تحسين الحماية من التهديدات من خلال دمج عمليات الأمان مع Microsoft Graph Security وAzure Logic Apps
التطبيق على:Azure Logic Apps (Consumption)
باستخدام Azure Logic Apps وموصل أمان Microsoft Graph ، يمكنك تحسين كيفية اكتشاف تطبيقك للتهديدات وحمايتها والاستجابة لها من خلال إنشاء مهام سير عمل تلقائية لدمج منتجات وخدمات وشركاء أمان Microsoft. على سبيل المثال، يمكنك إنشاء أدلة مبادئ Microsoft Defender for Cloud التي تراقب كيانات أمان Microsoft Graph وتديرها، مثل التنبيهات. فيما يلي بعض السيناريوهات التي يدعمها موصل أمان Microsoft Graph:
احصل على تنبيهات استنادا إلى الاستعلامات أو حسب معرف التنبيه. على سبيل المثال، يمكنك الحصول على قائمة تتضمن تنبيهات عالية الخطورة.
تحديث التنبيهات. على سبيل المثال، يمكنك تحديث تعيينات التنبيه أو إضافة تعليقات إلى التنبيهات أو وضع علامة على التنبيهات.
مراقبة وقت إنشاء التنبيهات أو تغييرها عن طريق إنشاء اشتراكات التنبيه (webhooks).
إدارة اشتراكات التنبيه. على سبيل المثال، يمكنك الحصول على اشتراكات نشطة أو تمديد وقت انتهاء صلاحية الاشتراك أو حذف الاشتراكات.
يمكن أن يستخدم سير عمل تطبيق المنطق الإجراءات التي تحصل على استجابات من موصل أمان Microsoft Graph وتجعل هذا الإخراج متاحا للإجراءات الأخرى في سير العمل الخاص بك. يمكنك أيضا أن يكون لديك إجراءات أخرى في سير العمل الخاص بك تستخدم الإخراج من إجراءات موصل أمان Microsoft Graph. على سبيل المثال، إذا تلقيت تنبيهات عالية الخطورة من خلال موصل أمان Microsoft Graph، يمكنك إرسال هذه التنبيهات في رسالة بريد إلكتروني باستخدام موصل Outlook.
لمعرفة المزيد حول أمان Microsoft Graph، راجع نظرة عامة على microsoft Graph واجهة برمجة تطبيقات الأمان. إذا كنت حديث العهد بالتطبيقات المنطقية، فراجع ما هي Azure Logic Apps؟. إذا كنت تبحث عن Power Automate أو Power Apps، فشاهد ما هو Power Automate؟ أو ما هو Power Apps؟
حساب واشتراك Azure. إذا لم يكن لديك اشتراك، فقم بالتسجيل للحصول على حساب Azure مجاني.
لاستخدام موصل أمان Microsoft Graph، يجب أن تكون قد منحت موافقة مسؤول مستأجر Microsoft Entra بشكل صريح، والتي تعد جزءا من متطلبات مصادقة أمان Microsoft Graph. تتطلب هذه الموافقة معرف التطبيق واسم موصل Microsoft Graph Security، والذي يمكنك العثور عليه أيضا في مدخل Microsoft Azure:
الخاصية القيمة اسم التطبيق MicrosoftGraphSecurityConnectorمعرف التطبيق c4829704-0edc-4c3d-a347-7c4a67586f3cلمنح الموافقة على الموصل، يمكن لمسؤول مستأجر Microsoft Entra اتباع الخطوات التالية:
منح موافقة مسؤول المستأجر لتطبيقات Microsoft Entra.
أثناء التشغيل الأول لتطبيقك المنطقي، يمكن لتطبيقك طلب الموافقة من مسؤول مستأجر Microsoft Entra من خلال تجربة الموافقة على التطبيق.
معلومات أساسية حول كيفية إنشاء تطبيقات المنطق
التطبيق المنطقي حيث تريد الوصول إلى كيانات أمان Microsoft Graph، مثل التنبيهات. لاستخدام مشغل أمان Microsoft Graph، تحتاج إلى تطبيق منطقي فارغ. لاستخدام إجراء Microsoft Graph Security، تحتاج إلى تطبيق منطقي يبدأ بالمشغل المناسب للسيناريو الخاص بك.
عند إضافة مشغل أو إجراء يتصل بخدمة أو نظام، وليس لديك اتصال حالي أو نشط، تطالبك Azure Logic Apps بتوفير معلومات الاتصال، والتي تختلف استنادا إلى نوع الاتصال، على سبيل المثال:
- بيانات اعتماد حسابك
- اسم لاستخدامه للاتصال
- اسم الخادم أو النظام
- نوع المصادقة الذي يَجب استخدامه
- سلسلة الاتصال
سجل الدخول إلى مدخل Microsoft Azure، وافتح تطبيقك المنطقي في Logic App Designer، إذا لم يكن مفتوحا بالفعل.
بالنسبة لتطبيقات المنطق الفارغة، أضف المشغل وأي إجراءات أخرى تريدها قبل إضافة إجراء Microsoft Graph Security.
-أو-
بالنسبة لتطبيقات المنطق الموجودة، ضمن الخطوة الأخيرة حيث تريد إضافة إجراء أمان Microsoft Graph، حدد خطوة جديدة.
-أو-
لإضافة إجراء بين الخطوات، حرك المؤشر فوق السهم بين الخطوات. حدد علامة الجمع (+) التي تظهر، وحدد إضافة إجراء.
في مربع البحث، أدخل "microsoft graph security" كعامل تصفية. من قائمة الإجراءات، حدد الإجراء الذي تريده.
سجل الدخول باستخدام بيانات اعتماد أمان Microsoft Graph.
قم بتوفير التفاصيل الضرورية للإجراء المحدد ومتابعة إنشاء سير عمل تطبيق المنطق الخاص بك.
في Azure Logic Apps، يجب أن يبدأ كل تطبيق منطقي بمشغل، والذي يتم تشغيله عند حدوث حدث معين أو عند استيفاء شرط معين. في كل مرة يتم فيها تشغيل المشغل، ينشئ محرك Logic Apps مثيل تطبيق منطقي ويبدأ في تشغيل سير عمل التطبيق.
ملاحظة
عند تشغيل مشغل، يعالج المشغل جميع التنبيهات الجديدة. إذا لم يتم تلقي أي تنبيهات، يتم تخطي تشغيل المشغل. يحدث استقصاء المشغل التالي استنادا إلى الفاصل الزمني للتكرار الذي تحدده في خصائص المشغل.
يوضح هذا المثال كيف يمكنك بدء سير عمل تطبيق منطقي عند إرسال تنبيهات جديدة إلى تطبيقك.
في مدخل Microsoft Azure، أنشئ تطبيقا منطقيا فارغا، والذي يفتح Logic App Designer. يستخدم هذا المثال مدخل Microsoft Azure.
على المصمم، في مربع البحث، أدخل "microsoft graph security" كعامل تصفية. من قائمة المشغلات، حدد هذا المشغل: في جميع التنبيهات الجديدة
في المشغل، قم بتوفير معلومات حول التنبيهات التي تريد مراقبتها. لمزيد من الخصائص، افتح قائمة إضافة معلمات جديدة، وحدد معلمة لإضافة تلك الخاصية إلى المشغل.
| الخاصية | خاصية (JSON) | المطلوب | نوع | الوصف |
|---|---|---|---|---|
| الفترة | interval |
نعم | رقم صحيح | عدد صحيح موجب يصف عدد مرات تشغيل سير العمل استنادا إلى التردد. فيما يلي الحد الأدنى والحد الأقصى للفواصل الزمنية: - الشهر: 1-16 شهرا على سبيل المثال، إذا كان الفاصل الزمني هو 6، والتكرار هو "شهر"، فإن التكرار يكون كل 6 أشهر. |
| التردد | frequency |
نعم | السلسلة | وحدة وقت التكرار: الثانية أو الدقيقة أو الساعة أو اليوم أو الأسبوع أو الشهر |
| المنطقة الزمنية | timeZone |
لا | السلسلة | يسري فقط عندما تحدد وقت بدء لأن هذا المشغل لا يقبل تعويض التوقيت العالمي المتفق عليه. حدد المنطقة الزمنية التي تريد تطبيقها. |
| وقت البدء | startTime |
لا | السلسلة | توفير تاريخ ووقت البدء بهذا التنسيق: YYYY-MM-DDThh:mm:ss إذا قمت بتحديد منطقة زمنية -أو- YYYY-MM-DDThh:mm:ssZ إذا لم تحدد منطقة زمنية على سبيل المثال، إذا كنت تريد 18 سبتمبر 2017 في الساعة 2:00 مساء، فحدد "2017-09-18T14:00:00" وحدد منطقة زمنية مثل توقيت المحيط الهادئ القياسي. أو حدد "2017-09-18T14:00:00Z" دون منطقة زمنية. ملاحظة: يبلغ الحد الأقصى لوقت البدء 49 عاماً في المستقبل ويجب أن يتبع مواصفات وقت التاريخ ISO 8601 في تنسيق وقت التاريخ UTC، ولكن دون تعويض التوقيت العالمي المتفق عليه. إذا لم تحدد منطقة زمنية، يجب إضافة الحرف "Z" في النهاية دون أي مسافات. يشير هذا الحرف "Z" إلى ما يعادل الوقت البحري. بالنسبة للجداول الزمنية البسيطة، يكون وقت البدء هو أول ظهور، بينما بالنسبة للجداول المعقدة، لا يتم إطلاق المشغل في وقت أقرب من وقت البدء. ما هي الطرق التي يمكنني من خلالها استخدام تاريخ ووقت البدء؟ |
عند الانتهاء، على شريط أدوات المصمم، حدد Save.
الآن استمر في إضافة إجراء واحد أو أكثر إلى تطبيق المنطق الخاص بك للمهام التي تريد تنفيذها مع نتائج المشغل.
فيما يلي تفاصيل أكثر تحديدا حول استخدام الإجراءات المختلفة المتوفرة مع موصل Microsoft Graph Security.
لتصفية أحدث النتائج أو فرزها أو الحصول عليها، قم بتوفير معلمات استعلام ODATA التي يدعمها Microsoft Graph فقط.
لا تحدد عنوان URL الأساسي الكامل أو إجراء HTTP، على سبيل المثال، https://graph.microsoft.com/v1.0/security/alertsأو أو GET العملية أو PATCH . فيما يلي مثال محدد يوضح معلمات إجراء الحصول على تنبيهات عندما تريد قائمة ذات تنبيهات عالية الخطورة:
Filter alerts value as Severity eq 'high'
لمزيد من المعلومات حول الاستعلامات التي يمكنك استخدامها مع هذا الموصل، راجع الوثائق المرجعية لتنبيهات أمان Microsoft Graph. لإنشاء تجارب محسنة مع هذا الموصل، تعرف على المزيد حول تنبيهات خصائص المخطط التي يدعمها الموصل.
| الإجراء | الوصف |
|---|---|
| الحصول على تنبيهات | احصل على التنبيهات التي تمت تصفيتها استنادا إلى خاصية تنبيه واحدة أو أكثر، على سبيل المثال، Provider eq 'Azure Security Center' or 'Palo Alto Networks'. |
| الحصول على تنبيه حسب المعرف | احصل على تنبيه محدد استنادا إلى معرف التنبيه. |
| تحديث التنبيه | تحديث تنبيه معين استنادا إلى معرف التنبيه. للتأكد من تمرير الخصائص المطلوبة والقابلة للتحرير في طلبك، راجع الخصائص القابلة للتحرير للتنبيهات. على سبيل المثال، لتعيين تنبيه لمحلل أمان حتى يتمكن من التحقيق، يمكنك تحديث الخاصية المعينة للتنبيه إلى . |
يدعم Microsoft Graph الاشتراكات أو خطافات الويب. للحصول على الاشتراكات أو تحديثها أو حذفها، قم بتوفير معلمات استعلام ODATA التي يدعمها Microsoft Graph لإنشاء كيان Microsoft Graph وتضمينها security/alerts متبوعة باستعلام ODATA.
لا تقم بتضمين عنوان URL الأساسي، على سبيل المثال، https://graph.microsoft.com/v1.0. بدلا من ذلك، استخدم التنسيق في هذا المثال:
security/alerts?$filter=status eq 'NewAlert'
| الإجراء | الوصف |
|---|---|
| إنشاء اشتراكات | إنشاء اشتراك يعلمك بأي تغييرات. يمكنك تصفية هذا الاشتراك للحصول على أنواع التنبيهات المحددة التي تريدها. على سبيل المثال، يمكنك إنشاء اشتراك يعلمك بتنبيهات عالية الخطورة. |
| الحصول على اشتراكات نشطة | احصل على اشتراكات غير منتهية. |
| تحديث الاشتراك |
تحديث اشتراك من خلال توفير معرف الاشتراك. على سبيل المثال، لتوسيع اشتراكك، يمكنك تحديث خاصية الاشتراك expirationDateTime . |
| حذف الاشتراك | احذف اشتراكا من خلال توفير معرف الاشتراك. |
لتصفية أحدث النتائج أو فرزها أو الحصول عليها، قم بتوفير معلمات استعلام ODATA التي يدعمها Microsoft Graph فقط.
