مشاركة عبر

إنشاء الحوادث الخاصة بك يدويًا في Microsoft Sentinel

  • مقالة

هام

الإنشاء اليدوي للحوادث، باستخدام البوابة الإلكترونية أو تطبيقات المنطق، قيد المعاينة حاليًا. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.

يتوفر الإنشاء اليدوي للحوادث بشكل عام باستخدام واجهة برمجة التطبيقات.

يتوفر Microsoft Sentinel الآن بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

باستخدام Microsoft Sentinel كحل لمعلومات الأمان وإدارة الأحداث (SIEM)، يتم توسيط أنشطة الكشف عن التهديدات والاستجابة لعمليات الأمان الخاصة بك على الحوادث التي تقوم بالتحقيق فيها ومعالجتها. ولهذه الحوادث مصدران رئيسيان:

  • يتم إنشاؤها تلقائيا عندما تعمل آليات الكشف على السجلات والتنبيهات التي ي استيعابها Microsoft Sentinel من مصادر البيانات المتصلة بها.

  • يتم استيعابها مباشرة من خدمات أمان Microsoft المتصلة الأخرى (مثل Microsoft Defender XDR) التي أنشأتها.

ومع ذلك، يمكن أن تأتي بيانات التهديد أيضا من مصادر أخرى لم يتم استيعابها في Microsoft Sentinel، أو الأحداث التي لم يتم تسجيلها في أي سجل، ومع ذلك يمكن تبرير فتح تحقيق. على سبيل المثال، قد يلاحظ أحد الموظفين أن شخصا غير معروف يشارك في نشاط مشبوه يتعلق بموجودات معلومات مؤسستك. قد يقوم هذا الموظف بالاتصال بمركز عمليات الأمان (SOC) أو إرسال بريد إلكتروني إليه للإبلاغ عن النشاط.

يسمح Microsoft Sentinel لمحللي الأمان بإنشاء حوادث يدويا لأي نوع من الأحداث، بغض النظر عن مصدرها أو بياناتها، حتى لا تفوت عليك التحقيق في هذه الأنواع غير العادية من التهديدات.

حالات الاستخدام الشائعة

إنشاء حدث لحدث تم الإبلاغ عنه

هذا هو السيناريو الموضح في المقدمة أعلاه.

إنشاء حوادث خارج الأحداث من الأنظمة الخارجية

أنشئ حوادث بناءً على أحداث من الأنظمة التي لا يتم إدخال سجلاتها في Microsoft Sentinel. على سبيل المثال، قد تستخدم حملة التصيد الاحتيالي المستندة إلى الرسائل القصيرة العلامات التجارية والموضوعات الخاصة بمؤسستك لاستهداف الأجهزة المحمولة الشخصية للموظفين. قد ترغب في التحقيق في مثل هذا الهجوم، ويمكنك إنشاء حادث في Microsoft Sentinel بحيث يكون لديك نظام أساسي لإدارة التحقيق الخاص بك، وجمع الأدلة وتسجيلها، وتسجيل إجراءات الاستجابة والتخفيف.

إنشاء الحوادث على أساس نتائج التتبع

إنشاء حوادث بناءً على النتائج المرصودة لأنشطة التتبع. على سبيل المثال، في حين أن تتبع التهديدات في سياق تحقيق معين (أو بنفسك)، قد تصادف دليلا على تهديد غير ذي صلة تماما يستدعي تحقيقا منفصلا خاص به.

إنشاء حدث يدويًا

توجد ثلاث طرق لإنشاء حادث يدويًا:

بعد إلحاق Microsoft Sentinel بالنظام الأساسي لعمليات الأمان الموحدة في مدخل Microsoft Defender، لن تتم مزامنة الحوادث التي تم إنشاؤها يدويا مع النظام الأساسي الموحد، على الرغم من أنه لا يزال من الممكن عرضها وإدارتها في Microsoft Sentinel في مدخل Microsoft Azure، ومن خلال Logic Apps وواجهة برمجة التطبيقات.

قم بإنشاء حادثة باستخدام مدخل Microsoft Azure

  1. حدد Microsoft Sentinel واختر مساحة العمل الخاصة بك.

  2. من قائمة التنقل Microsoft Azure Sentinel، حدد الحوادث.

  3. في صفحة Incidents، حدد + Create incident (Preview) من شريط الأزرار.

    لقطة شاشة لشاشة الحادث الرئيسية، وتحديد الزر لإنشاء حدث جديد يدويًا.

    سيتم فتح لوحة Create incident (Preview) على الجانب الأيمن من الشاشة.

    لقطة شاشة للوحة إنشاء الحوادث يدويًا، جميع الحقول فارغة.

  4. املأ الحقول في اللوحة وفقًا لذلك.

    • ‏‫المسمى الوظيفي

      • أدخل عنوانًا من اختيارك للحادث. سيظهر الحدث في قائمة الانتظار بهذا العنوان.
      • مطلوب. نص مجاني بطول غير محدود. سيتم اقتطاع المسافات.

    • الوصف

      • أدخل معلومات وصفية حول الحادث، بما في ذلك تفاصيل مثل أصل الحادث، وأي كيانات معينة، والعلاقة بأحداث أخرى، ومن تم إبلاغه، وما إلى ذلك.
      • اختياري. نص مجاني يصل إلى 5000 حرف.

    • الخطورة

      • اختر خطورة من القائمة المنسدلة. تتوفر جميع الخطورة المدعومة من Microsoft Sentinel.
      • مطلوب. الإعدادات الافتراضية معينة على "متوسطة."

    • الحالة

      • اختر حالة من القائمة المنسدلة. تتوفر جميع الحالات المدعومة من Microsoft Sentinel.
      • مطلوب. الإعدادات الافتراضية معينة على "جديدة."
      • يمكنك إنشاء حادث بالحالة "مغلق"، ثم فتحه يدويًا بعد ذلك لإجراء تغييرات واختيار حالة مختلفة. سيؤدي اختيار "مغلق" من القائمة المنسدلة إلى تنشيط حقول أسباب التصنيف لتتمكن من اختيار سبب إغلاق الحادث وإضافة تعليقات. لقطة شاشة لحقول أسباب التصنيف لإغلاق حادث.

    • المالك

      • اختر من بين المستخدمين أو المجموعات المتوفرة في المستأجر الخاص بك. ابدأ بكتابة اسم للبحث عن المستخدمين والمجموعات. حدد الحقل (انقر أو اضغط) لعرض قائمة الاقتراحات. اختر "تعيين لي" في أعلى القائمة لتعيين الحدث لنفسك.
      • اختياري.

    • العلامات

      • استخدم العلامات لتصنيف الحوادث ولتصفية وتحديد موقعها في قائمة الانتظار.
      • إنشاء علامات عن طريق تحديد أيقونة علامة الجمع، وإدخال نص في مربع الحوار، وتحديد موافق. سيقترح الإكمال التلقائي العلامات المستخدمة داخل مساحة العمل خلال الأسبوعين السابقين.
      • اختياري. نص مجاني.

  5. في الجزء السفلي، حدد إنشاء. بعد بضع ثوان، سيتم إنشاء الحدث وسيظهر في قائمة انتظار الحوادث.

    إذا قمت بتعيين الحدث على حالة "مغلق"، فلن تظهر في قائمة الانتظار حتى تقوم بتغيير عامل تصفية الحالة لإظهار الحوادث المغلقة أيضًا. يتم تعيين عامل التصفية بشكل افتراضي لعرض الحوادث فقط بحالة "جديد" أو "نشط."

حدد الحادث في قائمة الانتظار للاطلاع على تفاصيله الكاملة وإضافة إشارات مرجعية وتغيير مالكها وحالتها والمزيد.

إذا غيرت رأيك لسبب ما بعد حقيقة إنشاء الحدث، يمكنك حذفه من شبكة قائمة الانتظار، أو من داخل الحدث نفسه.

إنشاء حدث باستخدام Azure Logic Apps

يتوفر إنشاء حدث أيضًا كإجراء Logic Apps في موصل Microsoft Sentinel، وبالتالي في أدلة مبادئMicrosoft Sentinel.

يمكنك العثور على إجراء إنشاء حدث (معاينة) في مخطط دليل المبادئ لمشغل الحدث.

لقطة شاشة لإنشاء إجراء تطبيق منطق الحادث في موصل Microsoft Sentinel.

تحتاج إلى توفير المعلمات كما هو موضح أدناه:

  • حدد اسم الاشتراك ومجموعة الموارد ومساحة العمل من القوائم المنسدلة الخاصة بها.

  • للحصول على الحقول المتبقية، راجع التفسيرات أعلاه (ضمن إنشاء حدث باستخدام مدخل Microsoft Azure).

    لقطة شاشة لإنشاء معلمات إجراء الحادث في موصل Microsoft Sentinel.

يوفر Microsoft Sentinel بعض نماذج قواعد التشغيل التي توضح لك كيفية العمل بهذه الإمكانية:

  • إنشاء حدث باستخدام نموذج Microsoft
  • إنشاء حدث من صندوق وارد البريد الإلكتروني المشترك

يمكنك العثور عليها في معرض قوالب دليل المبادئ في صفحة Microsoft Sentinel Automation.

إنشاء حادثة باستخدام Microsoft Sentinel API

تسمح لك مجموعة عمليات الحوادث ليس فقط بإنشاء الحوادث، ولكن أيضًا بتحديثها (تحريرها) والحصول عليها (استردادها) وإدراجها وحذفها.

يمكنك إنشاء حدث باستخدام نقطة النهاية التالية. بعد تقديم هذا الطلب، سيكون الحادث مرئيًا في قائمة انتظار الحوادث في البوابة.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview

فيما يلي مثال على الشكل الذي قد يبدو عليه نص الطلب:

{
  "etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
  "properties": {
    "lastActivityTimeUtc": "2019-01-01T13:05:30Z",
    "firstActivityTimeUtc": "2019-01-01T13:00:30Z",
    "description": "This is a demo incident",
    "title": "My incident",
    "owner": {
      "objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70"
    },
    "severity": "High",
    "classification": "FalsePositive",
    "classificationComment": "Not a malicious activity",
    "classificationReason": "IncorrectAlertLogic",
    "status": "Closed"
  }
}

ملاحظات

  • لا تحتوي الحوادث التي تم إنشاؤها يدويًا على أي كيانات أو تنبيهات. لذلك، ستظل علامة التبويب Alerts في صفحة الحدث فارغة حتى تقوم بربط التنبيهات الموجودة بالحادث الخاص بك.

    ستظل علامة التبويب Entities أيضًا فارغة، حيث إن إضافة الكيانات مباشرة إلى الحوادث التي تم إنشاؤها يدويًا غير مدعومة حاليًا. (إذا قمت بربط تنبيه بهذا الحادث، فستظهر كيانات من التنبيه في الحادث.)

  • لن تعرض الحوادث التي تم إنشاؤها يدويًا أيضًا أي اسم منتج في قائمة الانتظار.

  • يتم تصفية قائمة انتظار الحوادث افتراضيًا لعرض الحوادث التي تكون بحالة "جديد" أو "نشط" فقط. إذا قمت بإنشاء حادث بالحالة "مغلق"، فلن يظهر في قائمة الانتظار حتى تقوم بتغيير مرشح الحالة لإظهار الحوادث المغلقة أيضًا.

الخطوات التالية

لمزيد من المعلومات، راجع: