات أحداث العملية أي مصدر قد يستخدمه العميل للحصول على البيانات، بما في ذلك Microsoft Defender لنقطة النهاية وأحداث Windows وSysmon. نحن مستعدون لإضافة Sysmon لنظام التشغيل Linux وWEF عند إصداره.

  • دعم مصادرك المخصصة في التحليلات المضمنة

  • سهولة الاستخدام: يجد المحللون الذين يتعلمون ASIM أنه من الأسهل بكثير كتابة الاستعلامات لأن أسماء الحقول هي نفسها دائمًا.

معرفة المزيد حول ASIM

يمكنك الاستفادة من هذه الموارد:

  • راجع ندوة الإنترنت نظرة عامة حول "فهم التسوية في Azure Sentinel": YouTube أو العرض التقديمي.

  • راجع ندوة الإنترنت "التعمق في محللات تسوية Microsoft Sentinel والمحتوى الذي تمت تسويته": YouTube أو MP3 أو العرض التقديمي.

  • راجع ندوة الإنترنت "الشحن التوربيني لـ ASIM: التأكد من أن التسوية تساعد في تحسين الأداء بدلاً من التأثير عليه": YouTube أو MP4 أو العرض التقديمي.

  • اقرأ وثائق ASIM.

توزيع ASIM

  • انشر المحللات من المجلدات بدءاً من "ASIM*" في مجلد المحللات على GitHub.

  • قم بتنشيط القواعد التحليلية التي تستخدم ASIM. ابحث عن عادي في معرض القوالب للعثور على بعضها. للحصول على القائمة الكاملة، استخدم بحث GitHub هذا.

استخدام ASIM

الجزء 3: إنشاء محتوى

ما هو محتوى Microsoft Sentinel؟

قيمة أمان Microsoft Sentinel هي مزيج من الإمكانات المضمنة فيه وقدرتك على إنشاء إمكانات مخصصة وتخصيص الإمكانات المضمنة. من بين الإمكانات المضمنة، هناك قواعد تحليلات سلوك المستخدم والكيان (UEBA) أو التعلم الآلي أو قواعد التحليلات المبتكرة. غالبًا ما يشار إلى الإمكانات المخصصة باسم "المحتوى" وتتضمن قواعد تحليلية واستعلامات تتبع ومصنفات ودلائل مبادئ وما إلى ذلك.

في هذا القسم، قمنا بتجميع الوحدات النمطية التي تساعدك على تعلم كيفية إنشاء هذا المحتوى أو تعديل المحتوى المضمن وفقاً لاحتياجاتك. نبدأ بـ KQL، وهي Lingua Franca من Azure Microsoft Sentinel. تناقش الوحدات النمطية التالية إحدى كتل إنشاء المحتوى مثل القواعد ودلائل المبادئ والمصنفات. يختتمون بمناقشة حالات الاستخدام، والتي تشمل عناصر من أنواع مختلفة لمعالجة أهداف أمنية محددة مثل اكتشاف التهديدات أو التتبع أو الإدارة.

الوحدة 10: لغة استعلام Kusto

تستخدم معظم إمكانات Microsoft Sentinel لغة الاستعلام Kusto (KQL). عندما تقوم بالبحث في السجلات الخاصة بك، أو كتابة القواعد، أو إنشاء استعلامات التتبع، أو تصميم المصنفات، يمكنك استخدام KQL.

يوضح القسم التالي حول قواعد الكتابة كيفية استخدام KQL في السياق المحدد لقواعد SIEM.

أثناء تعلم KQL، قد تفيدك أيضًا المراجع التالية:

الوحدة النمطية 11: التحليلات

كتابة قواعد التحليلات المجدولة

يمكِّنك Microsoft Sentinel من استخدام قوالب القواعد المضمنة، أو تخصيص القوالب لبيئتك أو إنشاء قواعد مخصصة. جوهر القواعد هو استعلام KQL؛ ومع ذلك، يوجد ما هو أكثر بكثير مما يمكن تكوينه في أي قاعدة.

لمعرفة إجراء إنشاء القواعد، راجع إنشاء قواعد تحليلات مخصصة للكشف عن التهديدات. لمعرفة كيفية كتابة القواعد، (أي ما يجب أن يدخل في قاعدة، مع التركيز على KQL للقواعد)، راجع ندوة الإنترنت: YouTube أو MP4 أو عرض تقديمي.

قواعد تحليلات SIEM لها أنماط محددة. تعرف على كيفية تنفيذ القواعد وكتابة KQL لتلك الأنماط:

يوفر منشور مدونة "عمليات فحص تخزين الكائنات الثنائية كبيرة الحجم والملفات" مثالاً مفصّلاً لكتابة قاعدة تحليلية مفيدة.

استخدام التحليلات المضمنة

قبل الشروع في كتابة القواعد الخاصة بك، ضع في اعتبارك الاستفادة من إمكانات التحليلات المضمنة. لا يتطلب الأمر منك معرفة الكثير من الأمور، لكن من المفيد معرفتها:

الوحدة النمطية 12: تنفيذ SOAR

في SIEMs الحديثة، مثل Microsoft Sentinel، تشكل SOAR العملية بأكملها من لحظة تشغيل حدث حتى يتم حله. تبدأ هذه العملية بفحص الحدث وتستمر بالاستجابة التلقائية. يقدم منشور المدونة "كيفية استخدام Microsoft Sentinel للاستجابة للأحداث والتنسيق والأتمتة" نظرة عامة على حالات الاستخدام الشائعة لـ SOAR.

قواعد الأتمتة هي نقطة البداية لأتمتة Microsoft Sentinel. وهي توفر أسلوب خفيف للمعالجة الآلية المركزية للأحداث، بما في ذلك الإزالة، و المعالجة الإيجابية الخاطئة، والتعيين التلقائي.

لتوفير إمكانات تشغيل تلقائي قوية تستند إلى سير العمل، تستخدم قواعد التشغيل التلقائي أدلة مبادئ Logic App. لمعرفة المزيد:

  • راجع ندوة الإنترنت "إطلاق العنان لحيل Jedi للتشغيل التلقائي وإنشاء أدلة المبادئ Logic Apps كمحترف"YouTube أو MP4 أو العرض التقديمي.

  • اقرأ عن Logic Apps، وهي التقنية الأساسية التي توجه أدلة مبادئ Microsoft Sentinel.

  • راجع موصل Microsoft Sentinel Logic Apps، وهو الرابط بين Logic Apps وMicrosoft Sentinel.

ابحث عن العشرات من أدلة المبادئ المفيدة في مجلد Playbooks على موقع Microsoft Sentinel GitHub، أو اقرأ دليل المبادئ باستخدام قائمة مشاهدة لإعلام مالك الاشتراك بتنبيه لمعاينة دليل المبادئ.

الوحدة النمطية 13: المصنفات وإعداد التقارير والتصور البصري

مصنفات

نظرًا لكونه المركز العصبي لـ SOC الخاص بك، فإن Microsoft Sentinel مطلوب لتصور المعلومات التي يجمعها وينتجها. استخدم المصنفات لتصور البيانات في Microsoft Sentinel.

يمكن أن تكون المصنفات تفاعلية وتمكِّن أكثر بكثير من مجرد التخطيط. باستخدام المصنفات، يمكنك إنشاء تطبيقات أو وحدات ملحقة لـ Microsoft Sentinel لاستكمال الوظائف المضمنة. كما يمكنك استخدام المصنفات لتوسيع ميزات Microsoft Sentinel. فيما يلي بعض الأمثلة على هذه التطبيقات:

يمكنك العثور على العديد من المصنفات في مجلد المصنفات في Microsoft Sentinel GitHub. يتوفر بعضها في معرض مصنفات Microsoft Sentinel أيضاً.

إعداد التقارير وخيارات التصور البصري الأخرى

يمكن استخدام المصنفات لإعداد التقارير. لمزيد من إمكانات إعداد التقارير المتقدمة، مثل جدولة التقارير وتوزيعها أو الجداول المحورية، قد تحتاج إلى استخدام:

الوحدة النمطية 14: دفاتر الملاحظات

يتم دمج دفاتر ملاحظات Jupyter بالكامل مع Microsoft Sentinel. على الرغم من اعتبارها أداة مهمة في صدر أداة الصياد وناقشت الندوات عبر الإنترنت في قسم الصيد، فإن قيمتها أوسع بكثير. يمكن استخدام دفاتر الملاحظات في التصور المتقدم كدليل الفحص والتشغيل التلقائي المتطور.

لفهم دفاتر الملاحظات بشكل أفضل، راجع فيديو مقدمة إلى دفاتر الملاحظات. ابدأ باستخدام ندوة الإنترنت الخاصة بدفاتر الملاحظات (YouTube أو MP4 أو عرض تقديمي) أو اقرأ الوثائق. إن سلاسل Microsoft Sentinel Notebooks Ninja عبارة عن سلاسل تدريبية مستمرة لتحسين مهاراتك في دفاتر الملاحظات.

يتم تنفيذ جزء مهم من التكامل بواسطة MSTICPY، وهي مكتبة Python تم تطويرها من قبل فريق البحث لدينا لاستخدامها مع دفاتر ملاحظات Jupyter. إنه يضيف واجهات Microsoft Sentinel وإمكانات الأمان المتطورة إلى دفاتر الملاحظات.

الوحدة النمطية 15: استخدام الحالات والحلول

تمكنك الموصلات والقواعد وأدلة المبادئ والمصنفات من تنفيذ حالات الاستخدام: مصطلح SIEM لحزمة محتوى تهدف إلى الكشف عن أي تهديد والاستجابة له. يمكنك توزيع حالات الاستخدام المضمنة في Microsoft Sentinel عن طريق تنشيط القواعد المقترحة عند توصيل كل موصل. الحل عبارة عن مجموعة من حالات الاستخدام التي تتناول نطاق تهديد معين.

توضح ندوة الإنترنت "هوية المعالجة" (YouTube أو MP4 أو العرض التقديمي) ماهية حالة الاستخدام، وكيفية التعامل مع تصميمها، وتقدم العديد من حالات الاستخدام التي تتناول بشكل جماعي تهديدات الهوية.

هناك منطقة حل أخرى ذات صلة وهي حماية العمل عن بُعد. راجع جلسة Ignite الخاصة بنا حول حماية العمل عن بعد، واقرأ المزيد حول حالات الاستخدام المحددة التالية:

وأخيرًا، بالتركيز على الهجمات الأخيرة، تعرف على كيفية مراقبة سلسلة توريد البرامج باستخدام Microsoft Sentinel.

توفر حلول Microsoft Azure Sentinel إمكانية الاكتشاف داخل المنتج والتوزيع بخطوة واحدة وتمكين سيناريوهات المنتج و/أو المجال و/أو العمودية في Microsoft Azure Sentinel. لمزيد من المعلومات، راجع حول محتوى Microsoft Sentinel وحلوله، واعرض ندوة الإنترنت "إنشاء حلول Microsoft Sentinel الخاصة بك": YouTube أو العرض التقديمي.

الجزء الرابع: التشغيل

الوحدة النمطية 16: معالجة الأحداث

بعد إنشاء SOC الخاص بك، تحتاج إلى البدء في استخدامه. ترشدك ندوة الإنترنت "يوم في حياة محلل SOC" (YouTube أو MP4 أو عرض تقديمي) إلى استخدام Microsoft Sentinel في SOC لفرز الأحداث والتحقق منها والاستجابة لها.

للمساعدة في تمكين فرقك من التعاون بسلاسة عبر المؤسسة ومع المساهمين الخارجيين، راجع التكامل مع Microsoft Teams مباشرةً من Microsoft Sentinel. شاهد ندوة الإنترنت "تقليل MTTR الخاص بـ SOC (متوسط وقت الاستجابة) عن طريق دمج Microsoft Sentinel مع Microsoft Teams".

قد تحتاج أيضاً إلى قراءة مقالة الوثائق حول فحص الحدث. كجزء من الفحص، ستستخدم أيضاً صفحات الكيان للحصول على مزيد من المعلومات حول الكيانات المتعلقة بالحدث أو تحديدها كجزء من عملية الفحص الخاصة بك.

يمتد فحص الحوادث في Microsoft Sentinel إلى ما هو أبعد من وظيفة فحص الحوادث الأساسية. يمكنك إنشاء المزيد من أدوات التحقيق باستخدام المصنفات ودفاتر الملاحظات، وتتم مناقشة دفاتر الملاحظات في القسم التالي، الوحدة 17: التتبع. يمكنك أيضًا إنشاء المزيد من أدوات الفحص أو تعديل أي واحدة موجودة وفقًا لاحتياجاتك المحددة. تتضمن الأمثلة ما يلي:

الوحدة النمطية 17: التتبع

على الرغم أن معظم المناقشة ركزت حتى الآن على الكشف وإدارة الأحداث، إلا إن التتبع يعد حالة استخدام مهمة أخرى لـ Microsoft Sentinel. يعد التتبع بحثاً استباقياً عن التهديدات وليس استجابة تفاعلية للتنبيهات.

يتم تحديث لوحة معلومات التتبع باستمرار. يعرض جميع الاستعلامات التي كتبها فريق Microsoft من محللي الأمان وأي استعلامات إضافية قمت بإنشائها أو تعديلها. يوفر كل استعلام وصفًا لما يتتبعه، ونوع البيانات التي يتم تشغيلها عليه. يتم تجميع هذه القوالب حسب تكتيكاتها المختلفة. تصنف الأيقونات الموجودة على اليسار نوع التهديد، مثل الوصول الأولي والاستمرارية والاختراق. لمزيد من المعلومات، راجع البحث عن المخاطر باستخدام Microsoft Sentinel.

لفهم المزيد حول ماهية التتبع وكيف يدعمه Microsoft Sentinel، راجع ندوة الإنترنت حول مقدمة "تتبع المخاطر" YouTube أو MP4 أو العرض التقديمي. تبدأ ندوة الإنترنت بتحديث حول الميزات الجديدة. للتعرف على التتبع، ابدأ من الشريحة 12. تم تعيين فيديو YouTube بالفعل للبدء من هناك.

بينما تركز ندوة الإنترنت حول المقدمة على الأدوات، فإن التتبع هو كل شيء عن الأمان. تركز ندوة الإنترنت لفريق البحث الأمني (YouTube أو MP4 أو العرض التقديمي) على كيفية التتبع فعليًا.

تثبت ندوة الإنترنت للمتابعة "تتبع تهديدات AWS باستخدام Microsoft Sentinel" (YouTube أو MP4 أو العرض التقديمي) هذه النقطة فعليًا من خلال عرض سيناريو تبع شامل في بيئة هدف عالية القيمة.

وأخيرًا، يمكنك معرفة كيفية القيام بتتبع ما بعد الاختراق لـ SolarWinds باستخدام تتبع Microsoft Sentinel وتتبع WebShell بدافع من أحدث الثغرات الأمنية الأخيرة في خوادم Microsoft Exchange المحلية.

الوحدة النمطية 18: تحليلات سلوكيات المستخدمين والكيانات (UEBA)

تمكنك وحدة تحليلات سلوك المستخدم والكيان (UEBA) التي تم تقديمها حديثًا من Microsoft Sentinel من تحديد التهديدات والتحقق منها ومن تأثيرها المحتمل داخل مؤسستك - سواء كان كيانًا مخترقًا أو مستخدمًا ضارًا من الداخل.

نظرًا لأن Microsoft Sentinel يجمع السجلات والتنبيهات من جميع مصادر البيانات المتصلة به، فإنه يقوم بتحليلها وإنشاء ملفات تعريف سلوكية أساسية لكيانات مؤسستك (مثل المستخدمين والمضيفين وعناوين IP والتطبيقات) عبر الزمن وأفق مجموعة النظراء. من خلال تقنيات مختلفة وقدرات التعلم الآلي، يمكن ل Microsoft Sentinel بعد ذلك تحديد النشاط الشاذ ومساعدتك في تحديد ما إذا كان أحد الأصول معرضا للخطر أم لا. ليس هذا فحسب، بل يمكنه أيضًا معرفة الحساسية النسبية لأصول معينة، وتحديد مجموعات النظير من الأصول، وتقييم التأثير المحتمل لأي أصل معين من الأصول المخترقة ("نصف قطر الانفجار"). يمكنك، مع تسليح هذه المعلومات، تحديد أولويات التحقيق، والتعامل مع الحوادث بشكل فعال.

تعرف على المزيد حول UEBA عن طريق عرض ندوة الإنترنت (YouTube أو MP4 أو عرض تقديمي)، واقرأ حول استخدام UEBA لعمليات الفحص في SOC.

للتعرف على آخر التحديثات، راجع ندوة الإنترنت "مستقبل تحليلات كيان المستخدمين السلوكية في Microsoft Sentinel".

الوحدة النمطية 19: مراقبة سلامة Microsoft Sentinel

جزء من تشغيل SIEM هو التأكد من أنه يعمل بسلاسة وفي منطقة متطورة في Azure Microsoft Sentinel. استخدم ما يلي لمراقبة صحة Microsoft Sentinel:

الجزء الخامس: متقدم

الوحدة 20: التوسيع والتكامل باستخدام واجهات برمجة تطبيقات Microsoft Sentinel

يعد Microsoft Sentinel نظام واجهة برمجة التطبيقات الأول باعتباره SIEM أصلي على السحابة. يمكن تكوين كل ميزة واستخدامها من خلال واجهة برمجة التطبيقات، ما يتيح التكامل بسهولة مع الأنظمة الأخرى وتوسيع Sentinel بالتعليمة البرمجية الخاصة بك. إذا كانت واجهة برمجة التطبيقات تبدو مخيفة لك، فلا تقلق. كل ما هو متوفر باستخدام واجهة برمجة التطبيقات متوفر أيضًا باستخدام PowerShell.

لمعرفة المزيد حول واجهات برمجة تطبيقات Microsoft Sentinel، راجع الفيديو التمهيدي القصير واقرأ منشور المدونة. لمزيد من التعمق، راجع ندوة الإنترنت "توسيع وتكامل Sentinel (واجهات برمجة التطبيقات)" (YouTube أو MP4 أو العرض التقديمي)، واقرأ منشور المدونة توسيع Microsoft Sentinel: واجهات برمجة التطبيقات والتكامل والتشغيل التلقائي للإدارة.

الوحدة 21: إنشاء التعلم الآلي الخاص بك

يوفر Microsoft Sentinel نظامًا أساسيًا رائعًا لتنفيذ خوارزميات التعلم الآلي الخاصة بك. نطلق عليه إنشاء نموذج التعلم الآلي الخاص بك، أو التعلم الآلي من BYO. التعلم الآلي من BYO مخصص للمستخدمين المتقدمين. إذا كنت تبحث عن تحليلات سلوكية مضمنة، فاستخدم قواعد تحليلات التعلم الآلي أو الوحدة UEBA أو اكتب قواعد التحليلات السلوكية المستندة إلى KQL الخاصة بك.

للبدء بإحضار التعلم الآلي الخاص بك إلى Microsoft Sentinel، اعرض فيديو "إنشاء نموذج التعلم الآلي الخاص بك"، واقرأ منشور مدونة اكتشافات نموذج التعلم الآلي الخاص بك في Azure Sentinel SIEM الذي يعمل بالذكاء الاصطناعي. قد تحتاج أيضًا إلى الرجوع إلى وثائق التعلم الآلي من BYO.

الخطوات التالية

المحتوى المستحسن