Share via

استخدام الحالات الشاذة القابلة للتخصيص للكشف عن التهديدات في Microsoft Azure Sentinel

  • مقالة

ما الحالات الشاذة القابلة للتخصيص؟

مع كفاح المهاجمين والمدافعين باستمرار من أجل الفائدة في سباق تسلح الأمان عبر الإنترنت، يجد المهاجمون دائما طرقا للتهرب من الكشف. ومع ذلك، لا تزال الهجمات تؤدي حتما إلى سلوك غير عادي في الأنظمة التي تتعرض للهجوم. يمكن لشذوذ Microsoft Sentinel القابل للتخصيص والمستند إلى التعلم الآلي تحديد هذا السلوك باستخدام قوالب قواعد التحليلات التي يمكن وضعها للعمل خارج الصندوق مباشرة. في حين أن الحالات الشاذة لا تشير بالضرورة إلى سلوك ضار أو حتى مريب في حد ذاتها، يمكن استخدامها لتحسين الاكتشافات والتحقيقات وتعقب التهديدات:

  • إشارات إضافية لتحسين الكشف: يمكن لمحللي الأمان استخدام الحالات الشاذة للكشف عن التهديدات الجديدة وجعل عمليات الكشف الحالية أكثر فعالية. الشذوذ الواحد ليس إشارة قوية للسلوك الضار، ولكن مزيج من العديد من الحالات الشاذة في نقاط مختلفة على سلسلة القتل يرسل رسالة واضحة. يمكن لمحللي الأمان جعل تنبيهات الكشف الحالية أكثر دقة عن طريق تكييفها على تحديد السلوك الشاذ.

  • الأدلة أثناء التحقيقات: يمكن لمحللي الأمان أيضاً استخدام الحالات الشاذة أثناء التحقيقات للمساعدة في تأكيد الخرق، وإيجاد مسارات جديدة للتحقيق فيه، وتقييم تأثيره المحتمل. تقلل هذه الكفاءات من الوقت الذي يقضيه محللو الأمان في التحقيقات.

  • بداية عمليات البحث عن التهديدات الاستباقية: يمكن لصيادي التهديدات استخدام الحالات الشاذة كتسياق للمساعدة في تحديد ما إذا كانت استعلاماتهم تكشف عن سلوك مشبوه. عندما يكون السلوك مريبا، تشير الحالات الشاذة أيضا إلى المسارات المحتملة لمزيد من التتبع. هذه الأدلة التي توفرها الحالات الشاذة تقلل من الوقت للكشف عن التهديد وفرصته للتسبب في ضرر.

يمكن أن تكون الحالات الشاذة أدوات قوية، ولكنها صاخبة بشكل معروف. عادة ما تتطلب الكثير من الضبط الممل لبيئات معينة، أو المعالجة المعقدة بعد المعالجة. يتم ضبط قوالب الشذوذ القابلة للتخصيص من قبل فريق علوم البيانات في Microsoft Sentinel لتوفير قيمة غير قابلة للتخصيص. إذا كنت بحاجة إلى ضبطها بشكل أكبر، فإن العملية بسيطة ولا تتطلب أي معرفة بالتعلم الآلي. يمكن تكوين الحدود والمعلمات للعديد من الحالات الشاذة وضبطها من خلال واجهة مستخدم قاعدة التحليلات المألوفة بالفعل. يمكن مقارنة أداء الحد الأصلي والمعلمات بالأخرى الجديدة داخل الواجهة وضبطها بشكل أكبر حسب الضرورة أثناء مرحلة الاختبار أو الطيران. بمجرد أن يفي الشذوذ بأهداف الأداء، يمكن ترقية الشذوذ مع الحد أو المعلمات الجديدة إلى الإنتاج بنقرة زر. تمكنك الحالات الشاذة القابلة للتخصيص في Microsoft Sentinel من الحصول على فائدة الكشف عن الحالات الشاذة دون العمل الشاق.

حالات UEBA غير المألوفة

تأتي بعض عمليات الكشف عن الشذوذ في Microsoft Sentinel من محرك تحليلات سلوك المستخدم والكيان (UEBA)، الذي يكتشف الحالات الشاذة استنادا إلى السلوك التاريخي الأساسي لكل كيان عبر بيئات مختلفة. يتم تعيين السلوك الأساسي لكل كيان وفقاً لأنشطته التاريخية، وأنشطة أقرانه، وأنشطة المؤسسة ككل. يمكن تشغيل الحالات غير المألوفة من خلال ارتباط السمات المختلفة مثل نوع الإجراء، والموقع الجغرافي، والجهاز، والمورد، ومزود خدمة الإنترنت، والمزيد.

الخطوات التالية

في هذا المستند، تعلمت كيفية الاستفادة من الحالات الشاذة القابلة للتخصيص في Microsoft Azure Sentinel.