Share via

التنقل والتحقيق في الحوادث في Microsoft Sentinel

  • مقالة

يمنحك Microsoft Sentinel نظاما أساسيا كاملا لإدارة الحالات كاملة الميزات للتحقيق في الحوادث الأمنية. صفحة تفاصيل الحادث هي موقعك المركزي الذي يمكنك من خلاله تشغيل التحقيق الخاص بك، وجمع جميع المعلومات ذات الصلة وجميع الأدوات والمهام القابلة للتطبيق في شاشة واحدة.

تنقلك هذه المقالة عبر جميع اللوحات والخيارات المتوفرة في صفحة تفاصيل الحادث، مما يساعدك على التنقل والتحقيق في الحوادث بسرعة وفعالية وكفاءة أكبر، وتقليل متوسط الوقت لحلها (MTTR).

راجع إرشادات الإصدار السابق من التحقيق في الحادث.

الحوادث هي ملفات الحالة الخاصة بك التي تحتوي على تجميع لجميع الأدلة ذات الصلة لتحقيقات محددة. يتم إنشاء كل حادث (أو إضافته إلى) استنادا إلى أجزاء من الأدلة (التنبيهات) التي تم إنشاؤها إما بواسطة قواعد التحليلات أو استيرادها من منتجات أمان تابعة لجهة خارجية تنتج تنبيهاتها الخاصة. ترث الحوادث الكيانات المضمنة في التنبيهات، بالإضافة إلى خصائص التنبيهات، مثل الخطورة والحالة وتكتيكات وتقنيات MITRE ATT&CK.

المتطلبات الأساسية

  • مطلوب تعيين دور مستجيب Microsoft Sentinel للتحقيق في الحوادث.

    تعرف على المزيد حول الأدوار في Microsoft Sentinel.

  • إذا كان لديك مستخدم ضيف يحتاج إلى تعيين حوادث، فيجب تعيين دور قارئ الدليل للمستخدم في مستأجر Microsoft Entra. يتم تعيين هذا الدور للمستخدمين العاديين (غير الضيوف) افتراضياً.

صفحة الحوادث

  1. من قائمة التنقل في Microsoft Sentinel، ضمن Threat management، حدد Incidents.

    تمنحك صفحة الحوادث معلومات أساسية حول جميع الحوادث المفتوحة.

    • عبر الجزء العلوي من الشاشة لديك عدد الحوادث المفتوحة، سواء كانت جديدة أو نشطة، وعدد الحوادث المفتوحة حسب الخطورة. لديك أيضا الشعار مع الإجراءات التي يمكنك اتخاذها خارج حادث معين - إما على الشبكة ككل، أو على عدة حوادث محددة.

    • في الجزء المركزي، لديك شبكة الحوادث، وقائمة بالحوادث كما تمت تصفيتها بواسطة عناصر تحكم التصفية في أعلى القائمة، وشريط بحث للعثور على حوادث معينة.

    • على الجانب الأيمن، لديك جزء تفاصيل يعرض معلومات مهمة حول الحادث تم تمييزه في القائمة المركزية، بالإضافة إلى أزرار لاتخاذ إجراءات محددة معينة فيما يتعلق بهذا الحادث.

    Screenshot of view of incident severity.

  2. قد يكون لدى فريق عمليات الأمان قواعد أتمتة لتنفيذ الفرز الأساسي للحوادث الجديدة وتعيينها للموظفين المناسبين.

    في هذه الحالة، قم بتصفية قائمة الحوادث حسب المالك لتحديد القائمة بالحوادث المعينة لك أو لفريقك. تمثل هذه المجموعة التي تمت تصفيتها حمل العمل الشخصي الخاص بك.

    وإلا، يمكنك إجراء الفرز الأساسي بنفسك. يمكنك البدء بتصفية قائمة الأحداث حسب معايير التصفية المتوفرة، سواء كانت الحالة أو الخطورة أو اسم المنتج. لمزيد من المعلومات، راجع البحث عن الحوادث.

  3. فرز حادث معين واتخاذ بعض الإجراءات على الفور، مباشرة من جزء التفاصيل في صفحة الحوادث، دون الحاجة إلى إدخال صفحة التفاصيل الكاملة للحادث.

    • التحقيق في أحداث Microsoft Defender XDR في Microsoft Defender XDR: اتبع رابط التحقيق في Microsoft Defender XDR للتمحور حول الحادث المتوازي في مدخل Defender. ستتم مزامنة أي تغييرات تجريها على الحدث في Microsoft Defender XDR مع نفس الحدث في Microsoft Sentinel.

    • افتح قائمة المهام المعينة: ستعرض الحوادث التي تم تعيين أي مهام لها عدد المهام المكتملة والإجمالية وارتباط عرض التفاصيل الكاملة. اتبع الارتباط لفتح لوحة مهام الحادث لمشاهدة قائمة المهام لهذا الحدث.

    • تعيين ملكية الحدث إلى مستخدم أو مجموعة عن طريق التحديد من القائمة المنسدلة المالك .

      Screenshot of assigning incident to user.

      سيظهر المستخدمون والمجموعات التي تم تحديدها مؤخرا في أعلى القائمة المنسدلة المصورة.

    • قم بتحديث حالة الحدث (على سبيل المثال، من جديد إلى نشط أو مغلق) عن طريق التحديد من القائمة المنسدلة الحالة . عند إغلاق حادث، سيطلب منك تحديد سبب. انظر أدناه للحصول على الإرشادات.

    • قم بتغيير خطورة الحدث عن طريق التحديد من القائمة المنسدلة Severity .

    • أضف علامات لتصنيف الحوادث. قد تحتاج إلى التمرير لأسفل إلى أسفل جزء التفاصيل لمعرفة مكان إضافة العلامات.

    • أضف تعليقات لتسجيل الإجراءات والأفكار والأسئلة والمزيد. قد تحتاج إلى التمرير لأسفل إلى أسفل جزء التفاصيل لمعرفة مكان إضافة التعليقات.

  4. إذا كانت المعلومات الموجودة في جزء التفاصيل كافية لمطالبة المزيد من إجراءات المعالجة أو التخفيف، فحدد الزر Actions في أسفل جزء التفاصيل للقيام بأحد الإجراءات التالية:

    • التحقيق: استخدم أداة التحقيق الرسومية لاكتشاف العلاقات بين التنبيهات والكيانات والأنشطة، سواء داخل هذا الحدث أو عبر الحوادث الأخرى.

    • تشغيل دليل المبادئ (معاينة): قم بتشغيل دليل المبادئ على هذا الحدث لاتخاذ إجراءات إثراء أو تعاون أو استجابة معينة مثل مهندسي SOC الذين قد قاموا بتوفيرها.

    • إنشاء قاعدة التشغيل التلقائي: إنشاء قاعدة أتمتة ستعمل فقط على حوادث مثل هذه (التي تم إنشاؤها بواسطة نفس قاعدة التحليلات) في المستقبل، من أجل تقليل حمل العمل المستقبلي أو لحساب تغيير مؤقت في المتطلبات (مثل اختبار الاختراق).

    • إنشاء فريق (معاينة): أنشئ فريقا في Microsoft Teams للتعاون مع أفراد أو فرق أخرى عبر الأقسام في التعامل مع الحادث.

    Screenshot of menu of actions that can be performed on an incident from the details pane.

  5. إذا كانت هناك حاجة إلى مزيد من المعلومات حول الحادث، فحدد عرض التفاصيل الكاملة في جزء التفاصيل لفتح تفاصيل الحادث والاطلاع عليها بالكامل، بما في ذلك التنبيهات والكيانات في الحدث، وقائمة بالحوادث المماثلة، وأعلى الرؤى المحددة.

راجع الأقسام التالية من هذه المقالة لاتباع مسار تحقيق نموذجي، والتعلم في العملية حول جميع المعلومات التي ستراها هناك، وجميع الإجراءات التي يمكنك اتخاذها.

التحقيق في الحادث الخاص بك بعمق

يوفر Microsoft Sentinel تجربة كاملة كاملة المعالم للتحقيق في الحوادث وإدارة الحالة حتى تتمكن من التحقيق في الحوادث ومعالجتها وحلها بسرعة وكفاءة أكبر. فيما يلي صفحة تفاصيل الحادث الجديد:

Screenshot of incident details page, featuring the overview tab.

إعداد الأرض بشكل صحيح

أثناء الإعداد للتحقيق في حادث، قم بتجميع الأشياء التي ستحتاجها لتوجيه سير العمل الخاص بك. ستجد الأدوات التالية على شريط الأزرار في أعلى صفحة الحدث، أسفل العنوان مباشرة.

Screenshot of the button bar on the incident details page.

  1. حدد المهام لمشاهدة المهام المعينة لهذا الحدث، أو لإضافة المهام الخاصة بك.

    تعرف على المزيد حول استخدام مهام الحوادث لتحسين توحيد العمليات في SOC الخاص بك.

  2. حدد سجل النشاط لمعرفة ما إذا كانت هناك أي إجراءات قد تم اتخاذها بالفعل في هذا الحدث - عن طريق قواعد التشغيل التلقائي، على سبيل المثال - وأي تعليقات تم إجراؤها. يمكنك إضافة تعليقاتك الخاصة هنا أيضا. راجع المزيد حول سجل النشاط أدناه.

  3. حدد Logs في أي وقت لفتح نافذة استعلام Log analytics كاملة وفارغة داخل صفحة الحدث. إنشاء استعلام وتشغيله، ذي صلة أم لا، دون مغادرة الحدث. لذلك، عندما تدهشك الإلهام المفاجئ لملاحقة فكرة ما، لا تقلق بشأن مقاطعة تدفقك. السجلات موجودة لك.

    اطلع على المزيد حول السجلات أدناه.

سترى أيضا الزر إجراءات الحادث مقابل علامات التبويب نظرة عامة والكيانات. هنا لديك نفس الإجراءات الموضحة أعلاه كما هو متاح من زر الإجراءات في جزء التفاصيل في صفحة شبكة الحوادث . الوحيد المفقود هناك هو التحقيق، والذي يتوفر على لوحة التفاصيل اليسرى.

Screenshot of incident actions button available on incident details page.

لخلاصة الإجراءات المتوفرة ضمن الزر إجراءات الحادث:

  • تشغيل دليل المبادئ: قم بتشغيل دليل المبادئ على هذا الحادث لاتخاذ إجراءات إثراء أو تعاون أو استجابة معينة مثل مهندسي SOC الذين قد قاموا بتوفيرها.

  • إنشاء قاعدة التشغيل التلقائي: إنشاء قاعدة أتمتة ستعمل فقط على حوادث مثل هذه (التي تم إنشاؤها بواسطة نفس قاعدة التحليلات) في المستقبل، من أجل تقليل حمل العمل المستقبلي أو لحساب تغيير مؤقت في المتطلبات (مثل اختبار الاختراق).

  • إنشاء فريق (معاينة): أنشئ فريقا في Microsoft Teams للتعاون مع أفراد أو فرق أخرى عبر الأقسام في التعامل مع الحادث. إذا تم بالفعل إنشاء فريق لهذا الحدث، فسيتم عرض عنصر القائمة هذا ك Open Teams.

الحصول على الصورة بأكملها على صفحة تفاصيل الحادث

تحتوي اللوحة اليسرى لصفحة تفاصيل الحادث على نفس معلومات تفاصيل الحادث التي رأيتها في صفحة الحوادث على يمين الشبكة، ولم تتغير إلى حد كبير عن الإصدار السابق. هذه اللوحة معروضة دائما، بغض النظر عن علامة التبويب التي تظهر على بقية الصفحة. من هناك، يمكنك مشاهدة المعلومات الأساسية للحادث، والتنقل لأسفل بالطرق التالية:

  • حدد الأحداث أو التنبيهات أو الإشارات المرجعية لفتح لوحة السجلات داخل صفحة الحدث. سيتم عرض لوحة السجلات مع الاستعلام عن أي من الثلاثة التي حددتها، ويمكنك الانتقال من خلال نتائج الاستعلام بعمق، دون التمحور بعيدا عن الحدث. تعرف على المزيد حول السجلات.

  • حدد أي من الإدخالات ضمن Entities لعرضها في علامة التبويب Entities. (تظهر الكيانات الأربعة الأولى فقط في الحدث هنا. راجع الباقي عن طريق تحديد عرض الكل، أو في عنصر واجهة مستخدم الكيانات في علامة التبويب نظرة عامة، أو في علامة التبويب الكيانات.) تعرف على ما يمكنك القيام به في علامة التبويب Entities.

    Screenshot of details panel in incident details page.

يمكنك أيضا تحديد التحقيق لفتح الحادث في أداة التحقيق الرسومية التي ترسم رسما تخطيطيا للعلاقات بين جميع عناصر الحدث.

يمكن أيضا طي هذه اللوحة في الهامش الأيسر من الشاشة عن طريق تحديد السهم المزدوج الصغير الذي يشير إلى اليسار بجوار القائمة المنسدلة المالك . ومع ذلك، حتى في هذه الحالة المصغرة، ستظل قادرا على تغيير المالك والحالة والخطورة.

Screenshot of collapsed side panel on incident details page.

يتم تقسيم بقية صفحة تفاصيل الحادث إلى نقطتي تبويب، نظرة عامة وكيانات.

تحتوي علامة التبويب نظرة عامة على عناصر واجهة المستخدم التالية، كل منها يمثل هدفا أساسيا للتحقيق الخاص بك.

تعرض لك علامة التبويب Entities القائمة الكاملة للكيانات في الحدث (نفس الكيانات كما هو الحال في عنصر واجهة مستخدم الكيانات أعلاه). عند تحديد كيان في عنصر واجهة المستخدم، يتم توجيهك هنا لمشاهدة ملف الكيان الكامل - معلومات التعريف الخاصة به، وجدول زمني لنشاطه (داخل الحدث وخارجه)، ومجموعة كاملة من الرؤى حول الكيان، تماما كما سترى في صفحة الكيان الكاملة (ولكن يقتصر على الإطار الزمني المناسب للحادث).

المخطط الزمني للحوادث

يعرض لك عنصر واجهة مستخدم المخطط الزمني للحدث المخطط الزمني للتنبيهات والإشاراتالمرجعية في الحدث، والتي يمكن أن تساعدك على إعادة إنشاء المخطط الزمني لنشاط المهاجم.

يمكنك البحث في قائمة التنبيهات والإشارات المرجعية، أو تصفية القائمة حسب الخطورة أو التكتيكات أو نوع المحتوى (تنبيه أو إشارة مرجعية)، لمساعدتك في العثور على العنصر الذي تريد متابعته.

يخبرك العرض الأولي للمخطط الزمني على الفور بالعديد من الأشياء المهمة حول كل عنصر فيه، سواء كان تنبيها أو إشارة مرجعية:

  • تاريخ ووقت إنشاء التنبيه أو الإشارة المرجعية.
  • نوع العنصر أو التنبيه أو الإشارة المرجعية، المشار إليها بواسطة أيقونة وتصنيف الأدوات عند التمرير فوق الأيقونة.
  • اسم التنبيه أو الإشارة المرجعية، بنوع غامق في السطر الأول من العنصر.
  • شدة التنبيه، المشار إليها بواسطة شريط ألوان على طول الحافة اليسرى، وفي شكل كلمة في بداية "العنوان الفرعي" المكون من ثلاثة أجزاء للتنبيه.
  • موفر التنبيه، في الجزء الثاني من العنوان الفرعي. بالنسبة إلى الإشارات المرجعية، منشئ الإشارة المرجعية.
  • تكتيكات MITRE ATT&CK المرتبطة بالتنبيه، المشار إليها بواسطة الأيقونات والأدوات تلميحات، في الجزء الثالث من العنوان الفرعي.

مرر مؤشر الماوس فوق أي أيقونة أو عنصر نصي غير مكتمل لرؤية تلميح أداة مع النص الكامل لتلك الأيقونة أو عنصر النص. هذه الأداة تلميحات تكون مفيدة عند اقتطاع النص المعروض بسبب العرض المحدود لعنص واجهة المستخدم. راجع المثال في لقطة الشاشة هذه:

Screenshot of incident timeline display details.

حدد تنبيها فرديا أو إشارة مرجعية للاطلاع على تفاصيلها الكاملة.

  • تتضمن تفاصيل التنبيه خطورة التنبيه وحالته، وقواعد التحليلات التي أنشأته، والمنتج الذي أصدر التنبيه، والكيانات المذكورة في التنبيه، وتكتيكات وتقنيات MITRE ATT&CK المرتبطة به، ومعرف تنبيه النظام الداخلي.

    حدد رابط معرف تنبيه النظام للتنقل لأسفل بشكل أكبر في التنبيه، وفتح لوحة السجلات وعرض الاستعلام الذي أنشأ النتائج والأحداث التي أدت إلى تشغيل التنبيه.

  • لا تتطابق تفاصيل الإشارة المرجعية تماما مع تفاصيل التنبيه؛ بينما تتضمن أيضا الكيانات وتكتيكات وتقنيات MITRE ATT&CK ومعرف الإشارة المرجعية، فإنها تتضمن أيضا النتيجة الأولية ومعلومات منشئ الإشارة المرجعية.

    حدد الارتباط عرض سجلات الإشارات المرجعية لفتح لوحة السجلات وعرض الاستعلام الذي أنشأ النتائج التي تم حفظها كإشارة مرجعية.

    Screenshot of the details of an alert displayed in the incident details page.

من عنصر واجهة مستخدم المخطط الزمني للحدث، يمكنك أيضا اتخاذ الإجراءات التالية على التنبيهات والإشارات المرجعية:

حوادث مماثلة

بصفتك محللاً للعمليات الأمنية، عند التحقيق في حادث ما، ستحتاج إلى الانتباه إلى سياقه الأكبر. على سبيل المثال، ستحتاج إلى معرفة ما إذا كانت حوادث أخرى مثل هذه قد حدثت من قبل أو تحدث الآن.

  • قد ترغب في تحديد الحوادث المتزامنة التي قد تكون جزءاً من نفس استراتيجية الهجوم الأكبر.

  • قد ترغب في تحديد حوادث مماثلة في الماضي، لاستخدامها كنقاط مرجعية للتحقيق الحالي.

  • قد ترغب في تحديد مالكي الحوادث المماثلة السابقة، للعثور على الأشخاص في SOC الذين يمكنهم توفير المزيد من السياق، أو الذين يمكنك تصعيد التحقيق إليهم.

يقدم عنصر واجهة مستخدم الحوادث المماثلة في صفحة تفاصيل الحادث ما يصل إلى 20 حادثا آخرا هي الأكثر تشابها مع الحدث الحالي. يتم حساب التشابه بواسطة خوارزميات Microsoft Azure Sentinel الداخلية، ويتم فرز الحوادث وعرضها بترتيب تنازلي للتشابه.

Screenshot of the similar incidents display.

كما هو الحال مع عنصر واجهة مستخدم المخطط الزمني للحدث، يمكنك تمرير الماوس فوق أي نص يتم عرضه بشكل غير كامل بسبب عرض العمود للكشف عن النص الكامل.

هناك ثلاثة معايير يتم من خلالها تحديد التشابه:

  • الكيانات المشابهة: يعتبر الحادث مشابها لحادث آخر إذا كان كلاهما يتضمن نفس كيانات. وكلما زاد عدد الكيانات المشتركة بين حادثتين، كلما اعتبرا أكثر تشابهاً.

  • قاعدة مشابهة: يعتبر الحادث مشابهاً لحادث آخر إذا تم إنشاؤه بواسطة نفس قاعدة التحليلات.

  • تفاصيل تنبيه مشابهة: يعتبر الحادث مشابهاً لحادث آخر إذا كان يشارك نفس العنوان و/أو اسم المنتج و/أو التفاصيل المخصصة.

يتم عرض أسباب ظهور حادث في قائمة الحوادث المشابهة في العمود سبب التشابه. مرر مؤشر الماوس فوق أيقونة المعلومات لإظهار العناصر الشائعة (الكيانات أو اسم القاعدة أو التفاصيل).

Screenshot of pop-up display of similar incident details.

يتم حساب تشابه الحادث بناء على بيانات من 14 يوماً قبل آخر نشاط في الحادث، وهو وقت انتهاء أحدث تنبيه في الحادث.

تتم إعادة حساب تشابه الحوادث في كل مرة تدخل فيها صفحة تفاصيل الحادث، لذلك قد تختلف النتائج بين الجلسات إذا تم إنشاء حوادث جديدة أو تحديثها.

الحصول على أفضل الرؤى حول الحادث الخاص بك

قام خبراء الأمان في Microsoft Sentinel ببناء استعلامات تطرح تلقائيا الأسئلة الكبيرة حول الكيانات في الحادث الخاص بك. يمكنك مشاهدة أفضل الإجابات في عنصر واجهة مستخدم Top insights ، مرئية على الجانب الأيمن من صفحة تفاصيل الحادث. يعرض عنصر واجهة المستخدم هذا مجموعة من الرؤى استنادا إلى كل من تحليل التعلم الآلي والمجموعة من أفضل فرق خبراء الأمان.

هذه هي بعض الرؤى نفسها التي تظهر على صفحات الكيان، محددة خصيصا لمساعدتك على الفرز بسرعة وفهم نطاق التهديد. لنفس السبب، يتم تقديم رؤى لجميع الكيانات في الحدث معا لمنحك صورة أكثر اكتمالا لما يحدث.

