إنشاء قواعد التنفيذ التلقائي لـ Microsoft Azure Sentinel واستخدامها لإدارة الاستجابة

• ينطبق على:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

تشرح هذه المقالة كيفية إنشاء قواعد الأتمتة واستخدامها في Microsoft Sentinel لإدارة الاستجابة للمخاطر وتنسيقها، من أجل زيادة كفاءة SOC وفعاليته إلى أقصى حد.

ستتعلم في هذه المقالة كيفية تحديد المشغلات والشروط التي ستحدد وقت تشغيل قاعدة التنفيذ التلقائي، والإجراءات المختلفة التي يمكن أن تؤديها القاعدة، والميزات والوظائف المتبقية.

هام

الميزات التي تمت ملاحظتها لقواعد التشغيل التلقائي موجودة حاليا في PREVIEW. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.

يتوفر Microsoft Sentinel كجزء من النظام الأساسي لعمليات الأمان الموحدة في مدخل Microsoft Defender. يتم الآن دعم Microsoft Sentinel في مدخل Defender لاستخدام الإنتاج. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

صمم قاعدة التنفيذ التلقائي الخاصة بك

قبل إنشاء قاعدة التشغيل التلقائي، نوصي بتحديد نطاقها وتصميمها، بما في ذلك المشغل والشروط والإجراءات التي ستشكل القاعدة الخاصة بك.

حدد النطاق

الخطوة الأولى في تصميم وتعريف قاعدة الأتمتة الخاصة بك هي معرفة الحوادث أو التنبيهات التي تريد تطبيقها عليها. سيؤثر هذا التحديد بشكل مباشر على كيفية إنشاء القاعدة.

تريد أيضاً تحديد حالة الاستخدام الخاصة بك. ما الذي تحاول تحقيقه بهذه التنفيذ التلقائي؟ يجب مراعاة الخيارات التالية:

• إنشاء مهام للمحللين لمتابعة الحوادث والتحقيق فيها ومعالجتها.
• قمع الحوادث الصاخبة. (بدلا من ذلك، استخدم أساليب أخرى لمعالجة الإيجابيات الخاطئة في Microsoft Sentinel.)
• فرز الحوادث الجديدة عن طريق تغيير حالتها من جديد إلى نشط وتعيين مالك.
• وضع علامات على الحوادث لتصنيفها.
• تصعيد الحدث من خلال تعيين مالك جديد.
• أغلق الحوادث التي تم حلها، وحدد السبب وأضف التعليقات.
• قم بتحليل محتويات الحادث (التنبيهات، والكيانات، والخصائص الأخرى) واتخذ المزيد من الإجراءات من خلال استدعاء كتاب التشغيل.
• التعامل مع تنبيه أو الاستجابة له دون وقوع حادث مقترن.

حدد الزناد

هل تريد تنشيط هذه الأتمتة عند إنشاء حوادث أو تنبيهات جديدة؟ أو في أي وقت يتم تحديث حادث؟

يتم تشغيل قواعد التنفيذ التلقائي عند إنشاء حدث أو تحديثه أو عند إنشاء تنبيه. تذكر أن الحوادث تتضمن تنبيهات، وأنه يمكن إنشاء كل من التنبيهات والحوادث بواسطة قواعد التحليلات، والتي يوجد منها عدة أنواع، كما هو موضح في الكشف عن التهديدات باستخدام قواعد التحليلات المضمنة في Microsoft Sentinel.

يعرض الجدول التالي السيناريوهات المحتملة المختلفة التي ستتسبب في تشغيل قاعدة التنفيذ التلقائي.

نوع الزناد	الأحداث التي تؤدي لتشغيل القاعدة
عند إنشاء حدث	النظام الأساسي لعمليات الأمان الموحدة في Microsoft Defender: يتم إنشاء حدث جديد في مدخل Microsoft Defender. لم يتم إلحاق Microsoft Sentinel بالنظام الأساسي الموحد: يتم إنشاء حادث جديد بواسطة قاعدة تحليلات. يتم استيعاب حادث من Microsoft Defender XDR. يتم إنشاء حادث جديد يدويا.
عند تحديث الحدث	يتم تغيير حالة الحدث (مغلق/معاد فتحه/ثلاثي). يتم تعيين مالك الحدث أو تغييره. يتم رفع خطورة الحادث أو خفضه. تتم إضافة التنبيهات إلى حادث. تتم إضافة التعليقات أو العلامات أو التكتيكات إلى حادث.
عند إنشاء التنبيه	يتم إنشاء تنبيه بواسطة قاعدة تحليلات Microsoft Sentinel المجدولة أو NRT .

قم بإنشاء قاعدة التنفيذ التلقائي الخاصة بك

تنطبق معظم الإرشادات التالية على أي وجميع حالات الاستخدام التي ستنشئ لها قواعد التشغيل الآلي.

إذا كنت تبحث عن منع الحوادث صاخبة، فحاول التعامل مع الإيجابيات الزائفة.

إذا كنت ترغب في إنشاء قاعدة أتمتة لتطبيقها على قاعدة تحليلات معينة، فشاهد تعيين الاستجابات التلقائية وإنشاء القاعدة.

لإنشاء قاعدة التشغيل التلقائي:

1. بالنسبة إلى Microsoft Sentinel في مدخل Microsoft Azure، حدد صفحة Configuration>Automation. بالنسبة إلى Microsoft Sentinel في مدخل Defender، حدد Microsoft Sentinel>Configuration>Automation.

2. من صفحة Automation في قائمة التنقل في Microsoft Sentinel، حدد Create من القائمة العلوية واختر Automation rule.

   مدخل Microsoft Azure

   

   مدخل Defender

   

3. يتم فتح لوحة انشأ قاعدة التنفيذ التلقائي الجديدة. في حقل اسم قاعدة التنفيذ التلقائي، أدخل اسما للقاعدة الخاصة بك.

اختر الزناد الخاص بك

من القائمة المنسدلة Trigger، حدد المشغل المناسب وفقا للظروف التي تقوم بإنشاء قاعدة التنفيذ التلقائي لها - عند إنشاء الحدث، أو عند تحديث الحدث، أو عند إنشاء التنبيه.

تعريف الشروط

استخدم الخيارات الموجودة في منطقة الشروط لتحديد شروط قاعدة التنفيذ التلقائي.

• القواعد التي تقوم بإنشائها عند إنشاء تنبيه تدعم الخاصية If Analytic rule name فقط في حالتك. حدد ما إذا كنت تريد أن تكون القاعدة شاملة (تحتوي على) أو حصرية (لا تحتوي على)، ثم حدد اسم القاعدة التحليلية من القائمة المنسدلة.

  تتضمن قيم اسم القاعدة التحليلية قواعد التحليلات فقط، ولا تتضمن أنواعا أخرى من القواعد، مثل التحليل الذكي للمخاطر أو قواعد الشذوذ.

• القواعد التي تقوم بإنشائها عند إنشاء حادث أو تحديثه تدعم مجموعة كبيرة ومتنوعة من الشروط، اعتمادا على البيئة الخاصة بك. تبدأ هذه الخيارات بما إذا كانت مساحة العمل الخاصة بك قد تم إعدادها إلى النظام الأساسي لعمليات الأمان الموحدة:

  مساحات العمل المإلحاقة

  إذا تم إلحاق مساحة العمل الخاصة بك بالنظام الأساسي لعمليات الأمان الموحدة، فابدأ بتحديد أحد عوامل التشغيل التالية، إما في Azure أو مدخل Defender:

  • AND: الشروط الفردية التي يتم تقييمها كمجموعة. يتم تنفيذ القاعدة إذا تم استيفاء جميع الشروط من هذا النوع.

    للعمل مع عامل التشغيل AND ، حدد + Add expander واختر Condition (And) من القائمة المنسدلة. يتم ملء قائمة الشروط بواسطة خاصية الحادث وحقول خاصية الكيان.

  • OR (المعروفة أيضا باسم مجموعات الشروط): مجموعات من الشروط، يتم تقييم كل منها بشكل مستقل. يتم تنفيذ القاعدة إذا كانت مجموعة واحدة أو أكثر من الشروط صحيحة. لمعرفة كيفية العمل مع هذه الأنواع المعقدة من الشروط، راجع إضافة شروط متقدمة إلى قواعد التشغيل التلقائي.

  على سبيل المثال:

  

  مساحات العمل غير المإلحاقة

  إذا لم يتم إلحاق مساحة العمل الخاصة بك بالنظام الأساسي لعمليات الأمان الموحدة، فابدأ بتعريف خصائص الشرط التالية:

  • موفر الحدث: يمكن أن يكون للحوادث مصدران محتملان: يمكن إنشاؤها داخل Microsoft Sentinel، ويمكن أيضا استيرادها من Microsoft Defender XDR ومزامنتها معها.

    إذا حددت أحد مشغلات الحدث وتريد أن تسري قاعدة التنفيذ التلقائي فقط على الحوادث التي تم إنشاؤها في Microsoft Sentinel، أو بدلا من ذلك، فقط على تلك المستوردة من Microsoft Defender XDR، حدد المصدر في شرط If Incident provider. (سيتم عرض هذا الشرط فقط إذا تم تحديد مشغل حدث.)

  • اسم القاعدة التحليلية: بالنسبة لجميع أنواع المشغلات، إذا كنت تريد أن تسري قاعدة التنفيذ التلقائي فقط على قواعد تحليلات معينة، فحدد القواعد عن طريق تعديل إذا كان اسم قاعدة التحليلات يحتوي على شرط. (لن يتم عرض هذا الشرط إذا تم تحديد Microsoft Defender XDR كموفر الحدث.)

  ثم تابع عن طريق تحديد أحد عوامل التشغيل التالية:

  • AND: الشروط الفردية التي يتم تقييمها كمجموعة. يتم تنفيذ القاعدة إذا تم استيفاء جميع الشروط من هذا النوع.

    للعمل مع عامل التشغيل AND ، حدد + Add expander واختر Condition (And) من القائمة المنسدلة. يتم ملء قائمة الشروط بواسطة خاصية الحادث وحقول خاصية الكيان.

  • OR (المعروفة أيضا باسم مجموعات الشروط): مجموعات من الشروط، يتم تقييم كل منها بشكل مستقل. يتم تنفيذ القاعدة إذا كانت مجموعة واحدة أو أكثر من الشروط صحيحة. لمعرفة كيفية العمل مع هذه الأنواع المعقدة من الشروط، راجع إضافة شروط متقدمة إلى قواعد التشغيل التلقائي.

  على سبيل المثال:

  

  إذا حددت عند تحديث حدث كمشغل، فابدأ بتعريف الشروط الخاصة بك، ثم إضافة عوامل تشغيل وقيم إضافية حسب الحاجة.

لتحديد شروطك:

1. حدد خاصية من المربع المنسدل الأول على اليسار. يمكنك البدء في كتابة أي جزء من اسم الخاصية في مربع البحث لتصفية القائمة ديناميكياً، حتى تتمكن من العثور على ما تبحث عنه بسرعة.

   

2. حدد عامل تشغيل من المربع المنسدل التالي على اليمين.

   تختلف قائمة المشغلين التي يمكنك الاختيار من بينها وفقاً للمشغل والممتلكات المحددة.

   الشروط المتاحة مع مشغل الإنشاء

   الخاصية	مجموعة المشغل
   - ‏‫المسمى الوظيفي - الوصف - كافة خصائص الكيان المدرجة	- يساوي/لا يساوي - يحتوي على/لا يحتوي - يبدأ بـ/لا يبدأ بـ - ينتهي بـ/لا ينتهي بـ
   - العلامة (راجع الفردية مقابل المجموعة)	أي علامة فردية: - يساوي/لا يساوي - يحتوي على/لا يحتوي - يبدأ بـ/لا يبدأ بـ - ينتهي بـ/لا ينتهي بـ مجموعة من جميع العلامات: - يحتوي على/لا يحتوي
   - الخطورة - الحالة - مفتاح التفاصيل المخصصة	- يساوي/لا يساوي
   - التكتيكات - تنبيه أسماء المنتجات - قيمة التفاصيل المخصصة - اسم القاعدة التحليلية	- يحتوي على/لا يحتوي

   الشروط المتاحة مع مشغل التحديث

   الخاصية	مجموعة المشغل
   - ‏‫المسمى الوظيفي - الوصف - كافة خصائص الكيان المدرجة	- يساوي/لا يساوي - يحتوي على/لا يحتوي - يبدأ بـ/لا يبدأ بـ - ينتهي بـ/لا ينتهي بـ
   - العلامة (راجع الفردية مقابل المجموعة)	أي علامة فردية: - يساوي/لا يساوي - يحتوي على/لا يحتوي - يبدأ بـ/لا يبدأ بـ - ينتهي بـ/لا ينتهي بـ مجموعة من جميع العلامات: - يحتوي على/لا يحتوي
   - العلامة (بالإضافة إلى أعلاه) - Alerts - التعليقات	- مضاف
   - الخطورة - الحالة	- يساوي/لا يساوي - تغير - تغير من - تغير إلى
   - المالك	- تغير
   - تم التحديث بواسطة - مفتاح التفاصيل المخصصة	- يساوي/لا يساوي
   - التكتيكات	- يحتوي على/لا يحتوي - مضاف
   - تنبيه أسماء المنتجات - قيمة التفاصيل المخصصة - اسم القاعدة التحليلية	- يحتوي على/لا يحتوي

   الشروط المتوفرة مع مشغل التنبيه

   الشرط الوحيد الذي يمكن تقييمه بواسطة القواعد استنادا إلى مشغل إنشاء التنبيه هو قاعدة تحليلات Microsoft Sentinel التي أنشأت التنبيه.

   لذلك سيتم تشغيل قواعد التنفيذ التلقائي استنادا إلى مشغل التنبيه فقط على التنبيهات التي تم إنشاؤها بواسطة Microsoft Sentinel.

3. أدخل قيمة في الحقل الموجود على اليمين. استنادا إلى الخاصية التي اخترتها، قد يكون هذا إما مربع نص أو قائمة منسدلة تحدد فيها من قائمة مغلقة من القيم. قد تتمكن أيضا من إضافة عدة قيم عن طريق تحديد أيقونة النرد إلى يمين مربع النص.

   

نُكرر مرة أخرى، لإعداد شروط Or معقدة مع حقول مختلفة، راجع إضافة شروط متقدمة إلى قواعد التشغيل التلقائي.

الشروط المستندة إلى العلامات

يمكنك إنشاء نوعين من الشروط استنادا إلى العلامات:

• تقيم الشروط مع أي عوامل تشغيل علامات فردية القيمة المحددة مقابل كل علامة في المجموعة. يكون التقييم صحيحا عندما تفي علامة واحدة على الأقل بالشرط.
• تقيم الشروط التي تحتوي على مجموعة من جميع عوامل تشغيل العلامات القيمة المحددة مقابل مجموعة العلامات كوحدة واحدة. يكون التقييم صحيحا فقط إذا كانت المجموعة ككل تفي بالشرط.

لإضافة أحد هذه الشروط استنادا إلى علامات الحدث، اتبع الخطوات التالية:

1. أنشئ قاعدة تشغيل تلقائي جديدة كما هو موضح أعلاه.

2. أضف شرط أو مجموعة شروط.

3. حدد Tag من القائمة المنسدلة properties.

4. حدد القائمة المنسدلة عوامل التشغيل للكشف عن عوامل التشغيل المتوفرة للاختيار من بينها.

   مساحات العمل المإلحاقة

   

   مساحات العمل غير المإلحاقة

   

   راجع كيفية تقسيم عوامل التشغيل إلى فئتين كما هو موضح من قبل. اختر عامل التشغيل بعناية استنادا إلى كيفية تقييم العلامات.

   لمزيد من المعلومات، راجع خاصية العلامة : فردي مقابل مجموعة.

الشروط استنادا إلى التفاصيل المخصصة

يمكنك تعيين قيمة تفاصيل مخصصة تظهر في حدث كشرط لقاعدة التشغيل التلقائي. تذكر أن التفاصيل المخصصة هي نقاط بيانات في السجلات الأولية لسجل الأحداث التي يمكن إظهارها وعرضها في التنبيهات والأحداث الناتجة عنها. استخدم التفاصيل المخصصة للوصول إلى المحتوى الفعلي ذي الصلة في التنبيهات دون الحاجة إلى البحث في نتائج الاستعلام.

لإضافة شرط استنادا إلى تفاصيل مخصصة:

1. إنشاء قاعدة أتمتة جديدة كما هو موضح سابقا.

2. أضف شرط أو مجموعة شروط.

3. حدد مفتاح التفاصيل المخصصة من القائمة المنسدلة خصائص. حدد "يساوي" أو "لا يساوي" من القائمة المنسدلة لعوامل التشغيل.

   بالنسبة لشرط التفاصيل المخصصة، فإن القيم الموجودة في آخر قائمة منسدلة تأتي من التفاصيل المخصصة التي ظهرت في جميع قواعد التحليلات المُدرجة في الشرط الأول. حدد التفاصيل المخصصة التي تريد استخدامها كشرط.

   

4. لقد اخترت الحقل الذي تريد تقييمه لهذا الشرط. الآن حدد القيمة التي تظهر في هذا الحقل الذي يجعل هذا الشرط يتم تقييمه إلى صحيح.
   حدد "+ إضافة شرط عنصر".

   

   يظهر سطر شرط القيمة أدناه.

   

5. حدد "يحتوي على" أو "لا يحتوي على" من القائمة المنسدلة لعوامل التشغيل. في مربع النص جهة اليمين، أدخل القيمة التي تريد تقييم الشرط لها إلى صحيح.

   

في هذا المثال، إذا كان الحدث يحتوي على التفاصيل المخصصة DestinationEmail، وإذا كانت قيمة هذه التفاصيل هي pwned@bad-botnet.com، فسيُجرى تشغيل الإجراءات المحددة في قاعدة التشغيل التلقائي.

اضف إجراءات

اختر الإجراءات التي تريد أن تتخذها قاعدة التنفيذ التلقائي هذه. تتضمن الإجراءات المتاحة تعيين مالك، وتغيير الحالة، وتغيير الخطورة، وإضافة علامات، وتشغيل playbook. يمكنك إضافة العديد من الإجراءات كما تريد.

إشعار

يتوفر إجراء تشغيل دليل المبادئ فقط في قواعد التشغيل التلقائي باستخدام مشغل التنبيه.

لأي إجراء تختاره، املأ الحقول التي تظهر لهذا الإجراء وفقا لما تريد القيام به.

إذا قمت بإضافة إجراء تشغيل playbook، فستتم مطالبتك للاختيار من القائمة المنسدلة من playbooks المتوفرة.

• يمكن تشغيل دلائل المبادئ التي تبدأ بمشغل الحدث فقط من قواعد الأتمته باستخدامات أحد مشغلات الحدث لذلك ستظهر فقط في القائمة. وبالمثل، تتوفر أدلة المبادئ التي تبدأ بمشغل التنبيه فقط في قواعد التشغيل التلقائي باستخدام مشغل التنبيه.

• يجب منح Microsoft Sentinel أذونات صريحة لتشغيل كتيبات التشغيل. إذا ظهر"playbooks "grayed out في القائمة المنسدلة، فهذا يعني أن Sentinel ليس لديه إذن لمجموعة موارد playbook هذه. حدد الارتباط إدارة أذونات دليل المبادئ لتعيين الأذونات.

  في لوحة Manage permissions التي تفتح، حدد خانات الاختيار لمجموعات الموارد التي تحتوي على كتيبات التشغيل التي تريد تشغيلها، وحدد Apply.

  يجب أن يكون لديك أذونات المالك على أي مجموعة موارد تريد منحها أذونات Microsoft Sentinel، ويجب أن يكون لديك دور مساهم التنفيذ التلقائي في Microsoft Sentinel على أي مجموعة موارد تحتوي على أدلة المبادئ التي تريد تشغيلها.

• إذا لم يكن لديك حتى الآن كتيب التشغيل الذي سيتخذ الإجراء الذي تفكر فيه، فأنشئ دليل تشغيل جديداً. سيتعين عليك الخروج من عملية إنشاء قواعد التنفيذ التلقائي وإعادة تشغيلها بعد إنشاء دليل التشغيل الخاص بك.

نقل الإجراءات

يمكنك تغيير ترتيب الإجراءات في القاعدة الخاصة بك حتى بعد إضافتها. حدد الأسهم لأعلى أو لأسفل إلى جانب كل إجراء لنقله لأعلى أو لأسفل خطوة واحدة.

الانتهاء من إنشاء القاعدة الخاصة بك

1. ضمن انتهاء صلاحية القاعدة، إذا كنت تريد انتهاء صلاحية قاعدة التشغيل التلقائي، فقم بتعيين تاريخ انتهاء صلاحية (وبشكل اختياري، وقت). وإلا، اتركه على أنه غير محدد.

2. يتم ملء حقل الطلب مسبقا بالرقم المتوفر التالي لنوع مشغل القاعدة. يحدد هذا الرقم مكان تشغيل هذه القاعدة في تسلسل قواعد التشغيل التلقائي (من نفس نوع المشغل). يمكنك تغيير الرقم إذا كنت تريد تشغيل هذه القاعدة قبل قاعدة موجودة.

   راجع ملاحظات حول ترتيب التنفيذ والأولوية لمزيد من المعلومات.

3. حدد تطبيق. لقد انتهيت!

تدقيق نشاط قاعدة التشغيل الآلي

تعرف على قواعد الأتمتة التي ربما تكون قد فعلت لحدث معين. لديك سجل كامل من سجلات الأحداث المتوفرة لك في جدول SecurityIncident في صفحة السجلات في مدخل Microsoft Azure، أو صفحة التتبع المتقدم في مدخل Defender. استخدم الاستعلام التالي للاطلاع على جميع أنشطة قواعد التنفيذ التلقائي :

SecurityIncident
| where ModifiedBy contains "Automation"

تنفيذ قواعد تلقائية

يتم تشغيل قواعد التنفيذ التلقائي بالتتابع، وفقاً لـ الأمرالذيتحدده. يتم تنفيذ كل قاعدة التنفيذ التلقائي لـ بعد أن تنتهي القاعدة السابقة من تشغيلها. ضمن قاعدة تلقائية، يتم تشغيل جميع الإجراءات بالتتابع بالترتيب الذي تم تحديدها به. راجع ملاحظات حول ترتيب التنفيذ والأولوية لمزيد من المعلومات.

قد يتم التعامل مع إجراءات Playbook ضمن قاعدة التنفيذ التلقائي بشكل مختلف في بعض الحالات، وفقا للمعايير التالية:

وقت تشغيل دليل المبادئ	تنتقل قاعدة تلقائية إلى الإجراء التالي...
أقل من ثانية	مباشرة بعد الانتهاء من دليل المبادئ
أقل من دقيقتين	ما يصل إلى دقيقتين بعد بدء تشغيل دليل التشغيل، لكن ليس أكثر من 10 ثوانٍ بعد اكتمال دليل المبادئ
يزيد عن دقيقتين	بعد دقيقتين من بدء تشغيل دليل اللعبة، بصرف النظر عما إذا كان قد اكتمل أم لا

الخطوات التالية

في هذا المستند، تعلمت كيفية استخدام قواعد الأتمتة لإدارة أتمتة الاستجابة مركزيا لحوادث وتنبيهات Microsoft Sentinel.

• لمعرفة كيفية إضافة شروط متقدمة مع عوامل التشغيل OR إلى قواعد التشغيل التلقائي، راجع إضافة شروط متقدمة إلى قواعد التشغيل التلقائي Microsoft Sentinel.
• لمعرفة المزيد حول قواعد الأتمتة، راجع أتمتة معالجة الحوادث في Microsoft Sentinel باستخدام قواعد الأتمتة
• لمعرفة المزيد حول خيارات الأتمتة المتقدمة، اطلع على أتمتة الاستجابة للمخاطر باستخدام أدلة المبادئ في Microsoft Sentinel.
• لمعرفة كيفية استخدام قواعد التنفيذ التلقائي لإضافة مهام إلى الحوادث، راجع إنشاء مهام الحوادث في Microsoft Sentinel باستخدام قواعد الأتمتة.
• لترحيل أدلة مبادئ مشغل التنبيه التي سيتم استدعاؤها بواسطة قواعد التشغيل التلقائي، راجع ترحيل أدلة مبادئ مشغل تنبيه Microsoft Sentinel إلى قواعد التشغيل التلقائي
• للحصول على مساعدة في تنفيذ قواعد التشغيل الآلي وكتيبات التشغيل، راجع البرنامج التعليمي: استخدام كتيبات التشغيل لأتمتة الاستجابات للتهديدات في Microsoft Sentinel.