التتبع في النظام الأساسي الموحد ل SecOps من Microsoft
يعد البحث عن التهديدات الأمنية نشاطا قابلا للتخصيص بدرجة كبيرة يكون أكثر فعالية عند إنجازه عبر جميع مراحل تتبع التهديدات: استباقي وتفاعلي وما بعد الحادث. يوفر النظام الأساسي لعمليات الأمان الموحدة (SecOps) من Microsoft أدوات تتبع فعالة لكل مرحلة من مراحل تتبع التهديدات. هذه الأدوات مناسبة تماما للمحللين الذين بدأوا للتو في حياتهم المهنية، أو صيادي التهديدات ذوي الخبرة باستخدام أساليب الصيد المتقدمة. يستفيد صيادو التهديدات من جميع المستويات من ميزات أداة التتبع التي تسمح لهم بمشاركة تقنياتهم واستعلاماتهم ونتائجهم مع فريقهم على طول الطريق.
أدوات التتبع
يعتمد أساس استعلامات التتبع في مدخل Defender على Kusto Query Language (KQL). KQL هي لغة قوية ومرنة تم تحسينها للبحث من خلال مخازن البيانات الضخمة في بيئات السحابة. ومع ذلك، فإن صياغة الاستعلامات المعقدة ليست الطريقة الوحيدة للبحث عن التهديدات. فيما يلي المزيد من أدوات وموارد التتبع داخل مدخل Defender المصممة لجلب التتبع إلى متناول يدك:
- Security Copilot في التتبع المتقدم يولد KQL من مطالبات اللغة الطبيعية.
- يستخدم التتبع الإرشادي منشئ استعلام لصياغة استعلامات تتبع ذات معنى دون معرفة KQL أو مخطط البيانات.
- احصل على التعليمات أثناء كتابة الاستعلامات بميزات مثل autosuggest وشجرة المخطط وعينة الاستعلامات.
- يوفر مركز المحتوى استعلامات الخبراء لمطابقة الحلول الجاهزة في Microsoft Sentinel.
- خبراء Microsoft Defender للتتبع تكمل حتى أفضل صيادي التهديدات الذين يريدون المساعدة.
قم بتكبير النطاق الكامل لبرويسات الصيد لفريقك باستخدام أدوات التتبع التالية في مدخل Defender:
| أداة التتبع | الوصف |
|---|---|
| الصيد المتقدم | عرض مصادر البيانات المتوفرة والاستعلام منها داخل النظام الأساسي SecOps الموحد من Microsoft ومشاركة الاستعلامات مع فريقك. استخدم جميع محتويات مساحة عمل Microsoft Sentinel الموجودة، بما في ذلك الاستعلامات والوظائف. |
| Microsoft Sentinel التتبع | البحث عن تهديدات الأمان عبر مصادر البيانات. استخدم أدوات البحث والاستعلام المتخصصة مثل عمليات البحثوالإشارات المرجعيةوالبث المباشر. |
| Go hunt | قم بتمحور التحقيق بسرعة إلى الكيانات التي تم العثور عليها داخل حادث. |
| يطارد | عملية تتبع التهديدات الشاملة والاستباقية مع ميزات التعاون. |
| الاشارات المرجعيه | الاحتفاظ بالاستعلامات ونتائجها، وإضافة الملاحظات والملاحظات السياقية. |
| البث المباشر | ابدأ جلسة تتبع تفاعلية واستخدم أي استعلام Log Analytics. |
| التتبع باستخدام قواعد التلخيص | استخدم قواعد الملخص لتوفير تتبع التكاليف للتهديدات في السجلات المطولة. |
| خريطة MITRE ATT&CK | عند إنشاء استعلام تتبع جديد، حدد تكتيكات وتقنيات محددة لتطبيقها. |
| استعادة البيانات التاريخية | استعادة البيانات من السجلات المؤرشفة لاستخدامها في الاستعلامات عالية الأداء. |
| البحث في مجموعات البيانات الكبيرة | ابحث عن أحداث محددة في سجلات تصل إلى سبع سنوات باستخدام KQL. |
| تسلسل البنية الأساسية | البحث عن اتصالات جديدة بين الجهات الفاعلة في التهديد، وتجميع نشاط هجوم مماثل وإثبات الافتراضات. |
| مستكشف التهديدات | البحث عن التهديدات المتخصصة المتعلقة بالبريد الإلكتروني. |
مراحل التتبع
يصف الجدول التالي كيف يمكنك تحقيق أقصى استفادة من أدوات التتبع الخاصة بمدخل Defender عبر جميع مراحل تتبع التهديدات:
| مرحلة التتبع | أدوات التتبع |
|---|---|
| استباقي - ابحث عن المناطق الضعيفة في بيئتك قبل أن يفعل المستخدمون التهديد. الكشف عن النشاط المشبوه مبكرا. | - إجراء عمليات البحث الشاملة بانتظام للبحث بشكل استباقي عن التهديدات والسلوكيات الضارة غير المكتشفة، والتحقق من صحة الفرضيات، والعمل على النتائج من خلال إنشاء اكتشافات جديدة أو حوادث أو تحليل ذكي للمخاطر. - استخدم خريطة MITRE ATT&CK لتحديد فجوات الكشف، ثم قم بتشغيل استعلامات التتبع المحددة مسبقا للتقنيات المميزة. - إدراج تحليل ذكي جديد للمخاطر في استعلامات مثبتة لضبط الاكتشافات وتأكيد ما إذا كان الحل الوسط قيد التنفيذ. - اتخاذ خطوات استباقية لإنشاء الاستعلامات واختبارها مقابل البيانات من مصادر جديدة أو محدثة. - استخدم التتبع المتقدم للعثور على الهجمات أو التهديدات في المراحل المبكرة التي لا تحتوي على تنبيهات. |
| تفاعلي - استخدم أدوات التتبع أثناء التحقيق النشط. | - استخدم البث المباشر لتشغيل استعلامات محددة على فترات متناسقة لمراقبة الأحداث بنشاط. - محوري بسرعة في الحوادث باستخدام زر Go hunt للبحث على نطاق واسع عن الكيانات المشبوهة التي تم العثور عليها أثناء التحقيق. - البحث من خلال التحليل الذكي للمخاطر لتنفيذ تسلسل البنية التحتية. - استخدم Security Copilot في التتبع المتقدم لإنشاء استعلامات بسرعة الجهاز وحجمه. |
| ما بعد الحادث - تحسين التغطية والرؤى لمنع تكرار حوادث مماثلة. | - تحويل استعلامات التتبع الناجحة إلى قواعد جديدة للتحليلات والكشف، أو تحسين تلك الموجودة. - استعادة البيانات التاريخيةوالبحث في مجموعات البيانات الكبيرة للتتبع المتخصص كجزء من التحقيقات الكاملة في الحوادث. |