أتمتة استجابات المعالجة

قبل البدء:

• تحتاج إلى دور مسؤول الأمان أو المالك في مجموعة الموارد.

• يجب أن يكون لديك أيضا أذونات كتابة للمورد الهدف.

• للعمل مع مهام سير عمل Azure Logic Apps، يجب أن يكون لديك أيضًا أدوار / أذونات تطبيقات Logic التالية:

  • مشغل Logic App مطلوبة أو الوصول للقراءة/المشغل لتطبيق المنطق (لا يمكن لهذا الدور إنشاء تطبيقات منطقية أو تحريرها؛ تشغيل التطبيقات الموجودة فقط)
  • أذونات Logic App Contributor مطلوبة لإنشاء التطبيق المنطقي وتعديله.

• إذا كنت تريد استخدام موصلات Logic Apps، فقد تحتاج إلى بيانات اعتماد أخرى لتسجيل الدخول إلى الخدمات الخاصة بها (على سبيل المثال، مثيلات Outlook/Teams/Slack).

اتبع الخطوات التالية:

1. من الشريط الجانبي Defender for Cloud، حدد أتمتة سير العمل.

   

2. من هذه الصفحة، قم بإنشاء قواعد أتمتة جديدة أو تمكينها أو تعطيلها أو حذفها. يشير النطاق إلى الاشتراك حيث يتم نشر أتمتة سير العمل.

3. لتحديد سير عمل جديد، حدد إضافة أتمتة سير العمل. يفتح جزء الخيارات للأتمتة الجديدة الخاصة بك.

   

4. إدخل التالي:

   • اسم ووصف للأتمتة.

   • المشغلات التي ستبدأ سير العمل التلقائي هذا. على سبيل المثال، قد ترغب في تشغيل تطبيق المنطق الخاص بك عند إنشاء تنبيه أمان يحتوي على "SQL".

     إذا كان المشغل عبارة عن توصية لها "توصيات فرعية"، على سبيل المثال، يجب معالجة نتائج تقييم ثغرة أمنية في قواعد بيانات SQL الخاصة بك، فلن يتم تشغيل التطبيق المنطقي لكل اكتشاف أمني جديد؛ فقط عندما تتغير حالة التوصية الرئيسية.

5. حدد تطبيق منطق الاستهلاك الذي سيتم تشغيله عند استيفاء شروط المشغل.

6. من قسم Actions، حدد زيارة صفحة Logic Apps لبدء عملية إنشاء تطبيق المنطق.

   

   سيتم نقلك إلى Azure Logic Apps.

7. حدد (+) إضافة.

   

8. واملأ جميع الحقول المطلوبة وحدد Review + Create.

   ستظهر الرسالة التوزيع قيد التقدم. وانتظر حتى يظهر إعلام اكتمال النشر وحدد الانتقال إلى المورد من الإعلام.

9. ثم راجع البيانات التي أدخلتها وحدد إنشاء مشروع.

   في تطبيق المنطق الجديد، يمكنك الاختيار من بين قوالب مُضمنة، محددة مسبقًا من فئة الأمان. أو يمكنك تحديد تدفق مخصص من الأحداث التي تحدث عند تشغيل هذه العملية.

   تلميح

   في بعض الأحيان في تطبيق منطقي، يتم تضمين المعلمات في الموصل كجزء من سلسلة وليس في مجالها الخاص. للحصول على مثال حول كيفية استخراج المعلمات، راجع الخطوة رقم 14 من العمل مع معلمات التطبيق المنطقي أثناء إنشاء Microsoft Defender لأتمتة سير العمل السحابية.

يدعم مصمم التطبيق المنطقي مشغّلات Defender for Cloud التالية:

• عندما يتم إنشاء أو تشغيل توصية Microsoft Defender for Cloud - إذا كان تطبيقك المنطقي يعتمد على توصية تم إهمالها أو استبدالها، فستتوقف أتمتة العمل وستحتاج إلى تحديث المشغل. لتعقب التغييرات على التوصيات، استخدم ملاحظات حول الإصدار.

• عندما يتم إنشاء Defender for Cloud Alert أو تشغيله - يمكنك تخصيص المشغل بحيث يرتبط فقط بالتنبيهات بمستويات الخطورة التي تهمك.

• عند إنشاء أو تشغيل تقييم الامتثال التنظيمي لـ Defender for Cloud - قم بتشغيل الأتمتة بناءً على تحديثات تقييمات الامتثال التنظيمي.

1. بعد تحديد تطبيق المنطق، ارجع إلى جزء تعريف أتمتة سير العمل ("Add workflow automation").

2. حدد تحديث للتأكد من توفر تطبيق المنطق الجديد للتحديد.

3. حدد تطبيق المنطق الخاص بك واحفظ الأتمتة. تعرض القائمة المنسدلة للتطبيق المنطقي فقط تلك التي تدعم موصلات Defender for Cloud المذكورة أعلاه.

يمكنك أيضا تشغيل تطبيقات المنطق يدويا عند عرض أي تنبيه أو توصية أمان.

لتشغيل تطبيق منطقي يدويا، افتح تنبيها أو توصية وحدد Trigger logic app.

تكوين أتمتة سير العمل على نطاق واسع

يمكن أن تؤدي أتمتة عمليات المراقبة والاستجابة للأحداث في مؤسستك إلى تحسين الوقت المستغرق للتحقيق في الأحداث الأمنية والتخفيف من حدتها.

لنشر تكوينات الأتمتة عبر مؤسستك، استخدم سياسات Azure "DeployIfNotExist" الموصوفة أدناه لإنشاء إجراءات أتمتة سير العمل وتكوينها.

يمكنك أن تبدأ باستخدام قوالب أتمتة سير العمل.

ولتنفيذ هذه النهج:

1. ومن الجدول أدناه، حدد النهج الذي تريد تطبيقه:

   Goal	النهج	معرف السياسة
   أتمتة سير العمل لتنبيهات الأمان	توزيع أتمتة سير العمل لتنبيهات Microsoft Defender for Cloud	f1525828-9a90-4fcf-be48-268cdd02361e
   أتمتة سير العمل لتوصيات الأمان	توزيع خدمة أتمتة سير العمل لتنبيهات Microsoft Defender for Cloud	73d6ab6c-2475-4850-afd6-43795f3492ef
   أتمتة سير العمل لتغييرات توافق تنظيمي	توزيع التشغيل التلقائي لسير العمل للتوافق التنظيمي لـ Microsoft Defender for Cloud	509122b9-ddd9-47ba-a5f1-d0dac20be63c

   يمكنك أيضا العثور على هذه عن طريق البحث في نهج Azure. في Azure Policy، حدد Definitions وابحث عنها بالاسم.

2. ومن صفحة Azure Policy ذات الصلة، حدد Assign.

3. في علامة التبويب Basics، قم بتعيين نطاق النهج. ولاستخدام الإدارة المركزية، قم بتعيين السياسة لمجموعة الإدارة التي تحتوي على الاشتراكات التي ستستخدم تكوين أتمتة سير العمل.

4. في علامة التبويب Parameters ، أدخل المعلومات المطلوبة.

   

5. قم بتطبيق هذا التعيين اختياريا على اشتراك موجود في علامة التبويب المعالجة وحدد خيار إنشاء مهمة معالجة.

6. يُرجى مراجعة الملخص وتحديد إنشاء مستخدم.

   مخططات أنواع البيانات

   لعرض مخططات الأحداث الأولية لتنبيهات الأمان أو أحداث التوصيات التي تم تمريرها إلى تطبيق المنطق، قم بزيارة مخططات أنواع بيانات أتمتة سير العمل. يمكن أن يكون هذا مفيدا في الحالات التي لا تستخدم فيها موصلات Logic Apps المضمنة في Defender for Cloud المذكورة أعلاه، ولكن بدلا من ذلك تستخدم موصل HTTP العام - يمكنك استخدام مخطط JSON للحدث لتحليله يدويا كما تراه مناسبا.