فهم التحليل الذكي للمخاطر في Microsoft Sentinel

  • مقالة
  • ينطبق على:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel هو حل إدارة معلومات الأمان والأحداث (SIEM) الأصلي على السحابة مع القدرة على سحب التحليل الذكي للمخاطر بسرعة من مصادر عديدة.

هام

يتوفر Microsoft Sentinel كجزء من المعاينة العامة للنظام الأساسي لعمليات الأمان الموحدة في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

مقدمة إلى التحليل الذكي للمخاطر

التحليل الذكي للمخاطر الإلكترونية (CTI) هو معلومات تصف التهديدات الحالية أو المحتملة للأنظمة والمستخدمين. يأخذ هذا التحليل الذكي أشكالا عديدة، بدءا من التقارير المكتوبة التي توضح بالتفصيل دوافع جهة التهديد والبنية التحتية والتقنيات الخاصة بها، إلى ملاحظات محددة لعناوين IP والمجالات وتجزئة الملفات وغيرها من البيانات الاصطناعية المرتبطة بالتهديدات الإلكترونية المعروفة. تستخدم المنظمات CTI لتوفير سياق أساسي للنشاط غير العادي، بحيث يمكن لموظفي الأمن اتخاذ إجراءات بسرعة لحماية أشخاصهم ومعلوماتهم وأصولهم. يمكن الحصول على التحليل الذكي للمخاطر الإلكترونية من عِدة أماكن مثل موجزات بيانات ذات مصدر مفتوح، ومجتمعات تبادل تحليل ذكي للمخاطر، وموجزات تحليل ذكي تجارية، والتحليلات الذكية المحلية المُجمعة في سياق التحقيقات الأمنية داخل مؤسسة ما.

بالنسبة لحلول SIEM مثل Microsoft Sentinel، فإن أكثر أشكال CTI شيوعا هي مؤشرات التهديد، والمعروفة أيضا باسم مؤشرات التسوية (IoC) أو مؤشرات الهجوم (IoA). مؤشرات التهديد هي البيانات التي تربط البيانات الاصطناعية الملحوظة مثل عناوين URL أو تجزئات الملفات أو عناوين IP مع نشاط التهديد المعروف مثل التصيد الاحتيالي أو شبكات الروبوت أو البرامج الضارة. غالبا ما يسمى هذا الشكل من التحليل الذكي للمخاطر التحليل الذكي للمخاطر التكتيكية لأنه يتم تطبيقه على منتجات الأمان والأتمتة على نطاق واسع للكشف عن التهديدات المحتملة للمؤسسة والحماية منها. استخدم مؤشرات التهديد في Microsoft Sentinel، للكشف عن النشاط الضار الذي تمت ملاحظته في بيئتك وتوفير سياق لمحققي الأمان لإبلاغ قرارات الاستجابة.

دمج تحليل ذكي للمخاطر (TI) في Microsoft Sentinel من خلال الأنشطة التالية:

  • استيراد تحليل ذكي للمخاطر إلى Microsoft Azure Sentinel من خلال تمكين موصلات البيانات إلى موجزات TI وأنظمتها الأساسية.

  • عرض وإدارة التحليل الذكي للمخاطر المُستورَد في "السجلات" وفي جزء "تحليل ذكي للمخاطر" في Microsoft Azure Sentinel.

  • اكتشاف التهديدات وإنشاء تنبيهات وحوادث الأمان باستخدام قوالب قواعد التحليلات المضمنة بناءً على التحليل الذكي للمخاطر المُستورَد.

  • عرض المعلومات الرئيسية حول التحليل الذكي للمخاطر المُستورَد في Microsoft Azure Sentinel باستخدام مصنف تحليل ذكي للمخاطر.

تعمل Microsoft على إثراء جميع مؤشرات التحليل الذكي للمخاطر المُستورَد باستخدام بيانات GeoLocation وWhoIs، والتي تظهر مع تفاصيل المؤشرات الأخرى.

يوفر التحليل الذكي للمخاطر أيضًا سياقًا مفيدًا ضمن تجارب Microsoft Azure Sentinel الأخرى مثل التتبع ودفاتر الملاحظات. لمزيد من المعلومات، راجع Jupyter Notebooks في Microsoft Azure Sentinel والبرنامج التعليمي: بدء استخدام دفاتر ملاحظات Jupyter وMSTICPy في Microsoft Azure Sentinel.

