مشاركة عبر

الأتمتة في Microsoft Sentinel: تزامن الأمان والأتمتة والاستجابة (SOAR)

  • مقالة
  • ينطبق على:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

عادة ما تغمر فرق إدارة المعلومات الأمنية والأحداث (SIEM) ومركز عمليات الأمان (SOC) التنبيهات والحوادث الأمنية بشكل منتظم، بأحجام كبيرة بحيث يغمرها الموظفون المتاحون. ينتج عن ذلك في كثير من الأحيان حالات يتم فيها تجاهل العديد من التنبيهات ولا يتم التحقق في العديد من الحوادث مما يجعل المنظمة عرضة للهجمات التي تمر دون ملاحظتها.

Microsoft Sentinel، بالإضافة إلى كونه نظام SIEM، هو أيضا نظام أساسي لتنسيق الأمان والأتمتة والاستجابة (SOAR). أحد أغراضها الأساسية هو أتمتة أي مهام إثراء واستجابة ومعالجة متكررة ويمكن التنبؤ بها تقع على عاتق مركز عمليات الأمان والموظفين (SOC/SecOps)، ما يحرر الوقت والموارد لمزيد من التحقيق المتعمق في التهديدات المتقدمة والتتبع لها.

توضح هذه المقالة قدرات SOAR الخاصة ب Microsoft Sentinel، وتوضح كيف أن استخدام قواعد التشغيل التلقائي ودلائل المبادئ استجابة لتهديدات الأمان يزيد من فعالية SOC ويوفر لك الوقت والموارد.

هام

يتوفر Microsoft Sentinel الآن بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

قواعد الأتمتة

يستخدم Microsoft Sentinel قواعد التشغيل التلقائي للسماح للمستخدمين بإدارة أتمتة معالجة الحوادث من موقع مركزي. استخدم قواعد الأتمتة من أجل:

  • تعيين أتمتة أكثر تقدما للحوادث والتنبيهات، باستخدام أدلة المبادئ
  • وضع علامة على الحوادث أو تعيينها أو إغلاقها تلقائيا دون دليل المبادئ
  • أتمتة الاستجابات لقواعد تحليلات متعددة في وقت واحد
  • إنشاء قوائم بالمهام للمحللين لتنفيذها عند فرز الحوادث والتحقيق فيها ومعالجتها
  • التحكم في ترتيب الإجراءات التي يتم تنفيذها

نوصي بتطبيق قواعد الأتمتة عند إنشاء الحوادث أو تحديثها لتبسيط الأتمتة وتبسيط مهام سير العمل المعقدة لعمليات تزامن الحوادث.

لمزيد من المعلومات، راجع أتمتة الاستجابة للمخاطر في Microsoft Sentinel باستخدام قواعد التشغيل التلقائي.

أدلة التشغيل

دليل المبادئ هو مجموعة من إجراءات الاستجابة والمعالجة والمنطق الذي يمكن تشغيله من Microsoft Sentinel كروتين. يمكن أن يقوم دليل المبادئ ب:

  • المساعدة في أتمتة الاستجابة للمخاطر وتنسيقها
  • التكامل مع الأنظمة الأخرى، الداخلية والخارجية على حد سواء
  • يتم تكوينه للتشغيل تلقائيا استجابة لتنبيهات أو حوادث معينة، أو تشغيله يدويا عند الطلب، مثل الاستجابة للتنبيهات الجديدة

في Microsoft Sentinel، تستند أدلة المبادئ إلى مهام سير العمل المضمنة في Azure Logic Apps، وهي خدمة سحابية تساعدك على جدولة المهام ومهام سير العمل وأتمتتها وتنسيقها عبر الأنظمة في جميع أنحاء المؤسسة. وهذا يعني أن أدلة المبادئ يمكن أن تستفيد من جميع قوة وتخصيص قدرات تكامل وتزامن Logic Apps وأدوات التصميم سهلة الاستخدام، وقابلية التوسع والموثوقية وطبقة الخدمة لخدمة Azure من المستوى 1.

للمزيد من المعلومات، راجع أتمتة الاستجابة للمخاطر باستخدام أدلة المبادئ في Azure Sentinel.

التشغيل التلقائي مع النظام الأساسي لعمليات الأمان الموحدة

بعد إلحاق مساحة عمل Microsoft Sentinel بالنظام الأساسي لعمليات الأمان الموحدة، لاحظ الاختلافات التالية في الطريقة التي تعمل بها الأتمتة في مساحة العمل الخاصة بك:

الوظائف ‏‏الوصف
قواعد التنفيذ التلقائي مع مشغلات التنبيه في النظام الأساسي لعمليات الأمان الموحدة، تعمل قواعد الأتمتة مع مشغلات التنبيه فقط على تنبيهات Microsoft Sentinel.

لمزيد من المعلومات، راجع مشغل إنشاء التنبيه.
قواعد التنفيذ التلقائي مع مشغلات الحوادث في كل من مدخل Microsoft Azure والنظام الأساسي لعمليات الأمان الموحدة، تتم إزالة خاصية شرط موفر الحوادث، حيث تحتوي جميع الحوادث على Microsoft Defender XDR كموفر للحوادث (القيمة في حقل ProviderName ).

عند هذه النقطة، يتم تشغيل أي قواعد أتمتة موجودة على كل من أحداث Microsoft Sentinel وMicrosoft Defender XDR، بما في ذلك تلك التي يتم فيها تعيين شرط موفر الحوادث إلى Microsoft Sentinel أو Microsoft 365 Defender فقط.

ومع ذلك، تعمل قواعد التنفيذ التلقائي التي تحدد اسم قاعدة تحليلات محددة فقط على الحوادث التي تحتوي على تنبيهات تم إنشاؤها بواسطة قاعدة التحليلات المحددة. وهذا يعني أنه يمكنك تعريف خاصية شرط اسم القاعدة التحليلية إلى قاعدة تحليلات موجودة فقط في Microsoft Sentinel للحد من تشغيل القاعدة الخاصة بك على الحوادث فقط في Microsoft Sentinel.

لمزيد من المعلومات، راجع شروط مشغل الحادث.
التغييرات في أسماء الحوادث الموجودة في النظام الأساسي الموحد لعمليات SOC، يستخدم مدخل Defender محركا فريدا لربط الحوادث والتنبيهات. عند إعداد مساحة العمل الخاصة بك إلى النظام الأساسي الموحد لعمليات SOC، قد يتم تغيير أسماء الحوادث الموجودة إذا تم تطبيق الارتباط. للتأكد من أن قواعد التشغيل التلقائي الخاصة بك تعمل دائما بشكل صحيح، نوصي بالتالي بتجنب استخدام عناوين الحوادث كمعاييي شرط في قواعد التنفيذ التلقائي، واقتراح بدلا من ذلك استخدام اسم أي قاعدة تحليلات أنشأت تنبيهات مضمنة في الحدث، والعلامات إذا كانت هناك حاجة إلى مزيد من التحديد.
تم التحديث حسب الحقل
  • بعد إعداد مساحة العمل الخاصة بك، يحتوي الحقل Updated by على مجموعة جديدة من القيم المدعومة، والتي لم تعد تتضمن Microsoft 365 Defender. في قواعد التشغيل التلقائي الموجودة، يتم استبدال Microsoft 365 Defender بقيمة أخرى بعد إلحاق مساحة العمل الخاصة بك.

  • إذا تم إجراء تغييرات متعددة على نفس الحدث في فترة 5-10 دقائق، يتم إرسال تحديث واحد إلى Microsoft Sentinel، مع أحدث تغيير فقط.

    لمزيد من المعلومات، راجع مشغل تحديث الحدث.
    		•
    قواعد التنفيذ التلقائي التي تضيف مهام الحوادث إذا أضافت قاعدة التنفيذ التلقائي مهمة حدث، يتم عرض المهمة فقط في مدخل Microsoft Azure.
    قواعد إنشاء حدث Microsoft قواعد إنشاء الحوادث من Microsoft غير مدعومة في النظام الأساسي لعمليات الأمان الموحدة.

    لمزيد من المعلومات، راجع أحداث Microsoft Defender XDR وقواعد إنشاء أحداث Microsoft.
    تشغيل قواعد الأتمتة من مدخل Defender قد يستغرق الأمر ما يصل إلى 10 دقائق من وقت تشغيل تنبيه وإنشاء حدث أو تحديثه في مدخل Defender إلى وقت تشغيل قاعدة التنفيذ التلقائي. يرجع هذا التأخير الزمني إلى إنشاء الحدث في مدخل Defender ثم إعادة توجيهه إلى Microsoft Sentinel لقاعدة التنفيذ التلقائي.
    علامة تبويب أدلة المبادئ النشطة بعد الإلحاق بالنظام الأساسي لعمليات الأمان الموحدة، تعرض علامة التبويب أدلة المبادئ النشطة بشكل افتراضي عامل تصفية معرف مسبقا مع اشتراك مساحة العمل المضمنة. في مدخل Microsoft Azure، أضف بيانات للاشتراكات الأخرى باستخدام عامل تصفية الاشتراك.

    لمزيد من المعلومات، راجع إنشاء أدلة مبادئ Microsoft Sentinel وتخصيصها من قوالب المحتوى.
    تشغيل أدلة المبادئ يدويا عند الطلب الإجراءات التالية غير مدعومة حاليا في النظام الأساسي لعمليات الأمان الموحدة:
  • تشغيل دليل المبادئ يدويا على تنبيه
  • تشغيل دليل المبادئ يدويا على كيان
    		•
    يتطلب تشغيل أدلة المبادئ على الحوادث مزامنة Microsoft Sentinel إذا حاولت تشغيل دليل مبادئ على حدث من النظام الأساسي لعمليات الأمان الموحدة وشاهدت الرسالة "لا يمكن الوصول إلى البيانات المتعلقة بهذا الإجراء. قم بتحديث الشاشة في بضع دقائق." رسالة، وهذا يعني أن الحادث لم تتم مزامنته بعد مع Microsoft Sentinel.

    قم بتحديث صفحة الحدث بعد مزامنة الحدث لتشغيل دليل المبادئ بنجاح.
    الحوادث: إضافة تنبيهات إلى الحوادث /
    إزالة التنبيهات من الحوادث    		 نظرا لأن إضافة تنبيهات إلى التنبيهات أو إزالتها من الحوادث غير مدعومة بعد إلحاق مساحة العمل الخاصة بك بالنظام الأساسي لعمليات الأمان الموحدة، فإن هذه الإجراءات غير مدعومة أيضا من داخل أدلة المبادئ. لمزيد من المعلومات، راجع اختلافات القدرة بين المداخل.

    المحتوى ذو الصلة