Share via

البرنامج التعليمي: الكشف عن التهديدات باستخدام قواعد التحليلات في Microsoft Sentinel

  • مقالة

كخدمة إدارة معلومات الأمان والأحداث (SIEM)، تتحمل Microsoft Sentinel مسؤولية الكشف عن تهديدات الأمان لمؤسستك. وهو يفعل ذلك من خلال تحليل الكميات الهائلة من البيانات التي تم إنشاؤها بواسطة جميع سجلات أنظمتك.

في هذا البرنامج التعليمي، ستتعلم كيفية إعداد قاعدة تحليلات Microsoft Sentinel من قالب للبحث عن مآثر الثغرة الأمنية Apache Log4j عبر بيئتك. ستؤطر القاعدة حسابات المستخدمين وعناوين IP الموجودة في سجلاتك ككيانات قابلة للتعقب، وتبرز أجزاء ملحوظة من المعلومات في التنبيهات التي تم إنشاؤها بواسطة القواعد، وتنبيهات الحزمة كحوادث سيتم التحقيق فيها.

عند إكمال هذا البرنامج التعليمي، ستتمكن من:

  • إنشاء قاعدة تحليلات من قالب
  • تخصيص استعلام القاعدة وإعداداتها
  • تكوين الأنواع الثلاثة من إثراء التنبيه
  • اختيار الاستجابات التلقائية للمخاطر حسب قواعدك

المتطلبات الأساسية

لإكمال هذا البرنامج التعليمي، تأكد من أن لديك ما يلي:

  • اشتراك Azure. أنشئ حسابا مجانيا إذا لم يكن لديك حساب بالفعل.

  • مساحة عمل Log Analytics مع حل Microsoft Sentinel المنشور عليها والبيانات التي يتم استيعابها فيها.

  • مستخدم Azure مع دور مساهم Microsoft Sentinel المعين على مساحة عمل Log Analytics حيث يتم نشر Microsoft Sentinel.

  • تتم الإشارة إلى مصادر البيانات التالية في هذه القاعدة. كلما قمت بنشر موصلات أكثر، كلما كانت القاعدة أكثر فعالية. يجب أن يكون لديك واحد على الأقل.

    Data source جداول Log Analytics المشار إليها
    Office 365 OfficeActivity (SharePoint)
    OfficeActivity (Exchange)
    OfficeActivity (Teams)
    Dns DnsEvents
    Azure Monitor (VM Insights) VMConnection
    Cisco ASA CommonSecurityLog (Cisco)
    شبكات Palo Alto (جدار الحماية) CommonSecurityLog (PaloAlto)
    أحداث أمنية SecurityEvents
    Microsoft Entra ID SigninLogs
    AADNonInteractiveUserSignInLogs
    Azure Monitor (WireData) WireData
    Azure Monitor (IIS) W3CIISLog
    نشاط Azure AzureActivity
    Amazon Web Services AWSCloudTrail
    Microsoft Defender XDR DeviceNetworkEvents
    Azure Firewall AzureDiagnostics (Azure Firewall)

تسجيل الدخول إلى مدخل Microsoft Azure وMicrosoft Sentinel

  1. قم بتسجيل الدخول إلى بوابة Azure.

  2. من شريط البحث، ابحث عن Microsoft Sentinel وحدده.

  3. ابحث عن مساحة العمل وحددها من قائمة مساحات عمل Microsoft Sentinel المتوفرة.

تثبيت حل من مركز المحتوى

  1. في Microsoft Sentinel، في القائمة اليمنى ضمن إدارة المحتوى، حدد مركز المحتوى.

  2. ابحث عن الحل Log4j Vulnerability Detection وحدده.

  3. من شريط الأدوات في أعلى الصفحة، حدد تثبيت/تحديث.

إنشاء قاعدة تحليلات مجدولة من قالب

  1. في Microsoft Sentinel، في القائمة اليمنى ضمن Configuration، حدد Analytics.

  2. من صفحة Analytics، حدد علامة التبويب Rule templates.

  3. في حقل البحث أعلى قائمة قوالب القواعد، أدخل log4j.

  4. من قائمة القوالب التي تمت تصفيتها، حدد استغلال الثغرة الأمنية Log4j المعروف باسم Log4Shell IP IOC. من جزء التفاصيل، حدد Create rule.

    Screenshot showing how to search for and locate template and create analytics rule.

    سيتم فتح معالج قاعدة التحليلات.

  5. في علامة التبويب General ، في حقل Name ، أدخل Log4j vulnerability exploit aka Log4Shell IP IOC - Tutorial-1.

  6. اترك باقي الحقول على هذه الصفحة كما هي. هذه هي الإعدادات الافتراضية، ولكننا سنضيف تخصيصا إلى اسم التنبيه في مرحلة لاحقة.

    إذا كنت لا تريد تشغيل القاعدة على الفور، فحدد معطل، وستتم إضافة القاعدة إلى علامة التبويب القواعد النشطة ويمكنك تمكينها من هناك عندما تحتاج إليها.

  7. حدد Next : Set rule logic. Screenshot of the General tab of the Analytics rule wizard.

مراجعة منطق استعلام القاعدة وتكوين الإعدادات

  • في علامة التبويب تعيين منطق القاعدة، راجع الاستعلام كما يظهر أسفل عنوان استعلام القاعدة.

    لمشاهدة المزيد من نص الاستعلام في وقت واحد، حدد أيقونة السهم المزدوج المائل في الزاوية العلوية اليسرى من نافذة الاستعلام لتوسيع النافذة إلى حجم أكبر.

    Screenshot of the Set rule logic tab of the Analytics rule wizard.

إثراء التنبيهات بالكيانات والتفاصيل الأخرى

  1. ضمن إثراء التنبيه، احتفظ بإعدادات تعيين الكيان كما هي. لاحظ الكيانات الثلاثة المعينة.

    Screenshot of existing entity mapping settings.

  2. في قسم Custom details ، دعنا نضيف الطابع الزمني لكل تكرار إلى التنبيه، حتى تتمكن من رؤيته مباشرة في تفاصيل التنبيه، دون الحاجة إلى التنقل لأسفل.

    1. اكتب الطابع الزمني في حقل المفتاح . سيكون هذا هو اسم الخاصية في التنبيه.
    2. حدد الطابع الزمني من القائمة المنسدلة القيمة .

  3. في قسم Alert details ، دعنا نخصم اسم التنبيه بحيث يظهر الطابع الزمني لكل تكرار في عنوان التنبيه.

    في حقل Alert name format ، أدخل Log4j vulnerability exploit aka Log4Shell IP IOC في {{timestamp}}.

    Screenshot of custom details and alert details configurations.

مراجعة الإعدادات المتبقية

  1. راجع الإعدادات المتبقية في علامة التبويب تعيين منطق القاعدة. ليست هناك حاجة لتغيير أي شيء، على الرغم من أنه يمكنك إذا كنت ترغب في تغيير الفاصل الزمني، على سبيل المثال. ما عليك سوى التأكد من تطابق فترة البحث مع الفاصل الزمني للحفاظ على التغطية المستمرة.

    • جدولة الاستعلام:

      • تشغيل الاستعلام كل ساعة واحدة.
      • بيانات البحث من آخر ساعة واحدة.

    • حد التنبيه:

      • إنشاء تنبيه عندما يكون عدد نتائج الاستعلام أكبر من 0.

    • تجميع الأحداث:

      • تكوين كيفية تجميع نتائج استعلام القاعدة في تنبيهات: تجميع جميع الأحداث في تنبيه واحد.

    • قمع:

      • إيقاف تشغيل الاستعلام بعد إنشاء التنبيه: إيقاف التشغيل.

    Screenshot of remaining rule logic settings for analytics rule.

  2. حدد Next : Incident settings.

مراجعة إعدادات إنشاء الحدث

  1. راجع الإعدادات في علامة التبويب إعدادات الحدث . ليست هناك حاجة لتغيير أي شيء، ما لم يكن لديك، على سبيل المثال، نظام مختلف لإنشاء الحوادث وإدارتها، وفي هذه الحالة قد ترغب في تعطيل إنشاء الحدث.

    • إعدادات الحدث:

      • إنشاء حوادث من التنبيهات التي تم تشغيلها بواسطة قاعدة التحليلات هذه: ممكن.

    • تجميع التنبيه:

      • تجميع التنبيهات ذات الصلة، التي تم تشغيلها بواسطة قاعدة التحليلات هذه، في حوادث: معطل.

    Screenshot of the Incident settings tab of the Analytics rule wizard.

  2. حدد Next : Automated response.

تعيين الاستجابات التلقائية وإنشاء القاعدة

في علامة التبويب الاستجابة التلقائية:

  1. حدد + Add new لإنشاء قاعدة أتمتة جديدة لقاعدة التحليلات هذه. سيؤدي ذلك إلى فتح معالج إنشاء قاعدة أتمتة جديدة.

    Screenshot of Automated response tab in Analytics rule wizard.

  2. في حقل اسم قاعدة التنفيذ التلقائي، أدخل Log4J vulnerability exploit detection - Tutorial-1.

  3. اترك قسمي المشغل والشروط كما هي.

  4. ضمن الإجراءات، حدد إضافة علامات من القائمة المنسدلة.

    1. حدد + إضافة علامة.
    2. أدخل Log4J exploit في مربع النص وحدد OK.

  5. اترك قسمي "Rule expiration " و" Order " كما هما.

  6. حدد تطبيق. سترى قريبا قاعدة التنفيذ التلقائي الجديدة في القائمة في علامة التبويب الاستجابة التلقائية.

  7. حدد Next : Review لمراجعة جميع الإعدادات لقاعدة التحليلات الجديدة. عند ظهور رسالة "Validation passed"، حدد Create. ما لم تقم بتعيين القاعدة إلى معطل في علامة التبويب عام أعلاه، سيتم تشغيل القاعدة على الفور.

    حدد الصورة أدناه لعرض المراجعة الكاملة (تم قص معظم نص الاستعلام لقابلية العرض).

    Screenshot of the Review and Create tab of the Analytics rule wizard.

تحقق من نجاح القاعدة

  1. لعرض نتائج قواعد التنبيه التي تقوم بإنشائها، انتقل إلى صفحة الحوادث .

  2. لتصفية قائمة الحوادث إلى تلك التي تم إنشاؤها بواسطة قاعدة التحليلات، أدخل اسم (أو جزء من الاسم) لقاعدة التحليلات التي أنشأتها في شريط البحث .

  3. افتح حدثا يطابق عنوانه اسم قاعدة التحليلات. تأكد من تطبيق العلامة التي قمت بتعريفها في قاعدة التنفيذ التلقائي على الحدث.

تنظيف الموارد

إذا كنت لن تستمر في استخدام قاعدة التحليلات هذه، فاحذف (أو على الأقل تعطيل) قواعد التحليلات والأتمتة التي أنشأتها بالخطوات التالية:

  1. في صفحة التحليلات ، حدد علامة التبويب القواعد النشطة.

  2. أدخل اسم (أو جزء من الاسم) لقاعدة التحليلات التي أنشأتها في شريط البحث .
    (إذا لم تظهر، فتأكد من تعيين أي عوامل تصفية إلى حدد الكل.)

  3. ضع علامة على خانة الاختيار الموجودة بجانب القاعدة في القائمة، وحدد حذف من الشعار العلوي.
    (إذا كنت لا تريد حذفه، يمكنك تحديد تعطيل بدلا من ذلك.)

  4. في صفحة Automation ، حدد علامة التبويب Automation rules .

  5. أدخل اسم (أو جزء من الاسم) لقاعدة التنفيذ التلقائي التي أنشأتها في شريط البحث .
    (إذا لم تظهر، فتأكد من تعيين أي عوامل تصفية إلى حدد الكل.)

  6. ضع علامة على خانة الاختيار بجوار قاعدة التنفيذ التلقائي في القائمة، وحدد حذف من الشعار العلوي.
    (إذا كنت لا تريد حذفه، يمكنك تحديد تعطيل بدلا من ذلك.)

الخطوات التالية

الآن بعد أن تعلمت كيفية البحث عن مآثر ثغرة أمنية شائعة باستخدام قواعد التحليلات، تعرف على المزيد حول ما يمكنك القيام به مع التحليلات في Microsoft Sentinel: