تكوين قواعد الكشف عن الهجمات متعددة المراحل (الانصهار) في Microsoft Sentinel

  • مقالة
  • قراءة خلال 6 دقائق

هام

الإصدار الجديد من قاعدة تحليلات Fusion موجود حاليا في PREVIEW. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.

ملاحظة

للحصول على معلومات حول توفر الميزات في السحابات الحكومية الأمريكية، راجع جداول Microsoft Sentinel في توفر ميزة السحابة لعملاء الحكومة الأمريكية.

يستخدم Microsoft Sentinel Fusion ، وهو محرك ارتباط يعتمد على خوارزميات التعلم الآلي القابلة للتطوير ، للكشف تلقائيا عن الهجمات متعددة المراحل من خلال تحديد مجموعات من السلوكيات الشاذة والأنشطة المشبوهة التي يتم ملاحظتها في مراحل مختلفة من سلسلة القتل. على أساس هذه الاكتشافات ، يقوم Microsoft Sentinel بإنشاء حوادث كان من الصعب التقاطها لولا ذلك. وتشمل هذه الحوادث تنبيهين أو أكثر أو أنشطة. حسب التصميم ، هذه الحوادث منخفضة الحجم وعالية الدقة وعالية الخطورة.

لا تقلل تقنية الكشف هذه المخصصة لبيئتك من المعدلات الإيجابية الخاطئة فحسب ، بل يمكنها أيضا اكتشاف الهجمات ذات المعلومات المحدودة أو المفقودة.

تكوين قواعد الانصهار

يتم تمكين هذا الكشف افتراضيا في Microsoft Sentinel. للتحقق من حالته أو تغييرها، استخدم الإرشادات التالية:

  1. سجل الدخول إلى مدخل Azure وأدخل Microsoft Sentinel.

  2. من قائمة التنقل في Microsoft Sentinel، حدد Analytics.

  3. حدد علامة التبويب القواعد النشطة ، ثم حدد موقع الكشف المتقدم عن الهجوم متعدد المراحل في العمود NAME عن طريق تصفية القائمة لنوع قاعدة Fusion . تحقق من عمود الحالة للتأكد مما إذا كان هذا الكشف ممكنا أم معطلا.

    Screenshot of Fusion analytics rule.

  4. لتغيير الحالة، حدد هذا الإدخال، وفي جزء معاينة اكتشاف الهجمات المتقدم متعدد المراحل ، حدد تحرير.

  5. في علامة التبويب عام في معالج قاعدة Analytics، لاحظ الحالة (ممكن/معطل)، أو قم بتغييرها إذا أردت.

    إذا قمت بتغيير الحالة ولكن ليس لديك أي تغييرات أخرى لإجرائها، فحدد علامة التبويب مراجعة وتحديث وحدد حفظ.

    لمزيد من تكوين قاعدة اكتشاف الانصهار، حدد التالي: تكوين الانصهار.

    Screenshot of Fusion rule configuration.

  6. تكوين إشارات المصدر للكشف عن الانصهار: نوصيك بتضمين جميع إشارات المصدر المدرجة، مع جميع مستويات الخطورة، للحصول على أفضل نتيجة. بشكل افتراضي ، يتم تضمينها جميعا بالفعل ، ولكن لديك خيار إجراء تغييرات بالطرق التالية:

    ملاحظة

    إذا استبعدت إشارة مصدر معينة أو مستوى شدة تنبيه، فلن يتم تشغيل أي اكتشافات Fusion تعتمد على إشارات من هذا المصدر، أو على تنبيهات مطابقة لمستوى الخطورة هذا.

    • استبعاد الإشارات من اكتشافات الانصهار، بما في ذلك الحالات الشاذة والتنبيهات من مختلف مقدمي الخدمات والسجلات الأولية.

      حالة الاستخدام: إذا كنت تختبر مصدر إشارة معين معروف بإنتاج تنبيهات صاخبة ، فيمكنك إيقاف تشغيل الإشارات من مصدر الإشارة المحدد مؤقتا لاكتشافات Fusion.

    • تكوين شدة التنبيه لكل مزود: حسب التصميم ، يربط نموذج Fusion ML إشارات الدقة المنخفضة في حادث واحد عالي الخطورة استنادا إلى إشارات شاذة عبر سلسلة القتل من مصادر بيانات متعددة. عادة ما تكون التنبيهات المضمنة في Fusion أقل خطورة (متوسطة ، منخفضة ، إعلامية) ، ولكن في بعض الأحيان يتم تضمين تنبيهات عالية الخطورة ذات صلة.

      حالة الاستخدام: إذا كانت لديك عملية منفصلة لفرز التنبيهات عالية الخطورة والتحقيق فيها وتفضل عدم تضمين هذه التنبيهات في Fusion، فيمكنك تكوين إشارات المصدر لاستبعاد التنبيهات عالية الخطورة من اكتشافات Fusion.

    • استبعاد أنماط اكتشاف محددة من الكشف عن الانصهار. قد لا تنطبق بعض اكتشافات الاندماج على بيئتك، أو قد تكون عرضة لتوليد إيجابيات كاذبة. إذا كنت ترغب في استبعاد نمط محدد للكشف عن الانصهار، فاتبع الإرشادات التالية:

      1. حدد موقع حادثة Fusion من النوع الذي تريد استبعاده وافتحه.

      2. في قسم الوصف ، حدد إظهار المزيد.

      3. ضمن استبعاد نمط الكشف المحدد هذا، حدد رابط الاستبعاد، الذي يعيد توجيهك إلى علامة التبويب تكوين الانصهار في معالج قاعدة التحليلات.

        Screenshot of Fusion incident. Select the exclusion link.

      في علامة التبويب تكوين الانصهار ، سترى نمط الكشف - وهو مزيج من التنبيهات والحالات الشاذة في حادث Fusion - قد تمت إضافته إلى قائمة الاستبعاد، إلى جانب الوقت الذي تمت فيه إضافة نمط الكشف.

      يمكنك إزالة نمط اكتشاف مستبعد في أي وقت عن طريق تحديد رمز سلة المهملات على نمط الكشف هذا.

      Screenshot of list of excluded detection patterns.

      سيظل يتم تشغيل الحوادث التي تطابق أنماط الكشف المستبعدة، ولكنها لن تظهر في قائمة انتظار الحوادث النشطة. سيتم تعبئتها تلقائيا بالقيم التالية:

      • الحالة: "مغلق"

      • التصنيف الختامي: "غير محدد"

      • تعليق: "نمط الكشف عن الانصهار المغلق تلقائيا والمستبعد"

      • العلامة: "ExcludedFusionDetectionPattern" - يمكنك الاستعلام عن هذه العلامة لعرض جميع الحوادث المطابقة لنمط الكشف هذا.

        Screenshot of auto closed, excluded Fusion incident.

ملاحظة

يستخدم Microsoft Sentinel حاليا 30 يوما من البيانات التاريخية لتدريب أنظمة التعلم الآلي. يتم تشفير هذه البيانات دائما باستخدام مفاتيح Microsoft أثناء مرورها عبر خط أنابيب التعلم الآلي. ومع ذلك، لا يتم تشفير بيانات التدريب باستخدام المفاتيح المدارة من قبل العميل ( CMK) إذا قمت بتمكين CMK في مساحة عمل Microsoft Sentinel. لإلغاء الاشتراك في Fusion، انتقل إلى قواعد Microsoft SentinelConfigurationAnalytics>>> النشطة، وانقر بزر الماوس الأيمن فوق قاعدة اكتشاف الهجمات متعددة المراحل المتقدمة، وحدد تعطيل.

تكوين قواعد التحليلات المجدولة لعمليات الكشف عن Fusion

هام

  • الكشف المستند إلى الانصهار باستخدام تنبيهات قاعدة التحليلات موجود حاليا في PREVIEW. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.

