تجربة Microsoft 365 Defender الاستجابة للحوادث في بيئة تجريبية

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

ينطبق على:

• Microsoft 365 Defender

هذه المقالة هي الخطوة 2 من 2 في عملية إجراء تحقيق والاستجابة لحادث في Microsoft 365 Defender بيئة تجريبية. لمزيد من المعلومات حول هذه العملية، راجع مقالة النظرة العامة.

بعد تنفيذ استجابة لحادث لمهاجمة محاكاة، إليك بعض Microsoft 365 Defender لاستكشافها:

الإمكانية	الوصف
تحديد أولوية الأحداث	استخدم تصفية قائمة انتظار الأحداث وفرزها لتحديد الأحداث التي يجب معالجتها بعد ذلك.
إدارة الأحداث	تعديل خصائص الحادث لضمان التعيين الصحيح وإضافة العلامات والتعليقات وحل حادث.
إجراء عمليات التحقيق والاستجابة التلقائية	استخدم قدرات الاستجابات والتحريات التلقائية (AIR) لمساعدة فريق عمليات الأمان على معالجة التهديدات بفعالية وفعالية أكبر. إن "مركز الإجراءات" هو تجربة "جزء واحد من الزجاج" للحوادث وتنبيه المهام مثل الموافقة على إجراءات المعالجة المعلقة.
الصيد المتقدم	استخدم الاستعلامات لفحص الأحداث في شبكتك بشكل استباقي وتحديد مواقع مؤشرات التهديدات والكيانات. يمكنك أيضا استخدام عمليات البحث المتقدمة أثناء التحقيق في حادث ما و إصلاحه.

تحديد أولوية الأحداث

يمكنك الوصول إلى قائمة انتظار الأحداث من & تنبيهات > على التشغيل السريع Microsoft 365 Defender المدخل. فيما يلي مثال على ذلك.

يعرض قسم الأحداث والتنبيهات الأخيرة رسما بيانيا لعدد التنبيهات التي تم تلقيها والحوادث التي تم إنشاؤها في آخر 24 ساعة.

لفحص قائمة الأحداث وتحديد أولوية أهميتها للواجبات والتحري، يمكنك القيام بما يلي:

• قم بتكوين أعمدة قابلة للتخصيص (حدد اختيار أعمدة) لتمنحك رؤية بخصائص مختلفة للحادث أو الوحدات التي تم التأثير عليها. يساعدك ذلك على اتخاذ قرار متعمق بشأن تحديد أولوية الأحداث لتحليلها.

• استخدم التصفية للتركيز على سيناريو أو خطر معين. قد يساعد تطبيق عوامل التصفية في قائمة انتظار الأحداث على تحديد الأحداث التي تتطلب انتباها فوريا.

من قائمة انتظار الأحداث الافتراضية، حدد عوامل التصفية لرؤية جزء عوامل التصفية، الذي يمكنك تحديد مجموعة معينة من الأحداث منه. فيما يلي مثال على ذلك.

لمزيد من المعلومات، راجع تحديد أولوية الأحداث.

إدارة الأحداث

يمكنك إدارة الأحداث من الجزء إدارة الأحداث لحادث ما. فيما يلي مثال على ذلك.

يمكنك عرض هذا الجزء من الارتباط إدارة الحادث على:

• جزء الخصائص لحادث في قائمة انتظار الأحداث.
• صفحة ملخص لحادث.

فيما يلي الطرق التي يمكنك من خلالها إدارة أحداثك:

• تحرير اسم الحادث

  قم بتغيير الاسم المعين تلقائيا استنادا إلى أفضل ممارسات فريق الأمان.

• إضافة علامات الأحداث

  أضف العلامات التي يستخدمها فريق الأمان لتصنيف الأحداث، والتي يمكن تصفيتها لاحقا.

• تعيين الحادث

  قم بتعيينه إلى اسم حساب مستخدم، والذي يمكن تصفيته لاحقا.

• حل حادث

  أغلق الحادث بعد أن يتم إصلاحه.

• تعيين تصنيفه وتحديده

  قم بتصنيف نوع الخطر وتحديده عند حل أي حادث.

• إضافة تعليقات

  استخدم التعليقات للتقدم أو الملاحظات أو المعلومات الأخرى استنادا إلى أفضل ممارسات فريق الأمان. تتوفر محفوظات التعليقات الكاملة من خيار التعليقات والمحفوظات في صفحة التفاصيل لحادث.

لمزيد من المعلومات، راجع إدارة الأحداث.

فحص التحقيق التلقائي والاستجابة باستخدام مركز الإجراءات

استنادا إلى كيفية تكوين قدرات الاستجابة والتحريات التلقائية لمنظمتك، يتم اتخاذ إجراءات المعالجة تلقائيا أو فقط عند موافقة فريق عمليات الأمان. يتم سرد كل الإجراءات، سواء كانت معلقة أو مكتملة، في مركز الإجراءات، الذي يسرد إجراءات المعالجة المعلقة والمكتملة لأجهزتك والبريد الإلكتروني & محتوى التعاون والهويات في موقع واحد.

فيما يلي مثال على ذلك.

من مركز الإجراءات، يمكنك تحديد الإجراءات المعلقة ثم الموافقة عليها أو رفضها في جزء قائمة منتظة. فيما يلي مثال على ذلك.

يمكنك الموافقة على (أو رفض) الإجراءات المعلقة في أسرع وقت ممكن بحيث يمكن متابعة عمليات التحقيق التلقائية وإكمالها في الوقت المناسب.

لمزيد من المعلومات، راجع التحقيق التلقائي والاستجابة ومركز الإجراءات.

استخدام الصيد المتقدم

ملاحظة

قبل أن نتعرف على محاكاة الصيد المتقدمة، شاهد الفيديو التالي لفهم مفاهيم الصيد المتقدمة، وتعرف على المكان الذي يمكنك العثور عليه في المدخل، وتعرف كيف يمكن أن يساعدك في عمليات الأمان.

إذا كانت محاكاة هجوم PowerShell الاختيارية بدون ملف هي هجوم حقيقي وصل بالفعل إلى مرحلة الوصول إلى بيانات الاعتماد، يمكنك استخدام عمليات البحث المتقدم في أي مرحلة في التحقيق للبحث بشكل استباقي عبر الأحداث والسجلات في الشبكة باستخدام ما تعرفه بالفعل من التنبيهات التي تم إنشاؤها والكيانات المتأثرة.

على سبيل المثال، استنادا إلى المعلومات الموجودة في تنبيه استطلاع عنوان المستخدم وعنوان IP (SMB)، IdentityDirectoryEvents يمكنك استخدام الجدول للعثور على كل أحداث تعداد جلسات عمل SMB، أو العثور على المزيد من أنشطة الاكتشاف في بروتوكولات أخرى مختلفة في بيانات Microsoft Defender for Identity IdentityQueryEvents باستخدام الجدول.

متطلبات بيئة الصيد

هناك علبة بريد داخلية واحدة والجهاز المطلوب لهذه المحاكاة. ستحتاج أيضا إلى حساب بريد إلكتروني خارجي لإرسال رسالة الاختبار.

1. تحقق من تمكين المستأجر Microsoft 365 Defender.

2. تحديد علبة بريد الهدف التي يجب استخدامها لتلقي البريد الإلكتروني.

   • يجب مراقبة علبة البريد هذه بواسطة Microsoft Defender Office 365

   • يحتاج الجهاز من المتطلب 3 إلى الوصول إلى علبة البريد هذه

3. تكوين جهاز اختبار:

   أ. تأكد من أنك تستخدم الإصدار Windows 10 1903 أو الإصدارات الأحدث.

   ب. انضم إلى جهاز الاختبار إلى مجال الاختبار.

   c. قم برنامج الحماية من الفيروسات لـ Windows Defender. إذا كنت تواجه مشكلة في تمكين برنامج الحماية من الفيروسات لـ Windows Defender، فشاهد موضوع استكشاف الأخطاء وإصلاحها هذا.

   د. Onboard to Microsoft Defender for Endpoint.

تشغيل المحاكاة

1. من حساب بريد إلكتروني خارجي، أرسل بريدا إلكترونيا إلى علبة البريد المحددة في الخطوة 2 من القسم متطلبات بيئة الصيد. قم بتضمين مرفق سيتم السماح به من خلال أي من سياسات تصفية البريد الإلكتروني الموجودة. لا يلزم أن يكون هذا الملف ضارا أو قابلا للتنفيذ. أنواع الملفات المقترحة.pdfأو .exe أو نوع Office مثل ملف Word.

2. افتح البريد الإلكتروني المرسل من الجهاز الذي تم تكوينه كما تم تعريفه في الخطوة 3 من القسم متطلبات بيئة الصيد. إما أن تفتح المرفق أو احفظ الملف على الجهاز.

الذهاب للصيد

1. افتح Microsoft 365 Defender المدخل.

2. من جزء التنقل، حدد البحث عن > البحث المتقدم.

3. إنشاء استعلام يبدأ بجمع أحداث البريد الإلكتروني.

   1. حدد استعلام > جديد.

   2. في مجموعات البريد الإلكتروني ضمن البحث المتقدم، انقر نقرا مزدوجا فوق EmailEvents. من المفترض أن ترى ذلك في نافذة الاستعلام.

      EmailEvents
      

   3. تغيير الإطار الزمني للاستعلام إلى آخر 24 ساعة. بافتراض أن البريد الإلكتروني الذي أرسلته عند إجراء المحاكاة أعلاه كان في ال 24 ساعة الماضية، وبخلاف ذلك غير الإطار الزمني كما يلزم.

   4. حدد تشغيل الاستعلام. قد تكون لديك نتائج مختلفة وفقا لبيئة التجربة.

      ملاحظة

      راجع الخطوة التالية للحصول على خيارات التصفية للحد من إرجاع البيانات.

      

      ملاحظة

      يعرض البحث المتقدم نتائج الاستعلام كالبيانات الجدولية. يمكنك أيضا اختيار عرض البيانات بأنواع تنسيقات أخرى مثل المخططات.

   5. أطلع على النتائج وتعرف على ما إذا كان بإمكانك تحديد البريد الإلكتروني الذي فتحته. قد يستغرق الأمر ساعتين حتى تظهر الرسالة في عملية البحث المتقدم. لتضييق نطاق النتائج، يمكنك إضافة شرط المكان إلى الاستعلام للبحث فقط عن رسائل البريد الإلكتروني التي لها "yahoo.com" كمرسلMailFromDomain. فيما يلي مثال على ذلك.

      EmailEvents
      | where SenderMailFromDomain == "yahoo.com"
      

   6. انقر فوق الصفوف الناتجة من الاستعلام حتى تتمكن من فحص السجل.

      

4. الآن وقد قمت بالتحقق من أنه يمكنك رؤية البريد الإلكتروني، أضف عامل تصفية للمرفقات. ركز على كل رسائل البريد الإلكتروني التي بها مرفقات في البيئة. بالنسبة لهذه المحاكاة، ركز على رسائل البريد الإلكتروني الواردة، وليس تلك التي يتم إرسالها من بيئتك. قم بإزالة أي عوامل تصفية أضفتها لتحديد موقع رسالتك وإضافة "| حيث يكون عدد المرفقات > 0 و EmailDirection == "Inbound""

   سيعرض لك الاستعلام التالي النتيجة مع قائمة أقصر من الاستعلام الأولي لكل أحداث البريد الإلكتروني:

   EmailEvents
   | where AttachmentCount > 0 and EmailDirection == "Inbound"
   

5. بعد ذلك، قم بتضمين معلومات حول المرفق (مثل: اسم الملف، هازه) إلى مجموعة النتائج. للقيام بذلك، انضم إلى الجدول EmailAttachmentInfo . الحقول الشائعة التي يجب استخدامها للانضمام، في هذه الحالة هي NetworkMessageId و RecipientObjectId.

   يتضمن الاستعلام التالي أيضا سطرا إضافيا "| إعادة تسمية البريد الإلكترونيTimestamp=Timestamp" التي ستساعد على تحديد أي من الampsstamp كان مرتبطا بالبريد الإلكتروني مقابل الamps الزمنية ذات الصلة ب إجراءات الملفات التي ستنضافها في الخطوة التالية.

   EmailEvents
   | where AttachmentCount > 0 and EmailDirection == "Inbound"
   | project-rename EmailTimestamp=Timestamp
   | join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId
   

6. بعد ذلك، استخدم القيمة SHA256 من الجدول EmailAttachmentInfo للعثور على DeviceFileEvents (إجراءات الملف التي حدثت في نقطة النهاية) لذلك العثرة. سيكون الحقل المشترك هنا هو شارة SHA256 للمرفق.

   يتضمن الجدول الناتج الآن تفاصيل من نقطة النهاية (Microsoft Defender لنقطة النهاية) مثل اسم الجهاز، وما الإجراء الذي تم اتخاذه (في هذه الحالة، تمت تصفيته لتضمين أحداث FileCreated فقط)، وحيث تم تخزين الملف. سيتم أيضا تضمين اسم الحساب المقترن بهذه العملية.

   EmailEvents
   | where AttachmentCount > 0 and EmailDirection == "Inbound"
   | project-rename EmailTimestamp=Timestamp
   | join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId
   | join DeviceFileEvents on SHA256
   | where ActionType == "FileCreated"
   

   لقد أنشأت الآن استعلاما سيحدد كل رسائل البريد الإلكتروني الواردة حيث قام المستخدم بفتح المرفق أو حفظه. يمكنك أيضا تحسين هذا الاستعلام للتصفية لمجالات مرسلين محددة، أحجام الملفات، أنواع الملفات، وما إلى ذلك.

7. الدالات هي نوع خاص من الصلة، مما يمكنك من سحب المزيد من بيانات TI حول ملف مثل نقله، ومعلومات عن موقعه ومصدره، وما إلى ذلك. للحصول على مزيد من التفاصيل حول الملف، استخدم إثراء الدالة FileProfile() :

   EmailEvents
   | where AttachmentCount > 0 and EmailDirection == "Inbound"
   | project-rename EmailTimestamp=Timestamp
   | join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId
   | join DeviceFileEvents on SHA256
   | where ActionType == "FileCreated"
   | distinct SHA1
   | invoke FileProfile()
   

إنشاء كشف

بعد إنشاء استعلام يحدد المعلومات التي تريد تنبيهك بشأنها في حال حدوثها في المستقبل، يمكنك إنشاء كشف مخصص من الاستعلام.

سيتم تشغيل الاستعلام حسب التكرار الذي قمت بتعيينه في عمليات الكشف المخصصة، وستنشئ نتائج الاستعلامات تنبيهات أمان، استنادا إلى الأصول التي تختارها. سيتم ربط هذه التنبيهات بالحوادث ويمكن فرزها لأي تنبيه أمان آخر يتم إنشاؤه بواسطة أحد المنتجات.

1. في صفحة الاستعلام، قم بإزالة الأسطر 7 و8 التي تم إضافتها في الخطوة 7 من إرشادات "الانتقال للصيد" وانقر فوق إنشاء قاعدة الكشف.

   

   ملاحظة

   إذا نقرت فوق إنشاء قاعدة الكشف وكان لديك أخطاء في بناء الجملة في الاستعلام، فلن يتم حفظ قاعدة الكشف. تحقق مرة أخرى من الاستعلام للتأكد من عدم وجود أي أخطاء.

2. قم بتعبئة الحقول المطلوبة بالمعلومات التي ستسمح لفريق الأمان بفهم التنبيه، ولماذا تم إنشاؤه، والإجراءات التي تتوقع منهم اتخاذها.

   

   تأكد من ملء الحقول بوضوح للمساعدة في منح المستخدم التالي قرارا مخبرا حول تنبيه قاعدة الكشف هذا

3. حدد الكيانات التي تم التأثير عليها في هذا التنبيه. في هذه الحالة، حدد الجهاز علبة البريد.

   

4. حدد الإجراءات التي يجب اتخاذها إذا تم تشغيل التنبيه. في هذه الحالة، قم بتشغيل فحص الحماية من الفيروسات، على الرغم من أنه يمكن اتخاذ إجراءات أخرى.

   

5. حدد نطاق قاعدة التنبيه. بما أن هذا الاستعلام يتضمن أجهزة، فإن مجموعات الأجهزة ذات صلة في عملية الكشف المخصصة هذه وفقا لسياق Microsoft Defender لنقطة النهاية. عند إنشاء الكشف المخصص الذي لا يتضمن الأجهزة ككيانات متأثّر بها، لا يتم تطبيق النطاق.

   

   بالنسبة إلى هذا النموذج التجريبي، قد ترغب في حصر هذه القاعدة في مجموعة فرعية من أجهزة الاختبار في بيئة الإنتاج.

6. حدد إنشاء. بعد ذلك، حدد قواعد الكشف المخصصة من لوحة التنقل.

   

   

   من هذه الصفحة، يمكنك تحديد قاعدة الكشف، التي ستفتح صفحة تفاصيل.

   

تدريب الخبراء على الصيد المتقدم

إن تعقب المهين هو سلسلة بث ويب لمحللين أمنيين جدد ومهنيين ضد التهديدات. إنه يرشدك عبر أساسيات البحث المتقدم حتى إنشاء الاستعلامات المتطورة الخاصة بك.

راجع الحصول على تدريب من الخبراء حول الصيد المتقدم للبدء.

التنقل الذي قد تحتاج إليه

إنشاء Microsoft 365 Defender التقييم