التحقيق في حادث Microsoft Sentinel في مدخل Microsoft Azure
يمنحك Microsoft Sentinel نظاما أساسيا كاملا لإدارة الحالات كاملة الميزات للتحقيق في الحوادث الأمنية وإدارتها. الحوادث هي اسم Microsoft Sentinel للملفات التي تحتوي على ترتيب زمني كامل ومحدث باستمرار للتهديد الأمني، سواء كانت أجزاء فردية من الأدلة (التنبيهات)، أو المشتبه بهم والأطراف ذات الاهتمام (الكيانات)، أو الرؤى التي تم جمعها وتجميعها من قبل خبراء الأمان ونماذج الذكاء الاصطناعي/التعلم الآلي، أو التعليقات والسجلات لجميع الإجراءات المتخذة أثناء التحقيق.
تبدأ تجربة التحقيق في الحوادث في Microsoft Sentinel بصفحة الحوادث - وهي تجربة مصممة لمنحك كل ما تحتاجه لتحقيقك في مكان واحد. الهدف الرئيسي لهذه التجربة هو زيادة كفاءة وفعالية SOC، وتقليل متوسط وقت حلها (MTTR).
توضح هذه المقالة إمكانات وميزات التحقيق في الحوادث وإدارة الحالة في Microsoft Sentinel في مدخل Microsoft Azure، مع أخذك خلال مراحل التحقيق النموذجي في الحوادث مع تقديم جميع شاشات العرض والأدوات المتاحة لك لمساعدتك على طول.
المتطلبات الأساسية
مطلوب تعيين دور مستجيب Microsoft Sentinel للتحقيق في الحوادث.
تعرف على المزيد حول الأدوار في Microsoft Sentinel.
إذا كان لديك مستخدم ضيف يحتاج إلى تعيين حوادث، فيجب تعيين دور قارئ الدليل للمستخدم في مستأجر Microsoft Entra. يتم تعيين هذا الدور بشكل افتراضي للمستخدمين العاديين (غير المثيرين للاشمئزاز).
زيادة نضج SOC
تمنحك حوادث Microsoft Sentinel أدوات لمساعدة عمليات الأمان (SecOps) على رفع مستوى النضج من خلال توحيد العمليات الخاصة بك ومراجعة إدارة الحوادث.
توحيد عملياتك
مهام الحوادث هي قوائم مهام سير العمل للمحللين لمتابعة لضمان معيار موحد للرعاية ولمنع تفويت الخطوات الحاسمة:
يمكن لمديري ومهندسي SOC تطوير قوائم المهام هذه وتطبيقها تلقائيا على مجموعات مختلفة من الحوادث حسب الاقتضاء، أو عبر اللوحة.
يمكن لمحللي SOC بعد ذلك الوصول إلى المهام المعينة داخل كل حادث، ووضع علامة عليها عند اكتمالها.
يمكن للمحللين أيضا إضافة المهام يدويا إلى حوادثهم المفتوحة، إما كتذكيرات ذاتية أو لصالح محللين آخرين قد يتعاونون في الحدث (على سبيل المثال، بسبب تغيير التحول أو التصعيد).
لمزيد من المعلومات، راجع استخدام المهام لإدارة الحوادث في Microsoft Sentinel في مدخل Microsoft Azure.
تدقيق إدارة الحوادث
يتعقب سجل نشاط الحادث الإجراءات المتخذة في حادث ما، سواء تم بدؤها من قبل البشر أو العمليات التلقائية، ويعرضها مع جميع التعليقات على الحادث.
يمكنك إضافة تعليقاتك الخاصة هنا أيضا. لمزيد من المعلومات، راجع التحقيق في حوادث Microsoft Sentinel بعمق في مدخل Microsoft Azure.
التحقيق بفعالية وكفاءة
أول الأشياء أولا: كمحلل، السؤال الأساسي الذي تريد الإجابة عنه هو، لماذا يتم لفت انتباهي إلى هذا الحادث؟ سيؤدي إدخال صفحة تفاصيل الحدث إلى الإجابة عن هذا السؤال: مباشرة في وسط الشاشة، سترى عنصر واجهة مستخدم المخطط الزمني للحدث.
استخدم حوادث Microsoft Sentinel للتحقيق في الحوادث الأمنية بفعالية وكفاءة باستخدام المخطط الزمني للحوادث، والتعلم من الحوادث المماثلة، وفحص أفضل الرؤى، وعرض الكيانات، واستكشاف السجلات.
المخططات الزمنية للحوادث
الجدول الزمني للحادث هو يوميات جميع التنبيهات التي تمثل جميع الأحداث المسجلة ذات الصلة بالتحقيق، بالترتيب الذي حدثت به. كما يعرض المخطط الزمني إشارات مرجعية ولقطات من الأدلة التي تم جمعها أثناء التتبع وإضافتها إلى الحادث.
ابحث في قائمة التنبيهات والإشارات المرجعية، أو قم بتصفية القائمة حسب الخطورة أو التكتيكات أو نوع المحتوى (تنبيه أو إشارة مرجعية)، لمساعدتك في العثور على العنصر الذي تريد متابعته. يخبرك العرض الأولي للمخطط الزمني على الفور بالعديد من الأشياء المهمة حول كل عنصر فيه، سواء كان تنبيها أو إشارة مرجعية:
- تاريخ ووقت إنشاء التنبيه أو الإشارة المرجعية.
- نوع العنصر أو التنبيه أو الإشارة المرجعية، المشار إليها بواسطة أيقونة وتصنيف الأدوات عند التمرير فوق الأيقونة.
- اسم التنبيه أو الإشارة المرجعية، بنوع غامق في السطر الأول من العنصر.
- شدة التنبيه، المشار إليها بواسطة شريط ألوان على طول الحافة اليسرى، وفي شكل كلمة في بداية "العنوان الفرعي" المكون من ثلاثة أجزاء للتنبيه.
- موفر التنبيه، في الجزء الثاني من العنوان الفرعي. بالنسبة إلى الإشارات المرجعية، منشئ الإشارة المرجعية.
- تكتيكات MITRE ATT&CK المرتبطة بالتنبيه، المشار إليها بواسطة الأيقونات وتلميحات الأدوات، في الجزء الثالث من العنوان الفرعي.
لمزيد من المعلومات، راجع إعادة إنشاء المخطط الزمني لقصة الهجوم.
قوائم بالحوادث المماثلة
إذا كان أي شيء رأيته حتى الآن في حادثك يبدو مألوفا، فقد يكون هناك سبب وجيه. يبقى Microsoft Sentinel متقدما عليك بخطوة واحدة من خلال عرض الحوادث الأكثر تشابها مع تلك المفتوحة.
يوضح لك عنصر واجهة مستخدم الحوادث المماثلة المعلومات الأكثر صلة حول الحوادث التي تعتبر متشابهة، بما في ذلك تاريخها ووقتها المحدثين الأخيرين، والمالك الأخير، والحالة الأخيرة (بما في ذلك، إذا تم إغلاقها، وسبب إغلاقها)، وسبب التشابه.
يمكن أن يفيد هذا التحقيق بعدة طرق:
- اكتشاف الحوادث المتزامنة التي قد تكون جزءا من استراتيجية هجوم أكبر.
- استخدم حوادث مماثلة كنقاط مرجعية لتحقيقك الحالي - راجع كيفية التعامل معها.
- تحديد مالكي الحوادث المماثلة السابقة للاستفادة من معرفتهم.
على سبيل المثال، تريد معرفة ما إذا كانت حوادث أخرى مثل هذه قد حدثت من قبل أو تحدث الآن.
- قد ترغب في تحديد الحوادث المتزامنة التي قد تكون جزءا من نفس استراتيجية الهجوم الأكبر.
- قد ترغب في تحديد حوادث مماثلة في الماضي، لاستخدامها كنقاط مرجعية للتحقيق الحالي.
- قد ترغب في تحديد مالكي الحوادث المماثلة السابقة، للعثور على الأشخاص في SOC الذين يمكنهم توفير المزيد من السياق، أو الذين يمكنك تصعيد التحقيق إليهم.
يوضح لك عنصر واجهة المستخدم 20 حادثا مشابها. يقرر Microsoft Sentinel الحوادث المتشابهة استنادا إلى العناصر الشائعة بما في ذلك الكيانات وقاعدة تحليلات المصدر وتفاصيل التنبيه. من عنصر واجهة المستخدم هذا يمكنك الانتقال مباشرة إلى أي من صفحات التفاصيل الكاملة لهذه الحوادث، مع الحفاظ على الاتصال بالحادث الحالي كما هو.
يتم تحديد التشابه استنادا إلى المعايير التالية:
| المعايير | الوصف |
|---|---|
| كيانات مماثلة | يعتبر الحادث مشابها لحادث آخر إذا كان كلاهما يتضمن نفس الكيانات. كلما زاد عدد الكيانات المشتركة بين حادثين، زاد التشابه بينهما. |
| قاعدة مماثلة | يعتبر الحادث مشابها لحادث آخر إذا تم إنشاؤها بواسطة نفس قاعدة التحليلات. |
| تفاصيل تنبيه مماثلة | يعتبر الحدث مشابها لحادث آخر إذا شاركوا نفس العنوان واسم المنتج و/أو [التفاصيل المخصصة (surface-custom-details-in-alerts.md). |
يتم حساب تشابه الحادث بناء على بيانات من 14 يوماً قبل آخر نشاط في الحادث، وهو وقت انتهاء أحدث تنبيه في الحادث. يتم أيضا إعادة حساب تشابه الحادث في كل مرة تدخل فيها صفحة تفاصيل الحادث، لذلك قد تختلف النتائج بين الجلسات إذا تم إنشاء أحداث جديدة أو تحديثها.
لمزيد من المعلومات، راجع التحقق من وقوع حوادث مماثلة في بيئتك.
أفضل نتائج تحليلات الحوادث
بعد ذلك، وجود الخطوط العريضة لما حدث (أو لا يزال يحدث)، وجود فهم أفضل للسياق، سوف تكون فضوليا حول المعلومات المثيرة للاهتمام التي اكتشفها Microsoft Sentinel بالفعل لك.
يطرح Microsoft Sentinel تلقائيا الأسئلة الكبيرة حول الكيانات في الحادث ويعرض أفضل الإجابات في عنصر واجهة مستخدم Top insights ، مرئيا على الجانب الأيمن من صفحة تفاصيل الحادث. يعرض عنصر واجهة المستخدم هذا مجموعة من الرؤى استنادا إلى كل من تحليل التعلم الآلي والمجموعة من أفضل فرق خبراء الأمان.
هذه مجموعة فرعية محددة خصيصا من الرؤى التي تظهر على صفحات الكيان، ولكن في هذا السياق، يتم تقديم رؤى لجميع الكيانات في الحدث معا، مما يمنحك صورة أكثر اكتمالا لما يحدث. تظهر المجموعة الكاملة من الرؤى في علامة التبويب Entities لكل كيان على حدة - انظر أدناه.
يجيب عنصر واجهة المستخدم Top insights على أسئلة حول الكيان المتعلق بسلوكه مقارنة بأقرانه وتاريخه الخاص، أو وجوده على قوائم المشاهدة أو في التحليل الذكي للمخاطر، أو أي نوع آخر من التكرار غير العادي المتعلق به.
تحتوي معظم هذه الرؤى على ارتباطات لمزيد من المعلومات. تفتح هذه الارتباطات لوحة السجلات في السياق، حيث سترى الاستعلام المصدر لهذه الرؤى جنبا إلى جنب مع نتائجها.
قائمة الكيانات ذات الصلة
الآن بعد أن كان لديك بعض السياق وبعض الأسئلة الأساسية التي تم الإجابة عليها، ستحتاج إلى الحصول على مزيد من العمق حول اللاعبين الرئيسيين في هذه القصة.
يمكن أن تكون أسماء المستخدمين وأسماء المضيفين وعناوين IP وأسماء الملفات وأنواع أخرى من الكيانات "أشخاصا مهتمين" بتحقيقك. يعثر Microsoft Sentinel عليها جميعا لك ويعرضها في المقدمة والوسط في عنصر واجهة مستخدم الكيانات ، جنبا إلى جنب مع المخطط الزمني.
حدد كيانا من عنصر واجهة المستخدم هذا لربطك بقائمة هذا الكيان في علامة التبويب Entities في نفس صفحة الحدث، والتي تحتوي على قائمة بجميع الكيانات في الحدث.
حدد كيانا في القائمة لفتح لوحة جانبية تحتوي على معلومات تستند إلى صفحة الكيان، بما في ذلك التفاصيل التالية:
تحتوي المعلومات على معلومات أساسية حول الكيان. بالنسبة إلى كيان حساب المستخدم، قد تكون هذه أشياء مثل اسم المستخدم واسم المجال ومعرف الأمان (SID) والمعلومات التنظيمية ومعلومات الأمان والمزيد.
يحتوي المخطط الزمني على قائمة بالتنبيهات التي تتميز بهذا الكيان والأنشطة التي قام بها الكيان، كما تم جمعها من السجلات التي يظهر فيها الكيان.
تحتوي نتائج التحليلات على إجابات للأسئلة حول الكيان المتعلق بسلوكه مقارنة بأقرانه وتاريخه الخاص، أو وجوده على قوائم المشاهدة أو في التحليل الذكي للمخاطر، أو أي نوع آخر من التكرار غير العادي المتعلق به.
هذه الإجابات هي نتائج الاستعلامات التي يحددها باحثو الأمان في Microsoft والتي توفر معلومات أمان قيمة وسياقية على الكيانات، استنادا إلى بيانات من مجموعة من المصادر.
اعتمادا على نوع الكيان، يمكنك اتخاذ عدد من الإجراءات الإضافية من هذه اللوحة الجانبية، بما في ذلك:
قم بالتمحور إلى صفحة الكيان الكامل للكيان للحصول على مزيد من التفاصيل على مدار فترة زمنية أطول أو قم بتشغيل أداة التحقيق الرسومية التي تركز على هذا الكيان.
قم بتشغيل دليل المبادئ لاتخاذ إجراءات استجابة أو معالجة محددة على الكيان (في المعاينة).
تصنيف الكيان كمؤشر للتسوية (IOC) وإضافته إلى قائمة التحليل الذكي للمخاطر.
يتم دعم كل إجراء من هذه الإجراءات حاليا لبعض أنواع الكيانات وليس للآخرين. يوضح الجدول التالي الإجراءات المعتمدة لكل نوع كيان:
| الإجراءات المتوفرة ▶ أنواع الكيانات ▼ |
عرض التفاصيل الكاملة (في صفحة الكيان) |
إضافة إلى TI * | تشغيل دليل المبادئ * (معاينة) |
|---|---|---|---|
| حساب المستخدم | ✔ | ✔ | |
| مضيف | ✔ | ✔ | |
| عنوان IP | ✔ | ✔ | ✔ |
| عنوان URL | ✔ | ✔ | |
| اسم المجال | ✔ | ✔ | |
| ملف (تجزئة) | ✔ | ✔ | |
| مورد Azure | ✔ | ||
| جهاز IoT | ✔ |
* بالنسبة للكيانات التي تتوفر لها إجراءات Add to TI أو Run playbook ، يمكنك اتخاذ هذه الإجراءات مباشرة من عنصر واجهة المستخدم Entities في علامة التبويب Overview، دون مغادرة صفحة الحدث.
سجلات الحوادث
استكشف سجلات الحوادث للوصول إلى التفاصيل لمعرفة ما حدث بالضبط؟
من أي منطقة تقريبا في الحدث، يمكنك التنقل لأسفل في التنبيهات الفردية والكيانات والرؤى والعناصر الأخرى الواردة في الحدث، وعرض الاستعلام الأصلي ونتائجه.
يتم عرض هذه النتائج في شاشة السجلات (تحليلات السجل) التي تظهر هنا كملحق لوحة لصفحة تفاصيل الحادث، لذلك لا تترك سياق التحقيق.
سجلات منظمة مع حوادث
من أجل الشفافية والمساءلة والاستمرارية، ستحتاج إلى سجل بجميع الإجراءات التي تم اتخاذها بشأن الحادث - سواء من خلال العمليات التلقائية أو من قبل الأشخاص. يعرض لك سجل نشاط الحدث كل هذه الأنشطة. يمكنك أيضا مشاهدة أي تعليقات تم إجراؤها وإضافة تعليقاتك الخاصة.
يتم تحديث سجل النشاط تلقائيا باستمرار، حتى أثناء الفتح، حتى تتمكن من رؤية التغييرات التي تطرأ عليه في الوقت الفعلي.
المحتوى ذو الصلة
في هذا المستند، تعلمت كيف تساعدك تجربة التحقيق في حادث Microsoft Sentinel في مدخل Microsoft Azure على إجراء تحقيق في سياق واحد. لمزيد من المعلومات حول إدارة الحوادث والتحقيق فيها، راجع المقالات التالية:
- تحقق من الكيانات ذات صفحات الكيان في Microsoft Sentinel.
- استخدام المهام لإدارة الحوادث في Microsoft Sentinel
- أتمتة معالجة الحوادث في Microsoft Sentinel باستخدام قواعد التشغيل التلقائي.
- تحديد التهديدات المتقدمة باستخدام تحليلات سلوك المستخدم والكيان (UEBA) في Microsoft Azure Sentinel
- تتبع التهديدات الأمنية.
الخطوة التالية
التنقل في أحداث Microsoft Sentinel وفرزها وإدارتها في مدخل Microsoft Azure