تنفيذ معلومات التهديدات الخاصة بـ Microsoft Defender لتحليل التهديدات

تنفيذ معلومات التهديدات الخاصة بـ Microsoft Defender لتحليل التهديدات

01/06/2025

تهدف هذه المقالة الفنية والتعليمية إلى توجيه محللي الأمان ومسؤولي تكنولوجيا المعلومات ومهندسي الأنظمة في تنفيذ واستخدام Microsoft Defender Threat Intelligence (MDTI) لتحسين تحليل التهديدات والوضع الأمني لمؤسساتهم. في مشهد التهديدات السيبرانية المتطور والمتطور بشكل متزايد، يعد الوصول إلى معلومات التهديدات الحديثة والقابلة للتنفيذ أمرًا بالغ الأهمية لاكتشاف الهجمات والتحقيق فيها والرد عليها بشكل فعال. يوفر MDTI مستودعًا قويًا لبيانات استخبارات التهديدات، مما يمكّن فرق الأمن من فهم الخصوم وتكتيكاتهم بشكل أفضل [1].

مقدمة

معلومات التهديدات (IT) هي المعرفة القائمة على الأدلة، بما في ذلك السياق والآليات والمؤشرات والآثار والنصائح القابلة للتنفيذ حول التهديد الحالي أو الناشئ، والتي يمكن استخدامها لإبلاغ قرارات الاستجابة للحوادث. وبدون معلومات فعالة عن التهديدات، تعمل فرق الأمن في وضع غير مؤات، وتتفاعل مع الهجمات بدلاً من توقعها ومنعها. يمكن أن تساعد تكنولوجيا المعلومات في تحديد مؤشرات التسوية (IoCs)، وفهم دوافع المهاجمين، وتعزيز الدفاعات بشكل استباقي [2].

إن Microsoft Defender Threat Intelligence (MDTI) عبارة عن نظام أساسي شامل يعمل على دمج معلومات التهديدات الواسعة التي تقدمها Microsoft، والتي تم جمعها من مليارات الإشارات حول العالم. فهو يقدم رؤى عميقة حول الخصوم والبنية التحتية الضارة ونقاط الضعف، مما يمكّن متخصصي الأمن من تبسيط الفرز والاستجابة للحوادث ومطاردة التهديدات وإدارة الثغرات الأمنية. يتكامل MDTI مع حلول Microsoft Defender الأخرى وMicrosoft Sentinel، مما يوفر عرضًا موحدًا وقدرات التشغيل الآلي لنظام بيئي أمني أكثر مرونة [3].

سيغطي هذا الدليل العملي المتطلبات الأساسية، ومفاهيم الاستخبارات المتعلقة بالتهديدات، وكيفية استخدام بوابات MDTI وواجهات برمجة التطبيقات، وكيفية التكامل مع حلول Microsoft الأخرى، وكيفية إجراء تحليل التهديدات، وتفسير مؤشرات التسوية (IoCs)، وتطبيق أفضل الممارسات. سيتم توفير تعليمات خطوة بخطوة وأمثلة عملية وشروحات موجزة حتى يتمكن القارئ من تنفيذ هذه الميزات واختبارها والتحقق من صحتها. بالإضافة إلى ذلك، ستتم مناقشة النصائح الأمنية وفحوصات الامتثال وأفضل الممارسات لضمان استخدام معلومات التهديدات بشكل مستقل ومهني وموثوق.

ما سبب أهمية ذكاء التهديدات في Microsoft Defender لتحليل التهديدات؟

  • رؤية شاملة للتهديدات: الوصول إلى واحدة من أكبر مجموعات بيانات التهديدات في العالم، والتي تغطي نطاقًا واسعًا من IoCs والبنية التحتية للمهاجمين والحملات الضارة.
  • سياق متعمق: يوفر سياقًا غنيًا حول التهديدات، بما في ذلك معلومات حول الجهات الفاعلة في مجال التهديد والتكتيكات والتقنيات والإجراءات (TTPs) ونقاط الضعف المرتبطة بها.
  • التكامل مع نظام Microsoft البيئي: التكامل الأصلي مع Microsoft Defender XDR وMicrosoft Sentinel والحلول الأخرى، مما يتيح استجابة منسقة وآلية.
  • الاستجابة السريعة للحوادث: تساعد فرق الأمان على تحديد السبب الجذري للحوادث بسرعة، وتحديد أولويات التهديدات، وتنفيذ إجراءات مضادة فعالة.
  • الصيد الاستباقي للتهديدات: يتيح لصائدي التهديدات التعرف على الأنشطة الضارة في بيئاتهم قبل أن تتسبب في أضرار جسيمة.
  • إدارة محسّنة للثغرات الأمنية: توفر رؤى حول الثغرات الأمنية التي يستغلها المهاجمون، مما يسمح للمؤسسات بإعطاء الأولوية للمعالجة.

المتطلبات الأساسية

لاستخدام Microsoft Defender Threat Intelligence، ستحتاج إلى العناصر التالية:

  1. Microsoft 365 E5 أو Defender للترخيص السحابي: تم تضمين MDTI مع بعض تراخيص Microsoft 365 E5 وكجزء من Microsoft Defender for Cloud، أو يمكن شراؤه بشكل منفصل [4].
  2. Microsoft Defender Portal Access: حساب يتمتع بالأذونات المناسبة للوصول إلى بوابة Microsoft Defender (https://security.microsoft.com).
  3. ** الوصول إلى بوابة Microsoft Defender Threat Intelligence Portal **: البوابة المخصصة لاستكشاف بيانات MDTI (https://ti.defender.microsoft.com).
  4. ** المعرفة الأساسيةo الأمن السيبراني **: الإلمام بمفاهيم التهديد وIoCs والعمليات الأمنية.

خطوة بخطوة: تنفيذ واستخدام الذكاء الاصطناعي للتهديدات في Microsoft Defender

دعنا نستكشف بوابة MDTI، ونبحث عن IoCs ونتكامل مع Microsoft Sentinel.

1. الوصول إلى بوابة معلومات التهديدات الخاصة بـ Microsoft Defender

تعد بوابة MDTI هي النقطة المركزية للوصول إلى معلومات التهديدات واستكشافها.

  1. افتح المتصفح الخاص بك وانتقل إلى بوابة Microsoft Defender Threat Intelligence: https://ti.defender.microsoft.com.
  2. قم بتسجيل الدخول باستخدام حساب Microsoft الخاص بك الذي لديه التراخيص والأذونات اللازمة.

  3. استكشف الصفحة الرئيسية، والتي تعرض عادةً لوحة معلومات تحتوي على أحدث أخبار التهديدات والمقالات البحثية وIoCs المميزة.

    • الشرح: توفر البوابة واجهة بديهية لتصفح مجموعات كبيرة من بيانات التهديدات الذكية، بما في ذلك المقالات البحثية ومؤشرات الاختراق وبيانات البنية التحتية والمزيد.

2. بحث وتحليل مؤشرات التسوية (IoCs)

يمكنك البحث عن IoCs محددة (عناوين IP، والمجالات، وتجزئة الملفات) للحصول على السياق والرؤى.

  1. في بوابة MDTI، استخدم شريط البحث في الأعلى لإدخال IoC. على سبيل المثال، ابحث عن عنوان IP مريب (على سبيل المثال 192.0.2.1).

  2. ستعرض صفحة النتائج معلومات تفصيلية حول IoC، بما في ذلك:

    • السمعة: ما إذا كان من المعروف أن IoC ضارة أو مشبوهة.
    • الارتباطات: IoCs أو المجالات أو التجزئة أو الشهادات الأخرى المرتبطة بـ IoC هذه.
    • السجل: التغييرات في البنية الأساسية لـ IoC أو سلوكها بمرور الوقت.
    • مقالات بحثية: مقالات MDTI التي تشير إلى IoC، مما يوفر سياقًا حول حملات الهجوم أو الجهات الفاعلة في مجال التهديد.

    • الخدمات والمنافذ: ما هي الخدمات والمنافذ المفتوحة أو المراقبة على عنوان IP هذا.

    • الشرح: يسمح تحليل IoCs في MDTI لمحللي الأمن بالفهم السريع لطبيعة التهديد وبنيته التحتية ومدى ارتباطه بالأنشطة الضارة الأخرى. وهذا أمر بالغ الأهمية عند الفرز والتحقيق في الحوادث.

3. استكشاف الأوراق البحثية والجهات الفاعلة في مجال التهديد

تنشر MDTI مقالات بحثية متعمقة حول الجهات الفاعلة في مجال التهديد، وTTPs الخاصة بهم، وحملات محددة.

  1. في جزء التنقل الأيمن لبوابة MDTI، حدد مقالات بحثية أو الجهات الفاعلة التهديدية.
  2. تصفح المقالات للعثور على معلومات التهديد ذات الصلة بمؤسستك أو صناعتك.

  3. توفر كل مقالة تحليلاً مفصلاً، بما في ذلك IoCs وTTPs وتوصيات التخفيف وروابط لمصادر أخرى.

    • الشرح: تُعد هذه المقالات مصدرًا قيمًا للاستخبارات الإستراتيجية والتكتيكية، حيث تساعد فرق الأمان على فهم مشهد التهديد وتطوير دفاعات استباقية.

4. دمج MDTI مع Microsoft Sentinel

يتيح لك التكامل مع Microsoft Sentinel استيعاب بيانات MDTI مباشرةً في SIEM وSOAR، وربطها بسجلات الأمان الأخرى وأتمتة الاستجابات.

  1. افتح بوابة Azure وانتقل إلى Microsoft Sentinel.
  2. في جزء التنقل الأيمن، حدد موصلات البيانات.
  3. في حقل البحث، اكتب "Microsoft Defender Threat Intelligence".
  4. حدد موصل البيانات "Microsoft Defender Threat Intelligence" وانقر فوق "فتح صفحة الموصل".

  5. انقر فوق "اتصال".

    • الشرح: يسمح هذا الاتصال لـ Sentinel باستيعاب IoCs وغيرها من بيانات التهديدات الذكية من MDTI تلقائيًا، والتي يمكن استخدامها في قواعد الكشف وقوائم المراقبة وإرشادات التشغيل الآلي.

5. استخدام بيانات MDTI في قواعد الكشف عن Azure Sentinel

باستخدام بيانات MDTI في Sentinel، يمكنك إنشاء قواعد اكتشاف مخصصة لتحديد الأنشطة الضارة.

  1. في Azure Sentinel، انتقل إلى التحليلات > قواعد الجدولة.
  2. انقر فوق +إنشاء > قاعدة الاستعلام المجدول.

  3. قم بتكوين القاعدة، وفي قسم "منطق الاستعلام"، يمكنك استخدام بيانات MDTI. على سبيل المثال، لاكتشاف ما إذا كان أي عنوان IP في سجلات جدار الحماية الخاص بك يتصل بعنوان IP ضار معروف لـ MDTI: ``` كوستو LetخبيثIPs = ThreatIntelligenceIndicator | حيث Active == true وNetworkIP != "" | تلخيص make_list(NetworkIP) بواسطة ThreatType؛

    سجل الأمن المشترك| حيث يكون DestinationIP في (maliciousIPs) | تلخيص العد () بواسطة DestinationIP وDeviceVendor وDeviceProduct ``` * الشرح: يبحث استعلام Kusto هذا في سجلات الأمان الخاصة بك (مثل جدار الحماية) عن الاتصالات مع عناوين IP المدرجة على أنها ضارة بواسطة استخبارات تهديدات MDTI. يمكنك تحسين الاستعلام ليشمل أنواعًا أخرى من IoCs أو مصادر السجل.

التحقق والاختبار

من الأهمية بمكان التحقق من أن MDTI تقدم معلومات عن التهديدات ذات الصلة وأن عمليات التكامل تعمل.

1. التحقق من استيعاب البيانات في Azure Sentinel

  1. السيناريو: بعد توصيل MDTI بـ Azure Sentinel، تأكد من استيعاب بيانات التهديدات الذكية.
  2. الإجراء المتوقع: يجب أن تظهر بيانات MDTI في جدول ThreatIntelligenceIndicator في Log Analytics.
  3. التحقق:
    • في Microsoft Sentinel، انتقل إلى السجلات.
    • قم بتشغيل الاستعلام ThreatIntelligenceIndicator | خذ 10.
    • التحقق من وجود نتائج تشير إلى أنه يتم استيعاب البيانات.

2. اختبار اكتشاف IoC باستخدام MDTI

تحذير: قم بإجراء هذا الاختبار في بيئة اختبار معزولة أو بموجب التفويض والإشراف المناسبين.

  1. السيناريو: استخدم IoC المعروفة بأنها ضارة (على سبيل المثال، أمر ضار معروف وعنوان IP للتحكم) وحاول الوصول إليها من جهاز مراقب بواسطة Sentinel (على سبيل المثال، اختبار VM).
  2. الإجراء المتوقع: إذا تم تكوين قاعدة الكشف بشكل صحيح، فيجب على Sentinel إنشاء حادثة بناءً على الاتصال مع IoC الضارة.
  3. التحقق:
    • في Microsoft Sentinel، انتقل إلى الحوادث.
    • ابحث عن حادثة جديدة تتوافق مع نشاط الاختبار الخاص بك.

نصائح أمنية وأفضل الممارسات

  • الاستهلاك المستمر لتكنولوجيا المعلومات: ابق على اطلاع دائم بالمقالات البحثية وأحدث التهديدات الصادرة عن MDTI لفهم مشهد التهديدات المتغير باستمرار.
  • التكامل الشامل: ادمج MDTI مع جميع حلول أمان Microsoft لديك (Defender for Endpoint، وDefender for Cloud Apps، وDefender for Identity) وMicrosoft Sentinel لتحقيق أقصى قدر من الرؤية والاستجابة.
  • الأتمتة باستخدام أدلة التشغيل: استخدم أدلة التشغيل في Microsoft Sentinel لأتمتة الاستجابات للحوادث التي تسببها MDTI IoCs، مثل حظر عناوين IP الضارة في جدار الحماية أو عزل الأجهزة المخترقة.
  • الصيد الاستباقي للتهديدات: استخدم بيانات MDTI في استعلامات البحث عن التهديدات في Microsoft Sentinel للبحث بشكل استباقي عن الأنشطة الضارة في سجلاتك.
  • التحقق المنتظم: اختبر قواعد الكشف المستندة إلى تكنولوجيا المعلومات بانتظام للتأكد من أنها تعمل كما هو متوقع وأن IoCs محدثة.
  • وضع سياق IoCs: لا تعتمد فقط على IoCs المعزولة. استخدم السياق الذي توفره MDTI لفهم حملة الهجوم وTTPs والجهات الفاعلة في مجال التهديد وراء IoCs.

استكشاف الأخطاء وإصلاحها الشائعة

  • لا تظهر بيانات MDTI في Sentinel:
    • تحقق من تمكين موصل بيانات MDTI في Azure Sentinel.
    • تأكد من أن ترخيص Microsoft الخاص بك يدعم تكامل MDTI مع Sentinel.
    • قد يكون هناك تأخير في استيعاب البيانات الأولية. انتظر بضع ساعات.
    • تحقق من سجلات تدقيق Azure بحثًا عن الأخطاء المتعلقة بموصل البيانات.
  • لا تؤدي قواعد الكشف المستندة إلى MDTI إلى إنشاء تنبيهات:
    • تحقق من بناء جملة استعلام Kusto الخاص بك. تأكد من الإشارة إلى جدول `ThreatIntelligenceIndicator' بشكل صحيح.
    • تأكد من أن نشاط الاختبار يطابق بالفعل معايير القاعدة الخاصة بك.
    • التحقق من إعدادات قاعدة التحليلات (عتبة التنبيه، والجدولة).
  • لا يتم تحديث بطاقات IoC الموجودة على بوابة MDTI:
    • يتم تحديث MDTI باستمرار. إذا لاحظت بيانات قديمة، فقد يكون ذلك بسبب مشكلة في ذاكرة التخزين المؤقت للمتصفح أو تأخير مؤقت في الخدمة.
    • تحقق من حالة خدمة MDTI على صفحة حالة Azure.
  • مشاكل في الوصول إلى بوابة MDTI:
    • تأكد من أن حسابك لديه التراخيص والأذونات الصحيحة للوصول إلى MDTI.
    • امسح ذاكرة التخزين المؤقت للمتصفح لديك أو حاول الوصول إليها في وضع التصفح المتخفي.

الخلاصة

تعد Microsoft Defender Threat Intelligence أداة لا غنى عنها لتعزيز الدفاعات الإلكترونية لأي مؤسسة. من خلال توفير الوصول إلى واسعة وغنيةمصدرًا لمعلومات التهديدات، فهو يمكّن فرق الأمن من الانتقال من وضع رد الفعل إلى وضع استباقي، واكتشاف التهديدات والاستجابة لها بسرعة ودقة أكبر. يؤدي تكامل MDTI مع النظام البيئي Microsoft Defender وMicrosoft Sentinel إلى إنشاء حل أمني قوي وموحد قادر على الحماية من التهديدات الأكثر تعقيدًا. باستخدام هذا الدليل العملي، سيكون متخصصو الأمان ومسؤولو تكنولوجيا المعلومات مجهزين جيدًا لتكوين معلومات التهديدات الخاصة بـ Microsoft Defender والتحقق من صحتها وإدارتها، مما يعزز مرونة مؤسساتهم ضد الهجمات الإلكترونية.

المراجع:

[1] مايكروسوفت الأمن. ذكاء التهديدات لدى Microsoft Defender. متوفر على: https://www.microsoft.com/en-us/security/business/siem-and-xdr/microsoft-defender-threat-intelligence [2] مايكروسوفت تعلم. ما هي الاستخبارات المتعلقة بالتهديدات في Microsoft Defender (Defender IT)؟. متوفر على: https://learn.microsoft.com/pt-br/defender/threat-intelligence/what-is-microsoft-defender-threat-intelligence-defender-ti [3] مايكروسوفت تعلم. تحليل التهديدات في Microsoft Defender XDR. متوفر على: https://learn.microsoft.com/pt-br/defender-xdr/threat-analytics [4] مايكروسوفت تعلم. تمكين رابط بيانات الاستخبارات الخاصة بالتهديدات من Microsoft. متوفر على: https://learn.microsoft.com/pt-br/azure/sentinel/connect-mdti-data-connector [5] مايكروسوفت تعلم. تكامل Microsoft Defender XDR مع Microsoft Sentinel. متوفر على: https://learn.microsoft.com/pt-br/azure/sentinel/microsoft-365-defender-sentinel-integration [6] مايكروسوفت تعلم. استخدم واجهات برمجة تطبيقات Microsoft Graph لذكاء التهديدات في Microsoft Defender. متوفر على: https://learn.microsoft.com/pt-br/graph/api/resources/security-threatintelligence-overview?view=graph-rest-1.0 [7] مايكروسوفت تعلم. Microsoft Sentinel في بوابة Microsoft Defender. متوفر على: https://learn.microsoft.com/pt-br/azure/sentinel/microsoft-sentinel-defender-portal