Share via

إجراء تتبع استباقي للمخاطر من طرف إلى طرف في Microsoft Sentinel

  • مقالة
  • ينطبق على:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

تتبع التهديدات الاستباقي هو عملية يبحث فيها محللو الأمان عن التهديدات والسلوكيات الضارة غير المكتشفة. من خلال إنشاء فرضية والبحث في البيانات والتحقق من صحة هذه الفرضية، فإنها تحدد ما يجب العمل عليه. يمكن أن تتضمن الإجراءات إنشاء اكتشافات جديدة أو معلومات ذكية جديدة عن التهديدات أو تدوير حادث جديد.

استخدم تجربة التتبع الشاملة داخل Microsoft Sentinel من أجل:

  • تتبع بشكل استباقي استنادا إلى تقنيات MITRE محددة، أو نشاط ضار محتمل، أو التهديدات الأخيرة، أو فرضيتك المخصصة.
  • استخدم استعلامات التتبع التي أنشأها باحث الأمان أو استعلامات التتبع المخصصة للتحقيق في السلوك الضار.
  • قم بإجراء عمليات البحث الخاصة بك باستخدام العديد من علامات تبويب الاستعلام المستمر التي تمكنك من الاحتفاظ بالسياق بمرور الوقت.
  • جمع الأدلة، والتحقيق في مصادر UEBA، وإضافة تعليق توضيحي لنتائجك باستخدام إشارات مرجعية محددة للبحث.
  • التعاون في العمل وتوثيق النتائج باستخدام التعليقات.
  • التصرف بناء على النتائج من خلال إنشاء قواعد تحليلية جديدة وحوادث جديدة ومؤشرات تهديد جديدة وتشغيل أدلة المبادئ.
  • تعقب عمليات الصيد الجديدة والنشطة والمغلقة في مكان واحد.
  • عرض المقاييس استنادا إلى الفرضيات التي تم التحقق من صحتها والنتائج الملموسة.

هام

يتوفر Microsoft Sentinel كجزء من المعاينة العامة للنظام الأساسي لعمليات الأمان الموحدة في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

المتطلبات الأساسية

لاستخدام ميزة البحث، تحتاج إما إلى تعيين دور Microsoft Sentinel مضمن، أو دور Azure RBAC مخصص. فيما يلي خياراتك:

تحديد فرضيتك

تعريف الفرضية هو عملية مفتوحة ومرنة ويمكن أن تتضمن أي فكرة تريد التحقق من صحتها. تتضمن الفرضيات الشائعة ما يلي:

  • السلوك المشبوه - تحقق من النشاط الضار المحتمل المرئي في بيئتك لتحديد ما إذا كان الهجوم يحدث.
  • حملة التهديد الجديدة - ابحث عن أنواع الأنشطة الضارة استنادا إلى جهات التهديد أو التقنيات أو نقاط الضعف المكتشفة حديثا. قد يكون هذا شيئا سمعت عنه في مقالة أخبار الأمان.
  • فجوات الكشف - زيادة تغطية الكشف باستخدام خريطة MITRE ATT&CK لتحديد الثغرات.

يمنحك Microsoft Sentinel المرونة عندما لا تكون في المجموعة الصحيحة من استعلامات التتبع للتحقيق في فرضيتك. عند إنشاء عملية بحث، ابدأها باستعلامات تتبع محددة مسبقا أو أضف استعلامات أثناء التقدم. فيما يلي توصيات للاستعلامات المحددة مسبقا استنادا إلى الفرضيات الأكثر شيوعا.

الفرضية - السلوك المشبوه

  1. بالنسبة إلى Microsoft Sentinel في مدخل Microsoft Azure، ضمن Threat management، حدد Hunting.
    بالنسبة إلى Microsoft Sentinel في مدخل Defender، حدد Microsoft Sentinel>Threat management>Hunting.

  2. حدد علامة التبويب Queries. لتحديد السلوكيات الضارة المحتملة، قم بتشغيل جميع الاستعلامات.

  3. حدد Run All queries> انتظر حتى يتم تنفيذ الاستعلامات. قد تستغرق هذه العملية بعض الوقت.

  4. حدد إضافة تصفية>النتائج> قم بإلغاء تحديد خانات الاختيار "!"، و"N/A"، و"-"، و"0" القيم >"Apply"تظهر لقطة الشاشة عامل التصفية الموضح في الخطوة 3.

  5. فرز هذه النتائج حسب عمود "دلتا النتائج" لمعرفة ما تم تغييره مؤخرا. توفر هذه النتائج إرشادات أولية حول الصيد.

فرضية - حملة تهديد جديدة

يقدم مركز المحتوى حملة التهديد والحلول المستندة إلى المجال للبحث عن هجمات محددة. في الخطوات التالية، يمكنك تثبيت أحد هذه الأنواع من الحلول.

  1. انتقل إلى مركز المحتوى.

  2. قم بتثبيت حملة تهديد أو حل يستند إلى المجال مثل الكشف عن الثغرات الأمنية Log4J أو Apache Tomcat.

    تظهر لقطة الشاشة مركز المحتوى في عرض الشبكة مع تحديد حلول Log4J وApache.

  3. بعد تثبيت الحل، في Microsoft Sentinel، انتقل إلى التتبع.

  4. حدد علامة التبويب Queries.

  5. البحث حسب اسم الحل أو التصفية حسب اسم المصدر للحل.

  6. حدد الاستعلام وتشغيل الاستعلام.

الفرضية - فجوات الكشف

تساعدك خريطة MITRE ATT CK على تحديد ثغرات محددة في تغطية الكشف الخاصة بك. استخدم استعلامات التتبع المعرفة مسبقا لتقنيات MITRE ATT&CK محددة كنقطة بداية لتطوير منطق اكتشاف جديد.

  1. انتقل إلى صفحة MITRE ATT CK (معاينة).

  2. قم بإلغاء تحديد العناصر في القائمة المنسدلة Active.

  3. حدد استعلامات التتبع في عامل التصفية المحاكاة لمعرفة التقنيات التي لها استعلامات تتبع مقترنة بها.

    تظهر لقطة الشاشة صفحة MITRE ATT&CK مع تحديد خيار استعلامات التتبع المحاكاة.

  4. حدد البطاقة باستخدام التقنية التي تريدها.

  5. حدد الارتباط View بجوار استعلامات التتبع في أسفل جزء التفاصيل. ينقلك هذا الارتباط إلى طريقة عرض تمت تصفيتها لعلامة التبويب استعلامات في صفحة التتبع استنادا إلى التقنية التي حددتها.

    تظهر لقطة الشاشة طريقة عرض بطاقة MITRE ATT&CK مع ارتباط عرض استعلامات التتبع.

  6. حدد جميع الاستعلامات لهذه التقنية.

إنشاء مطاردة

هناك طريقتان أساسيتان لإنشاء مطاردة.

  1. إذا بدأت بفرضية حيث حددت الاستعلامات، فحدد القائمة >المنسدلة إجراءات التتبع إنشاء بحث جديد. يتم استنساخ جميع الاستعلامات التي حددتها لهذا البحث الجديد.

    تظهر لقطة الشاشة الاستعلامات المحددة واختيار خيار إنشاء قائمة بحث جديدة.

  2. إذا لم تكن قد قررت الاستعلامات بعد، فحدد علامة التبويب> Hunts (Preview) New Hunt لإنشاء عملية بحث فارغة.

    تظهر لقطة الشاشة القائمة لإنشاء بحث فارغ بدون استعلامات محددة مسبقا.

  3. املأ اسم الصيد والحقول الاختيارية. الوصف هو مكان جيد لفظ فرضيتك. القائمة المنسدلة الفرضية هي المكان الذي تقوم فيه بتعيين حالة فرضية العمل الخاصة بك.

  4. حدد إنشاء للبدء.

    تظهر لقطة الشاشة صفحة إنشاء الصيد مع اسم التتبع والوصف والمالك والحالة وحالة الفرضية.

عرض تفاصيل التتبع

  1. حدد علامة التبويب Hunts (Preview) لعرض عملية البحث الجديدة.

  2. حدد رابط البحث بالاسم لعرض التفاصيل واتخاذ الإجراءات.

    لقطة شاشة تعرض البحث الجديد في علامة تبويب التتبع.

  3. اعرض جزء التفاصيل مع اسم هانت والوصف والمحتوى ووقت التحديث الأخير ووقت الإنشاء.

  4. لاحظ علامات تبويب الاستعلامات والإشارات المرجعية والكيانات.

    لقطة شاشة تعرض تفاصيل الصيد.

علامة تبويب الاستعلامات

تحتوي علامة التبويب Queries على استعلامات تتبع خاصة بهذا البحث. هذه الاستعلامات هي نسخ من النسخ الأصلية، مستقلة عن جميع الاستعلامات الأخرى في مساحة العمل. قم بتحديثها أو حذفها دون التأثير على مجموعتك الإجمالية من استعلامات التتبع أو الاستعلامات في عمليات البحث الأخرى.

إضافة استعلام إلى البحث

  1. حدد إجراءات>الاستعلام إضافة استعلامات للبحث
  2. حدد الاستعلامات التي تريد إضافتها. تظهر لقطة الشاشة قائمة إجراءات الاستعلام في صفحة علامة تبويب الاستعلامات.

تفعيل الاستعلامات

  1. حدد تشغيل كافة الاستعلامات أو اختر استعلامات محددة وحدد تشغيل الاستعلامات المحددة.
  2. حدد إلغاء الأمر لإلغاء تنفيذ الاستعلام في أي وقت.

إدارة الاستعلامات

  1. انقر بزر الماوس الأيمن فوق استعلام وحدد أحد الإجراءات التالية من قائمة السياق:

    • تشغيل
    • تحرير
    • استنساخ
    • حذف
    • إنشاء قاعدة تحليلات

    تظهر لقطة الشاشة خيارات قائمة السياق بالنقر بزر الماوس الأيمن في علامة التبويب Queries في عملية بحث.

    تتصرف هذه الخيارات تماما مثل جدول الاستعلامات الموجود في صفحة التتبع ، باستثناء الإجراءات التي تنطبق فقط ضمن هذا البحث. عند اختيار إنشاء قاعدة تحليلات، يتم ملء الاسم والوصف واستعلام KQL مسبقا في إنشاء القاعدة الجديدة. يتم إنشاء ارتباط لعرض قاعدة التحليلات الجديدة الموجودة ضمن قواعد التحليلات ذات الصلة.

    لقطة شاشة تعرض تفاصيل الصيد مع قاعدة التحليلات ذات الصلة.

عرض النتائج

تسمح لك هذه الميزة برؤية نتائج استعلام التتبع في تجربة بحث Log Analytics. من هنا، قم بتحليل النتائج وتحسين الاستعلامات وإنشاء إشارات مرجعية لتسجيل المعلومات ومواصلة التحقيق في نتائج الصفوف الفردية.

  1. حدد الزر عرض النتائج.
  2. إذا قمت بالتمحور إلى جزء آخر من مدخل Microsoft Sentinel، ثم استعرض مرة أخرى للوصول إلى تجربة بحث سجل LA من صفحة البحث، فستظل جميع علامات تبويب استعلام LA.
  3. يتم فقدان علامات تبويب استعلام LA هذه إذا قمت بإغلاق علامة تبويب المستعرض. إذا كنت تريد الاحتفاظ بالاستعلامات على المدى الطويل، فستحتاج إلى حفظ الاستعلام أو إنشاء استعلام تتبع جديد أو نسخه إلى تعليق لاستخدامه لاحقا داخل عملية البحث.

أضف إشارة مرجعية

عندما تجد نتائج مثيرة للاهتمام أو صفوفا مهمة من البيانات، أضف هذه النتائج إلى البحث عن طريق إنشاء إشارة مرجعية. لمزيد من المعلومات، راجع استخدام الإشارات المرجعية للتتبع للتحقيقات في البيانات.

  1. حدد الصف أو الصفوف المطلوبة.

  2. أعلى جدول النتائج، حدد إضافة إشارة مرجعية. لقطة شاشة تعرض جزء إضافة إشارة مرجعية مع الحقول الاختيارية المملوءة.

  3. قم بتسمية الإشارة المرجعية.

  4. تعيين عمود وقت الحدث.

  5. تعيين معرفات الكيان.

  6. تعيين تكتيكات وتقنيات MITRE.

  7. إضافة علامات وإضافة ملاحظات.

    تحتفظ الإشارات المرجعية بنتائج الصف المحددة واستعلام KQL والنطاق الزمني الذي أنشأ النتيجة.

  8. حدد Create لإضافة الإشارة المرجعية إلى عملية البحث.

عرض الإشارات المرجعية

  1. انتقل إلى علامة تبويب إشارة البحث المرجعية لعرض الإشارات المرجعية.

    لقطة شاشة تعرض إشارة مرجعية مع فتح جميع تفاصيلها وقائمة إجراء التتبع.

  2. حدد إشارة مرجعية مطلوبة وقم بتنفيذ الإجراءات التالية:

    • حدد روابط الكيان لعرض صفحة كيان UEBA المقابلة.
    • عرض النتائج الأولية والعلامات والملاحظات.
    • حدد عرض استعلام المصدر لمشاهدة الاستعلام المصدر في Log Analytics.
    • حدد عرض سجلات الإشارات المرجعية لمشاهدة محتويات الإشارة المرجعية في جدول الإشارات المرجعية لتتبع Log Analytics.
    • حدد الزر Investigate لعرض الإشارة المرجعية والكيانات ذات الصلة في الرسم البياني للتحقيق.
    • حدد الزر تحرير لتحديث العلامات وتكتيكات MITRE وتقنياته والملاحظات.

التفاعل مع الكيانات

  1. انتقل إلى علامة التبويب Entities الخاصة بتتبعك لعرض الكيانات المضمنة في عملية الصيد والبحث فيها وتصفيتها. يتم إنشاء هذه القائمة من قائمة الكيانات في الإشارات المرجعية. تحل علامة التبويب Entities الإدخالات المكررة تلقائيا.

  2. حدد أسماء الكيانات لزيارة صفحة كيان UEBA المقابلة.

  3. انقر بزر الماوس الأيمن فوق الكيان لاتخاذ الإجراءات المناسبة لأنواع الكيانات، مثل إضافة عنوان IP إلى TI أو تشغيل دليل مبادئ محدد لنوع الكيان.

    لقطة شاشة تعرض قائمة السياق للكيانات.

إضافة تعليقات

تعد التعليقات مكانا ممتازا للتعاون مع الزملاء والحفاظ على الملاحظات وتوثيق النتائج.

  1. تحديد

  2. اكتب تعليقك وقم بتنسيقه في مربع التحرير.

  3. أضف نتيجة استعلام كارتباط للمتعاونين لفهم السياق بسرعة.

  4. حدد الزر تعليق لتطبيق تعليقاتك.

    لقطة شاشة تعرض مربع تحرير التعليق مع استعلام LA كارتباط.

إنشاء حوادث

هناك خياران لإنشاء الحوادث أثناء التتبع.

الخيار 1: استخدام الإشارات المرجعية.

  1. حدد إشارة مرجعية أو إشارات مرجعية.

  2. حدد الزر إجراءات الحادث.

  3. حدد Create new incident أو Add to existing incident

    لقطة شاشة تعرض قائمة إجراءات الحدث من نافذة الإشارات المرجعية.

    • لإنشاء حادث جديد، اتبع الخطوات الإرشادية. يتم ملء علامة تبويب الإشارات المرجعية مسبقا مع الإشارات المرجعية المحددة.
    • بالنسبة إلى Add to existing incident، حدد الحدث وحدد الزر Accept .

الخيار 2: استخدام إجراءات التتبع.

  1. حدد قائمة> تتبع الإجراءات إنشاء حادث، واتبع الخطوات الإرشادية.

    لقطة شاشة تعرض قائمة إجراءات التتبع من نافذة الإشارات المرجعية.

  2. أثناء الخطوة إضافة إشارات مرجعية، استخدم الإجراء إضافة إشارة مرجعية لاختيار الإشارات المرجعية من عملية البحث لإضافتها إلى الحدث. تقتصر على الإشارات المرجعية التي لم يتم تعيينها لحدث ما.

  3. بعد إنشاء الحدث، سيتم ربطه ضمن قائمة الحوادث ذات الصلة لهذا البحث.

تحديث الحالة

  1. عند التقاط أدلة كافية للتحقق من صحة فرضيتك أو إبطالها، قم بتحديث حالة الفرضية الخاصة بك.

    تظهر لقطة الشاشة تحديد قائمة حالة الفرضية.

  2. عندما تكتمل جميع الإجراءات المرتبطة بالتتبع، مثل إنشاء قواعد التحليلات أو الحوادث أو إضافة مؤشرات التسوية (IOCs) إلى TI، أغلق عملية البحث.

    لقطة شاشة تعرض تحديد قائمة حالة هانت.

تظهر تحديثات الحالة هذه في صفحة التتبع الرئيسية وتستخدم لتتبع المقاييس.

تعقب القياسات

تعقب النتائج الملموسة من نشاط التتبع باستخدام شريط المقاييس في علامة التبويب Hunts . تظهر المقاييس عدد الفرضيات التي تم التحقق من صحتها والحوادث الجديدة التي تم إنشاؤها والقواعد التحليلية الجديدة التي تم إنشاؤها. استخدم هذه النتائج لتحديد الأهداف أو الاحتفال بالأحداث الرئيسية لبرنامج التتبع الخاص بك.

لقطة شاشة تعرض مقاييس التتبع.

الخطوات التالية

في هذه المقالة، تعلمت كيفية تشغيل تحقيق في التتبع باستخدام ميزة التتبع في Microsoft Sentinel.

لمزيد من المعلومات، راجع: