الكشف عن التهديدات في Microsoft Sentinel

• ينطبق على:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

بعد إعداد Microsoft Sentinel لجمع البيانات من جميع أنحاء مؤسستك، تحتاج إلى البحث باستمرار في كل تلك البيانات للكشف عن تهديدات الأمان للبيئة الخاصة بك. لإنجاز هذه المهمة، يوفر Microsoft Sentinel قواعد الكشف عن التهديدات التي تعمل بانتظام، والاستعلام عن البيانات التي تم جمعها وتحليلها لاكتشاف التهديدات. تأتي هذه القواعد في بعض النكهات المختلفة وتعرف مجتمعة باسم قواعد التحليلات.

تنشئ هذه القواعد تنبيهات عندما تجد ما تبحث عنه. تحتوي التنبيهات على معلومات حول الأحداث المكتشفة، مثل الكيانات (المستخدمين والأجهزة والعناوين والعناصر الأخرى) المعنية. يتم تجميع التنبيهات وربطها بالحوادث - ملفات الحالة - التي يمكنك تعيينها والتحقيق فيها لمعرفة النطاق الكامل للتهديد المكتشف والاستجابة وفقا لذلك. يمكنك أيضا إنشاء استجابات تلقائية محددة مسبقا في تكوين القواعد الخاصة.

يمكنك إنشاء هذه القواعد من البداية، باستخدام معالج قواعد التحليلات المضمن. ومع ذلك، تشجعك Microsoft بشدة على الاستفادة من مجموعة واسعة من قوالب قواعد التحليلات المتوفرة لك من خلال العديد من الحلول ل Microsoft Sentinel المتوفرة في مركز المحتوى. هذه القوالب هي نماذج أولية للقاعدة تم إنشاؤها مسبقا، تم تصميمها من قبل فرق من الخبراء والمحللين الأمنيين بناء على معرفتهم بالتهديدات المعروفة، وناقلات الهجمات الشائعة، وسلاسل تصعيد النشاط المشبوهة. يمكنك تنشيط القواعد من هذه القوالب للبحث تلقائيا عبر بيئتك عن أي نشاط يبدو مريبا. يمكن تخصيص العديد من القوالب للبحث عن أنواع معينة من الأحداث، أو تصفيتها، وفقا لاحتياجاتك.

تساعدك هذه المقالة على فهم كيفية اكتشاف Microsoft Sentinel للتهديدات، وما يحدث بعد ذلك.

هام

يتوفر Microsoft Sentinel الآن بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

أنواع قواعد التحليلات

يمكنك عرض قواعد التحليلات والقوالب المتاحة لك لاستخدامها في صفحة التحليلات من قائمة التكوين في Microsoft Sentinel. القواعد النشطة حاليا مرئية في علامة تبويب واحدة، وقوالب لإنشاء قواعد جديدة في علامة تبويب أخرى. تعرض علامة التبويب الثالثة الحالات الشاذة، وهو نوع قاعدة خاص موضح لاحقا في هذه المقالة.

للعثور على قوالب قواعد أكثر مما هو معروض حاليا، انتقل إلى مركز المحتوى في Microsoft Sentinel لتثبيت حلول المنتجات ذات الصلة أو المحتوى المستقل. تتوفر قوالب قواعد التحليلات مع كل حل منتج تقريبا في مركز المحتوى.

تتوفر الأنواع التالية من قواعد التحليلات وقوالب القواعد في Microsoft Sentinel:

• القواعد المجدولة
• قواعد الوقت الفعلي القريب (NRT)
• قواعد الشذوذ
• قواعد أمان Microsoft

بالإضافة إلى أنواع القواعد السابقة، هناك بعض أنواع القوالب المتخصصة الأخرى التي يمكن لكل منها إنشاء مثيل واحد من القاعدة، مع خيارات تكوين محدودة:

• تحليل ذكي للمخاطر
• الكشف المتقدم عن الهجمات متعددة المستويات ("الاندماج")
• تحليلات سلوك التعلم الآلي (ML)

القواعد المجدولة

إلى حد بعيد النوع الأكثر شيوعا من قاعدة التحليلات، تستند القواعد المجدولة إلى استعلامات Kusto التي تم تكوينها للتشغيل على فترات منتظمة وفحص البيانات الأولية من فترة "lookback" محددة. إذا تجاوز عدد النتائج التي تم التقاطها بواسطة الاستعلام الحد الذي تم تكوينه في القاعدة، تنتج القاعدة تنبيها.

تمت كتابة الاستعلامات في قوالب القواعد المجدولة من قبل خبراء الأمان وعلوم البيانات، إما من Microsoft أو من مورد الحل الذي يوفر القالب. يمكن للاستعلامات إجراء عمليات إحصائية معقدة على بياناتها الهدف، والكشف عن الخطوط الأساسية والنواجهات الخارجية في مجموعات من الأحداث.

يتم عرض منطق الاستعلام في تكوين القاعدة. يمكنك استخدام منطق الاستعلام وإعدادات الجدولة والبحث كما هو محدد في القالب، أو تخصيصها لإنشاء قواعد جديدة. بدلا من ذلك، يمكنك إنشاء قواعد جديدة تماما من البداية.

تعرف على المزيد حول قواعد التحليلات المجدولة في Microsoft Sentinel.

قواعد الوقت الفعلي القريب (NRT)

قواعد NRT هي مجموعة فرعية محدودة من القواعد المجدولة. وهي مصممة للتشغيل مرة واحدة كل دقيقة، من أجل تزويدك بمعلومات تصل إلى الدقيقة قدر الإمكان.

وهي تعمل في الغالب مثل القواعد المجدولة ويتم تكوينها بشكل مماثل، مع بعض القيود.

تعرف على المزيد حول الكشف السريع عن التهديدات باستخدام قواعد التحليلات شبه الحقيقية (NRT) في Microsoft Sentinel.

قواعد الشذوذ

تستخدم قواعد الشذوذ التعلم الآلي لمراقبة أنواع محددة من السلوكيات على مدى فترة زمنية لتحديد أساس. تحتوي كل قاعدة على معلمات وحدود فريدة خاصة بها، مناسبة للسلوك الذي يتم تحليله. بعد اكتمال فترة المراقبة، يتم تعيين الأساس. عندما تلاحظ القاعدة السلوكيات التي تتجاوز الحدود المعينة في الأساس، فإنها تضع علامة على تلك التكرارات على أنها شاذة.

بينما لا يمكن تغيير تكوينات القواعد الجاهزة أو ضبطها، يمكنك تكرار قاعدة، ثم تغيير التكرار وضبطه. في مثل هذه الحالات، قم بتشغيل التكرار في وضع Flighting والأصل بشكل متزامن في وضع Production. ثم قارن النتائج، وقم بتبديل التكرار إلى Production إذا ومتى كان ضبطه وفقًا لما يروقك.

لا تشير الحالات الشاذة بالضرورة إلى سلوك ضار أو حتى مريب في حد ذاتها. لذلك، لا تنشئ قواعد الشذوذ تنبيهاتها الخاصة. بدلا من ذلك، يسجلون نتائج تحليلهم - الحالات الشاذة المكتشفة - في جدول الحالات الشاذة. يمكنك الاستعلام عن هذا الجدول لتوفير سياق يحسن عمليات الكشف والتحقيقات وتعقب التهديدات.

لمزيد من المعلومات، راجع استخدام الحالات الشاذة القابلة للتخصيص للكشف عن التهديدات في Microsoft Sentinel والعمل مع قواعد تحليلات الكشف عن الحالات الشاذة في Microsoft Sentinel.

قواعد أمان Microsoft

في حين أن قواعد NRT المجدولة تنشئ تلقائيا حوادث للتنبيهات التي تقوم بإنشائها، فإن التنبيهات التي يتم إنشاؤها في الخدمات الخارجية واستيعابها إلى Microsoft Sentinel لا تنشئ حوادث خاصة بها. تنشئ قواعد أمان Microsoft تلقائيا حوادث Microsoft Sentinel من التنبيهات التي تم إنشاؤها في حلول أمان Microsoft الأخرى، في الوقت الفعلي. يمكنك استخدام قوالب أمان Microsoft لإنشاء قواعد جديدة بمنطق مماثل.

هام

لا تتوفر قواعد أمان Microsoft إذا كان لديك:

• تمكين تكامل حدث Microsoft Defender XDR، أو
• إلحاق Microsoft Sentinel بالنظام الأساسي لعمليات الأمان الموحدة.

في هذه السيناريوهات، يقوم Microsoft Defender XDR بإنشاء الحوادث بدلا من ذلك.

يتم تعطيل أي قواعد من هذا القبيل قمت بتعريفها مسبقا تلقائيا.

لمزيد من المعلومات حول قواعد إنشاء أحداث أمان Microsoft، راجع إنشاء حوادث تلقائيا من تنبيهات أمان Microsoft.

تحليل ذكي للمخاطر

استفد من التحليل الذكي للمخاطر الذي تنتجه Microsoft لإنشاء تنبيهات وحوادث عالية الدقة باستخدام قاعدة تحليلات التحليل الذكي للمخاطر من Microsoft. هذه القاعدة الفريدة غير قابلة للتخصيص، ولكن عند تمكينها، تتطابق تلقائيا مع سجلات تنسيق الحدث الشائع (CEF) أو بيانات Syslog أو أحداث Windows DNS مع مؤشرات تهديد المجال وعنوان IP وعنوان URL من تحليل ذكي للمخاطر من Microsoft. تحتوي بعض المؤشرات على مزيد من معلومات السياق من خلال MDTI (تحليل ذكي للمخاطر في Microsoft Defender).

لمزيد من المعلومات حول كيفية تمكين هذه القاعدة، راجع استخدام تحليلات مطابقة للكشف عن التهديدات.
لمزيد من المعلومات حول MDTI، راجع ما هو تحليل ذكي للمخاطر في Microsoft Defender.

الكشف المتقدم عن الهجمات متعددة المستويات (Fusion)

يستخدم Microsoft Sentinel محرك ارتباط الاندماج، مع خوارزميات التعلم الآلي القابلة للتطوير، للكشف عن الهجمات المتقدمة متعددة الخطوات من خلال ربط العديد من التنبيهات والأحداث منخفضة الدقة عبر منتجات متعددة بحوادث عالية الدقة وقابلة للتنفيذ. يتم تمكين قاعدة الكشف عن الهجمات متعددة المستويات المتقدمة بشكل افتراضي. نظرا لأن المنطق مخفي وبالتالي غير قابل للتخصيص، يمكن أن تكون هناك قاعدة واحدة فقط مع هذا القالب.

يمكن لمحرك Fusion أيضا ربط التنبيهات التي تنتجها قواعد التحليلات المجدولة بتنبيهات من أنظمة أخرى، ما ينتج عنه حوادث عالية الدقة.

هام

لا يتوفر نوع قاعدة الكشف عن الهجمات متعددة المستويات المتقدمة إذا كان لديك:

• تمكين تكامل حدث Microsoft Defender XDR، أو
• إلحاق Microsoft Sentinel بالنظام الأساسي لعمليات الأمان الموحدة.

في هذه السيناريوهات، يقوم Microsoft Defender XDR بإنشاء الحوادث بدلا من ذلك.

أيضا، بعض قوالب الكشف عن الاندماج موجودة حاليا في PREVIEW (راجع الكشف المتقدم عن الهجمات متعددة الخطوات في Microsoft Sentinel لمعرفة أي منها). راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.

تحليلات سلوك التعلم الآلي (ML)

استفد من خوارزميات التعلم الآلي الخاصة ب Microsoft لإنشاء تنبيهات وحوادث عالية الدقة باستخدام قواعد تحليلات سلوك التعلم الآلي. هذه القواعد الفريدة (حاليا في المعاينة) غير قابلة للتخصيص، ولكن عند تمكينها، تكشف عن سلوكيات تسجيل دخول SSH وRDP شاذة محددة استنادا إلى IP وتحديد الموقع الجغرافي ومعلومات سجل المستخدم.

أذونات الوصول لقواعد التحليلات

عند إنشاء قاعدة تحليلات، يتم تطبيق رمز مميز لأذونات الوصول على القاعدة وحفظه معها. يضمن هذا الرمز المميز أن القاعدة يمكنها الوصول إلى مساحة العمل التي تحتوي على البيانات التي تم الاستعلام عن طريق القاعدة، وأن يتم الاحتفاظ بهذا الوصول حتى إذا فقد منشئ القاعدة الوصول إلى مساحة العمل هذه.

ومع ذلك، هناك استثناء واحد لهذا الوصول: عند إنشاء قاعدة للوصول إلى مساحات العمل في اشتراكات أو مستأجرين آخرين، مثل ما يحدث في حالة MSSP، يتخذ Microsoft Sentinel إجراءات أمان إضافية لمنع الوصول غير المصرح به إلى بيانات العميل. بالنسبة لهذه الأنواع من القواعد، يتم تطبيق بيانات اعتماد المستخدم الذي أنشأ القاعدة على القاعدة بدلا من رمز وصول مستقل، بحيث عندما لا يكون لدى المستخدم حق الوصول إلى الاشتراك أو المستأجر الآخر، تتوقف القاعدة عن العمل.

إذا قمت بتشغيل Microsoft Sentinel في سيناريو الاشتراك المشترك أو عبر المستأجرين، عندما يفقد أحد المحللين أو المهندسين الوصول إلى مساحة عمل معينة، فإن أي قواعد أنشأها هذا المستخدم تتوقف عن العمل. في هذه الحالة، تحصل على رسالة مراقبة السلامة بشأن "الوصول غير الكافي إلى المورد"، ويتم تعطيل القاعدة تلقائيا بعد فشل عدد معين من المرات.

تصدير القواعد إلى قالب ARM

يمكنك بسهولة تصدير القاعدة الخاصة بك إلى قالب Azure Resource Manager (ARM) إذا كنت تريد إدارة القواعد ونشرها كتعليمات برمجية. يمكنك أيضًا استيراد القواعد من ملفات القالب لعرضها وتحريرها في واجهة المستخدم.

الخطوات التالية

• تعرف على المزيد حول قواعد التحليلات المجدولة في Microsoft Sentinel والكشف السريع عن التهديدات باستخدام قواعد التحليلات في الوقت الفعلي تقريبا (NRT) في Microsoft Sentinel.

• للعثور على المزيد من قوالب القواعد، راجع اكتشاف المحتوى الجاهز من Microsoft Sentinel وإدارته.