Share via

البرنامج التعليمي: التحقيق في الحوادث باستخدام بيانات UEBA

  • مقالة

توضح هذه المقالة الطرق الشائعة ونماذج الإجراءات لاستخدام تحليلات سلوك كيان المستخدم (UEBA) في مهام سير عمل التحقيق المنتظمة.

هام

الميزات الملحوظة في هذه المقالة موجودة حالياً في PREVIEW. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.

إشعار

يوفر هذا البرنامج التعليمي الإجراءات المستندة إلى السيناريو لأهم مهمة العميل: التحقيق باستخدام بيانات UEBA. لمزيد من المعلومات، راجع التحقيق في الحوادث باستخدام Microsoft Azure Sentinel.

المتطلبات الأساسية

قبل أن تتمكن من استخدام بيانات UEBA في تحقيقاتك، يجب عليك تمكين تحليلات سلوك المستخدم والكيان (UEBA) في Microsoft Azure Sentinel.

ابدأ في البحث عن نتائج تحليلات تعمل بالآلة بعد أسبوع تقريباً من تمكين UEBA.

قم بإجراء عمليات بحث استباقية روتينية في بيانات الكيان

نوصي بإجراء عمليات بحث استباقية منتظمة من خلال نشاط المستخدم لإنشاء عملاء محتملين لمزيد من التحقيق.

يمكنك استخدام Microsoft Azure Sentinel ​​مصنف تحليلات سلوك المستخدم والكيان للاستعلام عن بياناتك، مثل:

  • المستخدمون الأكثر خطورة، مع وجود حالات شاذة أو حوادث مرتبطة
  • بيانات عن مستخدمين محددين، لتحديد ما إذا كان الموضوع قد تم اختراقه بالفعل، أو ما إذا كان هناك تهديد من الداخل بسبب إجراء مخالف للملف الشخصي للمستخدم.

بالإضافة إلى ذلك، قم بتسجيل الإجراءات غير الروتينية في كتاب عمل UEBA، واستخدمها للعثور على الأنشطة غير المألوفة وممارسات عدم الامتثال المحتملة.

تحقق من تسجيل دخول غير طبيعي

على سبيل المثال، تتبع الخطوات التالية التحقيق مع مستخدم متصل بشبكة VPN لم يستخدموها من قبل، وهو نشاط غير طبيعي.

  1. في منطقة مصنفات Microsoft Azure Sentinel، ابحث عن مصنف User and Entity Behavior Analytics وافتحه.

  2. ابحث عن اسم مستخدم محدد للتحقيق فيه وحدد اسمه في جدول Top users to investigate.

  3. قم بالتمرير لأسفل عبر جدولي تصنيف الحوادث وتصنيف الأحداث غير المألوفة لعرض الحوادث والأمور غير المألوفة المرتبطة بالمستخدم المحدد.

  4. في الحالة غير المألوفة، مثل الحالة التي تسمى Anomalous Successful Logon، راجع التفاصيل الموضحة في الجدول للتحقق منها. على سبيل المثال:

    الخطوة ‏‏الوصف
    لاحظ الوصف على اليمين كل حالة شاذة لها وصف، مع ارتباط لمعرفة المزيد في قاعدة المعارف (KB) MITRE ATT&CK.
    على سبيل المثال:

    الوصول الأولي
    الخصم يحاول الدخول إلى شبكتك.
    يتكون الوصول الأولي من تقنيات تستخدم متجهات دخول مختلفة للحصول على موطئ قدم أولي داخل الشبكة. التقنيات المستخدمة للحصول على موطئ قدم تشمل التصيد بالرمح المستهدف واستغلال الثغرات الأمنية في خوادم الويب العامة. قد تسمح مواطئ القدم المكتسبة من خلال الوصول الأولي بالوصول المستمر، مثل الحسابات الصالحة واستخدام الخدمات الخارجية عن بُعد، أو قد تكون محدودة الاستخدام بسبب تغيير كلمات المرور.
    لاحظ النص الموجود في عمود الوصف في صف الحالات غير المألوفة، قم بالتمرير إلى اليمين لعرض وصف إضافي. حدد الارتباط لعرض النص الكامل. على سبيل المثال:

    قد يسرق الأعداء بيانات اعتماد مستخدم أو حساب خدمة معين باستخدام تقنيات الوصول إلى معلومات تسجيل الدخول أو الحصول على معلومات تسجيل الدخول في وقت مبكر من عملية الاستطلاع الخاصة بهم من خلال الهندسة الاجتماعية لوسائل الحصول على الوصول المبدئي. على سبيل المثال، استخدم APT33 حسابات صالحة للوصول الأولي. يُنشئ الاستعلام أدناه مخرجات تسجيل دخول ناجح قام به مستخدم من موقع جغرافي جديد لم يتصل به من قبل، ولا أي من أقرانه أيضاً.
    لاحظ بيانات UsersInsights قم بالتمرير إلى اليمين في صف الانحراف لعرض بيانات إحصاءات المستخدم، مثل اسم عرض الحساب ومعرف عنصر الحساب. حدد النص لعرض البيانات الكاملة على اليمين.
    لاحظ بيانات الأدلة قم بالتمرير إلى اليمين في صف الانحراف لعرض بيانات الأدلة الخاصة بالشذوذ. حدد عرض النص للبيانات الكاملة على اليمين، مثل الحقول التالية:

    - ActionUncommonlyPerformedByUser
    - UncommonHighVolumeOfActions
    - FirstTimeUserConnectedFromCountry
    - CountryUncommonlyConnectedFromAmongPeers
    - FirstTimeUserConnectedViaISP
    - ISPUncommonlyUsedAmongPeers
    - CountryUncommonlyConnectedFromInTenant
    - ISPUncommonlyUsedInTenant

استخدم البيانات الموجودة في مصنف User and Entity Behavior Analytics لتحديد ما إذا كان نشاط المستخدم مريباً ويتطلب مزيداً من الإجراءات.

استخدم بيانات UEBA لتحليل النتائج الإيجابية الزائفة

في بعض الأحيان، تكون الحادثة التي يتم تسجيلها في التحقيق نتيجة إيجابية خاطئة.

من الأمثلة الشائعة للإيجابية الخاطئة عندما يتم اكتشاف نشاط سفر مستحيل، مثل مستخدم سجل الدخول إلى تطبيق أو بوابة إلكترونية من كل من نيويورك ولندن في نفس الساعة. بينما يلاحظ Microsoft Azure Sentinel السفر المستحيل باعتباره حالة شاذة، قد يوضح التحقيق مع المستخدم أن VPN قد تم استخدامه مع موقع بديل لمكان المستخدم الفعلي.

تحليل النتيجة الإيجابية الزائفة

على سبيل المثال، بالنسبة إلى حادثة السفر المستحيل، بعد التأكد من المستخدم أنه تم استخدام VPN، انتقل من الحادثة إلى صفحة كيان المستخدم. استخدم البيانات المعروضة هناك لتحديد ما إذا كانت المواقع التي تم تسجيلها مضمنة في المواقع المعروفة للمستخدم.

على سبيل المثال:

Open an incident's user entity page.

يتم أيضاً ربط صفحة كيان المستخدم من صفحة الحادث نفسها والرسم البياني للتحقيق.

تلميح

بعد التأكد من البيانات الموجودة على صفحة كيان المستخدم للمستخدم المحدد المرتبط بالحادث، انتقل إلى منطقة Hunting لـ Microsoft Azure Sentinel لفهم ما إذا كان أقران المستخدم يتواصلون عادةً من نفس المواقع أيضاً. إذا كان الأمر كذلك، فإن هذه المعرفة ستقدم حجة أقوى للإيجابية الخاطئة.

في منطقة Hunting، قم بتشغيل استعلام Anomalous Geo Location Logon. لمزيد من المعلومات، راجع البحث عن المخاطر باستخدام Microsoft Sentinel.

تضمين بيانات IdentityInfo في قواعد التحليلات الخاصة بك (المعاينة العامة)

نظراً لأن المهاجمين غالباً ما يستخدمون حسابات المستخدم والخدمة الخاصة بالمؤسسة، فإن البيانات المتعلقة بحسابات المستخدمين هذه، بما في ذلك تعريف المستخدم والامتيازات، تعد بالغة الأهمية للمحللين في عملية التحقيق.

قم بتضمين البيانات من جدول IdentityInfo لضبط قواعد التحليلات لتناسب حالات الاستخدام، وتقليل الإيجابيات الخاطئة، وربما تسريع عملية التحقيق.

على سبيل المثال:

  • لربط أحداث الأمان بجدول IdentityInfo في تنبيه يتم تشغيله في حالة وصول شخص ما إلى الخادم من خارج قسم تكنولوجيا المعلومات :

    SecurityEvent
| where EventID in ("4624","4672")
| where Computer == "My.High.Value.Asset"
| join kind=inner  (
    IdentityInfo
    | summarize arg_max(TimeGenerated, *) by AccountObjectId) on $left.SubjectUserSid == $right.AccountSID
| where Department != "IT"

  • لربط سجلات تسجيل الدخول إلى Microsoft Entra بجدول IdentityInfo في تنبيه يتم تشغيله إذا تم الوصول إلى تطبيق من قبل شخص ليس عضوا في مجموعة أمان معينة:

    SigninLogs
| where AppDisplayName == "GithHub.Com"
| join kind=inner  (
    IdentityInfo
    | summarize arg_max(TimeGenerated, *) by AccountObjectId) on $left.UserId == $right.AccountObjectId
| where GroupMembership !contains "Developers"

يتزامن جدول IdentityInfo مع مساحة عمل Microsoft Entra لإنشاء لقطة لبيانات ملف تعريف المستخدم، مثل بيانات تعريف المستخدم ومعلومات المجموعة وأدوار Microsoft Entra المعينة لكل مستخدم. لمزيد من المعلومات، راجع جدول IdentityInfo في مرجع إثراء UEBA.

التعرف على محاولات التصيد بالرمح والرشوة بكلمة المرور

دون تمكين المصادقة متعددة العوامل (MFA)، تكون بيانات اعتماد المستخدم عرضة للمهاجمين الذين يتطلعون إلى اختراق الهجمات باستخدام رش كلمة المرور أو محاولات التصيد الاحتيالي الرمح.

تحقق من حادث رش كلمة المرور باستخدام نتائج تحليلات UEBA

على سبيل المثال، للتحقيق في حادث رش كلمة المرور باستخدام نتائج تحليلات UEBA، يمكنك القيام بما يلي لمعرفة المزيد:

  1. في الحادث، في الجزء السفلي الأيسر، حدد Investigate لعرض الحسابات والأجهزة ونقاط البيانات الأخرى التي من المحتمل أن تكون مستهدفة في هجوم.

    من خلال استعراض البيانات، قد ترى حساب مسؤول به عدد كبير نسبياً من حالات فشل تسجيل الدخول. في حين أن هذا أمر مريب، فقد لا ترغب في تقييد الحساب دون مزيد من التأكيد.

  2. حدد كيان المستخدم الإداري في الخريطة، ثم حدد Insights على اليمين للعثور على مزيد من التفاصيل، مثل الرسم البياني لعمليات تسجيل الدخول بمرور الوقت.

  3. حدد Info على اليمين، ثم حدد View full details للانتقال إلى صفحة كيان المستخدم لمزيد من التعمق.

    على سبيل المثال، لاحظ ما إذا كان هذا هو أول حادث نشر لكلمة المرور المحتملة للمستخدم، أو راقب سجل تسجيل الدخول الخاص بالمستخدم لفهم ما إذا كانت حالات الفشل غير طبيعية.

تلميح

يمكنك أيضاً تشغيل تسجيل الدخول الفاشل الشاذاستعلام الصيد لمراقبة جميع عمليات تسجيل الدخول غير المألوفة الفاشلة للمؤسسة. استخدم نتائج الاستعلام لبدء التحقيقات في هجمات رش كلمة المرور المحتملة.

تفجير عنوان URL (معاينة عامة)

عند وجود عناوين URL في السجلات التي تم إدخالها إلى Microsoft Azure Sentinel، يتم تفجير عناوين URL هذه تلقائياً للمساعدة في تسريع عملية الفرز.

يتضمن الرسم البياني للتحقيق عقدة لعنوان URL المفجر، بالإضافة إلى التفاصيل التالية:

  • DetonationVerdict. التصميم المنطقي عالي المستوى من التفجير. على سبيل المثال، تعني كلمة سيء أنه تم تصنيف الجانب على أنه يستضيف برامج ضارة أو محتوى تصيّد.
  • تفجيرFinalURL. عنوان URL النهائي الذي تمت ملاحظته للصفحة المقصودة، بعد كل عمليات إعادة التوجيه من عنوان URL الأصلي.

على سبيل المثال:

Sample URL detonation shown in the Investigation graph.

تلميح

إذا كنت لا ترى عناوين URL في سجلاتك، فتحقق من تمكين تسجيل URL، المعروف أيضاً باسم تسجيل التهديد، لبوابات الويب الآمنة أو وكلاء الويب أو الجدران النارية أو IDS/IPS القديمة.

يمكنك أيضاً إنشاء سجلات مخصصة لتوجيه عناوين URL معينة تهمك إلى Microsoft Azure Sentinel لمزيد من التحقيق.

الخطوات التالية

تعرف على المزيد بشأن UEBA والتحقيقات والصيد: