مشاركة عبر

استخدام تحليلات مطابقة للكشف عن التهديدات

  • مقالة
  • ينطبق على:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

استفد من التحليل الذكي للمخاطر الذي تنتجه Microsoft لإنشاء تنبيهات وحوادث عالية الدقة باستخدام قاعدة تحليل ذكي للمخاطر في Microsoft Defender Analytics. تطابق هذه القاعدة المضمنة في Microsoft Sentinel المؤشرات مع سجلات تنسيق الحدث العام (CEF) وأحداث Windows DNS مع مؤشرات تهديد المجال وIPv4 وبيانات سجل النظام والمزيد.

هام

التحليلات المطابقة قيد المعاينة حاليًا. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.

المتطلبات الأساسية

من أجل إنتاج تنبيهات وحوادث عالية الدقة، يجب تثبيت واحد أو أكثر من موصلات البيانات المدعومة، ولكن ترخيص MDTI المتميز غير مطلوب. قم بتثبيت الحلول المناسبة من مركز المحتوى لتوصيل مصادر البيانات هذه.

  • تنسيق الحدث العام (CEF)
  • DNS (إصدار أولي)
  • Syslog
  • سجلات نشاط Office
  • سجلات الأنشطة لدى Azure

لقطة شاشة تعرض اتصالات مصدر بيانات قاعدة تحليل ذكي للمخاطر في Microsoft Defender Analytics.

على سبيل المثال، استنادا إلى مصدر البيانات الخاص بك، قد تستخدم الحلول وموصلات البيانات التالية.

حل موصل البيانات
حل تنسيق الحدث الشائع ل Sentinel موصل تنسيق الحدث الشائع (CEF) ل Microsoft Sentinel
Windows Server DNS موصل DNS ل Microsoft Sentinel
حل Syslog ل Sentinel موصل Syslog ل Microsoft Sentinel
حل Microsoft 365 ل Sentinel موصل Office 365 ل Microsoft Sentinel
حل نشاط Azure ل Sentinel موصل نشاط Azure ل Microsoft Sentinel

تكوين قاعدة التحليلات المطابقة

يتم تكوين مطابقة التحليلات عند تمكين قاعدة تحليل ذكي للمخاطر في Microsoft Defender Analytics.

  1. انقر فوق قائمة التحليلات من قسم التكوين.

  2. حدد علامة التبويب القائمة قوالب القاعدة.

  3. في نافذة البحث اكتب تحليل ذكي للمخاطر.

  4. حدد قالب قاعدة تحليل ذكي للمخاطر في Microsoft Defender Analytics.

  5. انقر فوق إنشاء قاعدة. تتم قراءة تفاصيل القاعدة فقط، ويتم تمكين الحالة الافتراضية للقاعدة.

  6. انقر فوق مراجعة>إنشاء.

لقطة شاشة تعرض قاعدة تحليل ذكي للمخاطر في Microsoft Defender Analytics الممكنة في علامة تبويب القواعد النشطة.

مصادر ومؤشرات البيانات

تحليل ذكي للمخاطر في Microsoft Defender (MDTI) Analytics تطابق سجلاتك مع مؤشرات المجال وعنوان IP وعنوان URL بالطريقة التالية:

  • تطابق سجلات CEF التي تم إدخالها في جدول Log Analytics CommonSecurityLog مؤشرات URL والمجال إذا تم ملؤها في RequestURL الحقل، ومؤشرات IPv4 في DestinationIP الحقل.

  • سجلات Windows DNS حيث يتطابق الحدث SubType == "LookupQuery" الذي تم إدخاله في جدول DnsEvents مع مؤشرات المجال التي تم ملؤها في Name الحقل، ومؤشرات IPv4 في IPAddresses الحقل.

  • تتطابق أحداث Syslog حيث Facility == "cron" يتم استيعابها في جدول Syslog مع مؤشرات المجال وIPv4 مباشرة من SyslogMessage الحقل.

  • تطابق سجلات نشاط Office التي تم إدخالها في جدول OfficeActivity مؤشرات IPv4 مباشرة من ClientIP الحقل.

  • تطابق سجلات نشاط Azure التي تم إدخالها في جدول AzureActivity مؤشرات IPv4 مباشرة من CallerIpAddress الحقل.

فرز حادث تم إنشاؤه بواسطة تحليلات مطابقة

إذا وجدت تحليلات Microsoft تطابقا، يتم تجميع أي تنبيهات تم إنشاؤها في حوادث.

استخدم الخطوات التالية لفرز الحوادث التي تم إنشاؤها بواسطة قاعدة تحليل ذكي للمخاطر في Microsoft Defender Analytics:

  1. في مساحة عمل Microsoft Sentinel حيث قمت بتمكين قاعدة تحليل ذكي للمخاطر في Microsoft Defender Analytics، حدد Incidents وابحث عن تحليل ذكي للمخاطر في Microsoft Defender Analytics.

    يتم عرض أي حوادث يتم العثور عليها في الشبكة.

  2. حدد عرض التفاصيل الكاملة لعرض الكيانات وتفاصيل أخرى حول الحادث، مثل تنبيهات محددة.

    على سبيل المثال:

    لقطة شاشة للحدث الذي تم إنشاؤه بواسطة مطابقة التحليلات مع جزء التفاصيل.

  3. لاحظ الخطورة المعينة للتنبيهات والحادث. اعتمادا على كيفية مطابقة المؤشر، يتم تعيين خطورة مناسبة لتنبيه من Informational إلى High. على سبيل المثال، إذا تمت مطابقة المؤشر مع سجلات جدار الحماية التي سمحت بنسبة استخدام الشبكة، يتم إنشاء تنبيه عالي الخطورة. إذا تمت مطابقة نفس المؤشر مع سجلات جدار الحماية التي حظرت حركة المرور، فسيكون التنبيه الذي تم إنشاؤه منخفضا أو متوسطا.

    ثم يتم تجميع التنبيهات على أساس كل مؤشر يمكن ملاحظته. على سبيل المثال، يتم تجميع جميع التنبيهات التي تم إنشاؤها في فترة زمنية مدتها 24 ساعة تطابق contoso.com المجال في حادث واحد مع تعيين خطورة استنادا إلى أعلى خطورة تنبيه.

  4. مراقبة تفاصيل المؤشر. عند العثور على تطابق، يتم نشر المؤشر إلى جدول Log Analytics ThreatIntelligenceIndicators، ويتم عرضه في صفحة تحليل ذكي للمخاطر. بالنسبة لأي مؤشرات منشورة من هذه القاعدة، يتم تعريف المصدر على أنه تحليل ذكي للمخاطر في Microsoft Defender Analytics.

على سبيل المثال، في جدول ThreatIntelligenceIndicators :

لقطة شاشة لجدول ThreatIntelligenceIndicator في Log Analytics تعرض مؤشرا مع SourceSystem لتحليلات التحليل الذكي للمخاطر من Microsoft.

في صفحة التحليل الذكي للمخاطر:

لقطة شاشة لنظرة عامة على تحليل ذكي للمخاطر مع تحديد مؤشر يعرض المصدر ك Microsoft Threat Intelligence Analytics.

الحصول على مزيد من السياق من تحليل ذكي للمخاطر في Microsoft Defender

إلى جانب التنبيهات والحوادث عالية الدقة، تتضمن بعض مؤشرات MDTI ارتباطا بمقالة مرجعية في مدخل مجتمع MDTI.

لقطة شاشة لحادث مع ارتباط إلى مقالة MDTI المرجعية.

لمزيد من المعلومات، راجع مدخل MDTI وما هو تحليل ذكي للمخاطر في Microsoft Defender؟

المحتوى ذو الصلة

في هذه المقالة، تعلمت كيفية توصيل التحليل الذكي للمخاطر التي تنتجها Microsoft لإنشاء تنبيهات وحوادث. لمزيد من المعلومات حول التحليل الذكي للمخاطر في Microsoft Sentinel، راجع المقالات التالية: