مشاركة عبر

فهم التحليل الذكي للمخاطر في Microsoft Sentinel

  • مقالة
  • ينطبق على:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel هو حل معلومات الأمان وإدارة الأحداث (SIEM) السحابي الأصلي مع القدرة على استيعاب التحليل الذكي للمخاطر من مصادر عديدة، وتكوينه، وإدارته.

هام

يتوفر Microsoft Sentinel بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. للمعاينة، يتوفر Microsoft Sentinel في مدخل Defender بدون Microsoft Defender XDR أو ترخيص E5. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

مقدمة إلى التحليل الذكي للمخاطر

التحليل الذكي للمخاطر الإلكترونية (CTI) هو معلومات تصف التهديدات الحالية أو المحتملة للأنظمة والمستخدمين. يأخذ هذا الذكاء أشكالا عديدة مثل التقارير المكتوبة التي تفصل بالتفصيل دوافع جهة التهديد والبنية التحتية والتقنيات. يمكن أن تكون أيضا ملاحظات محددة لعناوين IP والمجالات وتجزئة الملفات وغيرها من البيانات الاصطناعية المرتبطة بالتهديدات الإلكترونية المعروفة.

تستخدم المؤسسات CTI لتوفير سياق أساسي للنشاط غير العادي حتى يتمكن موظفو الأمن من اتخاذ إجراءات بسرعة لحماية أشخاصهم ومعلوماتهم وأصولهم. يمكنك الحصول على CTI من العديد من الأماكن، مثل:

  • موجزات البيانات مفتوحة المصدر
  • مجتمعات مشاركة التحليل الذكي للمخاطر
  • موجزات المعلومات التجارية
  • تم جمع معلومات استخباراتية محلية أثناء التحقيقات الأمنية داخل منظمة

بالنسبة لحلول SIEM مثل Microsoft Sentinel، فإن أكثر أشكال CTI شيوعا هي مؤشرات التهديد، والتي تعرف أيضا باسم مؤشرات التسوية (IOCs) أو مؤشرات الهجوم. مؤشرات التهديد هي البيانات التي تربط البيانات الاصطناعية الملحوظة مثل عناوين URL أو تجزئات الملفات أو عناوين IP مع نشاط التهديد المعروف مثل التصيد الاحتيالي أو شبكات الروبوت أو البرامج الضارة. غالبا ما يسمى هذا الشكل من التحليل الذكي للمخاطر التحليل الذكي للمخاطر التكتيكية. يتم تطبيقه على منتجات الأمان والأتمتة على نطاق واسع للكشف عن التهديدات المحتملة للمؤسسة والحماية منها.

تمثل واجهة أخرى من التحليل الذكي للمخاطر الجهات الفاعلة في التهديد وتقنياتها وتكتيكاتها وإجراءاتها (TTPs) والبنية الأساسية الخاصة بها وهويات ضحاياها. يدعم Microsoft Sentinel إدارة هذه الواجهات جنبا إلى جنب مع IOCs، يتم التعبير عنها باستخدام معيار مصدر مفتوح لتبادل CTI المعروف باسم تعبير معلومات التهديد المنظم (STIX). يعمل التحليل الذكي للمخاطر الذي يتم التعبير عنه كعناصر STIX على تحسين إمكانية التشغيل التفاعلي وتمكين المؤسسات من التتبع بشكل أكثر كفاءة. استخدم كائنات STIX للتحليل الذكي للمخاطر في Microsoft Sentinel للكشف عن النشاط الضار الذي تمت ملاحظته في بيئتك وتوفير السياق الكامل للهجوم لإبلاغ قرارات الاستجابة.

يوضح الجدول التالي الأنشطة المطلوبة لتحقيق أقصى استفادة من تكامل التحليل الذكي للمخاطر (TI) في Microsoft Sentinel:

الإجراء ‏‏الوصف
تخزين التحليل الذكي للمخاطر في مساحة عمل Microsoft Sentinel
  • استيراد التحليل الذكي للمخاطر إلى Microsoft Sentinel عن طريق تمكين موصلات البيانات إلى مختلف الأنظمة الأساسية وموجزات التحليل الذكي للمخاطر.
  • قم بتوصيل التحليل الذكي للمخاطر ب Microsoft Sentinel باستخدام واجهة برمجة تطبيقات التحميل لتوصيل أنظمة TI الأساسية المختلفة أو التطبيقات المخصصة.
  • إنشاء تحليل ذكي للمخاطر باستخدام واجهة إدارة مبسطة.
إدارة التحليل الذكي للمخاطر
  • عرض التحليل الذكي للمخاطر المستوردة باستخدام الاستعلامات أو البحث المتقدم.
  • تنسيق التحليل الذكي للمخاطر مع العلاقات أو قواعد الاستيعاب أو العلامات
  • تصور المعلومات الرئيسية حول TI باستخدام المصنفات.
استخدام التحليل الذكي للمخاطر
  • الكشف عن التهديدات وإنشاء تنبيهات الأمان والحوادث باستخدام قوالب قواعد التحليلات المضمنة استنادا إلى التحليل الذكي للمخاطر.
  • ابحث عن التهديدات باستخدام معلومات التهديد لطرح الأسئلة الصحيحة حول الإشارات التي تم التقاطها لمؤسستك.

يوفر التحليل الذكي للمخاطر أيضا سياقا مفيدا ضمن تجارب Microsoft Sentinel الأخرى، مثل دفاتر الملاحظات. لمزيد من المعلومات، راجع بدء استخدام دفاتر الملاحظات وMSTICPy.

إشعار

للحصول على معلومات حول توافر الميزات في سحابة حكومة الولايات المتحدة، راجع جداول Microsoft Azure Sentinel في توافر الميزات السحابية لعملاء حكومة الولايات المتحدة .

استيراد التحليل الذكي للمخاطر وتوصيلها

يتم استيراد معظم التحليل الذكي للمخاطر باستخدام موصلات البيانات أو واجهة برمجة التطبيقات. تكوين قواعد الاستيعاب لتقليل الضوضاء والتأكد من تحسين موجزات التحليل الذكي. فيما يلي الحلول المتوفرة ل Microsoft Sentinel.

  • تحليل ذكي للمخاطر في Microsoft Defender موصل البيانات لاستيعاب التحليل الذكي للمخاطر من Microsoft
  • التحليل الذكي للمخاطر - موصل بيانات TAXII لموجزات STIX/TAXII القياسية في الصناعة
  • واجهة برمجة تطبيقات تحميل التحليل الذكي للمخاطر لموجزات TI المتكاملة والموحدة باستخدام واجهة برمجة تطبيقات REST للاتصال (لا يتطلب موصل بيانات)
  • يقوم موصل بيانات النظام الأساسي للتحليف الذكي للمخاطر أيضا بتوصيل موجزات TI باستخدام واجهة برمجة تطبيقات REST القديمة، ولكنه على مسار الإهمال

استخدم هذه الحلول في أي تركيبة، اعتمادا على مصدر مؤسستك للمعلومات المتعلقة بالتهديدات. تتوفر جميع موصلات البيانات هذه في مركز المحتوى كجزء من حل التحليل الذكي للمخاطر. لمزيد من المعلومات حول هذا الحل، راجع إدخال Azure Marketplace تحليل ذكي للمخاطر.

راجع أيضا هذا الكتالوج الخاص بتكاملات التحليل الذكي للمخاطر المتوفرة مع Microsoft Sentinel.

إضافة تحليل ذكي للمخاطر إلى Microsoft Sentinel باستخدام موصل بيانات Defender Threat Intelligence

قم بإحضار IOCs العامة والمفتوحة المصدر وعالية الدقة التي تم إنشاؤها بواسطة Defender Threat Intelligence إلى مساحة عمل Microsoft Sentinel باستخدام موصلات بيانات Defender Threat Intelligence. باستخدام إعداد بسيط بنقرة واحدة، استخدم التحليل الذكي للمخاطر من موصلات بيانات Defender Threat Intelligence القياسية والمميزة للمراقبة والتنبيه والبحث.

هناك إصداران من موصل البيانات، قياسي ومميز. هناك أيضا قاعدة تحليلات تهديدات Defender Threat Intelligence متاحة بحرية والتي تمنحك عينة مما يوفره موصل بيانات Defender Threat Intelligence المتميز. ومع ذلك، مع التحليلات المطابقة، يتم استيعاب المؤشرات التي تطابق القاعدة فقط في بيئتك.

يخزن موصل بيانات التحليل الذكي للمخاطر من Defender المتميز معلومات مصدر مفتوح المحسنة من Microsoft وIOCs المنسقة من Microsoft. تسمح هذه الميزات المتميزة بإجراء تحليلات حول المزيد من مصادر البيانات بمزيد من المرونة والفهم للتحلي الذكي للمخاطر. فيما يلي جدول يوضح ما يمكن توقعه عند الترخيص وتمكين الإصدار المتميز.

مجاني متميز
IOCs العامة
التحليل الذكي مفتوح المصدر (OSINT)
Microsoft IOCs
OSINT الذي تم إثرائه من Microsoft

لمزيد من المعلومات، راجع المقالات التالية:

إضافة تحليل ذكي للمخاطر إلى Microsoft Sentinel باستخدام واجهة برمجة تطبيقات التحميل

تستخدم العديد من المؤسسات حلول النظام الأساسي للمعلومات الذكية للمخاطر (TIP) لتجميع موجزات مؤشرات التهديد من مصادر مختلفة. من الموجز المجمع، يتم تنسيق البيانات لتطبيقها على حلول الأمان مثل أجهزة الشبكة أو حلول EDR/XDR أو SIEMs مثل Microsoft Sentinel. تتيح لك واجهة برمجة تطبيقات التحميل استخدام هذه الحلول لاستيراد كائنات STIX الخاصة بالتحليل الذكي للمخاطر إلى Microsoft Sentinel.

رسم تخطيطي يوضح مسار استيراد واجهة برمجة التطبيقات للتحميل.

لا تتطلب واجهة برمجة تطبيقات التحميل الجديدة موصل بيانات وتقدم التحسينات التالية:

  • تستند حقول مؤشر التهديد إلى تنسيق STIX القياسي.
  • يتطلب تطبيق Microsoft Entra دور مساهم Microsoft Sentinel.
  • يتم تحديد نطاق نقطة نهاية طلب واجهة برمجة التطبيقات على مستوى مساحة العمل. تسمح أذونات تطبيق Microsoft Entra المطلوبة بتعيين متعدد المستويات على مستوى مساحة العمل.

لمزيد من المعلومات، راجع توصيل النظام الأساسي للمعلومات عن التهديدات باستخدام تحميل واجهة برمجة التطبيقات

إضافة تحليل ذكي للمخاطر إلى Microsoft Sentinel باستخدام موصل بيانات النظام الأساسي للتحليل الذكي للمخاطر

إشعار

موصل البيانات هذا الآن على مسار للإهمال.

مثل واجهة برمجة تطبيقات التحميل، يستخدم موصل بيانات النظام الأساسي للتحليل الذكي للمخاطر واجهة برمجة تطبيقات تسمح ل TIP أو الحل المخصص بإرسال التحليل الذكي للمخاطر إلى Microsoft Sentinel. ومع ذلك، يقتصر موصل البيانات هذا على المؤشرات فقط وهو الآن على مسار للإهمال. نوصي بالاستفادة من التحسينات التي تقدمها واجهة برمجة تطبيقات التحميل.

يستخدم موصل بيانات TIP واجهة برمجة تطبيقات Microsoft Graph Security tiIndicators التي لا تدعم كائنات STIX الأخرى. استخدمه مع أي تلميح مخصص يتصل بواجهة برمجة تطبيقات tiIndicators لإرسال مؤشرات إلى Microsoft Sentinel (وإلى حلول أمان Microsoft الأخرى مثل Defender XDR).

لقطة شاشة تعرض مسار استيراد التحليل الذكي للمخاطر.

لمزيد من المعلومات حول حلول TIP المتكاملة مع Microsoft Azure Sentinel، راجع منتجات النظام الأساسي المتكامل للتحليل الذكي للمخاطر. لمزيد من المعلومات، راجع توصيل النظام الأساسي للتحليل الذكي للمخاطر بـ Microsoft Azure Sentinel.

إضافة تحليل ذكي للمخاطر إلى Microsoft Sentinel باستخدام موصل بيانات تحليل ذكي للمخاطر - TAXII

معيار الصناعة الأكثر اعتمادًا على نطاق واسع لنقل التحليل الذكي للمخاطر هو مزيج من تنسيق بيانات STIX وبروتوكول TAXII. إذا حصلت مؤسستك على التحليل الذكي للمخاطر من الحلول التي تدعم إصدار STIX/TAXII الحالي (2.0 أو 2.1)، فاستخدم موصل بيانات التحليل الذكي للمخاطر - TAXII لجلب معلومات التهديد الخاصة بك إلى Microsoft Sentinel. التحليل الذكي للمخاطر - موصل بيانات TAXII يُمكّن عميل TAXII المُضمن في Microsoft Azure Sentinel من استيراد التحليل الذكي للمخاطر من خوادم TAXII 2.x.

لقطة شاشة تعرض مسار استيراد TAXII

لاستيراد التحليل الذكي للمخاطر بتنسيق STIX إلى Microsoft Sentinel من خادم TAXII:

  1. احصل على جذر واجهة برمجة تطبيقات خادم TAXII ومعرف المجموعة.
  2. تمكين موصل بيانات التحليل الذكي للمخاطر - TAXII في Microsoft Sentinel.

لمزيد من المعلومات، راجع توصيل Microsoft Azure Sentinel بموجزات التحليل الذكي للمخاطر STIX/TAXII.

إنشاء التحليل الذكي للمخاطر وإدارته

تتم إدارة التحليل الذكي للمخاطر التي يتم تشغيلها بواسطة Microsoft Sentinel بجوار تحليل ذكي للمخاطر في Microsoft Defender (MDTI) وتحليلات المخاطر في النظام الأساسي الموحد ل SecOps من Microsoft.

لقطة شاشة تعرض صفحة إدارة intel في مدخل Defender.

إشعار

لا يزال يتم الوصول إلى التحليل الذكي للمخاطر في مدخل Microsoft Azure من معلومات إدارة>المخاطر في Microsoft Sentinel.>

اثنتان من مهام التحليل الذكي للمخاطر الأكثر شيوعا هما إنشاء معلومات ذكية جديدة عن التهديدات المتعلقة بالتحقيقات الأمنية وإضافة العلامات. تعمل واجهة الإدارة على تبسيط العملية اليدوية لتنظيم معلومات التهديد الفردية مع بعض الميزات الرئيسية.

  • تكوين قواعد الاستيعاب لتحسين معلومات التهديد من المصادر الواردة.
  • تعريف العلاقات أثناء إنشاء كائنات STIX جديدة.
  • قم بتنسيق TI الموجود مع منشئ العلاقة.
  • انسخ بيانات التعريف الشائعة من كائن TI جديد أو موجود باستخدام الميزة المكررة.
  • أضف علامات النموذج الحر إلى العناصر ذات التحديد المتعدد.

تتوفر كائنات STIX التالية في Microsoft Sentinel: لقطة شاشة للقائمة لإضافة كائنات STIX جديدة إلى جانب خياراتها.

كائن STIX ‏‏الوصف
ممثل التهديد من يخدع البرنامج النصي إلى الدول القومية، تصف عناصر الجهات الفاعلة في التهديد الدوافع، والرقي، ومستويات الموارد.
نمط الهجوم تعرف أيضا باسم التقنيات والتكتيكات والإجراءات، تصف أنماط الهجوم مكونا محددا من الهجوم ومرحلة MITRE ATT&CK التي يستخدمها.
مؤشر Domain nameيتم استخدام و لمصادقة File hashes
X509 certificates
هوية الأجهزة والخوادم للاتصال الآمن عبر الإنترنت. URLIPv4 addressIPv6 address

JA3 بصمات الأصابع هي معرفات فريدة تم إنشاؤها من عملية تأكيد اتصال TLS/SSL. فهي تساعد في تحديد تطبيقات وأدوات محددة تستخدم في حركة مرور الشبكة، مما يسهل اكتشاف بصمات الأنشطة

JA3S الضارة لتوسيع قدرات JA3 من خلال تضمين الخصائص الخاصة بالخادم أيضا في عملية بصمات الأصابع. يوفر هذا الملحق عرضا أكثر شمولا لنسبة استخدام الشبكة ويساعد في تحديد كل من التهديدات من جانب العميل والخادم.

User agents توفير معلومات حول برنامج العميل الذي يقدم طلبات إلى خادم، مثل المتصفح أو نظام التشغيل. وهي مفيدة في تحديد وتحديد الأجهزة والتطبيقات التي تصل إلى شبكة.
الهوية وصف الضحايا والمنظمات والمجموعات أو الأفراد الآخرين جنبا إلى جنب مع قطاعات الأعمال الأكثر ارتباطا بهم.
العلاقة يتم وصف مؤشرات الترابط التي تربط التحليل الذكي للمخاطر، مما يساعد على إجراء اتصالات عبر إشارات ونقاط بيانات متباينة مع العلاقات.

تكوين قواعد الاستيعاب

تحسين موجزات التحليل الذكي للمخاطر عن طريق تصفية العناصر وتحسينها قبل تسليمها إلى مساحة العمل الخاصة بك. تقوم قواعد الاستيعاب بتحديث السمات أو تصفية العناصر معا. يسرد الجدول التالي بعض حالات الاستخدام:

حالة استخدام قاعدة الاستيعاب ‏‏الوصف
تقليل الضوضاء تصفية التحليل الذكي للمخاطر القديمة التي لم يتم تحديثها لمدة 6 أشهر التي لديها أيضا ثقة منخفضة.
تمديد تاريخ الصلاحية الترويج ل IOCs عالية الدقة من مصادر موثوقة من خلال تمديدها Valid until لمدة 30 يوما.
تذكر الأيام القديمة تصنيف ممثل التهديد الجديد كبير، ولكن بعض المحللين يريدون التأكد من وضع علامة على الأسماء القديمة.

تظهر لقطة الشاشة أربع قواعد استيعاب مطابقة لحالات الاستخدام.

ضع في اعتبارك التلميحات التالية لاستخدام قواعد الاستيعاب:

  • تنطبق جميع القواعد بالترتيب. ستتم معالجة كائنات التحليل الذكي للمخاطر التي يتم تناولها بواسطة كل قاعدة حتى Delete يتم اتخاذ إجراء. إذا لم يتم اتخاذ أي إجراء على كائن، يتم استيعابه من المصدر كما هو.
  • Delete يعني الإجراء تخطي كائن التحليل الذكي للمخاطر للابتلاع، ما يعني أنه تمت إزالته من المسار. لا تتأثر أي إصدارات سابقة من الكائن الذي تم استيعابه بالفعل.
  • تستغرق القواعد الجديدة والمحررة ما يصل إلى 15 دقيقة حتى تصبح سارية المفعول.

لمزيد من المعلومات، راجع العمل مع قواعد استيعاب التحليل الذكي للمخاطر.

إنشاء علاقات

تحسين الكشف عن التهديدات والاستجابة لها عن طريق إنشاء اتصالات بين الكائنات مع منشئ العلاقة. يسرد الجدول التالي بعض حالات استخدامه:

حالة استخدام العلاقة ‏‏الوصف
توصيل ممثل التهديد بنمط هجوم يستخدم ممثل APT29التهديد نمط Phishing via Email الهجوم للوصول الأولي.
ربط مؤشر بممثل تهديد يتم إسناد مؤشر allyourbase.contoso.com المجال إلى ممثل APT29التهديد .
إقران هوية (ضحية) بنمط هجوم يستهدفFourthCoffee نمط Phishing via Emailالهجوم المؤسسة.

توضح الصورة التالية كيفية توصيل منشئ العلاقة بجميع حالات الاستخدام هذه.

لقطة شاشة تعرض مثال العلاقة التي يتم إنشاؤها.

تحليل ذكي للمخاطر

تكوين كائنات TI التي يمكن مشاركتها مع الجماعات المستهدفة المناسبة عن طريق تعيين مستوى حساسية يسمى بروتوكول إشارة المرور (TLP).

لون TLP الحساسية
أبيض يمكن مشاركة المعلومات بحرية وعلنا دون أي قيود.
أخضر يمكن مشاركة المعلومات مع النظراء والمنظمات الشريكة داخل المجتمع، ولكن ليس بشكل عام. وهو مخصص لجمهور أوسع داخل المجتمع.
كهرمان يمكن مشاركة المعلومات مع أعضاء المؤسسة، ولكن ليس بشكل عام. ويهدف إلى استخدامه داخل المؤسسة لحماية المعلومات الحساسة.
أحمر المعلومات حساسة للغاية ولا ينبغي مشاركتها خارج المجموعة أو الاجتماع المحدد حيث تم الكشف عنها في الأصل.

تعيين قيم TLP لكائنات TI في واجهة المستخدم عند إنشائها أو تحريرها. يعد تعيين TLP من خلال واجهة برمجة التطبيقات أقل بديهية ويتطلب اختيار واحد من أربعة marking-definition عناصر GUIDs. لمزيد من المعلومات حول تكوين TLP من خلال واجهة برمجة التطبيقات، راجع object_marking_refs في الخصائص الشائعة لواجهة برمجة تطبيقات التحميل

هناك طريقة أخرى لتكوين TI وهي باستخدام العلامات. يعد وضع علامات على التحليل الذكي للمخاطر طريقة سريعة لتجميع العناصر معا لتسهيل العثور عليها. عادة ما يمكنك تطبيق العلامات المتعلقة بحادث معين. ولكن، إذا كان العنصر يمثل تهديدات من جهة فاعلة معروفة معينة أو حملة هجوم معروفة، ففكر في إنشاء علاقة بدلا من علامة. بعد البحث عن التحليل الذكي للمخاطر التي تريد العمل معها وتصفيتها، ضع علامة عليها بشكل فردي أو متعدد وقم بوضع علامة عليها جميعا في وقت واحد. نظرا لأن وضع العلامات مجاني، نوصي بإنشاء اصطلاحات تسمية قياسية لعلامات التحليل الذكي للمخاطر.

لمزيد من المعلومات، راجع العمل مع التحليل الذكي للمخاطر في Microsoft Sentinel.

عرض التحليل الذكي للمخاطر

عرض التحليل الذكي للمخاطر من واجهة الإدارة. استخدم البحث المتقدم لفرز عناصر التحليل الذكي للمخاطر وتصفيتها دون حتى كتابة استعلام Log Analytics.

لقطة شاشة تعرض واجهة بحث متقدمة مع تحديد شروط المصدر والثقة.