فيما يلي أهم الرؤى المحددة حاليا (القائمة عرضة للتغيير):

  1. الإجراءات حسب الحساب.
  2. الإجراءات على الحساب.
  3. نتائج تحليلات UEBA.
  4. مؤشرات التهديد المتعلقة بالمستخدم.
  5. نتائج تحليلات قائمة المشاهدة (معاينة).
  6. عدد كبير بشكل غير مألوف لحدث أمان.
  7. نشاط تسجيل الدخول إلى Windows.
  8. اتصالات عنوان IP البعيدة.
  9. اتصالات عنوان IP عن بعد مع تطابق TI.

تحتوي كل نتيجة تحليلات (باستثناء تلك المتعلقة بقوائم المشاهدة، في الوقت الحالي) على ارتباط يمكنك تحديده لفتح الاستعلام الأساسي في لوحة السجلات التي تفتح في صفحة الحدث. يمكنك بعد ذلك التنقل لأسفل في نتائج الاستعلام.

الإطار الزمني لأداة Top insights هو من 24 ساعة قبل أقرب تنبيه في الحادث حتى وقت آخر تنبيه.

استكشاف كيانات الحدث

يعرض لك عنصر واجهة مستخدم الكيانات جميع الكياناتالتي تم تحديدها في التنبيهات في الحدث. هذه هي الكائنات التي لعبت دورا في الحادث، سواء كانت مستخدمين أو أجهزة أو عناوين أو ملفات أو أي أنواع أخرى.

يمكنك البحث في قائمة الكيانات في عنصر واجهة مستخدم الكيانات، أو تصفية القائمة حسب نوع الكيان، لمساعدتك في العثور على كيان.

Screenshot of the actions you can take on an entity from the overview tab.

إذا كنت تعرف بالفعل أن كيانا معينا هو مؤشر معروف للتسوية، فحدد النقاط الثلاث في صف الكيان واختر إضافة إلى TIلإضافة الكيان إلى التحليل الذكي للمخاطر. (يتوفر هذا الخيار أنواع الكيانات المدعومة.)

إذا كنت تريد تشغيل تسلسل استجابة تلقائي لكيان معين، فحدد النقاط الثلاث واختر تشغيل دليل المبادئ (معاينة). (يتوفر هذا الخيار أنواع الكيانات المدعومة.)

حدد كيانا للاطلاع على تفاصيله الكاملة. عند تحديد كيان، ستنتقل من علامة التبويب Overview إلى علامة التبويب Entities، وهي جزء آخر من صفحة تفاصيل الحادث.

علامة تبويب الكيانات

تعرض علامة التبويب Entities قائمة بجميع الكيانات في الحدث.

Screenshot of entities tab in incident details page.

مثل عنصر واجهة مستخدم الكيانات، يمكن أيضا البحث في هذه القائمة وتصفيتها حسب نوع الكيان. لن تنطبق عمليات البحث وعوامل التصفية المطبقة في قائمة واحدة على الأخرى.

حدد صفا في القائمة لعرض معلومات ذلك الكيان في لوحة جانبية إلى اليمين.

إذا ظهر اسم الكيان كارتباط، سيؤدي تحديد اسم الكيان إلى إعادة توجيهك إلى صفحة الكيان الكامل، خارج صفحة التحقيق في الحادث. لعرض اللوحة الجانبية فقط دون مغادرة الحدث، حدد الصف في القائمة التي يظهر فيها الكيان، ولكن لا تحدد اسمه.

يمكنك اتخاذ نفس الإجراءات هنا التي يمكنك اتخاذها من عنصر واجهة المستخدم في صفحة النظرة العامة. حدد النقاط الثلاث في صف الكيان إما لتشغيل دليل المبادئ أو إضافة الكيان إلى تحليل ذكي للمخاطر.

يمكنك أيضا اتخاذ هذه الإجراءات عن طريق تحديد الزر بجوار عرض التفاصيل الكاملة في أسفل اللوحة الجانبية. سيقرأ الزر إما إضافة إلى TI أو تشغيل دليل المبادئ (معاينة) أو إجراءات الكيان - وفي هذه الحالة ستظهر قائمة مع الخيارين الآخرين.

سيقوم زر عرض التفاصيل الكاملة نفسه بإعادة توجيهك إلى صفحة الكيان الكامل للكيان.

تتميز اللوحة الجانبية بثلاث بطاقات:

  • تحتوي المعلومات على معلومات تعريف حول الكيان. على سبيل المثال، بالنسبة إلى كيان حساب المستخدم، قد تكون هذه أشياء مثل اسم المستخدم واسم المجال ومعرف الأمان (SID) والمعلومات التنظيمية ومعلومات الأمان والمزيد، وبالنسبة لعنوان IP، فإنه سيتضمن، على سبيل المثال، الموقع الجغرافي.

  • يحتوي المخطط الزمني على قائمة بالتنبيهات والإشارات المرجعية والشذوذ الذي يتميز به هذا الكيان، وكذلك الأنشطة التي قام بها الكيان، كما تم جمعها من السجلات التي يظهر فيها الكيان. ستكون جميع التنبيهات التي تتضمن هذا الكيان في هذه القائمة، سواء كانت التنبيهات تنتمي إلى هذا الحدث أم لا .

    سيتم عرض التنبيهات التي ليست جزءا من الحدث بشكل مختلف: سيتم تمييز أيقونة الدرع باللون الرمادي، وسيكون نطاق ألوان الخطورة خطا منقطا بدلا من خط متصل، وسيكون هناك زر مع علامة الجمع على الجانب الأيمن من صف التنبيه.

    Screenshot of entity timeline in entities tab.

    حدد علامة الجمع لإضافة التنبيه إلى هذا الحدث. عند إضافة التنبيه إلى الحدث، تتم أيضا إضافة جميع الكيانات الأخرى للتنبيه (التي لم تكن جزءا من الحدث بالفعل) إليه. الآن يمكنك توسيع نطاق التحقيق الخاص بك من خلال النظر في الجداول الزمنية لتلك الكيانات للتنبيهات ذات الصلة.

    يقتصر هذا المخطط الزمني على التنبيهات والأنشطة خلال الأيام السبعة السابقة. للانتقال إلى أبعد من ذلك، قم بالتمحور إلى المخطط الزمني في صفحة الكيان الكامل، التي يكون إطارها الزمني قابلا للتخصيص.

  • تحتوي نتائج التحليلات على نتائج الاستعلامات التي يحددها باحثو أمان Microsoft والتي توفر معلومات أمان قيمة وسياقية على الكيانات، استنادا إلى بيانات من مجموعة من المصادر. تتضمن هذه الرؤى تلك من عنصر واجهة مستخدم Top insights وغيرها الكثير؛ وهي نفس تلك التي تظهر في صفحة الكيان الكامل، ولكن على مدى إطار زمني محدود: بدءا من 24 ساعة قبل أقرب تنبيه في الحدث، وتنتهي بوقت آخر تنبيه.

    تحتوي معظم نتائج التحليلات على ارتباطات، عند تحديدها، افتح لوحة السجلات التي تعرض الاستعلام الذي أنشأ نتيجة التحليلات جنبا إلى جنب مع نتائجها.

ركز على تحقيقك

تعرف على كيفية توسيع نطاق التحقيق أو تضييقه إما عن طريق إضافة تنبيهات إلى حوادثك أو إزالة تنبيهات من الحوادث.

التعمق في بياناتك في السجلات

من أي مكان تقريبا في تجربة التحقيق، ستتمكن من تحديد ارتباط يفتح استعلاما أساسيا في لوحة السجلات ، في سياق التحقيق. إذا وصلت إلى لوحة السجلات من أحد هذه الارتباطات، فسيظهر الاستعلام المقابل في نافذة الاستعلام، وسيتم تشغيل الاستعلام تلقائيا وإنشاء النتائج المناسبة لاستكشافها.

يمكنك أيضا استدعاء لوحة سجلات فارغة داخل صفحة تفاصيل الحادث في أي وقت، إذا كنت تفكر في استعلام تريد تجربته أثناء التحقيق، مع البقاء في السياق. للقيام بذلك، حدد Logs في أعلى الصفحة.

ومع ذلك، ينتهي بك الأمر في لوحة السجلات، إذا قمت بتشغيل استعلام تريد حفظ نتائجه:

  1. ضع علامة على خانة الاختيار الموجودة بجانب الصف الذي تريد حفظه من بين النتائج. لحفظ جميع النتائج، ضع علامة على خانة الاختيار في أعلى العمود.

  2. احفظ النتائج التي تم وضع علامة عليها كإشارة مرجعية. لديك خياران للقيام بذلك:

    • حدد إضافة إشارة مرجعية إلى الحدث الحالي لإنشاء إشارة مرجعية وإضافتها إلى الحدث المفتوح. اتبع إرشادات الإشارة المرجعية لإكمال العملية. بمجرد الانتهاء، ستظهر الإشارة المرجعية في المخطط الزمني للحدث.

    • حدد إضافة إشارة مرجعية لإنشاء إشارة مرجعية دون إضافتها إلى أي حادث. اتبع إرشادات الإشارة المرجعية لإكمال العملية. ستتمكن من العثور على هذه الإشارة المرجعية مع أي إشارة أخرى قمت بإنشائها في صفحة التتبع ، ضمن علامة التبويب الإشارات المرجعية. من هناك يمكنك إضافته إلى هذا أو أي حادث آخر.

  3. بعد إنشاء الإشارة المرجعية (أو إذا اخترت عدم القيام بذلك)، حدد تم لإغلاق لوحة السجلات .

Screenshot of Logs panel open in incident details page.

التدقيق والتعليق على الحوادث

عند التحقيق في حادث ما، ستحتاج إلى توثيق الخطوات التي تتخذها بدقة، لضمان إعداد تقارير دقيقة للإدارة ولتمكين التعاون والتعاون السلسين بين زملاء العمل. ستحتاج أيضا إلى الاطلاع بوضوح على سجلات أي إجراءات اتخذها الآخرون بشأن الحادث، بما في ذلك العمليات التلقائية. يمنحك Microsoft Sentinel سجل النشاط، وهو بيئة تدقيق وتعليق غنية، لمساعدتك على تحقيق ذلك.

يمكنك أيضا إثراء الحوادث تلقائيا بالتعليقات. على سبيل المثال، عند تشغيل دليل المبادئ على حادث يجلب معلومات ذات صلة من مصادر خارجية (على سبيل المثال، التحقق من وجود ملف بحثا عن برامج ضارة في VirusTotal)، يمكنك أن تضع دليل المبادئ استجابة المصدر الخارجي - إلى جانب أي معلومات أخرى تحددها - في تعليقات الحدث.

يتم تحديث سجل النشاط تلقائيا، حتى أثناء الفتح، بحيث يمكنك دائما رؤية التغييرات في الوقت الفعلي. سيتم إعلامك أيضا بأي تغييرات تم إجراؤها على سجل النشاط أثناء فتحه.

لعرض سجل الأنشطة والتعليقات، أو لإضافة تعليقاتك الخاصة:

  1. حدد Activity log في أعلى صفحة تفاصيل الحدث.
  2. لتصفية السجل لإظهار الأنشطة فقط أو التعليقات فقط، حدد عنصر تحكم عامل التصفية في أعلى السجل.
  3. إذا كنت تريد إضافة تعليق، أدخله في محرر النص المنسق في أسفل لوحة سجل نشاط الحدث.
  4. حدد تعليق لإرسال التعليق. سترى الآن تعليقك في أعلى السجل.

Screenshot of viewing and entering comments.

اعتبارات التعليقات

فيما يلي العديد من الاعتبارات التي يجب مراعاتها عند استخدام تعليقات الحدث.

الإدخال المدعوم:

  • النص: تدعم التعليقات في Microsoft Azure Sentinel إدخالات النص في النص العادي وHTML الأساسي و Markdown. يمكنك أيضاً لصق النص المنسوخ وHTML و Markdown في نافذة التعليق.

  • الارتباطات: يجب أن تكون الارتباطات في شكل علامات ارتساء HTML، ويجب أن تحتوي على المعلمة target="_blank". مثال:

    <a href="https://www.url.com" target="_blank">link text</a>

    إشعار

    إذا كانت لديك أدلة مبادئ تنشئ تعليقات في الحوادث، فيجب أن تتوافق الارتباطات الموجودة في هذه التعليقات مع هذا القالب أيضا، بسبب تغيير في تنسيق التعليقات.

  • الصور: يمكنك إدراج ارتباطات إلى الصور في التعليقات وسيتم عرض الصور مضمنة، ولكن يجب استضافة الصور بالفعل في موقع يمكن الوصول إليه بشكل عام مثل Dropbox و OneDrive و Google Drive وما شابه ذلك. لا يمكن تحميل الصور مباشرة إلى التعليقات.

حد الحجم:

  • لكل تعليق: يمكن أن يحتوي التعليق الواحد على ما يصل إلى 30000 حرف.

  • لكل حادثة: يمكن أن تحتوي حادثة واحدة على ما يصل إلى 100 تعليق.

    إشعار

    الحد الأقصى لحجم سجل حادث واحد في الجدول SecurityIncident في Log Analytics هو 64كيلوبايت. إذا تم تجاوز هذا الحد، اقتطاع التعليقات (بدءاً من الأقرب)، مما قد يؤثر على التعليقات التي ستظهر في نتائج البحث المتقدم.

    لن تتأثر سجلات الحوادث الفعلية في قاعدة بيانات الحوادث.

يمكن روبوت Who التحرير أو الحذف:

  • التحرير: فقط مؤلف التعليق لديه إذن لتحريره.

  • حذف: فقط المستخدمين الذين لديهم دور مساهم Microsoft Azure Sentinel لديهم إذن لحذف التعليقات. حتى مؤلف التعليق يجب أن يكون له هذا الدور من أجل حذفه.

التحقيق في الحوادث بصريا باستخدام الرسم البياني للتحقيق

إذا كنت تفضل تمثيلا مرئيا ورسوميا للتنبيهات والكيانات والاتصالات بينها في التحقيق الخاص بك، يمكنك إنجاز العديد من الأشياء التي تمت مناقشتها أعلاه باستخدام الرسم البياني للتحقيق الكلاسيكي أيضا. الجانب السلبي للرسم البياني هو أنه سينتهي بك الأمر إلى تبديل السياقات بشكل أكبر.

يوفر لك الرسم البياني للتحقيق ما يلي:

  • السياق المرئي من البيانات الأولية: يعرض الرسم البياني المباشر المرئي علاقات الكيانات المستخرجة تلقائياً من البيانات الأولية. يتيح لك ذلك رؤية الاتصالات بسهولة عبر مصادر البيانات المختلفة.

  • اكتشاف نطاق التحقيق الكامل: قم بتوسيع نطاق التحقيق باستخدام استعلامات الاستكشاف المضمنة لإبراز النطاق الكامل للخرق.

  • خطوات التحقيق المضمنة: استخدم خيارات الاستكشاف المحددة مسبقاً للتأكد من أنك تطرح الأسئلة الصحيحة في مواجهة أي تهديد.

لاستخدام الرسم البياني للتحقيق:

  1. حدد حادثاً، ثم حدد "Investigate". يأخذك هذا إلى الرسم البياني للتحقيق. يوفر الرسم البياني خريطة توضيحية للكيانات المتصلة مباشرة بالتنبيهات وكل مورد متصل بشكل أكبر.

    View map.

    هام

    • ستتمكن فقط من التحقيق في الحادث إذا كانت قاعدة التحليلات أو الإشارة المرجعية التي أنشأتها تحتوي على تعيينات الكيان. يتطلب الرسم البياني للتحقيق أن يتضمن الحادث الأصلي كيانات.

    • يدعم الرسم البياني للتحقيق حاليا التحقيق في الحوادث التي يصل عمرها إلى 30 يوما.

  2. حدد كياناً لفتح جزء الكيانات حتى تتمكن من مراجعة المعلومات المتعلقة بهذا الكيان.

    View entities in map

  3. وسع نطاق تحقيقك من خلال التمرير فوق كل كيان للكشف عن قائمة بالأسئلة التي صممها خبراء الأمن والمحللون لدينا لكل نوع كيان لتعميق تحقيقك. نسمي هذه الخيارات استعلامات الاستكشاف.

    Explore more details

    على سبيل المثال، يمكنك طلب تنبيهات ذات صلة. إذا قمت بتحديد استعلام استكشاف، تتم إضافة العناوين الناتجة مرة أخرى إلى الرسم البياني. في هذا المثال، يؤدي تحديد تنبيهات ذات صلة إلى إرجاع التنبيهات التالية إلى الرسم البياني:

    Screenshot: view related alerts.

    لاحظ أن التنبيهات ذات الصلة تظهر متصلة بالكيان بواسطة خطوط منقطة.

  4. لكل استعلام استكشاف، يمكنك تحديد خيار فتح نتائج الأحداث الأولية والاستعلام المستخدم في Log Analytics، عن طريق تحديد الأحداث>.

  5. من أجل فهم الحادث، يمنحك الرسم البياني جدولاً زمنياً موازياً.

    Screenshot: view timeline in map.

  6. مرر مؤشر الماوس فوق المخطط الزمني لمعرفة الأشياء الموجودة على الرسم البياني التي حدثت في أي نقطة زمنية.

    Screenshot: use timeline in map to investigate alerts.'

إغلاق حادث

بمجرد حل حادث معين (على سبيل المثال، عندما يصل تحقيقك إلى نهايته)، يجب عليك تعيين حالة الحادث إلى مغلق. عند القيام بذلك، سيطلب منك تصنيف الحادث عن طريق تحديد سبب إغلاقه. هذه الخطوة إلزامية. انقر تحديد تصنيف واختر أحد الخيارات التالية من القائمة المنسدلة:

  • إيجابي حقيقي – نشاط مشبوه
  • إيجابي حميد – مريب ولكنه متوقع
  • إيجابي خاطئ – منطق تنبيه غير صحيح
  • إيجابية خاطئة – بيانات غير صحيحة
  • "Undetermined"

Screenshot that highlights the classifications available in the Select classification list.

لمزيد من المعلومات حول الإيجابيات الخاطئة والإيجابيات الحميدة، راجع التعامل مع الإيجابيات الخاطئة في Microsoft Azure Sentinel.

بعد اختيار التصنيف المناسب، أضف بعض النصوص الوصفية في الحقل تعليق. سيكون هذا مفيدا في حال كنت بحاجة إلى الرجوع إلى هذا الحادث. انقر تطبيق عند الانتهاء، وسيتم إغلاق الحادث.

{alt-text}

البحث عن الحوادث

للعثور على حادث معين بسرعة، أدخل سلسلة بحث في مربع البحث أعلى شبكة الحوادث واضغط على Enter لتعديل قائمة الحوادث المعروضة وفقاً لذلك. إذا لم يتم تضمين الحادث في النتائج، فقد تحتاج إلى تضييق نطاق البحث باستخدام خيارات بحث متقدم.

لتعديل معلمات البحث، حدد الزر بحث ثم حدد المعلمات التي تريد تشغيل البحث فيها.

على سبيل المثال:

Screenshot of the incident search box and button to select basic and/or advanced search options.

بشكل افتراضي، يتم تشغيل عمليات البحث عن الحوادث عبر قيم معرف الحادثالعنوانالعلاماتالمالك اسم المنتج فقط. في جزء البحث، مرر لأسفل القائمة لتحديد معلمة أخرى واحدة أو أكثر للبحث، وحدد تطبيق لتحديث معلمات البحث. حدد تعيين إلى افتراضي إعادة تعيين المعلمات المحددة إلى الخيار الافتراضي.

إشعار

تدعم عمليات البحث في الحقل المالك كلاً من الأسماء وعناوين البريد الإلكتروني.

يؤدي استخدام خيارات البحث المتقدم إلى تغيير سلوك البحث على النحو التالي:

سلوك البحث ‏‏الوصف
لون زر البحث يتغير لون زر البحث، اعتماداً على أنواع المعلمات المستخدمة حالياً في البحث.
  • طالما تم تحديد المعلمات الافتراضية فقط، يكون الزر رمادياً.
  • بمجرد تحديد معلمات مختلفة، مثل معلمات البحث المتقدم، يتحول الزر إلى اللون الأزرق.
التحديث التلقائي يمنعك استخدام معلمات البحث المتقدم من تحديد تحديث نتائجك تلقائياً.
معلمات الكيان يتم دعم جميع معلمات الكيانات لعمليات البحث المتقدمة. عند البحث في أي معلمة كيان، يتم تشغيل البحث في كافة معلمات الكيان.
سلاسل البحث يتضمن البحث عن سلسلة من الكلمات جميع الكلمات الموجودة في استعلام البحث. سلاسل البحث حساسة لحالة الأحرف.
دعم عبر مساحة العمل عمليات البحث المتقدمة غير مدعومة لطرق العرض عبر مساحة العمل.
عدد نتائج البحث المعروضة عند استخدام معلمات البحث المتقدم، يتم عرض 50 نتيجة فقط في المرة الواحدة.

تلميح

إذا لم تتمكن من العثور على الحادث الذي تبحث عنه، فأزل معلمات البحث لتوسيع نطاق البحث. إذا كانت نتائج البحث تحتوي على عدد كبير جدا من العناصر، فأضف المزيد من الفلاتر لتضييق نطاق النتائج.

الخطوات التالية

في هذه المقالة، تعلمت كيفية البدء في التحقيق في الحوادث باستخدام Microsoft Azure Sentinel. لمزيد من المعلومات، راجع: