مشاركة عبر

البرنامج التعليمي: الكشف عن نشاط المستخدم المشبوه باستخدام التحليلات السلوكية (UEBA)

  • مقالة

يوفر Microsoft Defender for Cloud Apps أفضل عمليات الكشف عبر سلسلة قتل الهجوم للمستخدمين المخترقين والتهديدات الداخلية والاختراق وبرامج الفدية الضارة والمزيد. يتم تحقيق حلنا الشامل من خلال الجمع بين أساليب الكشف المتعددة، بما في ذلك الحالات الشاذة والتحليلات السلوكية (UEBA) واكتشافات النشاط المستندة إلى القواعد، لتوفير عرض واسع لكيفية استخدام المستخدمين للتطبيقات في بيئتك.

فلماذا من المهم الكشف عن السلوك المشبوه؟ يمكن أن يكون تأثير المستخدم قادرا على تغيير بيئة السحابة الخاصة بك كبيرا ويؤثر بشكل مباشر على قدرتك على إدارة عملك. على سبيل المثال، يمكن اختراق موارد الشركة الرئيسية مثل الخوادم التي تقوم بتشغيل موقع الويب العام أو الخدمة التي تقدمها للعملاء.

باستخدام البيانات التي تم التقاطها من عدة مصادر، Defender for Cloud Apps يحلل البيانات لاستخراج أنشطة التطبيق والمستخدم في مؤسستك مما يمنح محللي الأمان رؤية لاستخدام السحابة. ترتبط البيانات التي تم جمعها وتوحدها وتثريها بالتحليل الذكي للمخاطر والموقع والعديد من التفاصيل الأخرى لتوفير رؤية دقيقة ومتسقة للأنشطة المشبوهة.

ومن ثم، لتحقيق فوائد هذه الاكتشافات بالكامل، تأكد أولا من تكوين المصادر التالية:

بعد ذلك، تريد ضبط النهج الخاصة بك. يمكن ضبط النهج التالية عن طريق تعيين عوامل التصفية والحدود الديناميكية (UEBA) للمساعدة في تدريب نماذج الكشف الخاصة بها، والقمع لتقليل الاكتشافات الإيجابية الخاطئة الشائعة:

  • الكشف عن الحالات الشاذة
  • الكشف عن الحالات الشاذة لاكتشاف السحابة
  • الكشف عن النشاط المستند إلى القواعد

في هذا البرنامج التعليمي، ستتعلم كيفية ضبط اكتشافات نشاط المستخدم لتحديد الاختراقات الحقيقية وتقليل إجهاد التنبيه الناتج عن التعامل مع كميات كبيرة من الاكتشافات الإيجابية الخاطئة:

المرحلة 1: تكوين نطاقات عناوين IP

قبل تكوين النهج الفردية، من المستحسن تكوين نطاقات IP بحيث تكون متاحة للاستخدام في ضبط أي نوع من نهج الكشف عن نشاط المستخدم المشبوهة.

نظرا لأن معلومات عنوان IP ضرورية لجميع التحقيقات تقريبا، فإن تكوين عناوين IP المعروفة يساعد خوارزميات التعلم الآلي لدينا على تحديد المواقع المعروفة والنظر فيها كجزء من نماذج التعلم الآلي. على سبيل المثال، تساعد إضافة نطاق عنوان IP الخاص ب VPN النموذج على تصنيف نطاق IP هذا بشكل صحيح واستبعاده تلقائيا من اكتشافات السفر المستحيلة لأن موقع VPN لا يمثل الموقع الحقيقي لهذا المستخدم.

ملاحظة

لا تقتصر نطاقات IP المكونة على عمليات الكشف وتستخدم طوال Defender for Cloud Apps في مجالات مثل الأنشطة في سجل النشاط والوصول المشروط وما إلى ذلك. ضع هذا في اعتبارك عند تكوين النطاقات. لذلك، على سبيل المثال، يتيح لك تحديد عناوين IP المكتبية الفعلية تخصيص طريقة عرض السجلات والتنبيهات والتحقيق فيها.

مراجعة تنبيهات الكشف عن الحالات الخارجة عن المألوف الجاهزة

يتضمن Defender for Cloud Apps مجموعة من تنبيهات الكشف عن الحالات الشاذة لتحديد سيناريوهات الأمان المختلفة. يتم تمكين عمليات الكشف هذه تلقائيا خارج الصندوق وستبدأ في تعريف نشاط المستخدم وإنشاء تنبيهات بمجرد توصيل موصلات التطبيقات ذات الصلة.

ابدأ بالتعرف على نهج الكشف المختلفة، وتحديد أولويات أهم السيناريوهات التي تعتقد أنها الأكثر صلة بمؤسستك، وضبط النهج وفقا لذلك.

المرحلة 2: ضبط نهج الكشف عن الحالات الشاذة

تتوفر العديد من نهج الكشف عن الحالات الشاذة المضمنة في Defender for Cloud Apps التي تم تكوينها مسبقا لحالات استخدام الأمان الشائعة. يجب أن تستغرق بعض الوقت للتعرف على الاكتشافات الأكثر شيوعا، مثل:

  • السفر المستحيل
    الأنشطة من نفس المستخدم في مواقع مختلفة خلال فترة أقصر من وقت السفر المتوقع بين الموقعين.
  • نشاط من بلد غير متكرر
    نشاط من موقع لم تتم زيارته مؤخرا أو لم تتم زيارته من قبل المستخدم.
  • الكشف عن البرامج الضارة
    يفحص الملفات في تطبيقات السحابة الخاصة بك ويشغل الملفات المشبوهة من خلال محرك التحليل الذكي للمخاطر من Microsoft لتحديد ما إذا كانت مرتبطة بالبرامج الضارة المعروفة أم لا.
  • نشاط برامج الفدية الضارة
    تحميلات الملفات إلى السحابة التي قد تكون مصابة ببرامج الفدية الضارة.
  • نشاط من عناوين IP المشبوهة
    نشاط من عنوان IP تم تحديده على أنه محفوف بالمخاطر بواسطة Microsoft Threat Intelligence.
  • إعادة توجيه علبة الوارد المشبوهة
    الكشف عن قواعد إعادة توجيه علبة الوارد المشبوهة التي تم تعيينها على علبة وارد المستخدم.
  • أنشطة تنزيل ملفات متعددة غير عادية
    يكشف عن أنشطة تنزيل ملفات متعددة في جلسة واحدة فيما يتعلق بخط الأساس الذي تم تعلمه، مما قد يشير إلى محاولة خرق.
  • الأنشطة الإدارية غير العادية
    يكشف عن أنشطة إدارية متعددة في جلسة واحدة فيما يتعلق بخط الأساس الذي تم تعلمه، مما قد يشير إلى محاولة خرق.

للحصول على قائمة كاملة بالكشف وما تفعله، راجع نهج الكشف عن الحالات الشاذة.

ملاحظة

بينما تركز بعض عمليات الكشف عن الحالات الشاذة في المقام الأول على الكشف عن سيناريوهات الأمان المسببة للمشاكل، يمكن للبعض الآخر المساعدة في تحديد سلوك المستخدم الشاذ والتحقيق فيه الذي قد لا يشير بالضرورة إلى حل وسط. لمثل هذه الاكتشافات أنشأنا نوع بيانات آخر يسمى "السلوكيات" والذي يتوفر في Microsoft Defender XDR تجربة تتبع متقدمة. لمزيد من المعلومات، راجع السلوكيات.

بمجرد أن تكون على دراية بالنهج، يجب أن تفكر في كيفية ضبطها وفقا للمتطلبات المحددة لمؤسستك لاستهداف الأنشطة التي قد ترغب في إجراء مزيد من التحقيق فيها بشكل أفضل.

  1. نهج النطاق لمستخدمين أو مجموعات محددة

    يمكن أن يساعد تحديد نطاق النهج لمستخدمين محددين في تقليل الضوضاء الناتجة عن التنبيهات غير ذات الصلة بمؤسستك. يمكن تكوين كل نهج لتضمين مستخدمين ومجموعات محددة أو استبعادها، كما هو الحال في الأمثلة التالية:

    • محاكاة الهجوم
      تستخدم العديد من المؤسسات مستخدما أو مجموعة لمحاكاة الهجمات باستمرار. من الواضح أنه من غير المنطقي تلقي التنبيهات باستمرار من أنشطة هؤلاء المستخدمين. لذلك، يمكنك تكوين النهج لاستبعاد هؤلاء المستخدمين أو المجموعات. يساعد هذا أيضا نماذج التعلم الآلي على تحديد هؤلاء المستخدمين وضبط حدودهم الديناميكية وفقا لذلك.
    • عمليات الكشف المستهدفة
      قد تكون مؤسستك مهتمة بالتحقيق في مجموعة معينة من مستخدمي VIP مثل أعضاء مسؤول أو مجموعة CXO. في هذا السيناريو، يمكنك إنشاء نهج للأنشطة التي تريد اكتشافها واختيار تضمين مجموعة المستخدمين أو المجموعات التي تهتم بها فقط.

  2. ضبط اكتشافات تسجيل الدخول الشاذة

    ترغب بعض المؤسسات في رؤية التنبيهات الناتجة عن أنشطة تسجيل الدخول الفاشلة لأنها قد تشير إلى أن شخصا ما يحاول استهداف حساب مستخدم واحد أو أكثر. من ناحية أخرى، تحدث هجمات القوة الغاشمة على حسابات المستخدمين طوال الوقت في السحابة وليس لدى المؤسسات طريقة لمنعها. لذلك، عادة ما تقرر المؤسسات الأكبر تلقي تنبيهات فقط لأنشطة تسجيل الدخول المشبوهة التي تؤدي إلى أنشطة تسجيل الدخول الناجحة، لأنها قد تمثل تسويات حقيقية.

    تعد سرقة الهوية مصدرا رئيسيا للاختراق وتشكل متجها رئيسيا للمخاطر لمؤسستك. تساعدك تنبيهات السفر المستحيلوالنشاط من عناوين IP المشبوهة وتنبيهات الكشف عن البلد/المنطقة غير المتكررة على اكتشاف الأنشطة التي تشير إلى احتمال تعرض الحساب للخطر.

  3. ضبط حساسية السفر المستحيلتكوين شريط تمرير الحساسية الذي يحدد مستوى المنع المطبق على السلوك الشاذ قبل تشغيل تنبيه السفر المستحيل. على سبيل المثال، يجب على المؤسسات المهتمة بالدقة العالية التفكير في زيادة مستوى الحساسية. من ناحية أخرى، إذا كان لدى مؤسستك العديد من المستخدمين الذين يسافرون، ففكر في خفض مستوى الحساسية لمنع الأنشطة من المواقع الشائعة للمستخدم التي تم تعلمها من الأنشطة السابقة. يمكنك الاختيار من بين مستويات الحساسية التالية:

    • منخفض: منع النظام والمستأجر والمستخدم
    • متوسط: منع النظام والمستخدم
    • مرتفع: عمليات منع النظام فقط

    المكان:

    نوع المنع الوصف
    نظام الاكتشافات المضمنة التي يتم منعها دائما.
    مستأجر الأنشطة الشائعة استنادا إلى النشاط السابق في المستأجر. على سبيل المثال، منع الأنشطة من موفر ISP الذي تم تنبيهه مسبقا في مؤسستك.
    User الأنشطة الشائعة استنادا إلى النشاط السابق للمستخدم المحدد. على سبيل المثال، منع الأنشطة من موقع يستخدمه المستخدم بشكل شائع.

المرحلة 3: ضبط نهج الكشف عن الحالات الشاذة لاكتشاف السحابة

مثل نهج الكشف عن الحالات الشاذة، هناك العديد من نهج الكشف عن الحالات الشاذة للاكتشاف السحابي المضمنة التي يمكنك ضبطها. على سبيل المثال، ينبهك نهج النقل غير المصرح به للبيانات إلى التطبيقات غير المصرح بها عند نقل البيانات إلى تطبيق غير مصرح به ويأتي مكونا مسبقا بإعدادات تستند إلى تجربة Microsoft في حقل الأمان.

ومع ذلك، يمكنك ضبط النهج المضمنة أو إنشاء نهج خاصة بك لمساعدتك في تحديد السيناريوهات الأخرى التي قد تكون مهتمة بالتحقيق فيها. نظرا لأن هذه النهج تستند إلى سجلات اكتشاف السحابة، فإن لديها قدرات ضبط مختلفة تركز بشكل أكبر على سلوك التطبيق الشاذ واختراق البيانات.

  1. ضبط مراقبة الاستخدام
    قم بتعيين عوامل تصفية الاستخدام للتحكم في الأساس والنطاق وفترة النشاط للكشف عن السلوك الشاذ. على سبيل المثال، قد ترغب في تلقي تنبيهات للأنشطة الشاذة المتعلقة بالموظفين على المستوى التنفيذي.

  2. ضبط حساسية التنبيه
    لمنع إرهاق التنبيه، قم بتكوين حساسية التنبيهات. يمكنك استخدام شريط تمرير الحساسية للتحكم في عدد التنبيهات عالية المخاطر المرسلة لكل 1000 مستخدم في الأسبوع. تتطلب الحساسية الأعلى تباينا أقل ليتم اعتباره حالة شاذة وإنشاء المزيد من التنبيهات. بشكل عام، قم بتعيين حساسية منخفضة للمستخدمين الذين ليس لديهم حق الوصول إلى البيانات السرية.

المرحلة 4: ضبط نهج الكشف (النشاط) المستندة إلى القواعد

تمنحك نهج الكشف المستندة إلى القواعد القدرة على إكمال نهج الكشف عن الحالات الشاذة بمتطلبات خاصة بالمؤسسة. نوصي بإنشاء نهج تستند إلى القواعد باستخدام أحد قوالب نهج النشاط (انتقل إلىقوالبالتحكم> وقم بتعيين عامل تصفية النوع إلى نهج النشاط) ثم تكوينها للكشف عن السلوكيات غير العادية لبيئتك. على سبيل المثال، بالنسبة لبعض المؤسسات التي ليس لها أي وجود في بلد/منطقة معينة، قد يكون من المنطقي إنشاء سياسة تكشف عن الأنشطة الشاذة من هذا البلد/المنطقة وتنبيهها عليها. بالنسبة للآخرين، الذين لديهم فروع كبيرة في هذا البلد/المنطقة، ستكون الأنشطة من هذا البلد/المنطقة أمرا طبيعيا ولن يكون من المنطقي اكتشاف مثل هذه الأنشطة.

  1. ضبط حجم النشاط
    اختر حجم النشاط المطلوب قبل أن يثير الكشف تنبيها. باستخدام مثال بلدنا/منطقتنا، إذا لم يكن لديك وجود في بلد/منطقة، حتى نشاط واحد مهم ويستدعي تنبيها. ومع ذلك، قد يكون فشل تسجيل الدخول الأحادي خطأ بشريا ومثيرا للاهتمام فقط إذا كان هناك العديد من حالات الفشل في فترة قصيرة.
  2. ضبط عوامل تصفية النشاط
    قم بتعيين عوامل التصفية التي تحتاجها للكشف عن نوع النشاط الذي تريد التنبيه عليه. على سبيل المثال، للكشف عن النشاط من بلد/منطقة، استخدم معلمة الموقع .
  3. ضبط التنبيهات
    لمنع إرهاق التنبيه، قم بتعيين حد التنبيه اليومي.

المرحلة 5: تكوين التنبيهات

ملاحظة

منذ 15 ديسمبر 2022، تم إهمال التنبيهات/الرسائل النصية (الرسائل النصية). إذا كنت ترغب في تلقي تنبيهات نصية، فيجب عليك استخدام Microsoft Power Automate لأتمتة التنبيه المخصصة. لمزيد من المعلومات، راجع التكامل مع Microsoft Power Automate لأتمتة التنبيه المخصصة.

يمكنك اختيار تلقي التنبيهات بالتنسيق والمتوسط الأكثر ملاءمة لاحتياجاتك. لتلقي تنبيهات فورية في أي وقت من اليوم، قد تفضل تلقيها عبر البريد الإلكتروني.

قد ترغب أيضا في أن تمنحك القدرة على تحليل التنبيهات في سياق التنبيهات الأخرى التي يتم تشغيلها بواسطة منتجات أخرى في مؤسستك عرضا شاملا لتهديد محتمل. على سبيل المثال، قد ترغب في الربط بين الأحداث المستندة إلى السحابة والأحداث المحلية لمعرفة ما إذا كان هناك أي دليل تخفيف آخر قد يؤكد الهجوم.

بالإضافة إلى ذلك، يمكنك أيضا تشغيل أتمتة التنبيه المخصصة باستخدام تكاملنا مع Microsoft Power Automate. على سبيل المثال، يمكنك إعداد دليل المبادئ تلقائيا إنشاء مشكلة في ServiceNow أو إرسال بريد إلكتروني للموافقة لتنفيذ إجراء إدارة مخصص عند تشغيل تنبيه.

استخدم الإرشادات التالية لتكوين التنبيهات:

  1. البريد الإلكتروني
    اختر هذا الخيار لتلقي التنبيهات عبر البريد الإلكتروني.
  2. SIEM
    هناك العديد من خيارات تكامل SIEM بما في ذلك Microsoft SentinelوMicrosoft Graph واجهة برمجة تطبيقات الأمان وغيرها من SIEMs العامة. اختر التكامل الذي يلبي متطلباتك على أفضل نحو.
  3. أتمتة Power Automate
    قم بإنشاء أدلة مبادئ التشغيل التلقائي التي تحتاجها وتعيينها كتنبيه للنهج إلى إجراء Power Automate.

المرحلة السادسة: التحقيق والمعالجة

رائع، لقد قمت بإعداد نهجك وبدء تلقي تنبيهات الأنشطة المشبوهة. ماذا يجب أن تفعل حيالهم؟ للبدء، يجب عليك اتخاذ خطوات للتحقيق في النشاط. على سبيل المثال، قد تحتاج إلى البحث في الأنشطة التي تشير إلى أنه تم اختراق مستخدم.

لتحسين الحماية الخاصة بك، يجب أن تفكر في إعداد إجراءات المعالجة التلقائية لتقليل المخاطر التي تتعرض لها مؤسستك. تسمح لك نهجنا بتطبيق إجراءات الحوكمة بالاقتران مع التنبيهات بحيث يتم تقليل المخاطر على مؤسستك حتى قبل البدء في التحقيق. يتم تحديد الإجراءات المتوفرة حسب نوع النهج بما في ذلك إجراءات مثل تعليق مستخدم أو حظر الوصول إلى المورد المطلوب.

إذا واجهت أي مشاكل، فنحن هنا للمساعدة. للحصول على المساعدة أو الدعم لقضية المنتج، يرجى فتح تذكرة دعم.

التعرف على المزيد