استخدام المهام لإدارة الحوادث في Microsoft Sentinel
أحد أهم العوامل في تشغيل عمليات الأمان الخاصة بك (SecOps) بفعالية وكفاءة هو توحيد العمليات. يتوقع من محللي SecOps تنفيذ قائمة بالخطوات أو المهام في عملية فرز حادث أو التحقيق فيه أو معالجته. يمكن أن يساعد توحيد قائمة المهام وإضفاء الطابع الرسمي عليها في الحفاظ على تشغيل SOC بسلاسة، ما يضمن تطبيق نفس المتطلبات على جميع المحللين. بهذه الطريقة، بغض النظر عن من هو في التحول، فإن الحادث سيحصل دائما على نفس المعاملة واتفاقيات مستوى الخدمة. لن يحتاج المحللون إلى قضاء بعض الوقت في التفكير في ما يجب القيام به، أو القلق بشأن فقدان خطوة حرجة. يتم تحديد هذه الخطوات من قبل مدير SOC أو كبار المحللين (المستوى 2/3) استنادا إلى المعرفة الأمنية الشائعة (مثل NIST)، أو تجربتهم مع الحوادث السابقة، أو التوصيات المقدمة من بائع الأمان الذي اكتشف الحادث.
حالات الاستخدام
يمكن لمحللي SOC استخدام قائمة اختيار مركزية واحدة للتعامل مع عمليات فرز الحوادث والتحقيق والاستجابة لها، كل ذلك دون القلق بشأن فقدان خطوة حرجة.
يمكن لمهندسي SOC أو كبار المحللين توثيق معايير الاستجابة للحوادث وتحديثها ومحاذاتها عبر فرق ونوبات المحللين. كما يمكنهم إنشاء قوائم اختيار للمهام لتدريب محللين أو محللين جدد يواجهون أنواعا جديدة من الحوادث.
بصفتك مدير SOC أو ك MSSP، يمكنك التأكد من معالجة الحوادث وفقا لاتفاقيات مستوى الخدمة/SOPs ذات الصلة.
المتطلبات الأساسية
دور مستجيب Microsoft Sentinel مطلوب لإنشاء قواعد التشغيل التلقائي ولعرض الحوادث وتحريرها، وكلاهما ضروري لإضافة المهام وعرضها وتحريرها.
مطلوب دور Logic Apps Contributor لإنشاء أدلة المبادئ وتحريرها.
السيناريوهات
المُحلل
متابعة المهام عند معالجة حادث
عند تحديد حدث وعرض التفاصيل الكاملة، في صفحة تفاصيل الحادث، سترى على اللوحة اليمنى جميع المهام التي تمت إضافتها إلى هذا الحدث، سواء يدويا أو بواسطة قواعد التشغيل التلقائي.
قم بتوسيع مهمة للاطلاع على وصفها الكامل، بما في ذلك المستخدم أو قاعدة التشغيل التلقائي أو دليل المبادئ الذي أنشأها.
وضع علامة على مهمة مكتملة عن طريق تحديد دائرة "خانة الاختيار" الخاصة بها.
إضافة مهام إلى حدث على الفور
يمكنك إضافة مهام إلى حدث مفتوح تعمل عليه، إما لتذكير نفسك بالإجراءات التي اكتشفت الحاجة إلى اتخاذها، أو لتسجيل الإجراءات التي اتخذتها بمبادرتك الخاصة والتي لا تظهر في قائمة المهام. سيتم تطبيق المهام المضافة بهذه الطريقة فقط على الحدث المفتوح.
منشئ سير العمل
إضافة مهام إلى الحوادث باستخدام قواعد التشغيل التلقائي
استخدم إجراء إضافة مهمة في قواعد الأتمتة لتزويد جميع الحوادث تلقائيا بقائمة اختيار للمهام للمحللين. تعيين شرط اسم قاعدة التحليلات في قاعدة التشغيل التلقائي لتحديد النطاق:
تطبيق قاعدة التشغيل التلقائي على جميع قواعد التحليلات من أجل تحديد مجموعة قياسية من المهام التي سيتم تطبيقها على جميع الحوادث.
من خلال تطبيق قاعدة التشغيل التلقائي على مجموعة محدودة من قواعد التحليلات، يمكنك تعيين مهام محددة لحوادث معينة، وفقا للتهديدات التي تم اكتشافها بواسطة قاعدة التحليلات أو القواعد التي أدت إلى هذه الحوادث.
ضع في اعتبارك أن الترتيب الذي تظهر به المهام في الحادث يتم تحديده من خلال وقت إنشاء المهام. يمكنك تعيين ترتيب قواعد الأتمتة بحيث يتم تشغيل القواعد التي تضيف المهام المطلوبة لجميع الحوادث أولا، وبعد ذلك فقط أي قواعد تضيف المهام المطلوبة للحوادث التي تم إنشاؤها بواسطة قواعد تحليلات معينة. ضمن قاعدة واحدة، يحكم الترتيب الذي يتم تعريف الإجراءات به الترتيب الذي تظهر به في حادث.
تعرف على الحوادث التي تغطيها قواعد ومهام الأتمتة الموجودة، قبل إنشاء قاعدة أتمتة جديدة.
استخدم عامل تصفية الإجراء في قائمة قواعد التنفيذ التلقائي للاطلاع فقط على تلك القواعد التي تضيف مهاما إلى الحوادث، ومعرفة قواعد التحليلات التي تنطبق عليها قواعد التنفيذ التلقائي هذه، لفهم الحوادث التي ستتم إضافة هذه المهام إليها.
إضافة مهام إلى الحوادث باستخدام أدلة المبادئ
استخدم إجراء إضافة مهمة في دليل المبادئ (في موصل Microsoft Sentinel) لإضافة مهمة تلقائيا إلى الحدث الذي أدى إلى تشغيل دليل المبادئ.
بعد ذلك، استخدم إجراءات دليل المبادئ الأخرى - في موصلات Logic Apps الخاصة بها - لإكمال محتويات المهمة.
وأخيرا، استخدم الإجراء وضع علامة على المهمة كمكتملة (مرة أخرى في موصل Microsoft Sentinel) لوضع علامة على المهمة كمكتملة تلقائيا.
ضع في اعتبارك السيناريوهات التالية كأمثلة:
السماح لدلائل المبادئ بإضافة المهام وإكمالها: عند إنشاء حادث، سيتم تشغيل دليل المبادئ الذي يقوم بالتالي:
- إضافة مهمة إلى الحدث لإعادة تعيين كلمة مرور المستخدم.
- تنفيذ المهمة عن طريق إصدار استدعاء API إلى نظام توفير المستخدم لإعادة تعيين كلمة مرور المستخدم.
- ينتظر استجابة من النظام فيما يتعلق بنجاح أو فشل إعادة التعيين.
- إذا نجحت إعادة تعيين كلمة المرور، فإن دليل المبادئ يضع علامة على المهمة التي أنشأها للتو في الحدث كمكتملة.
- إذا فشلت إعادة تعيين كلمة المرور، فلن يضع دليل المبادئ علامة على المهمة كمكتملة، تاركا للمحلل تنفيذها.
دع دليل المبادئ يقيم ما إذا كان يجب إضافة المهام الشرطية: عند إنشاء حادث، سيتم تشغيل دليل المبادئ الذي يطلب تقرير عنوان IP من مصدر معلومات التهديد الخارجي.
- إذا كان عنوان IP ضارا، يضيف دليل المبادئ مهمة معينة (على سبيل المثال، "حظر عنوان IP هذا").
- وإلا، فلن يتخذ دليل المبادئ أي إجراء آخر.
هل تستخدم قواعد التشغيل التلقائي أو أدلة المبادئ لإضافة المهام؟
ما الاعتبارات التي يجب أن تملي أي من هذه الطرق يجب استخدامها لإنشاء مهام الحوادث؟
- قواعد التشغيل التلقائي: استخدم كلما أمكن ذلك. استخدم للمهام العادية والثابتة التي لا تتطلب التفاعل.
- أدلة المبادئ: يستخدم لحالات الاستخدام المتقدمة - إنشاء المهام استنادا إلى الشروط، أو المهام ذات الإجراءات التلقائية المتكاملة.
الخطوات التالية
- تعرف على كيفية استخدام المحللين للمهام للتعامل مع سير عمل الحدث في Microsoft Sentinel.
- تعرف على المزيد حول التحقيق في الحوادث في Microsoft Sentinel.
- تعرف على كيفية إضافة مهام إلى مجموعات من الحوادث تلقائيا باستخدام قواعد التشغيل التلقائي أو أدلة المبادئ.
- تعرف على المزيد حول قواعد التشغيل التلقائي وكيفية إنشائها.
- تعرف على المزيد حول أدلة المبادئ وكيفية إنشائها.
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