أتمتة الاستجابة للتهديدات باستخدام أدلة المبادئ في Microsoft Sentinel

  • مقالة
  • ينطبق على:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

تشرح هذه المقالة ماهية أدلة مبادئ Microsoft Sentinel وكيفية استخدامها لتنفيذ عمليات تنسيق الأمان والأتمتة والاستجابة (SOAR)، وتحقيق نتائج أفضل مع توفير الوقت والموارد.

هام

يتوفر Microsoft Sentinel كجزء من المعاينة العامة للنظام الأساسي لعمليات الأمان الموحدة في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

ما هو دليل المبادئ؟

عادة ما يغمر محللو SOC بالتنبيهات الأمنية والحوادث على أساس منتظم، بأحجام كبيرة جدا بحيث يتم إغراق الموظفين المتاحين. ينتج عن ذلك في كثير من الأحيان حالات يتم فيها تجاهل العديد من التنبيهات ولا يتم التحقق في العديد من الحوادث مما يجعل المنظمة عرضة للهجمات التي تمر دون ملاحظتها.

تتوافق العديد من هذه التنبيهات والحوادث، إن لم يكن معظمها، مع الأنماط المتكررة التي يمكن معالجتها باستخدام مجموعات محددة ومعرّفة من إجراءات المعالجة. كما أن المحللين مكلفون بالمعالجة والتحقيق الأساسيين في الحوادث التي يديرون معالجتها. وبقدر ما يمكن أن تكون هذه الأنشطة آلية، يمكن أن تكون شركة SOC أكثر إنتاجية وكفاءة، مما يسمح للمحللين بتخصيص المزيد من الوقت والطاقة لنشاط التحقيق.

دليل المبادئ هو مجموعة من إجراءات المعالجة هذه التي تقوم بتشغيلها من Microsoft Sentinel كروتين، للمساعدة في أتمتة الاستجابة للتهديدات وتنسيقها. يمكن تشغيله بطريقتين:

  • يدويا عند الطلب، على كيان أو تنبيه معين
  • تلقائيا استجابة لتنبيهات أو حوادث معينة، عند تشغيلها بواسطة قاعدة أتمتة.

إذا تم اختراق حساب وجهاز على سبيل المثال، يمكن لدليل المبادئ عزل الجهاز عن الشبكة وحظر الحساب بالتزامن مع وقت إخطار فريق SOC بالحادث.

بينما تعرض علامة التبويب أدلة المبادئ النشطة في صفحة التنفيذ التلقائي جميع أدلة المبادئ النشطة المتوفرة عبر أي اشتراكات محددة، يمكن استخدام دليل المبادئ بشكل افتراضي فقط ضمن الاشتراك الذي ينتمي إليه، ما لم تمنح أذونات Microsoft Sentinel لمجموعة موارد دليل المبادئ على وجه التحديد.

بعد الإلحاق بالنظام الأساسي لعمليات الأمان الموحدة، تعرض علامة التبويب أدلة المبادئ النشطة عامل تصفية محدد مسبقا مع اشتراك مساحة العمل المضمنة. في مدخل Microsoft Azure، أضف بيانات للاشتراكات الأخرى باستخدام عامل تصفية اشتراك Azure.

قوالب دليل المبادئ

قالب دليل المبادئ هو سير عمل تم إنشاؤه مسبقا واختباره وجاهز للاستخدام يمكن تخصيصه لتلبية احتياجاتك. يمكن أن تكون القوالب أيضا بمثابة مرجع لأفضل الممارسات عند تطوير أدلة المبادئ من البداية، أو كمصدر إلهام لسيناريوهات التنفيذ التلقائي الجديدة.

قوالب Playbook غير قابلة للاستخدام كدلائل مبادئ نفسها. يمكنك إنشاء دليل مبادئ (نسخة قابلة للتحرير من القالب) منها.

يمكنك الحصول على قوالب دليل المبادئ من المصادر التالية:

  • في صفحة Automation ، تسرد علامة التبويب Playbook templates قوالب playbook المثبتة. يمكن إنشاء العديد من دفاتر اللعب النشطة من نفس القالب.

    عند نشر إصدار جديد من القالب، تظهر أدلة المبادئ النشطة التي تم إنشاؤها من هذا القالب في علامة التبويب أدلة المبادئ النشطة تعرض تسمية تشير إلى توفر تحديث.