عرض المؤشرات المخزنة في مساحة عمل Log Analytics الممكنة من Microsoft Sentinel. ThreatIntelligenceIndicator الجدول ضمن مخطط Microsoft Sentinel هو المكان الذي يتم فيه تخزين جميع مؤشرات تهديد Microsoft Sentinel. هذا الجدول هو أساس استعلامات التحليل الذكي للمخاطر التي يتم إجراؤها بواسطة ميزات Microsoft Sentinel الأخرى، مثل التحليلات واستعلامات التتبع والمصنفات.

هام

الجداول التي تدعم مخطط كائن STIX الجديد في معاينة خاصة. لعرض كائنات STIX في الاستعلامات وإلغاء تأمين نموذج التتبع الذي يستخدمها، اطلب الاشتراك في هذا النموذج. استيعاب التحليل الذكي للمخاطر في الجداول الجديدة، وThreatIntelObjects، ThreatIntelIndicator جنبا إلى جنب مع أو بدلا من الجدول الحالي، ThreatIntelligenceIndicatorمع عملية الاشتراك هذه.

فيما يلي مثال على عرض استعلام أساسي لمؤشرات التهديد فقط باستخدام الجدول الحالي.

لقطة شاشة تعرض صفحة السجلات مع نموذج استعلام لجدول ThreatIntelligenceIndicator.

يتم استيعاب مؤشرات التحليل الذكي للمخاطر في ThreatIntelligenceIndicator جدول مساحة عمل Log Analytics الخاصة بك للقراءة فقط. كلما تم تحديث مؤشر، يتم إنشاء إدخال جديد في ThreatIntelligenceIndicator الجدول. يظهر المؤشر الأحدث فقط على واجهة الإدارة. يقوم Microsoft Sentinel بإزالة تكرار المؤشرات استنادا IndicatorId إلى خصائص و SourceSystem ويختار المؤشر الذي يحتوي على الأحدث TimeGenerated[UTC].

IndicatorId يتم إنشاء الخاصية باستخدام معرف مؤشر STIX. عند استيراد المؤشرات أو إنشاؤها من مصادر غير STIX، IndicatorId يتم إنشاؤها من مصدر المؤشر ونمطه.

لمزيد من المعلومات، راجع العمل مع التحليل الذكي للمخاطر في Microsoft Sentinel.

عرض الموقع الجغرافي وإثراء بيانات WhoIs (معاينة عامة)

تثري Microsoft مؤشرات IP والمجال مع بيانات إضافية GeoLocationWhoIs لتوفير المزيد من السياق للتحقيقات حيث يتم العثور على IOC المحدد.

عرض GeoLocation وبيانات WhoIs جزء التحليل الذكي للمخاطر لتلك الأنواع من مؤشرات التهديد المستوردة إلى Microsoft Sentinel.

على سبيل المثال، استخدم GeoLocation البيانات للعثور على معلومات مثل المؤسسة أو البلد أو المنطقة لمؤشر IP. استخدم WhoIs البيانات للعثور على بيانات مثل جهة التسجيل وتسجيل بيانات الإنشاء من مؤشر مجال.

الكشف عن التهديدات باستخدام تحليلات مؤشر التهديد

أهم حالة استخدام للتحليل الذكي للمخاطر في حلول SIEM مثل Microsoft Sentinel هي تشغيل قواعد التحليلات للكشف عن التهديدات. تقارن هذه القواعد المُستندة إلى المؤشرات الأحداث الأولية من مصادر البيانات بمؤشرات التهديد للكشف عن تهديدات الأمان في مؤسستك. في Microsoft Sentinel Analytics، يمكنك إنشاء قواعد تحليلات مدعومة بالاستعلامات التي تعمل على جدول زمني وتنشئ تنبيهات أمان. جنبا إلى جنب مع التكوينات، فإنها تحدد عدد المرات التي يجب أن تعمل فيها القاعدة، ونوع نتائج الاستعلام التي يجب أن تولد تنبيهات وحوادث أمان، واختياريا، متى يتم تشغيل استجابة تلقائية.

على الرغم من أنه يمكنك دائما إنشاء قواعد تحليلات جديدة من البداية، يوفر Microsoft Sentinel مجموعة من قوالب القواعد المضمنة، التي أنشأها مهندسو أمان Microsoft، للاستفادة من مؤشرات التهديد الخاصة بك. تستند هذه القوالب إلى نوع مؤشرات التهديد (المجال أو البريد الإلكتروني أو تجزئة الملف أو عنوان IP أو عنوان URL) وأحداث مصدر البيانات التي تريد مطابقتها. يسرد كل قالب المصادر المطلوبة المطلوبة لكي تعمل القاعدة. تسهل هذه المعلومات تحديد ما إذا كانت الأحداث الضرورية مستوردة بالفعل في Microsoft Sentinel.

بشكل افتراضي، عند تشغيل هذه القواعد المضمنة، يتم إنشاء تنبيه. في Microsoft Sentinel، تنشئ التنبيهات التي تم إنشاؤها من قواعد التحليلات أيضا حوادث أمان. في قائمة Microsoft Sentinel، ضمن Threat management، حدد Incidents. الحوادث هي ما تقوم فرق عمليات الأمان بفرزه والتحقيق فيه لتحديد إجراءات الاستجابة المناسبة. لمزيد من المعلومات، راجع Tutorial: Investigate incidents with Microsoft Sentinel.

لمزيد من المعلومات حول استخدام مؤشرات التهديد في قواعد التحليلات، راجع استخدام التحليل الذكي للمخاطر للكشف عن التهديدات.

توفر Microsoft الوصول إلى التحليل الذكي للمخاطر الخاصة بها من خلال قاعدة تحليلات التحليل الذكي للمخاطر من Defender. لمزيد من المعلومات حول كيفية الاستفادة من هذه القاعدة، التي تنشئ تنبيهات وحوادث عالية الدقة، راجع استخدام تحليلات مطابقة للكشف عن التهديدات.

لقطة شاشة تعرض حدثا عالي الدقة تم إنشاؤه بواسطة تحليلات مطابقة مع مزيد من معلومات السياق من Defender Threat Intelligence.

توفر المصنفات نتائج تحليلات حول التحليل الذكي للمخاطر

توفر المصنفات لوحات معلومات تفاعلية فعالة تمنحك نتائج تحليلات حول جميع جوانب Microsoft Azure Sentinel، ولا يُستثنى التحليل الذكي للمخاطر. استخدم مصنف التحليل الذكي للمخاطر المضمن لتصور المعلومات الرئيسية حول التحليل الذكي للمخاطر. تخصيص المصنف وفقا لاحتياجات عملك. أنشئ لوحات معلومات جديدة من خلال الجمع بين العديد من مصادر البيانات لمساعدتك على تصور بياناتك بطرق فريدة.

نظرا لأن مصنفات Microsoft Sentinel تستند إلى مصنفات Azure Monitor، فإن الوثائق الشاملة والعديد من القوالب متوفرة بالفعل. لمزيد من المعلومات، راجع إنشاء تقارير تفاعلية باستخدام مصنفات Azure Monitor.

هناك أيضا مورد غني لمصنفات Azure Monitor على GitHub، حيث يمكنك تنزيل المزيد من القوالب والمساهمة في القوالب الخاصة بك.

لمزيد من المعلومات حول استخدام مصنف التحليل الذكي للمخاطر وتخصيصه، راجع تصور التحليل الذكي للمخاطر باستخدام المصنفات.

المحتوى ذو الصلة

في هذه المقالة، تعرفت على قدرات التحليل الذكي للمخاطر التي يتم تشغيلها بواسطة Microsoft Sentinel. لمزيد من المعلومات، راجع المقالات التالية: