إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
عادة ما تغمر فرق إدارة المعلومات الأمنية والأحداث (SIEM) ومركز عمليات الأمان (SOC) التنبيهات والحوادث الأمنية بشكل منتظم، بأحجام كبيرة بحيث يغمرها الموظفون المتاحون. ينتج عن ذلك في كثير من الأحيان حالات يتم فيها تجاهل العديد من التنبيهات ولا يتم التحقق في العديد من الحوادث مما يجعل المنظمة عرضة للهجمات التي تمر دون ملاحظتها.
Microsoft Sentinel، بالإضافة إلى كونه نظام SIEM، هو أيضا نظام أساسي لتنسيق الأمان والأتمتة والاستجابة (SOAR). أحد أغراضها الأساسية هو أتمتة أي مهام إثراء واستجابة ومعالجة متكررة ويمكن التنبؤ بها تقع على عاتق مركز عمليات الأمان والموظفين (SOC/SecOps)، ما يحرر الوقت والموارد لمزيد من التحقيق المتعمق في التهديدات المتقدمة والتتبع لها.
توضح هذه المقالة قدرات SOAR الخاصة ب Microsoft Sentinel، وتوضح كيف أن استخدام قواعد التشغيل التلقائي ودلائل المبادئ استجابة لتهديدات الأمان يزيد من فعالية SOC ويوفر لك الوقت والموارد.
Important
يتوفر Microsoft Sentinel بشكل عام في مدخل Microsoft Defender، بما في ذلك للعملاء الذين ليس لديهم Microsoft Defender XDR أو ترخيص E5.
بدءا من يوليو 2026، ستتم إعادة توجيه جميع العملاء الذين يستخدمون Microsoft Sentinel في مدخل Microsoft Azure إلى مدخل Defender وسيستخدمون Microsoft Sentinel في مدخل Defender فقط. بدءا من يوليو 2025، يتم إلحاق العديد من العملاء الجدد تلقائيا وإعادة توجيههم إلى مدخل Defender.
إذا كنت لا تزال تستخدم Microsoft Sentinel في مدخل Microsoft Azure، نوصيك بالبدء في التخطيط للانتقال إلى مدخل Defender لضمان انتقال سلس والاستفادة الكاملة من تجربة عمليات الأمان الموحدة التي يقدمها Microsoft Defender. لمزيد من المعلومات، راجع حان الوقت للنقل: إيقاف مدخل Microsoft Sentinel Azure لمزيد من الأمان.
قواعد الأتمتة
يستخدم Microsoft Sentinel قواعد التشغيل التلقائي للسماح للمستخدمين بإدارة أتمتة معالجة الحوادث من موقع مركزي. استخدم قواعد الأتمتة من أجل:
- تعيين أتمتة أكثر تقدما للحوادث والتنبيهات، باستخدام أدلة المبادئ
- وضع علامة على الحوادث أو تعيينها أو إغلاقها تلقائيا دون دليل المبادئ
- أتمتة الاستجابات لقواعد تحليلات متعددة في وقت واحد
- إنشاء قوائم بالمهام للمحللين لتنفيذها عند فرز الحوادث والتحقيق فيها ومعالجتها
- التحكم في ترتيب الإجراءات التي يتم تنفيذها
نوصي بتطبيق قواعد الأتمتة عند إنشاء الحوادث أو تحديثها لتبسيط الأتمتة وتبسيط مهام سير العمل المعقدة لعمليات تزامن الحوادث.
لمزيد من المعلومات، راجع أتمتة الاستجابة للمخاطر في Microsoft Sentinel باستخدام قواعد التشغيل التلقائي.
