الكشف عن التهديدات بسهولة
بعد إعداد Microsoft Sentinel لجمع البيانات من جميع أنحاء مؤسستك، ستحتاج إلى البحث في كل تلك البيانات للكشف عن تهديدات الأمان للبيئة الخاصة بك. ولكن لا تقلق — يوفر Microsoft Sentinel قوالب لمساعدتك في إنشاء قواعد الكشف عن التهديدات للقيام بكل ما يناسبك. تعرف هذه القواعد باسم قواعد التحليلات.
صمم فريق خبراء الأمان والمحللين في Microsoft قوالب قواعد التحليلات هذه استنادا إلى التهديدات المعروفة وناقلات الهجوم الشائعة وسلاسل تصعيد النشاط المشبوهة. تبحث القواعد التي تم إنشاؤها من هذه القوالب تلقائيا عبر بيئتك عن أي نشاط يبدو مريبا. يمكن تخصيص العديد من القوالب للبحث عن الأنشطة أو تصفيتها وفقًا لاحتياجاتك. تنشئ التنبيهات التي تم إنشاؤها بواسطة هذه القواعد حوادث يمكنك تعيينها والتحقيق فيها في بيئتك.
تساعدك هذه المقالة على فهم كيفية اكتشاف التهديدات باستخدام Microsoft Sentinel.
عرض عمليات الكشف
لعرض قواعد التحليلات المثبتة والكشف في Microsoft Sentinel، انتقل إلى قوالب قاعدة التحليلات>. تحتوي علامة التبويب هذه على كافة قوالب القواعد المثبتة، وفقا للأصناف المعروضة في الجدول التالي. للعثور على المزيد من قوالب القواعد، انتقل إلى مركز المحتوى في Microsoft Sentinel لتثبيت حلول المنتجات ذات الصلة أو المحتوى المستقل.
وتشمل عمليات الكشف ما يلي:
| نوع القاعدة | الوصف |
|---|---|
| أمان Microsoft | تنشئ قوالب أمان Microsoft تلقائيًا حوادث Microsoft Sentinel من التنبيهات التي تم إنشاؤها في حلول أمان Microsoft الأخرى، في الوقت الفعلي. يمكنك استخدام قواعد أمان Microsoft كقالب لإنشاء قواعد جديدة بمنطق مماثل. لمزيد من المعلومات حول قواعد الأمان، راجع إنشاء الحوادث تلقائيًا من تنبيهات أمان Microsoft. |
| Fusion (بعض عمليات الكشف في المعاينة) |
يستخدم Microsoft Sentinel محرك الارتباط Fusion، مع خوارزميات التعلم الآلي القابلة للتطوير، للكشف عن الهجمات المتقدمة متعددة المهام من خلال ربط العديد من التنبيهات والأحداث منخفضة الدقة عبر منتجات متعددة بأحداث عالية الدقة وقابلة للتنفيذ. يتم تمكين Fusion بشكل افتراضي. نظرًا إلى أن المنطق مخفي ومن ثم غير قابل للتخصيص، يمكنك إنشاء قاعدة واحدة فقط باستخدام هذا القالب. يمكن لمحرك Fusion أيضا ربط التنبيهات التي تنتجها قواعد التحليلات المجدولة بتنبيهات من أنظمة أخرى، ما ينتج عنه حوادث عالية الدقة. |
| التحليلات السلوكية للتعلم الآلي | تستند قوالب التحليلات السلوكية للتعلم الآلي إلى خوارزميات التعلم الآلي من Microsoft الخاصة، لذلك لا يمكنك رؤية المنطق الداخلي لكيفية عملها ووقت تشغيلها. لأنه يتم إخفاء المنطق ومن ثم غير قابل للتخصيص، يمكنك إنشاء قاعدة واحدة فقط مع كل قالب من هذا النوع. |
| التحليل الذكي للمخاطر | استفد من التحليل الذكي للمخاطر الذي تنتجه Microsoft لإنشاء تنبيهات وحوادث عالية الدقة باستخدام قاعدة تحليلات التحليل الذكي للمخاطر من Microsoft. هذه القاعدة الفريدة غير قابلة للتخصيص، ولكن عند تمكينها، تتطابق تلقائيا مع سجلات تنسيق الحدث الشائع (CEF) أو بيانات Syslog أو أحداث Windows DNS مع مؤشرات تهديد المجال وعنوان IP وعنوان URL من تحليل ذكي للمخاطر من Microsoft. تحتوي بعض المؤشرات على مزيد من معلومات السياق من خلال MDTI (تحليل ذكي للمخاطر في Microsoft Defender). لمزيد من المعلومات حول كيفية تمكين هذه القاعدة، راجع استخدام تحليلات مطابقة للكشف عن التهديدات. لمزيد من المعلومات حول MDTI، راجع ما هو تحليل ذكي للمخاطر في Microsoft Defender |
| Anomaly | تستخدم قوالب قواعد الشذوذ التعلم الآلي للكشف عن أنواع محددة من السلوك الشاذ. تحتوي كل قاعدة على معلمات وحدود فريدة خاصة بها، مناسبة للسلوك الذي يتم تحليله. بينما لا يمكن تغيير تكوينات القواعد الجاهزة أو ضبطها، يمكنك تكرار قاعدة، ثم تغيير التكرار وضبطه. في مثل هذه الحالات، قم بتشغيل التكرار في وضع Flighting والأصل بشكل متزامن في وضع Production. ثم قارن النتائج، وقم بتبديل التكرار إلى Production إذا ومتى كان ضبطه وفقًا لما يروقك. لمزيد من المعلومات، راجع استخدام الحالات الشاذة القابلة للتخصيص للكشف عن التهديدات في Microsoft Sentinelوالعمل مع قواعد تحليلات الكشف عن الحالات الشاذة في Microsoft Sentinel. |
| المجدول | تستند قواعد التحليلات المجدولة إلى الاستعلامات التي كتبها خبراء أمان Microsoft. يمكنك رؤية منطق الاستعلام وإجراء تغييرات عليه. يمكنك استخدام قالب القواعد المجدولة وتخصيص منطق الاستعلام وإعدادات الجدولة لإنشاء قواعد جديدة. تنتج العديد من قوالب قواعد التحليلات المجدولة الجديدة تنبيهات يرتبط بها محرك Fusion مع تنبيهات من أنظمة أخرى لإنتاج حوادث عالية الدقة. لمزيد من المعلومات، راجع الكشف المتقدم عن الهجمات متعددة المراحل. تلميح: تتضمن خيارات جدولة القاعدة تكوين القاعدة لتشغيل كل عدد محدد من الدقائق أو الساعات أو الأيام، مع بدء الساعة عند تمكين القاعدة. نوصي بالتذكر عند تمكين قاعدة تحليلات جديدة أو تحريرها للتأكد من أن القواعد تحصل على مجموعة جديدة من الحوادث في الوقت المناسب. على سبيل المثال، قد ترغب في تشغيل قاعدة متزامنة عندما يبدأ محللو SOC يوم العمل الخاص بهم، وتمكين القواعد بعد ذلك. |
| وقت شبه حقيقي (NRT) | قواعد NRT هي مجموعة محدودة من القواعد المجدولة، المصممة للتشغيل مرة واحدة كل دقيقة، من أجل تزويدك بمعلومات تصل إلى الدقيقة قدر الإمكان. وهي تعمل في الغالب مثل القواعد المجدولة ويتم تكوينها بشكل مماثل، مع بعض القيود. لمزيد من المعلومات، راجع الكشف عن التهديدات بسرعة باستخدام قواعد التحليلات ذات الوقت شبه الحقيقي (NRT) في Microsoft Azure Sentinel. |
هام
بعض قوالب الكشف عن الاندماج موجودة حاليا في PREVIEW (راجع الكشف المتقدم عن الهجمات متعددة الخطوات في Microsoft Sentinel لمعرفة القوالب). راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.
استخدام قوالب قواعد التحليلات
يصف هذا الإجراء كيفية استخدام قوالب قواعد التحليلات.
لاستخدام قالب قاعدة تحليلات:
في صفحة Microsoft Sentinel وضمن >Analytics>Rule templates حدد اسم قالب وحدد زر Create rule في قسم التفاصيل لإنشاء قاعدة نشطة جديدة بناءً على القالب.
يحتوي كل قالب على قائمة بمصادر البيانات المطلوبة. عند فتح القالب، يتم التحقق تلقائيًا من توفر مصادر البيانات. إذا كانت هناك مشكلة في التوفر، فقد يتم تعطيل الزر إنشاء قاعدة ، أو قد ترى تحذيرا بهذا الشأن.
يؤدي تحديد Create rule إلى فتح معالج إنشاء القاعدة استنادًا إلى القالب المحدد. يتم ملء جميع التفاصيل تلقائيًا، ومع قوالب الأمان المجدولة أو Microsoft، يمكنك تخصيص المنطق وإعدادات القواعد الأخرى لتناسب احتياجاتك المحددة بشكل أفضل. يمكنك تكرار هذه العملية لإنشاء المزيد من القواعد استنادا إلى القالب. بعد اتباع الخطوات الواردة في معالج إنشاء القاعدة حتى النهاية، انتهيت من إنشاء قاعدة استنادا إلى القالب. تظهر القواعد الجديدة في علامة التبويب القواعد النشطة.
لمزيد من التفاصيل حول كيفية تخصيص القواعد في معالج إنشاء القواعد، راجع إنشاء قواعد تحليلات مخصصة للكشف عن التهديدات.
تلميح
تأكد من تمكين جميع القواعد المقترنة بمصادر البيانات المتصلة لضمان تغطية كاملة لأمان بيئتك. إن الطريقة الأكثر فعالية لتمكين قواعد التحليلات هي من صفحة موصل البيانات مباشرةً، التي تسرد أي قواعد ذات صلة. لمزيد من المعلومات، راجع توصيل مصادر البيانات.
يمكنك أيضًا دفع القواعد إلى Microsoft Sentinel عبر APIوPowerShell، على الرغم من أن القيام بذلك يتطلب جهدًا إضافيًا.
عند استخدام API أو PowerShell، يجب أولًا تصدير القواعد إلى JSON قبل تمكين القواعد. قد تكون «واجهة برمجة التطبيقات» أو PowerShell ذات نفع عند تمكين القواعد في مثيلات متعددة من Microsoft Sentinel باستخدام إعدادات متطابقة في كل مثيل.
أذونات الوصول لقواعد التحليلات
عند إنشاء قاعدة تحليلات، يتم تطبيق رمز مميز لأذونات الوصول على القاعدة وحفظه معها. يضمن هذا الرمز المميز أن القاعدة يمكنها الوصول إلى مساحة العمل التي تحتوي على البيانات التي تم الاستعلام عن طريق القاعدة، وأنه سيتم الاحتفاظ بهذا الوصول حتى إذا فقد منشئ القاعدة الوصول إلى مساحة العمل هذه.
ومع ذلك، هناك استثناء واحد لهذا: عند إنشاء قاعدة للوصول إلى مساحات العمل في اشتراكات أو مستأجرين آخرين، مثل ما يحدث في حالة MSSP، يتخذ Microsoft Sentinel إجراءات أمان إضافية لمنع الوصول غير المصرح به إلى بيانات العميل. بالنسبة لهذه الأنواع من القواعد، يتم تطبيق بيانات اعتماد المستخدم الذي أنشأ القاعدة على القاعدة بدلا من رمز وصول مستقل، بحيث عندما لا يكون لدى المستخدم حق الوصول إلى الاشتراك أو المستأجر الآخر، تتوقف القاعدة عن العمل.
إذا قمت بتشغيل Microsoft Sentinel في سيناريو الاشتراك المشترك أو عبر المستأجرين، عندما يفقد أحد المحللين أو المهندسين الوصول إلى مساحة عمل معينة، فإن أي قواعد أنشأها هذا المستخدم تتوقف عن العمل. ستتلقى رسالة مراقبة صحية تتعلق "بالوصول غير الكافي إلى المورد"، وسيتم تعطيل القاعدة تلقائيا بعد فشلها لعدد معين من المرات.
تصدير القواعد إلى قالب ARM
يمكنك بسهولة تصدير القاعدة الخاصة بك إلى قالب Azure Resource Manager (ARM) إذا كنت تريد إدارة القواعد ونشرها كتعليمات برمجية. يمكنك أيضًا استيراد القواعد من ملفات القالب لعرضها وتحريرها في واجهة المستخدم.
الخطوات التالية
لإعداد قواعد مخصصة، استخدم القواعد الموجودة كقوالب أو مراجع. يساعد استخدام القواعد الموجودة كخط أساس من خلال إعداد معظم المنطق قبل إجراء أي تغييرات مطلوبة. لمزيد من المعلومات، راجع إنشاء قواعد تحليلات مخصصة للكشف عن التهديدات.
لمعرفة كيفية أتمتة استجاباتك للتهديدات، قم بإعداد الاستجابات التلقائية للتهديدات في Microsoft Azure Sentinel .
لمعرفة كيفية العثور على المزيد من قوالب القواعد، راجع اكتشاف المحتوى الجاهز من Microsoft Sentinel وإدارته.