يمكن ل Fusion اكتشاف الهجمات متعددة المراحل القائمة على السيناريو والتهديدات الناشئة باستخدام التنبيهات التي تم إنشاؤها بواسطة قواعد التحليلات المجدولة. نوصي باتخاذ الخطوات التالية لتكوين هذه القواعد وتمكينها، بحيث يمكنك تحقيق أقصى استفادة من إمكانات Fusion الخاصة ب Microsoft Sentinel.

  1. يمكن أن يستخدم Fusion للتهديدات الناشئة التنبيهات التي تم إنشاؤها بواسطة أي قواعد تحليلات مجدولة ، سواء المضمنة أو تلك التي أنشأها محللو الأمان لديك ، والتي تحتوي على سلسلة القتل (التكتيكات) ومعلومات تعيين الكيان. لضمان إمكانية استخدام مخرجات قاعدة التحليلات بواسطة Fusion للكشف عن التهديدات الناشئة:

    • راجع تعيين الكيانات لهذه القواعد المجدولة. استخدم قسم تكوين تعيين الكيانات لتعيين المعلمات من نتائج الاستعلام إلى الكيانات المعترف بها بواسطة Microsoft Sentinel. نظرا لأن Fusion يربط التنبيهات استنادا إلى كيانات (مثل حساب المستخدم أو عنوان IP)، لا يمكن لخوارزميات ML الخاصة به إجراء مطابقة التنبيه بدون معلومات الكيان.

    • راجع التكتيكات والتقنيات في تفاصيل قاعدة التحليلات. تستخدم خوارزمية Fusion ML معلومات MITRE ATTCK& للكشف عن الهجمات متعددة المراحل ، وستظهر التكتيكات والتقنيات التي تصنف بها قواعد التحليلات في الحوادث الناتجة. قد تتأثر حسابات الاندماج إذا كانت التنبيهات الواردة تفتقر إلى معلومات تكتيكية.

  2. يمكن ل Fusion أيضا اكتشاف التهديدات المستندة إلى السيناريو باستخدام القواعد المستندة إلى قوالب قواعد التحليلات المجدولة التالية.

    لتمكين طلبات البحث المتوفرة كقوالب في شفرة Analytics ، انتقل إلى علامة التبويب قوالب القاعدة، وحدد اسم القاعدة في معرض القوالب، وانقر على إنشاء قاعدة في جزء التفاصيل.

    لإضافة طلبات بحث غير متوفرة حاليا كقالب قاعدة، راجع إنشاء قاعدة تحليلات مخصصة باستخدام طلب بحث مجدول.

    لمزيد من المعلومات، راجع سيناريوهات اكتشاف الهجمات متعددة المراحل المتقدمة من Fusion مع قواعد التحليلات المجدولة.

    ملاحظة

    بالنسبة لمجموعة قواعد التحليلات المجدولة التي تستخدمها Fusion ، تقوم خوارزمية ML بمطابقة غامضة لاستعلامات KQL المتوفرة في القوالب. لن تؤثر إعادة تسمية القوالب على اكتشافات الانصهار.

الخطوات التالية

تعرف على المزيد حول اكتشافات الانصهار في Microsoft Sentinel.

تعرف على المزيد حول العديد من عمليات الكشف عن الاندماج المستندة إلى السيناريو.

الآن بعد أن تعرفت على المزيد حول اكتشاف الهجمات المتقدمة متعددة المراحل، قد تكون مهتما بالبدء السريع التالي لمعرفة كيفية الحصول على رؤية واضحة لبياناتك والتهديدات المحتملة: ابدأ باستخدام Microsoft Sentinel.

إذا كنت مستعدا للتحقيق في الحوادث التي تم إنشاؤها من أجلك، فراجع البرنامج التعليمي التالي: التحقيق في الحوادث باستخدام Microsoft Sentinel.