فهم تقرير المحلل في تحليلات التهديدات في Microsoft Defender XDR
ينطبق على:
- Microsoft Defender XDR
هام
تتعلق بعض المعلومات الواردة في هذه المقالة بالناتج الذي تم إصداره مسبقًا والذي قد يتم تعديله بشكل كبير قبل إصداره تجاريًا. لا تقدم Microsoft أي ضمانات، يتم التعبير عنها أو تضمينها، فيما يتعلق بالمعلومات المقدمة هنا.
يتضمن كل تقرير تحليلات التهديدات أقساما ديناميكية وقسما مكتوبا شاملا يسمى تقرير المحلل. للوصول إلى هذا القسم، افتح التقرير حول التهديد المتعقب وحدد علامة التبويب تقرير المحلل .
قسم تقرير المحلل في تقرير تحليلات التهديدات
معرفة أنواع تقارير المحللين المختلفة
يمكن تصنيف تقرير تحليلات المخاطر ضمن أحد أنواع التقارير التالية:
- ملف تعريف النشاط - يوفر معلومات حول حملة هجوم معينة غالبا ما ترتبط بمستخدم تهديد. يناقش هذا التقرير كيفية حدوث هجوم، ولماذا يجب أن تهتم به، وكيف تحمي Microsoft عملائها منه. قد يتضمن ملف تعريف النشاط أيضا تفاصيل مثل المخطط الزمني للأحداث وسلاسل الهجوم والسلوكيات والمنهجيات.
- ملف تعريف المستخدم - يوفر معلومات حول جهة تهديد محددة تتبعها Microsoft خلف الهجمات الإلكترونية البارزة. يناقش هذا التقرير دوافع الجهة الفاعلة، والصناعة و/أو الأهداف الجغرافية، وتكتيكاتها وتقنياتها وإجراءاتها (TTPs). قد يتضمن ملف تعريف المستخدم أيضا معلومات حول البنية الأساسية للهجوم الخاص بالمستخدم والبرامج الضارة (المخصصة أو مصدر مفتوح) والمآثر التي استخدمها والأحداث أو الحملات البارزة التي كان جزءا منها.
- ملف تعريف التقنية - يوفر معلومات حول تقنية معينة يستخدمها مستخدمو التهديد - على سبيل المثال، الاستخدام الضار ل PowerShell أو جمع بيانات الاعتماد في اختراق البريد الإلكتروني للأعمال (BEC) - وكيف تحمي Microsoft عملائها من خلال الكشف عن النشاط المرتبط بالتقنية.
- نظرة عامة على التهديد - تلخص تقارير ملفات التعريف المتعددة في سرد يرسم صورة أوسع للتهديد الذي يستخدم هذه التقارير أو يرتبط بها. على سبيل المثال، يستخدم مستخدمو التهديد تقنيات مختلفة لسرقة بيانات الاعتماد المحلية، وقد ترتبط نظرة عامة على التهديد حول سرقة بيانات الاعتماد المحلية بملفات تعريف التقنيات على هجمات القوة الغاشمة أو هجمات Kerberos أو البرامج الضارة لسرقة المعلومات. يستخدم التحليل الذكي للمخاطر من Microsoft أدوات الاستشعار الخاصة بهم في أهم التهديدات التي تؤثر على بيئات العملاء لتقييم التهديد الذي قد يستحق هذا النوع من التقرير.
- ملف تعريف الأداة - يوفر معلومات حول أداة مخصصة أو مفتوحة المصدر معينة غالبا ما ترتبط بممثل التهديد. يناقش هذا التقرير قدرات الأداة، والأهداف التي قد يحاول مستخدم التهديد استخدامها تحقيقها، وكيف تحمي Microsoft عملائها من خلال الكشف عن النشاط المرتبط بها.
- ملف تعريف الثغرات الأمنية - يوفر معلومات حول معرف نقاط الضعف والتعرض الشائعة (CVE) أو مجموعة من CVEs المماثلة التي تؤثر على منتج. يناقش ملف تعريف الثغرات الأمنية عادة نقاط الضعف الجديرة بالملاحظة، مثل تلك التي تستخدمها جهات التهديد وحملات الهجوم الملحوظة. وهو يغطي نوعا واحدا أو أكثر من أنواع المعلومات التالية: نوع الثغرة الأمنية، والخدمات المتأثرة، والاستغلال الصفري أو في البرية، ودرجة الخطورة والتأثير المحتمل، وتغطية Microsoft.
مسح تقرير المحلل ضوئيا
تم تصميم كل قسم من تقارير المحلل لتوفير معلومات قابلة للتنفيذ. بينما تختلف التقارير، تتضمن معظم التقارير الأقسام الموضحة في الجدول التالي.
| قسم التقرير | الوصف |
|---|---|
| الملخص التنفيذي | لقطة من التهديد، والذي قد يتضمن عندما شوهد لأول مرة، ودوافعه، والأحداث البارزة، والأهداف الرئيسية، والأدوات والتقنيات المميزة. يمكنك استخدام هذه المعلومات لتقييم كيفية تحديد أولويات التهديد في سياق الصناعة والموقع الجغرافي والشبكة. |
| نظرة عامة | التحليل الفني حول التهديد، والذي قد يتضمن، اعتمادا على نوع التقرير، تفاصيل الهجوم وكيف يمكن للمهاجمين استخدام تقنية جديدة أو سطح هجوم. يحتوي هذا القسم أيضا على عناوين مختلفة وأقسام فرعية أخرى، اعتمادا على نوع التقرير، لتوفير المزيد من السياق والتفاصيل. على سبيل المثال، يحتوي ملف تعريف الثغرات الأمنية على قسم منفصل يسرد التقنيات المتأثرة، بينما قد يتضمن ملف تعريف المستخدم أقسام الأدوات وTTPsوالإسناد . |
| عمليات الكشف/استعلامات التتبع |
اكتشافات محددة وعامة توفرها حلول أمان Microsoft التي يمكنها عرض النشاط أو المكونات المرتبطة بالتهديد. يوفر هذا القسم أيضا استعلامات تتبع لتحديد نشاط التهديد المحتمل بشكل استباقي. يتم توفير معظم الاستعلامات لتكملة عمليات الكشف، خاصة لتحديد المكونات أو السلوكيات الضارة المحتملة التي لا يمكن تقييمها ديناميكيا على أنها ضارة. |
| تمت ملاحظة تقنيات MITRE ATT&CK | كيفية تعيين التقنيات المرصودة إلى إطار عمل هجوم MITRE ATT&CK |
| التوصيات | الخطوات القابلة للتنفيذ التي يمكن أن توقف أو تساعد في تقليل تأثير التهديد. يتضمن هذا القسم أيضا عوامل التخفيف التي لا يتم تعقبها ديناميكيا كجزء من تقرير تحليلات التهديدات. |
| مراجع | منشورات Microsoft والجهات الخارجية المشار إليها من قبل المحللين أثناء إنشاء التقرير. يستند محتوى تحليلات التهديدات إلى البيانات التي تم التحقق من صحتها من قبل باحثي Microsoft. يتم تحديد المعلومات الواردة من مصادر الجهات الخارجية المتاحة للجمهور بوضوح على هذا النحو. |
| سجل التغيير | وقت نشر التقرير ووقت إدخال تغييرات هامة عليه. |
فهم كيفية اكتشاف كل تهديد
يوفر تقرير المحلل أيضا معلومات من حلول Microsoft المختلفة التي يمكن أن تساعد في اكتشاف التهديد. يسرد عمليات الكشف الخاصة بهذا التهديد من كل منتج من المنتجات المدرجة في الأقسام التالية، حسب الاقتضاء. تظهر التنبيهات من عمليات الكشف الخاصة بالتهديدات هذه في بطاقات حالة التنبيه لصفحة تحليلات التهديد.
تشير بعض تقارير المحللين أيضا إلى التنبيهات المصممة لوضع علامة عامة على السلوك المشبوه وقد لا تكون مرتبطة بالتهديد المتعقب. في مثل هذه الحالات، سيذكر التقرير بوضوح أنه يمكن تشغيل التنبيه بواسطة نشاط تهديد غير ذي صلة وأنه لا تتم مراقبته في بطاقات الحالة المتوفرة في صفحة تحليلات التهديد.
برنامج الحماية من الفيروسات من Microsoft Defender
تتوفر عمليات الكشف عن برنامج الحماية من الفيروسات على الأجهزة التي Microsoft Defender برنامج الحماية من الفيروسات في Windows قيد التشغيل. ترتبط هذه الاكتشافات بأوصاف موسوعة البرامج الضارة الخاصة بها في التحليل الذكي لمخاطر الأمان من Microsoft، عند توفرها.
Microsoft Defender for Endpoint
يتم رفع تنبيهات الكشف عن نقطة النهاية والاستجابة لها (EDR) للأجهزة المإلحاقة Microsoft Defender لنقطة النهاية. تعتمد هذه التنبيهات على إشارات الأمان التي تم جمعها بواسطة مستشعر Defender لنقطة النهاية وإمكانيات نقطة النهاية الأخرى - مثل مكافحة الفيروسات وحماية الشبكة والحماية من العبث - التي تعمل كمصادر إشارة قوية.
Microsoft Defender لـ Office 365
كما يتم تضمين عمليات الكشف والتخفيف من المخاطر من Defender لـ Office 365 في تقارير المحللين. Defender لـ Office 365 هو تكامل سلس في اشتراكات Microsoft 365 التي تحمي من التهديدات في البريد الإلكتروني والارتباطات (عناوين URL) ومرفقات الملفات وأدوات التعاون.
Microsoft Defender للهوية
Defender for Identity هو حل أمان مستند إلى السحابة يساعد على تأمين مراقبة هويتك عبر مؤسستك. ويستخدم إشارات من كل من Active Directory محلي والهويات السحابية لمساعدتك على تحديد التهديدات المتقدمة الموجهة إلى مؤسستك واكتشافها والتحقيق فيها بشكل أفضل.
Microsoft Defender for Cloud Apps
يوفر Defender for Cloud Apps حماية كاملة لتطبيقات SaaS، مما يساعدك على مراقبة بيانات تطبيق السحابة وحمايتها، باستخدام وظائف وسيط أمان الوصول إلى السحابة الأساسية (CASB)، وميزات SaaS Security Posture Management (SSPM)، والحماية المتقدمة من التهديدات، والحماية من التطبيق إلى التطبيق.
Microsoft Defender للسحابة
Defender for Cloud هو نظام أساسي لحماية التطبيقات السحابية (CNAPP) يتكون من تدابير وممارسات أمنية مصممة لحماية التطبيقات المستندة إلى السحابة من التهديدات والثغرات الأمنية المختلفة.
البحث عن عناصر التهديد الدقيقة باستخدام التتبع المتقدم
بينما تسمح لك عمليات الكشف بتحديد التهديد المتعقب وإيقافه تلقائيا، فإن العديد من أنشطة الهجوم تترك آثارا دقيقة تتطلب المزيد من الفحص. تظهر بعض أنشطة الهجوم سلوكيات يمكن أن تكون طبيعية أيضا، لذلك يمكن أن يؤدي اكتشافها ديناميكيا إلى ضوضاء تشغيلية أو حتى إيجابيات خاطئة. تتيح لك استعلامات التتبع تحديد موقع هذه المكونات أو السلوكيات الضارة المحتملة بشكل استباقي.
Microsoft Defender XDR استعلامات التتبع المتقدمة
يوفر التتبع المتقدم واجهة استعلام تستند إلى لغة استعلام Kusto التي تبسط تحديد المؤشرات الدقيقة لنشاط التهديد. كما يتيح لك عرض معلومات سياقية والتحقق مما إذا كانت المؤشرات متصلة بالتهديد.
تم فحص استعلامات التتبع المتقدمة في تقارير المحللين من قبل محللي Microsoft وهي جاهزة للتشغيل في محرر استعلام التتبع المتقدم. يمكنك أيضا استخدام الاستعلامات لإنشاء قواعد الكشف المخصصة التي تشغل التنبيهات للمطابقات المستقبلية.
استعلامات Microsoft Sentinel
يمكن أن تتضمن تقارير المحللين أيضا استعلامات تتبع قابلة للتطبيق للعملاء Microsoft Sentinel.
يحتوي Microsoft Sentinel على أدوات بحث واستعلام قوية للبحث عن تهديدات الأمان عبر مصادر بيانات مؤسستك. لمساعدتك في البحث بشكل استباقي عن الحالات الشاذة الجديدة التي لم تكتشفها تطبيقات الأمان أو حتى بواسطة قواعد التحليلات المجدولة، Sentinel ترشدك استعلامات التتبع إلى طرح الأسئلة الصحيحة للعثور على المشكلات في البيانات التي لديك بالفعل على شبكتك.
تطبيق عوامل تخفيف إضافية
تتعقب تحليلات التهديدات ديناميكيا حالة بعض تحديثات الأمانوالتكوينات الآمنة. تتوفر هذه الأنواع من المعلومات كمخططات وجداول في نقاط النهاية التعرض وعلامات تبويب الإجراءات الموصى بها ، وهي توصيات قابلة للتكرار تنطبق على هذا التهديد وقد تنطبق على التهديدات الأخرى أيضا.
بالإضافة إلى هذه التوصيات المتعقبة، يمكن لتقرير المحلل أيضا مناقشة عوامل التخفيف التي لا تتم مراقبتها ديناميكيا لأنها خاصة فقط بالتهديد أو الموقف الذي تتم مناقشته في التقرير. فيما يلي بعض الأمثلة على عوامل التخفيف المهمة التي لم يتم تعقبها ديناميكيا:
- حظر رسائل البريد الإلكتروني التي تحتوي على مرفقات .lnk أو أنواع ملفات مشبوهة أخرى
- عشوائية كلمات مرور المسؤول المحلي
- تثقيف المستخدمين النهائيين حول البريد الإلكتروني للتصيد الاحتيالي وناقلات التهديدات الأخرى
- تشغيل قواعد محددة لتقليل الأجزاء المعرضة للهجوم
بينما يمكنك استخدام نقاط النهاية التعرض وعلامات تبويب الإجراءات الموصى بها لتقييم وضع الأمان الخاص بك ضد التهديد، تتيح لك هذه التوصيات اتخاذ خطوات أخرى نحو تحسين وضع الأمان الخاص بك. اقرأ بعناية جميع إرشادات التخفيف في تقرير المحلل وقم بتطبيقها كلما أمكن ذلك.
راجع أيضًا
- نظرة عامة حول تحليل المخاطر
- العثور على التهديدات بشكل استباقي باستخدام التتبع المتقدم
- قواعد الكشف المخصصة
تلميح
هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.