مشاركة عبر

فهم التحليل الذكي للمخاطر في Microsoft Sentinel

  • مقالة
  • ينطبق على:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel هو حل معلومات أمان أصلية على السحابة وإدارة الأحداث (SIEM) مع القدرة على سحب التحليل الذكي للمخاطر بسرعة من مصادر عديدة.

هام

يتوفر Microsoft Sentinel الآن بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

مقدمة إلى التحليل الذكي للمخاطر

التحليل الذكي للمخاطر الإلكترونية (CTI) هو معلومات تصف التهديدات الحالية أو المحتملة للأنظمة والمستخدمين. يأخذ هذا الذكاء أشكالا عديدة مثل التقارير المكتوبة التي تفصل بالتفصيل دوافع جهة التهديد والبنية التحتية والتقنيات. يمكن أن تكون أيضا ملاحظات محددة لعناوين IP والمجالات وتجزئة الملفات وغيرها من البيانات الاصطناعية المرتبطة بالتهديدات الإلكترونية المعروفة.

تستخدم المؤسسات CTI لتوفير سياق أساسي للنشاط غير العادي حتى يتمكن موظفو الأمن من اتخاذ إجراءات بسرعة لحماية أشخاصهم ومعلوماتهم وأصولهم. يمكنك الحصول على CTI من العديد من الأماكن، مثل:

  • موجزات البيانات مفتوحة المصدر.
  • مجتمعات مشاركة التحليل الذكي للمخاطر.
  • موجزات المعلومات التجارية.
  • وقد تم جمع المعلومات الاستخباراتية المحلية أثناء التحقيقات الأمنية داخل المنظمة.

بالنسبة لحلول SIEM مثل Microsoft Sentinel، فإن أكثر أشكال CTI شيوعا هي مؤشرات التهديد، والتي تعرف أيضا باسم مؤشرات التسوية (IOCs) أو مؤشرات الهجوم. مؤشرات التهديد هي البيانات التي تربط البيانات الاصطناعية الملحوظة مثل عناوين URL أو تجزئات الملفات أو عناوين IP مع نشاط التهديد المعروف مثل التصيد الاحتيالي أو شبكات الروبوت أو البرامج الضارة. غالبا ما يسمى هذا الشكل من التحليل الذكي للمخاطر التحليل الذكي للمخاطر التكتيكية. يتم تطبيقه على منتجات الأمان والأتمتة على نطاق واسع للكشف عن التهديدات المحتملة للمؤسسة والحماية منها.

استخدم مؤشرات التهديد في Microsoft Sentinel للكشف عن النشاط الضار الذي تمت ملاحظته في بيئتك وتوفير سياق لمحققي الأمان لإبلاغ قرارات الاستجابة.

يمكنك دمج التحليل الذكي للمخاطر في Microsoft Sentinel من خلال الأنشطة التالية:

  • استيراد التحليل الذكي للمخاطر إلى Microsoft Sentinel عن طريق تمكين موصلات البيانات إلى مختلف الأنظمة الأساسية وموجزات التحليل الذكي للمخاطر.
  • عرض وإدارة التحليل الذكي للمخاطر المستوردة في السجلات وعلى جزء التحليل الذكي للمخاطر في Microsoft Sentinel.
  • الكشف عن التهديدات وإنشاء تنبيهات الأمان والحوادث باستخدام قوالب قواعد التحليلات المضمنة استنادا إلى التحليل الذكي للمخاطر المستوردة.
  • عرض المعلومات الرئيسية حول التحليل الذكي للمخاطر المُستورَد في Microsoft Azure Sentinel باستخدام مصنف تحليل ذكي للمخاطر.

تثري Microsoft جميع مؤشرات التحليل الذكي للمخاطر المستوردة ببيانات GeoLocation و WhoIs، والتي يتم عرضها مع معلومات المؤشرات الأخرى.

يوفر التحليل الذكي للمخاطر أيضا سياقا مفيدا ضمن تجارب Microsoft Sentinel الأخرى، مثل التتبع ودفاتر الملاحظات. لمزيد من المعلومات، راجع دفاتر ملاحظات Jupyter في Microsoft Sentinel والبرنامج التعليمي: بدء استخدام دفاتر ملاحظات Jupyter وMSTICPy في Microsoft Sentinel.

إشعار

للحصول على معلومات حول توافر الميزات في سحابة حكومة الولايات المتحدة، راجع جداول Microsoft Azure Sentinel في توافر الميزات السحابية لعملاء حكومة الولايات المتحدة .

استيراد التحليل الذكي للمخاطر باستخدام موصلات البيانات

يتم استيراد مؤشرات التهديد باستخدام موصلات البيانات، تماما مثل جميع بيانات الأحداث الأخرى في Microsoft Sentinel. فيما يلي موصلات البيانات في Microsoft Sentinel المتوفرة خصيصا لمؤشرات التهديد:

  • تحليل ذكي للمخاطر في Microsoft Defender موصل البيانات: يستخدم لاستيعاب مؤشرات تهديد Microsoft.
  • موصل بيانات Premium Defender Threat Intelligence: يستخدم لاستيعاب موجز التحليل الذكي المتميز ل Defender Threat Intelligence.
  • التحليل الذكي للمخاطر - TAXII: يستخدم لموجزات STIX/TAXII القياسية في الصناعة.
  • واجهة برمجة تطبيقات مؤشرات تحميل التحليل الذكي للمخاطر: تستخدم لموجزات التحليل الذكي للمخاطر المتكاملة والمؤتمتة باستخدام واجهة برمجة تطبيقات REST للاتصال.
  • موصل بيانات النظام الأساسي للمعلومات عن التهديدات (TIP): يستخدم لتوصيل موجزات التحليل الذكي للمخاطر باستخدام واجهة برمجة تطبيقات REST، ولكنه على مسار الإهمال.

استخدم أي من موصلات البيانات هذه في أي تركيبة معا، اعتمادا على مصدر مؤسستك لمؤشرات التهديد. تتوفر جميع هذه الموصلات الثلاثة في مركز المحتوى كجزء من حل التحليل الذكي للمخاطر. لمزيد من المعلومات حول هذا الحل، راجع إدخال Azure Marketplace تحليل ذكي للمخاطر.

راجع أيضا هذا الكتالوج الخاص بتكاملات التحليل الذكي للمخاطر المتوفرة مع Microsoft Sentinel.

إضافة مؤشرات التهديد إلى Microsoft Sentinel باستخدام موصل بيانات Defender Threat Intelligence

قم بإحضار IOCs العامة والمفتوحة المصدر وعالية الدقة التي تم إنشاؤها بواسطة Defender Threat Intelligence إلى مساحة عمل Microsoft Sentinel باستخدام موصلات بيانات Defender Threat Intelligence. باستخدام إعداد بسيط بنقرة واحدة، استخدم التحليل الذكي للمخاطر من موصلات بيانات Defender Threat Intelligence القياسية والمميزة للمراقبة والتنبيه والبحث.

تمنحك قاعدة تحليلات المخاطر الخاصة ب Defender Threat Intelligence المتوفرة مجانا عينة مما يوفره موصل بيانات Defender Threat Intelligence المتميز. ومع ذلك، مع التحليلات المطابقة، يتم استيعاب المؤشرات التي تطابق القاعدة فقط في بيئتك. يوفر موصل بيانات تحليل ذكي للمخاطر من Defender المتميز معلومات ذكية متميزة عن التهديدات ويسمح بإجراء تحليلات لمزيد من مصادر البيانات بمزيد من المرونة والفهم للتحلي الذكي للمخاطر. فيما يلي جدول يوضح ما يمكن توقعه عند الترخيص وتمكين موصل بيانات Defender Threat Intelligence المتميز.

مجاني متميز
IOCs العامة
التحليل الذكي مفتوح المصدر (OSINT)
Microsoft IOCs
OSINT الذي تم إثرائه من Microsoft

لمزيد من المعلومات، راجع المقالات التالية:

إضافة مؤشرات التهديد إلى Microsoft Sentinel باستخدام موصل بيانات واجهة برمجة تطبيقات تحميل مؤشرات التحليل الذكي للمخاطر

تستخدم العديد من المؤسسات حلول النظام الأساسي للمعلومات الذكية للمخاطر (TIP) لتجميع موجزات مؤشرات التهديد من مصادر مختلفة. من الموجز المجمع، يتم تنسيق البيانات لتطبيقها على حلول الأمان مثل أجهزة الشبكة أو حلول EDR/XDR أو SIEMs مثل Microsoft Sentinel. باستخدام موصل بيانات واجهة برمجة تطبيقات مؤشرات تحميل التحليل الذكي للمخاطر، يمكنك استخدام هذه الحلول لاستيراد مؤشرات التهديد إلى Microsoft Sentinel.

رسم تخطيطي يوضح مسار استيراد واجهة برمجة تطبيقات مؤشرات التحميل.

يستخدم موصل البيانات هذا واجهة برمجة تطبيقات جديدة ويقدم التحسينات التالية:

  • تستند حقول مؤشر التهديد إلى تنسيق STIX القياسي.
  • يتطلب تطبيق Microsoft Entra دور مساهم Microsoft Sentinel فقط.
  • يتم تحديد نطاق نقطة نهاية طلب واجهة برمجة التطبيقات على مستوى مساحة العمل. تسمح أذونات تطبيق Microsoft Entra المطلوبة بتعيين متعدد المستويات على مستوى مساحة العمل.

لمزيد من المعلومات، راجع توصيل النظام الأساسي للمعلومات عن التهديدات باستخدام واجهة برمجة تطبيقات تحميل المؤشرات.

إضافة مؤشرات التهديد إلى Microsoft Sentinel باستخدام موصل بيانات النظام الأساسي للتحليل الذكي للمخاطر

مثل موصل بيانات واجهة برمجة تطبيقات مؤشرات التحميل الموجود، يستخدم موصل بيانات النظام الأساسي للتحليل الذكي للمخاطر واجهة برمجة تطبيقات تسمح ل TIP أو الحل المخصص بإرسال مؤشرات إلى Microsoft Sentinel. ومع ذلك، فإن موصل البيانات هذا الآن على مسار للإهمال. نوصي بالاستفادة من التحسينات التي تقدمها واجهة برمجة تطبيقات تحميل المؤشرات.

يعمل موصل بيانات TIP مع واجهة برمجة تطبيقات Microsoft Graph Security tiIndicators. يمكنك أيضا استخدامه مع أي تلميح مخصص يتصل بواجهة برمجة تطبيقات tiIndicators لإرسال مؤشرات إلى Microsoft Sentinel (وإلى حلول أمان Microsoft الأخرى مثل Defender XDR).

لقطة شاشة تعرض مسار استيراد التحليل الذكي للمخاطر.

لمزيد من المعلومات حول حلول TIP المتكاملة مع Microsoft Azure Sentinel، راجع منتجات النظام الأساسي المتكامل للتحليل الذكي للمخاطر. لمزيد من المعلومات، راجع توصيل النظام الأساسي للتحليل الذكي للمخاطر بـ Microsoft Azure Sentinel.

إضافة مؤشرات التهديد إلى Microsoft Azure Sentinel باستخدام التحليل الذكي للمخاطر - موصل بيانات TAXII

معيار الصناعة الأكثر اعتمادًا على نطاق واسع لنقل التحليل الذكي للمخاطر هو مزيج من تنسيق بيانات STIX وبروتوكول TAXII. إذا حصلت مؤسستك على مؤشرات التهديد من الحلول التي تدعم إصدار STIX/TAXII الحالي (2.0 أو 2.1)، فاستخدم موصل بيانات التحليل الذكي للمخاطر - TAXII لإحضار مؤشرات التهديد إلى Microsoft Sentinel. التحليل الذكي للمخاطر - موصل بيانات TAXII يُمكّن عميل TAXII المُضمن في Microsoft Azure Sentinel من استيراد التحليل الذكي للمخاطر من خوادم TAXII 2.x.

لقطة شاشة تعرض مسار استيراد TAXII

لاستيراد مؤشرات التهديد بتنسيق STIX إلى Microsoft Azure Sentinel من خادم TAXII:

  1. احصل على جذر واجهة برمجة تطبيقات خادم TAXII ومعرف المجموعة.
  2. تمكين موصل بيانات التحليل الذكي للمخاطر - TAXII في Microsoft Sentinel.

لمزيد من المعلومات، راجع توصيل Microsoft Azure Sentinel بموجزات التحليل الذكي للمخاطر STIX/TAXII.

عرض مؤشرات التهديد وإدارتها

عرض المؤشرات وإدارتها في صفحة التحليل الذكي للمخاطر. يمكنك فرز مؤشرات التهديد المستوردة وتصفيتها والبحث فيها دون كتابة استعلام Log Analytics.

