فهم مفاهيم المعلومات الاستخبارية للتهديدات
ينطبق على:
ملاحظة
جرب واجهات برمجة التطبيقات الجديدة باستخدام واجهة برمجة تطبيقات أمان MS Graph. تعرف على المزيد في: استخدام واجهة برمجة تطبيقات أمان Microsoft Graph - Microsoft Graph | Microsoft Learn.
هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.
تتضمن العديد من الأحداث الضارة المعقدة والسمات والمعلومات السياقية هجمات الأمان عبر الإنترنت المتقدمة. يمكن أن يكون تحديد وتحديد أي من هذه الأنشطة مؤهلا على أنه مريب مهمة صعبة. إن معرفتك بالسمات المعروفة والأنشطة غير الطبيعية الخاصة بمجالك أمر أساسي في معرفة متى يتم وصف السلوك الذي تمت ملاحظته بأنه مريب.
باستخدام Microsoft Defender XDR، يمكنك إنشاء تنبيهات تهديد مخصصة يمكن أن تساعدك على تعقب أنشطة الهجوم المحتملة في مؤسستك. يمكنك وضع علامة على الأحداث المشبوهة لتجميع القرائن معا وربما إيقاف سلسلة الهجوم. ستظهر تنبيهات التهديد المخصصة هذه فقط في مؤسستك وستضع علامة على الأحداث التي قمت بتعيينها لتعقبها.
قبل إنشاء تنبيهات التهديد المخصصة، من المهم معرفة المفاهيم وراء تعريفات التنبيه ومؤشرات التسوية (IOCs) والعلاقة بينها.
تعريفات التنبيه هي سمات سياقية يمكن استخدامها بشكل جماعي لتحديد الأدلة المبكرة حول هجوم محتمل للأمن السيبراني. عادة ما تكون هذه المؤشرات مزيجا من الأنشطة والخصائص والإجراءات التي يتخذها المهاجم لتحقيق هدف الهجوم بنجاح. تعد مراقبة هذه المجموعات من السمات أمرا بالغ الأهمية في الحصول على وجهة نظر ضد الهجمات وربما التدخل في سلسلة الأحداث قبل الوصول إلى هدف المهاجم.
IOCs هي أحداث ضارة معروفة بشكل فردي تشير إلى أنه تم بالفعل اختراق شبكة أو جهاز. على عكس تعريفات التنبيه، تعتبر هذه المؤشرات دليلا على حدوث خرق. غالبا ما ينظر إليها بعد تنفيذ هجوم بالفعل وتم الوصول إلى الهدف، مثل الاختراق. كما أن تتبع عمليات الإدخال/الإخراج أمر مهم أيضا أثناء التحقيقات الجنائية. على الرغم من أنه قد لا يكون قادرا على التدخل في سلسلة الهجوم، إلا أن جمع هذه المؤشرات يمكن أن يكون مفيدا في إنشاء دفاعات أفضل للهجمات المستقبلية المحتملة.
في سياق Microsoft Defender XDR Microsoft Defender لنقطة النهاية، تكون تعريفات التنبيه حاويات ل IOCs وتحدد التنبيه، بما في ذلك بيانات التعريف التي يتم رفعها لمطابقة IOC معينة. يتم توفير بيانات تعريف مختلفة كجزء من تعريفات التنبيه. يتم توفير بيانات التعريف مثل اسم تعريف التنبيه للهجوم والخطورة والوصف مع خيارات أخرى.
يحدد كل IOC منطق الكشف الملموس استنادا إلى نوعه وقيمته وعمله، والذي يحدد كيفية مطابقته. يرتبط بتعريف تنبيه محدد يحدد كيفية عرض الكشف كتنبيه على وحدة تحكم Microsoft Defender XDR.
فيما يلي مثال على IOC:
- النوع: Sha1
- القيمة: 92cfceb39d57d914ed8b14d0e37643de0797ae56
- الإجراء: يساوي
لدى IOCs علاقة متعدد إلى واحد مع تعريفات التنبيه بحيث يمكن أن يحتوي تعريف التنبيه على العديد من IOCs التي تتوافق معه.
تلميح
هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.