Playbooks
دليل المبادئ هو مجموعة من إجراءات الاستجابة والمعالجة والمنطق الذي يمكن تشغيله من Microsoft Sentinel كروتين. يمكن أن يقوم دليل المبادئ ب:
- المساعدة في أتمتة الاستجابة للمخاطر وتنسيقها
- التكامل مع الأنظمة الأخرى، الداخلية والخارجية على حد سواء
- يتم تكوينه للتشغيل تلقائيا استجابة لتنبيهات أو حوادث معينة، أو تشغيله يدويا عند الطلب، مثل الاستجابة للتنبيهات الجديدة
في Microsoft Sentinel، تستند أدلة المبادئ إلى مهام سير العمل المضمنة في Azure Logic Apps، وهي خدمة سحابية تساعدك على جدولة المهام ومهام سير العمل وأتمتتها وتنسيقها عبر الأنظمة في جميع أنحاء المؤسسة. وهذا يعني أن أدلة المبادئ يمكن أن تستفيد من جميع قوة وتخصيص قدرات تكامل وتزامن Logic Apps وأدوات التصميم سهلة الاستخدام، وقابلية التوسع والموثوقية وطبقة الخدمة لخدمة Azure من المستوى 1.
لمزيد من المعلومات، راجع أتمتة الاستجابة للمخاطر باستخدام أدلة المبادئ في Microsoft Sentinel.
التشغيل التلقائي في مدخل Microsoft Defender
لاحظ التفاصيل التالية حول كيفية عمل الأتمتة ل Microsoft Sentinel في مدخل Defender. إذا كنت عميلا موجودا ينتقل من مدخل Microsoft Azure إلى مدخل Defender، فيمكنك ملاحظة الاختلافات في الطريقة التي تعمل بها الأتمتة في مساحة العمل الخاصة بك بعد الإلحاق بمدخل Defender.
| Functionality | Description |
|---|---|
| قواعد التنفيذ التلقائي مع مشغلات التنبيه | في مدخل Defender، تعمل قواعد الأتمتة مع مشغلات التنبيه فقط على تنبيهات Microsoft Sentinel. لمزيد من المعلومات، راجع مشغل إنشاء التنبيه. |
| قواعد التنفيذ التلقائي مع مشغلات الحوادث | في كل من مدخل Microsoft Azure ومدخل Defender، تتم إزالة خاصية شرط موفر الحادث ، حيث تحتوي جميع الحوادث على Microsoft XDR كموفر الحادث (القيمة الموجودة في حقل ProviderName ). في هذه المرحلة، يتم تشغيل أي قواعد أتمتة موجودة على كل من حوادث Microsoft Sentinel وMicrosoft Defender XDR، بما في ذلك تلك التي يتم فيها تعيين شرط موفر الحوادث إلى Microsoft Sentinel أو Microsoft 365 Defender فقط. ومع ذلك، تعمل قواعد التنفيذ التلقائي التي تحدد اسم قاعدة تحليلات محددة فقط على الحوادث التي تحتوي على تنبيهات تم إنشاؤها بواسطة قاعدة التحليلات المحددة. وهذا يعني أنه يمكنك تعريف خاصية شرط اسم القاعدة التحليلية إلى قاعدة تحليلات موجودة فقط في Microsoft Sentinel للحد من تشغيل القاعدة الخاصة بك على الحوادث فقط في Microsoft Sentinel. أيضا، بعد الإلحاق بمدخل Defender، لم يعد جدول SecurityIncident يتضمن حقل وصف . Therefore: - إذا كنت تستخدم حقل الوصف هذا كشرط لقاعدة أتمتة مع مشغل إنشاء حادث، فلن تعمل قاعدة التنفيذ التلقائي هذه بعد الإلحاق بمدخل Defender. في مثل هذه الحالات، تأكد من تحديث التكوين بشكل مناسب. لمزيد من المعلومات، راجع شروط مشغل الحادث. - إذا كان لديك تكامل تم تكوينه مع نظام تذاكر خارجي، مثل ServiceNow، فسيكون وصف الحادث مفقودا. |
| زمن الانتقال في مشغلات دليل المبادئ | قد يستغرق ظهور أحداث Microsoft Defender في Microsoft Sentinel ما يصل إلى 5 دقائق. إذا كان هذا التأخير موجودا، يتم تأخير تشغيل دليل المبادئ أيضا. |
| التغييرات في أسماء الحوادث الموجودة | يستخدم مدخل Defender محركا فريدا لربط الحوادث والتنبيهات. عند إلحاق مساحة العمل الخاصة بك إلى مدخل Defender، قد يتم تغيير أسماء الحوادث الموجودة إذا تم تطبيق الارتباط. للتأكد من أن قواعد التشغيل التلقائي الخاصة بك تعمل دائما بشكل صحيح، نوصي بالتالي بتجنب استخدام عناوين الحوادث كمعاييي شرط في قواعد التنفيذ التلقائي، واقتراح بدلا من ذلك استخدام اسم أي قاعدة تحليلات أنشأت تنبيهات مضمنة في الحدث، والعلامات إذا كانت هناك حاجة إلى مزيد من التحديد. |
| تم التحديث حسب الحقل | لمزيد من المعلومات، راجع مشغل تحديث الحدث. |
| إنشاء قواعد التشغيل التلقائي مباشرة من حادث | يتم دعم إنشاء قواعد الأتمتة مباشرة من حادث في مدخل Microsoft Azure فقط. إذا كنت تعمل في مدخل Defender، فقم بإنشاء قواعد التنفيذ التلقائي من البداية من صفحة التنفيذ التلقائي . |
| قواعد إنشاء حدث Microsoft | قواعد إنشاء حدث Microsoft غير مدعومة في مدخل Defender. لمزيد من المعلومات، راجع أحداث Microsoft Defender XDR وقواعد إنشاء أحداث Microsoft. |
| تشغيل قواعد الأتمتة من مدخل Defender | قد يستغرق الأمر ما يصل إلى 10 دقائق من وقت تشغيل تنبيه وإنشاء حدث أو تحديثه في مدخل Defender إلى وقت تشغيل قاعدة التنفيذ التلقائي. يرجع هذا التأخير الزمني إلى إنشاء الحدث في مدخل Defender ثم إعادة توجيهه إلى Microsoft Sentinel لقاعدة التنفيذ التلقائي. |
| علامة تبويب أدلة المبادئ النشطة | بعد الإلحاق بمدخل Defender، تعرض علامة التبويب أدلة المبادئ النشطة بشكل افتراضي عامل تصفية محددا مسبقا مع اشتراك مساحة العمل المدمجة. في مدخل Microsoft Azure، أضف بيانات للاشتراكات الأخرى باستخدام عامل تصفية الاشتراك. لمزيد من المعلومات، راجع إنشاء أدلة مبادئ Microsoft Sentinel وتخصيصها من القوالب. |
| تشغيل أدلة المبادئ يدويا عند الطلب | الإجراءات التالية غير مدعومة حاليا في مدخل Defender: |
| يتطلب تشغيل أدلة المبادئ على الحوادث مزامنة Microsoft Sentinel | إذا حاولت تشغيل دليل مبادئ على حدث من مدخل Defender وشاهدت الرسالة "لا يمكن الوصول إلى البيانات المتعلقة بهذا الإجراء. قم بتحديث الشاشة في بضع دقائق." الرسالة، فهذا يعني أن الحدث لم تتم مزامنته بعد مع Microsoft Sentinel. قم بتحديث صفحة الحدث بعد مزامنة الحدث لتشغيل دليل المبادئ بنجاح. |
|
الحوادث: إضافة تنبيهات إلى الحوادث / إزالة التنبيهات من الحوادث |
نظرا لأن إضافة التنبيهات إلى التنبيهات أو إزالتها من الحوادث غير مدعومة بعد إلحاق مساحة العمل الخاصة بك إلى مدخل Defender، فإن هذه الإجراءات غير مدعومة أيضا من داخل أدلة المبادئ. لمزيد من المعلومات، راجع فهم كيفية ربط التنبيهات ودمج الحوادث في مدخل Defender. |
| تكامل Microsoft Defender XDR في مساحات عمل متعددة | إذا قمت بدمج بيانات XDR مع أكثر من مساحة عمل واحدة في مستأجر واحد، الآن استيعاب البيانات فقط في مساحة العمل الأساسية في مدخل Defender. نقل قواعد الأتمتة إلى مساحة العمل ذات الصلة للحفاظ على تشغيلها. |
| الأتمتة ومحرك الارتباط | قد يجمع محرك الارتباط بين التنبيهات من إشارات متعددة في حدث واحد، ما قد يؤدي إلى تلقي الأتمتة للبيانات التي لم تتوقعها. نوصي بمراجعة قواعد التشغيل التلقائي للتأكد من رؤية النتائج المتوقعة. |