مشاركة عبر

التحقيق في الحوادث باستخدام Microsoft Azure Sentinel

  • مقالة

هام

الميزات الملحوظة موجودة حالياً في المعاينة. تتضمن الشروط التكميلية لمعاينة Azure شروطا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في التوفر العام.

تساعدك هذه المقالة في التحقيق في الحوادث باستخدام Microsoft Azure Sentinel. بعد توصيل مصادر بياناتك بـ Microsoft Azure Sentinel، ستود أن تتلقى الإشعارات عند حدوث شيء مريب. لتمكينك من القيام بذلك، يتيح لك Microsoft Azure Sentinel إنشاء قواعد تحليلات متقدمة تنشئ حوادث يمكنك تعيينها والتحقيق فيها.

يغطي هذا المقال:

  • التحقيق في الحوادث
  • استخدام الرسم البياني للتحقيق
  • الاستجابة للتهديدات

يمكن أن يتضمن الحادث تنبيهات متعددة. إنه تجميع لجميع الأدلة ذات الصلة لتحقيق محدد. يتم إنشاء حادث استناداً إلى القواعد التحليلية التي أنشأتها في صفحة Analytics. يتم تعيين الخصائص المتعلقة بالتنبيهات، مثل الخطورة والحالة، على مستوى الحادث. بعد السماح لـ Microsoft Sentinel بمعرفة أنواع التهديدات التي تبحث عنها وكيفية العثور عليها، يمكنك مراقبة التهديدات المكتشفة عن طريق التحقيق في الحوادث.

المتطلبات الأساسية

  • لن تتمكن من التحقيق في الحادث إلا إذا استخدمت حقول تعيين الكيانات عند إعداد قاعدة التحليلات. يتطلب الرسم البياني للتحقيق أن يتضمن الحادث الأصلي كيانات.

  • إذا كان لديك مستخدم ضيف يحتاج إلى تعيين حوادث، فيجب تعيين دور قارئ الدليل للمستخدم في مستأجر Microsoft Entra. يتم تعيين هذا الدور للمستخدمين العاديين (غير الضيوف) افتراضياً.

كيفية التحقيق في الحوادث

  1. حدد الحوادث. تتيح لك صفحة الحوادث معرفة عدد الحوادث التي لديك وما إذا كانت جديدة أو نشطة أو مغلقة. لكل حادث، يمكنك معرفة وقت حدوثه وحالة الحادث. انظر إلى الخطورة لتحديد الحوادث التي يجب التعامل معها أولا.

    Screenshot of view of incident severity.

  2. يمكنك تصفية الحوادث حسب الحاجة، على سبيل المثال حسب الحالة أو الشدة. لمزيد من المعلومات، راجع البحث عن الحوادث.

  3. لبدء تحقيق، حدد حدثاً معيناً. على اليمين، يمكنك مشاهدة معلومات مفصلة عن الحادث بما في ذلك شدته، وملخص لعدد الكيانات المعنية، والأحداث الأولية التي أدت إلى هذا الحادث، والمعرف الفريد للحادث، وأي تكتيكات أو تقنيات MITRE ATT&CK معينة.

  4. لعرض مزيد من التفاصيل حول التنبيهات والكيانات في الحادث، حدد عرض التفاصيل الكاملة في صفحة الحادث ومراجعة علامات التبويب ذات الصلة التي تلخص معلومات الحادث.

    Screenshot of view of alert details.

    • في علامة التبويب المخطط الزمني، راجع المخطط الزمني للتنبيهات والإشارات المرجعية في الحادث، والتي يمكن أن تساعدك في إعادة إنشاء المخطط الزمني لنشاط المهاجم.

    • في علامة التبويب حوادث مشابهة (معاينة)، سترى مجموعة تضم ما يصل إلى 20 حادثة أخرى تشبه إلى حد كبير الحادث الحالي. يتيح لك ذلك عرض الحادث في سياق أكبر ويساعد في توجيه تحقيقك. تعرف على المزيد حول الحوادث المماثلة أدناه.

    • في علامة التبويب تنبيهات، راجع التنبيهات المضمنة في هذا الحادث. سترى جميع المعلومات ذات الصلة حول التنبيهات - قواعد التحليلات التي أنتجتها، وعدد النتائج التي يتم عرضها لكل تنبيه، والقدرة على تشغيل كتب التشغيل على التنبيهات. للتعمق أكثر في الحادث، حدد عدد الأحداث. يؤدي ذلك إلى فتح طلب البحث الذي أنشأ النتائج والأحداث التي أدت إلى تشغيل التنبيه في Log Analytics.

    • في علامة التبويب الإشارات المرجعية، سترى أي إشارات مرجعية قمت أنت أو المحققون الآخرون بربطها بهذا الحادث. تعرف على المزيد حول الإشارات المرجعية.

    • في علامة التبويب كيانات، يمكنك رؤية جميع الكيانات التي تعيينها كجزء من تعريف قاعدة التنبيه. هذه هي الكائنات التي لعبت دورا في الحادث، سواء كانت مستخدمين أو أجهزة أو عناوين أو ملفات أو أي أنواع أخرى.

    • أخيراً، في علامة التبويب تعليقات، يمكنك إضافة تعليقاتك على التحقيق وعرض أي تعليقات أدلى بها محللون ومحققون آخرون. مزيد من المعلومات حول التعليقات.

  5. إذا كنت تحقق بنشاط في حادث، فمن المستحسن تعيين حالة الحادث إلى نشط حتى تقوم بإغلاقه.

  6. يمكن تعيين الحوادث إلى مستخدم معين أو إلى مجموعة. لكل حادثة، يمكنك تعيين مالك، عن طريق تعيين الحقل المالك. تبدأ جميع الحوادث على أنها غير محددة. يمكنك أيضاً إضافة تعليقات حتى يتمكن المحللون الآخرون من فهم ما قمت بالتحقيق فيه وما هي مخاوفك حول الحادث.

    Screenshot of assigning incident to user.

    سيظهر المستخدمون والمجموعات التي تم تحديدها مؤخرا في أعلى القائمة المنسدلة المصورة.

  7. حدد تحقيق لعرض خريطة التحقيق.

استخدام الرسم البياني للتحقيق في الغوص العميق

يمكن الرسم البياني للتحقيق المحللين من طرح الأسئلة الصحيحة لكل تحقيق. يساعدك الرسم البياني للتحقيق على فهم نطاق التهديد الأمني المحتمل وتحديد السبب الجذري له من خلال ربط البيانات ذات الصلة بأي كيان مشارك. يمكنك الغوص أعمق والتحقيق في أي كيان معروض في الرسم البياني عن طريق تحديده والاختيار بين خيارات التوسع المختلفة.

يوفر لك الرسم البياني للتحقيق ما يلي:

  • السياق المرئي من البيانات الأولية: يعرض الرسم البياني المباشر المرئي علاقات الكيانات المستخرجة تلقائياً من البيانات الأولية. يتيح لك ذلك رؤية الاتصالات بسهولة عبر مصادر البيانات المختلفة.

  • اكتشاف نطاق التحقيق الكامل: قم بتوسيع نطاق التحقيق باستخدام استعلامات الاستكشاف المضمنة لإبراز النطاق الكامل للخرق.

  • خطوات التحقيق المضمنة: استخدم خيارات الاستكشاف المحددة مسبقاً للتأكد من أنك تطرح الأسئلة الصحيحة في مواجهة أي تهديد.

لاستخدام الرسم البياني للتحقيق:

  1. حدد حادثاً، ثم حدد "Investigate". يأخذك هذا إلى الرسم البياني للتحقيق. يوفر الرسم البياني خريطة توضيحية للكيانات المتصلة مباشرة بالتنبيهات وكل مورد متصل بشكل أكبر.

    View map.

    هام

    • لن تتمكن من التحقيق في الحادث إلا إذا استخدمت حقول تعيين الكيانات عند إعداد قاعدة التحليلات. يتطلب الرسم البياني للتحقيق أن يتضمن الحادث الأصلي كيانات.

    • يدعم Microsoft Azure Sentinel حالياً التحقيق في الحوادث التي يصل عمرها إلى 30 يوما.

  2. حدد كياناً لفتح جزء الكيانات حتى تتمكن من مراجعة المعلومات المتعلقة بهذا الكيان.

    View entities in map

  3. وسع نطاق تحقيقك من خلال التمرير فوق كل كيان للكشف عن قائمة بالأسئلة التي صممها خبراء الأمن والمحللون لدينا لكل نوع كيان لتعميق تحقيقك. نسمي هذه الخيارات استعلامات الاستكشاف.

    Explore more details

    على سبيل المثال، يمكنك طلب تنبيهات ذات صلة. إذا قمت بتحديد استعلام استكشاف، تتم إضافة العناوين الناتجة مرة أخرى إلى الرسم البياني. في هذا المثال، يؤدي تحديد تنبيهات ذات صلة إلى إرجاع التنبيهات التالية إلى الرسم البياني:

    Screenshot: view related alerts

    لاحظ أن التنبيهات ذات الصلة تظهر متصلة بالكيان بواسطة خطوط منقطة.

  4. لكل استعلام استكشاف، يمكنك تحديد خيار فتح نتائج الأحداث الأولية والاستعلام المستخدم في Log Analytics، عن طريق تحديد الأحداث>.

  5. من أجل فهم الحادث، يمنحك الرسم البياني جدولاً زمنياً موازياً.

    Screenshot: view timeline in map.

  6. مرر مؤشر الماوس فوق المخطط الزمني لمعرفة الأشياء الموجودة على الرسم البياني التي حدثت في أي نقطة زمنية.

    Screenshot: use timeline in map to investigate alerts.'

ركز على تحقيقك

تعرف على كيفية توسيع نطاق التحقيق أو تضييقه إما عن طريق إضافة تنبيهات إلى حوادثك أو إزالة تنبيهات من الحوادث.

حوادث مماثلة (معاينة)

بصفتك محللاً للعمليات الأمنية، عند التحقيق في حادث ما، ستحتاج إلى الانتباه إلى سياقه الأكبر. على سبيل المثال، ستحتاج إلى معرفة ما إذا كانت حوادث أخرى مثل هذه قد حدثت من قبل أو تحدث الآن.

  • قد ترغب في تحديد الحوادث المتزامنة التي قد تكون جزءاً من نفس استراتيجية الهجوم الأكبر.

  • قد ترغب في تحديد حوادث مماثلة في الماضي، لاستخدامها كنقاط مرجعية للتحقيق الحالي.

  • قد ترغب في تحديد مالكي الحوادث المماثلة السابقة، للعثور على الأشخاص في SOC الذين يمكنهم توفير المزيد من السياق، أو الذين يمكنك تصعيد التحقيق إليهم.

تعرض علامة التبويب الحوادث المشابهة في صفحة تفاصيل الحادث، التي هي الآن قيد المعاينة، ما يصل إلى 20 حادثا آخر الأكثر تشابها مع الحادث الحالي. يتم حساب التشابه بواسطة خوارزميات Microsoft Azure Sentinel الداخلية، ويتم فرز الحوادث وعرضها بترتيب تنازلي للتشابه.

Screenshot of the similar incidents display.

حساب التشابه

هناك ثلاثة معايير يتم من خلالها تحديد التشابه:

  • الكيانات المشابهة: يعتبر الحادث مشابها لحادث آخر إذا كان كلاهما يتضمن نفس كيانات. وكلما زاد عدد الكيانات المشتركة بين حادثتين، كلما اعتبرا أكثر تشابهاً.

  • قاعدة مشابهة: يعتبر الحادث مشابهاً لحادث آخر إذا تم إنشاؤه بواسطة نفس قاعدة التحليلات.

  • تفاصيل تنبيه مشابهة: يعتبر الحادث مشابهاً لحادث آخر إذا كان يشارك نفس العنوان و/أو اسم المنتج و/أو التفاصيل المخصصة.