إشعار

للحصول على معلومات حول توافر الميزات في سحابة حكومة الولايات المتحدة، راجع جداول Microsoft Azure Sentinel في توافر الميزات السحابية لعملاء حكومة الولايات المتحدة .

استيراد التحليل الذكي للمخاطر باستخدام موصلات البيانات

تُستورَد مؤشرات التهديد باستخدام موصلات البيانات مثلها مثل جميع بيانات الأحداث الأخرى في Microsoft Azure Sentinel. فيما يلي موصلات البيانات في Microsoft Sentinel المقدمة خصيصا لمؤشرات التهديد.

  • تحليل ذكي للمخاطر في Microsoft Defender موصل البيانات لاستيعاب مؤشرات التهديد من Microsoft
  • التحليل الذكي للمخاطر - TAXII لموجزات STIX/TAXII القياسية في الصناعة و
  • واجهة برمجة تطبيقات مؤشرات تحميل التحليل الذكي للمخاطر لموجزات TI المتكاملة والمؤتمتة باستخدام واجهة برمجة تطبيقات REST للاتصال
  • يقوم موصل بيانات النظام الأساسي للتحليف الذكي للمخاطر أيضا بتوصيل موجزات TI باستخدام واجهة برمجة تطبيقات REST، ولكنه على مسار الإهمال

استخدم أي من موصلات البيانات هذه في أي تركيبة معا، اعتمادا على مصدر مؤسستك لمؤشرات التهديد. تتوفر كل هذه العناصر الثلاثة في مركز المحتوى كجزء من حل التحليل الذكي للمخاطر. لمزيد من المعلومات حول هذا الحل، راجع إدخال Azure Marketplace تحليل ذكي للمخاطر.

راجع أيضا هذا الكتالوج الخاص بتكاملات التحليل الذكي للمخاطر المتوفرة مع Microsoft Sentinel.

إضافة مؤشرات التهديد إلى Microsoft Sentinel باستخدام موصل البيانات تحليل ذكي للمخاطر في Microsoft Defender

أحضر مؤشرات عالية الدقة للتسوية (IOC) التي تم إنشاؤها بواسطة تحليل ذكي للمخاطر في Microsoft Defender (MDTI) في مساحة عمل Microsoft Sentinel. يستبدل موصل بيانات MDTI هذه IOCs بإعداد بسيط بنقرة واحدة. ثم المراقبة والتنبيه والبحث استنادا إلى التحليل الذكي للمخاطر بنفس الطريقة التي تستخدم بها موجزات أخرى.

لمزيد من المعلومات حول موصل بيانات MDTI، راجع تمكين موصل بيانات MDTI.

إضافة مؤشرات التهديد إلى Microsoft Sentinel باستخدام موصل بيانات واجهة برمجة تطبيقات تحميل مؤشرات التحليل الذكي للمخاطر

تستخدم العديد من المؤسسات حلول النظام الأساسي للمعلومات الذكية للمخاطر (TIP) لتجميع موجزات مؤشرات التهديد من مصادر مختلفة. من الموجز المجمع، يتم تنسيق البيانات لتطبيقها على حلول الأمان مثل أجهزة الشبكة أو حلول الكشف التلقائي والاستجابة على النقط النهائية/XDR أو SIEMs مثل Microsoft Sentinel. يسمح لك موصل بيانات واجهة برمجة تطبيقات مؤشرات تحميل التحليل الذكي للمخاطر باستخدام هذه الحلول لاستيراد مؤشرات التهديد إلى Microsoft Sentinel.

رسم تخطيطي يوضح مسار استيراد واجهة برمجة التطبيقات لمؤشرات التحميل.

يستخدم موصل البيانات هذا واجهة برمجة تطبيقات جديدة ويقدم التحسينات التالية:

  • تستند حقول مؤشر التهديد إلى تنسيق STIX القياسي.
  • يتطلب تطبيق Microsoft Entra دور مساهم Microsoft Sentinel فقط.
  • يتم تحديد نطاق نقطة نهاية طلب واجهة برمجة التطبيقات على مستوى مساحة العمل وتسمح أذونات تطبيق Microsoft Entra المطلوبة بتعيين متعدد المستويات على مستوى مساحة العمل.

لمزيد من المعلومات، راجع الاتصال النظام الأساسي للمعلومات عن التهديدات باستخدام واجهة برمجة تطبيقات مؤشرات التحميل

إضافة مؤشرات التهديد إلى Microsoft Azure Sentinel باستخدام موصل بيانات الأنظمة الأساسية للتحليل الذكي للمخاطر

مثل موصل بيانات واجهة برمجة التطبيقات لمؤشرات التحميل الحالية، يستخدم موصل بيانات النظام الأساسي للتحليل الذكي للمخاطر واجهة برمجة تطبيقات تسمح ل TIP أو الحل المخصص بإرسال مؤشرات إلى Microsoft Sentinel. ومع ذلك، فإن موصل البيانات هذا الآن على مسار للإهمال. نوصي بحلول جديدة للاستفادة من التحسينات التي تقدمها واجهة برمجة التطبيقات لمؤشرات التحميل.

يعمل موصل بيانات TIP مع واجهة برمجة تطبيقات Microsoft Graph Security tiIndicators. يمكن استخدامه أيضا من قبل أي نظام أساسي مخصص للتحليل الذكي للمخاطر يتصل بواجهة برمجة تطبيقات tiIndicators لإرسال مؤشرات إلى Microsoft Sentinel (وإلى حلول أمان Microsoft الأخرى مثل Microsoft Defender XDR).

لقطة شاشة تعرض مسار استيراد التحليل الذكي للمخاطر

لمزيد من المعلومات حول حلول TIP المتكاملة مع Microsoft Azure Sentinel، راجع منتجات النظام الأساسي المتكامل للتحليل الذكي للمخاطر. لمزيد من المعلومات، راجع توصيل النظام الأساسي للتحليل الذكي للمخاطر بـ Microsoft Azure Sentinel.

إضافة مؤشرات التهديد إلى Microsoft Azure Sentinel باستخدام التحليل الذكي للمخاطر - موصل بيانات TAXII

معيار الصناعة الأكثر اعتمادًا على نطاق واسع لنقل التحليل الذكي للمخاطر هو مزيج من تنسيق بيانات STIX وبروتوكول TAXII. إذا حصلت مؤسستك على مؤشرات التهديد من الحلول التي تدعم إصدار STIX/TAXII الحالي (2.0 أو 2.1)، فاستخدم موصل بيانات التحليل الذكي للمخاطر - TAXII لإحضار مؤشرات التهديد إلى Microsoft Sentinel. التحليل الذكي للمخاطر - موصل بيانات TAXII يُمكّن عميل TAXII المُضمن في Microsoft Azure Sentinel من استيراد التحليل الذكي للمخاطر من خوادم TAXII 2.x.

مسار الاستيراد TAXII

لاستيراد مؤشرات التهديد بتنسيق STIX إلى Microsoft Azure Sentinel من خادم TAXII:

  1. احصل على جذر واجهة برمجة تطبيقات خادم TAXII ومعرّف المجموعة

  2. تمكين موصل بيانات التحليل الذكي للمخاطر - TAXII في Microsoft Sentinel

لمزيد من المعلومات، راجع توصيل Microsoft Azure Sentinel بموجزات التحليل الذكي للمخاطر STIX/TAXII.

عرض مؤشرات التهديد وإدارتها

عرض المؤشرات وإدارتها في صفحة تحليل ذكي للمخاطر. يمكنك فرز مؤشرات التهديد المستوردة وتصفيتها والبحث فيها دون كتابة استعلام Log Analytics. كما تسمح لك هذه الميزة بإنشاء مؤشرات التهديد مباشرةً ضمن واجهة Microsoft Azure Sentinel، بالإضافة إلى تنفيذ اثنين من أشهر المهام الإدارية للتحليل الذكي للمخاطر: تمييز المؤشرات وإنشاء مؤشرات جديدة تتعلق بالتحقيقات الأمنية.

