مشاركة عبر

أتمتة الاستجابة للتهديدات في Microsoft Sentinel باستخدام قواعد الأتمتة

  • ينطبق على: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

تشرح هذه المقالة ما هي قواعد أتمتة Microsoft Sentinel وكيفية استخدامها لتنفيذ عمليات تزامن الأمان والأتمتة والاستجابة (SOAR). تزيد قواعد الأتمتة من فعالية SOC وتوفر لك الوقت والموارد.

هام

يتوفر Microsoft Sentinel بشكل عام في مدخل Microsoft Defender، بما في ذلك للعملاء الذين ليس لديهم Microsoft Defender XDR أو ترخيص E5.

بدءا من يوليو 2026، سيتم دعم Microsoft Sentinel في مدخل Defender فقط، وسيتم إعادة توجيه أي عملاء متبقين يستخدمون مدخل Microsoft Azure تلقائيا.

نوصي بأن يبدأ أي عملاء يستخدمون Microsoft Sentinel في Azure في التخطيط للانتقال إلى مدخل Defender للحصول على تجربة عمليات الأمان الموحدة الكاملة التي يقدمها Microsoft Defender. لمزيد من المعلومات، راجع التخطيط للانتقال إلى مدخل Microsoft Defender لجميع عملاء Microsoft Sentinel.

ما هي قواعد التشغيل الآلي؟

قواعد الأتمتة هي طريقة لإدارة الأتمتة مركزيًا في Microsoft Sentinel، من خلال السماح لك بتحديد وتنسيق مجموعة صغيرة من القواعد التي يمكن تطبيقها عبر سيناريوهات مختلفة.

تنطبق قواعد التنفيذ التلقائي على فئات حالات الاستخدام التالية:

  • تنفيذ مهام التشغيل التلقائي الأساسية لمعالجة الحوادث دون استخدام أدلة المبادئ. على سبيل المثال:

    • إضافة مهام الحوادث للمحللين لمتابعة.
    • قمع الحوادث الصاخبة.
    • فرز الحوادث الجديدة عن طريق تغيير حالتها من جديد إلى نشط وتعيين مالك.
    • وضع علامات على الحوادث لتصنيفها.
    • تصعيد الحدث من خلال تعيين مالك جديد.
    • أغلق الحوادث التي تم حلها، وحدد السبب وأضف التعليقات.

  • التنفيذ التلقائي للاستجابات لقواعد تحليلات متعددة في وقت واحد.

  • التحكّم في ترتيب الإجراءات التي يتم تنفيذها.

  • افحص محتويات حادث (التنبيهات والكيانات والخصائص الأخرى) واتخذ المزيد من الإجراءات عن طريق استدعاء دليل المبادئ.

  • يمكن أن تكون قواعد الأتمتة أيضا الآلية التي تقوم من خلالها بتشغيل دليل المبادئ استجابة لتنبيهغير مقترن بحادث.

باختصار، تعمل قواعد الأتمتة على تبسيط استخدام الأتمتة في Microsoft Sentinel، مما يتيح لك تبسيط مهام سير العمل المعقدة لعمليات تنسيق الاستجابة للتهديدات.

المكونات

تتكون قواعد التنفيذ التلقائي من عدة مكونات:

  • المشغلات التي تحدد نوع حدث الحدث الذي يؤدي إلى تشغيل القاعدة، رهنا بالشروط.
  • الشروط التي تحدد الظروف الدقيقة التي يتم بموجبها تشغيل القاعدة وتنفيذ الإجراءات.
  • إجراءات لتغيير الحدث بطريقة ما أو استدعاء دليل المبادئ، الذي ينفذ إجراءات أكثر تعقيدا ويتفاعل مع الخدمات الأخرى.

أزرار التشغيل

يتم تشغيل قواعد التنفيذ التلقائي عند إنشاء حدث أو تحديثه أو عند إنشاء تنبيه. تذكر أن الحوادث تتضمن تنبيهات، وأنه يمكن إنشاء كل من التنبيهات والحوادث بواسطة قواعد التحليلات، كما هو موضح في الكشف عن التهديدات في Microsoft Sentinel.

يعرض الجدول التالي السيناريوهات المحتملة المختلفة التي تتسبب في تشغيل قاعدة التنفيذ التلقائي.

نوع الزناد الأحداث التي تؤدي لتشغيل القاعدة
عند إنشاء الحدث مدخل Microsoft Defender:
  • يتم إنشاء حدث جديد في مدخل Microsoft Defender.

    لم يتم إلحاق Microsoft Sentinel ببوابة Defender:
  • يتم إنشاء حادث جديد بواسطة قاعدة تحليلات.
  • يتم استيعاب حادث من Microsoft Defender XDR.
  • يتم إنشاء حادث جديد يدويا.
    		•
    عند تحديث الحدث
  • يتم تغيير حالة الحدث (مغلق/معاد فتحه/ثلاثي).
  • يتم تعيين مالك الحدث أو تغييره.
  • يتم رفع خطورة الحادث أو خفضه.
  • تتم إضافة التنبيهات إلى حادث.
  • تتم إضافة التعليقات أو العلامات أو التكتيكات إلى حادث.
    		•
    عند إنشاء التنبيه
  • يتم إنشاء تنبيه بواسطة قاعدة تحليلات Microsoft Sentinel المجدولة أو NRT .
    		•

    الأتمتة المستندة إلى الحدث أم المستندة إلى التنبيه؟

    مع قواعد الأتمتة التي تتعامل مركزيا مع الاستجابة لكل من الحوادث والتنبيهات، كيف يجب عليك اختيار أي منها للأتمتة، وفي أي ظروف؟

    بالنسبة لمعظم حالات الاستخدام، تكون الأتمتة التي يتم تشغيلها من قبل الحدث هي النهج المفضل. في Microsoft Sentinel، الحدث هو "ملف قضية" - تجميع لجميع الأدلة ذات الصلة لتحقيق محدد. إنها حاوية للتنبيهات والكيانات والتعليقات والتعاون والبيانات الاصطناعية الأخرى. على عكس التنبيهات التي تعد جزءا واحدا من الأدلة، تكون الحوادث قابلة للتعديل، وامتلاك الحالة الأكثر تحديثا، ويمكن إثراؤها بالتعليقات والعلامات والإشارات المرجعية. يسمح لك الحدث بتعقب قصة الهجوم التي تستمر في التطور مع إضافة تنبيهات جديدة.

    لهذه الأسباب، من المنطقي إنشاء الأتمتة الخاصة بك حول الحوادث. لذا فإن الطريقة الأنسب لإنشاء أدلة المبادئ هي تأسيسها على مشغل حادث Microsoft Sentinel في Azure Logic Apps.

    السبب الرئيسي لاستخدام الأتمتة التي يتم تشغيلها بواسطة التنبيه هو الاستجابة للتنبيهات التي تم إنشاؤها بواسطة قواعد التحليلات التي لا تنشئ حوادث (أي، حيث يتم تعطيل إنشاء الحدث في علامة التبويب إعدادات الحدث في معالج قاعدة التحليلات).

    هذا السبب ذو صلة خاصة عند إلحاق مساحة عمل Microsoft Sentinel الخاصة بك إلى مدخل Defender. في هذا السيناريو، يحدث كل إنشاء حدث في مدخل Defender، وبالتالي يجب تعطيل قواعد إنشاء الحدث في Microsoft Sentinel.

    حتى دون إلحاقك بالمدخل الموحد، قد تقرر على أي حال استخدام الأتمتة التي يتم تشغيلها من خلال التنبيه إذا كنت تريد استخدام منطق خارجي آخر لتحديد ما إذا كنت تريد إنشاء حوادث من التنبيهات ومتى يتم تجميعها معا. على سبيل المثال:

    • يمكن لدليل المبادئ، الذي يتم تشغيله بواسطة تنبيه لا يحتوي على حادث مقترن، إثراء التنبيه بمعلومات من مصادر أخرى، واستنادا إلى بعض المنطق الخارجي يقرر ما إذا كان سينشئ حادثا أم لا.

    • يمكن لدليل المبادئ، الذي يتم تشغيله بواسطة تنبيه، البحث عن حدث موجود مناسب لإضافة التنبيه إليه، بدلا من إنشاء حادث. تعرف على المزيد حول توسيع الحدث.

    • يمكن لدليل المبادئ، الذي يتم تشغيله بواسطة تنبيه، إعلام موظفي SOC بالتنبيه حتى يتمكن الفريق من تحديد ما إذا كان سينشئ حادثا أم لا.

    • يمكن أن يرسل دليل المبادئ، الذي يتم تشغيله بواسطة تنبيه، التنبيه إلى نظام إصدار التذاكر الخارجي لإنشاء الحوادث وإدارتها، ويقوم هذا النظام بإنشاء تذكرة جديدة لكل تنبيه.

    إشعار

    ‏‏شروط

    يمكن تعريف مجموعات معقدة من الشروط للتحكم في وقت تشغيل الإجراءات (انظر أدناه). تتضمن هذه الشروط الحدث الذي يقوم بتشغيل القاعدة (حدث تم إنشاؤه أو تحديثه أو إنشاء تنبيه)، وحالات أو قيم خصائص الحدث وخصائص الكيان (لمشغل الحدث فقط)، وكذلك قاعدة التحليلات أو القواعد التي أنشأت الحدث أو التنبيه.

    عند تشغيل قاعدة التشغيل التلقائي، فإنه يتحقق من الحدث المشغل أو التنبيه مقابل الشروط المحددة في القاعدة. بالنسبة للحوادث، يتم تقييم الشروط المستندة إلى الخاصية وفقا للحالة الحالية للخاصية في لحظة إجراء التقييم، أو وفقا للتغييرات في حالة الخاصية (راجع أدناه للحصول على التفاصيل). نظرا لأن حدث إنشاء حدث واحد أو تحديثه يمكن أن يؤدي إلى العديد من قواعد التشغيل التلقائي، فإن الترتيب الذي يتم تشغيله به (انظر أدناه) يحدث فرقا في تحديد نتيجة تقييم الشروط. يتم تنفيذ الإجراءات المحددة في القاعدة فقط إذا تم استيفاء جميع الشروط.

    مشغل لإنشاء الحدث

    بالنسبة للقواعد المعرفة باستخدام المشغل عند إنشاء حدث، يمكنك تحديد الشروط التي تتحقق من الحالة الحالية لقيم قائمة معينة من خصائص الحدث، باستخدام واحد أو أكثر من عوامل التشغيل التالية:

    • يساوي أو لا يساوي القيمة المعرفة في الشرط.
    • يحتوي على القيمة المعرفة في الشرط أو لا يحتوي عليها.
    • يبدأ بالقيمة المعرفة في الشرط أو لا يبدأ بها.
    • ينتهي ب أو لا ينتهي بالقيمة المعرفة في الشرط.

    على سبيل المثال، إذا قمت بتعريف اسم القاعدة التحليلية على أنه يحتوي على == هجوم القوة الغاشمة على كمبيوتر سحابي، فإن القاعدة التحليلية مع هجوم القوة الغاشمة على مدخل Microsoft Azure لا تفي بالشرط. ومع ذلك، إذا قمت بتعريف اسم القاعدة التحليلية على أنه لا يحتوي على == بيانات اعتماد المستخدم، فإن كلا من هجوم القوة الغاشمة على كمبيوتر سحابيوالقوة الغاشمة ضد قواعد تحليلات مدخل Microsoft Azure يفيان بالشرط.

    إشعار

    تشير الحالة الحالية في هذا السياق إلى اللحظة التي يتم فيها تقييم الشرط - أي لحظة تشغيل قاعدة التنفيذ التلقائي. إذا تم تحديد أكثر من قاعدة أتمتة واحدة للتشغيل استجابة لإنشاء هذا الحادث، فإن التغييرات التي تم إجراؤها على الحادث من قِبل قاعدة أتمتة تم تشغيلها مسبقًا تعتبر الحالة الحالية للقواعد التي يتم تشغيلها لاحقًا.

    مشغل التحديث المتعلق بالحدث

    تتضمن الشروط التي تم تقييمها في القواعد المعرفة باستخدام المشغل عند تحديث حدث كل تلك المدرجة لمشغل إنشاء الحدث. لكن مشغل التحديث يشمل المزيد من الخصائص التي يمكن تقييمها.

    يتم تحديث إحدى هذه الخصائص بواسطة. تتيح لك هذه الخاصية تتبع نوع المصدر الذي أجرى التغيير في الحادث. يمكنك إنشاء شرط تقييم ما إذا كان الحدث قد تم تحديثه بإحدى القيم التالية، اعتمادا على ما إذا كنت قد قمت بإلحاق مساحة العمل الخاصة بك بمدخل Defender:

    • تطبيق، بما في ذلك التطبيقات في كل من مداخل Azure وDefender.
    • مستخدم، بما في ذلك التغييرات التي أجراها المستخدمون في كل من مداخل Azure وDefender.
    • AIR، للتحديثات عن طريق التحقيق التلقائي والاستجابة في Microsoft Defender ل Office 365
    • تجميع تنبيه (الذي أضاف تنبيهات إلى الحدث)، بما في ذلك مجموعات التنبيهات التي تم إجراؤها بواسطة قواعد التحليلات ومنطق ارتباط Microsoft Defender XDR المضمن
    • دليل المبادئ
    • قاعدة أتمتة
    • غير ذلك، إذا لم تنطبق أي من القيم المذكورة أعلاه

    باستخدام هذا الشرط، على سبيل المثال، يمكنك توجيه قاعدة الأتمتة هذه للتشغيل على أي تغيير تم إجراؤه على حادث، إلا إذا تم إجراؤه من قاعدة تلقائية أخرى.

    علاوة على ذلك، يستخدم مشغل التحديث أيضا عوامل تشغيل أخرى تتحقق من تغييرات الحالة في قيم خصائص الحدث بالإضافة إلى حالتها الحالية. سيتم استيفاء شرط تغيير الحالة إذا:

    كانت قيمة الخاصية المتعلقة بالحدث

    • تم التغيير (بغض النظر عن القيمة الفعلية قبل أو بعد).
    • تم تغييره من القيمة المعرفة في الشرط.
    • تم تغييره إلى القيمة المعرفة في الشرط.
    • تمت الإضافة إلى (ينطبق هذا على الخصائص ذات قائمة القيم).

    خاصية العلامة : فردي مقابل مجموعة

    خاصية الحدث Tag هي مجموعة من العناصر الفردية - يمكن أن يكون لحادث واحد علامات متعددة مطبقة عليه. يمكنك تحديد الشروط التي تتحقق من كل علامة في المجموعة بشكل فردي، والشروط التي تتحقق من مجموعة العلامات كوحدة.

    • يتحقق أي عوامل تشغيل علامات فردية من الشرط مقابل كل علامة في المجموعة. يكون التقييم صحيحا عندما تفي علامة واحدة على الأقل بالشرط.
    • تتحقق مجموعة جميع عوامل تشغيل العلامات من الشرط مقابل مجموعة العلامات كوحدة واحدة. يكون التقييم صحيحا فقط إذا كانت المجموعة ككل تفي بالشرط.

    هذا التمييز مهم عندما يكون الشرط الخاص بك سالبا (لا يحتوي على)، وبعض العلامات في المجموعة تفي بالشرط والبعض الآخر لا.

    لنلق نظرة على مثال حيث حالتك، لا تحتوي العلامة على "2024"، ولديك حادثان، كل منهما له علامتان:

    \الحوادث ▶
    الشرط ▼ \    		 الحادث 1
    العلامة 1: 2024
    العلامة 2: 2023    		 الحادث 2
    العلامة 1: 2023
    العلامة 2: 2022
    أي علامة فردية
    لا يحتوي على "2024"    		 صحيح صواب
    مجموعة من جميع العلامات
    لا يحتوي على "2024"    		 خطأ صواب

    في هذا المثال، في الحادث 1:

    • إذا كان الشرط يتحقق من كل علامة على حدة، فنظرا لوجود علامة واحدة على الأقل تفي بالشرط ( لا يحتوي على "2024")، يكون الشرط الإجمالي صحيحا.
    • إذا كان الشرط يتحقق من جميع العلامات في الحدث كوحدة واحدة، بعد ذلك نظرا لوجود علامة واحدة على الأقل لا تفي بالشرط(التي تحتوي على "2024")، فإن الشرط الإجمالي خطأ.

    في الحادث 2، تكون النتيجة هي نفسها، بغض النظر عن نوع الشرط المحدد.

    خصائص الكيان المدعومة

    للحصول على قائمة خصائص الكيان المدعومة كشروط لقواعد التشغيل التلقائي، راجع مرجع قواعد التنفيذ التلقائي في Microsoft Sentinel.

    مشغل إنشاء التنبيه

    الشرط الوحيد الذي يمكن تكوينه حاليا لمشغل إنشاء التنبيه هو مجموعة قواعد التحليلات التي يتم تشغيل قاعدة التنفيذ التلقائي لها.

    الإجراءات

    يمكن تحديد الإجراءات للتشغيل عند استيفاء الشروط (انظر أعلاه). يمكنك تحديد العديد من الإجراءات في قاعدة، ويمكنك اختيار الترتيب الذي يتم تشغيله به (انظر أدناه). يمكن تعريف الإجراءات التالية باستخدام قواعد الأتمتة، دون الحاجة إلى الوظائف المتقدمة لدليل المبادئ:

    • إضافة مهمة إلى حادث - يمكنك إنشاء قائمة مراجعة للمهام للمحللين لمتابعة جميع عمليات فرز الحدث والتحقيق فيه ومعالجته، لضمان عدم تفويت أي خطوات هامة.

    • تغيير حالة الأحداث، الحفاظ على سير عملك محدثاً.

    • تغيير خطورة الأحداث - يمكنك إعادة تقييم الكيانات وإعادة ترتيبها استناداً إلى وجودها أو مشاركتها في الحدث أو غيابها أو قيمها أو سماتها.

    • تعيين الأحداث لمالك - يساعدك هذا في توجيه أنواع الأحداث إلى الموظفين الأنسب للتعامل معها، أو إلى أكثر الموظفين إتاحة.

    • إضافة العلامات إلى الأحداث - يفيد هذا في تصنيف الأحداث حسب الموضوع أو المهاجم أو أي قاسم مشترك آخر.

    يمكنك أيضا تحديد إجراء لتشغيل دليل المبادئ، من أجل اتخاذ إجراءات استجابة أكثر تعقيدا، بما في ذلك أي إجراء يتضمن أنظمة خارجية. تعتمد أدلة المبادئ المتوفرة لاستخدامها في قاعدة التشغيل التلقائي على المشغل الذي تستند إليه أدلة المبادئ وقاعدة التشغيل التلقائي: يمكن تشغيل أدلة المبادئ لمشغل الحوادث فقط من قواعد التشغيل التلقائي لمشغل الحوادث، ويمكن تشغيل أدلة مبادئ مشغل التنبيه فقط من قواعد التشغيل التلقائي لمشغل التنبيه. يمكنك تحديد إجراءات متعددة تستدعي أدلة المبادئ أو مجموعات من أدلة المبادئ والإجراءات الأخرى. يتم تنفيذ الإجراءات بالترتيب الذي يتم سردها به في القاعدة.

    تتوفر أدلة المبادئ التي تستخدم أي إصدار من Azure Logic Apps (قياسي أو استهلاكي) للتشغيل من قواعد التشغيل التلقائي.

    تاريخ انتهاء الصلاحية

    يمكنك تحديد تاريخ انتهاء الصلاحية على قاعدة تلقائية. يتم تعطيل القاعدة بعد مرور هذا التاريخ. ويعد ذلك مفيداً لمعالجة (أي إغلاق) لأحداث "التشويش" الناجمة عن الأنشطة المخطط لها والمقيدة زمنياً مثل اختبار الاختراق.

    الأمر

    يمكنك تحديد الترتيب الذي يتم به تشغيل قواعد التشغيل التلقائي. تقيم قواعد الأتمتة اللاحقة شروط الحادث وفقا لحالته بعد أن يتم التصرف وفقا لقواعد التشغيل التلقائي السابقة.

    على سبيل المثال، إذا غيرت "قاعدة التنفيذ التلقائي الأولى" خطورة الحدث من متوسط إلى منخفض، وتم تعريف "قاعدة التنفيذ التلقائي الثانية" للتشغيل فقط على الحوادث ذات الخطورة المتوسطة أو الأعلى، فلا يتم تشغيلها على هذا الحدث.

    يحدد ترتيب قواعد الأتمتة التي تضيف مهام الحدث الترتيب الذي تظهر به المهام في حادث معين.

    القواعد المستندة إلى مشغل التحديث لها قائمة انتظار منفصلة خاصة بها. إذا تم تشغيل مثل هذه القواعد للتشغيل على حدث تم إنشاؤه للتو (عن طريق تغيير تم إجراؤه بواسطة قاعدة أتمتة أخرى)، فإنها تعمل فقط بعد انتهاء تشغيل جميع القواعد المعمول بها استنادا إلى مشغل الإنشاء.

    ملاحظات حول ترتيب التنفيذ والأولوية

    • تعيين رقم الطلب في قواعد التنفيذ التلقائي يحدد ترتيب تنفيذها.
    • يحتفظ كل نوع مشغل بقائمة الانتظار الخاصة به.
    • بالنسبة للقواعد التي تم إنشاؤها في مدخل Microsoft Azure، يتم ملء حقل الطلب تلقائيا بالرقم الذي يتبع أعلى رقم تستخدمه القواعد الموجودة من نفس نوع المشغل.
    • ومع ذلك، بالنسبة للقواعد التي تم إنشاؤها بطرق أخرى (سطر الأوامر وواجهة برمجة التطبيقات وما إلى ذلك)، يجب تعيين رقم الطلب يدويا.
    • لا توجد آلية للتحقق من الصحة تمنع قواعد متعددة من الحصول على نفس رقم الطلب، حتى ضمن نفس نوع المشغل.
    • يمكنك السماح لقاعدةين أو أكثر من نفس نوع المشغل بأن يكون لها نفس رقم الطلب، إذا كنت لا تهتم بالترتيب الذي يتم تشغيله فيه.
    • بالنسبة للقواعد من نفس نوع المشغل مع نفس رقم الطلب، يحدد محرك التنفيذ بشكل عشوائي القواعد التي يتم تشغيلها في أي ترتيب.
    • بالنسبة إلى قواعد أنواع مشغلات الحوادث المختلفة، يتم تشغيل جميع القواعد القابلة للتطبيق مع نوع مشغل إنشاء الحدث أولا (وفقا لأرقام الطلبات الخاصة بهم)، ثم فقط القواعد مع نوع مشغل تحديث الحدث (وفقا لأرقام الطلبات الخاصة بهم ).
    • يتم تشغيل القواعد دائما بشكل تسلسلي، لا بالتوازي أبدا.

    إشعار

    بعد الإلحاق بمدخل Defender، إذا تم إجراء تغييرات متعددة على نفس الحدث في فترة تتراوح بين خمس وعشر دقائق، يتم إرسال تحديث واحد إلى Microsoft Sentinel، مع أحدث تغيير فقط.

    السيناريوهات وحالات الاستخدام الشائعة

    مهام الحوادث

    تسمح لك قواعد التشغيل التلقائي بتوحيد وإضفاء الطابع الرسمي على الخطوات المطلوبة لفرز الحوادث والتحقيق فيها ومعالجتها، من خلال إنشاء مهام يمكن تطبيقها على حادث واحد، أو عبر مجموعات من الحوادث، أو على جميع الحوادث، وفقا للشروط التي حددتها في قاعدة الأتمتة ومنطق الكشف عن التهديدات في قواعد التحليلات الأساسية. تظهر المهام المطبقة على حدث ما في صفحة الحدث، بحيث يكون لدى محلليك قائمة كاملة بالإجراءات التي يحتاجون إلى اتخاذها، مباشرة أمامهم، ولا تفوتهم أي خطوات مهمة.

    التشغيل التلقائي للحوادث والتنبيه

    يمكن تشغيل قواعد الأتمتة عن طريق إنشاء أو تحديث الحوادث وأيضا عن طريق إنشاء التنبيهات. يمكن لجميع هذه التكرارات تشغيل سلاسل الاستجابة التلقائية، والتي يمكن أن تتضمن أدلة المبادئ (مطلوب أذونات خاصة).

    تشغيل أدلة المبادئ لموفر خدمة Microsoft

    توفر القواعد التلقائية طريقة لآلية معالجة تنبيهات أمان Microsoft من خلال تطبيق هذه القواعد على الحوادث التي تم إنشاؤها من التنبيهات. يمكن لقواعد التشغيل التلقائي استدعاء أدلة المبادئ (مطلوب أذونات خاصة) وتمرير الحوادث إليها مع جميع تفاصيلها، بما في ذلك التنبيهات والكيانات. بشكل عام، تملي أفضل ممارسات Microsoft Azure Sentinel استخدام قائمة انتظار الحوادث كنقطة محورية لعمليات الأمان.

    تشمل تنبيهات تأمين Microsoft ما يلي:

    • حماية معرف Microsoft Entra
    • Microsoft Defender للسحابة
    • تطبيقات Microsoft Defender للسحابة
    • Microsoft Defender ل Office 365
    • Microsoft Defender لنقطة النهاية
    • Microsoft Defender للهوية
    • Microsoft Defender لإنترنت الأشياء

    أدلة المبادئ/ الإجراءات المتعددة المتسلسلة في قاعدة واحدة

    يمكنك الآن التحكم بشكل شبه كامل في ترتيب تنفيذ الإجراءات وأدلة المبادئ في قاعدة أتمتة واحدة. يمكنك أيضًا التحكم في ترتيب تنفيذ قواعد الأتمتة نفسها. يتيح لك ذلك تبسيط أدلة المبادئ الخاصة بك إلى حد كبير، وتقليلها إلى مهمة واحدة أو سلسلة صغيرة ومباشرة من المهام، ودمج أدلة المبادئ الصغيرة هذه في مجموعات مختلفة في قواعد أتمتة مختلفة.

    قم بتعيين دليل مبادئ واحد لقواعد تحليلات متعددة في وقت واحد

    إذا كانت لديك مهمة تريد أتمتة جميع قواعد التحليلات الخاصة بك - على سبيل المثال، إنشاء بطاقة دعم في نظام تذاكر خارجي - يمكنك تطبيق دليل واحد على أي من قواعد التحليلات الخاصة بك أو جميعها - بما في ذلك أي قواعد مستقبلية - في ضربة واحدة. هذا يجعل مهام الصيانة والتدبير المنزلي البسيطة ولكن المتكررة أقل بكثير من العمل الروتيني.

    التعيين التلقائي للأحداث

    يمكنك تعيين الأحداث للمالك الصحيح تلقائيًا. إذا كان لدى SOC الخاص بك محلل متخصص في نظام أساسي معين، فيمكن تعيين أي حوادث متعلقة بهذا النظام الأساسي تلقائيًا إلى هذا المحلل.

    منع الحدث

    يمكنك استخدام القواعد لحل الحوادث التي تُعرف بإيجابيات خاطئة/سليمة تلقائيًا دون استخدام دليل المبادئ. على سبيل المثال، عند تشغيل اختبارات الاختراق أو إجراء الصيانة المجدولة أو الترقيات أو إجراءات التنفيذ التلقائي للاختبار، قد يتم إنشاء العديد من الحوادث الإيجابية الخاطئة التي تريد SOC تجاهلها. يمكن لقاعدة أتمتة محدودة الوقت إغلاق هذه الحوادث تلقائيًا عند إنشائها، مع وضع علامة عليها بواصف سبب إنشائها.

    آلية محدودة الوقت

    يمكنك إضافة تواريخ انتهاء الصلاحية للقواعد التلقائية الخاصة بك. قد تكون هناك حالات أخرى غير منع الحوادث التي تتطلب أتمتة محدودة زمنيا. قد ترغب في تعيين نوع معين من الحوادث لمستخدم معين (على سبيل المثال، متدرب أو مستشار) لإطار زمني محدد. إذا كان الإطار الزمني معروفًا مسبقًا، فيمكنك التسبب في تعطيل القاعدة بشكل فعال في نهاية مدى ملاءمتها، دون الحاجة إلى تذكر القيام بذلك.

    وضع علامة تلقائياً على الحدث

    يمكنك إضافة علامات النص الحر تلقائيًا إلى الحدث لتجميعها أو تصنيفها وفقًا لأي معايير تختارها.

    تمت إضافة حالات الاستخدام من قِبل مشغل التحديث

    الآن وقد أدت التغييرات التي تم إجراؤها على الحوادث إلى تشغيل قواعد تلقائية، فإن المزيد من السيناريوهات مفتوحة للآلية.

    توسيع الآلية عند تطور الحدث

    يمكنك استخدام مشغل التحديث لتطبيق العديد من حالات الاستخدام المذكورة أعلاه على الحدث أثناء تقدم التحقيق ويضيف المحللون التنبيهات والتعليقات والعلامات. تجميع تنبيه التحكم في الحدث.

    تحديث التزامن والإخطار

    قم بإعلام الفرق المختلفة والموظفين الآخرين عند إجراء تغييرات على الحوادث، حتى لا تفوتهم أي تحديثات هامة. تصعيد الحدث من خلال تعيينه إلى مالكين جدد وإعلام المالكين الجدد بمهامهم. التحكم في وقت وطريقة إعادة فتح الأحداث.

    الحفاظ على التزامن مع الأنظمة الخارجية

    إذا استخدمت أدلة المبادئ لإنشاء تذاكر في أنظمة خارجية عند إنشاء الحوادث، يمكنك استخدام قاعدة أتمتة مشغل التحديث لاستدعاء دليل المبادئ الذي يحدث تلك التذاكر.

    تنفيذ قواعد تلقائية

    يتم تشغيل قواعد الأتمتة بشكل تسلسلي، وفقا للترتيب الذي تحدده. يتم تنفيذ كل قاعدة التنفيذ التلقائي لـ بعد أن تنتهي القاعدة السابقة من تشغيلها. ضمن قاعدة تلقائية، يتم تشغيل جميع الإجراءات بالتتابع بالترتيب الذي تم تحديدها به.

    قد يتم التعامل مع إجراءات Playbook ضمن قاعدة التنفيذ التلقائي بشكل مختلف في بعض الحالات، وفقا للمعايير التالية:

    وقت تشغيل دليل المبادئ تنتقل قاعدة تلقائية إلى الإجراء التالي...
    أقل من ثانية مباشرة بعد الانتهاء من دليل المبادئ
    أقل من دقيقتين ما يصل إلى دقيقتين بعد بدء تشغيل دليل التشغيل،
    لكن ليس أكثر من 10 ثوانٍ بعد اكتمال دليل المبادئ
    يزيد عن دقيقتين بعد دقيقتين من بدء تشغيل دليل اللعبة،
    بصرف النظر عما إذا كان قد اكتمل أم لا

    أذونات قواعد التشغيل التلقائي لتشغيل دليل المبادئ

    عند تشغيل قاعدة التشغيل الآلي لـ Microsoft Azure Sentinel، فإنها تستخدم حساب خدمة Azure Sentinel خاصًا مرخصًا بشكل خاص لهذا الإجراء. يؤدي استخدام هذا الحساب (بدلا من حساب المستخدم الخاص بك) إلى زيادة مستوى أمان الخدمة.

    لكي تقوم قاعدة التشغيل التلقائي بتشغيل دليل المبادئ، يجب منح هذا الحساب أذونات صريحة لمجموعة الموارد حيث يوجد دليل المبادئ. عند هذه النقطة، ستتمكن أي قاعدة أتمتة من تشغيل أي دليل تشغيل في مجموعة الموارد هذه.

    عند تكوين قاعدة أتمتة وإضافة إجراء دليل المبادئ، تظهر قائمة منسدلة بدلائل المبادئ. دلائل المبادئ التي لا تحتوي Microsoft Sentinel على أذونات معروضة على أنها غير متوفرة ("رمادي"). يمكنك منح إذن Microsoft Sentinel لمجموعات موارد playbooks على الفور عن طريق تحديد الارتباط Manage playbook permissions . لمنح هذه الأذونات، تحتاج إلى أذونات المالك على مجموعات الموارد هذه. راجع متطلبات الأذونات الكاملة.

    الأذونات في بنية متعددة المستأجرين

    تدعم قواعد الأتمتة بشكل كامل مساحة العمل المشتركة والنشرات متعددة المستأجرين (في حالة تعدد المستأجرين، باستخدام Azure Lighthouse).

    لذلك، إذا كان توزيع Microsoft Sentinel الخاص بك يستخدم بنية متعددة المستأجرين، يمكن أن يكون لديك قاعدة أتمتة في مستأجر واحد يقوم بتشغيل دليل المبادئ الذي يعيش في مستأجر مختلف، ولكن يجب تعريف أذونات Sentinel لتشغيل أدلة المبادئ في المستأجر حيث توجد أدلة المبادئ، وليس في المستأجر حيث يتم تعريف قواعد التنفيذ التلقائي.

    في الحالة المحددة لمزود خدمة الأمان المُدار (MSSP)، إذ يدير مستأجر مزود الخدمة مساحة عمل Microsoft Azure Sentinel في مستأجر عميل، هناك سيناريوهان خاصان يستدعي انتباهك:

    • يتم تكوين قاعدة التنفيذ التلقائي التي تم إنشاؤها في مستأجر العميل لتشغيل دليل المبادئ الموجود في مستأجر موفر الخدمة.

      يتم استخدام هذا النهج عادة لحماية الملكية الفكرية في دليل المبادئ. لا يوجد شيء خاص مطلوب لهذا السيناريو للعمل. عند تحديد إجراء playbook في قاعدة التشغيل التلقائي، والوصول إلى المرحلة التي تمنح فيها أذونات Microsoft Sentinel على مجموعة الموارد ذات الصلة حيث يوجد دليل المبادئ (باستخدام لوحة إدارة أذونات دليل المبادئ )، يمكنك مشاهدة مجموعات الموارد التي تنتمي إلى مستأجر موفر الخدمة من بين تلك التي يمكنك الاختيار من بينها. راجع العملية بأكملها الموضحة هنا.

    • تم تكوين قاعدة التنفيذ التلقائي التي تم إنشاؤها في مساحة عمل العميل (أثناء تسجيل الدخول إلى مستأجر موفر الخدمة) لتشغيل دليل المبادئ الموجود في مستأجر العميل.

      يتم استخدام هذا التكوين عندما لا تكون هناك حاجة لحماية الملكية الفكرية. لكي يعمل هذا السيناريو، يجب منح أذونات تنفيذ دليل المبادئ إلى Microsoft Sentinel في كلا المستأجرين. في مستأجر العميل، يمكنك منحهم في لوحة إدارة أذونات دليل المبادئ ، تماما كما هو الحال في السيناريو أعلاه. لمنح الأذونات ذات الصلة في مستأجر موفر الخدمة، تحتاج إلى إضافة تفويض Azure Lighthouse إضافي يمنح حقوق الوصول إلى تطبيق Azure Security Insights ، مع دور Microsoft Sentinel Automation Contributor ، على مجموعة الموارد حيث يوجد دليل المبادئ.

      السيناريو يبدو كالتالي:

      بنية قاعدة التنفيذ التلقائي متعدد المستأجرين

      راجع إرشاداتنا لإعداد هذا الأمر.

    إنشاء قواعد التنفيذ التلقائي وإدارتها

    يمكنك إنشاء قواعد الأتمتة وإدارتها من مناطق مختلفة في Microsoft Sentinel أو مدخل Defender، اعتمادا على حاجتك وحالة الاستخدام الخاصة بك.

    • صفحة التنفيذ التلقائي

      يمكن إدارة قواعد التنفيذ التلقائي مركزيا في صفحة Automation ، ضمن علامة التبويب Automation rules . من هناك، يمكنك إنشاء قواعد أتمتة جديدة وتحرير القواعد الموجودة. كما يمكنك سحب قواعد التنفيذ التلقائي لتغيير ترتيب التنفيذ وتمكينها أو تعطيلها.

      في صفحة التنفيذ التلقائي ، سترى جميع القواعد المحددة على مساحة العمل، إلى جانب حالتها (ممكن/معطل) وقواعد التحليلات التي يتم تطبيقها عليها.

      عندما تحتاج إلى قاعدة أتمتة تنطبق على الحوادث من Microsoft Defender XDR، أو من العديد من قواعد التحليلات في Microsoft Sentinel، قم بإنشائها مباشرة في صفحة التنفيذ التلقائي .

    • معالج قاعدة التحليلات

      في علامة تبويب الاستجابة التلقائية لمعالج قاعدة تحليلات Microsoft Sentinel، ضمن قواعد التنفيذ التلقائي، يمكنك عرض قواعد التنفيذ التلقائي وتحريرها وإنشاءها التي تنطبق على قاعدة التحليلات المعينة التي يتم إنشاؤها أو تحريرها في المعالج.

      عند إنشاء قاعدة أتمتة من هنا، تعرض لوحة إنشاء قاعدة أتمتة جديدة شرط قاعدة التحليلات على أنه غير متوفر، لأن هذه القاعدة معينة بالفعل لتطبيقها فقط على قاعدة التحليلات التي تقوم بتحريرها في المعالج. لا تزال جميع خيارات التكوين الأخرى متوفرة إليك.

    • صفحة الحوادث

      يمكنك أيضا إنشاء قاعدة أتمتة من صفحة الحوادث ، من أجل الاستجابة لحدث متكرر واحد. هذا مفيد عند إنشاء قاعدة منعلإغلاق الحوادث "صاخبة" تلقائيا.

      عند إنشاء قاعدة أتمتة من هنا، تقوم لوحة إنشاء قاعدة أتمتة جديدة بملء جميع الحقول بقيم من الحدث. وستعمل على تسمية القاعدة بنفس اسم الحدث، وتطبقها على قاعدة التحليلات التي أنشأت الحدث، وتستخدم جميع الكيانات المتوفرة في الحدث كشروط للقاعدة. كما تقترح إجراء منع (إغلاق) بشكل افتراضي، وتقترح تعيين تاريخ انتهاء صلاحية للقاعدة. يمكنك إضافة الشروط والإجراءات أو إزالتها، وتغيير تاريخ انتهاء الصلاحية كما يحلو لك.

    تصدير قواعد التشغيل التلقائي واستيرادها

    قم بتصدير قواعد التنفيذ التلقائي إلى ملفات قالب Azure Resource Manager (ARM)، واستيراد القواعد من هذه الملفات، كجزء من إدارة عمليات نشر Microsoft Sentinel والتحكم فيها كتعلم برمجي. ينشئ إجراء التصدير ملف JSON في موقع تنزيلات المستعرض، يمكنك بعد ذلك إعادة تسميته ونقله والتعامل معه مثل أي ملف آخر.

    ملف JSON الذي تم تصديره مستقل عن مساحة العمل، لذلك يمكن استيراده إلى مساحات العمل الأخرى وحتى المستأجرين الآخرين. كتعليمة برمجية، يمكن أيضًا التحكم في الإصدار وتحديثه ونشره في إطار CI/CD مُدار.

    يتضمن الملف جميع المعلمات المحددة في قاعدة التنفيذ التلقائي. يمكن تصدير القواعد من أي نوع مشغل إلى ملف JSON.

    للحصول على إرشادات حول تصدير قواعد التنفيذ التلقائي واستيرادها، راجع تصدير قواعد أتمتة Microsoft Sentinel واستيرادها.

    الخطوات التالية

    في هذا المستند، تعرفت على كيفية مساعدة قواعد الأتمتة في إدارة أتمتة الاستجابة مركزيًا لحوادث وتنبيهات Microsoft Sentinel.