إنشاء قواعد عمليات الكشف المخصصة وإدارتها

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

ملاحظة

هل تريد تجربة Microsoft 365 Defender؟ تعرف على المزيد حول كيفية تقييم Microsoft 365 Defender وتجربتها.

ينطبق على:

• Microsoft 365 Defender
• Microsoft Defender لنقطة النهاية

قواعد الكشف المخصصة هي القواعد التي يمكنك تصميمها وتعديلها باستخدام استعلامات البحث المتقدمة. تسمح لك هذه القواعد بمراقبة الأحداث المختلفة وقواعد النظام بشكل استباقي، بما في ذلك نشاط الانتهاك المشتبه به ونقاط النهاية التي تم تكوينها بشكل خاطئ. يمكنك تعيينها للتشغيل في فواصل زمنية منتظمة، مع إنشاء التنبيهات، كما يمكنك اتخاذ إجراءات الاستجابة عند وجود تطابقات.

الأذونات المطلوبة لإدارة الكشف المخصص

لإدارة عمليات الكشف المخصصة، يجب أن يتم تعيين أحد هذه الأدوار:

• مسؤول الأمان —يمكن للمستخدمين الذين لديهم دور Azure Active Directory هذا إدارة إعدادات الأمان في مدخل Microsoft 365 Defender والمداخل والخدمات الأخرى.

• عامل تشغيل الأمان — يمكن للمستخدمين الذين لديهم دور Azure Active Directory هذا إدارة التنبيهات والحصول على حق الوصول للقراءة فقط العام إلى الميزات ذات الصلة ب الأمان، بما في ذلك كل المعلومات في مدخل Microsoft 365 Defender. يكفي هذا الدور لإدارة الاكتشافات المخصصة فقط إذا تم إيقاف تشغيل التحكم بالوصول المستند إلى الدور (RBAC) في Microsoft Defender لنقطة النهاية. إذا قمت بتكوين RBAC، تحتاج أيضا إلى إذن إدارة إعدادات الأمان ل Defender لنقطة النهاية.

يمكنك أيضا إدارة عمليات الكشف المخصصة التي تنطبق على البيانات من Microsoft 365 Defender محددة إذا كانت لديك أذونات لها. إذا كان لديك فقط أذونات إدارة Microsoft 365 Defender Office، على سبيل المثال، يمكنك إنشاء عمليات الكشف المخصصة باستخدام Email الجداول وليس الجداولIdentity.

لإدارة الأذونات المطلوبة، يمكن للمسؤول العام :

• قم بتعيين دور مسؤول الأمان أو عامل الأمان في مركز مسؤولي Microsoft 365 مسؤول RolesSecurity > .
• تحقق من إعدادات RBAC ل Microsoft Defender لنقطة النهاية في Microsoft 365 Defender ضمن الإعدادات > PermissionsRoles > . حدد الدور المقابل لتعيين إذن إدارة إعدادات الأمان .

ملاحظة

لإدارة عمليات الكشف المخصصة، ستحتاج عوامل تشغيل الأمان إلى إذن إدارة إعدادات الأمان في Microsoft Defender لنقطة النهاية في حالة تشغيل RBAC.

إنشاء قاعدة اكتشاف مخصصة

1. إعداد الاستعلام.

في Microsoft 365 Defender، انتقل إلى البحث المتقدم وحدد استعلاما موجودا أو أنشئ استعلاما جديدا. عند استخدام استعلام جديد، قم بتشغيل الاستعلام لتحديد الأخطاء وفهم النتائج المحتملة.

هام

لمنع الخدمة من إرجاع عدد كبير جدا من التنبيهات، تقتصر كل قاعدة على إنشاء 100 تنبيه فقط كلما تم تشغيلها. قبل إنشاء قاعدة، يمكنك تعديل الاستعلام لتجنب التنبيه إلى النشاط العادي يوميا.

الأعمدة المطلوبة في نتائج الاستعلام

لإنشاء قاعدة كشف مخصصة، يجب أن يرجع الاستعلام الأعمدة التالية:

• Timestamp—يستخدم لتعيين الوقت للتنبيهات التي تم إنشاؤها
• ReportId— لتمكين البحث عن السجلات الأصلية
• أحد الأعمدة التالية التي تحدد أجهزة أو مستخدمين أو علب بريد معينة:
  • DeviceId
  • DeviceName
  • RemoteDeviceName
  • RecipientEmailAddress
  • SenderFromAddress (مرسل المغلف أو عنوان Return-Path)
  • SenderMailFromAddress (عنوان المرسل المعروض بواسطة عميل البريد الإلكتروني)
  • RecipientObjectId
  • AccountObjectId
  • AccountSid
  • AccountUpn
  • InitiatingProcessAccountSid
  • InitiatingProcessAccountUpn
  • InitiatingProcessAccountObjectId

ملاحظة

سيضاف الدعم للكيانات الإضافية مع إضافة جداول جديدة إلى مخطط الصيد المتقدم.

عادة ما تقوم الاستعلامات project البسيطة، مثل تلك التي لا تستخدم عامل التشغيل أو summarize لتخصيص النتائج أو تجميعها، بإرجاع هذه الأعمدة الشائعة.

هناك طرق مختلفة لضمان إرجاع هذه الأعمدة للاستعلامات الأكثر تعقيدا. على سبيل المثال DeviceId، إذا كنت تفضل التجميع والتعدي حسب الكيان ضمن عمود مثل ، Timestamp ReportId لا يزال بإمكانك إرجاعه والحصول عليه من الحدث الأخير الذي يتضمن كل حدث فريد DeviceId.

هام

تجنب تصفية الاكتشافات المخصصة باستخدام Timestamp العمود. تمت تصفية البيانات المستخدمة للكشفات المخصصة مسبقا استنادا إلى تكرار الكشف.

يحتسب الاستعلام النموذجي أدناه عدد الأجهزة الفريدة (DeviceId) التي تستخدم عمليات الكشف عن الفيروسات ويستخدم هذا العدد للعثور على الأجهزة التي بها أكثر من خمسة عمليات كشف فقط. لإرجاع الأحدث وما Timestamp يطابقه ReportId، يستخدم summarize عامل التشغيل مع الدالة arg_max .

DeviceEvents
| where ingestion_time() > ago(1d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5

تلميح

للحصول على أداء أفضل للاستعلام، قم بتعيين عامل تصفية الوقت الذي يتطابق مع تكرار التشغيل المقصود للقاعدة. بما أن أقل تشغيل متكرر هو كل 24 ساعة، فإن التصفية لليوم الماضي ستغطي كل البيانات الجديدة.

2. إنشاء قاعدة جديدة وتوفير تفاصيل التنبيه.

باستخدام الاستعلام في محرر الاستعلام، حدد إنشاء قاعدة الكشف وحدد تفاصيل التنبيه التالية:

• اسم الكشف- اسم قاعدة الكشف؛ يجب أن يكون فريدا
• Frequency — فاصل زمني لتشغيل الاستعلام لاتخاذ إجراء. الاطلاع على إرشادات إضافية أدناه
• عنوان التنبيه— عنوان معروض مع التنبيهات التي يتم تشغيلها بواسطة القاعدة؛ يجب أن يكون فريدا
• الخطورة— الخطر المحتمل للمكون أو النشاط الذي تحدده القاعدة
• الفئة —مكون التهديد أو النشاط المعرف بواسطة القاعدة
• تستخدم تقنية MITRE ATT&CK— وهي تقنية هجوم واحدة أو أكثر تم تعريفها بواسطة القاعدة كما هو موثق في إطار عمل MITRE ATT&CK. تم إخفاء هذا القسم لفئات تنبيه معينة، بما في ذلك البرامج الضارة وبرامج الفدية الضارة والنشاط المريب والبرامج غير المرغوب فيها
• الوصف—مزيد من المعلومات حول المكون أو النشاط الذي حددته القاعدة
• الإجراءات الموصى بها— إجراءات إضافية قد يتخذها المجيبون استجابة لتنبيه

تكرار القاعدة

عند حفظ قاعدة جديدة، يتم تشغيلها وتتحقق من تطابقات البيانات التي تم جمعها خلال الثلاثين يوما الماضية. بعد ذلك، يتم تشغيل القاعدة مرة أخرى عند فواصل زمنية ثابتة، مع تطبيق مدة البحث استنادا إلى التكرار الذي تختاره:

• كل 24 ساعة— يتم تشغيله كل 24 ساعة، مع التحقق من البيانات من ال 30 يوما الماضية
• كل 12 ساعة— يتم تشغيله كل 12 ساعة، مع التحقق من البيانات من ال 24 ساعة الماضية
• كل 3 ساعات— يتم تشغيله كل 3 ساعات، مع التحقق من البيانات من الساعات الستة الماضية
• كل ساعة— يتم تشغيلها كل ساعة، والتحقق من البيانات من الساعتين الماضيتين

عند تحرير قاعدة، سيتم تشغيلها مع التغييرات المطبقة في وقت التشغيل التالي المجدول وفقا لمدى التكرار الذي قمت بتعيينه.

تلميح

يمكنك مطابقة عوامل تصفية الوقت في الاستعلام مع مدة البحث. يتم تجاهل النتائج خارج مدة البحث.

حدد التكرار الذي يتطابق مع مدى قربك من مراقبة الاكتشافات. فكر في قدرة مؤسستك على الاستجابة للتنبيهات.

3. اختر الكيانات التي تم التأثير عليها.

حدد الأعمدة في نتائج الاستعلام حيث تتوقع العثور على الكيان الرئيسي المتأثر أو المتأثر. على سبيل المثال، قد يرجع الاستعلام عناوين المرسل (SenderFromAddress أو SenderMailFromAddress) والمستلم (RecipientEmailAddress). يساعد تحديد أي من هذه الأعمدة يمثل الكيان الرئيسي الذي تم التأثير عليه الخدمة على تجميع التنبيهات ذات الصلة وربط الأحداث والإجراءات المستهدفة للاستجابة.

يمكنك تحديد عمود واحد فقط لكل نوع كيان (علبة البريد أو المستخدم أو الجهاز). لا يمكن تحديد الأعمدة التي لم يتم إرجاعها بواسطة الاستعلام.

4. تحديد الإجراءات.

يمكن لقاعدة الكشف المخصصة أن تتخذ تلقائيا إجراءات على الأجهزة أو الملفات أو المستخدمين الذين يتم إرجاعهم بواسطة الاستعلام.

الإجراءات على الأجهزة

يتم تطبيق هذه الإجراءات على الأجهزة في عمود DeviceId نتائج الاستعلام:

• عزل الجهاز— يستخدم Microsoft Defender ل Endpoint لتطبيق عزل الشبكة بالكامل، مما يمنع الجهاز من الاتصال بأي تطبيق أو خدمة. تعرف على المزيد حول عزل جهاز Microsoft Defender لنقطة النهاية
• تجميع حزمة التحقيق — تجمع معلومات الجهاز في ملف ZIP. تعرف على المزيد حول حزمة التحقيق في Microsoft Defender for Endpoint
• تشغيل مسح الحماية من الفيروسات — إجراء فحص برنامج الحماية من الفيروسات لـ Windows Defender كامل على الجهاز
• بدء التحقيق — بدء تحقيق تلقائي على الجهاز
• تقييد تنفيذ التطبيق — تعيين قيود على الجهاز للسماح بتشغيل الملفات التي تم توقيعها باستخدام شهادة صادرة عن Microsoft فقط. تعرف على المزيد حول قيود التطبيق باستخدام Microsoft Defender لنقطة النهاية

الإجراءات على الملفات

عند تحديد هذا الإجراء، يمكنك اختيار تطبيق إجراء الملف "SHA1الفحص" على الملفات الموجودة في ، أو InitiatingProcessSHA1، SHA256``InitiatingProcessSHA256 أو العمود الخاص بنتائج الاستعلام. يحذف هذا الإجراء الملف من موقعه الحالي ويضع نسخة في الفحص.

الإجراءات على المستخدمين

عند تحديد هذا الإجراء، AccountObjectIdيتم اتخاذ الإجراء وضع علامة على المستخدم كمختر على المستخدمين في ، أو InitiatingProcessAccountObjectId``RecipientObjectId العمود الخاص بنتائج الاستعلام. يقوم هذا الإجراء بتعيين مستوى المخاطر للمستخدمين إلى "عال" في Azure Active Directory، مما يؤدي إلى تشغيل سياسات حماية الهوية المطابقة.

ملاحظة

الإجراء "السماح" أو الحظر لقواعد الكشف المخصص غير معتمد حاليا على Microsoft 365 Defender.

5. تعيين نطاق القاعدة.

قم بتعيين النطاق لتحديد الأجهزة التي تغطيها القاعدة. يؤثر النطاق على القواعد التي تحقق من الأجهزة ولا يؤثر على القواعد التي تحقق علب البريد وحسابات المستخدمين أو هوياتهم فقط.

عند تعيين النطاق، يمكنك تحديد:

• جميع الأجهزة
• مجموعات أجهزة معينة

سيتم الاستعلام عن البيانات من الأجهزة الموجودة في النطاق فقط. سيتم أيضا اتخاذ الإجراءات على هذه الأجهزة فقط.

6. مراجعة القاعدة ثم تشغيلها.

بعد مراجعة القاعدة، حدد إنشاء لحفظها. يتم تشغيل قاعدة الكشف المخصصة على الفور. يتم تشغيله مرة أخرى استنادا إلى التكرار الذي تم تكوينه للتحقق من تطابقات، وإنشاء تنبيهات، واتخاذ إجراءات الاستجابة.

هام

يجب مراجعة عمليات الكشف المخصصة بشكل منتظم للكفاءة والفعالية. للتأكد من أنك تقوم بإنشاء عمليات الكشف التي تقوم بتشغيل التنبيهات الحقيقية، خذ بعض الوقت لمراجعة عمليات الكشف المخصصة الموجودة باتباع الخطوات الموجودة في إدارة قواعد الكشف المخصصة الموجودة.

يمكنك الاحتفاظ بالتحكم في شمولية أو خصوصية الاكتشافات المخصصة بحيث قد تشير أي تنبيهات خاطئة يتم إنشاؤها بواسطة الكشف المخصص إلى الحاجة إلى تعديل معلمات معينة للقواعد.

إدارة قواعد الكشف المخصصة الموجودة

يمكنك عرض قائمة قواعد الكشف المخصصة الموجودة والتحقق من التشغيلات السابقة ومراجعة التنبيهات التي تم تشغيلها. يمكنك أيضا تشغيل قاعدة عند الطلب وتعديلها.

تلميح

تتوفر التنبيهات التي تم رفعها بواسطة الاكتشافات المخصصة عبر التنبيهات و واجهات برمجة التطبيقات للحوادث. لمزيد من المعلومات، راجع واجهات Microsoft 365 Defender برمجة التطبيقات المعتمدة.

عرض القواعد الموجودة

لعرض كل قواعد الكشف المخصصة الموجودة، انتقل إلى قواعد الكشف عن CustomCustom > . تسرد الصفحة كل القواعد التي تحتوي على معلومات التشغيل التالية:

• آخر تشغيل— عند آخر مرة تم فيها تشغيل قاعدة للتحقق من تطابقات الاستعلامات وإنشاء تنبيهات
• حالة التشغيل الأخير— ما إذا كانت القاعدة قد تم تشغيلها بنجاح
• التشغيل التالي— التشغيل المجدول التالي
• الحالة — سواء تم تشغيل قاعدة أو إيقاف تشغيلها

عرض تفاصيل القاعدة وتعديل القاعدة وتشغيل القاعدة

لعرض معلومات شاملة حول قاعدة الكشف المخصصة، انتقل إلى قواعد الكشف عن CustomCustom > ثم حدد اسم القاعدة. يمكنك بعد ذلك عرض معلومات عامة حول القاعدة، بما في ذلك معلومات حول حالة تشغيلها ونطاقها. توفر الصفحة أيضا قائمة بالتنبيهات والإجراءات التي تم تشغيلها.

تفاصيل قاعدة الكشف المخصصة

يمكنك أيضا اتخاذ الإجراءات التالية على القاعدة من هذه الصفحة:

• تشغيل—تشغيل القاعدة على الفور. كما يعيد ذلك تعيين الفاصل الزمني للتشغيل التالي.
• تحرير—تعديل القاعدة دون تغيير الاستعلام
• تعديل الاستعلام — تحرير الاستعلام في البحث المتقدم
• / تشغيل إيقاف تشغيل —تمكين القاعدة أو إيقاف تشغيلها
• حذف—إيقاف تشغيل القاعدة وإزالتها

عرض التنبيهات المشغلة وإدارتها

في شاشة تفاصيل القاعدة (نتائج الكشف عنCustom > > [اسم القاعدة])، انتقل إلى التنبيهات المشغلة، التي تسرد التنبيهات التي تم إنشاؤها بواسطة التطابقات مع القاعدة. حدد تنبيها لعرض معلومات مفصلة حوله واتخذ الإجراءات التالية:

• إدارة التنبيه من خلال تعيين الحالة والتصنيف (تنبيه صحيح أو خاطئ)
• ربط التنبيه بحادث
• تشغيل الاستعلام الذي يقوم بتشغيل التنبيه على عمليات البحث المتقدمة

مراجعة الإجراءات

في شاشة تفاصيل القاعدة (نتائج الكشف عنCustom > > [اسم القاعدة])، انتقل إلى الإجراءات المشغلة، التي تسرد الإجراءات التي تم اتخاذها بالاستناد إلى تطابقات مع القاعدة.

تلميح

لعرض المعلومات بسرعة واتخاذ إجراء على عنصر في جدول، استخدم عمود التحديد [✓] في الجانب الأيمن من الجدول.

ملاحظة

قد لا تتوفر بعض الأعمدة في هذه المقالة في Microsoft Defender لنقطة النهاية. قم Microsoft 365 Defender للبحث عن التهديدات باستخدام المزيد من مصادر البيانات. يمكنك نقل مهام سير عمل الصيد المتقدمة من Microsoft Defender ل Endpoint إلى Microsoft 365 Defender باتباع الخطوات الواردة في ترحيل استعلامات الصيد المتقدمة من Microsoft Defender ل Endpoint.

راجع أيضًا

• نظرة عامة على الكشف المخصص
• نظرة عامة متقدمة حول الصيد
• تعرف على لغة استعلام الصيد المتقدمة
• ترحيل استعلامات البحث المتقدمة من Microsoft Defender ل Endpoint