ترحيل أتمتة IBM Security QRadar SOAR إلى Microsoft Sentinel
يوفر Microsoft Sentinel إمكانات تزامن الأمان والأتمتة والاستجابة (SOAR) مع قواعد التشغيل التلقائي و دلائل المبادئ. تعمل قواعد التنفيذ التلقائي على أتمتة معالجة الحوادث والاستجابة لها، وتشغل أدلة المبادئ تسلسلات محددة مسبقًا من الإجراءات للاستجابة للتهديدات ومعالجتها. تتناول هذه المقالة كيفية تحديد حالات استخدام SOAR وكيفية ترحيل أتمتة IBM Security QRadar SOAR خاصتك إلى Microsoft Sentinel.
تبسط قواعد الأتمتة مهام سير العمل المعقدة لعمليات تزامن الحوادث، وتسمح لك بإدارة أتمتة معالجة الحوادث مركزيًا.
باستخدام قواعد الأتمتة، يمكنك:
- تنفيذ مهام الأتمتة البسيطة دون استخدام أدلة المبادئ بالضرورة. على سبيل المثال، بإمكانك تعيين الحوادث ووضع علامة عليها وتغيير الحالة وإغلاقها.
- إجراء أتمتة الاستجابات لقواعد تحليلات متعددة في وقت واحد.
- التحكّم في ترتيب الإجراءات التي يتم تنفيذها.
- تشغيل أدلة المبادئ لتلك الحالات التي تكون فيها مهام الأتمتة الأكثر تعقيدًا ضرورية.
تحديد حالات استخدام SOAR
إليك ما تحتاج إلى التفكير فيه عند ترحيل حالات استخدام SOAR من IBM Security QRadar SOAR.
- استخدام جودة حالة الأحرف. اختر حالات الاستخدام الجيّدة للأتمتة. يجب أن تستند حالات الاستخدام إلى إجراءات محددة بوضوح، مع الحد الأدنى من التباين ومعدل إيجابي خاطئ منخفض. ينبغي أن تعمل الأتمتة مع حالات الاستخدام الفعالة.
- التدخل اليدوي. يمكن أن يكون للاستجابة التلقائية تأثيرات واسعة النطاق كما يلزم أن يكون للأتمتة عالية التأثير مدخلات بشرية لتأكيد الإجراءات عالية التأثير قبل اتخاذها.
- المعايير الثنائية. لزيادة نجاح الاستجابة، يجب أن تكون نقاط القرار داخل سير العمل التلقائي محدودة قدر الإمكان، وذلك من خلال معايير ثنائية. تقلل المعايير الثنائية من الحاجة إلى التدخل البشري وتعزز إمكانية التنبؤ بالنتائج.
- تنبيهات أو بيانات دقيقة. تعتمد إجراءات الاستجابة على دقة الإشارات كالتنبيهات. يلزم أن تكون التنبيهات ومصادر الإثراء موثوقة. يمكن لموارد Microsoft Azure Sentinel مثل قوائم المشاهدة والمعلومات الذكية الموثوقة للمخاطر تحسين الموثوقية.
- دور المحلل. في حين أن الأتمتة حيثما أمكن تعتبر أمرًا رائعًا، خصص مهامًا أكثر تعقيدًا للمحللين وامنحهم فرصة الإدخال في مهام سير العمل التي تتطلب التحقق من الصحة. باختصار، يلزم أن تزيد أتمتة الاستجابة قدرات المحللين وتوسعها.
ترحيل سير عمل SOAR
يوضح هذا القسم كيفية ترجمة مفاهيم SOAR الرئيسية في IBM Security QRadar SOAR إلى مكونات Microsoft Sentinel. يوفر القسم أيضًا إرشادات عامة بشأن كيفية ترحيل كل خطوة أو مكون في سير عمل SOAR.
| الخطوة (في الرسم التخطيطي) | IBM Security QRadar SOAR | Microsoft Sentinel |
|---|---|---|
| 1 | تعريف القواعد والشروط. | تعريف قواعد التشغيل التلقائي. |
| 2 | تنفيذ الأنشطة التي تم طلبها. | تنفيذ قواعد التشغيل التلقائي التي تحتوي على أدلة مبادئ متعددة. |
| 3 | تنفيذ مهام سير العمل المحددة. | تنفيذ أدلة المبادئ الأخرى وفقًا للعلامات التي تم تطبيقها بواسطة أدلة المبادئ التي تم تنفيذها مسبقًا. |
| 4 | نشر البيانات إلى وجهات الرسائل. | تنفيذ قصاصات التعليمات البرمجية باستخدام الإجراءات المُضمَّنة في Logic Apps. |
تعيين مكونات SOAR
راجع ميزات Microsoft Sentinel أو Azure Logic Apps التي يتم تعيينها إلى مكونات QRadar SOAR الرئيسية.
| QRadar | Microsoft Sentinel/Azure Logic Apps |
|---|---|
| القواعد | قواعد التحليلات المرفقة بدلائل المبادئ أو قواعد التشغيل التلقائي |
| البوابة | التحكم في الحالة |
| البرامج النصية | التعليمات البرمجية المضمنة |
| معالجات الإجراءات المخصصة | استدعاءات واجهة برمجة التطبيقات المخصصة في Azure Logic Apps أو موصلات الجهات الخارجية |
| الوظائف | موصل Azure Function |
| وجهات الرسائل | Azure Logic Apps مع ناقل خدمة Azure |
| IBM X-Force Exchange | • علامة تبويب قوالب >الأتمتة • Content hub catalog • GitHub |
تشغيل أدلة المبادئ وقواعد التنفيذ التلقائي في Microsoft Sentinel
تتوفّر معظم أدلة المبادئ التي تستخدمها خلال Microsoft Azure Sentinel إما في علامة التبويب قوالب Automation>، أو Content hub catalog أو GitHub. ومع ذلك، في بعض الحالات، قد تحتاج إلى إنشاء أدلّة مبادئ من البداية أو من القوالب الموجودة.
عادةً ما تنشئ تطبيق المنطق المخصص الخاص بك باستخدام ميزة Azure Logic App Designer. تستند التعليمات البرمجية للتطبيقات المنطقية إلى قوالب Azure Resource Manager (ARM)، والتي تسهل تطوير Azure Logic Apps وتوزيعها ونقلها عبر بيئات متعددة. لتحويل دليل المبادئ المخصص إلى قالب ARM قابل للنقل، يمكنك استخدام ARM template generator.
استخدم هذه الموارد للحالات التي تحتاج فيها إلى إنشاء أدلة المبادئ الخاصة بك إما من البداية أو من القوالب الموجودة.
- أتمتة معالجة الحوادث في Microsoft Azure Sentinel
- أتمتة الاستجابة للمخاطر باستخدام أدلة المبادئ في Microsoft Sentinel
- البرنامج التعليمي: استخدام كتب التشغيل مع قواعد التشغيل التلقائي في Microsoft Azure Sentinel
- كيفية استخدام Microsoft Azure Sentinel للاستجابة للحوادث والتزامن والأتمتة
- بطاقات موائمة مفتوحة لتحسين الاستجابة للحوادث في Microsoft Azure Sentinel
أفضل ممارسات SOAR بعد الترحيل
فيما يلي أفضل الممارسات التي يجب أخذها في الاعتبار بعد ترحيل SOAR الخاص بك:
- بعد ترحيل أدلة المبادئ، اختبر أدلة المبادئ على نطاقٍ واسعٍ للتأكد من أن الإجراءات التي تم ترحيلها تعمل بالشكل المتوقع.
- راجع عمليات الأتمتة الخاصة بك بشكل دوري لاستكشاف طرق لتبسيط SOAR أو تحسينه بشكل أكبر. يضيف Microsoft Azure Sentinel باستمرار موصلات وإجراءات جديدة يمكن أن تساعدك على تبسيط أو زيادة فعالية تطبيقات الاستجابة الحالية.
- راقب أداء أدلة المبادئ خاصتك باستخدام مصنف مراقبة سلامة أدلة المبادئ.
- استخدام الهويات المُدارة وكيانات الخدمة: المصادقة مقابل خدمات Azure المختلفة داخل Logic Apps، وتخزين البيانات السرية في Azure Key Vault، وحجب إخراج تنفيذ التدفق. نوصي أيضاً بمراقبة أنشطة كيانات الخدمة هذه.
الخطوات التالية
في هذه المقالة، تعلمت كيفية تعيين أتمتة SOAR خاصتك من IBM Security QRadar SOAR إلى Microsoft Sentinel.