العمل مع قواعد تحليلات الكشف عن الحالات الخارجة عن المألوف في Microsoft Sentinel

• ينطبق على:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

توفر ميزة الحالات الخارجة عن المألوف القابلة للتخصيص في Microsoft Sentinel قوالب خارجة عن المألوف مضمنة لقيمة فورية خارج الصندوق. تم تطوير قوالب الشذوذ هذه لتكون قوية باستخدام الآلاف من مصادر البيانات وملايين الأحداث، ولكن هذه الميزة تمكنك أيضا من تغيير الحدود والمعلمات للحالات الشاذة بسهولة داخل واجهة المستخدم. يتم تمكين قواعد خارجة عن المألوف أو تنشيطها، بشكل افتراضي، لذلك ستنشئ حالات خارجة عن المألوف خارج الصندوق. يمكنك العثور على هذه الحالات الخارج عن المألوف والاستعلام عنها في جدول الحالات الخارجة عن المألوف في قسم السجلات.

هام

يتوفر Microsoft Sentinel الآن بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

عرض قوالب القواعد الخارجة عن المألوف القابلة للتخصيص

يمكنك الآن العثور على القواعد الخارجة عن المألوف المعروضة في شبكة في علامة التبويب الحالات الخارجة عن المألوف في صفحة التحليلات.

1. لمستخدمي Microsoft Sentinel في مدخل Microsoft Azure، حدد Analytics من قائمة التنقل في Microsoft Sentinel.

   لمستخدمي النظام الأساسي لعمليات الأمان الموحدة في مدخل Microsoft Defender، حدد Microsoft Sentinel > Configuration > Analytics من قائمة التنقل في Microsoft Defender.

2. في صفحة التحليلات، حدد علامة التبويب الحالات الخارجة عن المألوف.

3. لتصفية القائمة حسب معيار واحد أو أكثر من المعايير التالية، حدد إضافة عامل تصفية واختر وفقا لذلك.

   • الحالة - سواء كانت القاعدة ممكّنة أو معطّلة.

   • التكتيكات - تكتيكات إطار عمل MITRE ATT&CK التي تغطيها الحالات الشاذة.

   • التقنيات - تقنيات إطار عمل MITRE ATT&CK التي تغطيها الحالات الشاذة.

   • مصادر البيانات - نوع السجلات التي تحتاج إلى استيعابها وتحليلها لتحديد الحالات الخارجة عن المألوف.

4. حدد قاعدة واعرض المعلومات التالية في جزء التفاصيل:

   • Description يوضح كيفية عمل الشذوذ والبيانات التي يتطلبها.

   • التكتيكات والتقنيات هي تكتيكات وتقنيات إطار عمل MITRE ATT&CK التي تغطيها الحالات الشاذة.

   • Parameters هي السمات القابلة للتكوين للشذوذ.

   • Threshold هو قيمة قابلة للتكوين تشير إلى الدرجة التي يجب أن يكون فيها الحدث غير عادي قبل إنشاء شذوذ.

   • Rule frequency هو الوقت بين مهام معالجة السجل التي تجد الحالات الشاذة.

   • تخبرك حالة القاعدة ما إذا كانت القاعدة تعمل في وضع الإنتاج أو إصدار للتقييم (التقسيم المرحلي) عند تمكينها.

   • Anomaly version يعرض إصدار القالب المستخدم من قبل قاعدة. إذا كنت تريد تغيير الإصدار المستخدم بواسطة قاعدة نشطة بالفعل، يجب إعادة إنشاء القاعدة.

لا يمكن تحرير القواعد التي تأتي مع Microsoft Sentinel خارج الصندوق أو حذفها. لتخصيص قاعدة، يتعين عليك أولاً إنشاء نسخة مكررة من القاعدة، ثم تخصيص التكرار. راجع التعليمات الكاملة.

إشعار

لماذا يوجد زر تحرير إذا تعذر تحرير القاعدة؟

بينما لا يمكنك تغيير تكوين قاعدة حالات خارجة عن المألوف خارج الصندوق، يمكنك القيام بأمرين:

1. يمكنك تبديل حالة القاعدة للقاعدة بين الإنتاج وإصدار للتقييم.

2. يمكنك إرسال ملاحظات إلى Microsoft حول تجربتك مع الحالات الخارجة عن المألوف القابلة للتخصيص.

تقييم جودة الحالات الشاذة

يمكنك معرفة مدى أداء قاعدة الشذوذ من خلال مراجعة عينة من الحالات الخارجة عن المألوف التي تم إنشاؤها بواسطة قاعدة على مدى آخر 24 ساعة.

1. لمستخدمي Microsoft Sentinel في مدخل Microsoft Azure، حدد Analytics من قائمة التنقل في Microsoft Sentinel.

   لمستخدمي النظام الأساسي لعمليات الأمان الموحدة في مدخل Microsoft Defender، حدد Microsoft Sentinel > Configuration > Analytics من قائمة التنقل في Microsoft Defender.

2. في صفحة التحليلات، حدد علامة التبويب الحالات الخارجة عن المألوف.

3. حدد القاعدة التي تريد تقييمها، وانسخ المعرّف الخاصة بها من أعلى جزء التفاصيل إلى اليمين.

4. من قائمة التنقل Microsoft Sentinel، حدد السجلات.

5. إذا انبثق معرض الاستعلامات فوق الجزء العلوي، فقم بإغلاقه.

6. حدد علامة التبويب الجداول في الجزء الأيسر من صفحة السجلات.

7. عيّن تصفية النطاق الزمني إلى آخر 24 ساعة.

8. انسخ Kusto query أدناه والصقه في query window (حيث يقول "Type your query here or..."):

   Anomalies 
   | where RuleId contains "<RuleId>"
   

   الصق معرّف القاعدة الذي نسخته أعلاه بدلاً من <RuleId> بين علامات الاقتباس.