لقطة شاشة تعرض واجهة بحث متقدمة مع تحديد شروط المصدر والنمط.

ومن أكثر مهام التحليل الذكي للمخاطر شيوعا وضع علامات على المؤشرات وإنشاء مؤشرات جديدة تتعلق بالتحقيقات الأمنية. إنشاء مؤشرات التهديد أو تحريرها مباشرة على صفحة التحليل الذكي للمخاطر عندما تحتاج فقط إلى إدارة عدد قليل منها بسرعة.

يعد تمييز مؤشرات التهديد طريقة سهلة لتجميعها لتسهيل العثور عليها. عادة، يمكنك تطبيق علامات على مؤشر مرتبط بحادث معين، أو إذا كان المؤشر يمثل تهديدات من جهة فاعلة معينة أو حملة هجوم معروفة. بعد البحث عن المؤشرات التي تريد العمل معها، يمكنك وضع علامة عليها بشكل فردي. تحديد المؤشرات متعددة ووضع علامة عليها جميعا مرة واحدة باستخدام علامة واحدة أو أكثر. نظرا لأن وضع العلامات مجاني، نوصي بإنشاء اصطلاحات تسمية قياسية لعلامات مؤشر التهديد.

تحقق من صحة المؤشرات وعرض مؤشرات التهديد التي تم استيرادها بنجاح من مساحة عمل Log Analytics الممكنة من Microsoft Sentinel. ThreatIntelligenceIndicator الجدول ضمن مخطط Microsoft Sentinel هو المكان الذي يتم فيه تخزين جميع مؤشرات تهديد Microsoft Sentinel. هذا الجدول هو أساس استعلامات التحليل الذكي للمخاطر التي يتم إجراؤها بواسطة ميزات Microsoft Sentinel الأخرى، مثل التحليلات والمصنفات.

فيما يلي مثال على عرض استعلام أساسي لمؤشرات التهديد.

لقطة شاشة تعرض صفحة السجلات مع نموذج استعلام لجدول ThreatIntelligenceIndicator.

يتم استيعاب مؤشرات التحليل الذكي للمخاطر في ThreatIntelligenceIndicator جدول مساحة عمل Log Analytics الخاصة بك للقراءة فقط. كلما تم تحديث مؤشر، يتم إنشاء إدخال جديد في ThreatIntelligenceIndicator الجدول. يظهر المؤشر الأحدث فقط في صفحة التحليل الذكي للمخاطر. يقوم Microsoft Sentinel بإزالة تكرار المؤشرات استنادا IndicatorId إلى خصائص و SourceSystem ويختار المؤشر الذي يحتوي على الأحدث TimeGenerated[UTC].

IndicatorId يتم إنشاء الخاصية باستخدام معرف مؤشر STIX. عند استيراد المؤشرات أو إنشاؤها من مصادر غير STIX، IndicatorId يتم إنشاؤها بواسطة مصدر المؤشر ونمطه.

لمزيد من المعلومات حول عرض مؤشرات التهديد وإدارتها، راجع العمل مع مؤشرات التهديد في Microsoft Sentinel.

عرض الموقع الجغرافي وإثراء بيانات WhoIs (معاينة عامة)

تثري Microsoft مؤشرات IP والمجال مع بيانات إضافية GeoLocation WhoIs لتوفير المزيد من السياق للتحقيقات حيث يتم العثور على IOC المحدد.

عرض GeoLocation وبيانات WhoIs جزء التحليل الذكي للمخاطر لتلك الأنواع من مؤشرات التهديد المستوردة إلى Microsoft Sentinel.

على سبيل المثال، استخدم GeoLocation البيانات للعثور على معلومات مثل المؤسسة أو البلد لمؤشر IP. استخدم WhoIs البيانات للعثور على بيانات مثل جهة التسجيل وتسجيل بيانات الإنشاء من مؤشر مجال.

الكشف عن التهديدات باستخدام تحليلات مؤشر التهديد

إن تشغيل قواعد التحليلات للكشف عن التهديدات هو أهم حالة استخدام لمؤشرات التهديد في حلول SIEM مثل Microsoft Azure Sentinel. تقارن هذه القواعد المُستندة إلى المؤشرات الأحداث الأولية من مصادر البيانات بمؤشرات التهديد للكشف عن تهديدات الأمان في مؤسستك. في تحليلات Microsoft Azure Sentinel، يمكنك إنشاء قواعد تحليلات تعمل وفقًا لجدول زمني وتُنشئ تنبيهات أمان. تستند القواعد إلى الاستعلامات. جنبا إلى جنب مع التكوينات، فإنها تحدد عدد المرات التي يجب أن تعمل فيها القاعدة، ونوع نتائج الاستعلام التي يجب أن تولد تنبيهات وحوادث أمان، واختياريا، متى يتم تشغيل استجابة تلقائية.

على الرغم من أنه يمكنك دائما إنشاء قواعد تحليلات جديدة من البداية، يوفر Microsoft Sentinel مجموعة من قوالب القواعد المضمنة، التي أنشأها مهندسو أمان Microsoft، للاستفادة من مؤشرات التهديد الخاصة بك. تستند هذه القوالب إلى نوع مؤشرات التهديد (المجال أو البريد الإلكتروني أو تجزئة الملف أو عنوان IP أو عنوان URL) وأحداث مصدر البيانات التي تريد مطابقتها. يسرد كل قالب المصادر المطلوبة المطلوبة لكي تعمل القاعدة. تسهل هذه المعلومات تحديد ما إذا كانت الأحداث الضرورية مستوردة بالفعل في Microsoft Sentinel.

بشكل افتراضي، عند تشغيل هذه القواعد المضمنة، يتم إنشاء تنبيه. في Microsoft Sentinel، تنشئ التنبيهات التي تم إنشاؤها من قواعد التحليلات أيضا حوادث أمان. في قائمة Microsoft Sentinel، ضمن Threat management، حدد Incidents. الحوادث هي ما تقوم فرق عمليات الأمان بفرزه والتحقيق فيه لتحديد إجراءات الاستجابة المناسبة. لمزيد من المعلومات، راجع Tutorial: Investigate incidents with Microsoft Sentinel.

لمزيد من المعلومات حول استخدام مؤشرات التهديد في قواعد التحليلات، راجع استخدام التحليل الذكي للمخاطر للكشف عن التهديدات.

توفر Microsoft الوصول إلى التحليل الذكي للمخاطر الخاصة بها من خلال قاعدة تحليلات التحليل الذكي للمخاطر من Defender. لمزيد من المعلومات حول كيفية الاستفادة من هذه القاعدة، التي تنشئ تنبيهات وحوادث عالية الدقة، راجع استخدام تحليلات مطابقة للكشف عن التهديدات.

لقطة شاشة تعرض حدثا عالي الدقة تم إنشاؤه بواسطة تحليلات مطابقة مع مزيد من معلومات السياق من Defender Threat Intelligence.

توفر المصنفات نتائج تحليلات حول التحليل الذكي للمخاطر

توفر المصنفات لوحات معلومات تفاعلية فعالة تمنحك نتائج تحليلات حول جميع جوانب Microsoft Azure Sentinel، ولا يُستثنى التحليل الذكي للمخاطر. استخدم مصنف التحليل الذكي للمخاطر المضمن لتصور المعلومات الرئيسية حول التحليل الذكي للمخاطر. يمكنك بسهولة تخصيص المصنف وفقا لاحتياجات عملك. أنشئ لوحات معلومات جديدة من خلال الجمع بين العديد من مصادر البيانات لمساعدتك على تصور بياناتك بطرق فريدة.

نظرا لأن مصنفات Microsoft Sentinel تستند إلى مصنفات Azure Monitor، فإن الوثائق الشاملة والعديد من القوالب متوفرة بالفعل. لمزيد من المعلومات، راجع إنشاء تقارير تفاعلية باستخدام مصنفات Azure Monitor.

هناك أيضا مورد غني لمصنفات Azure Monitor على GitHub، حيث يمكنك تنزيل المزيد من القوالب والمساهمة في القوالب الخاصة بك.

لمزيد من المعلومات حول استخدام مصنف التحليل الذكي للمخاطر وتخصيصه، راجع العمل مع مؤشرات التهديد في Microsoft Sentinel.

المحتوى ذو الصلة

في هذه المقالة، تعرفت على قدرات التحليل الذكي للمخاطر في Microsoft Sentinel، بما في ذلك جزء التحليل الذكي للمخاطر. للحصول على إرشادات عملية حول استخدام قدرات التحليل الذكي للمخاطر في Microsoft Sentinel، راجع المقالات التالية: