عرض تنبيهات الأمان

  • 5 دقائق

يجمع Microsoft Defender for Cloud تلقائيًا بيانات السجل ويحللها ويدمجها من عدة مصادر لتحديد التهديدات الموثوق بها لأحمال العمل. ترتبط البيانات من موارد Azure والشبكة وحلول الشركاء المتصلة مثل جدران الحماية وتعالج بالتعلم الآلي وتحليلات الأمان المتقدمة لتقليل الإيجابيات الزائفة.

يسمح هذا التجميع لـ Defender for Cloud باكتشاف التهديدات مثل:

  • الأجهزة الظاهرية (VMs) المعرضة للخطر والتي تتصل بعناوين IP الضارة المعروفة.
  • البرامج الضارة المتقدمة التي يتم اكتشافها بواسطة تقرير أخطاء Windows.
  • هجمات القوة الغاشمة ضد الأجهزة الظاهرية.
  • تنبيهات الأمان من حلول أمان الشركاء المتكاملة، مثل برامج الحماية من البرامج الضارة أو برامج الحماية الخاصة بتطبيقات الويب.

عند اكتشاف تهديد مثل هذا، سيقوم Defender for Cloud بإنشاء ⁧⁩تنبيه أمان.⁩

ما هو تنبيه الأمان؟

التنبيهات هي الإشعارات التي ينشئها Defender for Cloud عندما يكتشف تهديدات على مواردك. يعطي Defender for Cloud الأولوية للتنبيهات ويسردها، إلى جانب المعلومات المطلوبة لك للتحقيق في المشكلة بسرعة. توفر Defender for Cloud أيضاً توصيات حول كيفية معالجة أي هجوم.

أنواع التنبيهات وسلسلة القتل السيبراني

يوفر Microsoft Defender for Cloud مجموعة متنوعة من التنبيهات التي تتوافق مع مراحل سلسلة وقف الهجمات عبر الإنترنت. سلسلة وقف الهجمات عبر الإنترنت هي سلسلة من الخطوات التي تتبع مراحل الهجوم عبر الإنترنت من مراحل الاستكشاف المبكرة إلى مرحلة النقل غير المصرّح للبيانات. تم إنشاء سلسلة وقف الهجمات من قبل شركة Lockheed Martin. يتم تصميمها على غرار إطار عمل عسكري تم إنشاؤه لتحديد أهداف العدو والتعامل معها.

تتكون سلسلة القتل من ثماني مراحل كما هو موضح في الصورة التالية. ترتبط أنواع مختلفة من الهجمات بكل مرحلة، وهي تستهدف مختلف الأنظمة الفرعية. جميع ناقلات الهجوم المشتركة من عمليات تسجيل دخول القوة الغاشمة إلى الفيروسات والفيروسات المتنقلة تشغل النشاط على سلسلة قتل السيبرانية.

Diagram that depicts the phases of the kill chain and that lists the types of attacks associated with each phase.

  1. الاستكشاف: مرحلة المراقبة، حيث يقيم المهاجمون شبكتك وخدماتك لتحديد الأهداف والتقنيات المحتملة للدخول.
  2. ⁩التدخل⁧:⁩ يستخدم المهاجمون المعرفة المكتسبة في مرحلة الاستكشاف للوصول إلى جزء من شبكتك. وغالبًا ما تنطوي هذه المرحلة على استغلال خلل أو فجوة أمنية.
  3. ⁩الاستغلال⁩: تتضمن هذه المرحلة استغلال الثغرات الأمنية وإدخال تعليمات برمجية ضارة في النظام للحصول على مزيد من الوصول.
  4. ⁩زيادة الامتيازات⁧:⁩ يحاول المهاجمون غالباً الحصول على وصول إداري إلى الأنظمة المخترقة حتى يتمكنوا من الوصول إلى بيانات أكثر أهمية والانتقال إلى أنظمة أخرى متصلة.
  5. ⁩الحركة الجانبيّة⁧:⁩ هذه هي عملية الانتقال أفقيًا إلى الخوادم المتصلة لاكتساب وصول أكبر إلى البيانات المحتملة.
  6. التعتيم/مكافحة الطب الشرعي: لسحب هجوم إلكتروني بنجاح، يحتاج المهاجمون إلى تغطية دخولهم. غالبًا ما يقومون بخرق البيانات وسجلات تدقيق واضحة لمحاولة منع الاكتشاف من قبل أي فريق أمان.
  7. ⁩رفض الخدمة⁧⁩: تتضمن هذه المرحلة تعطيل الوصول العادي للمستخدمين والأنظمة لمنع مراقبة الهجوم أو تتبعه أو حظره.
  8. ⁩ النقل غير مصرّح به للبيانات⁧:⁩ مرحلة الاستخراج النهائي: الحصول على بيانات قيمة من الأنظمة المخترقة.

يحاول تنبيه Defender for Cloud الكشف عن السلوكيات المعروفة والتعرف عليها في كل مرحلة من مراحل سلسلة وقف الهجمات. ثم يوفر لفريق SecOps فرصة لإيقاف هجوم إلكتروني قيد التقدم. بعد الاختراق، يمكن لـ Defender for Cloud توفير التفاصيل الضرورية لتكون قادرًا على تحديد الاختراق وإغلاق الأنظمة المخترقة.

تحتوي التنبيهات على معلومات قيمة حول ما أدى إلى التنبيه والموارد المستهدفة ومصدر الهجوم. وتختلف المعلومات المضمنة في التنبيه استنادًا إلى نوع التحليلات المستخدمة في الكشف عن التهديد. وقد تتضمن الحوادث أيضًا معلومات سياقية إضافية قد تكون مفيدة في أثناء فحص أي خطر. لمواجهة الهجمات خلال هذه المراحل، لدى Defender for Cloud فئات من التنبيهات:

  • التحليل السلوكي للجهاز الظاهري
  • تحليل الشبكة
  • تحليل قاعدة بيانات SQL ومستودع بيانات SQL
  • المعلومات السياقية

يتم تشغيل هذه التنبيهات إما عند حدوث تهديد أو نشاط مريب.

عرض تنبيهات الأمان

يمكنك عرض تنبيهات الأمان التي تم تجميعها مباشرةً في Microsoft Defender for Cloud في صفحة ⁧⁧⁩⁩Security alerts⁧⁧،⁩⁩ من خلال أدوات سطر الأوامر، أو استخدام واجهة برمجة تطبيقات REST. المدخل هو أسهل طريقة لعرض التنبيهات. يعرض رسما بيانيا للتنبيهات الحالية، ملونا بمستوى الخطورة (مرتفع أو متوسط أو منخفض). فيما يلي مثال على اشتراك مع الموارد قيد التشغيل التي تتم مراقبتها:

Screenshot that shows the security alerts pane in Defender for Cloud.

يتم سرد التنبيهات أيضًا بشكل فردي للحصول على معلومات أكثر تفصيلاً. يمكنك تصفية التنبيهات استنادًا إلى التاريخ، والحالة، والخطورة. قد تكون تصفية التنبيهات مفيدة للسيناريوهات التي تحتاج إلى تضييق نطاق تنبيهات الأمان. على سبيل المثال، قد تحتاج إلى النظر في تنبيهات الأمان التي حدثت في الساعات الـ 24 الأخيرة إذا كنت تفحص خرق أمان محتمل في النظام.

إذا كان لديك الكثير من التنبيهات، يمكنك تحديد ⁧⁧⁩⁩Add filter⁧⁧⁩⁩ في صفحة ⁧⁧⁩⁩Security alerts⁦⁦⁩⁩⁧⁧⁩⁩. يتم عرض نافذة Filter، ويمكنك تحديد عوامل تصفية لعرض القيم التي تريد رؤيتها.

Screenshot that shows the Filter window with filter options displayed.

يمكنك أيضًا استخدام قائمة Grouping لفرز التنبيهات حسب العنوان والمورد والاشتراك.

Screenshot that shows the 'Grouping' drop-down menu.