مراقبة الأحداث في الوقت الفعلي باستخدام Microsoft 365 Security Center

مراقبة الأحداث في الوقت الفعلي باستخدام Microsoft 365 Security Center

03/08/2024

تهدف هذه المقالة الفنية والتعليمية إلى توجيه محللي الأمان ومسؤولي تكنولوجيا المعلومات ومهندسي الأنظمة في مراقبة وإدارة حوادث الأمان في الوقت الفعلي باستخدام بوابة Microsoft 365 Defender (المعروفة سابقًا باسم Microsoft 365 Security Center). تعمل هذه البوابة على توحيد إمكانات الرؤية والاستجابة للحوادث لحلول أمان Microsoft المتعددة، مثل Defender for Endpoint وDefender for Office 365 وDefender for Identity وDefender for Cloud Apps، مما يوفر منصة مركزية لعمليات الأمان [1].

مقدمة

في بيئة التهديدات السيبرانية دائمة التطور، تعد القدرة على اكتشاف الحوادث الأمنية والتحقيق فيها والاستجابة لها بسرعة وكفاءة أمرًا بالغ الأهمية لتقليل تأثير الهجوم. تعمل بوابة Microsoft 365 Defender كمركز قيادة وتحكم، حيث تربط التنبيهات الأمنية من منتجات Microsoft المختلفة بحوادث متماسكة. يتيح ذلك لفرق SecOps (العمليات الأمنية) الحصول على رؤية شاملة للهجوم، وفهم سلسلة القتل الخاصة به، واتخاذ الإجراءات التصحيحية بشكل أكثر فعالية [2].

سيغطي هذا الدليل الإرشادي كيفية التنقل في مدخل Microsoft 365 Defender، ومراقبة قائمة انتظار الحوادث، والتحقق من التنبيهات المرتبطة، وإدارة دورة حياة الحادث. سيتم توفير إرشادات خطوة بخطوة وأمثلة استخدام الواجهة وطرق التحقق من الصحة حتى يتمكن القارئ من تحسين عمليات الأمان الخاصة به وتحسين قدرات الاستجابة للحوادث في بيئة Microsoft 365 الخاصة به.

لماذا بوابة Microsoft 365 Defender لمراقبة الحوادث؟

  • الرؤية الموحدة: تجميع التنبيهات الأمنية من منتجات Defender المتعددة (Endpoint، وOffice 365، وIdentity، وCloud Apps) في لوحة معلومات واحدة.
  • الارتباط التلقائي: يربط التنبيهات ذات الصلة تلقائيًا عبر الحوادث، مما يوفر سياقًا أكثر ثراءً حول الهجوم.
  • التحقيق الشامل: يوفر أدوات تحقيق متعمقة، بما في ذلك الجدول الزمني للأحداث والرسوم البيانية للهجوم ومعلومات تفصيلية حول الكيانات المتضررة.
  • الاستجابة المنسقة: تتيح لفرق الأمان الاستجابة للحوادث مركزيًا، من خلال الإجراءات التلقائية واليدوية.
  • أتمتة الاستجابة (SOAR): تتكامل مع إمكانات SOAR لأتمتة مهام الاستجابة للحوادث، مما يقلل متوسط ​​وقت الاستجابة (MTTR).

المتطلبات الأساسية

لمراقبة الحوادث في الوقت الحقيقي باستخدام مدخل Microsoft 365 Defender، ستحتاج إلى العناصر التالية:

  1. الترخيص: التراخيص المناسبة لمنتجات Microsoft 365 Defender (مثل Microsoft 365 E5 Security وMicrosoft 365 E5) التي تتضمن الوصول إلى البوابة وإمكانيات الكشف [3].
  2. الوصول الإداري: حساب يتمتع بأذونات مسؤول الأمان أو مشغل الأمان أو قارئ الأمان في مدخل Microsoft 365 Defender (https://security.microsoft.com).
  3. منتجات Defender النشطة: يجب أن يكون منتج واحد على الأقل من منتجات Defender (Defender for Endpoint، وDefender for Office 365، وDefender for Identity، وDefender for Cloud Apps) نشطًا ومهيأًا لإنشاء التنبيهات.
  4. مصادر البيانات المتصلة: يجب استيعاب البيانات الأمنية ومراقبتها بواسطة منتجات Defender المعنية.

خطوة بخطوة: مراقبة وإدارة الحوادث

دعنا نستكشف واجهة مدخل Microsoft 365 Defender والوظائف الأساسية لمراقبة الحوادث وإدارتها.

1. الوصول إلى بوابة Microsoft 365 Defender

  1. افتح المتصفح الخاص بك وانتقل إلى https://security.microsoft.com.
  2. قم بتسجيل الدخول باستخدام حساب لديه الأذونات اللازمة.

2. التنقل في قائمة انتظار الحوادث

قائمة انتظار الحوادث هي النقطة المركزية لفرق SecOps. هذا هو المكان الذي يتم فيه تجميع التنبيهات ذات الصلة معًا لتوفير عرض سياقي للهجوم.

