الكشف عن تهديدات الأمان والرد عليها باستخدام Azure Sentinel

مكتمل

إدارة الأمن على نطاق واسع يمكن أن تستفيد من معلومات الأمن المخصصة وإدارة الأحداث (SIEM) نظام. يجمع نظام SIEM بيانات الأمان من العديد من المصادر المختلفة (طالما أن هذه المصادر تدعم تنسيق تسجيل قياسي مفتوح). كما يوفر قدرات للكشف عن التهديدات والاستجابة لها.

⁩Azure Sentinel⁧⁩ هو نظام SIEM المستند إلى السحابة من Microsoft. ويستخدم تحليلات أمنية ذكية وتحليل التهديدات.

قدرات Azure Sentinel

يتيح لك Azure Sentinel:

  • ⁩جمع بيانات السحابة على نطاق واسع⁧

    جمع البيانات عبر كافة المستخدمين والأجهزة والتطبيقات والبنية التحتية، سواء في الموقع أو من السحب المتعددة.

  • ⁩الكشف عن التهديدات التي لم يتم اكتشافها من قبل⁧

    تقليل الإيجابيات الكاذبة باستخدام التحليلات الشاملة ولاستخبارات التهديدات من Microsoft.

  • ⁩التحقيق في التهديدات بالذكاء الاصطناعي⁧

    قم بفحص الأنشطة المشبوهة على نطاق واسع، مع الاستفادة من سنوات من خبرة الأمن السيبراني من Microsoft.

  • ⁩الاستجابة السريعة للحوادث⁧

    استخدم التوزيع المضمن وأتمتة المهام الشائعة.

توصيل مصادر البيانات الخاصة بك

يقرر تجار Tailwind استكشاف قدرات الحارس Azure. أولاً، تحدد الشركة مصادر بياناتها وتربطها.

يدعم Azure Sentinel عددًا من مصادر البيانات، والتي يمكنه تحليلها لأحداث الأمان. تتم معالجة هذه الاتصالات بواسطة الموصلات المضمنة أو تنسيقات السجل القياسي في الصناعة وAPIs.

  • ⁩توصيل حلول Microsoft⁧

    توفر الموصلات تكاملاً في الوقت الفعلي لخدمات مثل حلول Microsoft Protection Threat Protection ومصادر Microsoft 365 (بما في ذلك Office 365) وAzure Active Directory وجدار حماية Windows Defender.

  • ⁩ربط الخدمات والحلول الأخرى⁧

    تتوفر الروابط للخدمات والحلول الشائعة غير التابعة لـ Microsoft، بما في ذلك AWS CloudTrail وCitrix Analytics (الأمان) وجدار حماية Sophos XG وVMware Carbon Black Cloud وOkta SSO.

  • ⁩ربط مصادر البيانات القياسية في الصناعة⁧

    يدعم Azure Sentinel البيانات من مصادر أخرى تستخدم تنسيق الحدث العام (CEF) المراسلة القياسية أو Syslog أو REST API.

الكشف عن التهديدات

يجب إخطار تجار التيل ويند عندما يحدث شيء مريب. وتقرر استخدام كل من التحليلات المدمجة والقواعد المخصصة للكشف عن التهديدات.

تستخدم القوالب المُصممة من قِبل فريق Microsoft من خبراء ومحلل الأمان، والتي تم ⁧⁩تصميمها في التحليلات،⁧⁩ استنادًا إلى التهديدات المعروفة، وناقلات الهجمات الشائعة، وسلاسل التصعيد للنشاطات المشبوهة. يمكن تخصيص هذه القوالب والبحث عبر البيئة عن أي نشاط يبدو مريبًا. تستخدم بعض القوالب تحليلات سلوكية للتعلم الآلي تستند إلى خوارزميات Microsoft الخاصة.

⁩التحليلات المخصصة⁧⁩ هي القواعد التي تقوم بإنشائها للبحث عن معايير محددة داخل البيئة الخاصة بك. يمكنك معاينة عدد النتائج التي قد يقوم الاستعلام بإنشاء (استنادًا إلى أحداث السجل السابق) وتعيين جدول للاستعلام لتشغيل. يمكنك أيضًا تعيين حد تنبيه.

التحقيق والاستجابة

عندما يكتشف Azure Sentinel الأحداث المشبوهة، يمكن لـ Tailwind Traders التحقق من تنبيهات أو ⁧⁩حوادث⁧⁩ محددة (مجموعة من التنبيهات ذات الصلة). باستخدام الرسم البياني للتحقيق، يمكن للشركة مراجعة المعلومات من الكيانات المرتبطة مباشرة باليقظة ورؤية استفسارات الاستكشاف الشائعة للمساعدة في توجيه التحقيق.

إليك مثالاً يوضح الشكل الذي يظهره الرسم البياني للتحقيق في Azure Sentinel:

⁩مثال على ذلك، رسم بياني للتحقيق في الحادث في Azure Sentinel.⁧

كما ستستخدم الشركة ⁧⁩مصنفات مراقبة Azure⁧⁩ لأتمتة الاستجابات للتهديدات. على سبيل المثال، يمكن تعيين تنبيه يبحث عن عناوين IP الضارة التي الوصول إلى شبكة الاتصال وإنشاء مصنف يقوم بالخطوات التالية:

  1. عند تشغيل التنبيه، افتح تذكرة في نظام إصدار تذاكر تكنولوجيا المعلومات.
  2. إرسال رسالة إلى قناة عمليات الأمان في Microsoft Teams أو Slack للتأكد من أن المحللين الأمنيين على علم بالحادث.
  3. أرسل جميع المعلومات الواردة في التنبيه إلى مسؤول الشبكة الأقدم وإلى مسؤول الأمان. تتضمن رسالة البريد الإلكتروني زري خيارات للمستخدم: حظر أو تجاهل.⁧⁩⁧⁩⁧⁩⁧

عندما يختار مسؤول "Block"، يتم حظر عنوان IP في جدار الحماية، ويتم تعطيل المستخدم في Azure Active Directory. عندما يختار مسؤول "Ignore"، يتم إغلاق التنبيه في Azure Sentinel، ويتم إغلاق الحادث في نظام إصدار تذاكر تكنولوجيا المعلومات.

يستمر تشغيل المصنف بعد تلقي استجابة من المسؤولين.

يمكن تشغيل المصنفات يدويًا أو تلقائيًا عند تشغيل قاعدة تنبيه.