مشاركة عبر

حالات استخدام دليل المبادئ الموصى بها والقوالب والأمثلة

  • مقالة
  • ينطبق على:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

تسرد هذه المقالة حالات استخدام العينة لدلائل مبادئ Microsoft Sentinel، بالإضافة إلى نماذج أدلة المبادئ وقوالب دليل المبادئ الموصى بها.

نوصي بالبدء باستخدام أدلة مبادئ Microsoft Sentinel لسيناريوهات SOC التالية، والتي نقدم لها قوالب دليل المبادئ الجاهزة الجاهزة.

الإثراء: جمع البيانات وإرفاقها بحادث لاتخاذ قرارات أكثر ذكاء

إذا تم إنشاء حدث Microsoft Sentinel الخاص بك من قاعدة تنبيه وتحليلات تنشئ كيانات عنوان IP، فقم بتكوين الحدث لتشغيل قاعدة أتمتة لتشغيل دليل المبادئ وجمع المزيد من المعلومات.

قم بتكوين دليل المبادئ الخاص بك بالخطوات التالية:

  1. ابدأ تشغيل دليل المبادئ عند إنشاء الحدث. يتم تخزين الكيانات الممثلة في الحدث في الحقول الديناميكية لمشغل الحدث.

  2. لكل عنوان IP، قم بتكوين دليل المبادئ للاستعلام عن موفر تحليل ذكي للمخاطر خارجي، مثل إجمالي الفيروسات، لاسترداد المزيد من البيانات.

  3. أضف البيانات والرؤى التي تم إرجاعها كتعليقات على الحادث لإثراء التحقيق الخاص بك.

مزامنة ثنائية الاتجاه لحوادث Microsoft Sentinel مع أنظمة إصدار التذاكر الأخرى

لمزامنة بيانات حادث Microsoft Sentinel مع نظام إصدار التذاكر، مثل ServiceNow:

  1. إنشاء قاعدة أتمتة لكافة إنشاء الحدث.

  2. إرفاق دليل المبادئ الذي يتم تشغيله عند إنشاء حادث جديد.

  3. تكوين دليل المبادئ لإنشاء تذكرة جديدة في ServiceNow باستخدام موصل ServiceNow.

    تأكد من أن فرقك يمكنها بسهولة الانتقال من تذكرة ServiceNow مرة أخرى إلى حادث Microsoft Sentinel الخاص بك عن طريق تكوين دليل المبادئ لتضمين اسم الحدث والحقول المهمة وعنوان URL لحدث Microsoft Sentinel في تذكرة ServiceNow.

التزامن: التحكم في قائمة انتظار الحوادث من النظام الأساسي لدردشة SOC

إذا تم إنشاء حدث Microsoft Sentinel الخاص بك من قاعدة تنبيه وتحليلات تنشئ كيانات اسم المستخدم وعنوان IP، فقم بتكوين الحدث لتشغيل قاعدة أتمتة لتشغيل دليل المبادئ والاتصال بفريقك عبر قنوات الاتصالات القياسية.

قم بتكوين دليل المبادئ الخاص بك بالخطوات التالية:

  1. ابدأ تشغيل دليل المبادئ عند إنشاء الحدث. يتم تخزين الكيانات الممثلة في الحدث في الحقول الديناميكية لمشغل الحدث.

  2. قم بتكوين دليل المبادئ لإرسال رسالة إلى قناة اتصالات عمليات الأمان، كما هو الحال في Microsoft Teams أو Slack للتأكد من أن محللي الأمان على علم بالحادث.

  3. قم بتكوين دليل المبادئ لإرسال جميع المعلومات في التنبيه عبر البريد الإلكتروني إلى مسؤول الشبكة الأقدم ومسؤول الأمان. تتضمن رسالة البريد الإلكتروني زري الخيار حظر وتجاهل المستخدم.

  4. قم بتكوين دليل المبادئ للانتظار حتى يتم تلقي استجابة من المسؤولين، ثم تابع التشغيل.

  5. إذا حدد المسؤولون حظر، فكون دليل المبادئ لإرسال أمر إلى جدار الحماية لحظر عنوان IP في التنبيه، وآخر إلى معرف Microsoft Entra لتعطيل المستخدم.

الاستجابة للتهديدات على الفور بأقل قدر من التبعيات البشرية

يقدم هذا القسم مثالين، الاستجابة لتهديدات مستخدم تم اختراقه وجهاز تم اختراقه.

في حالة تعرض مستخدم للخطر، مثل اكتشافه بواسطة Microsoft Entra ID Protection:

  1. ابدأ تشغيل دليل المبادئ عند إنشاء حدث جديد في Microsoft Sentinel.

  2. لكل كيان مستخدم في الحدث الذي يشتبه في اختراقه، قم بتكوين دليل المبادئ إلى:

    1. أرسل رسالة Teams إلى المستخدم لطلب تأكيد بأن المستخدم اتخذ الإجراء المشبوه.

    2. تحقق مع Microsoft Entra ID Protection لتأكيد حالة المستخدم على أنها مخترقة. تصنف Microsoft Entra ID Protection المستخدم على أنه محفوف بالمخاطر، وتطبق أي نهج فرض تم تكوينه بالفعل - على سبيل المثال، لمطالبة المستخدم باستخدام المصادقة متعددة العوامل عند تسجيل الدخول التالي.

    إشعار

    لا يبدأ إجراء Microsoft Entra المحدد هذا أي نشاط فرض على المستخدم، كما أنه لا يبدأ أي تكوين لنهج الإنفاذ. يخبر Microsoft Entra ID Protection فقط بتطبيق أي نهج محددة مسبقا حسب الاقتضاء. يعتمد أي فرض بالكامل على النهج المناسبة التي يتم تعريفها في Microsoft Entra ID Protection.

في حالة وجود جهاز مخترق، مثل اكتشافه بواسطة Microsoft Defender لنقطة النهاية:

  1. ابدأ تشغيل دليل المبادئ عند إنشاء حدث جديد في Microsoft Sentinel.

  2. قم بتكوين دليل المبادئ الخاص بك مع إجراء Entities - Get Hosts لتحليل الأجهزة المشبوهة المضمنة في كيانات الحدث.

  3. قم بتكوين دليل المبادئ لإصدار أمر Microsoft Defender لنقطة النهاية لعزل الأجهزة في التنبيه.

الاستجابة يدويا أثناء التحقيق أو أثناء التتبع دون مغادرة السياق

استخدم مشغل الكيان لاتخاذ إجراء فوري على جهات التهديد الفردية التي تكتشفها أثناء التحقيق، كل على حدة، مباشرة من داخل التحقيق الخاص بك. يتوفر هذا الخيار أيضا في سياق تتبع التهديدات، غير متصل بأي حادث معين.

حدد كيانا في السياق وقم بتنفيذ الإجراءات عليه هناك، ما يوفر الوقت ويقلل من التعقيد.

تدعم أدلة المبادئ مع مشغلات الكيان إجراءات الدعم مثل:

  • حظر مستخدم تم اختراقه.
  • حظر نسبة استخدام الشبكة من عنوان IP ضار في جدار الحماية الخاص بك.
  • عزل مضيف تم اختراقه على شبكتك.
  • إضافة عنوان IP إلى قائمة مراقبة عناوين آمنة/غير آمنة، أو إلى قاعدة بيانات إدارة التكوين الخارجية (CMDB).
  • الحصول على تقرير تجزئة ملف من مصدر معلومات التهديد الخارجي وإضافته إلى حادث كتعليق.

يسرد هذا القسم أدلة المبادئ الموصى بها، وتتوفر أدلة مبادئ أخرى مشابهة لك في مركز المحتوى، أو في مستودع Microsoft Sentinel GitHub.

قوالب دليل المبادئ للإعلام

يتم تشغيل أدلة مبادئ الإعلام عند إنشاء تنبيه أو حدث وإرسال إشعار إلى وجهة مكونة:

دليل المبادئ مجلد في
مستودع GitHub		 الحل في مركز المحتوى/
Azure Marketplace
انشر رسالة في قناة Microsoft Teams فرق ما بعد الرسائل حل Sentinel SOAR Essentials
أرسل إشعار بالبريد الإلكتروني في Outlook إرسال البريد الإلكتروني الأساسي حل Sentinel SOAR Essentials
انشر رسالة في قناة Slack فترة ما بعد الرسالة حل Sentinel SOAR Essentials
إرسال بطاقة Microsoft Teams التكيفية عند إنشاء الحدث Send-Teams-adaptive-card-on-incident-creation حل Sentinel SOAR Essentials

حظر قوالب دليل المبادئ

يتم تشغيل حظر أدلة المبادئ عند إنشاء تنبيه أو حدث، وجمع معلومات الكيان مثل الحساب وعنوان IP والمضيف ومنعها من إجراءات إضافية:

دليل المبادئ مجلد في
مستودع GitHub		 الحل في مركز المحتوى/
Azure Marketplace
حظر عنوان IP في Azure Firewall AzureFirewall-BlockIP-addNewRule حل Azure Firewall لـ Sentinel
حظر مستخدم Microsoft Entra Block-AADUser حل Microsoft Entra
إعادة تعيين كلمة مرور مستخدم Microsoft Entra Reset-AADUserPassword حل Microsoft Entra
عزل الجهاز أو إلغاء حله باستخدام
Microsoft Defender لنقطة النهاية		 عزل MDEMachine
Unisolate-MDEMachine		 حل Microsoft Defender لنقطة النهاية

إنشاء قوالب دليل المبادئ أو تحديثها أو إغلاقها

يمكن لإنشاء أدلة مبادئ أو تحديثها أو إغلاقها إنشاء أحداث أو تحديثها أو إغلاقها في Microsoft Sentinel أو خدمات أمان Microsoft 365 أو أنظمة التذاكر الأخرى:

دليل المبادئ مجلد في
مستودع GitHub		 الحل في مركز المحتوى/
Azure Marketplace
إنشاء حدث باستخدام Microsoft Forms CreateIncident-MicrosoftForms حل Sentinel SOAR Essentials
ربط التنبيهات بالحوادث relateAlertsToIncident-basedOnIP حل Sentinel SOAR Essentials
إنشاء حدث Service Now إنشاء سجل SNOW حل ServiceNow

تكوينات دليل المبادئ شائعة الاستخدام

يوفر هذا القسم لقطات شاشة نموذجية لتكوينات دليل المبادئ شائعة الاستخدام، بما في ذلك تحديث حدث أو استخدام تفاصيل الحادث أو إضافة تعليقات إلى حادث أو تعطيل مستخدم.

تحديث حدث

يوفر هذا القسم لقطات شاشة نموذجية لكيفية استخدام دليل المبادئ لتحديث حادث استنادا إلى حادث أو تنبيه جديد.

تحديث حدث استنادا إلى حادث جديد (مشغل الحادث):

لقطة شاشة لمثال تدفق تحديث بسيط لتشغيل الحدث.

تحديث حدث استنادا إلى تنبيه جديد (مشغل التنبيه):

لقطة شاشة لمثال تدفق حدث تحديث بسيط لتشغيل التنبيه.

استخدام تفاصيل الحادث في التدفق الخاص بك

يوفر هذا القسم لقطات شاشة نموذجية لكيفية استخدام دليل المبادئ الخاص بك لاستخدام تفاصيل الحادث في مكان آخر في تدفقك:

إرسال تفاصيل الحادث عن طريق البريد، باستخدام دليل المبادئ الذي تم تشغيله بواسطة حادث جديد:

لقطة شاشة لمشغل حدث مثال تدفق الحصول على بسيط.

إرسال تفاصيل الحادث عن طريق البريد، باستخدام دليل المبادئ الذي تم تشغيله بواسطة تنبيه جديد:

لقطة شاشة لمشغل تنبيه مثال بسيط على تدفق الحادث.

إضافة تعليق إلى حدث

يوفر هذا القسم لقطات شاشة نموذجية لكيفية استخدام دليل المبادئ الخاص بك لإضافة تعليقات إلى حادث:

أضف تعليقا إلى حدث ما، باستخدام دليل المبادئ الذي تم تشغيله بواسطة حدث جديد:

لقطة شاشة لمشغل حدث مثال بسيط لإضافة تعليق.

أضف تعليقا إلى حدث ما، باستخدام دليل المبادئ الذي تم تشغيله بواسطة تنبيه جديد:

لقطة شاشة لمشغل تنبيه مثال بسيط لإضافة تعليق.

تعطيل مستخدم

تعرض لقطة الشاشة التالية مثالا على كيفية استخدام دليل المبادئ لتعطيل حساب مستخدم، استنادا إلى مشغل كيان Microsoft Sentinel:

لقطة شاشة تعرض الإجراءات التي يجب اتخاذها في دليل مبادئ مشغل الكيان لتعطيل مستخدم.

المحتوى ذو الصلة