إدارة مؤشرات المخاطر في Microsoft Azure Sentinel

• ينطبق على:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

دمج تحليل ذكي للمخاطر (TI) في Microsoft Sentinel من خلال الأنشطة التالية:

• استيراد تحليل ذكي للمخاطر إلى Microsoft Azure Sentinel من خلال تمكين موصلات البيانات إلى موجزات TI وأنظمتها الأساسية.

• عرض وإدارة تحليل ذكي للمخاطر المستورد في السجلات وصفحة Microsoft Sentinel Threat Intelligence.

• اكتشاف التهديدات وإنشاء تنبيهات وحوادث الأمان باستخدام قوالب قواعد التحليلات المضمنة بناءً على التحليل الذكي للمخاطر المُستورَد.

• عرض المعلومات الرئيسية حول التحليل الذكي للمخاطر المُستورَد في Microsoft Azure Sentinel باستخدام مصنف تحليل ذكي للمخاطر.

هام

يتوفر Microsoft Sentinel الآن بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

إدارة مؤشرات المخاطر في Microsoft Azure Sentinel

ابحث عن المؤشرات واعرضها في صفحة تحليل ذكي للمخاطر

يمكنك أيضًا عرض المؤشرات وإدارتها في جزء التحليل الذكي للمخاطر الجديد، الذي يمكن الوصول إليه من قائمة Microsoft Sentinel الرئيسة. استخدم صفحة التحليل الذكي للمخاطر لفرز مؤشرات المخاطر المستوردة وتصفيتها والبحث فيها دون كتابة استعلام Log Analytics.

لعرض مؤشرات التحليل الذكي للمخاطر في صفحة التحليل الذكي للمخاطر:

1. بالنسبة إلى Microsoft Sentinel في مدخل Microsoft Azure، ضمن Threat management، حدد Threat intelligence.
   بالنسبة إلى Microsoft Sentinel في مدخل Defender، حدد Microsoft Sentinel>Threat management>Threat intelligence.

2. ومن الشبكة، حدد المؤشر الذي تريد عرض مزيد من التفاصيل له. ثم تظهر تفاصيل المؤشر على اليمين، وتعرض معلومات مثل مستويات الثقة والعلامات وأنواع المخاطر والمزيد.

3. يعرض Microsoft Sentinel الإصدار الأحدث فقط من المؤشرات في طريقة العرض هذه. لمزيد من المعلومات حول كيفية تحديث المؤشرات، راجع فهم التحليل الذكي للمخاطر.

4. يتم إثراء مؤشرات IP واسم المجال ببيانات GeoLocation و WhoIs إضافية، ما يوفر المزيد من السياق للتحقيقات حيث يتم العثور على المؤشر المحدد.

على سبيل المثال:

هام

الموقع الجغرافي وإثراء WhoIs قيد المعاينة حاليًا. تتضمن الشروط التكميلية لمعاينة Azure شروطا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في التوفر العام.

البحث عن المؤشرات الخاصة بك في السجلات وعرضها

يصف هذا الإجراء كيفية عرض مؤشرات المخاطر المستوردة في منطقة سجلات Microsoft Sentinel، جنبًا إلى جنب مع بيانات حدث Microsoft Sentinel الأخرى، بغض النظر عن موجز المصدر أو الموصل المستخدم.

يتم سرد مؤشرات التهديد المستوردة في جدول Microsoft Sentinel > ThreatIntelligenceIndicator ، وهو أساس تشغيل استعلامات التحليل الذكي للمخاطر في مكان آخر في Microsoft Sentinel، كما هو الحال في التحليلات أو المصنفات.

لعرض مؤشرات التحليل الذكي للمخاطر في السجلات:

1. بالنسبة إلى Microsoft Sentinel في مدخل Microsoft Azure، ضمن General، حدد Logs.
   بالنسبة إلى Microsoft Sentinel في مدخل Defender، حدد البحث والاستجابة>التتبع المتقدم للتتبع>.

2. ويقع جدول ThreatIntelligenceIndicator ضمن مجموعة Microsoft Sentinel.

3. وحدد أيقونة معاينة البيانات (العين) بجوار اسم الجدول وحدد الزر عرض في محرر الاستعلام لتشغيل استعلام يعرض السجلات من هذا الجدول.

   يجب أن تبدو نتائجك مشابهة لنموذج مؤشر التهديد الموضح في لقطة الشاشة هذه:

   

إنشاء مؤشرات ووضع علامات عليها

تتيح لك صفحة تحليل ذكي للمخاطر أيضًا إنشاء مؤشرات المخاطر مباشرة داخل واجهة Microsoft Sentinel، وتنفيذ اثنتين من أكثر المهام الإدارية شيوعًا لتحليل ذكي للمخاطر: وضع علامات على المؤشرات وإنشاء مؤشرات جديدة تتعلق بالتحقيقات الأمنية.

إنشاء مؤشر جديد

1. بالنسبة إلى Microsoft Sentinel في مدخل Microsoft Azure، ضمن Threat management، حدد Threat intelligence.
   بالنسبة إلى Microsoft Sentinel في مدخل Defender، حدد Microsoft Sentinel>Threat management>Threat intelligence.

2. حدد الزر إضافة جديد من القائمة العلوية للصفحة.

   

3. اختر نوع المؤشر، ثم أكمل النموذج في جزء مؤشر جديد. ويتم وضع علامة نجمية حمراء على الحقول المطلوبة (*).

4. حدد تطبيق. تتم إضافة المؤشر إلى قائمة المؤشرات، ويتم إرساله أيضًا إلى جدول ThreatIntelligenceIndicator في السجلات.

وضع علامة على مؤشرات التهديد وتحريرها

يعد تمييز مؤشرات التهديد طريقة سهلة لتجميعها لتسهيل العثور عليها. عادة ما يمكنك تطبيق علامات على مؤشر مرتبط بحادث معين، أو يمثل تهديدات من جهة فاعلة معينة أو حملة هجوم معروفة. بمجرد البحث عن المؤشرات التي تريد العمل معها، ضع علامة عليها بشكل فردي أو مؤشرات متعددة التحديد وقم بوضع علامة عليها جميعا مرة واحدة باستخدام علامة واحدة أو أكثر. نظرًا إلى أن وضع العلامات هو شكل حر، فإن الممارسة الموصى بها هي إنشاء إصلاحات تسمية قياسية لعلامات مؤشر التهديد.

يتيح لك Microsoft Sentinel أيضًا تحرير المؤشرات، سواء تم إنشاؤها مباشرة في Microsoft Sentinel، أو تأتي من مصادر شريكة، مثل خوادم TIP وTAXII. وبالنسبة للمؤشرات التي تم إنشاؤها في Microsoft Sentinel، جميع الحقول قابلة للتحرير. بالنسبة للمؤشرات الواردة من مصادر الشركاء، تكون الحقول المحددة فحسب قابلة للتحرير، بما في ذلك العلامات وتاريخ انتهاء الصلاحية والدقة والإبطال. وفي كلتا الحالتين، ضع في اعتبارك أنه يتم عرض أحدث إصدار فقط من المؤشر في طريقة عرض صفحة تحليل ذكي للمخاطر. لمزيد من المعلومات حول كيفية تحديث المؤشرات، راجع فهم التحليل الذكي للمخاطر.

توفر المصنفات نتائج تحليلات حول التحليل الذكي للمخاطر

استخدم مصنف Microsoft Sentinel مصمما لهذا الغرض لتصور المعلومات الرئيسية حول التحليل الذكي للمخاطر في Microsoft Sentinel، وتخصيص المصنف وفقا لاحتياجات عملك.

فيما يلي كيفية العثور على مصنف تحليل ذكي للمخاطر المتوفر في Microsoft Sentinel، ومثال على كيفية إجراء تعديلات على المصنف لتخصيصه.

1. lk مدخل Microsoft Azure وانتقل إلى خدمة Microsoft Sentinel.

2. اختر مساحة العمل التي قمت باستيراد مؤشرات المخاطر إليها باستخدام أي موصل بيانات تحليل ذكي للمخاطر.

3. حدد "Workbooks" من قائمة "Threat management" من قائمة Microsoft Sentinel.

4. ابحث عن المصنف بعنوان التحليل الذكي للمخاطر وتحقق من أن لديك بيانات في جدول ThreatIntelligenceIndicator كما هو موضح أدناه.

   

5. حدد الزر حفظ واختر موقع Azure لتخزين المصنف. هذه الخطوة مطلوبة إذا كنت تنوي تعديل المصنف بأي طريقة وحفظ التغييرات.

6. الآن حدد الزر عرض المصنف المحفوظ لفتح المصنف للعرض والتحرير.

7. يجب أن تشاهد الآن المخططات الافتراضية التي يوفرها النموذج. لتعديل مخطط، حدد الزر تحرير في أعلى الصفحة لإدخال وضع التحرير للمصنف.

8. أضف مخططًا جديدًا لمؤشرات المخاطر حسب نوع المخاطر. قم بالتمرير إلى أسفل الصفحة، وحدد Add Query.

9. ثم أضف النص التالي إلى مربع النص Log Query لمساحة عمل Log Analytics:

   ThreatIntelligenceIndicator
   | summarize count() by ThreatType
   

10. في القائمة المنسدلة Visualization، حدد Bar chart.

11. حدد الزر تمّ التحرير. لقد أنشأت مخططًا جديدًا للمصنف.

    

توفر المصنفات لوحات معلومات تفاعلية قوية تمنحك رؤى بشأن جميع جوانب Microsoft Azure Sentinel. هناك الكثير الذي يمكنك القيام به مع المصنفات، وعلى الرغم من أن القوالب المتوفرة هي نقطة بداية رائعة، فمن المحتمل أن ترغب في التعمق في هذه القوالب وتخصيصها، أو إنشاء لوحات معلومات جديدة تجمع بين العديد من مصادر البيانات المختلفة لتصور بياناتك بطرق فريدة. نظرًا لأن مصنفات Microsoft Azure Sentinel تستند إلى مصنفات Azure Monitor، فثمة وثائق شاملة متوفرة بالفعل والعديد من القوالب. إن أفضل مكان للبدء هو هذه المقالة حول كيفية إنشاء تقارير تفاعلية باستخدام مصنفات Azure Monitor.

هناك أيضا مجتمع غني من مصنفات Azure Monitor على GitHub لتنزيل المزيد من القوالب والمساهمة في القوالب الخاصة بك.

المحتوى ذو الصلة

في هذه المقالة، تعلمت جميع الطرق للعمل مع مؤشرات التحليل الذكي للمخاطر في جميع أنحاء Microsoft Sentinel. ولمزيد من المعلومات حول التحليل الذكي للمخاطر في Microsoft Sentinel، راجع المقالات التالية:

• فهم التحليل الذكي للمخاطر في Microsoft Sentinel.
• توصيل Microsoft Azure Sentinel بموجزات التحليل الذكي للمخاطر STIX/TAXII.
• تعرف على TIPs وموجزات TAXII والإثراء التي يمكن دمجها بسهولة مع Microsoft Sentinel.