مشاركة عبر

ربط التنبيهات بالحوادث في Microsoft Azure Sentinel

  • مقالة

توضح لك هذه المقالة كيفية ربط التنبيهات بالحوادث التي تقع في Microsoft Azure Sentinel. تتيح لك هذه الميزة إضافة تنبيهات يدويا أو تلقائيا إلى الحوادث الحالية أو إزالتها منها كجزء من عمليات التحقيق الخاصة بك، وتحسين نطاق الحادث مع تطور التحقيق.

هام

توسيع الحدث قيد المعاينة حالياً. تتضمن الشروط التكميلية لمعاينة Azure شروطا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في التوفر العام.

توسيع نطاق وقوة الحوادث خاصتك

أحد الأشياء التي تسمح لك هذه الميزة بالقيام بها هو تضمين تنبيهات من مصدر بيانات واحد في الحوادث التي ينشئها مصدر بيانات آخر. على سبيل المثال، يمكنك إضافة تنبيهات من Microsoft Defender for Cloud، أو من مصادر بيانات مختلفة تابعة لجهة خارجية، إلى الحوادث التي تم استيرادها إلى Microsoft Sentinel من Microsoft Defender XDR.

تم تضمين هذه الميزة في أحدث إصدار من واجهة برمجة تطبيقات Microsoft Azure Sentinel، ما يعني أنها متوفرة لموصل Logic Apps لـ Microsoft Azure Sentinel. حتى تتمكن من استخدام كتب التشغيل لإضافة تنبيه تلقائياً إلى حادث ما إذا تم استيفاء شروط معينة.

يمكنك أيضا استخدام هذه الأتمتة لإضافة تنبيهات إلى الحوادث التي تم إنشاؤها يدويا، أو لإنشاء ارتباطات مخصصة، أو لتحديد معايير مخصصة لتجميع التنبيهات في الحوادث عند إنشائها.

القيود

  • يستورد Microsoft Sentinel كلا من التنبيهات والحوادث من Microsoft Defender XDR. بالنسبة للجزء الأكبر، يمكنك التعامل مع هذه التنبيهات والحوادث مثل تنبيهات Microsoft Azure Sentinel العادية والحوادث.

    ومع ذلك، يمكنك فقط إضافة تنبيهات Defender إلى أحداث Defender (أو إزالتها) في مدخل Defender، وليس في مدخل Microsoft Azure Sentinel. إذا حاولت القيام بذلك في Microsoft Azure Sentinel، فستتلقى رسالة خطأ. يمكنك التركيز على الحدث في مدخل Microsoft Defender باستخدام الارتباط في حادث Microsoft Sentinel. لا تقلق، على الرغم من ذلك - تتم مزامنة أي تغييرات تجريها على الحدث في مدخل Microsoft Defender مع الحدث المتوازي في Microsoft Sentinel، لذلك ستظل ترى التنبيهات المضافة في الحدث في مدخل Sentinel.

    يمكنك إضافة تنبيهات Microsoft Defender XDR إلى الحوادث غير المتعلقة ب Defender، وتنبيهات غير Defender لحوادث Defender، في مدخل Microsoft Sentinel.

  • إذا قمت بإلحاق Microsoft Sentinel بمدخل عمليات الأمان الموحدة، فلن تتمكن من إضافة تنبيهات Microsoft Sentinel إلى الحوادث، أو إزالة تنبيهات Microsoft Sentinel من الحوادث، في Microsoft Sentinel (في مدخل Microsoft Azure). يمكنك القيام بذلك فقط في مدخل Microsoft Defender. لمزيد من المعلومات، راجع اختلافات القدرة بين المداخل.

  • يمكن أن يحتوي الحادث على 150 تنبيهاً كحد أقصى. إذا حاولت إضافة تنبيه إلى حادث يحتوي على 150 تنبيهاً، فستتلقى رسالة خطأ.

إضافة تنبيهات باستخدام المخطط الزمني للكيان (معاينة)

يعرض المخطط الزمني للكيان، كما هو مميز في تجربة الحادث الجديدة (الآن في المعاينة)، جميع الكيانات في تحقيق معين في الحادث. عند تحديد كيان في القائمة، يتم عرض صفحة كيان مصغرة في لوحة جانبية.

  1. من قائمة التنقل Microsoft Azure Sentinel، حدد الحوادث.

    لقطة شاشة لقائمة انتظار الحوادث الجديدة المعروضة في شبكة.

  2. حدد حادثاً للتحقيق فيه. في لوحة تفاصيل الحادث، حدد عرض التفاصيل الكاملة.

  3. في صفحة الحدث، حدد علامة التبويب Entities.

    لقطة شاشة لعلامة تبويب الكيانات في صفحة الحدث.

  4. قم بتحديد كيان من القائمة.

  5. في اللوحة الجانبية لصفحة الكيان، حدد بطاقة اليوميات .

    لقطة شاشة لبطاقة المخطط الزمني للكيان في علامة تبويب الكيانات لصفحة الحدث.

  6. حدد تنبيها خارجيا للحدث المفتوح. يشار إلى هذه بواسطة أيقونة درع رمادي اللون وفرقة ألوان خط منقط تمثل الخطورة. حدد أيقونة علامة الجمع في الطرف الأيسر من هذا التنبيه.

    لقطة شاشة لمظهر التنبيه الخارجي في المخطط الزمني للكيان.

  7. تأكد من إضافة التنبيه إلى الحدث عن طريق تحديد OK. ستتلقى إشعارا يؤكد إضافة التنبيه إلى الحدث، أو يشرح سبب عدم إضافته. لقطة شاشة لإضافة تنبيه إلى حدث في المخطط الزمني للكيان.

سترى أن التنبيه المضاف يظهر الآن في عنصر واجهة مستخدم اليوميات للحادث المفتوح في علامة التبويب نظرة عامة، مع أيقونة درع كامل الألوان وفرقة ألوان متصلة مثل أي تنبيه آخر في الحادث.

أصبح التنبيه المضاف الآن جزءا كاملا من الحدث، وأصبحت أي كيانات في التنبيه الإضافي (التي لم تكن بالفعل جزءا من الحادث) جزءا من الحدث. يمكنك الآن استكشاف المخططات الزمنية لتلك الكيانات لتنبيهاتها الأخرى المؤهلة الآن لإضافتها إلى الحدث.

إزالة تنبيه من حادث

يمكن أيضا إزالة التنبيهات التي تمت إضافتها إلى حادث - يدويا أو تلقائيا - من الحادث أيضا.

  1. من قائمة التنقل Microsoft Azure Sentinel، حدد الحوادث.

  2. حدد حادثاً للتحقيق فيه. في لوحة تفاصيل الحادث، حدد عرض التفاصيل الكاملة.

  3. في علامة التبويب نظرة عامة ، في عنصر واجهة مستخدم المخطط الزمني للحوادث، حدد النقاط الثلاث بجوار تنبيه تريد إزالته من الحدث. من القائمة المنبثقة، حدد إزالة التنبيه.

    لقطة شاشة توضح كيفية إزالة تنبيه من حادث في المخطط الزمني للحدث.

إضافة تنبيهات باستخدام الرسم البياني للتحقيق

يعد الرسم البياني للتحقيق أداة مرئية وبديهية تعرض الاتصالات والأنماط وتمكن محلليك من طرح الأسئلة الصحيحة ومتابعة العملاء المحتملين. يمكنك استخدامه لإضافة تنبيهات إلى حوادثك وإزالتها منها، مما يوسع نطاق تحقيقك أو يضيقه.

  1. من قائمة التنقل Microsoft Azure Sentinel، حدد الحوادث.

    لقطة شاشة لقائمة انتظار الحوادث معروضة في شبكة.

  2. حدد حادثاً للتحقيق فيه. في لوحة تفاصيل الحادث، حدد الزر إجراءات واختر تحقيق من القائمة المنبثقة. سيؤدي ذلك إلى فتح الرسم البياني للتحقيق.

    لقطة شاشة للحوادث مع التنبيهات في الرسم البياني للتحقيق.

  3. مرر مؤشر الماوس فوق أي كيان للكشف عن قائمة استعلامات استكشاف إلى جانبه. حدد التنبيهات ذات الصلة.

    لقطة شاشة لاستعلامات استكشاف التنبيهات في الرسم البياني للتحقيق.

    ستظهر التنبيهات ذات الصلة متصلة بالكيان بواسطة خطوط منقطة.

    لقطة شاشة للتنبيهات ذات الصلة التي تظهر في الرسم البياني للتحقيق.

  4. مرر مؤشر الماوس فوق أحد التنبيهات ذات الصلة حتى تنبثق قائمة إلى جانبها. حدد إضافة تنبيه إلى الحادث (معاينة).

    لقطة شاشة لإضافة تنبيه إلى حادث في الرسم البياني للتحقيق.

  5. يتم إضافة التنبيه إلى الحادث، ولجميع الأغراض هو جزء من الحادث، جنبا إلى جنب مع جميع الكيانات والتفاصيل. سترى تمثيلين مرئيين لهذا:

    • تغير الخط الذي يربطه بالكيان في الرسم البياني للتحقيق من منقط إلى صلب، وتمت إضافة الاتصالات بالكيانات في التنبيه المضاف إلى الرسم البياني.

      لقطة شاشة تعرض تنبيهاً مضافاً إلى حادث.

    • يظهر التنبيه الآن في الجدول الزمني لهذا الحادث، جنبا إلى جنب مع التنبيهات التي كانت موجودة بالفعل.

      لقطة شاشة تعرض تنبيهاً مضافاً إلى الجدول الزمني للحادث.

حالات خاصة

عند إضافة تنبيه إلى حادث، وفقاً للظروف، قد يطلب منك تأكيد طلبك أو الاختيار من بين خيارات مختلفة. فيما يلي بعض الأمثلة على هذه المواقف، والخيارات التي سيطلب منك اتخاذها، وآثارها.

  • التنبيه الذي تريد إضافته ينتمي بالفعل إلى حادث آخر.

    في هذه الحالة، سترى رسالة تفيد بأن التنبيه هو جزء من حادث أو حوادث أخرى، وستسأل عما إذا كنت تريد المتابعة أم لا. حدد موافق لإضافة التنبيه أو إلغاء لترك الأشياء كما هي.

    إضافة التنبيه إلى هذا الحادث لن يزيله من أي حوادث أخرى. يمكن أن تكون التنبيهات مرتبطة بأكثر من حادث واحد. إذا أردت، يمكنك إزالة التنبيه يدويا من الحادث (الحوادث) الأخرى باتباع الرابط (الروابط) في مطالبة الرسالة أعلاه.

  • ينتمي التنبيه الذي تريد إضافته إلى حادث آخر، وهو التنبيه الوحيد في الحادث الآخر.

    وهذا يختلف عن الحالة المذكورة أعلاه، لأنه إذا كان التنبيه وحده في الحادث الآخر، فإن تتبعه في هذا الحادث قد يجعل الحادث الآخر غير ذي صلة. لذلك في هذه الحالة، سترى مربع الحوار هذا:

    لقطة شاشة تسأل عما إذا كان يجب الاحتفاظ بحادث آخر أو إغلاقه.

    • احتفظ بالحادث الآخر يحافظ على الحادث الآخر كما هو، مع إضافة التنبيه أيضا إلى هذا الحادث.

    • إغلاق حادث آخر يضيف التنبيه إلى هذا الحادث ويغلق الحادث الآخر، مضيفاً سبب الإغلاق "غير محدد" والتعليق "تمت إضافة تنبيه إلى حادث آخر" مع رقم الحادث المفتوح.

    • إلغاء يترك الوضع الراهن. لا يقوم بإجراء أي تغييرات على الحادث المفتوح أو أي حادث آخر مرجعي.

    أي من هذه الخيارات التي تختارها يعتمد على احتياجاتك الخاصة. لا نوصي بخيار واحد على الآخر.

إضافة/إزالة التنبيهات باستخدام أدلة المبادئ

تتوفر أيضاً إضافة تنبيهات الحوادث وإزالتها كإجراءات Logic Apps في موصل Microsoft Azure Sentinel، وبالتالي في كتب تشغيل Microsoft Azure Sentinel. تحتاج إلى توفير معرف ARM حادث ومعرف تنبيه النظام كمعلمات، ويمكنك العثور عليهما في مخطط دليل التشغيل لكل من مشغلات التنبيه والحوادث.

يوفر Microsoft Azure Sentinel نموذجا لقالب دليل التشغيل في معرض القوالب، يوضح لك كيفية العمل باستخدام هذه القدرة:

لقطة شاشة لقالب دليل التشغيل لربط التنبيهات بالحوادث.

إليك كيفية استخدام الإجراء إضافة تنبيه إلى الحادث (معاينة) في دليل التشغيل هذا، كمثال على كيفية استخدامه في مكان آخر:

لقطة شاشة لإضافة تنبيه إلى حادث باستخدام إجراء دليل المبادئ.

إضافة/إزالة التنبيهات باستخدام واجهة برمجة التطبيقات

لا تقتصر على البوابة الإلكترونية لاستخدام هذه الميزة. يمكن الوصول إليه أيضا من خلال واجهة برمجة تطبيقات Microsoft Azure Sentinel، من خلال مجموعة عمليات علاقات الحوادث. يسمح لك بالحصول على العلاقات بين التنبيهات والحوادث وإنشائها وتحديثها وحذفها.

إنشاء علاقة

يمكنك إضافة تنبيه إلى حادث عن طريق إنشاء علاقة بينهما. استخدم نقطة النهاية التالية لإضافة تنبيه إلى حادث موجود. بعد تقديم هذا الطلب، ينضم التنبيه إلى الحادث وسيكون مرئياً في قائمة التنبيهات في الحادث في البوابة الإلكترونية.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations/{relationName}?api-version=2022-07-01-preview

يبدو نص الطلب كما يلي:

{ 
    "properties": { 
        "relatedResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/entities/{systemAlertId}" 
    } 
}

حذف علاقة

يمكنك إزالة تنبيه من حادث عن طريق حذف العلاقة بينهما. استخدم نقطة النهاية التالية لإزالة تنبيه من حادث موجود. بعد تقديم هذا الطلب، لن يكون التنبيه متصلاً بالحادث أو يظهر فيه.

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations/{relationName}?api-version=2022-07-01-preview

سرد علاقات التنبيه

يمكنك أيضاً إدراج جميع التنبيهات المرتبطة بحادث معين، باستخدام نقطة النهاية هذه والطلب:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations?api-version=2022-07-01-preview

رموز خطأ محددة

تسرد وثائق واجهة برمجة التطبيقات العامة رموز الاستجابة المتوقعة لعمليات إنشاءحذفقائمة المذكورة أعلاه. يتم ذكر رموز الخطأ هناك فقط كفئة عامة. فيما يلي رموز الخطأ والرسائل المحددة المحتملة المدرجة هناك تحت فئة "رموز الحالة الأخرى":

رمز رسالة
400 طلب غير صحيح فشل في إنشاء علاقة. نوع علاقة مختلف مع الاسم {relationName} موجود بالفعل في الحادث {incidentIdentifier}.
400 طلب غير صحيح فشل في إنشاء علاقة. تنبيه {systemAlertId} موجود بالفعل في الحادث {incidentIdentifier}.
400 طلب غير صحيح فشل في إنشاء علاقة. يجب أن ينتمي المورد والحادث المرتبطان إلى نفس مساحة العمل.
400 طلب غير صحيح فشل في إنشاء علاقة. لا يمكن إضافة تنبيهات Microsoft Defender XDR إلى أحداث Microsoft Defender XDR.
400 طلب غير صحيح فشل حذف العلاقة. لا يمكن إزالة تنبيهات Microsoft Defender XDR من أحداث Microsoft Defender XDR.
404 لم يتم العثور المورد '{systemAlertId}' غير موجود.
404 لم يتم العثور الحادث غير موجود.
409 تعارض فشل في إنشاء علاقة. العلاقة مع الاسم {relationName} موجودة بالفعل في الحادث {incidentIdentifier} إلى تنبيه مختلف {systemAlertId}.

الخطوات التالية

في هذه المقالة، تعلمت كيفية إضافة تنبيهات إلى الحوادث وإزالتها باستخدام مدخل Microsoft Azure Sentinel وواجهة برمجة التطبيقات. لمزيد من المعلومات، راجع: