استخدام تحليلات مطابقة للكشف عن التهديدات
استفد من التحليل الذكي للمخاطر الذي تنتجه Microsoft لإنشاء تنبيهات وحوادث عالية الدقة باستخدام قاعدة تحليل ذكي للمخاطر في Microsoft Defender Analytics. تطابق هذه القاعدة المضمنة في Microsoft Sentinel المؤشرات مع سجلات تنسيق الحدث العام (CEF) وأحداث Windows DNS مع مؤشرات تهديد المجال وIPv4 وبيانات سجل النظام والمزيد.
هام
التحليلات المطابقة قيد المعاينة حاليًا. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.
المتطلبات الأساسية
من أجل إنتاج تنبيهات وحوادث عالية الدقة، يجب تثبيت واحد أو أكثر من موصلات البيانات المدعومة، ولكن ترخيص MDTI المتميز غير مطلوب. قم بتثبيت الحلول المناسبة من مركز المحتوى لتوصيل مصادر البيانات هذه.
- تنسيق الحدث العام (CEF)
- DNS (إصدار أولي)
- Syslog
- سجلات نشاط Office
- سجلات الأنشطة لدى Azure
على سبيل المثال، استنادا إلى مصدر البيانات الخاص بك، قد تستخدم الحلول وموصلات البيانات التالية.
تكوين قاعدة التحليلات المطابقة
يتم تكوين مطابقة التحليلات عند تمكين قاعدة تحليل ذكي للمخاطر في Microsoft Defender Analytics.
انقر فوق قائمة التحليلات من قسم التكوين.
حدد علامة التبويب القائمة قوالب القاعدة.
في نافذة البحث اكتب تحليل ذكي للمخاطر.
حدد قالب قاعدة تحليل ذكي للمخاطر في Microsoft Defender Analytics.
انقر فوق إنشاء قاعدة. تتم قراءة تفاصيل القاعدة فقط، ويتم تمكين الحالة الافتراضية للقاعدة.
انقر فوق مراجعة>إنشاء.
مصادر ومؤشرات البيانات
تحليل ذكي للمخاطر في Microsoft Defender (MDTI) Analytics تطابق سجلاتك مع مؤشرات المجال وعنوان IP وعنوان URL بالطريقة التالية:
تطابق سجلات CEF التي تم إدخالها في جدول Log Analytics CommonSecurityLog مؤشرات URL والمجال إذا تم ملؤها في
RequestURL
الحقل، ومؤشرات IPv4 فيDestinationIP
الحقل.سجلات Windows DNS حيث يتطابق الحدث
SubType == "LookupQuery"
الذي تم إدخاله في جدول DnsEvents مع مؤشرات المجال التي تم ملؤها فيName
الحقل، ومؤشرات IPv4 فيIPAddresses
الحقل.تتطابق أحداث Syslog حيث
Facility == "cron"
يتم استيعابها في جدول Syslog مع مؤشرات المجال وIPv4 مباشرة منSyslogMessage
الحقل.تطابق سجلات نشاط Office التي تم إدخالها في جدول OfficeActivity مؤشرات IPv4 مباشرة من
ClientIP
الحقل.تطابق سجلات نشاط Azure التي تم إدخالها في جدول AzureActivity مؤشرات IPv4 مباشرة من
CallerIpAddress
الحقل.
فرز حادث تم إنشاؤه بواسطة تحليلات مطابقة
إذا وجدت تحليلات Microsoft تطابقا، يتم تجميع أي تنبيهات تم إنشاؤها في حوادث.
استخدم الخطوات التالية لفرز الحوادث التي تم إنشاؤها بواسطة قاعدة تحليل ذكي للمخاطر في Microsoft Defender Analytics:
في مساحة عمل Microsoft Sentinel حيث قمت بتمكين قاعدة تحليل ذكي للمخاطر في Microsoft Defender Analytics، حدد Incidents وابحث عن تحليل ذكي للمخاطر في Microsoft Defender Analytics.
يتم عرض أي حوادث يتم العثور عليها في الشبكة.
حدد عرض التفاصيل الكاملة لعرض الكيانات وتفاصيل أخرى حول الحادث، مثل تنبيهات محددة.
على سبيل المثال:
لاحظ الخطورة المعينة للتنبيهات والحادث. اعتمادا على كيفية مطابقة المؤشر، يتم تعيين خطورة مناسبة لتنبيه من
Informational
إلىHigh
. على سبيل المثال، إذا تمت مطابقة المؤشر مع سجلات جدار الحماية التي سمحت بنسبة استخدام الشبكة، يتم إنشاء تنبيه عالي الخطورة. إذا تمت مطابقة نفس المؤشر مع سجلات جدار الحماية التي حظرت حركة المرور، فسيكون التنبيه الذي تم إنشاؤه منخفضا أو متوسطا.ثم يتم تجميع التنبيهات على أساس كل مؤشر يمكن ملاحظته. على سبيل المثال، يتم تجميع جميع التنبيهات التي تم إنشاؤها في فترة زمنية مدتها 24 ساعة تطابق
contoso.com
المجال في حادث واحد مع تعيين خطورة استنادا إلى أعلى خطورة تنبيه.مراقبة تفاصيل المؤشر. عند العثور على تطابق، يتم نشر المؤشر إلى جدول Log Analytics ThreatIntelligenceIndicators، ويتم عرضه في صفحة تحليل ذكي للمخاطر. بالنسبة لأي مؤشرات منشورة من هذه القاعدة، يتم تعريف المصدر على أنه تحليل ذكي للمخاطر في Microsoft Defender Analytics.
على سبيل المثال، في جدول ThreatIntelligenceIndicators :
في صفحة التحليل الذكي للمخاطر:
الحصول على مزيد من السياق من تحليل ذكي للمخاطر في Microsoft Defender
إلى جانب التنبيهات والحوادث عالية الدقة، تتضمن بعض مؤشرات MDTI ارتباطا بمقالة مرجعية في مدخل مجتمع MDTI.
لمزيد من المعلومات، راجع مدخل MDTI وما هو تحليل ذكي للمخاطر في Microsoft Defender؟
المحتوى ذو الصلة
في هذه المقالة، تعلمت كيفية توصيل التحليل الذكي للمخاطر التي تنتجها Microsoft لإنشاء تنبيهات وحوادث. لمزيد من المعلومات حول التحليل الذكي للمخاطر في Microsoft Sentinel، راجع المقالات التالية:
- العمل مع مؤشرات التهديد في Microsoft Sentinel.
- توصيل Microsoft Azure Sentinel بموجزات التحليل الذكي للمخاطر STIX/TAXII.
- توصيل الأنظمة الأساسية للتحليل الذكي للمخاطر بـ Microsoft Azure Sentinel.
- تعرف على الأنظمة الأساسية لـ TIP وموجزات TAXII وعمليات الإثراء التي يمكن تكاملها بسهولة مع Microsoft Azure Sentinel.