اكتشاف متقدم للهجمات متعددة المراحل في Microsoft Sentinel

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

ملاحظة

يسمى Azure Sentinel الآن Microsoft Sentinel، وسنقوم بتحديث هذه الصفحات في الأسابيع القادمة. تعرف على المزيد حول التحسينات الأمنية الأخيرة لـ Microsoft.

هام

بعض اكتشافات الاندماج (انظر تلك المشار إليها أدناه) موجودة حاليا في PREVIEW. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.

ملاحظة

للحصول على معلومات حول توفر الميزات في السحابات الحكومية الأمريكية، راجع جداول Microsoft Sentinel في توفر ميزة السحابة لعملاء الحكومة الأمريكية.

يستخدم Microsoft Sentinel Fusion، وهو محرك ارتباط يعتمد على خوارزميات التعلم الآلي القابلة للتطوير، للكشف تلقائيا عن الهجمات متعددة المراحل (المعروفة أيضا باسم التهديدات المستمرة المتقدمة أو APT) من خلال تحديد مجموعات من السلوكيات الشاذة والأنشطة المشبوهة التي يتم ملاحظتها في مراحل مختلفة من سلسلة القتل. على أساس هذه الاكتشافات ، يقوم Microsoft Sentinel بإنشاء حوادث كان من الصعب التقاطها لولا ذلك. وتشمل هذه الحوادث تنبيهين أو أكثر أو أنشطة. حسب التصميم ، هذه الحوادث منخفضة الحجم وعالية الدقة وعالية الخطورة.

لا تقلل تقنية الكشف هذه المخصصة لبيئتك من المعدلات الإيجابية الخاطئة فحسب ، بل يمكنها أيضا اكتشاف الهجمات ذات المعلومات المحدودة أو المفقودة.

نظرا لأن Fusion يربط إشارات متعددة من منتجات مختلفة للكشف عن الهجمات المتقدمة متعددة المراحل، يتم تقديم اكتشافات Fusion الناجحة كحوادث Fusion في صفحة حوادث Microsoft Sentinel وليس كتنبيهات، ويتم تخزينها في جدول SecurityIncident في السجلات وليس في جدول SecurityAlert .

تكوين الانصهار

يتم تمكين Fusion افتراضيا في Microsoft Sentinel، كقاعدة تحليلية تسمى الكشف المتقدم عن الهجمات متعددة المراحل. يمكنك عرض حالة القاعدة وتغييرها، أو تكوين إشارات المصدر ليتم تضمينها في نموذج Fusion ML، أو استبعاد أنماط اكتشاف محددة قد لا تكون قابلة للتطبيق على بيئتك من اكتشاف Fusion . تعرف على كيفية تكوين قاعدة Fusion .

ملاحظة

يستخدم Microsoft Sentinel حاليا 30 يوما من البيانات التاريخية لتدريب خوارزميات التعلم الآلي لمحرك Fusion . يتم تشفير هذه البيانات دائما باستخدام مفاتيح Microsoft أثناء مرورها عبر خط أنابيب التعلم الآلي. ومع ذلك، لا يتم تشفير بيانات التدريب باستخدام المفاتيح المدارة من قبل العميل ( CMK) إذا قمت بتمكين CMK في مساحة عمل Microsoft Sentinel. لإلغاء الاشتراك في Fusion، انتقل إلى قواعد Microsoft SentinelConfigurationAnalytics>>> النشطة، وانقر بزر الماوس الأيمن فوق قاعدة اكتشاف الهجمات متعددة المراحل المتقدمة، وحدد تعطيل.

الانصهار للتهديدات الناشئة

هام

• ويجري حاليا الكشف القائم على الاندماج للتهديدات الناشئة في إطار المعاينة. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.

ولا يزال حجم الأحداث الأمنية في ازدياد، ويتزايد باستمرار نطاق الهجمات وتطورها. يمكننا تحديد سيناريوهات الهجوم المعروفة ، ولكن ماذا عن التهديدات الناشئة وغير المعروفة في بيئتك؟

يمكن أن يساعدك محرك Fusion المدعوم بذاكرة ML من Microsoft Sentinel في العثور على التهديدات الناشئة وغير المعروفة في بيئتك من خلال تطبيق تحليل ML الموسع وربط نطاق أوسع من الإشارات الشاذة ، مع الحفاظ على انخفاض تعب التنبيه.

تتعلم خوارزميات ML الخاصة بمحرك Fusion باستمرار من الهجمات الحالية وتطبق التحليل بناء على كيفية تفكير محللي الأمن. وبالتالي يمكنه اكتشاف التهديدات التي لم يتم اكتشافها سابقا من ملايين السلوكيات الشاذة عبر سلسلة القتل في جميع أنحاء بيئتك ، مما يساعدك على البقاء متقدما بخطوة واحدة على المهاجمين.

يدعم Fusion for Emerging Threat جمع البيانات وتحليلها من المصادر التالية:

• اكتشافات الشذوذ خارج الصندوق
• تنبيهات من منتجات Microsoft:
  • Azure Active Directory Identity Protection
  • Microsoft Defender للسحابة
  • Microsoft Defender لإنترنت الأشياء
  • Microsoft 365 Defender
  • تطبيقات Microsoft Defender للسحابة
  • Microsoft Defender لنقطة النهاية
  • Microsoft Defender for Identity
  • Microsoft Defender for Office 365
• تنبيهات من قواعد التحليلات المجدولة، سواء المضمنة أو تلك التي أنشأها محللو الأمان لديك. يجب أن تحتوي قواعد التحليلات على سلسلة القتل (التكتيكات) ومعلومات تعيين الكيانات حتى يتم استخدامها بواسطة Fusion.

لست بحاجة إلى توصيل جميع مصادر البيانات المذكورة أعلاه من أجل جعل Fusion للتهديدات الناشئة يعمل. ومع ذلك ، كلما زاد عدد مصادر البيانات التي قمت بتوصيلها ، زادت التغطية ، والمزيد من التهديدات التي سيجدها Fusion.

عندما تؤدي ارتباطات محرك Fusion إلى اكتشاف تهديد ناشئ، يتم إنشاء حادث عالي الخطورة بعنوان "أنشطة هجوم متعددة المراحل محتملة تم اكتشافها بواسطة Fusion" في جدول الحوادث في مساحة عمل Microsoft Sentinel الخاصة بك.

الانصهار لبرامج الفدية

يقوم محرك Fusion من Microsoft Sentinel بإنشاء حادث عندما يكتشف تنبيهات متعددة من أنواع مختلفة من مصادر البيانات التالية، ويحدد أنها قد تكون مرتبطة بنشاط برامج الفدية:

• Microsoft Defender للسحابة
• Microsoft Defender لنقطة النهاية
• Microsoft Defender for Identity
• تطبيقات Microsoft Defender للسحابة
• قواعد التحليلات المجدولة ل Microsoft Sentinel. لا يأخذ Fusion في الاعتبار سوى قواعد التحليلات المجدولة مع معلومات التكتيكات والكيانات المعينة.

تسمى حوادث الاندماج هذه تنبيهات متعددة قد تكون مرتبطة بنشاط Ransomware المكتشف ، ويتم إنشاؤها عند اكتشاف التنبيهات ذات الصلة خلال إطار زمني محدد وترتبط بمراحل التنفيذوالتهرب الدفاعي للهجوم.

على سبيل المثال، سيقوم Microsoft Sentinel بإنشاء حادث لأنشطة برامج الفدية المحتملة إذا تم تشغيل التنبيهات التالية على نفس المضيف ضمن إطار زمني محدد:

التنبيه	المصدر	الخطورة
Windows أحداث الخطأ والتحذير	قواعد التحليلات المجدولة ل Microsoft Sentinel	اعلاميه
تم منع برامج الفدية "GandCrab"	Microsoft Defender للسحابة	متوسط
تم الكشف عن البرامج الضارة "Emotet"	Microsoft Defender لنقطة النهاية	اعلاميه
تم الكشف عن الباب الخلفي "Tofsee"	Microsoft Defender للسحابة	منخفض
تم الكشف عن البرامج الضارة "Parite"	Microsoft Defender لنقطة النهاية	اعلاميه

اكتشافات الاندماج المستندة إلى السيناريو

يسرد القسم التالي أنواع الهجمات متعددة المراحل المستندة إلى السيناريو، مجمعة حسب تصنيف التهديدات، التي يكتشفها Microsoft Sentinel باستخدام محرك ارتباط Fusion.

لتمكين سيناريوهات اكتشاف الهجمات التي تعمل بنظام Fusion هذه، يجب استيعاب مصادر البيانات المرتبطة بها في مساحة عمل Log Analytics. حدد الارتباطات الموجودة في الجدول أدناه للتعرف على كل سيناريو ومصادر البيانات المرتبطة به.

ملاحظة

بعض هذه السيناريوهات قيد المعاينة. سيتم الإشارة إليها على هذا النحو.

تصنيف التهديدات	السيناريوهات
حساب إساءة استخدام الموارد	(معاينة) أنشطة إنشاء أجهزة ظاهرية متعددة بعد تسجيل الدخول المشبوه إلى Azure Active Directory
الوصول إلى بيانات الاعتماد	(معاينة) إعادة تعيين كلمات مرور متعددة بواسطة المستخدم بعد تسجيل الدخول المريب (معاينة) تسجيل دخول مشبوه يتزامن مع تسجيل الدخول الناجح إلى بالو ألتو VPN بواسطة IP مع عدة عمليات تسجيل دخول فاشلة إلى Azure AD
حصاد بيانات الاعتماد	تنفيذ أداة سرقة بيانات اعتماد ضارة بعد تسجيل الدخول المشبوه نشاط مشتبه به لسرقة بيانات الاعتماد بعد تسجيل الدخول المشبوه
تعدين العملات المشفرة	نشاط تعدين العملات المشفرة بعد تسجيل الدخول المشبوه
تدمير البيانات	الحذف الجماعي للملفات بعد تسجيل الدخول إلى Azure AD المشبوه (معاينة) الحذف الجماعي للملفات بعد تسجيل الدخول الناجح إلى Azure AD من IP محظور بواسطة جهاز جدار حماية Cisco (معاينة) الحذف الجماعي للملفات بعد تسجيل الدخول بنجاح إلى Palo Alto VPN بواسطة IP مع عدة عمليات تسجيل دخول فاشلة إلى Azure AD (معاينة) نشاط حذف البريد الإلكتروني المريب بعد تسجيل الدخول إلى Azure AD المشبوه
استخراج البيانات	(معاينة) أنشطة إعادة توجيه البريد بعد نشاط حساب المسؤول الجديد الذي لم يظهر مؤخرا تنزيل ملف جماعي بعد تسجيل الدخول إلى Azure AD المشبوه (معاينة) تنزيل ملف جماعي بعد تسجيل الدخول الناجح إلى Azure AD من IP محظور بواسطة جهاز جدار حماية Cisco (معاينة) تنزيل ملف جماعي يتزامن مع تشغيل ملف SharePoint من IP غير المرئي سابقا مشاركة الملفات الجماعية بعد تسجيل الدخول إلى Azure AD المشبوه (معاينة) أنشطة مشاركة تقارير Power BI المتعددة بعد تسجيل الدخول إلى Azure AD المشبوه Office 365 إخراج علبة البريد بعد تسجيل دخول Azure AD مريب (معاينة) SharePoint عملية تشغيل الملف من IP غير المرئي سابقا بعد اكتشاف البرامج الضارة (معاينة) قواعد معالجة البريد الوارد المشبوهة التي تم تعيينها بعد تسجيل الدخول إلى Azure AD المشبوه (معاينة) مشاركة تقرير Power BI المشبوه بعد تسجيل الدخول إلى Azure AD المشبوه
رفض الخدمة	(معاينة) أنشطة حذف VM متعددة بعد تسجيل الدخول إلى Azure AD المشبوه
الحركة الجانبية	انتحال شخصية Office 365 بعد تسجيل الدخول إلى Azure AD المشبوه (معاينة) قواعد معالجة البريد الوارد المشبوهة التي تم تعيينها بعد تسجيل الدخول إلى Azure AD المشبوه
نشاط إداري ضار	نشاط إداري مريب لتطبيق السحابة بعد تسجيل الدخول إلى Azure AD المشبوه (معاينة) أنشطة إعادة توجيه البريد بعد نشاط حساب المسؤول الجديد الذي لم يظهر مؤخرا
التنفيذ الضار مع عملية مشروعة	(معاينة) أجرى PowerShell اتصالا مشبوها بالشبكة ، متبوعا ب حركة المرور الشاذة التي تم وضع علامة عليها بواسطة جدار حماية Palo Alto Networks (معاينة) تنفيذ WMI عن بعد مشبوه متبوعا ب حركة المرور الشاذة التي تم وضع علامة عليها بواسطة جدار حماية Palo Alto Networks سطر أوامر PowerShell المشبوه بعد تسجيل الدخول المريب
البرامج الضارة C2 أو تنزيلها	(معاينة) نمط المنارة الذي اكتشفته Fortinet بعد عدة عمليات تسجيل دخول فاشلة للمستخدم إلى خدمة (معاينة) نمط المنارة الذي تم اكتشافه بواسطة Fortinet بعد تسجيل الدخول إلى Azure AD المشبوه (معاينة) طلب الشبكة إلى خدمة إخفاء هوية TOR متبوعا ب حركة المرور الشاذة التي تم وضع علامة عليها بواسطة جدار حماية Palo Alto Networks (معاينة) الاتصال الصادر ب IP مع سجل من محاولات الوصول غير المصرح بها متبوعا ب حركة المرور الشاذة التي تم وضع علامة عليها بواسطة جدار حماية Palo Alto Networks
استمرار	(معاينة) الموافقة على طلب نادر بعد تسجيل الدخول المشبوه
برامج الفدية الضارة	تنفيذ Ransomware بعد تسجيل الدخول المشبوه إلى Azure AD
الاستغلال عن بعد	(معاينة) الاستخدام المشتبه به لإطار الهجوم متبوعا ب حركة المرور الشاذة التي تم وضع علامة عليها بواسطة جدار حماية Palo Alto Networks
اختطاف الموارد	(معاينة) نشر مورد/مجموعة موارد مشبوهة بواسطة متصل لم يسبق له مثيل بعد تسجيل الدخول إلى Azure AD المشبوه

الخطوات التالية

احصل على مزيد من المعلومات حول اكتشاف الهجوم المتقدم متعدد المراحل من Fusion :

• تعرف على المزيد حول اكتشافات الهجمات المستندة إلى سيناريو Fusion .
• تعرف على كيفية تكوين قواعد Fusion .

الآن بعد أن تعرفت على المزيد حول اكتشاف الهجمات المتقدمة متعددة المراحل، قد تكون مهتما بالبدء السريع التالي لمعرفة كيفية الحصول على رؤية واضحة لبياناتك والتهديدات المحتملة: ابدأ باستخدام Microsoft Sentinel.

إذا كنت مستعدا للتحقيق في الحوادث التي تم إنشاؤها من أجلك، فراجع البرنامج التعليمي التالي: التحقيق في الحوادث باستخدام Microsoft Sentinel.