البرنامج التعليمي: الكشف عن نشاط المستخدم المشبوه باستخدام التحليلات السلوكية (UEBA)

يتضمن Microsoft Defender for Cloud Apps عمليات الكشف للمستخدمين المخترقين والتهديدات الداخلية واختراق البيانات ونشاط برامج الفدية الضارة. تستخدم الخدمة الكشف عن الحالات الشاذة وتحليلات سلوك المستخدم والكيان (UEBA) واكتشافات النشاط المستندة إلى القواعد لتحليل نشاط المستخدم عبر التطبيقات المتصلة.

يمكن أن تؤدي التغييرات غير المصرح بها أو غير المتوقعة في بيئة سحابية إلى مخاطر أمنية وتشغيلية. على سبيل المثال، يمكن اختراق التغييرات التي تطرأ على موارد الشركة الرئيسية مثل الخوادم التي تقوم بتشغيل موقع الويب العام أو الخدمة التي تقدمها للعملاء.

Defender for Cloud Apps التقاط البيانات وتحليلها من عدة مصادر لتحديد أنشطة التطبيق والمستخدم في مؤسستك. يمنح هذا التحليل محللي الأمان رؤية لاستخدام السحابة. ترتبط البيانات التي تم جمعها وتوحدها وتثريها بالتحليل الذكي للمخاطر وتفاصيل الموقع، لتوفير رؤية دقيقة ومتسقة للأنشطة المشبوهة.

قبل ضبط عمليات الكشف، قم بتكوين مصادر البيانات التالية:

مصدر	الوصف
سجل النشاط	الأنشطة من تطبيقاتك المتصلة بواجهة برمجة التطبيقات.
سجل الاكتشاف	الأنشطة المستخرجة من جدار الحماية وسجل نسبة استخدام الشبكة الوكيل الذي تقوم بإعادة توجيهه إلى Defender for Cloud Apps. يتم تحليل السجلات مقابل كتالوج تطبيقات السحابة وتصنيفها وتسجيلها استنادا إلى أكثر من 90 عامل خطر.
سجل الوكيل	الأنشطة من تطبيقات التحكم في تطبيق الوصول المشروط.

قم بضبط النهج التالية عن طريق تعيين عوامل التصفية والحدود الديناميكية (UEBA) لتدريب نماذج الكشف الخاصة بها. يمكنك أيضا تعيين المنع لتقليل الاكتشافات الإيجابية الخاطئة الشائعة:

• الكشف عن الحالات الشاذة
• الكشف عن الحالات الشاذة لاكتشاف السحابة
• الكشف عن النشاط المستند إلى القواعد

تعرف على كيفية ضبط اكتشافات نشاط المستخدم لتحديد الاختراقات الحقيقية وتقليل التنبيهات غير الضرورية الناتجة عن كميات كبيرة من الاكتشافات الإيجابية الخاطئة:

• تكوين نطاقات عناوين IP
• ضبط نهج الكشف عن الحالات الشاذة
• ضبط نهج الكشف عن الحالات الشاذة لاكتشاف السحابة
• ضبط نهج الكشف المستندة إلى القواعد
• تكوين التنبيهات
• التحقيق والمعالجة

المرحلة 1: تكوين نطاقات عناوين IP

• قم بإعداد نطاقات IP لضبط أي نوع من نهج الكشف عن نشاط المستخدم المشبوهة.

يساعد إعداد عناوين IP المعروفة خوارزميات التعلم الآلي على تحديد المواقع المعروفة واعتبارها جزءا من نماذج التعلم الآلي. على سبيل المثال، تساعد إضافة نطاق عنوان IP الخاص ب VPN النموذج على تصنيف نطاق IP هذا بشكل صحيح واستبعاده تلقائيا من اكتشافات السفر المستحيلة لأن موقع VPN لا يمثل الموقع الحقيقي لهذا المستخدم.

ملاحظة

يستخدم Defender for Cloud Apps نطاقات IP عبر الخدمة، وليس فقط للكشف. يتم استخدام نطاقات IP في سجل النشاط والوصول المشروط والمزيد. على سبيل المثال، يتيح لك تحديد عناوين IP المكتبية الفعلية تخصيص الطريقة التي تقوم بها بعرض السجلات والتنبيهات والتحقيق فيها.

مراجعة تنبيهات الكشف عن الحالات الشاذة

يتضمن Defender for Cloud Apps مجموعة من تنبيهات الكشف عن الحالات الشاذة لتحديد سيناريوهات الأمان المختلفة. يبدأون في تعريف نشاط المستخدم وإنشاء تنبيهات بمجرد توصيل موصلات التطبيقات ذات الصلة.

ابدأ بالتعرف على نهج الكشف المختلفة. حدد أولويات أهم السيناريوهات التي تعتقد أنها أكثر ملاءمة لمؤسستك، وضبط النهج وفقا لذلك.

المرحلة 2: ضبط نهج الكشف عن الحالات الشاذة

يتضمن Defender for Cloud Apps العديد من نهج الكشف عن الحالات الشاذة المضمنة التي تم تكوينها مسبقا لحالات استخدام الأمان الشائعة. تشمل الاكتشافات الشائعة ما يلي:

الكشف عن	الوصف
السفر المستحيل	الأنشطة من نفس المستخدم في مواقع مختلفة خلال فترة أقصر من وقت السفر المتوقع بين الموقعين.
نشاط من بلد غير متكرر	نشاط من موقع لم تتم زيارته مؤخرا أو لم تتم زيارته من قبل المستخدم.
الكشف عن البرامج الضارة	يفحص الملفات في تطبيقات السحابة الخاصة بك ويشغل الملفات المشبوهة من خلال محرك التحليل الذكي للمخاطر من Microsoft للتحقق مما إذا كانت مرتبطة ببرامج ضارة معروفة.
نشاط برامج الفدية الضارة	تحميلات الملفات إلى السحابة التي قد تكون مصابة ببرامج الفدية الضارة.
نشاط من عناوين IP المشبوهة	نشاط من عنوان IP حدده Microsoft Threat Intelligence على أنه محفوف بالمخاطر.
إعادة توجيه علبة الوارد المشبوهة	الكشف عن قواعد إعادة توجيه علبة الوارد المشبوهة التي تم تعيينها على علبة وارد المستخدم.
أنشطة تنزيل ملفات متعددة غير عادية	يكشف عن أنشطة تنزيل ملفات متعددة في جلسة واحدة فيما يتعلق بخط الأساس الذي تم تعلمه، مما قد يشير إلى محاولة خرق.
الأنشطة الإدارية غير العادية	يكشف عن أنشطة إدارية متعددة في جلسة واحدة فيما يتعلق بخط الأساس الذي تم تعلمه، مما قد يشير إلى محاولة خرق.

ملاحظة

تركز بعض عمليات الكشف عن الحالات الشاذة على الكشف عن سيناريوهات الأمان المسببة للمشاكل، بينما يساعد البعض الآخر في تحديد سلوك المستخدم الشاذ الذي قد لا يشير بالضرورة إلى اختراق والتحقيق فيه. لمثل هذه الاكتشافات، يمكنك استخدام السلوكيات المتوفرة في Microsoft Defender XDR تجربة التتبع المتقدمة.

1. نهج النطاق لمستخدمين أو مجموعات محددة

   يمكن أن يساعد تحديد نطاق النهج لمستخدمين محددين في تقليل الضوضاء الناتجة عن التنبيهات غير ذات الصلة بمؤسستك. يمكنك تكوين كل نهج لتضمين مستخدمين ومجموعات معينة أو استبعادها، كما هو الحال في الأمثلة التالية:

   • محاكاة الهجوم
     تستخدم العديد من المؤسسات مستخدما أو مجموعة لمحاكاة الهجمات باستمرار. يؤدي تلقي التنبيهات باستمرار من أنشطة هؤلاء المستخدمين إلى ضوضاء غير ضرورية. قم بإعداد النهج لاستبعاد هؤلاء المستخدمين أو المجموعات. يساعد هذا الإجراء نماذج التعلم الآلي على تحديد هؤلاء المستخدمين وضبط حدودهم الديناميكية.
   • عمليات الكشف المستهدفة
     قد ترغب في التحقيق في مجموعة معينة من مستخدمي VIP مثل أعضاء مسؤول أو مجموعة مسؤول الخبرة الرئيسي (CXO). في هذه الحالة، قم بإنشاء نهج للأنشطة التي تريد اكتشافها واختر تضمين مجموعة المستخدمين أو المجموعات التي تهتم بها فقط.

2. ضبط اكتشافات تسجيل الدخول الشاذة

   قد تشير التنبيهات الناتجة عن أنشطة تسجيل الدخول الفاشلة إلى أن شخصا ما يحاول استهداف حساب مستخدم واحد أو أكثر.

   بيانات الاعتماد المخترقة هي سبب شائع للاستيلاء على الحساب والنشاط غير المصرح به. تساعدك تنبيهات السفر المستحيلوالنشاط من عناوين IP المشبوهة وتنبيهات اكتشافات البلد أو المنطقة غير المتكررة على اكتشاف الأنشطة التي تشير إلى احتمال تعرض الحساب للخطر.

3. ضبط حساسية السفر المستحيلتكوين شريط تمرير الحساسية الذي يحدد مستوى المنع المطبق على السلوك الشاذ قبل تشغيل تنبيه السفر المستحيل. وينبغي للمؤسسات المهتمة بالدقة العالية أن تنظر في زيادة مستوى الحساسية. إذا كان لدى مؤسستك العديد من المستخدمين الذين يسافرون، ففكر في خفض مستوى الحساسية لمنع الأنشطة من المواقع الشائعة للمستخدم التي تم تعلمها من الأنشطة السابقة. يمكنك الاختيار من بين مستويات الحساسية التالية:

   • منخفض: منع النظام والمستأجر والمستخدم
   • متوسط: منع النظام والمستخدم
   • مرتفع: عمليات منع النظام فقط

   المكان:

   نوع المنع	الوصف
   نظام	الاكتشافات المضمنة التي يتم منعها دائما.
   مستأجر	الأنشطة الشائعة استنادا إلى النشاط السابق في المستأجر. على سبيل المثال، منع الأنشطة من موفر ISP الذي تم تنبيهه مسبقا في مؤسستك.
   User	الأنشطة الشائعة استنادا إلى النشاط السابق للمستخدم المحدد. على سبيل المثال، منع الأنشطة من موقع يستخدمه المستخدم بشكل شائع.

المرحلة 3: ضبط نهج الكشف عن الحالات الشاذة لاكتشاف السحابة

يمكنك ضبط العديد من نهج الكشف عن الحالات الشاذة لاكتشاف السحابة المضمنة أو إنشاء نهج خاصة بك لتحديد سيناريوهات أخرى تستحق التحقيق. تستخدم هذه النهج سجلات اكتشاف السحابة، مع قدرات الضبط التي تركز على سلوك التطبيق الشاذ واختراق البيانات.

ضبط مراقبة الاستخدام

قم بتعيين عوامل تصفية الاستخدام للتحكم في النطاق وفترة النشاط للكشف عن السلوك الشاذ. على سبيل المثال، تلقي تنبيهات للأنشطة الشاذة من الموظفين على المستوى التنفيذي.

ضبط حساسية التنبيه

لتقليل التنبيهات غير الضرورية، قم بإعداد حساسية التنبيهات. استخدم شريط تمرير الحساسية للتحكم في عدد التنبيهات عالية المخاطر المرسلة لكل 1000 مستخدم في الأسبوع. تتطلب الحساسية الأعلى تباينا أقل ليتم اعتباره حالة شاذة وإنشاء المزيد من التنبيهات. بشكل عام، قم بتعيين حساسية منخفضة للمستخدمين الذين ليس لديهم حق الوصول إلى البيانات السرية.

المرحلة 4: ضبط نهج الكشف (النشاط) المستندة إلى القواعد

تكمل نهج الكشف المستندة إلى القواعد نهج الكشف عن الحالات الشاذة بمتطلبات خاصة بالمؤسسة. إنشاء نهج تستند إلى القواعد باستخدام أحد قوالب نهج النشاط.

إذا لم يكن لدى مؤسستك أي وجود في بلد أو منطقة معينة، فقم بإنشاء نهج يكتشف الأنشطة الشاذة من هذا الموقع. بالنسبة للمؤسسات ذات الفروع الكبيرة في ذلك البلد أو المنطقة، فإن هذه الأنشطة عادية ولا معنى للكشف عن مثل هذه الأنشطة.

1. انتقل إلىقوالب نهجالنهج> وقم بتعيين عامل تصفية النوع إلى نهج النشاط. قم بإعداد عوامل تصفية النشاط للكشف عن السلوكيات غير العادية لبيئتك.
2. ضبط حجم النشاط
   اختر حجم النشاط المطلوب قبل أن يثير الكشف تنبيها. إذا لم يكن لمؤسستك وجود في بلد أو منطقة، حتى نشاط واحد مهم ويستدعي تنبيها. قد يكون فشل تسجيل الدخول الأحادي خطأ بشريا ومثيرا للاهتمام فقط إذا كان هناك العديد من حالات الفشل في فترة قصيرة.
3. ضبط عوامل تصفية النشاط
   قم بتعيين عوامل التصفية التي تحتاجها للكشف عن نوع النشاط الذي تريد التنبيه عليه. على سبيل المثال، للكشف عن النشاط من بلد أو منطقة، استخدم معلمة الموقع .
4. ضبط التنبيهات
   لتقليل التنبيهات غير الضرورية، قم بتعيين حد التنبيه اليومي.

المرحلة 5: تكوين التنبيهات

ملاحظة

قامت Microsoft بإيقاف ميزة التنبيهات/الرسائل النصية (الرسائل النصية) في 15 ديسمبر 2022. إذا كنت تريد تلقي تنبيهات نصية، فاستخدم Microsoft Power Automate لأتمتة التنبيه المخصصة. لمزيد من المعلومات، راجع التكامل مع Microsoft Power Automate لأتمتة التنبيه المخصصة.

للحصول على تنبيهات فورية في أي وقت من اليوم، اختر تلقيها عبر البريد الإلكتروني.

قد ترغب أيضا في القدرة على تحليل التنبيهات في سياق التنبيهات الأخرى التي يتم تشغيلها بواسطة منتجات أخرى في مؤسستك. يمنحك هذا التحليل نظرة شاملة على التهديد المحتمل. على سبيل المثال، قد ترغب في الربط بين الأحداث المستندة إلى السحابة والأحداث المحلية لمعرفة ما إذا كان هناك أي دليل تخفيف آخر يؤكد الهجوم.

يمكنك استخدام Microsoft Power Automate لتشغيل أتمتة التنبيه المخصصة. عند تشغيل تنبيه، يمكنك:

• إعداد دليل المبادئ
• إنشاء مشكلة في ServiceNow
• إرسال بريد إلكتروني للموافقة لتشغيل إجراء إدارة مخصص عند تشغيل تنبيه

استخدم الإرشادات التالية لتكوين التنبيهات:

1. البريد الالكتروني
   اختر هذا الخيار لتلقي التنبيهات عبر البريد الإلكتروني.
2. Siem
   توجد العديد من خيارات تكامل SIEM، بما في ذلك Microsoft SentinelوMicrosoft Graph واجهة برمجة تطبيقات الأمانوSIEMs العامة الأخرى. اختر التكامل الذي يلبي متطلباتك على أفضل نحو.
3. أتمتة Power Automate
   قم بإنشاء أدلة مبادئ التشغيل التلقائي التي تحتاجها وتعيينها كتنبيه للنهج إلى إجراء Power Automate.

المرحلة السادسة: التحقيق والمعالجة

لتحسين الحماية، قم بإعداد إجراءات المعالجة التلقائية لتقليل المخاطر التي تتعرض لها مؤسستك. تتيح لك النهج تطبيق إجراءات الحوكمة مع التنبيهات بحيث يتم تقليل المخاطر على مؤسستك حتى قبل البدء في التحقيق. يحدد نوع النهج الإجراءات المتوفرة، بما في ذلك إجراءات مثل إيقاف مستخدم مؤقتا أو حظر الوصول إلى المورد المطلوب.