لا تحدد عنوان URL الأساسي الكامل أو إجراء HTTP، على سبيل المثال، https://graph.microsoft.com/beta/security/tiIndicatorsأو أو GET العملية أو PATCH . فيما يلي مثال محدد يوضح المعلمات لإجراء Get tiIndicators عندما تريد قائمة تحتوي على DDoS نوع التهديد:
Filter threat intelligence indicator value as threatType eq 'DDoS'
لمزيد من المعلومات حول الاستعلامات التي يمكنك استخدامها مع هذا الموصل، راجع "معلمات الاستعلام الاختيارية" في الوثائق المرجعية لمؤشر التحليل الذكي للمخاطر في Microsoft Graph Security. لبناء تجارب محسنة مع هذا الموصل، تعرف على المزيد حول مؤشر تحليل ذكي للمخاطر لخصائص المخطط الذي يدعمه الموصل.
| الإجراء | الوصف |
|---|---|
| الحصول على مؤشرات التحليل الذكي للمخاطر | احصل على tiIndicators التي تمت تصفيتها استنادا إلى خاصية واحدة أو أكثر من خصائص tiIndicator، على سبيل المثال، threatType eq 'MaliciousUrl' or 'DDoS' |
| الحصول على مؤشر التحليل الذكي للمخاطر حسب المعرف | احصل على tiIndicator محدد استنادا إلى معرف tiIndicator. |
| إنشاء مؤشر التحليل الذكي للمخاطر | إنشاء tiIndicator جديد عن طريق النشر إلى مجموعة tiIndicators. للتأكد من تمرير الخصائص المطلوبة في طلبك، راجع الخصائص المطلوبة لإنشاء tiIndicator. |
| إرسال مؤشرات استخباراتية متعددة للمخاطر | إنشاء tiIndicators جديدة متعددة عن طريق نشر مجموعة tiIndicators. للتأكد من تمرير الخصائص المطلوبة في طلبك، راجع الخصائص المطلوبة لإرسال tiIndicators متعددة. |
| تحديث مؤشر التحليل الذكي للمخاطر | تحديث tiIndicator معين استنادا إلى معرف tiIndicator. للتأكد من تمرير الخصائص المطلوبة والقابلة للتحرير في طلبك، راجع الخصائص القابلة للتحرير ل tiIndicator. على سبيل المثال، لتحديث الإجراء لتطبيقه إذا تمت مطابقة المؤشر من داخل أداة أمان targetProduct، يمكنك تحديث خاصية الإجراء tiIndicator. |
| تحديث مؤشرات التحليل الذكي للمخاطر المتعددة | تحديث العديد من tiIndicators. للتأكد من تمرير الخصائص المطلوبة في طلبك، راجع الخصائص المطلوبة لتحديث tiIndicators متعددة. |
| حذف مؤشر التحليل الذكي للمخاطر حسب المعرف | حذف tiIndicator معين استنادا إلى معرف tiIndicator. |
| حذف مؤشرات التحليل الذكي للمخاطر المتعددة حسب المعرف | احذف العديد من tiIndicators بواسطة معرفاتها. للتأكد من تمرير الخصائص المطلوبة في طلبك، راجع الخصائص المطلوبة لحذف tiIndicators متعددة بواسطة المعرف. |
| حذف مؤشرات التحليل الذكي للمخاطر المتعددة حسب المعرف الخارجي | احذف tiIndicators متعددة بواسطة المعرف الخارجي. للتأكد من تمرير الخصائص المطلوبة في طلبك، راجع الخصائص المطلوبة لحذف tiIndicators متعددة بواسطة معرفات خارجية. |
للحصول على تفاصيل فنية حول المشغلات والإجراءات والحدود، والتي يتم وصفها بواسطة وصف OpenAPI للموصل (المعروف سابقا ب Swagger)، راجع الصفحة المرجعية للموصل.