9. حدد تشغيل.

عندما يكون لديك بعض النتائج، يمكنك البدء في تقييم جودة الحالات الشاذة. إذا لم يكن لديك نتائج، فحاول زيادة النطاق الزمني.

قم بتوسيع النتائج لكل حالة خارجة عن المألوف ثم قم بتوسيع حقل AnomalyReasons. هذا سيخبرك عن سبب إطلاق الشذوذ.

قد تعتمد "reasonableness" أو "usefulness" الشذوذ على ظروف بيئتك، ولكن السبب الشائع لقاعدة الشذوذ لإنتاج عدد كبير جدا من الحالات الشاذة هو أن الحد منخفض جدا.

ضبط قواعد الشذوذ

في حين أن قواعد الحالات الخارجة عن المألوف مصممة لتحقيق أقصى قدر من الفعالية خارج الصندوق، فإن كل حالة فريدة من نوعها، وأحيانًا تحتاج قواعد الحالات الخارجة عن المألوف إلى ضبطها.

نظرًا لأنه لا يمكنك تحرير قاعدة نشطة أصلية، يتعين عليك أولاً تكرار قاعدة خارجة عن المألوف نشطة، ثم تخصيص النسخة.

ستستمر قاعدة الشذوذ الأصلية في العمل حتى تقوم إما بتعطيلها أو حذفها.

هذا حسب التصميم، لمنحك الفرصة لمقارنة النتائج التي تم إنشاؤها بواسطة التكوين الأصلي والجديد. يتم تعطيل القواعد المكررة بشكل افتراضي. يمكنك إنشاء نسخة واحدة مخصصة فقط من أي قاعدة شاذة معينة. ستفشل محاولات إنشاء نسخة ثانية.

1. لتغيير تكوين قاعدة الحالات الخارجة عن المألوف، حدد القاعدة من القائمة الموجودة في علامة تبويب الحالات الخارجة عن المألوف.

2. انقر بزر الماوس الأيمن فوق أي مكان في صف القاعدة، أو انقر بزر الماوس الأيسر فوق علامة الحذف (...) في نهاية الصف، ثم حدد تكرار من قائمة السياق.

   ستظهر قاعدة جديدة في القائمة، مع الخصائص التالية:

   • سيكون اسم القاعدة هو نفسه الاسم الأصلي، مع إلحاق " - مخصص" بالنهاية.
   • ستكون حالة القاعدة معطّلة.
   • ستظهر شارة FLGT في بداية الصف للإشارة إلى أن القاعدة في وضع إصدار للتقييم.

3. لتخصيص هذه القاعدة، حدد القاعدة وحدد تحرير في جزء التفاصيل، أو من قائمة سياق القاعدة.

4. يتم فتح القاعدة في معالج قاعدة التحليلات. هنا يمكنك تغيير معلمات القاعدة وعتبتها. تختلف المعلمات التي يمكن تغييرها مع كل نوع من أنواع الحالات الشاذة والخوارزمية.

   يمكنك معاينة نتائج التغييرات في جزء معاينة النتائج. حدد معرّف الحالات الخارجة عن المألوف في معاينة النتائج لمعرفة سبب تعريف نموذج التعلم الآلي لهذه الحالة الخارجة عن المألوف.

5. تمكين القاعدة المخصصة لإنشاء نتائج. قد تتطلب بعض التغييرات الخاصة بك تشغيل القاعدة مرة أخرى، لذلك يجب الانتظار حتى تنتهي والعودة للتحقق من النتائج على صفحة السجلات. يتم تشغيل قاعدة الحالات الخارجة عن المألوف المخصصة في وضع إصدار للتقييم (اختبار) بشكل افتراضي. يستمر تشغيل القاعدة الأصلية في وضع الإنتاج بشكل افتراضي.

6. لمقارنة النتائج، عُد إلى جدول الحالات الخارجة عن المألوف في السجلات من أجل تقييم القاعدة الجديدة كما كان من قبل، استخدم الاستعلام التالي فقط بدلاً من ذلك للبحث عن الحالات الخارجة عن المألوف التي تم إنشاؤها بواسطة القاعدة الأصلية بالإضافة إلى القاعدة المكررة.

   Anomalies 
   | where AnomalyTemplateId contains "<RuleId>"
   

   الصق معرّف القاعدة الذي نسخته من القاعدة الأصلية بدلاً من <RuleId> بين علامات الاقتباس. تكون قيمة AnomalyTemplateId في كل من القواعد الأصلية والمكررة مطابقة لقيمة RuleId في القاعدة الأصلية.

إذا كنت راضيًا عن نتائج القاعدة المخصصة، يمكنك العودة إلى علامة التبويب الحالات الخارجة عن المألوف، وتحديد القاعدة المخصصة، وتحديد الزر تحرير، وفي علامة التبويب عام قم بتبديلها من إصدار للتقييم إلى الإنتاج. ستتغير القاعدة الأصلية تلقائيًا إلى إصدار للتقييم نظرًا لأنه لا يمكنك الحصول على إصدارين من نفس القاعدة في الإنتاج في نفس الوقت.

الخطوات التالية

في هذا المستند، تعلمت كيفية العمل مع قواعد تحليلات الكشف عن الحالات الخارجة عن المألوف القابلة للتخصيص في Microsoft Sentinel.

• احصل على بعض المعلومات الأساسية حول الحالات الخارجة عن المألوف القابلة للتخصيص.
• اعرض أنواع الحالات الخارجة عن المألوف المتوفرة في Microsoft Sentinel.
• استكشف أنواع قواعد التحليلات الأخرى.