يتم عرض أسباب ظهور حادث في قائمة الحوادث المشابهة في العمود سبب التشابه. مرر مؤشر الماوس فوق أيقونة المعلومات لإظهار العناصر الشائعة (الكيانات أو اسم القاعدة أو التفاصيل).

Screenshot of pop-up display of similar incident details.

إطار زمني للتشابه

يتم حساب تشابه الحادث بناء على بيانات من 14 يوماً قبل آخر نشاط في الحادث، وهو وقت انتهاء أحدث تنبيه في الحادث.

تتم إعادة حساب تشابه الحوادث في كل مرة تدخل فيها صفحة تفاصيل الحادث، لذلك قد تختلف النتائج بين الجلسات إذا تم إنشاء حوادث جديدة أو تحديثها.

التعليق على الحوادث

بصفتك محللا للعمليات الأمنية، عند التحقيق في حادث ما، ستحتاج إلى توثيق الخطوات التي تتخذها بدقة، سواء لضمان تقديم تقارير دقيقة للإدارة أو لتمكين التعاون السلس والتعاون بين زملاء العمل. يمنحك Microsoft Azure Sentinel بيئة تعليق غنية لمساعدتك في تحقيق ذلك.

شيء آخر مهم يمكنك القيام به مع التعليقات هو إثراء الحوادث خاصتك تلقائياً. عند تشغيل دليل تشغيل على حادث يجلب معلومات ذات صلة من مصادر خارجية (على سبيل المثال، التحقق من ملف بحثا عن برامج ضارة في VirusTotal)، يمكنك جعل دليل اللعب يضع استجابة المصدر الخارجي - إلى جانب أي معلومات أخرى تحددها - في تعليقات الحادث.

التعليقات سهلة الاستخدام. يمكنك الوصول إليها من خلال علامة التبويب تعليقات في صفحة تفاصيل الحادث.

Screenshot of viewing and entering comments.

الأسئلة الشائعة

هناك العديد من الاعتبارات التي يجب مراعاتها عند استخدام تعليقات الحوادث. وتشير قائمة الأسئلة التالية إلى هذه الاعتبارات.

ما هي أنواع المدخلات المدعومة?

  • النص: تدعم التعليقات في Microsoft Azure Sentinel إدخالات النص في النص العادي وHTML الأساسي و Markdown. يمكنك أيضاً لصق النص المنسوخ وHTML و Markdown في نافذة التعليق.

  • الصور: يمكنك إدراج ارتباطات إلى الصور في التعليقات وسيتم عرض الصور مضمنة، ولكن يجب استضافة الصور بالفعل في موقع يمكن الوصول إليه بشكل عام مثل Dropbox و OneDrive و Google Drive وما شابه ذلك. لا يمكن تحميل الصور مباشرة إلى التعليقات.

هل هناك حد أقصى لحجم التعليقات?

  • لكل تعليق: يمكن أن يحتوي التعليق الواحد على ما يصل إلى 30000 حرف.

  • لكل حادثة: يمكن أن تحتوي حادثة واحدة على ما يصل إلى 100 تعليق.

    إشعار

    الحد الأقصى لحجم سجل حادث واحد في الجدول SecurityIncident في Log Analytics هو 64كيلوبايت. إذا تم تجاوز هذا الحد، اقتطاع التعليقات (بدءاً من الأقرب)، مما قد يؤثر على التعليقات التي ستظهر في نتائج البحث المتقدم.

    لن تتأثر سجلات الحوادث الفعلية في قاعدة بيانات الحوادث.

من يمكنه تعديل التعليقات أو حذفها?

  • التحرير: فقط مؤلف التعليق لديه إذن لتحريره.

  • حذف: فقط المستخدمين الذين لديهم دور مساهم Microsoft Azure Sentinel لديهم إذن لحذف التعليقات. حتى مؤلف التعليق يجب أن يكون له هذا الدور من أجل حذفه.

إغلاق حادث

بمجرد حل حادث معين (على سبيل المثال، عندما يصل تحقيقك إلى نهايته)، يجب عليك تعيين حالة الحادث إلى مغلق. عند القيام بذلك، سيطلب منك تصنيف الحادث عن طريق تحديد سبب إغلاقه. هذه الخطوة إلزامية. انقر تحديد تصنيف واختر أحد الخيارات التالية من القائمة المنسدلة:

  • إيجابي حقيقي - نشاط مشبوه
  • إيجابية حميدة - مشبوهة ولكنها متوقعة
  • إيجابية خاطئة - منطق تنبيه غير صحيح
  • إيجابية خاطئة - بيانات غير صحيحة
  • "Undetermined"

Screenshot that highlights the classifications available in the Select classification list.

لمزيد من المعلومات حول الإيجابيات الخاطئة والإيجابيات الحميدة، راجع التعامل مع الإيجابيات الخاطئة في Microsoft Azure Sentinel.

بعد اختيار التصنيف المناسب، أضف بعض النصوص الوصفية في الحقل تعليق. سيكون هذا مفيدا في حال كنت بحاجة إلى الرجوع إلى هذا الحادث. انقر تطبيق عند الانتهاء، وسيتم إغلاق الحادث.

{alt-text}

البحث عن الحوادث

للعثور على حادث معين بسرعة، أدخل سلسلة بحث في مربع البحث أعلى شبكة الحوادث واضغط على Enter لتعديل قائمة الحوادث المعروضة وفقاً لذلك. إذا لم يتم تضمين الحادث في النتائج، فقد تحتاج إلى تضييق نطاق البحث باستخدام خيارات بحث متقدم.

لتعديل معلمات البحث، حدد الزر بحث ثم حدد المعلمات التي تريد تشغيل البحث فيها.

على سبيل المثال:

Screenshot of the incident search box and button to select basic and/or advanced search options.

بشكل افتراضي، يتم تشغيل عمليات البحث عن الحوادث عبر قيم معرف الحادث العنوان العلامات المالك اسم المنتج فقط. في جزء البحث، مرر لأسفل القائمة لتحديد معلمة أخرى واحدة أو أكثر للبحث، وحدد تطبيق لتحديث معلمات البحث. حدد تعيين إلى افتراضي إعادة تعيين المعلمات المحددة إلى الخيار الافتراضي.

إشعار

تدعم عمليات البحث في الحقل المالك كلاً من الأسماء وعناوين البريد الإلكتروني.

يؤدي استخدام خيارات البحث المتقدم إلى تغيير سلوك البحث على النحو التالي:

سلوك البحث ‏‏الوصف
لون زر البحث يتغير لون زر البحث، اعتماداً على أنواع المعلمات المستخدمة حالياً في البحث.
  • طالما تم تحديد المعلمات الافتراضية فقط، يكون الزر رمادياً.
  • بمجرد تحديد معلمات مختلفة، مثل معلمات البحث المتقدم، يتحول الزر إلى اللون الأزرق.
التحديث التلقائي يمنعك استخدام معلمات البحث المتقدم من تحديد تحديث نتائجك تلقائياً.
معلمات الكيان يتم دعم جميع معلمات الكيانات لعمليات البحث المتقدمة. عند البحث في أي معلمة كيان، يتم تشغيل البحث في كافة معلمات الكيان.
سلاسل البحث يتضمن البحث عن سلسلة من الكلمات جميع الكلمات الموجودة في استعلام البحث. سلاسل البحث حساسة لحالة الأحرف.
دعم عبر مساحة العمل عمليات البحث المتقدمة غير مدعومة لطرق العرض عبر مساحة العمل.
عدد نتائج البحث المعروضة عند استخدام معلمات البحث المتقدم، يتم عرض 50 نتيجة فقط في المرة الواحدة.

تلميح

إذا لم تتمكن من العثور على الحادث الذي تبحث عنه، فأزل معلمات البحث لتوسيع نطاق البحث. إذا كانت نتائج البحث تحتوي على عدد كبير جدا من العناصر، فأضف المزيد من الفلاتر لتضييق نطاق النتائج.

الخطوات التالية

في هذه المقالة، تعلمت كيفية البدء في التحقيق في الحوادث باستخدام Microsoft Azure Sentinel. لمزيد من المعلومات، راجع: