اكتشاف التهديدات باستخدام Microsoft Sentinel (إنشاء القواعد والتنبيهات)

اكتشاف التهديدات باستخدام Microsoft Sentinel (إنشاء القواعد والتنبيهات)

01/03/2024

تهدف هذه المقالة الفنية والتعليمية إلى توجيه محللي الأمان ومسؤولي تكنولوجيا المعلومات ومهندسي الأنظمة في اكتشاف التهديدات بشكل استباقي باستخدام Microsoft Sentinel وSIEM (معلومات الأمان وإدارة الأحداث) وSOAR (تنسيق الأمان والأتمتة والاستجابة لـ Microsoft). يوفر Microsoft Sentinel رؤية موحدة للأمان عبر المؤسسة من خلال جمع البيانات من مصادر متعددة، واكتشاف التهديدات، والتحقيق في الحوادث، والاستجابة لها بطريقة تلقائية [1].

مقدمة

في مشهد التهديدات السيبرانية المتزايد التعقيد والضخم، تحتاج المؤسسات إلى أدوات لا تقوم بجمع البيانات الأمنية فحسب، بل تحللها أيضًا بذكاء لتحديد الأنشطة الضارة. يعمل Microsoft Sentinel على سد هذه الفجوة من خلال تمكين فرق الأمان من مراقبة التهديدات واكتشافها والاستجابة لها في الوقت الفعلي. يعد إنشاء قواعد التحليلات والتنبيهات هو جوهر إمكانات الكشف لدى Sentinel، مما يحول كميات هائلة من السجلات إلى رؤى قابلة للتنفيذ [2].

سيغطي هذا الدليل العملي تكوين قواعد التحليلات في Azure Sentinel، بدءًا من استيعاب البيانات وحتى إنشاء تنبيهات مخصصة والتحقق من فعاليتها. سيتم توفير إرشادات خطوة بخطوة، مثل استعلامات KQL (لغة استعلام Kusto) والأوصاف حتى يتمكن القارئ من تنفيذ اكتشاف التهديدات وتحسينه في بيئته، وتعزيز الوضع الأمني ​​وتسريع الاستجابة للحوادث.

لماذا يستخدم Azure Sentinel للكشف عن التهديدات؟

  • قابلية التوسع في السحابة: استنادًا إلى Azure، توفر قابلية توسع غير محدودة لاستيعاب السجل وتخزينه.
  • الاستخبارات المتعلقة بالتهديدات المتكاملة: تستخدم المعلومات المتعلقة بالتهديدات من Microsoft وشركائها لإثراء عمليات الكشف.
  • التحليل السلوكي (UEBA): يحدد الحالات الشاذة والسلوكيات المشبوهة للمستخدمين والكيانات.
  • الأتمتة (SOAR): تتيح لك أتمتة الاستجابات للحوادث من خلال قواعد اللعبة.
  • الرؤية الشاملة: تتصل بمصادر بيانات متعددة، بما في ذلك Microsoft 365 وAzure وAWS وGoogle Cloud وحلول الأمان التابعة لجهات خارجية.

المتطلبات الأساسية

لتكوين الكشف عن التهديدات باستخدام Azure Sentinel، ستحتاج إلى العناصر التالية:

  1. اشتراك Azure: اشتراك نشط في Microsoft Azure.
  2. الوصول الإداري: حساب يتمتع بأذونات Sentinel Contributor أو مسؤول Log Analytics في بوابة Azure (portal.azure.com).
  3. مساحة عمل Log Analytics: مساحة عمل Log Analytics التي تم تكوينها والتي تعمل بمثابة مستودع البيانات لـ Sentinel.
  4. Microsoft Sentinel Active: يجب تمكين Microsoft Sentinel في مساحة عمل Log Analytics.
  5. موصلات البيانات التي تم تكوينها: يجب استيعاب بيانات الأمان (السجلات) في مساحة عمل Log Analytics من مصادر مثل Azure AD وMicrosoft 365 وMicrosoft Defender for Endpoint وجدران الحماية وما إلى ذلك. [3].

خطوة بخطوة: إنشاء قواعد التحليل والتنبيهات

لنقم بإنشاء قاعدة تحليل مجدولة لاكتشاف سيناريو التهديد الشائع: حالات فشل تسجيل الدخول المتعددة في فترة زمنية قصيرة، مما يشير إلى محاولة القوة الغاشمة.

1. تحقق من موصلات البيانات

قبل إنشاء القواعد، تأكد من استيعاب البيانات ذات الصلة. للكشف عن فشل تسجيل الدخول، نحتاج إلى سجلات من Azure Active Directory (معرف Microsoft Entra).

  1. انتقل إلى بوابة Azure: https://portal.azure.com.
  2. انتقل إلى Microsoft Sentinel.
  3. في جزء التنقل الأيمن، حدد موصلات البيانات.
  4. ابحث عن Azure Active Directory وتحقق من أن الحالة متصل.

2. إنشاء قاعدة تحليل مجدولة

لنقم بإنشاء قاعدة تكتشف 5 حالات فشل أو أكثر في تسجيل الدخول من نفس عنوان IP خلال 10 دقائق.

  1. في Azure Sentinel، في جزء التنقل الأيمن، حدد التحليلات.
  2. انقر فوق + إنشاء > قاعدة الاستعلام المجدول.

الخطوة 1: عام

  1. الاسم: `Azure AD Brute Force Attempt'
  2. الوصف: يكتشف العديد من حالات فشل تسجيل الدخول إلى Azure AD من نفس عنوان IP خلال فترة زمنية قصيرة، مما يشير إلى احتمال حدوث هجوم غاشم.
  3. التكتيكات: حدد "الوصول إلى بيانات الاعتماد".
  4. الخطورة: متوسطة.
  5. الحالة: ممكّن.
  6. انقر التالي: التحديتحديد منطق القاعدة .

الخطوة 2: تحديد منطق القاعدة

  1. استعلام القاعدة: أدخل استعلام KQL:
سجل الدخول
| حيث ResultType == "50126" // فشل التحقق من صحة بيانات الاعتماد
| تلخيص FailedLogins = count() بواسطة IPAddress، UserPrincipalName، bin(TimeGenerated, 10m)
| حيث FailedLogins >= 5
| تمديد AccountCustomEntity = UserPrincipalName، IPCustomEntity = IPAddress

  1. تعيين الكيانات: قم بتعيين الكيانات لإثراء التنبيهات. ضمن تعيين الكيانات، أضف:

    • الحساب: AccountCustomEntity
    • عنوان IP: IPCustomEntity

  2. تحديد موعد:

    • تشغيل الاستعلام كل: 10 دقائق
    • أحدث بيانات البحث: 10 دقائق

  3. حد التنبيه: اترك الإعداد الافتراضي إنشاء تنبيه عندما يكون عدد نتائج الاستعلام أكبر من 0.

الخطوة 3: إعدادات الحادث

  1. إنشاء حوادث من التنبيهات الناتجة عن قاعدة التحليل هذه: ممكّن.
  2. تجميع التنبيهات: تجميع التنبيهات في حادث واحد إذا تم إنشاء جميع التنبيهات من نفس الكيان.

الخطوة 4: الاستجابة الآلية

اختياريًا، يمكنك إرفاق playbook (استنادًا إلى Logic Apps) لأتمتة الإجراءات مثل حظر عنوان IP في جدار الحماية أو تعطيل حساب المستخدم.

الخطوة 5: المراجعة والإنشاء

قم بمراجعة كافة الإعدادات وانقر فوق إنشاء.

التحقيق في التنبيهات والحوادث

عندما تكتشف القاعدة نشاطًا مشبوهًا، يتم إنشاء حادثة.

  1. في Azure Sentinel، انتقل إلى الحوادث.
  2. انقر فوق الحادث الناتج عن القاعدة الخاصة بك.
  3. في صفحة تفاصيل الحادث، سترى:
    • المخطط الزمني: تسلسل زمني للتنبيهات.
    • الكيانات: الكيانات المعينة (المستخدم وعنوان IP)، والتي يمكن إجراء المزيد من التحقيق فيها.
    • الرسم البياني للتحقيق: تصور رسومي للاتصالات بين الكيانات.

استخدم هذه الأدوات لفهم نطاق الهجوم واتخاذ إجراءات الاستجابة اللازمة.

استخدام قوالب قواعد التحليلات

يأتي Microsoft Sentinel مزودًا بمئات من قوالب القواعد المعدة مسبقًا من Microsoft ومجتمع الأمان الخاص بها. يعد استخدامها طريقة سريعة لزيادة قدرتك على الكشف.

  1. في التحليل، انتقل إلى علامة التبويب قوالب القواعد.
  2. التصفية حسب مصادر البيانات، وتكتيكات MITRE ATT&CK®، وما إلى ذلك.
  3. حدد نموذجًا ذا صلة (على سبيل المثال، "موقع تسجيل الدخول غير الطبيعي").
  4. انقر فوق إنشاء قاعدة في جزء التفاصيل. سيتم تعبئة المعالج بمنطق القالب والإعدادات، والتي يمكنك تخصيصها قبل إنشاء القاعدة النشطة.

الخلاصة

يعد إنشاء قواعد تحليلات مخصصة في Azure Sentinel إمكانية أساسية لأي فريق أمان. من خلال تحويل البيانات الأولية إلى اكتشافات قابلة للتنفيذ، يمكن للمؤسسات تحديد التهديدات بشكل استباقي مثل هجمات القوة الغاشمة، والحركة الجانبية، وتسلل البيانات. ومن خلال أتمتة الاستجابة وقوالب القواعد الحالية، يعمل Sentinel على تمكين المحللين من التركيز على الأمور الأكثر أهمية: حماية المؤسسة.

المراجع

[1] مايكروسوفت. (2023). ما هو Microsoft Sentinel؟ [2] مايكروسوفت. (2023). عرض الحوادث في Microsoft Sentinel والتحقيق فيها. [3] مايكروسوفت. (2023). العمل مع موصلات بيانات Microsoft Sentinel.