ترحيل أدلة مبادئ مشغل تنبيه Microsoft Sentinel إلى قواعد التشغيل التلقائي

• ينطبق على:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

نوصي بترحيل أدلة المبادئ الموجودة المبنية على مشغلات التنبيه وترحيلها من استدعائها بواسطة قواعد التحليلات إلى التي يتم استدعاؤها بواسطة قواعد التشغيل التلقائي. تشرح هذه المقالة سبب التوصية بهذا الإجراء وكيفية ترحيل أدلة المبادئ الخاصة بك.

• إذا كنت تقوم بترحيل دليل المبادئ الذي تستخدمه قاعدة تحليلات واحدة فقط، فاتبع الإرشادات الموجودة ضمن إنشاء قاعدة أتمتة من قاعدة تحليلات.

• إذا كنت تقوم بترحيل دليل المبادئ الذي تستخدمه قواعد تحليلات متعددة، فاتبع الإرشادات الموجودة ضمن إنشاء قاعدة أتمتة جديدة من صفحة التنفيذ التلقائي.

هام

يتوفر Microsoft Sentinel الآن بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

سبب الترحيل

تحتوي أدلة المبادئ التي يتم استدعاؤها بواسطة قواعد التشغيل التلقائي بدلا من قواعد التحليلات على المزايا التالية:

• إدارة الأتمتة من جهاز عرض واحد، بغض النظر عن النوع ("جزء واحد من الزجاج").

• استخدم قاعدة أتمتة واحدة تشغل أدلة المبادئ لقواعد تحليلات متعددة، بدلا من تكوين كل قاعدة تحليلات بشكل منفصل.

• حدد الترتيب الذي سيتم به تنفيذ أدلة مبادئ التنبيه.

• دعم السيناريوهات التي تعين تاريخ انتهاء صلاحية لتشغيل دليل المبادئ.

لا يؤدي ترحيل مشغل دليل المبادئ إلى تغيير دليل المبادئ على الإطلاق، ويغير فقط الآلية التي تستدعي دليل المبادئ لتشغيل التغييرات.

سيتم إهمال القدرة على استدعاء أدلة المبادئ من قواعد التحليلات اعتبارا من مارس 2026. حتى ذلك الحين، سيستمر تشغيل أدلة المبادئ المعرفة بالفعل على أنها من قواعد التحليلات، ولكن اعتبارا من يونيو 2023 ، لم يعد بإمكانك إضافة أدلة المبادئ إلى قائمة تلك التي تم استدعاؤها من قواعد التحليلات. الخيار الوحيد المتبقي هو استدعائها من قواعد التنفيذ التلقائي.

المتطلبات الأساسية

ستحتاج إلى:

• دور Logic Apps Contributor لإنشاء أدلة المبادئ وتحريرها

• دور Microsoft Sentinel Contributor لإرفاق دليل المبادئ بقاعدة التنفيذ التلقائي

لمزيد من المعلومات، راجع متطلبات دليل مبادئ Microsoft Sentinel.

إنشاء قاعدة أتمتة من قاعدة تحليلات

استخدم هذا الإجراء إذا كنت تقوم بترحيل دليل المبادئ الذي تستخدمه قاعدة تحليلات واحدة فقط. وإلا، استخدم إنشاء قاعدة أتمتة جديدة من صفحة التنفيذ التلقائي.

1. بالنسبة إلى Microsoft Sentinel في مدخل Microsoft Azure، حدد صفحة Configuration>Analytics. بالنسبة إلى Microsoft Sentinel في مدخل Defender، حدد Microsoft Sentinel>Configuration>Analytics.

2. ضمن القواعد النشطة، ابحث عن قاعدة تحليلات تم تكوينها بالفعل لتشغيل دليل المبادئ، وحدد تحرير.

   

3. حدد علامة التبويب الاستجابة التلقائية. يمكن العثور على أدلة المبادئ التي تم تكوينها مباشرة للتشغيل من قاعدة التحليلات هذه ضمن أتمتة التنبيه (الكلاسيكية). لاحظ التحذير حول الإهمال.

   

4. في النصف العلوي من الشاشة، حدد + Add new ضمن Automation rules لإنشاء قاعدة أتمتة جديدة.

5. في لوحة إنشاء قاعدة أتمتة جديدة، ضمن المشغل، حدد عند إنشاء التنبيه.

   

6. ضمن الإجراءات، راجع تحديد إجراء تشغيل دليل المبادئ ، كونه النوع الوحيد من الإجراءات المتوفرة، تلقائيا وإخراجه باللون الرمادي. حدد دليل المبادئ الخاص بك من تلك المتوفرة في القائمة المنسدلة في السطر أدناه.

   

7. حدد تطبيق. تظهر القاعدة الجديدة في شبكة قواعد التشغيل التلقائي.

8. قم بإزالة دليل المبادئ من قسم أتمتة التنبيه (الكلاسيكي).

9. راجع قاعدة التحليلات وتحديثها لحفظ التغييرات.

إنشاء قاعدة أتمتة جديدة من صفحة التنفيذ التلقائي

استخدم هذا الإجراء إذا كنت تقوم بترحيل دليل المبادئ الذي تستخدمه قواعد تحليلات متعددة. وإلا، استخدم إنشاء قاعدة أتمتة من قاعدة تحليلات

1. بالنسبة إلى Microsoft Sentinel في مدخل Microsoft Azure، حدد صفحة Configuration>Analytics. بالنسبة إلى Microsoft Sentinel في مدخل Defender، حدد Microsoft Sentinel>Configuration>Analytics.

2. من شريط القوائم العلوي، حدد Create -> Automation rule.

3. في لوحة إنشاء قاعدة أتمتة جديدة، في القائمة المنسدلة المشغل ، حدد عند إنشاء التنبيه.

4. ضمن الشروط، حدد قواعد التحليلات التي تريد تشغيل دليل مبادئ معين أو مجموعة من أدلة المبادئ عليها.

5. ضمن الإجراءات، لكل دليل مبادئ تريد استدعاء هذه القاعدة، حدد + إضافة إجراء. يتم تحديد إجراء Run playbook تلقائيا وإخراجه باللون الرمادي.

6. حدد من قائمة أدلة المبادئ المتوفرة في القائمة المنسدلة في السطر أدناه. ترتيب الإجراءات وفقا للترتيب الذي تريد تشغيل أدلة المبادئ به عن طريق تحديد الأسهم لأعلى/لأسفل بجوار كل إجراء.

7. حدد تطبيق لحفظ قاعدة التنفيذ التلقائي.

8. قم بتحرير قاعدة التحليلات أو القواعد التي استدعت أدلة المبادئ هذه (القواعد التي حددتها ضمن الشروط)، وإزالة دليل المبادئ من قسم أتمتة التنبيه (الكلاسيكي) في علامة التبويب الاستجابة التلقائية .

المحتوى ذو الصلة

لمزيد من المعلومات، راجع:

• أتمتة الاستجابة للمخاطر في Microsoft Sentinel باستخدام قواعد التشغيل التلقائي
• مصادقة أدلة المبادئ إلى Microsoft Sentinel
• إنشاء أدلة مبادئ Microsoft Sentinel وإدارتها