تصنيف البيانات وتحليلها باستخدام الكيانات في Microsoft Sentinel
ملاحظة
يسمى Azure Sentinel الآن Microsoft Sentinel، وسنقوم بتحديث هذه الصفحات في الأسابيع القادمة. تعرف على المزيد حول التحسينات الأمنية الأخيرة لـ Microsoft.
ما هي الكيانات؟
عندما يتم إرسال تنبيهات إلى Microsoft Sentinel أو إنشاؤها بواسطتها، فإنها تحتوي على عناصر بيانات يمكن ل Sentinel التعرف عليها وتصنيفها إلى فئات ككيانات. عندما يفهم Microsoft Sentinel نوع الكيان الذي يمثله عنصر بيانات معين ، فإنه يعرف الأسئلة الصحيحة التي يجب طرحها حوله ، ويمكنه بعد ذلك مقارنة الرؤى حول هذا العنصر عبر مجموعة كاملة من مصادر البيانات ، وتتبعه بسهولة والرجوع إليه طوال تجربة Sentinel بأكملها - التحليلات والتحقيق والمعالجة والصيد وما إلى ذلك. بعض الأمثلة الشائعة للكيانات هي المستخدمين والمضيفين والملفات والعمليات وعناوين IP وعناوين URL.
معرفات الكيانات
يدعم Microsoft Sentinel مجموعة واسعة من أنواع الكيانات. لكل نوع سماته الفريدة الخاصة به، بما في ذلك بعض السمات التي يمكن استخدامها لتحديد كيان معين. يتم تمثيل هذه السمات كحقول في الكيان، وتسمى المعرفات. راجع القائمة الكاملة للكيانات المدعومة ومعرفاتها أدناه.
معرفات قوية وضعيفة
كما هو مذكور أعلاه ، لكل نوع من أنواع الكيانات ، هناك حقول ، أو مجموعات من الحقول ، يمكنها التعرف عليها. يمكن الإشارة إلى هذه الحقول أو مجموعات الحقول على أنها معرفات قوية إذا كان بإمكانها تحديد كيان بشكل فريد دون أي غموض ، أو كمعرفات ضعيفة إذا كان بإمكانها تحديد كيان في ظل ظروف معينة ، ولكن ليس من المضمون تحديد كيان بشكل فريد في جميع الحالات. في كثير من الحالات ، على الرغم من ذلك ، يمكن الجمع بين مجموعة مختارة من المعرفات الضعيفة لإنتاج معرف قوي.
على سبيل المثال، يمكن تعريف حسابات المستخدمين ككيانات حساب بأكثر من طريقة: باستخدام معرف قوي واحد مثل المعرف الرقمي لحساب Azure AD (حقل GUID )، أو قيمة اسم المستخدم الأساسي (UPN)، أو بدلا من ذلك، باستخدام مجموعة من المعرفات الضعيفة مثل حقلي الاسموNTDomain الخاص به. يمكن أن تحدد مصادر البيانات المختلفة نفس المستخدم بطرق مختلفة. عندما يواجه Microsoft Sentinel كيانين يمكنه التعرف عليهما على أنهما نفس الكيان استنادا إلى معرفاتهما، فإنه يدمج الكيانين في كيان واحد، بحيث يمكن التعامل معهما بشكل صحيح ومتسق.
ومع ذلك، إذا قام أحد موفري الموارد بإنشاء تنبيه لم يتم فيه تحديد كيان بشكل كاف - على سبيل المثال، باستخدام معرف ضعيف واحد فقط مثل اسم مستخدم بدون سياق اسم المجال - فلا يمكن دمج كيان المستخدم مع مثيلات أخرى لنفس حساب المستخدم. وستحدد تلك الحالات الأخرى بوصفها كيانا منفصلا، وسيبقى هذان الكيانان منفصلين بدلا من أن يكونا موحدين.
لتقليل مخاطر حدوث ذلك، يجب التحقق من أن كافة موفري التنبيهات تحدد بشكل صحيح الكيانات في التنبيهات التي تنتجها. بالإضافة إلى ذلك، قد تؤدي مزامنة كيانات حساب المستخدم مع Azure Active Directory إلى إنشاء دليل موحد، والذي سوف يكون قادرًا على دمج كيانات حساب المستخدم.
الكيانات ذات الدعم المسبق
يتم تحديد الأنواع التالية من الكيانات حاليًا في Microsoft Sentinel:
- حساب المستخدم
- المضيف
- عنوان IP
- البرامج الضارة
- الملف
- العملية
- تطبيق سحابي
- اسم المجال
- مورد Azure Resource
- تجزئة الملف
- مفتاح التسجيل
- قيمة التسجيل
- مجموعة الأمان
- عنوان URL
- جهاز IoT
- علبه البريد
- نظام مجموعة البريد
- رسالة بريد
- بريد عمليات الإرسال
يمكنك عرض معرفات هذه الكيانات وغيرها من المعلومات ذات الصلة في مرجع الكيانات.
تعيين الكيان
كيف يتعرف Microsoft Sentinel على جزء من البيانات في تنبيه على أنه يحدد كيانا؟
دعونا نلقي نظرة على كيفية معالجة البيانات في Microsoft Sentinel. يتم استيعاب البيانات من مصادر مختلفة من خلال الموصلات ، سواء كانت خدمة إلى خدمة أو مستندة إلى وكيل أو باستخدام خدمة syslog ومعيد توجيه السجل. يتم تخزين البيانات في جداول في مساحة عمل Log Analytics. ثم يتم الاستعلام عن هذه الجداول على فترات زمنية مجدولة بانتظام بواسطة قواعد التحليلات التي قمت بتعريفها وتمكينها. أحد الإجراءات العديدة التي تتخذها قواعد التحليلات هذه هو تعيين حقول البيانات في الجداول إلى الكيانات المعترف بها بواسطة Microsoft Sentinel. وفقا للتعيينات التي تحددها في قواعد التحليلات، سيأخذ Microsoft Sentinel حقولا من النتائج التي يتم إرجاعها بواسطة استعلامك، ويتعرف عليها من خلال المعرفات التي حددتها لكل نوع كيان، ويطبق عليها نوع الكيان الذي حددته تلك المعرفات.
ما الهدف من كل هذا؟
عندما يتمكن Microsoft Sentinel من تحديد الكيانات في التنبيهات من أنواع مختلفة من مصادر البيانات، وخاصة إذا كان بإمكانه القيام بذلك باستخدام معرفات قوية مشتركة بين كل مصدر بيانات أو مخطط ثالث، فيمكنه بعد ذلك الارتباط بسهولة بين كل هذه التنبيهات ومصادر البيانات. تساعد هذه الارتباطات في بناء مخزن غني من المعلومات والرؤى حول الكيانات ، مما يمنحك أساسا متينا لعمليات الأمان الخاصة بك.
تعرف على كيفية تعيين حقول البيانات إلى الكيانات.
تعرف على المعرفات التي تحدد الكيان بقوة.
صفحات الكيان
عندما تصادف أي كيان (يقتصر حاليًا على المستخدمين والمضيفين) في بحث أو تنبيه أو تحقيق، يمكنك تحديد الكيان، ونقله إلى صفحة كيان، ورقة بيانات مليئة بالمعلومات المفيدة حول هذا الكيان. تتضمن أنواع المعلومات التي ستجدها في هذه الصفحة حقائق أساسية عن الكيان، وجدولاً زمنيًا للأحداث البارزة المتعلقة بهذا الكيان، ونتيجة معرفية حول سلوك الكيان.
تتكون صفحات الكيان من ثلاثة أجزاء:
تحتوي اللوحة الموجودة على الجانب الأيسر على معلومات تعريف الكيان، التي تم جمعها من مصادر البيانات مثل Azure Active Directory وAzure Monitor وMicrosoft Defender for Cloud وMicrosoft Defender for Cloud.
تعرض لوحة المركز جدولاً زمنيًا بيانيًا ونصيًا للأحداث البارزة المتعلقة بالكيان؛ مثل: التنبيهات والإشارات المرجعية والأنشطة. الأنشطة هي تجميعات من الأحداث البارزة من Log Analytics. يتم تطوير الاستعلامات التي تكشف عن هذه الأنشطة بواسطة فرق أبحاث الأمان Microsoft.
تقدم لوحة الجانب الأيمن نتيجة معرفية سلوكية حول الكيان. تساعد هذه النتائج المعرفية على التعرف بسرعة على الحالات المخالفة للطبيعة، والتهديدات الأمنية. يتم تطوير النتائج المعرفية من قبل فرق أبحاث الأمان من Microsoft، وتستند إلى نماذج الكشف عن الشذوذ.
الجدول الزمني
يمثل الجدول الزمني جزءًا كبيرًا من مساهمة صفحة الكيان في تحليلات السلوك في Microsoft Sentinel. وهو يقدم قصة عن الأحداث المتعلقة بالكيان، مما يساعدك على فهم نشاط الكيان ضمن إطار زمني محدد.
يمكنك اختيار النطاق الزمني من بين عدة خيارات معدة مسبقًا (مثل آخر 24 ساعة)،، أو تعيينها إلى أي إطار زمني محدد حسب الطلب. بالإضافة إلى ذلك، يمكنك تعيين عوامل التصفية التي تحدد المعلومات في المخطط الزمني على أنواع معينة من الأحداث أو التنبيهات.
يتم تضمين أنواع العناصر التالية في المخطط الزمني:
التنبيهات - أي تنبيهات يتم فيها تعريف الكيان ككيان معين. لاحظ أنه إذا كانت مؤسستك قد أنشأت تنبيهات مخصصة باستخدام قواعد التحليلات، يجب التأكد من أن تعيين الكيانات للقواعد يتم بشكل صحيح.
الإشارات المرجعية - أي إشارات مرجعية تتضمن الكيان المحدد المعروض على الصفحة.
الأنشطة - تجميع الأحداث البارزة المتعلقة بالكيان.
Entity Insights
تعتبر النتائج المعرفية للكيان استعلامات تم تعريفها بواسطة باحثي أمان Microsoft لمساعدة المحللين في البحث بشكل أكثر كفاءة وفعالية. يتم عرض النتائج المعرفية كجزء من صفحة الكيان، وتوفر معلومات أمان قيمة على المضيفين والمستخدمين، في شكل بيانات وجداول. وجود المعلومات هنا يعني أنك لا تحتاج إلى التحويل إلى Log Analytics. تتضمن الرؤى بيانات تتعلق بعمليات تسجيل الدخول وإضافات المجموعة والأحداث الشاذة والمزيد، وتشمل خوارزميات ML المتقدمة للكشف عن السلوك الشاذ.
تستند الإحصاءات إلى مصادر البيانات التالية:
- سيسلوج (لينكس)
- حدث أمني (Windows)
- AuditLogs (Azure AD)
- SigninLogs (Azure AD)
- نشاط المكتب (Office 365)
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- نبضات القلب (Azure Monitor Agent)
- CommonSecurityLog (Microsoft Sentinel)
كيفية استخدام صفحات الكيان
تم تصميم صفحات الكيان لتكون جزءًا من سيناريوهات الاستخدام المتعددة، ويمكن الوصول إليها من إدارة الحوادث أو الرسم البياني للتحقيق أو الإشارات المرجعية أو مباشرة من صفحة بحث الكيان ضمن تحليلات سلوك الكيان في القائمة الرئيسية لـ Microsoft Sentinel.
الخطوات التالية
في هذا المستند، تعرفت على كيفية العمل مع الكيانات في Microsoft Sentinel. للحصول على إرشادات عملية حول التنفيذ، ولاستخدام الإحصاءات التي اكتسبتها، راجع المقالات التالية:
- تمكين تحليلات سلوك الكيان في Microsoft Sentinel.
- ابحث عن التهديدات الأمنية.