فهم قدرات التحقيق في الحوادث وإدارة الحالة في Microsoft Sentinel
يمنحك Microsoft Sentinel نظاما أساسيا كاملا لإدارة الحالات كاملة الميزات للتحقيق في الحوادث الأمنية وإدارتها. الحوادث هي اسم Microsoft Sentinel لملفات الحالة التي تحتوي على ترتيب زمني كامل ومحدث باستمرار للتهديد الأمني، سواء كانت أجزاء فردية من الأدلة (التنبيهات)، أو المشتبه بهم والأطراف ذات الاهتمام (الكيانات)، أو الرؤى التي تم جمعها وتجميعها من قبل خبراء الأمان ونماذج الذكاء الاصطناعي/التعلم الآلي، أو التعليقات والسجلات لجميع الإجراءات المتخذة أثناء التحقيق.
تبدأ تجربة التحقيق في الحوادث في Microsoft Sentinel بصفحة الحوادث - تجربة جديدة مصممة لمنحك كل ما تحتاجه لتحقيقك في مكان واحد. الهدف الرئيسي لهذه التجربة الجديدة هو زيادة كفاءة وفعالية SOC، وتقليل متوسط وقت حلها (MTTR).
تنقلك هذه المقالة خلال مراحل التحقيق النموذجي في الحوادث، وتعرض جميع شاشات العرض والأدوات المتاحة لك لمساعدتك على طول.
زيادة نضج SOC
يمنحك Microsoft Sentinel الأدوات اللازمة لمساعدة عمليات الأمان (SecOps) على رفع مستوى النضج.
توحيد العمليات
مهام الحوادث هي قوائم مهام سير العمل للمحللين لمتابعة لضمان معيار موحد للرعاية ولمنع تفويت الخطوات الحاسمة. يمكن لمديري ومهندسي SOC تطوير قوائم المهام هذه وتطبيقها تلقائيا على مجموعات مختلفة من الحوادث حسب الاقتضاء، أو عبر اللوحة. يمكن لمحللي SOC بعد ذلك الوصول إلى المهام المعينة داخل كل حادث، ووضع علامة عليها عند اكتمالها. يمكن للمحللين أيضا إضافة المهام يدويا إلى حوادثهم المفتوحة، إما كتذكيرات ذاتية أو لصالح محللين آخرين قد يتعاونون في الحدث (على سبيل المثال، بسبب تغيير التحول أو التصعيد).
تعرف على المزيد حول مهام الحوادث.
تدقيق إدارة الحوادث
يتعقب سجل نشاط الحادث الإجراءات المتخذة في حادث ما، سواء تم بدؤها من قبل البشر أو العمليات التلقائية، ويعرضها مع جميع التعليقات على الحادث. يمكنك إضافة تعليقاتك الخاصة هنا أيضا. فهو يوفر لك سجلا كاملا لكل ما حدث، مما يضمن الشمولا والمساءلة.
التحقيق بفعالية وكفاءة
راجع المخطط الزمني
أول الأشياء أولا: كمحلل، السؤال الأساسي الذي تريد الإجابة عنه هو، لماذا يتم لفت انتباهي إلى هذا الحادث؟ سيؤدي إدخال صفحة تفاصيل الحدث إلى الإجابة عن هذا السؤال: مباشرة في وسط الشاشة، سترى عنصر واجهة مستخدم المخطط الزمني للحدث. الجدول الزمني هو يوميات جميع التنبيهات التي تمثل جميع الأحداث المسجلة ذات الصلة بالتحقيق، بالترتيب الذي حدثت به. كما يعرض المخطط الزمني إشارات مرجعية ولقطات من الأدلة التي تم جمعها أثناء التتبع وإضافتها إلى الحادث. راجع التفاصيل الكاملة لأي عنصر في هذه القائمة عن طريق تحديده. تظهر العديد من هذه التفاصيل - مثل التنبيه الأصلي وقاعدة التحليلات التي أنشأته وأي إشارات مرجعية - كارتباطات يمكنك تحديدها للتعمق أكثر ومعرفة المزيد.
تعرف على المزيد حول ما يمكنك القيام به من المخطط الزمني للحدث.
التعلم من الحوادث المماثلة
إذا كان أي شيء رأيته حتى الآن في حادثك يبدو مألوفا، فقد يكون هناك سبب وجيه. يبقى Microsoft Sentinel متقدما عليك بخطوة واحدة من خلال عرض الحوادث الأكثر تشابها مع تلك المفتوحة. يوضح لك عنصر واجهة مستخدم الحوادث المماثلة المعلومات الأكثر صلة حول الحوادث التي تعتبر متشابهة، بما في ذلك تاريخها ووقتها المحدثين الأخيرين، والمالك الأخير، والحالة الأخيرة (بما في ذلك، إذا تم إغلاقها، وسبب إغلاقها)، وسبب التشابه.
يمكن أن يفيد هذا التحقيق بعدة طرق:
- اكتشاف الحوادث المتزامنة التي قد تكون جزءا من استراتيجية هجوم أكبر.
- استخدم حوادث مماثلة كنقاط مرجعية لتحقيقك الحالي - راجع كيفية التعامل معها.
- تحديد مالكي الحوادث المماثلة السابقة للاستفادة من معرفتهم.
يوضح لك عنصر واجهة المستخدم 20 حادثا مشابها. يقرر Microsoft Sentinel الحوادث المتشابهة استنادا إلى العناصر الشائعة بما في ذلك الكيانات وقاعدة تحليلات المصدر وتفاصيل التنبيه. من عنصر واجهة المستخدم هذا يمكنك الانتقال مباشرة إلى أي من صفحات التفاصيل الكاملة لهذه الحوادث، مع الحفاظ على الاتصال بالحادث الحالي كما هو.
تعرف على المزيد حول ما يمكنك القيام به مع حوادث مماثلة.
فحص أفضل الرؤى
بعد ذلك، وجود الخطوط العريضة لما حدث (أو لا يزال يحدث)، وجود فهم أفضل للسياق، سوف تكون فضوليا حول المعلومات المثيرة للاهتمام التي اكتشفها Microsoft Sentinel بالفعل لك. يطرح تلقائيا الأسئلة الكبيرة حول الكيانات في حادثك ويعرض أفضل الإجابات في عنصر واجهة مستخدم Top insights ، مرئيا على الجانب الأيمن من صفحة تفاصيل الحادث. يعرض عنصر واجهة المستخدم هذا مجموعة من الرؤى استنادا إلى كل من تحليل التعلم الآلي والمجموعة من أفضل فرق خبراء الأمان.
هذه مجموعة فرعية محددة خصيصا من الرؤى التي تظهر على صفحات الكيان، ولكن في هذا السياق، يتم تقديم رؤى لجميع الكيانات في الحدث معا، مما يمنحك صورة أكثر اكتمالا لما يحدث. تظهر المجموعة الكاملة من الرؤى في علامة التبويب Entities لكل كيان على حدة - انظر أدناه.
يجيب عنصر واجهة المستخدم Top insights على أسئلة حول الكيان المتعلق بسلوكه مقارنة بأقرانه وتاريخه الخاص، أو وجوده على قوائم المشاهدة أو في التحليل الذكي للمخاطر، أو أي نوع آخر من التكرار غير العادي المتعلق به.
تحتوي معظم هذه الرؤى على ارتباطات لمزيد من المعلومات. تفتح هذه الارتباطات لوحة السجلات في السياق، حيث سترى الاستعلام المصدر لهذه الرؤى جنبا إلى جنب مع نتائجها.
عرض الكيانات
الآن بعد أن كان لديك بعض السياق وبعض الأسئلة الأساسية التي تم الإجابة عليها، ستحتاج إلى الحصول على مزيد من العمق حول اللاعبين الرئيسيين في هذه القصة. يمكن أن تكون أسماء المستخدمين وأسماء المضيفين وعناوين IP وأسماء الملفات وأنواع أخرى من الكيانات "أشخاصا مهتمين" بتحقيقك. يعثر Microsoft Sentinel عليها جميعا لك ويعرضها في المقدمة والوسط في عنصر واجهة مستخدم الكيانات ، جنبا إلى جنب مع المخطط الزمني. سيؤدي تحديد كيان من عنصر واجهة المستخدم هذا إلى تدويرك إلى قائمة هذا الكيان في علامة التبويب Entities في نفس صفحة الحدث.
تحتوي علامة التبويب Entities على قائمة بجميع الكيانات في الحدث. عند تحديد كيان في القائمة، يتم فتح لوحة جانبية تحتوي على عرض استنادا إلى صفحة الكيان. تحتوي اللوحة الجانبية على ثلاث بطاقات:
تحتوي المعلومات على معلومات أساسية حول الكيان. بالنسبة إلى كيان حساب المستخدم، قد تكون هذه أشياء مثل اسم المستخدم واسم المجال ومعرف الأمان (SID) والمعلومات التنظيمية ومعلومات الأمان والمزيد.
يحتوي المخطط الزمني على قائمة بالتنبيهات التي تتميز بهذا الكيان والأنشطة التي قام بها الكيان، كما تم جمعها من السجلات التي يظهر فيها الكيان.
تحتوي نتائج التحليلات على إجابات للأسئلة حول الكيان المتعلق بسلوكه مقارنة بأقرانه وتاريخه الخاص، أو وجوده على قوائم المشاهدة أو في التحليل الذكي للمخاطر، أو أي نوع آخر من التكرار غير العادي المتعلق به. هذه الإجابات هي نتائج الاستعلامات التي يحددها باحثو الأمان في Microsoft والتي توفر معلومات أمان قيمة وسياقية على الكيانات، استنادا إلى بيانات من مجموعة من المصادر.
اعتبارا من نوفمبر 2023، تتضمن لوحة Insights الجيل التالي من الرؤى، المتوفرة في PREVIEW، في شكل عناصر واجهة مستخدم للإثراء، جنبا إلى جنب مع الرؤى الحالية. للاستفادة من عناصر واجهة المستخدم الجديدة هذه، يجب تمكين تجربة عنصر واجهة المستخدم.
اعتمادا على نوع الكيان، يمكنك اتخاذ عدد من الإجراءات الإضافية من هذه اللوحة الجانبية:
- قم بالتمحور إلى صفحة الكيان الكامل للكيان للحصول على مزيد من التفاصيل على مدار فترة زمنية أطول أو قم بتشغيل أداة التحقيق الرسومية التي تركز على هذا الكيان.
- قم بتشغيل دليل المبادئ لاتخاذ إجراءات استجابة أو معالجة محددة على الكيان (في المعاينة).
- تصنيف الكيان كمؤشر للتسوية (IOC) وإضافته إلى قائمة التحليل الذكي للمخاطر.
يتم دعم كل إجراء من هذه الإجراءات حاليا لبعض أنواع الكيانات وليس للآخرين. يوضح الجدول التالي الإجراءات المعتمدة لأي أنواع الكيانات:
| الإجراءات المتوفرة ▶ أنواع الكيانات ▼ |
عرض التفاصيل الكاملة (في صفحة الكيان) |
إضافة إلى TI * | تشغيل دليل المبادئ * (معاينة) |
|---|---|---|---|
| حساب المستخدم | ✔ | ✔ | |
| المضيف | ✔ | ✔ | |
| عنوان IP | ✔ | ✔ | ✔ |
| عنوان URL | ✔ | ✔ | |
| اسم المجال | ✔ | ✔ | |
| ملف (تجزئة) | ✔ | ✔ | |
| مورد Azure | ✔ | ||
| جهاز IoT | ✔ |
* بالنسبة للكيانات التي تتوفر لها إجراءات Add to TI أو Run playbook ، يمكنك اتخاذ هذه الإجراءات مباشرة من عنصر واجهة المستخدم Entities في علامة التبويب Overview، دون مغادرة صفحة الحدث.
استكشاف السجلات
الآن سوف تحتاج إلى الحصول على أسفل في التفاصيل لمعرفة ما حدث بالضبط؟ من أي من الأماكن المذكورة أعلاه تقريبا، يمكنك التنقل لأسفل في التنبيهات الفردية والكيانات والرؤى والعناصر الأخرى الواردة في الحدث، وعرض الاستعلام الأصلي ونتائجه. يتم عرض هذه النتائج في شاشة السجلات (تحليلات السجل) التي تظهر هنا كملحق لوحة لصفحة تفاصيل الحادث، لذلك لا تترك سياق التحقيق.
الاحتفاظ بالسجلات بالترتيب
وأخيرا، من أجل الشفافية والمساءلة والاستمرارية، ستحتاج إلى سجل بجميع الإجراءات التي تم اتخاذها بشأن الحادث - سواء من خلال العمليات التلقائية أو من قبل الأشخاص. يعرض لك سجل نشاط الحدث كل هذه الأنشطة. يمكنك أيضا مشاهدة أي تعليقات تم إجراؤها وإضافة تعليقاتك الخاصة. يتم تحديث سجل النشاط تلقائيا باستمرار، حتى أثناء الفتح، حتى تتمكن من رؤية التغييرات التي تطرأ عليه في الوقت الفعلي.
الخطوات التالية
في هذا المستند، تعلمت كيف تساعدك تجربة التحقيق في الحوادث في Microsoft Sentinel على إجراء تحقيق في سياق واحد. لمزيد من المعلومات حول إدارة الحوادث والتحقيق فيها، راجع المقالات التالية:
- استخدام المهام لإدارة الحوادث في Microsoft Sentinel
- تحقق من الكيانات ذات صفحات الكيان في Microsoft Sentinel.
- أتمتة معالجة الحوادث في Microsoft Sentinel باستخدام قواعد التشغيل التلقائي.
- تحديد التهديدات المتقدمة باستخدام تحليلات سلوك المستخدم والكيان (UEBA) في Microsoft Azure Sentinel
- تتبع التهديدات الأمنية.