كيف يعمل Microsoft Sentinel

  • 10 دقائق

كما تعلمت بالفعل، يساعدك Microsoft Sentinel على تمكين عمليات الأمان الشاملة. حيث يبدأ باستيعاب السجل ويستمر ليقدم الاستجابة التلقائية لتنبيهات الأمان.

فيما يلي الميزات والمكونات الرئيسية في Microsoft Sentinel.

موصلات البيانات

أول ما يتوجب عليك فعله هو استيعاب بياناتك في Microsoft Sentinel. تتيح لك موصلات البيانات القيام بذلك فقط. يمكنك إضافة بعض الخدمات، مثل Azure activity logs، فقط عن طريق تحديد زر. تتطلب الأخرى، مثل syslog، بعض عمليات التكوين. توجد موصلات البيانات تغطي كل السيناريوهات والمصادر، بما في ذلك على سبيل المثال لا الحصر:

  • syslog
  • تنسيق الحدث العام (CEF)
  • Trusted Automated eXchange of Indicator Information (TAXII) (للتحليل الذكي للمخاطر)
  • Azure
  • خدمات AWS

Screenshot that shows a partial list of data connectors in the Microsoft Sentinel UI in the Azure portal.

الاحتفاظ بالسجلات

بعد استيعابها في Microsoft Sentinel، يتم تخزين بياناتك باستخدام Log Analytics. وتشمل فوائد Log Analytics القدرة على استخدام لغة الاستعلام Kusto (KQL) للاستعلام عن بياناتك. KQL هي لغة استعلام غنية تمنحك القدرة على التعمق في بياناتنا والحصول على نتائج تحليلات منها.

Screenshot showing the Log Analytics interface in the Azure portal.

مصنفات

يمكنك استخدام المصنفات لتصور بياناتك داخل Microsoft Sentinel. يمكنك اعتبار المصنفات على أنها لوحات معلومات. يتم إنشاء كل مكون في لوحة المعلومات باستخدام استعلام KQL أساسي لبياناتك. يمكنك استخدام المصنفات المضمنة داخل Microsoft Sentinel وتحريرها لتلبية احتياجاتك الخاصة، أو إنشاء مصنفاتك الخاصة من البداية. إذا كنت قد استخدمت مصنفات Azure Monitor، ستكون هذه الميزة مألوفة لك، لأنها تنفيذ Sentinel لمصنفات Monitor.

Screenshot showing an example of a workbook in Microsoft Sentinel.

تنبيهات التحليلات

حتى الآن، تتوفر لديك سجلاتك وبعض الرسوم المرئية للبيانات. الآن سيكون من الرائع أن يكون لديك بعض التحليلات الاستباقية عبر بياناتك، وذلك حتى يتم إعلامك عندما وقع حدث مريب. يمكنك تمكين تنبيهات التحليلات المضمنة داخل مساحة عمل Sentinel. هناك أنواع مختلفة من التنبيهات، يمكنك تحرير بعضها وفقًا لاحتياجاتك الخاصة. يتم إنشاء تنبيهات أخرى على نماذج التعلم الآلي المملوكة لشركة Microsoft. يمكنك أيضًا إنشاء تنبيهات مخصصة ومجدولة من البداية.

Screenshot showing some of the built-in analytics alerts available in a Microsoft Sentinel workbook.

تتبع المخاطر

لن نتعمق كثيرًا في تتبع المخاطر بهذه الوحدة. ومع ذلك، إذا كان محللو SOC بحاجة إلى البحث عن نشاط مشبوه، فهناك بعض استعلامات التتبع المضمنة التي يمكنهم استخدامها. يمكن للمحللين أيضًا إنشاء استعلاماتهم الخاصة. يتكامل Sentinel أيضًا مع Azure Notebooks. يوفر مثالاً على دفاتر الملاحظات للمتتبعين المتقدمين الذين يرغبون في الاستفادة من القوى الكاملة للغة الكمبيوتر بهدف تتبع بياناتهم.

Screenshot showing the threat-hunting interface in Microsoft Sentinel.

الحوادث والتحقيقات

يتم إنشاء حادث عند تشغيل تنبيه قمت بتمكينه. في Microsoft Sentinel، يمكنك تنفيذ مهام إدارة حوادث قياسية مثل تغيير الحالة أو تعيين حوادث إلى الأفراد للتحقيق بها. كما يتوفر في Microsoft Sentinel وظائف التحقيق، بحيث يمكنك التحقق من الحوادث بصريًا عن طريق تعيين الكيانات عبر بيانات السجل على طول المخطط الزمني.

Screenshot showing an incident-investigation graph within Microsoft Sentinel.

دلائل مبادئ التشغيل التلقائي

مع القدرة على الاستجابة للحوادث تلقائيًا، يمكنك أتمتة بعض عمليات الأمان لديك وجعل SOC لديك أكثر إنتاجية. يسمح لك Microsoft Sentinel بإنشاء مهام سير عمل تلقائية أو أدلة مبادئ استجابة للأحداث. يمكن استخدام هذه الوظيفة لإدارة الحوادث أو الإثراء أو التحقيق أو الإصلاح. غالباً ما يُشار إلى هذه القدرات باسم تزامن الأمان والتشغيل التلقائي والاستجابة (SOAR).

Screenshot showing a Microsoft Sentinel Automation, with the Create options highlighted.

كمحلل SOC، تبدأ الآن في رؤية كيف يمكن أن يساعدك Microsoft Sentinel في تحقيق أهدافك. على سبيل المثال، يمكنك:

  • استيعاب البيانات من السحابة والبيئات الداخلية لديك.
  • إجراء تحليلات على تلك البيانات.
  • إدارة أي حوادث تقع والتحقيق فيها.
  • حتى إنه يمكنك الرد تلقائيًا باستخدام دلائل المبادئ.

وبعبارة أخرى، يوفر لك Microsoft Sentinel حلاً شاملاً لعمليات الأمان.