  • تتوفر قوالب Playbook كجزء من حلول المنتج أو المحتوى المستقل الذي تقوم بتثبيته من صفحة مركز المحتوى في Microsoft Sentinel. لمزيد من المعلومات، راجع محتوى Microsoft Sentinel وحلوله واكتشاف المحتوى الجاهز من Microsoft Sentinel وإدارته.

  • يحتوي مستودع Microsoft Azure Sentinel GitHub على العديد من قوالب دليل التشغيل. يمكن توزيعها في اشتراك Azure عن طريق تحديد الزر Deploy to Azure.

قالب دليل المبادئ من الناحية الفنية هو قالب ARM الذي يتكون من عدة موارد: سير عمل Azure Logic Apps واتصالات واجهة برمجة التطبيقات لكل اتصال مضمن.

هام

قوالب دليل المبادئ موجودة حاليًا في PREVIEW. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.

المفاهيم الأساسية لـ Azure Logic Apps

تستند أدلة المبادئ في Microsoft Sentinel إلى مهام سير العمل المضمنة في Azure Logic Apps، وهي خدمة سحابية تساعدك على جدولة المهام وعمليات سير العمل وتنفيذها تلقائيًا وتنسيقها عبر الأنظمة في جميع أنحاء المؤسسة. وهذا يعني أن أدلة المبادئ يمكن أن تستفيد من جميع قوة وقدرات القوالب المضمنة في Azure Logic Apps.

إشعار

تنشئ Azure Logic Apps موارد منفصلة، لذلك قد يتم تطبيق رسوم إضافية. لمزيد من المعلومات، تفضل بزيارة صفحة تسعير Azure Logic Apps.

يتصل Azure Logic Apps بأنظمة وخدمات أخرى باستخدام الموصلات. فيما يلي شرح موجز للموصلات وبعض سماتها المهمة:

  • الموصل المدار: مجموعة من الإجراءات والمشغلات التي تلتف حول استدعاءات واجهة برمجة التطبيقات لمنتج أو خدمة معينة. يوفر Azure Logic Apps مئات الموصلات للاتصال بخدمات Microsoft والخدمات غير التابعة لـ Microsoft. لمزيد من المعلومات، راجع موصلات Azure Logic Apps ووثائقها

  • موصل مخصص: قد ترغب في الاتصال بالخدمات غير المتوفرة كموصلات تم إنشاؤها مسبقا. تلبي الموصلات المخصصة هذه الحاجة، إذ تسمح لك بإنشاء (وأيضًا مشاركة) موصل وتحديد المشغلات والإجراءات الخاصة به. لمزيد من المعلومات، راجع إنشاء موصلات Azure Logic Apps المخصصة الخاصة بك.

  • موصل Microsoft Sentinel: لإنشاء أدلة المبادئ التي تتفاعل مع Microsoft Sentinel، استخدم موصل Microsoft Sentinel. لمزيد من المعلومات، راجع وثائق موصل Microsoft Sentinel.

  • المشغل: مكون موصل يبدأ سير عمل، في هذه الحالة، دليل مبادئ. يحدد مشغل Microsoft Sentinel المخطط الذي يتوقع دليل المبادئ تلقيه عند تشغيله. يحتوي موصل Microsoft Sentinel حاليا على ثلاثة مشغلات:

    • مشغل التنبيه: يتلقى دليل المبادئ التنبيه كمدخل.
    • مشغل الكيان (معاينة): يتلقى دليل المبادئ كيانا كمدخل.
    • مشغل الحدث: يتلقى دليل المبادئ الحدث كإدخل، جنبا إلى جنب مع جميع التنبيهات والكيانات المضمنة.

  • الإجراءات: الإجراءات هي جميع الخطوات التي تحدث بعد المشغل. ويمكن ترتيبها بالتسلسل أو التوازي أو في مصفوفة من حالات معقدة.

  • الحقول الديناميكية: الحقول المؤقتة التي يحددها مخطط الإخراج للمشغلات والإجراءات ويتم ملؤها باستخدام مخرجاتها الفعلية والتي يمكن استخدامها في الإجراءات التالية.

أنواع تطبيقات المنطق

يدعم Microsoft Sentinel الآن أنواع موارد تطبيق المنطق التالية:

  • الاستهلاك، الذي يعمل في تطبيقات Azure Logic Apps متعددة المستأجرين ويستخدم محرك Azure Logic Apps الكلاسيكي والأصلي.
  • Standard، الذي يعمل في Azure Logic Apps أحادي المستأجر ويستخدم محرك Azure Logic Apps المعاد تصميمه.

يوفر نوع تطبيق المنطق القياسي أداء أعلى وتسعيرا ثابتا وقدرة سير عمل متعددة وإدارة أسهل لاتصالات واجهة برمجة التطبيقات وقدرات الشبكة الأصلية مثل دعم الشبكات الظاهرية ونقاط النهاية الخاصة (انظر الملاحظة أدناه) وميزات CI/CD المضمنة وتكامل Visual Studio Code بشكل أفضل ومصمم سير عمل محدث والمزيد.

لاستخدام إصدار التطبيق المنطقي هذا، قم بإنشاء أدلة مبادئ قياسية جديدة في Microsoft Sentinel (راجع الملاحظة أدناه). يمكنك استخدام أدلة المبادئ هذه بنفس الطرق التي تستخدم بها أدلة مبادئ الاستهلاك:

  • يوصى بإرفاقها بقواعد التشغيل التلقائي و/أو قواعد التحليلات.
  • يوصى بتشغيلها عند الطلب، من كل من الحوادث والتنبيهات.
  • يوصى بإدارتها في علامة تبويب Active Playbooks.

إشعار

  • لا تدعم مهام سير العمل القياسية حاليا قوالب Playbook، مما يعني أنه لا يمكنك إنشاء دليل مبادئ قياسي يستند إلى سير العمل مباشرة في Microsoft Sentinel. بدلا من ذلك، يجب إنشاء سير العمل في Azure Logic Apps. بعد إنشاء سير العمل، يظهر كدليل مبادئ في Microsoft Sentinel.

  • تدعم مهام سير العمل القياسية لتطبيقات المنطق نقاط النهاية الخاصة كما هو مذكور أعلاه، ولكن يتطلب Microsoft Sentinel تحديد نهج تقييد الوصول في تطبيقات المنطق من أجل دعم استخدام نقاط النهاية الخاصة في أدلة المبادئ استنادا إلى مهام سير العمل القياسية.

    إذا لم يتم تعريف نهج تقييد الوصول، فقد تظل مهام سير العمل ذات نقاط النهاية الخاصة مرئية وقابلة للتحديد عند اختيار دليل مبادئ من قائمة في Microsoft Sentinel (سواء كان سيتم تشغيلها يدويا أو لإضافتها إلى قاعدة التشغيل التلقائي أو في معرض أدلة المبادئ)، وستتمكن من تحديدها، ولكن سيفشل تنفيذها.

  • يحدد المؤشر مهام سير العمل القياسية على أنها إما ذات حالة أو عديمة الحالة. لا يدعم Microsoft Sentinel مهام سير العمل عديمة الحالة في الوقت الحالي. تعرف على الاختلافات بين مهام سير العمل ذات الحالة الخاصة وعديمة الحالة.

هناك العديد من الاختلافات بين هذين النوعين من الموارد، إذ يؤثر بعضها على بعض الطرق التي يمكن استخدامها في أدلة المبادئ في Microsoft Sentinel. ستشير الوثائق إلى ما ينبغي لك معرفته في مثل هذه الحالات. لمزيد من المعلومات، راجع نوع المورد واختلافات البيئة المضيفة في وثائق Azure Logic Apps.

الأذونات المطلوبة

لمنح فريق SecOps القدرة على استخدام Azure Logic Apps لإنشاء وتشغيل أدلة المبادئ في Microsoft Sentinel، قم بتعيين أدوار Azure إلى فريق عمليات الأمان أو لمستخدمين محددين في الفريق. يوضح ما يلي الأدوار المتوفرة المختلفة والمهام التي يجب تعيينها لها:

أدوار Azure ل Azure Logic Apps

  • يسمح لك Logic App Contributor بإدارة تطبيقات المنطق وتشغيل أدلة المبادئ لكن لا يمكنك تغيير الوصول إليها (لذا تحتاج إلى دور «المالك»).
  • Logic App Operator: يتيح لك قراءة تطبيقات المنطق وتمكينها وتعطيلها، لكن لا يمكنك تحريرها أو تحديثها.

أدوار Azure ل Microsoft Sentinel

  • يتيح لك دور Microsoft Sentinel Contributor إرفاق دليل مبادئ بقاعدة تحليلات أو أتمتة.

  • يتيح لك دور مستجيب Microsoft Sentinel الوصول إلى حدث لتشغيل دليل المبادئ يدويا. ولكن لتشغيل دليل المبادئ في الواقع، تحتاج أيضا...

    • يتيح لك دور عامل تشغيل دليل المبادئ في Microsoft Sentinel تشغيل دليل المبادئ يدويا.
    • يسمح Microsoft Sentinel Automation Contributor بقواعد التشغيل التلقائي لتشغيل أدلة المبادئ. لا يستخدم لأي غرض آخر.

معرفة المزيد

خطوات إنشاء دليل مبادئ

حالات الاستخدام لأدلة المبادئ

يوفر النظام الأساسي Azure Logic Apps مئات الإجراءات والمشغلات، لذلك يمكن إنشاء أي سيناريو تشغيل تلقائي تقريبًا. توصي Microsoft Sentinel بالبدء بسيناريوهات SOC التالية، والتي تتوفر لها قوالب دليل المبادئ الجاهزة خارج الصندوق:

الإثراء

اجمع البيانات وأرفقها بالحادث لاتخاذ قرارات أكثر ذكاء.

على سبيل المثال:

تم إنشاء حدث Microsoft Sentinel من تنبيه باستخدام قاعدة تحليلات تنشئ كيانات عنوان IP.

يشغل الحدث قاعدة تشغيل تلقائي تقوم بتشغيل دليل المبادئ بالخطوات التالية:

  • ابدأ عند إنشاء حدث Microsoft Sentinel جديد. يتم تخزين الكيانات الممثلة في الحدث في الحقول الديناميكية لمشغل الحدث.

  • استعلم في كل عنوان IP عن موفر خارجي «للتحليل الذكي للمخاطر» مثل Virus Total لاسترداد المزيد من البيانات.

  • أضف البيانات والتحليلات التي تم إرجاعها كتعليقات للحدث.

المزامنة ثنائية الاتجاه

يمكن استخدام أدلة المبادئ لمزامنة حوادث Microsoft Sentinel مع أنظمة التذاكر الأخرى.

على سبيل المثال:

أنشئ قاعدة تشغيل تلقائي لجميع عمليات إنشاء الحدث، وأرفق دليل المبادئ الذي يفتح تذكرة في ServiceNow:

  • ابدأ عند إنشاء حدث Microsoft Sentinel جديد.

  • أنشئ تذكرة جديدة في ServiceNow.

  • يوصى بتضمين اسم الحدث والحقول المهمة وعنوان URL لحدث Microsoft Sentinel في التذكرة لعرض محوري بسهولة.

التزامن

استخدم منصة الدردشة SOC للتحكم بشكل أفضل في قائمة انتظار الحوادث.

على سبيل المثال:

تم إنشاء حدث Microsoft Sentinel من تنبيه باستخدام قاعدة تحليلات تنشئ اسم المستخدم وكيانات عنوان IP.

يشغل الحدث قاعدة تشغيل تلقائي تقوم بتشغيل دليل المبادئ بالخطوات التالية:

  • ابدأ عند إنشاء حدث Microsoft Sentinel جديد.

  • أرسل رسالة إلى قناة عمليات الأمان في Microsoft Teams أو Slack للتأكد من أن محللي الأمان على علم بالحدث.

  • أرسل جميع المعلومات الواردة في التنبيه عبر البريد الإلكتروني إلى مسؤول الشبكة الأول ومسؤول الأمان. تتضمن رسالة البريد الإلكتروني أزرار خيار «حظر»وتجاهل المستخدم.

  • انتظر حتى يتم تلقي استجابة من المسؤولين، ثم تابع التشغيل.

  • إذا اختار المسؤولون حظر، أرسل أمرا إلى جدار الحماية لحظر عنوان IP في التنبيه، وآخر إلى معرف Microsoft Entra لتعطيل المستخدم.

استجابة

استجب على الفور للمخاطر بأقل قدر من التبعيات البشرية.

مثالان:

مثال 1: الاستجابة لقاعدة تحليلات تشير إلى مستخدم تم اختراقه، كما تم اكتشافه بواسطة Microsoft Entra ID Protection:

  • ابدأ عند إنشاء حدث Microsoft Sentinel جديد.

  • لكل كيان مستخدم في الحدث يُشتبه أنه تم اختراقه:

    • أرسل رسالة Teams إلى المستخدم لطلب تأكيد بأن المستخدم اتخذ الإجراء المشبوه.

    • تحقق مع Microsoft Entra ID Protection لتأكيد حالة المستخدم على أنها مخترقة. ستقوم Microsoft Entra ID Protection بتسمية المستخدم على أنه محفوف بالمخاطر، وتطبيق أي نهج فرض تم تكوينه بالفعل - على سبيل المثال، لمطالبة المستخدم باستخدام المصادقة متعددة العوامل عند تسجيل الدخول التالي.

      إشعار

      لا يبدأ إجراء Microsoft Entra المحدد هذا أي نشاط فرض على المستخدم، كما أنه لا يبدأ أي تكوين لنهج الإنفاذ. يخبر Microsoft Entra ID Protection فقط بتطبيق أي نهج محددة مسبقا حسب الاقتضاء. يعتمد أي فرض بالكامل على النهج المناسبة التي يتم تعريفها في Microsoft Entra ID Protection.

مثال 2: الاستجابة لقاعدة تحليلات تشير إلى جهاز تم اختراقه، كما تم اكتشافه من Microsoft Defender لنقطة النهاية:

  • ابدأ عند إنشاء حدث Microsoft Sentinel جديد.

  • استخدم إجراء Entities - Get Hosts في Microsoft Sentinel لتحليل الأجهزة المشبوهة المضمنة في كيانات الحدث.

  • أصدر أمرًا إلى Microsoft Defender لنقطة النهاية لعزل الأجهزة في التنبيه.

الاستجابة اليدوية أثناء التحقيق أو أثناء التتبع

الاستجابة للتهديدات في سياق نشاط التحقيق النشط دون التمحور خارج السياق.

بفضل مشغل الكيان الجديد (الآن في المعاينة)، يمكنك اتخاذ إجراء فوري على جهات التهديد الفردية التي تكتشفها أثناء التحقيق، كل على حدة، مباشرة من داخل التحقيق. يتوفر هذا الخيار أيضا في سياق تتبع التهديدات، غير متصل بأي حادث معين. يمكنك تحديد كيان في السياق وتنفيذ الإجراءات عليه هناك، ما يوفر الوقت ويقلل من التعقيد.

تتضمن الإجراءات التي يمكنك اتخاذها على الكيانات التي تستخدم نوع دليل المبادئ هذا ما يلي:

  • حظر مستخدم تم اختراقه.
  • حظر نسبة استخدام الشبكة من عنوان IP ضار في جدار الحماية الخاص بك.
  • عزل مضيف تم اختراقه على شبكتك.
  • إضافة عنوان IP إلى قائمة مراقبة عناوين آمنة/غير آمنة، أو إلى CMDB الخارجي.
  • الحصول على تقرير تجزئة ملف من مصدر معلومات التهديد الخارجي وإضافته إلى حادث كتعليق.

طريقة تشغيل دليل المبادئ

يمكن تشغيل أدلة المبادئ إما يدويًا أو تلقائيًا.

تم تصميمها لتشغيلها تلقائيًا ومن الأفضل أن تكون هذه هي الطريقة التي يجب تشغيلها في المسار الطبيعي للعمليات. يمكنك تشغيل دليل المبادئ تلقائيًا بتعريفه كاستجابة تلقائية في قاعدة تحليلات (للتنبيهات)، أو كإجراء في قاعدة التنفيذ التلقائي (للحوادث).

إلا أنه هناك ظروف تستدعي تشغيل أدلة المبادئ يدويًا. على سبيل المثال:

  • عند إنشاء دليل مبادئ جديد، ستحتاج إلى اختباره قبل وضعه في الإنتاج.

  • قد تكون هناك مواقف حيث ستحتاج إلى مزيد من التحكم والمدخلات البشرية في وقت تشغيل دليل مبادئ معين وما إذا كان يتم تشغيله.

    يمكنك تشغيل دليل المبادئ يدويا عن طريق فتح حدث أو تنبيه أو كيان وتحديد وتشغيل دليل المبادئ المقترن المعروض هناك. تتوفر هذه الميزة حاليا بشكل عام للتنبيهات، وفي المعاينة للحوادث والكيانات.

تعيين استجابة تلقائية

يمكن لفرق عمليات الأمان تقليل حمل العمل بشكل كبير من خلال أتمتة الاستجابات الروتينية بشكل كامل للأنواع المتكررة من الحوادث والتنبيهات، ما يسمح لك بالتركيز أكثر على الحوادث والتنبيهات الفريدة وتحليل الأنماط وتعقب المخاطر والمزيد.

يعني تعيين الاستجابة التلقائية أنه في كل مرة يتم فيها تشغيل قاعدة تحليلات، ستشغل القاعدة، بالإضافة إلى إنشاء تنبيه، دليل المبادئ الذي سيتلقى كإدخال التنبيه الذي تم إنشاؤه بواسطة القاعدة.

إذا أنشأ التنبيه حدثا، فسيشغل الحدث قاعدة أتمتة قد تقوم بدورها بتشغيل دليل المبادئ، والذي سيتلقى كمدخل الحدث الذي أنشأه التنبيه.

استجابة تلقائية لإنشاء التنبيه

بالنسبة لأدلة المبادئ التي يتم تشغيلها بواسطة إنشاء التنبيه وتتلقي التنبيهات كإدخالاتها (خطوتها الأولى هي "تنبيه Microsoft Sentinel")، يوصى بإرفاق دليل المبادئ بقاعدة تحليلات:

  1. يوصى بتحرير قاعدة التحليلات التي تنشئ التنبيه الذي ترغب في تحديد استجابة تلقائية له.

  2. ضمن «تشغيل تلقائي للتنبيه» في علامة التبويب «الاستجابة التلقائية»، حدد دليل المبادئ أو أدلة المبادئ التي ستشغلها قاعدة التحليلات هذه عند إنشاء تنبيه.

استجابة تلقائية لإنشاء الحدث

بالنسبة لأدلة المبادئ التي يتم تشغيلها بواسطة إنشاء الحدث وتلقي الحوادث كمدخلات (خطوتها الأولى هي "حدث Microsoft Sentinel")، أنشئ قاعدة تشغيل تلقائي وحدد إجراء «تشغيل دليل مبادئ» بها. يمكن تنفيذ ذلك بطريقتين:

  • حرر قاعدة التحليلات التي تنشئ الحدث الذي ترغب في تحديد استجابة تلقائية له. ضمن «التشغيل التلقائي للحدث» في علامة تبويب «الاستجابة التلقائية»، أنشئ قاعدة تشغيل تلقائي. سيؤدي هذا إلى إنشاء استجابة تلقائية فقط لقاعدة التحليلات هذه.

  • من علامة التبويب Automation rules في صفحة Automation، أنشئ قاعدة أتمتة جديدة وحدد الشروط المناسبة والإجراءات المطلوبة. سيتم تطبيق قاعدة التشغيل التلقائي هذه على أي قاعدة تحليلات تفي بالشروط المحددة.

    إشعار

    يتطلب Microsoft Sentinel أذونات لتشغيل أدلة مبادئ تشغيل الحدث.

    لتشغيل دليل المبادئ استنادًا إلى مشغل الحدث سواء يدويًا أو من قاعدة تشغيل تلقائي، يستخدم Microsoft Sentinel حساب خدمة مصرح له خصيصًا تنفيذ ذلك. يزيد استخدام هذا الحساب (على عكس حساب المستخدم) من مستوى أمان الخدمة ويمكن واجهة برمجة تطبيقات قواعد التشغيل التلقائي من دعم حالات استخدام CI/CD.

    يجب منح هذا الحساب أذونات صريحة (تأخذ شكل دور Microsoft Sentinel Automation Contributor ) على مجموعة الموارد التي يوجد بها دليل المبادئ. ستكون عند هذه النقطة قادرًا على تشغيل أي دليل مبادئ في مجموعة الموارد هذه إما يدويًا أو من أي قاعدة تشغيل تلقائي.

    عند إضافة الإجراء تشغيل دليل مبادئ إلى قاعدة تشغيل تلقائي، ستظهر قائمة منسدلة بأدلة المبادئ لاختيارك. ستظهر أدلة المبادئ التي لا يمتلك Microsoft Azure Sentinel أذونات لها على أنها غير متوفرة («رمادية اللون»). يمكنك منح الإذن لـ Microsoft Sentinel على الفور بتحديد ارتباط «إدارة أذونات دليل المبادئ».

    في سيناريو متعدد المستأجرين (Lighthouse)، يجب تحديد الأذونات على المستأجر، إذ يوجد دليل المبادئ حتى إذا كانت قاعدة التشغيل التلقائي التي تستدعي دليل المبادئ في مستأجر مختلف. لتنفيذ ذلك، يجب أن يكون لديك أذونات «المالك» على مجموعة موارد دليل المبادئ.

    هناك سيناريو فريد يواجه «موفر خدمة الأمان المدارة (MSSP)» إذ يتولى موفر الخدمة، أثناء تسجيل الدخول إلى مستأجره الخاص، إنشاء قاعدة تشغيل تلقائي على مساحة عمل العميل باستخدام Azure Lighthouse. ثم تستدعي قاعدة التشغيل التلقائي هذه دليل مبادئ ينتمي إلى مستأجر العميل. يجب في هذه الحالة منح Microsoft Sentinel أذونات على كلا المستأجرين. يمكنك في مستأجر العميل منحهم في لوحة «إدارة أذونات دليل المبادئ» كما هو الحال في السيناريو العادي متعدد المستأجرين. أنت في حاجة لمنح الأذونات ذات الصلة في مستأجر موفر الخدمة، إلى إضافة تفويض Azure Lighthouse إضافي يمنح حقوق الوصول إلى تطبيق Azure Security Insights مع دور Microsoft Sentinel Automation Contributor في مجموعة الموارد التي يوجد بها دليل المبادئ. تعرف على كيفية إضافة هذا التفويض.

راجع الإرشادات الكاملة لإنشاء قواعد التشغيل التلقائي.

شغّل دليل المبادئ يدويًا

الأتمتة الكاملة هي أفضل حل للعديد من مهام معالجة الحوادث والتحقيق فيها والتخفيف من حدتها بقدر ما تشعر بالراحة في التشغيل التلقائي. بعد أن قلت ذلك، يمكن أن تكون هناك أسباب وجيهة لنوع من الأتمتة المختلطة: استخدام أدلة المبادئ لدمج سلسلة من الأنشطة مقابل مجموعة من الأنظمة في أمر واحد، ولكن تشغيل أدلة المبادئ فقط عندما وأين تقرر. على سبيل المثال:

  • قد تفضل أن يكون لدى محللي SOC مدخلات بشرية أكثر والتحكم في بعض الحالات.

  • قد ترغب أيضا في أن يكونوا قادرين على اتخاذ إجراء ضد جهات (كيانات) تهديد محددة عند الطلب، في سياق التحقيق أو البحث عن التهديدات، في سياق دون الحاجة إلى التركيز على شاشة أخرى. (هذه القدرة الآن في المعاينة.)

  • قد ترغب في أن يكتب مهندسو SOC أدلة المبادئ التي تعمل على كيانات معينة (الآن في المعاينة) والتي يمكن تشغيلها يدويا فقط.

  • قد ترغب في أن يتمكن مهندسوك من اختبار أدلة المبادئ التي يكتبونها قبل نشرها بالكامل في قواعد الأتمتة.

لهذه الأسباب وغيرها، يسمح لك Microsoft Sentinel بتشغيل أدلة المبادئ يدويا عند الطلب للكيانات والحوادث (سواء الآن في المعاينة) أو للتنبيهات.

  • لتشغيل دليل المبادئ على حدث معين، حدد الحدث من الشبكة في صفحة الحوادث . في مدخل Microsoft Azure، حدد Actions من جزء incident details، واختر Run playbook (Preview) من قائمة السياق. في مدخل Defender، حدد Run playbook (Preview) مباشرة من صفحة تفاصيل الحادث.

    يؤدي هذا إلى فتح لوحة تشغيل دليل مبادئ على الحدث.

  • لتشغيل دليل المبادئ على تنبيه، حدد حدثا وأدخل تفاصيل الحدث، ومن علامة التبويب «تنبيهات»، اختر تنبيها وحدد عرض أدلة المبادئ.

    يؤدي هذا إلى فتح لوحة أدلة مبادئ التنبيه.

  • لتشغيل دليل مبادئ على كيان، حدد كيانا بأي من الطرق التالية:

    • من علامة التبويب Entities لحدث ما، اختر كيانا من القائمة وحدد الارتباط Run playbook (Preview) في نهاية السطر الخاص به في القائمة.
    • من الرسم البياني للتحقيق، حدد كيانا وحدد الزر Run playbook (Preview) في اللوحة الجانبية للكيان.
    • من سلوك الكيان، حدد كيانا ومن صفحة الكيان، حدد الزر Run playbook (Preview) في اللوحة اليسرى.

    سيؤدي ذلك إلى فتح لوحة Run playbook على <نوع> الكيان.

في أي من هذه اللوحات، سترى علامة تبويب: Playbooks and Runs.

  • في علامة التبويب Playbooks، سترى قائمة بجميع أدلة المبادئ التي يمكنك الوصول إليها والتي تستخدم المشغل المناسب - سواء حدث Microsoft Sentinel أو تنبيه Microsoft Sentinel أو كيان Microsoft Sentinel. يحتوي كل دليل مبادئ في القائمة على زر «تشغيل» تحدده لتشغيل دليل المبادئ على الفور.
    إذا كنت تريد تشغيل دليل مبادئ مشغل الحدث الذي لا تراه في القائمة، فراجع الملاحظة حول أذونات Microsoft Sentinel أعلاه.

  • سترى في علامة التبويب «عمليات التشغيل» قائمة بجميع الأوقات التي تم فيها تشغيل أي دليل مبادئ على الحدث أو التنبيه الذي حددته. قد يستغرق ظهور أي تشغيل مكتمل للتو في هذه القائمة بضع ثوان. سيؤدي تحديد تشغيل معين إلى فتح سجل التشغيل الكامل في Azure Logic Apps.

إدارة أدلة المبادئ

تظهر في علامة التبويب «أدلة المبادئ النشطة» قائمة بجميع أدلة المبادئ التي يمكنك الوصول إليها، والتي تمت تصفيتها حسب الاشتراكات المعروضة حاليًا في Azure. يتوفر عامل تصفية الاشتراكات من قائمة «الدليل + الاشتراك» في رأس الصفحة العمومية.

يؤدي النقر فوق اسم دليل المبادئ إلى توجيهك إلى الصفحة الرئيسية لدليل المبادئ في Azure Logic Apps. يشير عمود «الحالة» إلى ما إذا كان ممكّنًا أو معطلًا.

يشير عمود «الخطة» إلى ما إذا كان دليل المبادئ يستخدم نوع المورد Standard أو Consumption في Azure Logic Apps. يمكنك تصفية القائمة حسب نوع الخطة لرؤية نوع واحد فقط من دليل المبادئ. ستلاحظ أن أدلة المبادئ من النوع Standard تستخدم اصطلاح التسمية LogicApp/Workflow. يعكس هذه الاصطلاح حقيقة أن دليل المبادئ Standard يمثل سير عمل موجود إلى جانب مهام سير العمل الأخرى في Logic App واحد.

يمثل نوع المشغل مشغل Azure Logic Apps الذي يبدأ تشغيل دليل المبادئ هذا.

نوع المشغل يشير إلى أنواع المكونات في دليل المبادئ
حدث/تنبيه/كيان Microsoft Sentinel يبدأ دليل المبادئ بأحد مشغلات Sentinel (حدث، تنبيه، كيان)
استخدام إجراء Microsoft Sentinel يبدأ دليل المبادئ بمشغل غير Sentinel ولكنه يستخدم إجراء Microsoft Sentinel
الاخري لا يتضمن دليل المبادئ أي مكونات Sentinel
غير مهيأ تم إنشاء دليل المبادئ لكنه لا يحتوي على مكونات (مشغلات أو إجراءات).

في صفحة Azure Logic Apps في دليل المبادئ، يمكنك مشاهدة مزيد من المعلومات حول دليل المبادئ، بما في ذلك سجل لجميع الأوقات التي تم تشغيلها فيها، والنتيجة (النجاح أو الفشل، وتفاصيل أخرى). يمكنك أيضا فتح مصمم سير العمل في Azure Logic Apps، وتحرير دليل المبادئ مباشرة، إذا كان لديك الأذونات المناسبة.

اتصالات واجهة برمجة التطبيقات

يتم استخدام اتصالات واجهة برمجة التطبيقات لتوصيل Azure Logic Apps بخدمات أخرى. في كل مرة يتم فيها إجراء مصادقة جديدة لموصل في Azure Logic Apps، يتم إنشاء مورد جديد من نوع اتصال API، ويحتوي على المعلومات المقدمة عند تكوين الوصول إلى الخدمة.

لمشاهدة جميع اتصالات واجهة برمجة التطبيقات، أدخل اتصالات واجهة برمجة التطبيقات في مربع البحث الموجود في عنوان صفحة مدخل Azure. لاحظ الأعمدة المهمة:

  • الاسم المعروض - الاسم "المألوف" الذي تمنحه للاتصال في كل مرة تباشر فيها إنشاء اتصال.
  • الحالة - تشير إلى حالة الاتصال: خطأ، متصل.
  • مجموعة الموارد - يتم إنشاء اتصالات واجهة برمجة التطبيقات في مجموعة الموارد لمورد دليل المبادئ (Azure Logic Apps).

هناك طريقة أخرى لعرض اتصالات واجهة برمجة التطبيقات وهي الانتقال إلى صفحة جميع الموارد وتصفيتها حسب نوع اتصال واجهة برمجة التطبيقات. تسمح هذه الطريقة بتحديد اتصالات متعددة ووضع علامات لها وحذفها في وقت واحد.

لتغيير تفويض اتصال موجود، أدخل مورد الاتصال، وحدد «تحرير اتصال واجهة برمجة التطبيقات».

تتوفر أدلة المبادئ الموصى بها التالية، ودلائل المبادئ المماثلة الأخرى لك في مركز المحتوى، أو في مستودع Microsoft Sentinel GitHub:

الخطوات التالية