  1. في جزء التنقل الأيسر، حدد الحوادث والتنبيهات > الحوادث.
  2. ستعرض قائمة انتظار الحوادث قائمة بجميع الأحداث المكتشفة، مع معلومات مثل الخطورة والحالة والكيانات المتضررة وآخر نشاط.

3. تحليل حادثة محددة

عند النقر فوق حادث ما، سيكون لديك إمكانية الوصول إلى عرض تفصيلي يتضمن جميع التنبيهات والأجهزة المرتبطةالمستخدمين والمستخدمين والملفات المتضررة.

  1. في قائمة انتظار الحادث، انقر فوق الاسم للحادث لفتح صفحة التفاصيل الخاصة به.
  2. تتكون صفحة تفاصيل الحادث من عدة علامات تبويب:
    • نظرة عامة: تقدم ملخصًا للحادث، بما في ذلك خطورته وحالته وتصنيفه والمستخدمين والأجهزة المتضررة.
    • التنبيهات: تسرد جميع التنبيهات المرتبطة بهذه الحادثة. يمكنك النقر على كل تنبيه لرؤية تفاصيله المحددة.
    • الأجهزة: تظهر جميع الأجهزة المشاركة في الحادث.
    • المستخدمون: قوائم المستخدمين المتأثرين أو المشاركين.
    • صناديق البريد: تعرض صناديق البريد المتأثرة (إذا كانت هناك تنبيهات Defender لـ Office 365).
    • التحقيقات: يعرض التحقيقات الآلية التي تم البدء بها استجابة للحادث.
    • الأدلة والاستجابة: تعرض الأدلة التي تم جمعها (الملفات وعناوين IP وعناوين URL) وإجراءات الاستجابة الموصى بها أو المتخذة.
    • الرسم البياني: تمثيل مرئي لسلسلة الهجوم، يوضح العلاقة بين التنبيهات والكيانات والأحداث.

4. إدارة دورة حياة الحادث

تتضمن إدارة الحوادث التعيين والتصنيف والحل.

  1. تعيين الحادث: في صفحة تفاصيل الحادث، في قسم نظرة عامة، يمكنك تعيين الحادث لمحلل محدد. انقر فوق تعيين إلى وحدد مستخدمًا.
  2. تغيير الحالة: قم بتغيير الحالة للحادث مع تقدم التحقيق (على سبيل المثال، جديد، قيد التقدم، تم الحل).
  3. تصنيف الحادث: عند حل حادث ما، يجب عليك تصنيفه لأغراض التعلم والإبلاغ. انقر على التصنيف وحدد:
    • إيجابي حقيقي (إذا كان يمثل تهديدًا حقيقيًا)
    • إيجابية كاذبة (إذا كان التنبيه غير صحيح)
    • "النشاط المتوقع" (إذا كان النشاط المشروع هو الذي أدى إلى تشغيل التنبيه)
    • أضف تعليقًا لتوثيق القرار.
  4. إضافة تعليقات: استخدم قسم التعليقات والسجل لتسجيل خطوات التحقيق والنتائج والإجراءات المتخذة.

5. تنفيذ إجراءات الاستجابة

بناءً على التحقيق، يمكنك اتخاذ إجراءات الاستجابة مباشرة من البوابة.

  1. في علامة التبويب الأجهزة أو المستخدمون داخل الحادث، حدد الكيان المتأثر (على سبيل المثال، جهاز).
  2. تشمل الإجراءات المتاحة ما يلي:
    • عزل الجهاز: يفصل الجهاز عن الشبكة لاحتواء التهديد.
    • تقييد تنفيذ التطبيق: يمنع تشغيل التطبيقات غير المصرح بها.
    • تشغيل فحص مكافحة الفيروسات: يبدأ الفحص الكامل للجهاز.
    • جمع حزمة التحقيق: يجمع السجلات وبيانات الطب الشرعي من الجهاز.
    • تعطيل المستخدم: تعطيل حساب المستخدم في Azure AD.
    • إعادة تعيين كلمة مرور المستخدم: يفرض إعادة تعيين كلمة مرور المستخدم.

التحقق والاختبار

للتحقق من صحة مراقبة الحوادث، من المهم محاكاة سيناريو الهجوم والتحقق من أن مدخل Microsoft 365 Defender يكتشفه ويربطه بشكل صحيح.

1. محاكاة هجوم (مثال: اختبار EICAR)

استخدم ملف EICAR (المعهد الأوروبي لأبحاث مكافحة فيروسات الكمبيوتر) لمحاكاة اكتشاف البرامج الضارة (كما هو موضح في المادة 1 - Defender for Endpoint).

  1. على جهاز مثبت عليه Defender for Endpoint، حاول تنزيل أو إنشاء ملف EICAR (https://www.eicar.org/download/eicar.com.txt).
  2. يجب على Defender for Endpoint اكتشاف الملف وحظره.
  3. في مدخل Microsoft 365 Defender، انتقل إلى الحوادث والتنبيهات > التنبيهات.
  4. يجب أن تشاهد تنبيهًا يتعلق باكتشاف EICAR.
  5. تحقق مما إذا كان هذا التنبيه مرتبطًا بحادث حالي أو ما إذا كان قد تم إنشاء حادث جديد.

2. التحقق من وقت الاستجابة والارتباط

راقب الوقت الذي يستغرقه إنشاء تنبيه وربطه بحادث ما بعد المحاكاة. يساعدك هذا على فهم فعالية المراقبة في الوقت الفعلي.

نصائح أمنية وأفضل الممارسات

  • دمج جميع المصادر: قم بتوصيل أكبر عدد ممكن من مصادر بيانات ومنتجات Defender إلى مدخل Microsoft 365 Defender للحصول على العرض الأكثر اكتمالاً وأفضل ارتباط للحوادث.
  • تحديد الأدوار والمسؤوليات: حدد بوضوح المسؤول عن مراقبة الحوادث والتحقيق فيها والاستجابة لها.
  • أتمتة الاستجابات البسيطة: استخدم المواردأدوات التشغيل الآلي (دليل التشغيل) للاستجابة تلقائيًا لأنواع التنبيهات منخفضة الخطورة أو لجمع معلومات إضافية حول التنبيهات عالية الخطورة.
  • البقاء على اطلاع: ابق على اطلاع بالميزات والإمكانيات الجديدة في Microsoft 365 Defender حيث يتم تحسين النظام الأساسي باستمرار.
  • التدريب المستمر: استثمر في تدريب فريق SecOps الخاص بك حتى يكونوا على دراية بأحدث الأدوات وأساليب الهجوم.
  • تمارين المحاكاة: قم بإجراء تمارين محاكاة الحوادث بانتظام لاختبار فعالية العمليات والأدوات لديك.

استكشاف الأخطاء وإصلاحها الشائعة

  • لا تظهر التنبيهات في البوابة: تأكد من أن منتجات Defender ذات الصلة نشطة وتم تكوينها بشكل صحيح. تأكد من أن موصلات البيانات لديك تعمل وتقوم بإرسال السجلات. تحقق من إعدادات قاعدة الكشف على منتجات Defender الفردية.
  • تنبيهات غير مرتبطة عبر الأحداث: يرتبط Microsoft 365 Defender تلقائيًا. إذا لم يتم تجميع التنبيهات ذات الصلة معًا، فقد يكون هناك تأخير في استيعاب السجل أو قد لا تكون المعلومات السياقية (المستخدم، الجهاز، IP) كافية للارتباط التلقائي. تحقق من سجلات التدقيق ووقت الاستيعاب.
  • مشكلات في أداء البوابة الإلكترونية: امسح ذاكرة التخزين المؤقت للمتصفح لديك، أو حاول استخدام متصفح مختلف، أو تحقق من اتصالك بالشبكة. في حالات كميات البيانات الكبيرة، قد يستغرق تحميل الواجهة بعض الوقت.
  • فشل إجراءات الاستجابة: تحقق من أذونات الحساب الذي يحاول تنفيذ الإجراء. تأكد من أن الجهاز أو المستخدم المستهدف متصل بالإنترنت ويمكن الوصول إليه عن طريق خدمات Defender.

الخلاصة

تعد بوابة Microsoft 365 Defender أداة لا غنى عنها لأي مؤسسة تسعى إلى استراتيجية أمان استباقية وتفاعلية فعالة. ومن خلال مركزية مراقبة الحوادث، وربط التنبيهات من مصادر متعددة، وتوفير إمكانات التحقيق والاستجابة الشاملة، فإنه يمكّن فرق SecOps من حماية بيئاتهم في الوقت الفعلي. إن تنفيذ هذه المنصة واستخدامها بشكل فعال لا يؤدي إلى تحسين رؤية التهديدات فحسب، بل يقلل أيضًا من وقت الاستجابة بشكل كبير، مما يعزز مرونة المؤسسة السيبرانية ضد الهجمات الأكثر تطورًا.

المراجع:

[1] مايكروسوفت تعلم. بوابة Microsoft 365 Defender. متوفر على: https://learn.microsoft.com/pt-br/microsoft-365/security/defender/microsoft-365-defender-portal?view=o365-worldwide [2] مايكروسوفت تعلم. نظرة عامة على الحوادث في Microsoft 365 Defender. متوفر على: https://learn.microsoft.com/pt-br/microsoft-365/security/defender/incidents-overview?view=o365-worldwide [3] مايكروسوفت تعلم. متطلبات ترخيص Microsoft 365 Defender. متوفر على: https://learn.microsoft.com/pt-br/microsoft-365/security/defender/requirements?view=o365-worldwide