العمل مع قواعد تحليلات الكشف عن الحالات الشاذة في Microsoft Sentinel

  • مقالة
  • قراءة خلال 5 دقائق

ملاحظة

يسمى Azure Sentinel الآن Microsoft Sentinel، وسنقوم بتحديث هذه الصفحات في الأسابيع القادمة. تعرف على المزيد حول التحسينات الأمنية الأخيرة لـ Microsoft.

هام

  • قواعد الشذوذ موجودة حاليا في المعاينة. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.

عرض قوالب القواعد الشاذة القابلة للتخصيص

توفر ميزة الشذوذ القابلة للتخصيص في Microsoft Sentinel قوالب شذوذ مضمنة للحصول على قيمة فورية خارج الصندوق. تم تطوير قوالب الشذوذ هذه لتكون قوية باستخدام الآلاف من مصادر البيانات وملايين الأحداث ، ولكن هذه الميزة تمكنك أيضا من تغيير العتبات والمعلمات للحالات الشاذة بسهولة داخل واجهة المستخدم. يجب تنشيط قواعد الشذوذ قبل أن تقوم بإنشاء حالات شاذة، والتي يمكنك العثور عليها في جدول الحالات الشاذة في قسم السجلات .

  1. من قائمة التنقل في Microsoft Sentinel، حدد Analytics.

  2. في صفحة Analytics ، حدد علامة التبويب نماذج القاعدة .

  3. تصفية القائمة لقوالب الشذوذ :

    1. حدد عامل تصفية نوع القاعدة ، ثم القائمة المنسدلة التي تظهر أدناه.

    2. قم بإلغاء تحديد الكل، ثم ضع علامة على الشذوذ.

    3. إذا لزم الأمر، حدد أعلى القائمة المنسدلة لسحبها، ثم حدد موافق.

تنشيط قواعد الشذوذ

عند تحديد أحد قوالب القواعد، سترى المعلومات التالية في جزء التفاصيل، بالإضافة إلى زر إنشاء قاعدة :

  • يشرح الوصف كيفية عمل الشذوذ والبيانات التي يتطلبها.

  • تشير مصادر البيانات إلى نوع السجلات التي تحتاج إلى استيعابها لتحليلها.

  • التكتيكات والتقنيات هي تكتيكات وتقنيات إطار عمل MITRE ATTCK& التي تغطيها الحالة الشاذة.

  • المعلمات هي السمات القابلة للتكوين للشذوذ.

  • العتبة هي قيمة قابلة للتكوين تشير إلى الدرجة التي يجب أن يكون فيها الحدث غير عادي قبل إنشاء حالة شاذة.

  • تكرار القاعدة هو الوقت بين مهام معالجة السجل التي تعثر على الحالات الشاذة.

  • يعرض الإصدار الشاذ إصدار القالب الذي تستخدمه قاعدة. إذا كنت تريد تغيير الإصدار المستخدم بواسطة قاعدة نشطة بالفعل، فيجب عليك إعادة إنشاء القاعدة.

  • آخر تحديث للقالب هو تاريخ تغيير الإصدار الشاذ.

أكمل الخطوات التالية لتنشيط قاعدة:

  1. اختر قالب قاعدة لم يتم تسميته بالفعل IN USE. حدد الزر إنشاء قاعدة لفتح معالج إنشاء القاعدة.

    سيكون المعالج لكل قالب قاعدة مختلفا قليلا، ولكنه يحتوي على ثلاث خطوات أو علامات تبويب: عاموتكوينومراجعة وإنشاء.

    لا يمكنك تغيير أي من القيم في المعالج; يجب عليك أولا إنشاء القاعدة وتنشيطها.

  2. تنقل عبر علامات التبويب ، وانتظر رسالة "تم تمرير التحقق من الصحة" في علامة التبويب مراجعة وإنشاء ، وحدد الزر إنشاء .

    يمكنك إنشاء قاعدة نشطة واحدة فقط من كل قالب. بمجرد إكمال المعالج، يتم إنشاء قاعدة شاذة نشطة في علامة التبويب القواعد النشطة ، وسيتم وضع علامة على القالب (في علامة التبويب قوالب القاعدة ) IN USE.

    ملاحظة

    بافتراض توفر البيانات المطلوبة، قد تستغرق القاعدة الجديدة ما يصل إلى 24 ساعة لتظهر في علامة التبويب القواعد النشطة . لعرض القواعد الجديدة، حدد علامة التبويب القواعد النشطة وقم بتصفيتها بنفس الطريقة التي قمت بها بتصفية قائمة قوالب القواعد أعلاه.

بمجرد تنشيط قاعدة الشذوذ، سيتم تخزين الحالات الشاذة المكتشفة في جدول الحالات الشاذة في قسم السجلات في مساحة عمل Microsoft Sentinel.

تحتوي كل قاعدة شذوذ على فترة تدريب ، ولن تظهر الحالات الشاذة في الجدول إلا بعد فترة التدريب هذه. يمكنك العثور على فترة التدريب في وصف كل قاعدة شاذة.

تقييم جودة الحالات الشاذة

يمكنك معرفة مدى جودة أداء قاعدة الشذوذ من خلال مراجعة عينة من الحالات الشاذة التي تم إنشاؤها بواسطة قاعدة خلال فترة ال 24 ساعة الماضية.

  1. من قائمة التنقل في Microsoft Sentinel، حدد Analytics.

  2. في صفحة Analytics ، تحقق من تحديد علامة التبويب القواعد النشطة .

  3. قم بتصفية القائمة بحثا عن قواعد الشذوذ (كما هو موضح أعلاه).

  4. حدد القاعدة التي تريد تقييمها، وانسخ اسمها من أعلى جزء التفاصيل إلى اليسار.

  5. من قائمة التنقل في Microsoft Sentinel، حدد السجلات.

  6. إذا ظهر معرض استعلامات في الأعلى، فأغلقه.

  7. حدد علامة التبويب جداول في الجزء الأيمن من صفحة السجلات .

  8. اضبط عامل تصفية النطاق الزمني على آخر 24 ساعة.

  9. انسخ استعلام Kusto أدناه والصقه في نافذة الاستعلام (حيث تقول "اكتب استعلامك هنا أو ..."):

    Anomalies 
| where AnomalyTemplateName contains "________________________________"

    الصق اسم القاعدة الذي نسخته أعلاه بدلا من التسطير السفلي بين علامتي الاقتباس.

  10. حدد ⁧⁩تشغيل⁧⁩.

عندما يكون لديك بعض النتائج ، يمكنك البدء في تقييم جودة الحالات الشاذة. إذا لم تكن لديك نتائج، فحاول زيادة النطاق الزمني.

قم بتوسيع النتائج لكل حالة شاذة ثم قم بتوسيع الحقل AnomalyReasons . هذا سوف اقول لكم لماذا اشتعلت الشذوذ.

قد تعتمد "معقولية" أو "فائدة" الشذوذ على ظروف بيئتك ، ولكن السبب الشائع لقاعدة الشذوذ لإنتاج الكثير من الحالات الشاذة هو أن العتبة منخفضة للغاية.

قواعد الشذوذ اللحن

في حين يتم تصميم قواعد الشذوذ لتحقيق أقصى قدر من الفعالية خارج الصندوق ، فإن كل حالة فريدة من نوعها وأحيانا تحتاج إلى ضبط قواعد الشذوذ.

نظرا لأنه لا يمكنك تحرير قاعدة نشطة أصلية، يجب عليك أولا تكرار قاعدة شذوذ نشطة ثم تخصيص النسخة.

سيستمر تشغيل قاعدة الشذوذ الأصلية حتى تقوم إما بتعطيلها أو حذفها.

هذا حسب التصميم ، لمنحك الفرصة لمقارنة النتائج الناتجة عن التكوين الأصلي والتكوين الجديد. يتم تعطيل القواعد المكررة بشكل افتراضي. يمكنك فقط عمل نسخة واحدة مخصصة من أي قاعدة شذوذ معينة. ستفشل محاولات عمل نسخة ثانية.

  1. لتغيير تكوين قاعدة شاذة، حدد قاعدة الشذوذ في علامة التبويب القواعد النشطة .

  2. انقر بزر الماوس الأيمن في أي مكان على صف القاعدة، أو انقر بزر الماوس الأيسر على علامة الحذف (...) في نهاية الصف، ثم حدد تكرار.

  3. ستحتوي النسخة الجديدة من القاعدة على اللاحقة "- مخصصة" في اسم القاعدة. لتخصيص هذه القاعدة فعليا، حدد هذه القاعدة وحدد تحرير.

  4. يتم فتح القاعدة في معالج قواعد Analytics. هنا يمكنك تغيير معلمات القاعدة وعتبتها. تختلف المعلمات التي يمكن تغييرها مع كل نوع شاذ وخوارزمية.

    يمكنك معاينة نتائج التغييرات في جزء معاينة النتائج. حدد معرف شذوذ في معاينة النتائج لمعرفة سبب تعريف نموذج ML لهذا الشذوذ.

  5. تمكين القاعدة المخصصة لإنشاء نتائج. قد تتطلب بعض التغييرات تشغيل القاعدة مرة أخرى، لذا يجب عليك الانتظار حتى تنتهي والعودة للتحقق من النتائج في صفحة السجلات. يتم تشغيل قاعدة الشذوذ المخصصة في وضع Flighting (الاختبار) بشكل افتراضي. يستمر تشغيل القاعدة الأصلية في وضع الإنتاج بشكل افتراضي.

  6. لمقارنة النتائج، ارجع إلى جدول الشذوذ في السجلاتلتقييم القاعدة الجديدة كما كان من قبل، وابحث فقط عن الصفوف التي تحمل اسم القاعدة الأصلي بالإضافة إلى اسم القاعدة المكرر مع "- مخصص" الملحق به في العمود AnomalyTemplateName .

    إذا كنت راضيا عن نتائج القاعدة المخصصة، فيمكنك العودة إلى علامة التبويب القواعد النشطة ، وتحديد القاعدة المخصصة، وتحديد الزر تحرير ، وفي علامة التبويب عام ، قم بتبديلها من Flighting إلى Production. ستتغير القاعدة الأصلية تلقائيا إلى Flighting نظرا لأنه لا يمكنك الحصول على نسختين من نفس القاعدة في الإنتاج في نفس الوقت.

الخطوات التالية

في هذا المستند، تعلمت كيفية العمل مع قواعد تحليلات الكشف عن الحالات الشاذة القابلة للتخصيص في Microsoft Sentinel.