يعد تمييز مؤشرات التهديد طريقة سهلة لتجميعها لتسهيل العثور عليها. يمكنك عادةً تطبيق علامة على المؤشرات المتعلقة بحدث معين أو التي تمثل مخاطر من عامل مخاطر معروف أو حملة هجوم معروفة. وضع علامة على مؤشرات التهديد بشكل فردي أو مؤشرات متعددة التحديد ووضع علامة عليها جميعا في وقت واحد. فيما يلي مثال على لقطة شاشة لوضع علامات على مؤشرات متعددة بمعرف الحدث. نظرًا إلى أن وضع العلامات هو شكل حر، فإن الممارسة الموصى بها هي إنشاء إصلاحات تسمية قياسية لعلامات مؤشر التهديد. تسمح المؤشرات بتطبيق علامات متعددة.

تطبيق علامات على مؤشرات التهديد

تحقق من صحة المؤشرات وعرض مؤشرات التهديد التي تم استيرادها بنجاح من مساحة عمل تحليلات السجل الممكنة من Microsoft Sentinel. جدول ThreatIntelligenceIndicator ضمن مخطط Microsoft Sentinel هو المكان الذي يتم فيه تخزين جميع مؤشرات تهديد Microsoft Sentinel. هذا الجدول هو أساس استعلامات التحليل الذكي للمخاطر التي تقوم بها ميزات Microsoft Sentinel الأخرى مثل التحليلات والمصنفات.

فيما يلي مثال على عرض استعلام أساسي لمؤشرات التهديد.

تظهر لقطة الشاشة صفحة السجلات مع نموذج استعلام لجدول ThreatIntelligenceIndicator.

يتم استيعاب مؤشرات TI في جدول ThreatIntelligenceIndicator لمساحة عمل تحليلات السجل الخاصة بك للقراءة فقط. في أي وقت يتم تحديث مؤشر، يتم إنشاء إدخال جديد في جدول ThreatIntelligenceIndicator . ومع ذلك، يتم عرض المؤشر الأحدث فقط في صفحة التحليل الذكي للمخاطر. يقوم Microsoft Sentinel بإلغاء تكرار المؤشرات استنادا إلى خصائص IndicatorId و SourceSystem ويختار المؤشر مع أحدث TimeGenerated[UTC]..

يتم إنشاء الخاصية IndicatorId باستخدام معرف مؤشر STIX. عند استيراد المؤشرات أو إنشاؤها من مصادر غير STIX، يتم إنشاء IndicatorId بواسطة مصدر المؤشر ونمطه.

لمزيد من التفاصيل حول عرض مؤشرات التهديد وإدارتها، راجع العمل مع مؤشرات التهديد في Microsoft Azure Sentinel.

عرض إثراء بيانات GeoLocation وWhoIs (معاينة عامة)

تثري Microsoft مؤشرات IP والمجال ببيانات GeoLocation وsys إضافية روبوت Who Is، ما يوفر المزيد من السياق للتحقيقات حيث يتم العثور على مؤشر التسوية المحدد (IOC).

عرض الموقع الجغرافي وبيانات روبوت Who Is في جزء التحليل الذكي للمخاطر لتلك الأنواع من مؤشرات التهديد المستوردة إلى Microsoft Sentinel.

على سبيل المثال، استخدم بيانات GeoLocation للعثور على تفاصيل مثل المؤسسة أو البلد لمؤشر IP، روبوت Who بياناتIs للبحث عن بيانات مثل بيانات إنشاء السجل والتسجيل من مؤشر مجال.

الكشف عن التهديدات باستخدام تحليلات مؤشر التهديد

إن تشغيل قواعد التحليلات للكشف عن التهديدات هو أهم حالة استخدام لمؤشرات التهديد في حلول SIEM مثل Microsoft Azure Sentinel. تقارن هذه القواعد المُستندة إلى المؤشرات الأحداث الأولية من مصادر البيانات بمؤشرات التهديد للكشف عن تهديدات الأمان في مؤسستك. في تحليلات Microsoft Azure Sentinel، يمكنك إنشاء قواعد تحليلات تعمل وفقًا لجدول زمني وتُنشئ تنبيهات أمان. تستند القواعد إلى الاستعلامات، إلى جانب التكوينات التي تحدد عدد مرات تشغيل القاعدة، ونوع نتائج الاستعلام التي يجب أن تنشئ تنبيهات وحوادث أمان، وتشغل استجابة تلقائية اختياريا.

بينما يمكنك دائما إنشاء قواعد تحليلات جديدة من البداية، يوفر Microsoft Sentinel مجموعة من قوالب القواعد المضمنة، التي أنشأها مهندسو أمان Microsoft، للاستفادة من مؤشرات التهديد الخاصة بك. تستند قوالب القواعد المضمنة هذه إلى نوع مؤشرات التهديد (المجال أو البريد الإلكتروني أو تجزئة الملف أو عنوان IP أو عنوان URL) وأحداث مصدر البيانات التي تريد مطابقتها. يسرد كل قالب المصادر المطلوبة اللازمة للقاعدة لتعمل. وهذا يجعل من السهل تحديد ما إذا كانت الأحداث الضرورية مستوردة بالفعل في Microsoft Sentinel.

بشكل افتراضي، عند تشغيل هذه القواعد المضمنة، سيتم إنشاء تنبيه. في Microsoft Azure Sentinel، تُنشئ التنبيهات التي جرى إنشاؤها من قواعد التحليلات أيضًا حوادث أمان يمكن العثور عليها في "الحوادث" ضمن "إدارة التهديدات" في قائمة Microsoft Azure Sentinel. الحوادث هي ما ستُفرزه فرق عمليات الأمان وتتحقق منه لتحديد إجراءات الاستجابة المناسبة. ابحث عن معلومات مفصلة في هذا البرنامج التعليمي: التحقيق في الحوادث باستخدام Microsoft Sentinel.

لمزيد من التفاصيل حول استخدام مؤشرات التهديد في قواعد التحليلات، راجع استخدام التحليل الذكي للمخاطر للكشف عن التهديدات.

توفر Microsoft الوصول إلى التحليل الذكي للمخاطر الخاصة بها من خلال قاعدة تحليل ذكي للمخاطر في Microsoft Defender Analytics. لمزيد من المعلومات حول كيفية الاستفادة من هذه القاعدة التي تنشئ تنبيهات وحوادث عالية الدقة، راجع استخدام تحليلات مطابقة للكشف عن التهديدات

تظهر لقطة الشاشة حدثا عالي الدقة تم إنشاؤه من خلال مطابقة التحليلات مع معلومات سياق إضافية من MDTI.

توفر المصنفات نتائج تحليلات حول التحليل الذكي للمخاطر

توفر المصنفات لوحات معلومات تفاعلية فعالة تمنحك نتائج تحليلات حول جميع جوانب Microsoft Azure Sentinel، ولا يُستثنى التحليل الذكي للمخاطر. استخدم مصنف التحليل الذكي للمخاطر المضمن لتصور المعلومات الرئيسية حول التحليل الذكي للمخاطر، وتخصيص المصنف بسهولة وفقا لاحتياجات عملك. إنشاء لوحات معلومات جديدة تجمع بين العديد من مصادر البيانات المختلفة لتصور بياناتك بطرق فريدة. نظرًا لأن مصنفات Microsoft Azure Sentinel تستند إلى مصنفات Azure Monitor، فثمة وثائق شاملة متوفرة بالفعل والعديد من القوالب. إن أفضل مكان للبدء هو هذه المقالة حول كيفية إنشاء تقارير تفاعلية باستخدام مصنفات Azure Monitor.

هناك أيضا مجتمع غني من مصنفات Azure Monitor على GitHub لتنزيل قوالب إضافية والمساهمة في القوالب الخاصة بك.

لمزيد من التفاصيل حول استخدام مصنف التحليل الذكي للمخاطر وتخصيصه، راجع العمل مع مؤشرات التهديد في Microsoft Azure Sentinel.

الخطوات التالية

تعرفت في هذا المستند على قدرات التحليل الذكي للمخاطر في Microsoft Azure Sentinel، بما في ذلك جزء "التحليل الذكي للمخاطر". للحصول على إرشادات عملية حول استخدام قدرات التحليل الذكي للمخاطر من Microsoft Azure Sentinel، راجع المقالات التالية: