أرشفة لما هو جديد في Azure Sentinel

  • مقالة
  • قراءة خلال 26 دقائق

ملاحظة

يسمى Azure Sentinel الآن Microsoft Sentinel، وسنقوم بتحديث هذه الصفحات في الأسابيع القادمة. تعرف على المزيد حول التحسينات الأمنية الأخيرة لـ Microsoft.

تحتوي صفحة ملاحظات إصدار Sentinel الأساسية على تحديثات للأشهر الستة الأخيرة، بينما تحتوي هذه الصفحة على عناصر قديمة.

للحصول على معلومات حول الميزات السابقة التي تم تسليمها، راجع مدونات مجتمع التكنولوجيا.

الميزات المذكورة موجودة حاليا في PREVIEW. تتضمن شروط Azure Preview التكميلية شروطًا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في الإتاحة العامة.

تلميح

تساهم فرق تتبع التهديدات عبر Microsoft بالاستعلامات ودلائل المبادئ والمصنفات ودفاتر الملاحظات في مجتمع Azure Sentinel، بما في ذلك استعلامات تتبع محددة يمكن لفرقك تكييفها واستخدامها.

يمكنك أيضا المساهمة! انضم إلينا في مجتمع Azure Sentinel Threat Hunters GitHub.

يوليو 2021

تحليلات مطابقة التحليل الذكي للمخاطر من Microsoft (معاينة عامة)

يوفر Azure Sentinel الآن قاعدة تحليلات مطابقة تحليلات تحليلات التحليلات الذكية للمخاطر من Microsoft المضمنة، والتي تطابق بيانات التحليل الذكي للمخاطر التي أنشأتها Microsoft مع سجلاتك. تنشئ هذه القاعدة تنبيهات وحوادث عالية الدقة، مع الخطورة المناسبة استنادا إلى سياق السجلات المكتشفة. بعد الكشف عن تطابق، يتم نشر المؤشر أيضا إلى مستودع التحليل الذكي للمخاطر Azure Sentinel.

تطابق قاعدة تحليلات مطابقة التحليلات الذكية للمخاطر من Microsoft حاليا مؤشرات المجال مقابل مصادر السجل التالية:

لمزيد من المعلومات، راجع الكشف عن التهديدات باستخدام تحليلات مطابقة (معاينة عامة).

استخدام بيانات Azure AD مع جدول IdentityInfo في Azure Sentinel (معاينة عامة)

نظرا لأن المهاجمين غالبا ما يستخدمون حسابات المستخدم والخدمة الخاصة بالمؤسسة، فإن البيانات المتعلقة بحسابات المستخدمين هذه، بما في ذلك تحديد هوية المستخدم وامتيازاته، ضرورية للمحللين في عملية التحقيق.

الآن، يقوم تمكين UEBA في مساحة عمل Azure Sentinel أيضا بمزامنة البيانات Azure AD في جدول IdentityInfo الجديد في Log Analytics. تنشئ المزامنة بين Azure AD وجدول IdentifyInfo لقطة لبيانات ملف تعريف المستخدم التي تتضمن بيانات تعريف المستخدم ومعلومات المجموعة والأدوار Azure AD المعينة لكل مستخدم.

استخدم جدول IdentityInfo أثناء التحقيقات وعند ضبط قواعد التحليلات لمؤسستك لتقليل الإيجابيات الزائفة.

لمزيد من المعلومات، راجع جدول IdentityInfo في مرجع إثراء UEBA واستخدام بيانات UEBA لتحليل الإيجابيات الخاطئة.

إثراء الكيانات ببيانات تحديد الموقع الجغرافي عبر واجهة برمجة التطبيقات (معاينة عامة)

يقدم Azure Sentinel الآن واجهة برمجة تطبيقات لإثراء بياناتك بمعلومات الموقع الجغرافي. يمكن بعد ذلك استخدام بيانات الموقع الجغرافي لتحليل الحوادث الأمنية والتحقيق فيها.

لمزيد من المعلومات، راجع إثراء الكيانات في Azure Sentinel ببيانات تحديد الموقع الجغرافي عبر REST API (معاينة عامة) وتصنيف البيانات وتحليلها باستخدام الكيانات في Azure Sentinel.

دعم استعلامات ADX عبر الموارد (معاينة عامة)

تدعم تجربة التتبع في Azure Sentinel الآن استعلامات ADX عبر الموارد.

على الرغم من أن Log Analytics يظل موقع تخزين البيانات الأساسي لإجراء التحليل باستخدام Azure Sentinel، هناك حالات يطلب فيها ADX تخزين البيانات بسبب التكلفة أو فترات الاستبقاء أو عوامل أخرى. تمكن هذه الإمكانية العملاء من البحث عن مجموعة أوسع من البيانات وعرض النتائج في تجارب تتبع Azure Sentinel، بما في ذلك استعلامات التتبع، وبث مباشر، وصفحة بحث Log Analytics.

للاستعلام عن البيانات المخزنة في مجموعات ADX، استخدم الدالة adx() لتحديد مجموعة ADX واسم قاعدة البيانات والجدول المطلوب. يمكنك بعد ذلك الاستعلام عن الإخراج كما تفعل مع أي جدول آخر. اطلع على مزيد من المعلومات في الصفحات المرتبطة أعلاه.

قوائم المشاهدة متوفرة بشكل عام

تتوفر الآن ميزة قوائم المشاهدة بشكل عام. استخدم قوائم المشاهدة لإثراء التنبيهات ببيانات الأعمال، لإنشاء قوائم السماح أو قوائم الحظر للتحقق من أحداث الوصول، وللمساعدة في التحقيق في التهديدات وتقليل تعب التنبيه.

دعم موقع البيانات في مناطق جغرافية أكثر

يدعم Azure Sentinel الآن موقع البيانات الكامل في المناطق الجغرافية الإضافية التالية:

البرازيل والنرويج وجنوب أفريقيا وكوريا وألمانيا والإمارات العربية المتحدة وسويسرا.

راجع القائمة الكاملة للجغرافيا المدعومة لموقع البيانات.

المزامنة ثنائية الاتجاه في موصل Azure Defender (معاينة عامة)

يدعم موصل Azure Defender الآن المزامنة ثنائية الاتجاه لحالة التنبيهات بين Defender وAzure Sentinel. عند إغلاق حادث Sentinel يحتوي على تنبيه Defender، سيتم إغلاق التنبيه تلقائيا في مدخل Defender أيضا.

راجع هذا الوصف الكامل لموصل Azure Defender المحدث.

يونيو 2021

ترقيات التطبيع ونموذج معلومات Azure Sentinel

يمكنك نموذج معلومات Azure Sentinel من استخدام وإنشاء محتوى غير محدد المصدر، مما يبسط تحليل البيانات في مساحة عمل Azure Sentinel.

في تحديث هذا الشهر، قمنا بتحسين وثائق التطبيع الخاصة بنا، ما يوفر مستويات جديدة من التفاصيل وDNS الكامل، وحدث المعالجة، ومخططات تطبيع المصادقة.

لمزيد من المعلومات، انظر:

موصلات الخدمة إلى الخدمة المحدثة

وكان اثنان من الموصلات الأكثر استخداما لدينا المستفيدين من الترقيات الرئيسية.

  • يستند موصل أحداث الأمان Windows (المعاينة العامة) الآن إلى عامل Azure Monitor الجديد (AMA)، مما يسمح لك بمزيد من المرونة في اختيار البيانات التي يجب استيعابها، ويمنحك أقصى قدر من الرؤية بأقل تكلفة.

  • يستند موصل سجلات نشاط Azure الآن إلى البنية الأساسية لبرنامج ربط العمليات التجارية لإعدادات التشخيص، مما يمنحك بيانات أكثر اكتمالا، وتقليل تأخر الاستيعاب بشكل كبير، وتحسين الأداء والموثوقية.

الترقيات ليست تلقائية. يتم تشجيع مستخدمي هذه الموصلات على تمكين الإصدارات الجديدة.

تصدير قواعد التحليلات واستيرادها (معاينة عامة)

يمكنك الآن تصدير قواعد التحليلات الخاصة بك إلى ملفات قالب Azure Resource Manager (ARM) بتنسيق JSON، واستيراد القواعد من هذه الملفات، كجزء من إدارة عمليات توزيع Azure Sentinel والتحكم فيها كتعلم برمجي. يمكن تصدير أي نوع من قاعدة التحليلات - وليس فقط مجدول - إلى قالب ARM. يتضمن ملف القالب جميع معلومات القاعدة، من استعلامها إلى تكتيكات MITRE ATTCK& المعينة لها.

لمزيد من المعلومات، راجع تصدير قواعد التحليلات واستيرادها من قوالب ARM وإرادتها.

إثراء التنبيه: تفاصيل التنبيه (معاينة عامة)

بالإضافة إلى إثراء محتوى التنبيه الخاص بك مع تعيين الكيان والتفاصيل المخصصة، يمكنك الآن تخصيص طريقة عرض التنبيهات - وبالامتداد، الحوادث - وعرضها، استنادا إلى محتواها الخاص. مثل ميزات إثراء التنبيه الأخرى، هذا قابل للتكوين في معالج قاعدة التحليلات.

لمزيد من المعلومات، راجع تخصيص تفاصيل التنبيه في Azure Sentinel.

المزيد من التعليمات لدلائل المبادئ!

يمكن أن يساعدك مستندان جديدان في البدء أو الحصول على مزيد من الراحة في إنشاء أدلة المبادئ واستخدامها.

تتناول وثائق Playbook أيضا بشكل صريح سيناريو MSSP متعدد المستأجرين.

إعادة تنظيم الوثائق الجديدة

هذا الشهر قمنا بإعادة تنظيم وثائق Azure Sentinel الخاصة بنا، وإعادة الهيكلة إلى فئات بديهية تتبع رحلات العملاء الشائعة. استخدم البحث عن المستندات المصفاة والصفحة المنتقل إليها المحدثة للتنقل عبر مستندات Azure Sentinel.

New Azure Sentinel documentation reorganization.

مايو 2021

وحدة Azure Sentinel PowerShell

تم إصدار وحدة Azure Sentinel PowerShell النمطية الرسمية لأتمتة المهام التشغيلية اليومية ك GA!

يمكنك تنزيله هنا: معرض PowerShell.

لمزيد من المعلومات، راجع وثائق PowerShell: Az.SecurityInsights

تحسينات تجميع التنبيه

يمكنك الآن تكوين قاعدة التحليلات لتجميع التنبيهات في حادث واحد، ليس فقط عندما تتطابق مع نوع كيان معين، ولكن أيضا عندما تتطابق مع اسم تنبيه معين أو خطورة أو تفاصيل مخصصة أخرى للكيان الذي تم تكوينه.

في علامة التبويب إعدادات الحوادث في معالج قاعدة التحليلات، حدد لتشغيل تجميع التنبيهات، ثم حدد تنبيهات المجموعة في حدث واحد إذا تطابقت أنواع الكيانات المحددة مع خيار التفاصيل .

ثم حدد نوع الكيان والتفاصيل ذات الصلة التي تريد مطابقتها:

Group alerts by matching entity details.

لمزيد من المعلومات، راجع تجميع التنبيه.

حلول Azure Sentinel (معاينة عامة)

يوفر Azure Sentinel الآن حلولمحتويات مجمعة تتضمن مجموعات من موصل بيانات واحد أو أكثر، والمصنفات، وقواعد التحليلات، ودلائل المبادئ، واستعلامات التتبع، والموزعين، وقائمة المشاهدة، ومكونات أخرى ل Azure Sentinel.

توفر الحلول إمكانية اكتشاف محسنة في المنتج، ونشرا من خطوة واحدة، وسيناريوهات منتجات شاملة. لمزيد من المعلومات، راجع اكتشاف المحتوى والحلول المضمنة وتوزيعها مركزيا.

المراقبة المستمرة للمخاطر لحل SAP (معاينة عامة)

تتضمن حلول Azure Sentinel الآن مراقبة التهديدات المستمرة ل SAP، ما يتيح لك مراقبة أنظمة SAP للتهديدات المتطورة داخل طبقات الأعمال والتطبيق.

يقوم موصل بيانات SAP ببث العديد من 14 سجل تطبيق من مشهد نظام SAP بأكمله، ويجمع السجلات من كل من برمجة تطبيقات الأعمال المتقدمة (ABAP) عبر استدعاءات NetWeaver RFC وبيانات تخزين الملفات عبر واجهة التحكم OSSAP. يضيف موصل بيانات SAP إلى قدرة Azure Sentinels على مراقبة البنية الأساسية ل SAP.

لاستيعاب سجلات SAP في Azure Sentinel، يجب أن يكون لديك موصل بيانات Azure Sentinel SAP مثبتا على بيئة SAP الخاصة بك. بعد نشر موصل بيانات SAP، انشر محتوى أمان حل SAP الغني للحصول على نظرة ثاقبة بسلاسة على بيئة SAP الخاصة بمؤسستك وتحسين أي قدرات تشغيل أمان ذات صلة.

لمزيد من المعلومات، راجع نشر مراقبة التهديدات المستمرة ل SAP.

تكامل التحليل الذكي للمخاطر (معاينة عامة)

يمنحك Azure Sentinel بعض الطرق المختلفة لاستخدام موجزات التحليل الذكي للمخاطر لتعزيز قدرة محللي الأمان على اكتشاف التهديدات المعروفة وتحديد أولوياتها.

يمكنك الآن استخدام أحد العديد من منتجات النظام الأساسي المتكامل للمعلومات عن التهديدات (TIP) المتوفرة حديثا، والاتصال بخوادم TAXII للاستفادة من أي مصدر معلومات للمخاطر متوافق مع STIX، والاستفادة من أي حلول مخصصة يمكنها الاتصال مباشرة بواجهة برمجة تطبيقات Microsoft Graph Security tiIndicators.

يمكنك أيضا الاتصال بمصادر التحليل الذكي للمخاطر من أدلة المبادئ، من أجل إثراء الحوادث بمعلومات TI التي يمكن أن تساعد في إجراء التحقيق والاستجابة المباشرة.

لمزيد من المعلومات، راجع تكامل التحليل الذكي للمخاطر في Azure Sentinel.

الاندماج عبر التنبيهات المجدولة (معاينة عامة)

يمكن لمحرك ارتباط التعلم الآلي من Fusion الآن الكشف عن الهجمات متعددة المراحل باستخدام التنبيهات التي تم إنشاؤها بواسطة مجموعة من قواعد التحليلات المجدولة في ارتباطاته، بالإضافة إلى التنبيهات المستوردة من مصادر البيانات الأخرى.

لمزيد من المعلومات، راجع الكشف المتقدم عن الهجمات متعددة المراحل في Azure Sentinel.

الشذوذ SOC-ML (معاينة عامة)

يمكن أن تحدد الحالات الشاذة المستندة إلى التعلم الآلي SOC-ML في Azure Sentinel السلوك غير العادي الذي قد يتهرب من الكشف.

يستخدم SOC-ML قوالب قواعد التحليلات التي يمكن وضعها للعمل خارج الصندوق مباشرة. في حين أن الحالات الشاذة لا تشير بالضرورة إلى سلوك ضار أو حتى مريب في حد ذاتها، يمكن استخدامها لتحسين دقة عمليات الكشف والتحقيقات وتعقب التهديدات.

لمزيد من المعلومات، راجع استخدام الحالات الشاذة SOC-ML للكشف عن التهديدات في Azure Sentinel.

صفحة كيان IP (معاينة عامة)

يدعم Azure Sentinel الآن كيان عنوان IP، ويمكنك الآن عرض معلومات كيان IP في صفحة كيان IP الجديد.

مثل صفحات المستخدم والكيان المضيف، تتضمن صفحة IP معلومات عامة حول IP، وقائمة بالأنشطة التي وجد أن IP جزءا منها، وأكثر من ذلك، مما يمنحك مخزنا أكثر ثراء من المعلومات لتعزيز تحقيقك في الحوادث الأمنية.

لمزيد من المعلومات، راجع صفحات الكيان.

تخصيص النشاط (معاينة عامة)

بالحديث عن صفحات الكيان، يمكنك الآن إنشاء أنشطة جديدة مخصصة للكيانات الخاصة بك، والتي سيتم تعقبها وعرضها على صفحات الكيان الخاصة بها جنبا إلى جنب مع الأنشطة الجاهزة التي رأيتها هناك حتى الآن.

لمزيد من المعلومات، راجع تخصيص الأنشطة على المخططات الزمنية لصفحة الكيان.

لوحة معلومات التتبع (معاينة عامة)

شفرة التتبع حصلت على تحديث. تتيح لك لوحة المعلومات الجديدة تشغيل جميع الاستعلامات أو مجموعة فرعية محددة بنقرة واحدة.

حدد مكان بدء التتبع من خلال النظر إلى عدد النتائج أو الارتفاعات أو التغيير في عدد النتائج على مدى فترة 24 ساعة. يمكنك أيضا الفرز والتصفية حسب المفضلة أو مصدر البيانات أو تكتيك MITRE ATTCK& والتقنية أو النتائج أو دلتا النتائج. عرض الاستعلامات التي لا تحتوي بعد على مصادر البيانات الضرورية المتصلة، والحصول على توصيات حول كيفية تمكين هذه الاستعلامات.

لمزيد من المعلومات، راجع البحث عن التهديدات باستخدام Azure Sentinel.

فريق أحداث Azure Sentinel - التعاون في Microsoft Teams (معاينة عامة)

يدعم Azure Sentinel الآن التكامل المباشر مع Microsoft Teams، ما يتيح لك التعاون بسلاسة عبر المؤسسة ومع المساهمين الخارجيين.

مباشرة من الحادث في Azure Sentinel، أنشئ فريق حوادث جديدا لاستخدامه للاتصال والتنسيق المركزيين.

تعد فرق الحوادث مفيدة بشكل خاص عند استخدامها كجسر مؤتمرات مخصص للحوادث المستمرة عالية الخطورة. يمكن للمؤسسات التي تستخدم بالفعل Microsoft Teams للاتصال والتعاون استخدام تكامل Azure Sentinel لجلب بيانات الأمان مباشرة إلى محادثاتها وعملها اليومي.

في Microsoft Teams، تحتوي علامة تبويب صفحة الحدث الخاصة بالفريق الجديد دائما على البيانات الأحدث والأكثر تحديثا من Azure Sentinel، مما يضمن حصول فرقك على البيانات الأكثر صلة في متناول اليد.

Incident page in Microsoft Teams.

لمزيد من المعلومات، راجع التعاون في Microsoft Teams (معاينة عامة).

مصنف ثقة معدومة (TIC3.0)

يوفر مصنف Azure Sentinel ثقة معدومة (TIC3.0) الجديد تصورا تلقائيا لمبادئ ثقة معدومة، يتم نقله عبر إطار عمل اتصالات الإنترنت الموثوق بها (TIC).

نحن نعلم أن التوافق ليس مجرد مطلب سنوي، ويجب على المؤسسات مراقبة التكوينات بمرور الوقت مثل العضلات. يستخدم مصنف ثقة معدومة Azure Sentinel النطاق الكامل لعروض أمان Microsoft عبر Azure Office 365 Teams وIntune وAzure Virtual Desktop وغيرها الكثير.

Zero Trust workbook.

مصنف ثقة معدومة:

  • تمكين المنفذين ومحللي SecOps والمقيمين وصانعي قرارات الأمان والتوافق وMSSPs وغيرهم من اكتساب وعي بالوضع الأمني لأحمال العمل السحابية.
  • يتميز بأكثر من 75 بطاقة تحكم، تتماشى مع إمكانات أمان TIC 3.0، مع أزرار واجهة المستخدم الرسومية القابلة للتحديد للتنقل.
  • تم تصميمه لزيادة التوظيف من خلال الأتمتة والذكاء الاصطناعي والتعلم الآلي وإنشاء الاستعلام/التنبيه والتصورات والتوصيات المخصصة ومراجع الوثائق المعنية.

لمزيد من المعلومات، راجع تصور بياناتك ومراقبتها.

نيسان/ أبريل 2021

موصلات البيانات المستندة إلى نهج Azure

يسمح لك نهج Azure بتطبيق مجموعة شائعة من إعدادات سجلات التشخيص على جميع الموارد (الحالية والمستقبلية) من نوع معين الذي تريد استيعاب سجلاته في Azure Sentinel.

استمرارا لجهودنا لتحقيق قوة Azure Policy لمهمة تكوين جمع البيانات، نقدم الآن جامع بيانات آخر محسن لنهج Azure، لموارد حساب Azure Storage ، تم إصداره للمعاينة العامة.

أيضا، تم الآن إصدار اثنين من موصلات المعاينة الخاصة بنا، ل Azure Key Vault وخدمة Azure Kubernetes، إلى التوفر العام (GA)، للانضمام إلى موصل Azure SQL Databases.

المخطط الزمني للحوادث (معاينة عامة)

علامة التبويب الأولى في صفحة تفاصيل الحادث هي الآن اليوميات، التي تعرض مخططا زمنيا للتنبيهات والإشارات المرجعية في الحادث. يمكن أن يساعدك المخطط الزمني للحادث على فهم الحدث بشكل أفضل وإعادة بناء المخطط الزمني لنشاط المهاجم عبر التنبيهات والإشارات المرجعية ذات الصلة.

  • حدد عنصرا في المخطط الزمني للاطلاع على تفاصيله، دون مغادرة سياق الحادث
  • قم بتصفية محتوى المخطط الزمني لإظهار التنبيهات أو الإشارات المرجعية فقط، أو العناصر ذات الخطورة المحددة أو تكتيك MITRE.
  • يمكنك تحديد ارتباط معرف تنبيه النظام لعرض السجل بأكمله أو ارتباط الأحداث لمشاهدة الأحداث ذات الصلة في منطقة السجلات .

على سبيل المثال:

Incident timeline tab

لمزيد من المعلومات، راجع البرنامج التعليمي: التحقيق في الحوادث باستخدام Azure Sentinel.

آذار/ مارس 2021

تعيين المصنفات للتحديث تلقائيا أثناء العمل في وضع العرض

يمكن لمستخدمي Azure Sentinel الآن استخدام قدرة Azure Monitor الجديدة على تحديث بيانات المصنف تلقائيا أثناء جلسة عرض.

في كل قالب مصنف أو مصنف، حدد تحديث تلقائي لعرض خيارات الفاصل الزمني. حدد الخيار الذي تريد استخدامه لجلسة العرض الحالية، وحدد تطبيق.

  • تتراوح فواصل التحديث المدعومة من 5 دقائق إلى يوم واحد.

  • بشكل افتراضي، يتم إيقاف تشغيل التحديث التلقائي. لتحسين الأداء، يتم أيضا إيقاف تشغيل التحديث التلقائي في كل مرة تقوم فيها بإغلاق مصنف، ولا يتم تشغيله في الخلفية. قم بتشغيل التحديث التلقائي مرة أخرى حسب الحاجة في المرة التالية التي تفتح فيها المصنف.

  • يتم إيقاف التحديث التلقائي مؤقتا أثناء تحرير مصنف، وتتم إعادة تشغيل فواصل التحديث التلقائي في كل مرة تقوم فيها بالتبديل مرة أخرى إلى وضع العرض من وضع التحرير.

    كما تتم إعادة تشغيل الفواصل الزمنية إذا قمت بتحديث المصنف يدويا عن طريق تحديد الزر تحديث.

لمزيد من المعلومات، راجع تصور ومراقبة بياناتكووثائق Azure Monitor.

عمليات الكشف الجديدة لجدار حماية Azure

تمت إضافة العديد من عمليات الكشف الجاهزة لجدار حماية Azure إلى منطقة التحليلات في Azure Sentinel. تسمح عمليات الكشف الجديدة هذه لفرق الأمان بالحصول على تنبيهات إذا حاولت الأجهزة الموجودة على الشبكة الداخلية الاستعلام عن أسماء مجالات الإنترنت أو عناوين IP المقترنة ب IOCs المعروفة أو الاتصال بها، كما هو محدد في استعلام قاعدة الكشف.

وتشمل عمليات الكشف الجديدة ما يلي:

تتم إضافة عمليات الكشف عن جدران حماية Azure باستمرار إلى معرض القوالب المضمن. للحصول على أحدث الاكتشافات لجدار حماية Azure، ضمن قوالب القواعد، قم بتصفية مصادر البيانات حسب جدار حماية Azure:

New detections in the Analytics efficiency workbook

لمزيد من المعلومات، راجع عمليات الكشف الجديدة لجدار حماية Azure في Azure Sentinel.

قواعد التشغيل التلقائي ودلائل المبادئ التي يتم تشغيلها بالحوادث (معاينة عامة)

قواعد التشغيل التلقائي هي مفهوم جديد في Azure Sentinel، مما يسمح لك بإدارة أتمتة معالجة الحوادث مركزيا. بالإضافة إلى السماح لك بتعيين أدلة المبادئ للحوادث (وليس فقط للتنبيهات كما كان من قبل)، تسمح لك قواعد الأتمتة أيضا بأتمتة الاستجابات لقواعد تحليلات متعددة في وقت واحد، ووضع علامة تلقائيا على الحوادث أو تعيينها أو إغلاقها دون الحاجة إلى أدلة المبادئ، والتحكم في ترتيب الإجراءات التي يتم تنفيذها. ستبسط قواعد التنفيذ التلقائي استخدام الأتمتة في Azure Sentinel وستمكنك من تبسيط مهام سير العمل المعقدة لعمليات تزامن الحوادث.

تعرف على المزيد من خلال هذا التفسير الكامل لقواعد التشغيل التلقائي.

كما ذكر أعلاه، يمكن الآن تنشيط أدلة المبادئ مع مشغل الحدث بالإضافة إلى مشغل التنبيه. يوفر مشغل الحدث لدلائل المبادئ الخاصة بك مجموعة أكبر من المدخلات للعمل معها (نظرا لأن الحادث يتضمن جميع بيانات التنبيه والكيان أيضا)، مما يمنحك المزيد من القوة والمرونة في مهام سير عمل الاستجابة الخاصة بك. يتم تنشيط أدلة المبادئ التي يتم تشغيلها بواسطة الحدث عن طريق استدعاء من قواعد التشغيل التلقائي.

تعرف على المزيد حول القدرات المحسنة لدلائل المبادئ، وكيفية صياغة سير عمل استجابة باستخدام أدلة المبادئ مع قواعد التشغيل التلقائي.

إثراء التنبيه الجديد: تعيين الكيان المحسن والتفاصيل المخصصة (معاينة عامة)

إثراء التنبيهات بطريقتين جديدتين لجعلها أكثر قابلية للاستخدام وأكثر إعلامية.

ابدأ بأخذ تعيين الكيان الخاص بك إلى المستوى التالي. يمكنك الآن تعيين ما يقرب من 20 نوعا من الكيانات، من المستخدمين والمضيفين وعناوين IP، إلى الملفات والعمليات، إلى علب البريد وموارد Azure وأجهزة IoT. يمكنك أيضا استخدام معرفات متعددة لكل كيان، لتعزيز تعريفها الفريد. يمنحك هذا مجموعة بيانات أكثر ثراء في حوادثك، ما يوفر ارتباطا أوسع وتحقيقا أكثر قوة. تعرف على الطريقة الجديدة لتعيين الكيانات في تنبيهاتك.

اقرأ المزيد حول الكيانات وشاهد القائمة الكاملة للكيانات المتوفرة ومعرفاتها.

امنح قدرات التحقيق والاستجابة الخاصة بك دفعة أكبر من خلال تخصيص التنبيهات الخاصة بك لتفاصيل السطح من الأحداث البسيطة الخاصة بك. اجعل رؤية محتوى الحدث في الحوادث الخاصة بك، مما يمنحك قوة ومرونة أكبر في الاستجابة للتهديدات الأمنية والتحقيق فيها. تعرف على كيفية عرض التفاصيل المخصصة في تنبيهاتك.

يمكنك الآن طباعة مصنفات Azure Sentinel، والتي تمكنك أيضا من التصدير إليها إلى ملفات PDF وحفظها محليا أو مشاركتها.

في المصنف، حدد قائمة > الخيارات طباعة المحتوى. ثم حدد طابعتك، أو حدد حفظ بتنسيق PDF حسب الحاجة.

Print your workbook or save as PDF.

لمزيد من المعلومات، راجع تصور بياناتك ومراقبتها.

عوامل تصفية الأحداث وتفضيلات الفرز المحفوظة الآن في جلسة العمل (معاينة عامة)

الآن يتم حفظ عوامل تصفية الحوادث والفرز خلال جلسة Azure Sentinel، حتى أثناء التنقل إلى مناطق أخرى من المنتج. طالما أنك لا تزال في نفس الجلسة، فإن الانتقال مرة أخرى إلى منطقة الحوادث في Azure Sentinel يعرض عوامل التصفية والفرز تماما كما تركتها.

ملاحظة

لا يتم حفظ عوامل تصفية الحوادث والفرز بعد مغادرة Azure Sentinel أو تحديث المستعرض الخاص بك.

تكامل الحادث Microsoft 365 Defender (معاينة عامة)

يسمح لك تكامل الحادث Microsoft 365 Defender (M365D) في Azure Sentinel ببث جميع حوادث M365D إلى Azure Sentinel والحفاظ على مزامنتها بين كلا المدخلين. تتضمن الحوادث من M365D (المعروفة سابقا باسم الحماية من التهديدات من Microsoft أو MTP) جميع التنبيهات والكيانات والمعلومات ذات الصلة المرتبطة، ما يوفر لك سياقا كافيا لإجراء الفرز والتحقيق الأولي في Azure Sentinel. بمجرد الوصول إلى Sentinel، ستظل الحوادث متزامنة ثنائية الاتجاه مع M365D، مما يسمح لك بالاستفادة من مزايا كلا المدخلين في التحقيق في الحادث.

يمنحك استخدام كل من Azure Sentinel و Microsoft 365 Defender معا أفضل ما في العالمين. يمكنك الحصول على اتساع الرؤى التي يوفرها لك SIEM عبر نطاق موارد المعلومات بالكامل لمؤسستك، وكذلك عمق قوة التحقيق المخصصة والمخصصة التي يوفرها XDR لحماية موارد Microsoft 365 الخاصة بك، كل من هذه الموارد المنسقة والمتزامنة لعملية SOC السلسة.

لمزيد من المعلومات، راجع تكامل Microsoft 365 Defender مع Azure Sentinel.

موصلات خدمة Microsoft الجديدة باستخدام نهج Azure

Azure Policy هي خدمة Azure التي تسمح لك باستخدام النهج لفرض خصائص المورد والتحكم فيها. يضمن استخدام النهج أن تظل الموارد متوافقة مع معايير حوكمة تكنولوجيا المعلومات الخاصة بك.

من بين خصائص الموارد التي يمكن التحكم فيها بواسطة النهج إنشاء ومعالجة التشخيصات وسجلات التدقيق. يستخدم Azure Sentinel الآن نهج Azure للسماح لك بتطبيق مجموعة شائعة من إعدادات سجلات التشخيص على جميع الموارد (الحالية والمستقبلية) من نوع معين الذي تريد استيعاب سجلاته في Azure Sentinel. بفضل نهج Azure، لن تضطر بعد الآن إلى تعيين إعدادات سجلات التشخيص حسب المورد.

تتوفر الآن الموصلات المستندة إلى نهج Azure لخدمات Azure التالية:

سيظل العملاء قادرين على إرسال السجلات يدويا لمثيلات معينة ولن يتعين عليهم استخدام محرك النهج.

فبراير 2021

مصنف شهادة نموذج نضج الأمان عبر الإنترنت (CMMC)

يوفر مصنف Azure Sentinel CMMC آلية لعرض استعلامات السجل المتوافقة مع عناصر تحكم CMMC عبر محفظة Microsoft، بما في ذلك عروض أمان Microsoft Office 365 Teams وIntune وAzure Virtual Desktop وغيرها الكثير.

يمكن مصنف CMMC مهندسي الأمان والمهندسين ومحللي عمليات الأمان والمديرين ومحترفي تكنولوجيا المعلومات من الحصول على رؤية وعي بالوضع الأمني لأحمال العمل السحابية. هناك أيضا توصيات لتحديد عروض Microsoft وتصميمها ونشرها وتكوينها للمواءمة مع متطلبات وممارسات CMMC المعنية.

حتى إذا لم تكن مطالبا بالامتثال ل CMMC، فإن مصنف CMMC مفيد في إنشاء مراكز عمليات الأمان، وتطوير التنبيهات، وتصور التهديدات، وتوفير الوعي الظرفي بأحمال العمل.

الوصول إلى مصنف CMMC في منطقة مصنفات Azure Sentinel. حدد Template، ثم ابحث عن CMMC.

GIF recording of the C M M C workbook guide toggled on and off.

لمزيد من المعلومات، انظر:

موصلات بيانات الجهات الخارجية

تستمر مجموعتنا من عمليات تكامل الجهات الخارجية في النمو، مع إضافة ثلاثين موصلا في الشهرين الماضيين. فيما يلي قائمة:

نتائج تحليلات UEBA في صفحة الكيان (معاينة عامة)

توفر صفحات تفاصيل كيان Azure Sentinel جزء Insights، والذي يعرض رؤى سلوكية حول الكيان ويساعد على تحديد الحالات الشاذة والتهديدات الأمنية بسرعة.

إذا قمت بتمكين UEBA، وحددت إطارا زمنيا لمدة أربعة أيام على الأقل، فسيتضمن جزء Insights هذا الآن أيضا الأقسام الجديدة التالية للحصول على نتائج تحليلات UEBA:

القسم الوصف
Insights UEBA يلخص أنشطة المستخدم الشاذة:
- عبر المواقع الجغرافية والأجهزة والبيئات
- عبر أفاق الوقت والتكرار، مقارنة بمحفوظات المستخدم الخاصة
- مقارنة بسلوك الأقران
- مقارنة بسلوك المؤسسة
نظراء المستخدم استنادا إلى عضوية مجموعة الأمان يسرد نظراء المستخدم استنادا إلى عضوية مجموعات الأمان Azure AD، ما يوفر لفرق عمليات الأمان قائمة بالمستخدمين الآخرين الذين يشاركون أذونات مماثلة.
أذونات وصول المستخدم إلى اشتراك Azure إظهار أذونات وصول المستخدم إلى اشتراكات Azure التي يمكن الوصول إليها مباشرة، أو عبر مجموعات Azure AD / أساسيات الخدمة.
مؤشرات التهديد المتعلقة بالمستخدم يسرد مجموعة من التهديدات المعروفة المتعلقة بعناوين IP الممثلة في أنشطة المستخدم. يتم سرد التهديدات حسب نوع التهديد والعائلة، ويتم إثراؤها بواسطة خدمة التحليل الذكي للمخاطر من Microsoft.

البحث المحسن عن الحوادث (معاينة عامة)

لقد قمنا بتحسين تجربة البحث عن حادث Azure Sentinel، مما يتيح لك التنقل بشكل أسرع عبر الحوادث أثناء التحقيق في تهديد معين.

عند البحث عن الحوادث في Azure Sentinel، يمكنك الآن البحث عن طريق تفاصيل الحادث التالية:

  • المعرف
  • العنوان
  • منتج
  • مالك
  • العلامة

يناير 2021

معالج قاعدة التحليلات: تجربة تحرير استعلام محسنة (معاينة عامة)

يوفر معالج قاعدة التحليلات المجدولة في Azure Sentinel الآن التحسينات التالية لكتابة الاستعلامات وتحريرها:

  • نافذة تحرير قابلة للتوسيع، توفر لك مساحة شاشة أكبر لعرض استعلامك.
  • تمييز الكلمة الرئيسية في التعليمات البرمجية للاستعلام.
  • دعم الإكمال التلقائي الموسع.
  • عمليات التحقق من صحة الاستعلام في الوقت الحقيقي. تظهر الأخطاء في الاستعلام الآن ككتلة حمراء في شريط التمرير، وكنقطة حمراء في اسم علامة التبويب تعيين منطق القاعدة . بالإضافة إلى ذلك، لا يمكن حفظ استعلام يحتوي على أخطاء.

لمزيد من المعلومات، راجع إنشاء قواعد تحليلات مخصصة للكشف عن التهديدات.

الوحدة النمطية Az.SecurityInsights PowerShell (معاينة عامة)

يدعم Azure Sentinel الآن الوحدة النمطية Az.SecurityInsights PowerShell الجديدة.

تدعم الوحدة النمطية Az.SecurityInsights حالات استخدام Azure Sentinel الشائعة، مثل التفاعل مع الحوادث لتغيير التماثيل والخطورة والمالك وما إلى ذلك، وإضافة تعليقات وتسميات إلى الحوادث وإنشاء إشارات مرجعية.

على الرغم من أننا نوصي باستخدام قوالب Azure Resource Manager (ARM) لمسار CI/CD، فإن الوحدة النمطية Az.SecurityInsights مفيدة لمهام ما بعد التوزيع، وهي مستهدفة لأتمتة SOC. على سبيل المثال، قد تتضمن أتمتة SOC خطوات لتكوين موصلات البيانات أو إنشاء قواعد تحليلات أو إضافة إجراءات التنفيذ التلقائي إلى قواعد التحليلات.

لمزيد من المعلومات، بما في ذلك قائمة كاملة ووصف أوامر cmdlets المتوفرة وأوصاف المعلمات والأمثلة، راجع وثائق Az.SecurityInsights PowerShell.

موصل قاعدة بيانات SQL

يوفر Azure Sentinel الآن موصل قاعدة بيانات Azure SQL، والذي يمكنك دفق سجلات التدقيق والتشخيص لقواعد البيانات الخاصة بك إلى Azure Sentinel ومراقبة النشاط باستمرار في جميع المثيلات الخاصة بك.

Azure SQL هو محرك قاعدة بيانات مدار بالكامل للنظام الأساسي كخدمة (PaaS) يعالج معظم وظائف إدارة قاعدة البيانات، مثل الترقية والتصحيح والنسخ الاحتياطي والمراقبة، دون مشاركة المستخدم.

لمزيد من المعلومات، راجع الاتصال تشخيصات قاعدة بيانات Azure SQL وسجلات التدقيق.

موصل Dynamics 365 (معاينة عامة)

يوفر Azure Sentinel الآن موصلا ل Microsoft Dynamics 365، والذي يتيح لك جمع سجلات نشاط المستخدم والمسؤول والدعم لتطبيقات Dynamics 365 في Azure Sentinel. يمكنك استخدام هذه البيانات لمساعدتك في تدقيق كامل إجراءات معالجة البيانات التي تحدث وتحليلها للثغرات الأمنية المحتملة.

لمزيد من المعلومات، راجع الاتصال سجلات نشاط Dynamics 365 إلى Azure Sentinel.

تعليقات محسنة للحوادث

يستخدم المحللون تعليقات الحوادث للتعاون في العمل على الحوادث وتوثيق العمليات والخطوات يدويا أو كجزء من دليل المبادئ.

تمكنك تجربة التعليق المحسنة للحوادث من تنسيق تعليقاتك وتحرير التعليقات الموجودة أو حذفها.

لمزيد من المعلومات، راجع إنشاء حوادث تلقائيا من تنبيهات أمان Microsoft.

مجموعات تحليلات السجل المخصصة

يدعم Azure Sentinel الآن مجموعات Log Analytics المخصصة كخيار نشر. نوصي بالنظر في مجموعة مخصصة إذا كنت:

  • استيعاب أكثر من 1 تيرابايت يوميا في مساحة عمل Azure Sentinel
  • لديك مساحات عمل Azure Sentinel متعددة في تسجيل Azure

تمكنك المجموعات المخصصة من استخدام ميزات مثل المفاتيح المدارة من قبل العميل، وعلبة التأمين، والتشفير المزدوج، واستعلامات أسرع عبر مساحات العمل عندما يكون لديك مساحات عمل متعددة على نفس المجموعة.

لمزيد من المعلومات، راجع سجلات Azure Monitor المخصصة للمجموعات.

الهويات المدارة لتطبيقات المنطق

يدعم Azure Sentinel الآن الهويات المدارة لموصل Azure Sentinel Logic Apps، مما يتيح لك منح أذونات مباشرة إلى دليل مبادئ معين للعمل على Azure Sentinel بدلا من إنشاء هويات إضافية.

  • بدون هوية مدارة، يتطلب موصل Logic Apps هوية منفصلة مع دور Azure Sentinel RBAC من أجل التشغيل على Azure Sentinel. يمكن أن تكون الهوية المنفصلة مستخدما Azure AD أو كيان خدمة، مثل تطبيق مسجل Azure AD.

  • يؤدي تشغيل دعم الهوية المدارة في Logic App إلى تسجيل Logic App مع Azure AD ويوفر معرف كائن. استخدم معرف الكائن في Azure Sentinel لتعيين Logic App بدور Azure RBAC في مساحة عمل Azure Sentinel.

لمزيد من المعلومات، انظر:

تحسين ضبط القواعد باستخدام الرسوم البيانية لمعاينة قاعدة التحليلات (معاينة عامة)

يساعدك Azure Sentinel الآن على ضبط قواعد التحليلات بشكل أفضل، مما يساعدك على زيادة دقتها وتقليل الضوضاء.

بعد تحرير قاعدة تحليلات في علامة التبويب تعيين منطق القاعدة ، ابحث عن منطقة محاكاة النتائج على اليمين.

حدد Test with current data to have Azure Sentinel run a simulation of the last 50 runs of your analytics rule. يتم إنشاء رسم بياني لإظهار متوسط عدد التنبيهات التي كانت ستنشأها القاعدة، استنادا إلى بيانات الحدث الأولية التي تم تقييمها.

لمزيد من المعلومات، راجع تعريف منطق استعلام القاعدة وتكوين الإعدادات.

ديسمبر 2020

80 استعلامات تتبع مضمنة جديدة

تمكن استعلامات التتبع المضمنة في Azure Sentinel محللي SOC من تقليل الثغرات في تغطية الكشف الحالية وإشعال عمليات صيد جديدة.

يتضمن هذا التحديث ل Azure Sentinel استعلامات تتبع جديدة توفر تغطية عبر مصفوفة إطار عمل MITRE ATTCK&:

  • المجموعة
  • ⁧الأوامر والتحكم⁧
  • ⁧الوصول إلى بيانات تسجيل الدخول⁧
  • اكتشاف
  • تنفيذ
  • النقل غير المصرَّح به
  • التأثير
  • الوصول الأولي
  • استمرار
  • ⁧زيادة الامتيازات⁧⁩

تم تصميم استعلامات التتبع المضافة لمساعدتك في العثور على نشاط مشبوه في بيئتك. في حين أنها قد ترجع نشاطا مشروعا ونشاطا ضارا محتملا، فإنها يمكن أن تكون مفيدة في توجيه التتبع الخاص بك.

إذا كنت واثقا من النتائج بعد تشغيل هذه الاستعلامات، فقد ترغب في تحويلها إلى قواعد تحليلات أو إضافة نتائج تتبع إلى الحوادث الحالية أو الجديدة.

تتوفر جميع الاستعلامات المضافة عبر صفحة Azure Sentinel Hunting. لمزيد من المعلومات، راجع البحث عن التهديدات باستخدام Azure Sentinel.

تحسينات عامل Log Analytics

يستفيد مستخدمو Azure Sentinel من تحسينات عامل Log Analytics التالية:

  • دعم المزيد من أنظمة التشغيل، بما في ذلك CentOS 8 وRedHat 8 وSUSE Linux 15.
  • دعم Python 3 بالإضافة إلى Python 2

يستخدم Azure Sentinel عامل Log Analytics لإرسال الأحداث إلى مساحة العمل الخاصة بك، بما في ذلك أحداث أمن Windows وأحداث Syslog وسجلات CEF والمزيد.

ملاحظة

يشار أحيانا إلى عامل Log Analytics باسم عامل OMS أو عامل مراقبة Microsoft (MMA).

لمزيد من المعلومات، راجع وثائق Log Analyticsوملاحظات إصدار عامل Log Analytics.

نوفمبر 2020

مراقبة صحة Playbooks في Azure Sentinel

تستند أدلة مبادئ Azure Sentinel إلى مهام سير العمل المضمنة في Azure Log Apps، وهي خدمة سحابية تساعدك على جدولة المهام وعمليات الأعمال ومهام سير العمل وأتمتتها وتنسيقها. يمكن استدعاء أدلة المبادئ تلقائيا عند إنشاء حادث، أو عند فرز الحوادث والعمل معها.

لتوفير رؤى حول صحة أدلة المبادئ وأدائها واستخدامها، أضفنا مصنفا باسم Playbooks health monitoring.

استخدم مصنف Playbooks health monitoring لمراقبة صحة أدلة المبادئ الخاصة بك، أو ابحث عن الحالات الشاذة في مقدار عمليات التشغيل الناجحة أو الفاشلة.

يتوفر مصنف مراقبة سلامة Playbooks الآن في معرض قوالب Azure Sentinel:

Sample Playbooks health monitoring workbook

لمزيد من المعلومات، انظر:

موصل Microsoft 365 Defender (معاينة عامة)

يمكنك موصل Microsoft 365 Defender ل Azure Sentinel من دفق سجلات التتبع المتقدمة (نوع من بيانات الأحداث الأولية) من Microsoft 365 Defender إلى Azure Sentinel.

مع دمج Microsoft Defender لنقطة النهاية (MDATP) في مظلة الأمان Microsoft 365 Defender، يمكنك الآن جمع Microsoft Defender لنقطة النهاية أحداث التتبع المتقدمة باستخدام Microsoft 365 Defender الموصل، وقم ببثها مباشرة إلى جداول جديدة مصممة لغرض ما في مساحة عمل Azure Sentinel.

تم إنشاء جداول Azure Sentinel على نفس المخطط المستخدم في مدخل Microsoft 365 Defender، وتوفر لك وصولا كاملا إلى المجموعة الكاملة من سجلات التتبع المتقدمة.

لمزيد من المعلومات، راجع الاتصال البيانات من Microsoft 365 Defender إلى Azure Sentinel.

ملاحظة

كان يعرف Microsoft 365 Defender سابقا باسم الحماية من التهديدات من Microsoft أو MTP. كان يعرف Microsoft Defender لنقطة النهاية سابقا باسم الحماية المتقدمة من التهديدات من Microsoft Defender أو MDATP.

الخطوات التالية

على متن Azure Sentinel

الحصول على الرؤية في التنبيهات