المشغلات والإجراءات المدعومة في أدلة مبادئ Microsoft Sentinel
توضح هذه المقالة المشغلات والإجراءات التي يدعمها موصل Logic Apps Microsoft Sentinel. استخدم المشغلات والإجراءات المدرجة في أدلة مبادئ Microsoft Sentinel للتفاعل مع بيانات Microsoft Sentinel.
هام
الوظيفة المذكورة قيد المعاينة حاليا. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.
المتطلبات الأساسية
قبل البدء، تأكد من أن لديك أذونات Azure التالية المطلوبة لاستخدام مكونات موصل Microsoft Sentinel:
| الدور | استخدام المشغلات | الحصول على الإجراءات المتوفرة | حدث التحديث، أضف تعليقاً |
|---|---|---|---|
| Microsoft Sentinel Reader | √ | √ | - |
| Microsoft Sentinel المستجيب/المساهم | √ | √ | √ |
لمزيد من المعلومات، راجع الأدوار والأذونات في Microsoft Sentinel والمتطلبات الأساسية للعمل مع أدلة مبادئ Microsoft Sentinel.
مشغلات Microsoft Sentinel المدعومة
يدعم موصل Microsoft Sentinel، وبالتالي أدلة مبادئ Microsoft Sentinel، المشغلات التالية:
حدث Microsoft Sentinel. يوصى به لمعظم سيناريوهات أتمتة الحدث.
يتلقى دليل المبادئ كائنات الحادث، بما في ذلك الكيانات والتنبيهات. يسمح لك هذا المشغل بإرفاق دليل مبادئ بقاعدة أتمتة يمكن تشغيلها كلما تم إنشاء حادث أو تحديثه في Microsoft Sentinel، وتطبيق جميع فوائد قواعد التشغيل التلقائي على الحدث.
تنبيه Microsoft Sentinel (معاينة). يوصى به لدلائل المبادئ التي يجب تشغيلها يدويا على التنبيهات، أو لقواعد التحليلات المجدولة التي لا تنشئ حوادث لتنبيهاتها.
- لا يمكن استخدام هذا المشغل لأتمتة الاستجابات للتنبيهات التي تم إنشاؤها بواسطة قواعد تحليلات أمان Microsoft.
- لا يمكن استدعاء أدلة المبادئ التي تستخدم هذا المشغل بواسطة قواعد التشغيل التلقائي.
كيان Microsoft Sentinel. يوصى به لأدلة المبادئ التي يجب تشغيلها يدويا على كيانات معينة من سياق التحقيق أو تتبع التهديدات. لا يمكن استدعاء أدلة المبادئ التي تستخدم هذا المشغل بواسطة قواعد التشغيل التلقائي.
المخططات المستخدمة من قبل هذه التدفقات غير متطابقة. نوصي باستخدام تدفق مشغل حدث Microsoft Sentinel لمعظم السيناريوهات.
الحقول الديناميكية للحدث
يتضمن عنصر الحدث الذي تم تلقيه من حدث Microsoft Azure Sentinel الحقول الديناميكية التالية:
| اسم الحقل | الوصف |
|---|---|
| خصائص الحادث | يظهر كحادث : <اسم الحقل> |
| Alerts | صفيف من خصائص التنبيه التالية، يظهر باسم Alert: <field name>. نظرا لأن كل حادث يمكن أن يتضمن تنبيهات متعددة، فإن تحديد خاصية تنبيه ينشئ تلقائيا لكل حلقة لتغطية جميع التنبيه في الحدث. |
| الكيانات | صفيف من جميع كيانات التنبيه |
| حقول معلومات مساحة العمل | تفاصيل حول مساحة عمل Microsoft Sentinel حيث تم إنشاء الحدث، بما في ذلك: - معرف الاشتراك - اسم مساحة العمل - معرف مساحة العمل - اسم مجموعة الموارد |
إجراءات Microsoft Sentinel المدعومة
يدعم موصل Microsoft Sentinel، وبالتالي أدلة مبادئ Microsoft Sentinel، الإجراءات التالية:
| الإجراء | متى يتم استخدامها |
|---|---|
| Alert - Get Incident | في أدلة المبادئ التي تبدأ بمشغّل التنبيه. مفيد للحصول على خصائص الحدث، أو استرداد معرّف ARM للحدث لاستخدامه مع إجراءات Update incident أو Add comment to incident. |
| Get Incident | عند تشغيل دليل مبادئ من مصدر خارجي أو باستخدام مشغّل غير Azure Sentinel. التعرّف باستخدام معرّف ARM للحدث. استرداد خصائص الحدث وتعليقاته. |
| Update Incident | لتغيير حالة الحدث (على سبيل المثال، عند إغلاق الحدث)، قم بتعيين مالك أو إضافة علامة أو إزالتها، أو لتغيير أهميته أو عنوانه أو وصفه. |
| Add comments to incident | لإثراء الحدث بالمعلومات التي تم جمعها من مصادر خارجية؛ لتدقيق الإجراءات التي يتخذها دليل المبادئ على الكيانات؛ لتوفير معلومات إضافية قيّمة للتحقيق في الأحداث. |
| Entities - Get <نوع الكيان> | في أدلة المبادئ التي تعمل على نوع كيان معين (IP أو Account أو Host أو **URL أو FileHash) المعروف في وقت إنشاء دليل المبادئ، وتحتاج إلى أن تكون قادرا على تحليله والعمل على حقوله الفريدة. |
تلميح
تتطلب الإجراءات Update Incident وAdd a Comment to Incident معرّف ARM للحدث.
استخدم الإجراء Alert - Get Incident مسبقاً للحصول على معرّف ARM للحدث.
أنواع الكيانات المدعومة
الحقل الديناميكي Entities هو صفيف من عناصر JSON، يمثل كل منها كياناً. كل نوع كيان له مخططه الخاص، اعتماداً على خصائصه الفريدة.
يسمح لك إجراء "Entities - Get <entity type>" ب:
- تصفية صفيف الكيانات حسب النوع المطلوب.
- تحليل حقول محددة من هذا النوع، بحيث يمكن استخدامها كحقول ديناميكية في إجراءات إضافية.
الإدخال هو الحقل الديناميكي Entities.
الاستجابة هي صفيف من الكيانات، حيث يتم تحليل الخصائص الخاصة ويمكن استخدامها مباشرة في التكرار الحلقي For each.
تتضمن أنواع الكيانات المدعومة حاليا ما يلي:
تعرض الصورة التالية مثالا للإجراءات المتاحة للكيانات:
بالنسبة إلى أنواع الكيانات الأخرى، يمكن تحقيق وظائف مماثلة باستخدام الإجراءات المُضمنة في Logic Apps:
تصفية صفيف الكيانات حسب النوع المطلوب باستخدام Filter Array.
تحليل الحقول المحددة من هذا النوع، بحيث يمكن استخدامها كحقول ديناميكية في مزيد من الإجراءات باستخدام Parse JSON.
المحتوى ذو الصلة
لمزيد من المعلومات، راجع:
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