حالات استخدام دليل المبادئ الموصى بها والقوالب والأمثلة
تسرد هذه المقالة حالات استخدام العينة لدلائل مبادئ Microsoft Sentinel، بالإضافة إلى نماذج أدلة المبادئ وقوالب دليل المبادئ الموصى بها.
حالات استخدام دليل المبادئ الموصى بها
نوصي بالبدء باستخدام أدلة مبادئ Microsoft Sentinel لسيناريوهات SOC التالية، والتي نقدم لها قوالب دليل المبادئ الجاهزة الجاهزة.
الإثراء: جمع البيانات وإرفاقها بحادث لاتخاذ قرارات أكثر ذكاء
إذا تم إنشاء حدث Microsoft Sentinel الخاص بك من قاعدة تنبيه وتحليلات تنشئ كيانات عنوان IP، فقم بتكوين الحدث لتشغيل قاعدة أتمتة لتشغيل دليل المبادئ وجمع المزيد من المعلومات.
قم بتكوين دليل المبادئ الخاص بك بالخطوات التالية:
ابدأ تشغيل دليل المبادئ عند إنشاء الحدث. يتم تخزين الكيانات الممثلة في الحدث في الحقول الديناميكية لمشغل الحدث.
لكل عنوان IP، قم بتكوين دليل المبادئ للاستعلام عن موفر تحليل ذكي للمخاطر خارجي، مثل إجمالي الفيروسات، لاسترداد المزيد من البيانات.
أضف البيانات والرؤى التي تم إرجاعها كتعليقات على الحادث لإثراء التحقيق الخاص بك.
مزامنة ثنائية الاتجاه لحوادث Microsoft Sentinel مع أنظمة إصدار التذاكر الأخرى
لمزامنة بيانات حادث Microsoft Sentinel مع نظام إصدار التذاكر، مثل ServiceNow:
إنشاء قاعدة أتمتة لكافة إنشاء الحدث.
إرفاق دليل المبادئ الذي يتم تشغيله عند إنشاء حادث جديد.
تكوين دليل المبادئ لإنشاء تذكرة جديدة في ServiceNow باستخدام موصل ServiceNow.
تأكد من أن فرقك يمكنها بسهولة الانتقال من تذكرة ServiceNow مرة أخرى إلى حادث Microsoft Sentinel الخاص بك عن طريق تكوين دليل المبادئ لتضمين اسم الحدث والحقول المهمة وعنوان URL لحدث Microsoft Sentinel في تذكرة ServiceNow.
التزامن: التحكم في قائمة انتظار الحوادث من النظام الأساسي لدردشة SOC
إذا تم إنشاء حدث Microsoft Sentinel الخاص بك من قاعدة تنبيه وتحليلات تنشئ كيانات اسم المستخدم وعنوان IP، فقم بتكوين الحدث لتشغيل قاعدة أتمتة لتشغيل دليل المبادئ والاتصال بفريقك عبر قنوات الاتصالات القياسية.
قم بتكوين دليل المبادئ الخاص بك بالخطوات التالية:
ابدأ تشغيل دليل المبادئ عند إنشاء الحدث. يتم تخزين الكيانات الممثلة في الحدث في الحقول الديناميكية لمشغل الحدث.
قم بتكوين دليل المبادئ لإرسال رسالة إلى قناة اتصالات عمليات الأمان، كما هو الحال في Microsoft Teams أو Slack للتأكد من أن محللي الأمان على علم بالحادث.
قم بتكوين دليل المبادئ لإرسال جميع المعلومات في التنبيه عبر البريد الإلكتروني إلى مسؤول الشبكة الأقدم ومسؤول الأمان. تتضمن رسالة البريد الإلكتروني زري الخيار حظر وتجاهل المستخدم.
قم بتكوين دليل المبادئ للانتظار حتى يتم تلقي استجابة من المسؤولين، ثم تابع التشغيل.
إذا حدد المسؤولون حظر، فكون دليل المبادئ لإرسال أمر إلى جدار الحماية لحظر عنوان IP في التنبيه، وآخر إلى معرف Microsoft Entra لتعطيل المستخدم.
