ملاحظة
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
يوفر Microsoft Sentinel إمكانات تنسيق الأمان والتنفيذ التلقائي والاستجابة (SOAR) مع قواعد التنفيذ التلقائي وأدلة المبادئ. تعمل قواعد التنفيذ التلقائي على التنفيذ التلقائي لمعالجة الحوادث والاستجابة لها، وتشغل أدلة المبادئ تسلسلات محددة مسبقاً للإجراءات للاستجابة للتهديدات ومعالجتها. تتناول هذه المقالة كيفية تحديد حالات استخدام SOAR وكيفية ترحيل التنفيذ التلقائي لـ ArcSight SOAR الخاص بك إلى Microsoft Sentinel.
تبسط قواعد التنفيذ التلقائي مهام سير العمل المعقدة لعمليات تنسيق الأحداث، وتسمح لك بإدارة التنفيذ التلقائي معالجة الأحداث مركزياً.
باستخدام قواعد الأتمتة، يمكنك:
- تنفيذ مهام الأتمتة البسيطة دون استخدام أدلة المبادئ بالضرورة. على سبيل المثال، بإمكانك تعيين الحوادث ووضع علامة عليها وتغيير الحالة وإغلاقها.
- إجراء أتمتة الاستجابات لقواعد تحليلات متعددة في وقت واحد.
- التحكّم في ترتيب الإجراءات التي يتم تنفيذها.
- تشغيل أدلة المبادئ لتلك الحالات التي تكون فيها مهام الأتمتة الأكثر تعقيدًا ضرورية.
تحديد حالات استخدام SOAR
إليكَ ما تحتاج إلى التفكير فيه عند ترحيل حالات استخدام SOAR من ArcSight.
- جودة حالة الاستخدام. اختر حالات الاستخدام الجيّدة للأتمتة. يجب أن تستند حالات الاستخدام إلى إجراءات محددة بوضوح، مع الحد الأدنى من التباين ومعدل إيجابي خاطئ منخفض. ينبغي أن تعمل الأتمتة مع حالات الاستخدام الفعالة.
- التدخل اليدوي. يمكن أن يكون للاستجابة التلقائية تأثيرات واسعة النطاق كما يلزم أن يكون للأتمتة عالية التأثير مدخلات بشرية لتأكيد الإجراءات عالية التأثير قبل اتخاذها.
- المعايير الثنائية. لزيادة نجاح الاستجابة، يجب أن تكون نقاط القرار داخل سير العمل التلقائي محدودة قدر الإمكان، وذلك من خلال معايير ثنائية. تقلل المعايير الثنائية من الحاجة إلى التدخل البشري وتعزز إمكانية التنبؤ بالنتائج.
- تنبيهات أو بيانات دقيقة. تعتمد إجراءات الاستجابة على دقة الإشارات كالتنبيهات. يلزم أن تكون التنبيهات ومصادر الإثراء موثوقة. يمكن لموارد Microsoft Azure Sentinel مثل قوائم المشاهدة والمعلومات الذكية الموثوقة للمخاطر تحسين الموثوقية.
- دور المحلل. في حين أن الأتمتة حيثما أمكن تعتبر أمرًا رائعًا، خصص مهامًا أكثر تعقيدًا للمحللين وامنحهم فرصة الإدخال في مهام سير العمل التي تتطلب التحقق من الصحة. باختصار، يلزم أن تزيد أتمتة الاستجابة قدرات المحللين وتوسعها.
ترحيل سير عمل SOAR
يوضح هذا القسم كيفية تحويل مفاهيم SOAR الرئيسية في ArcSight إلى مكونات Microsoft Azure ويوفّر إرشادات عامة حول كيفية ترحيل كل خطوة أو مكوّن في سير عمل SOAR.
| الخطوة (في الرسم التخطيطي) | ArcSight | Microsoft Sentinel |
|---|---|---|
| 1 | استيعاب الأحداث في Enterprise Security Manager (ESM) وتشغيل أحداث الارتباط. | استيعـاب الأحداث في مساحة عمل Log Analytics. |
| 2 | تصفية التنبيهات تلقائياً لإنشاء حالة. | استخدم قواعد التحليلات لتشغيل التنبيهات. إثراء التنبيهات باستخدام ميزة التفاصيل المخصصة لإنشاء أسماء أحداث ديناميكية. |
| 3 | تصنيف الحالات. | استخدم قواعد التنفيذ التلقائي. مع قواعد التنفيذ التلقائي، يعالج Microsoft Sentinel الأحداث وفقاً لقاعدة التحليلات التي أدت إلى الحادث، وخصائص الحادث التي تطابق المعايير المحددة. |
| 4 | دمج الحالات. | يمكنك دمج عدة تنبيهات لحادث واحد وفقاً لخصائص مثل الكيانات المطابقة أو تفاصيل التنبيه أو الإطار الزمني للإنشاء، باستخدام ميزة تجميع التنبيه. |
| 5 | حالات الإرسال. | تعيين الحوادث لمحللين محددين باستخدام تكامل بين Microsoft Teams وAzure Logic Apps وقواعد التنفيذ التلقائي لـ Microsoft Sentinel. |
تعيين مكونات SOAR
راجع ميزات Microsoft Sentinel أو Azure Logic Apps التي يتم تعيينها إلى مكونات ArcSight SOAR الرئيسية.
| ArcSight | Microsoft Sentinel/Azure Logic Apps |
|---|---|
| مشغّل | مشغّل |
| بت التنفيذ التلقائي | موصل Azure Function |
| إجراء | إجراء |
| أدلة المبادئ المجدولة | أدلة المبادئ التي بدأها مشغل التكرار |
| أدلة مبادئ سير العمل | أدلة المبادئ التي يتم بدؤها تلقائياً بواسطة تنبيه Microsoft Sentinel أو مشغلات الحوادث |
| Marketplace | • علامة تبويب قوالب >التنفيذ التلقائي • Content hub catalog • GitHub |
تشغيل أدلة المبادئ وقواعد التنفيذ التلقائي في Microsoft Sentinel
تتوفّر معظم أدلة المبادئ التي تستخدمها خلال Microsoft Azure Sentinel إما في علامة التبويب قوالب Automation>، أو Content hub catalog أو GitHub. ومع ذلك، في بعض الحالات، قد تحتاج إلى إنشاء أدلّة مبادئ من البداية أو من القوالب الموجودة.
عادةً ما تنشئ تطبيق المنطق المخصص الخاص بك باستخدام ميزة Azure Logic App Designer. تستند التعليمات البرمجية للتطبيقات المنطقية إلى قوالب Azure Resource Manager (ARM)، والتي تسهل تطوير Azure Logic Apps وتوزيعها ونقلها عبر بيئات متعددة. لتحويل دليل المبادئ المخصص إلى قالب ARM قابل للنقل، يمكنك استخدام ARM template generator.
استخدم هذه الموارد للحالات التي تحتاج فيها إلى إنشاء أدلة المبادئ الخاصة بك إما من البداية أو من القوالب الموجودة.
- أتمتة معالجة الحوادث في Microsoft Azure Sentinel
- أتمتة الاستجابة للمخاطر باستخدام أدلة المبادئ في Microsoft Sentinel
- البرنامج التعليمي: استخدام كتب التشغيل مع قواعد التشغيل التلقائي في Microsoft Azure Sentinel
- كيفية استخدام Microsoft Azure Sentinel للاستجابة للحوادث والتزامن والأتمتة
- بطاقات موائمة مفتوحة لتحسين الاستجابة للحوادث في Microsoft Azure Sentinel
أفضل ممارسات SOAR بعد الترحيل
فيما يلي أفضل الممارسات التي يجب أخذها في الاعتبار بعد ترحيل SOAR الخاص بك:
- بعد ترحيل أدلة المبادئ، اختبر أدلة المبادئ على نطاقٍ واسعٍ للتأكد من أن الإجراءات التي تم ترحيلها تعمل بالشكل المتوقع.
- راجع عمليات الأتمتة الخاصة بك بشكل دوري لاستكشاف طرق لتبسيط SOAR أو تحسينه بشكل أكبر. يضيف Microsoft Azure Sentinel باستمرار موصلات وإجراءات جديدة يمكن أن تساعدك على تبسيط أو زيادة فعالية تطبيقات الاستجابة الحالية.
- راقب أداء أدلة المبادئ خاصتك باستخدام مصنف مراقبة سلامة أدلة المبادئ.
- استخدام الهويات المُدارة وكيانات الخدمة: المصادقة مقابل خدمات Azure المختلفة داخل Logic Apps، وتخزين البيانات السرية في Azure Key Vault، وحجب إخراج تنفيذ التدفق. نوصي أيضاً بمراقبة أنشطة كيانات الخدمة هذه.
الخطوات التالية
تعلّمت في هذه المقالة كيفية تعيين التنفيذ التلقائي لـ SOAR الخاصة بك من ArcSight إلى Microsoft Sentinel.