مشاركة عبر

أنشئ حوادث من تنبيهات الأمان في Microsoft تلقائيًا

  • مقالة

لا تنشئ التنبيهات التي يتم تشغيلها في حلول أمان Microsoft المتصلة ب Microsoft Sentinel، مثل Microsoft Defender for Cloud Apps وMicrosoft Defender for Identity، حوادث تلقائيا في Microsoft Sentinel. بشكل افتراضي، عند توصيل حل Microsoft ب Microsoft Sentinel، سيتم استيعاب أي تنبيه تم إنشاؤه في هذه الخدمة وتخزينه في جدول SecurityAlert في مساحة عمل Microsoft Sentinel. يمكنك بعد ذلك استخدام تلك البيانات مثل أي بيانات أولية أخرى تدمجها في Microsoft Sentinel.

يمكنك تكوين Microsoft Sentinel بسهولة لإنشاء الحوادث تلقائيا في كل مرة يتم فيها تشغيل تنبيه في حل أمان متصل في Microsoft باتباع الإرشادات الواردة في هذه المقالة.

هام

لا تنطبق هذه المقالة إذا كان لديك:

  • تمكين تكامل حدث Microsoft Defender XDR، أو
  • إلحاق Microsoft Sentinel بالنظام الأساسي لعمليات الأمان الموحدة.

في هذه السيناريوهات، ينشئ Microsoft Defender XDR حوادث من التنبيهات التي تم إنشاؤها في خدمات Microsoft.

المتطلبات الأساسية

قم بتوصيل حل الأمان الخاص بك عن طريق تثبيت الحل المناسب من مركز المحتوى في Microsoft Sentinel وإعداد موصل البيانات. لمزيد من المعلومات، راجع اكتشاف وإدارة محتوى Microsoft Sentinel الجاهز وموصلات بيانات Microsoft Sentinel.

تمكين إنشاء الحدث التلقائي في موصل البيانات

الطريقة الأكثر مباشرة لإنشاء الحوادث تلقائيا من التنبيهات التي تم إنشاؤها من حلول أمان Microsoft هي تكوين موصل بيانات الحل لإنشاء الحوادث:

  1. يوصى بتوصيل مصدر بيانات حل أمان Microsoft.

    لقطة شاشة لشاشة تكوين موصل البيانات.

  2. ضمن Create incidents – Recommended، حدد Enable لتمكين قاعدة التحليلات الافتراضية التي تنشئ الحوادث تلقائيا من التنبيهات التي تم إنشاؤها في خدمة الأمان المتصلة. يمكنك بعد ذلك تحرير هذه القاعدة ضمن «التحليلات»، ثم القواعد النشطة.

    هام

    إذا كنت لا ترى هذا القسم كما هو موضح، فربما قمت بتمكين تكامل الحادث في موصل Microsoft Defender XDR، أو قمت بإلحاق Microsoft Sentinel بالنظام الأساسي لعمليات الأمان الموحدة في مدخل Microsoft Defender.

    في كلتا الحالتين، لا تنطبق هذه المقالة على البيئة الخاصة بك، حيث يتم إنشاء الأحداث الخاصة بك بواسطة مشغل الارتباط Microsoft Defender بدلا من Microsoft Sentinel.

إنشاء قواعد إنشاء الحدث من قالب Microsoft Security

يوفر Microsoft Sentinel قوالب قواعد جاهزة لإنشاء قواعد أمان Microsoft. يحتوي كل حل مصدر من حلول Microsoft على قالب خاص به. على سبيل المثال، هناك واحد Microsoft Defender لنقطة النهاية، وواحد ل Microsoft Defender for Cloud، وما إلى ذلك. قم بإنشاء قاعدة من كل قالب يتوافق مع الحلول في بيئتك، والتي تريد إنشاء حوادث لها تلقائيا. تعديل القواعد لتحديد خيارات أكثر تحديدا لتصفية التنبيهات التي يجب أن تؤدي إلى حوادث. على سبيل المثال، يمكنك اختيار إنشاء أحداث Microsoft Sentinel تلقائيا فقط من تنبيهات عالية الخطورة من Microsoft Defender for Identity.

  1. من قائمة التنقل في Microsoft Sentinel، ضمن Configuration، حدد Analytics.

  2. حدد علامة التبويب قوالب القاعدة لمشاهدة جميع قوالب قواعد التحليلات. للعثور على المزيد من قوالب القواعد، انتقل إلى مركز المحتوى في Microsoft Sentinel.

    لقطة شاشة لقائمة قوالب القواعد في صفحة التحليلات.

  3. قم بتصفية القائمة لنوع قاعدة أمان Microsoft لمشاهدة قوالب قواعد التحليلات لإنشاء حوادث من تنبيهات Microsoft.

    لقطة شاشة لقائمة قوالب قاعدة أمان Microsoft.

  4. حدد قالب القاعدة لمصدر التنبيه الذي تريد إنشاء حوادث له. ثم، في جزء التفاصيل، حدد إنشاء قاعدة.

    لقطة شاشة للوحة تفاصيل قالب القاعدة.

  5. قم بتعديل تفاصيل القاعدة، وتصفية التنبيهات التي ستنشئ حوادث حسب خطورة التنبيه أو بالنص المضمن في اسم التنبيه.

    على سبيل المثال، إذا اخترت Microsoft Defender for Identity في حقل خدمة أمان Microsoft واختر عالي في حقل عامل التصفية حسب الخطورة ، فستنشئ تنبيهات الأمان عالية الخطورة فقط الحوادث تلقائيا في Microsoft Sentinel.

    لقطة شاشة لمعالج إنشاء القاعدة.

  6. كما هو الحال مع الأنواع الأخرى من قواعد التحليلات، حدد علامة التبويب Automated response لتحديد قواعد التشغيل التلقائي التي يتم تشغيلها عند إنشاء الحوادث بواسطة هذه القاعدة.

إنشاء قواعد إنشاء الحدث من البداية

يمكنك أيضا إنشاء قاعدة أمان Microsoft جديدة تقوم بتصفية التنبيهات من خدمات أمان Microsoft المختلفة. في صفحة Analytics ، حدد Create > Microsoft incident creation rule.

لقطة شاشة لإنشاء قاعدة أمان Microsoft في صفحة التحليلات.

يمكنك إنشاء أكثر من قاعدة تحليلات أمان Microsoft لكل نوع من خدمة أمان Microsoft. لا يؤدي هذا إلى إنشاء حوادث مكررة إذا قمت بتطبيق عوامل تصفية على كل قاعدة تستبعد بعضها البعض.

الخطوات التالية