الاستجابة للتهديدات على الفور بأقل قدر من التبعيات البشرية
يقدم هذا القسم مثالين، الاستجابة لتهديدات مستخدم تم اختراقه وجهاز تم اختراقه.
في حالة تعرض مستخدم للخطر، مثل اكتشافه بواسطة Microsoft Entra ID Protection:
ابدأ تشغيل دليل المبادئ عند إنشاء حدث جديد في Microsoft Sentinel.
لكل كيان مستخدم في الحدث الذي يشتبه في اختراقه، قم بتكوين دليل المبادئ إلى:
أرسل رسالة Teams إلى المستخدم لطلب تأكيد بأن المستخدم اتخذ الإجراء المشبوه.
تحقق مع Microsoft Entra ID Protection لتأكيد حالة المستخدم على أنها مخترقة. تصنف Microsoft Entra ID Protection المستخدم على أنه محفوف بالمخاطر، وتطبق أي نهج فرض تم تكوينه بالفعل - على سبيل المثال، لمطالبة المستخدم باستخدام المصادقة متعددة العوامل عند تسجيل الدخول التالي.
إشعار
لا يبدأ إجراء Microsoft Entra المحدد هذا أي نشاط فرض على المستخدم، كما أنه لا يبدأ أي تكوين لنهج الإنفاذ. يخبر Microsoft Entra ID Protection فقط بتطبيق أي نهج محددة مسبقا حسب الاقتضاء. يعتمد أي فرض بالكامل على النهج المناسبة التي يتم تعريفها في Microsoft Entra ID Protection.
في حالة وجود جهاز مخترق، مثل اكتشافه بواسطة Microsoft Defender لنقطة النهاية:
ابدأ تشغيل دليل المبادئ عند إنشاء حدث جديد في Microsoft Sentinel.
قم بتكوين دليل المبادئ الخاص بك مع إجراء Entities - Get Hosts لتحليل الأجهزة المشبوهة المضمنة في كيانات الحدث.
قم بتكوين دليل المبادئ لإصدار أمر Microsoft Defender لنقطة النهاية لعزل الأجهزة في التنبيه.
الاستجابة يدويا أثناء التحقيق أو أثناء التتبع دون مغادرة السياق
استخدم مشغل الكيان لاتخاذ إجراء فوري على جهات التهديد الفردية التي تكتشفها أثناء التحقيق، كل على حدة، مباشرة من داخل التحقيق الخاص بك. يتوفر هذا الخيار أيضا في سياق تتبع التهديدات، غير متصل بأي حادث معين.
حدد كيانا في السياق وقم بتنفيذ الإجراءات عليه هناك، ما يوفر الوقت ويقلل من التعقيد.
تدعم أدلة المبادئ مع مشغلات الكيان إجراءات الدعم مثل:
- حظر مستخدم تم اختراقه.
- حظر نسبة استخدام الشبكة من عنوان IP ضار في جدار الحماية الخاص بك.
- عزل مضيف تم اختراقه على شبكتك.
- إضافة عنوان IP إلى قائمة مراقبة عناوين آمنة/غير آمنة، أو إلى قاعدة بيانات إدارة التكوين الخارجية (CMDB).
- الحصول على تقرير تجزئة ملف من مصدر معلومات التهديد الخارجي وإضافته إلى حادث كتعليق.
قوالب دليل المبادئ الموصى بها
يسرد هذا القسم أدلة المبادئ الموصى بها، وتتوفر أدلة مبادئ أخرى مشابهة لك في مركز المحتوى، أو في مستودع Microsoft Sentinel GitHub.
قوالب دليل المبادئ للإعلام
يتم تشغيل أدلة مبادئ الإعلام عند إنشاء تنبيه أو حدث وإرسال إشعار إلى وجهة مكونة:
دليل المبادئ | مجلد في مستودع GitHub |
الحل في مركز المحتوى/ Azure Marketplace |
---|---|---|
انشر رسالة في قناة Microsoft Teams | فرق ما بعد الرسائل | حل Sentinel SOAR Essentials |
أرسل إشعار بالبريد الإلكتروني في Outlook | إرسال البريد الإلكتروني الأساسي | حل Sentinel SOAR Essentials |
انشر رسالة في قناة Slack | فترة ما بعد الرسالة | حل Sentinel SOAR Essentials |
إرسال بطاقة Microsoft Teams التكيفية عند إنشاء الحدث | Send-Teams-adaptive-card-on-incident-creation | حل Sentinel SOAR Essentials |
حظر قوالب دليل المبادئ
يتم تشغيل حظر أدلة المبادئ عند إنشاء تنبيه أو حدث، وجمع معلومات الكيان مثل الحساب وعنوان IP والمضيف ومنعها من إجراءات إضافية:
دليل المبادئ | مجلد في مستودع GitHub |
الحل في مركز المحتوى/ Azure Marketplace |
---|---|---|
حظر عنوان IP في Azure Firewall | AzureFirewall-BlockIP-addNewRule | حل Azure Firewall لـ Sentinel |
حظر مستخدم Microsoft Entra | Block-AADUser | حل Microsoft Entra |
إعادة تعيين كلمة مرور مستخدم Microsoft Entra | Reset-AADUserPassword | حل Microsoft Entra |
عزل الجهاز أو إلغاء حله باستخدام Microsoft Defender لنقطة النهاية |
عزل MDEMachine Unisolate-MDEMachine |
حل Microsoft Defender لنقطة النهاية |
إنشاء قوالب دليل المبادئ أو تحديثها أو إغلاقها
يمكن لإنشاء أدلة مبادئ أو تحديثها أو إغلاقها إنشاء أحداث أو تحديثها أو إغلاقها في Microsoft Sentinel أو خدمات أمان Microsoft 365 أو أنظمة التذاكر الأخرى:
دليل المبادئ | مجلد في مستودع GitHub |
الحل في مركز المحتوى/ Azure Marketplace |
---|---|---|
إنشاء حدث باستخدام Microsoft Forms | CreateIncident-MicrosoftForms | حل Sentinel SOAR Essentials |
ربط التنبيهات بالحوادث | relateAlertsToIncident-basedOnIP | حل Sentinel SOAR Essentials |
إنشاء حدث Service Now | إنشاء سجل SNOW | حل ServiceNow |
تكوينات دليل المبادئ شائعة الاستخدام
يوفر هذا القسم لقطات شاشة نموذجية لتكوينات دليل المبادئ شائعة الاستخدام، بما في ذلك تحديث حدث أو استخدام تفاصيل الحادث أو إضافة تعليقات إلى حادث أو تعطيل مستخدم.
تحديث حدث
يوفر هذا القسم لقطات شاشة نموذجية لكيفية استخدام دليل المبادئ لتحديث حادث استنادا إلى حادث أو تنبيه جديد.
تحديث حدث استنادا إلى حادث جديد (مشغل الحادث):
تحديث حدث استنادا إلى تنبيه جديد (مشغل التنبيه):
استخدام تفاصيل الحادث في التدفق الخاص بك
يوفر هذا القسم لقطات شاشة نموذجية لكيفية استخدام دليل المبادئ الخاص بك لاستخدام تفاصيل الحادث في مكان آخر في تدفقك:
إرسال تفاصيل الحادث عن طريق البريد، باستخدام دليل المبادئ الذي تم تشغيله بواسطة حادث جديد:
إرسال تفاصيل الحادث عن طريق البريد، باستخدام دليل المبادئ الذي تم تشغيله بواسطة تنبيه جديد:
إضافة تعليق إلى حدث
يوفر هذا القسم لقطات شاشة نموذجية لكيفية استخدام دليل المبادئ الخاص بك لإضافة تعليقات إلى حادث:
أضف تعليقا إلى حدث ما، باستخدام دليل المبادئ الذي تم تشغيله بواسطة حدث جديد:
أضف تعليقا إلى حدث ما، باستخدام دليل المبادئ الذي تم تشغيله بواسطة تنبيه جديد:
تعطيل مستخدم
تعرض لقطة الشاشة التالية مثالا على كيفية استخدام دليل المبادئ لتعطيل حساب مستخدم، استنادا إلى مشغل كيان Microsoft Sentinel: