البرنامج التعليمي: استخراج كيانات الحادث بإجراءات غير أصلية

يثري تعيين الكيان التنبيهات والحوادث بمعلومات ضرورية لأي عمليات تحقيق وإجراءات علاجية تلي ذلك.

تتضمن أدلة مبادئ Microsoft Sentinel هذه الإجراءات الأصلية لاستخراج معلومات الكيان:

• Accounts
• DNS
• تجزئة الملفات
• Hosts
• IPs
• URLs

بالإضافة إلى هذه الإجراءات، يحتوي تعيين كيان القاعدة التحليلية على أنواع الكيانات التي ليست إجراءات أصلية، مثل البرامج الضارة، والعملية، ومفتاح التسجيل، وعلبة البريد، والمزيد. في هذا البرنامج التعليمي، ستتعلم كيفية العمل مع الإجراءات غير الأصلية باستخدام إجراءات مضمنة مختلفة لاستخراج القيم ذات الصلة.

في هذا البرنامج التعليمي، تتعلم كيفية:

• إنشاء دليل مبادئ مع مشغل حدث وتشغيله يدويا على الحدث.
• تهيئة متغير صفيف.
• تصفية نوع الكيان المطلوب من أنواع الكيانات الأخرى.
• تحليل النتائج في ملف JSON.
• إنشاء القيم كمحتوى ديناميكي للاستخدام في المستقبل.

Important

يتوفر Microsoft Sentinel بشكل عام في مدخل Microsoft Defender، بما في ذلك للعملاء الذين ليس لديهم Microsoft Defender XDR أو ترخيص E5.

بدءا من يوليو 2026، ستتم إعادة توجيه جميع العملاء الذين يستخدمون Microsoft Sentinel في مدخل Microsoft Azure إلى مدخل Defender وسيستخدمون Microsoft Sentinel في مدخل Defender فقط. بدءا من يوليو 2025، يتم إلحاق العديد من العملاء الجدد تلقائيا وإعادة توجيههم إلى مدخل Defender.

إذا كنت لا تزال تستخدم Microsoft Sentinel في مدخل Microsoft Azure، نوصيك بالبدء في التخطيط للانتقال إلى مدخل Defender لضمان انتقال سلس والاستفادة الكاملة من تجربة عمليات الأمان الموحدة التي يقدمها Microsoft Defender. لمزيد من المعلومات، راجع حان الوقت للنقل: إيقاف مدخل Microsoft Sentinel Azure لمزيد من الأمان.

Prerequisites

لإكمال هذا البرنامج التعليمي، تأكد من أن لديك ما يلي:

• اشتراك Azure. قم بإنشاء حساب مجاني إذا لم يكن لديك حساب بالفعل.

• مستخدم Azure مع الأدوار التالية المعينة على الموارد التالية:

  • Microsoft Sentinel Contributor على مساحة عمل Log Analytics حيث يتم نشر Microsoft Sentinel.
  • Logic App Contributor، والمالك أو ما يعادله، على أي مجموعة موارد ستحتوي على دليل المبادئ الذي تم إنشاؤه في هذا البرنامج التعليمي.

• حساب VirusTotal (مجاني) يكفي لهذا البرنامج التعليمي. يتطلب تنفيذ الإنتاج حساب VirusTotal Premium.

إنشاء دليل مبادئ باستخدام مشغل حدث

1. بالنسبة إلى Microsoft Sentinel في مدخل Defender، حددأتمتة>>. بالنسبة إلى Microsoft Sentinel في مدخل Microsoft Azure، حدد صفحةأتمتة>.

2. في صفحة التنفيذ التلقائي ، حدد إنشاء>دليل المبادئ باستخدام مشغل الحادث.

3. في معالج إنشاء دليل المبادئ ، ضمن الأساسيات، حدد الاشتراك ومجموعة الموارد، وقم بتسمية دليل المبادئ.

4. حدد Next: Connections >.

   ضمن الاتصالات، يجب أن يكون اتصال Microsoft Sentinel - الاتصال بالهوية المدارة مرئيا. على سبيل المثال:

   

5. حدد Next: Review and create >.

6. ضمن Review and create، حدد Create and continue to designer.

   يفتح مصمم Logic app تطبيقا منطقيا باسم دليل المبادئ الخاص بك.

   

تهيئة متغير صفيف

1. في مصمم تطبيق Logic ، ضمن الخطوة حيث تريد إضافة متغير ، حدد خطوة جديدة.

2. ضمن اختيار عملية، في مربع البحث، اكتب المتغيرات كعامل تصفية. من قائمة الإجراءات، حدد تهيئة المتغير.

3. قدم هذه المعلومات حول المتغير الخاص بك:

   1. بالنسبة لاسم المتغير، استخدم الكيانات.

   2. بالنسبة للنوع، حدد صفيف.

   3. بالنسبة للقيمة، مرر مؤشر الماوس فوق حقل القيمة ، وحدد fx في مجموعة الأيقونات الزرقاء على اليسار.

      

   4. في مربع الحوار الذي يفتح، حدد علامة التبويب المحتوى الديناميكي ، وفي مربع البحث، اكتب الكيانات.

   5. حدد الكيانات من القائمة وحدد إضافة.

      

تحديد حدث موجود

1. في Microsoft Sentinel، انتقل إلى الحوادث وحدد الحادث الذي تريد تشغيل دليل المبادئ عليه.

2. في صفحة الحدث على اليمين، حدد Actions > Run playbook (Preview).

3. ضمن أدلة المبادئ، بجوار دليل المبادئ الذي قمت بإنشائه، حدد تشغيل.

   عند تشغيل دليل المبادئ، يتم تشغيل رسالة Playbook بنجاح مرئية في أعلى اليمين.

4. حدد عمليات التشغيل، وبجوار دليل المبادئ الخاص بك، حدد عرض التشغيل.

   صفحة تشغيل تطبيق المنطق مرئية.

5. ضمن تهيئة المتغير، تكون حمولة العينة مرئية ضمن القيمة. لاحظ حمولة العينة لاستخدامها لاحقا.

   

تصفية نوع الكيان المطلوب من أنواع الكيانات الأخرى

1. انتقل مرة أخرى إلى صفحة التنفيذ التلقائي وحدد دليل المبادئ الخاص بك.

2. ضمن الخطوة التي تريد إضافة متغير فيها، حدد خطوة جديدة.

3. ضمن اختيار إجراء، في مربع البحث، أدخل صفيف التصفية كعامل تصفية. من قائمة الإجراءات، حدد عمليات البيانات.

   

4. قدم هذه المعلومات حول صفيف التصفية:

   1. ضمن من>المحتوى الديناميكي، حدد متغير الكيانات الذي قمت بتهيئته مسبقا.

   2. حدد الحقل الأول Choose a value (على اليسار)، وحدد Expression.

   3. الصق عنصر القيمة ()؟[' kind']، وحدد موافق.

      

   4. اترك القيمة مساوية للقيمة (لا تقم بتعديلها).

   5. في الحقل الثاني Choose a value (على اليمين)، اكتب Process. يجب أن يكون هذا مطابقا تماما للقيمة في النظام.

      Note

      هذا الاستعلام حساس لحالة الأحرف. تأكد من kind أن القيمة تطابق القيمة في حمولة العينة. راجع حمولة العينة من عند إنشاء دليل المبادئ.

      

تحليل النتائج إلى ملف JSON

1. في تطبيق المنطق الخاص بك، ضمن الخطوة التي تريد إضافة متغير فيها، حدد خطوة جديدة.

2. حدد عمليات> البياناتتحليل JSON.

   

3. قدم هذه المعلومات حول العملية:

   1. حدد المحتوى، وضمنمصفوفة تصفية المحتوى >الديناميكي، حدد النص الأساسي.

      

   2. ضمن المخطط، الصق مخطط JSON بحيث يمكنك استخراج القيم من صفيف. انسخ حمولة العينة التي قمت بإنشائها عند إنشاء دليل المبادئ.

      

   3. ارجع إلى دليل المبادئ، وحدد Use sample payload لإنشاء مخطط.

      

   4. الصق الحمولة. إضافة قوس مربع فتح ([) في بداية المخطط وإغلاقها في نهاية المخطط ].

      

      

   5. حدد تم.

استخدام القيم الجديدة كمحتوى ديناميكي للاستخدام في المستقبل

يمكنك الآن استخدام القيم التي قمت بإنشائها كمحتوى ديناميكي لمزيد من الإجراءات. على سبيل المثال، إذا كنت تريد إرسال بريد إلكتروني يحتوي على بيانات العملية، فيمكنك العثور على إجراء تحليل JSON ضمن المحتوى الديناميكي، إذا لم تقم بتغيير اسم الإجراء.

تأكد من حفظ دليل المبادئ

تأكد من حفظ دليل المبادئ، ويمكنك الآن استخدام دليل المبادئ لعمليات SOC.

الخطوات التالية

تقدم إلى المقالة التالية لمعرفة كيفية إنشاء مهام الحوادث وتنفيذها في Microsoft Sentinel باستخدام أدلة المبادئ.

إنشاء مهام الحوادث وتنفيذها في Microsoft Sentinel باستخدام أدلة المبادئ