البرنامج التعليمي: التحقق من معلومات سمعة عنوان IP وتسجيلها تلقائيا في الحوادث
تتمثل إحدى الطرق السريعة والسهلة لتقييم خطورة الحادث في معرفة ما إذا كانت أي عناوين IP فيه معروفة بأنها مصادر للنشاط الضار. إن وجود طريقة للقيام بذلك تلقائيا يمكن أن يوفر لك الكثير من الوقت والجهد.
في هذا البرنامج التعليمي، ستتعلم كيفية استخدام قواعد التشغيل التلقائي ل Microsoft Sentinel ودلائل المبادئ للتحقق تلقائيا من عناوين IP في حوادثك ضد مصدر معلومات التهديد وتسجيل كل نتيجة في الحادث ذي الصلة.
عند إكمال هذا البرنامج التعليمي، ستتمكن من:
- إنشاء دليل مبادئ من قالب
- تكوين اتصالات دليل المبادئ بالموارد الأخرى وتخويلها
- إنشاء قاعدة أتمتة لاستدعاء دليل المبادئ
- الاطلاع على نتائج العملية التلقائية
هام
يتوفر Microsoft Sentinel الآن بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.
المتطلبات الأساسية
لإكمال هذا البرنامج التعليمي، تأكد من أن لديك ما يلي:
اشتراك Azure. أنشئ حسابا مجانيا إذا لم يكن لديك حساب بالفعل.
مساحة عمل Log Analytics مع حل Microsoft Sentinel المنشور عليها والبيانات التي يتم استيعابها فيها.
مستخدم Azure مع الأدوار التالية المعينة على الموارد التالية:
- Microsoft Sentinel Contributor على مساحة عمل Log Analytics حيث يتم نشر Microsoft Sentinel.
- Logic App Contributor، والمالك أو ما يعادله، على أي مجموعة موارد ستحتوي على دليل المبادئ الذي تم إنشاؤه في هذا البرنامج التعليمي.
حل VirusTotal المثبت من مركز المحتوى
سيكون حساب VirusTotal (مجاني) كافيا لهذا البرنامج التعليمي. يتطلب تنفيذ الإنتاج حساب VirusTotal Premium.
تم تثبيت عامل Azure Monitor على جهاز واحد على الأقل في بيئتك، بحيث يتم إنشاء الحوادث وإرسالها إلى Microsoft Sentinel.
إنشاء دليل مبادئ من قالب
يتضمن Microsoft Sentinel قوالب دليل المبادئ الجاهزة الجاهزة التي يمكنك تخصيصها واستخدامها لأتمتة عدد كبير من أهداف وسيناريوهات SecOps الأساسية. دعونا نجد واحدا لإثراء معلومات عنوان IP في حوادثنا.
في Microsoft Sentinel، حدد Configuration>Automation.
من صفحة Automation، حدد علامة التبويب Playbook templates (Preview).
حدد موقع أحد قوالب تقرير إثراء IP - إجمالي الفيروسات وحدده، لأي من الكيانين أو الحدث أو مشغلات التنبيه. إذا لزم الأمر، قم بتصفية القائمة حسب علامة الإثراء للعثور على القوالب الخاصة بك.
حدد Create playbook من جزء التفاصيل. على سبيل المثال:
سيتم فتح معالج إنشاء دليل المبادئ. في علامة التبويب Basics:
حدد الاشتراك ومجموعة الموارد والمنطقة من القوائم المنسدلة الخاصة بها.
قم بتحرير اسم Playbook عن طريق إضافة إلى نهاية الاسم المقترح "Get-VirusTotalIPReport". بهذه الطريقة، ستتمكن من معرفة القالب الأصلي الذي جاء منه دليل المبادئ هذا، مع التأكد من أنه يحتوي على اسم فريد في حالة رغبتك في إنشاء دليل مبادئ آخر من هذا القالب نفسه. دعونا نسميها "Get-VirusTotalIPReport-Tutorial-1".
اترك الخيار تمكين سجلات التشخيص في Log Analytics غير محدد.
حدد Next : Connections >.
في علامة التبويب Connections ، سترى جميع الاتصالات التي يحتاج دليل المبادئ هذا إلى إجراؤها إلى خدمات أخرى، وطريقة المصادقة التي سيتم استخدامها إذا تم إجراء الاتصال بالفعل في سير عمل Logic App موجود في نفس مجموعة الموارد.
اترك اتصال Microsoft Sentinel كما هو (يجب أن يقول "الاتصال بالهوية المدارة").
إذا كانت أي اتصالات تقول "سيتم تكوين اتصال جديد"، فستتم مطالبتك بذلك في المرحلة التالية من البرنامج التعليمي. أو، إذا كان لديك بالفعل اتصالات بهذه الموارد، فحدد سهم الموسع إلى يسار الاتصال واختر اتصالا موجودا من القائمة الموسعة. لهذا التمرين، سنتركه كما هو.
حدد Next : Review and create >.
في علامة التبويب مراجعة وإنشاء ، راجع جميع المعلومات التي أدخلتها كما يتم عرضها هنا، وحدد إنشاء دليل المبادئ.
عند نشر دليل المبادئ، سترى سلسلة سريعة من الإعلامات حول تقدمه. ثم سيتم فتح مصمم تطبيق المنطق مع عرض دليل المبادئ الخاص بك. ما زلنا بحاجة إلى تخويل اتصالات تطبيق المنطق بالموارد التي يتفاعل معها بحيث يمكن تشغيل دليل المبادئ. ثم سنراجع كل إجراء من الإجراءات في دليل المبادئ للتأكد من أنها مناسبة للبيئة الخاصة بنا، وإجراء التغييرات إذا لزم الأمر.
تخويل اتصالات تطبيق المنطق
تذكر أنه عندما أنشأنا دليل المبادئ من القالب، قيل لنا إنه سيتم تكوين اتصالات جامع بيانات Azure Log Analytics وإجمالي الفيروسات لاحقا.
هنا حيث نفعل ذلك.
تخويل اتصال إجمالي الفيروسات
حدد لكل إجراء لتوسيعه ومراجعة محتوياته، والذي يتضمن الإجراءات التي سيتم تنفيذها لكل عنوان IP. على سبيل المثال:
يسمى عنصر الإجراء الأول الذي تراه الاتصالات ويحتوي على مثلث تحذير برتقالي.
إذا كان هذا الإجراء الأول يسمى بدلا من ذلك الحصول على تقرير IP (معاينة)، فهذا يعني أن لديك بالفعل اتصالا موجودا بإجمالي الفيروسات ويمكنك الانتقال إلى الخطوة التالية.
حدد إجراء الاتصالات لفتحه.
حدد الأيقونة في العمود غير صالح للاتصال المعروض.
ستتم مطالبتك بمعلومات الاتصال.
أدخل "إجمالي الفيروسات" كاسم الاتصال.
بالنسبة إلى x-api_key، انسخ والصق مفتاح API من حساب إجمالي الفيروسات.
حدد تحديث.
الآن سترى إجراء الحصول على تقرير IP (معاينة) بشكل صحيح. (إذا كان لديك حساب إجمالي الفيروسات بالفعل، فسوف تكون بالفعل في هذه المرحلة.)
تخويل اتصال Log Analytics
الإجراء التالي هو شرط يحدد بقية إجراءات الحلقة لكل حلقة استنادا إلى نتيجة تقرير عنوان IP. يحلل درجة السمعة المعطاة لعنوان IP في التقرير. تشير الدرجة الأعلى من 0 إلى أن العنوان غير ضار؛ تشير الدرجة الأقل من 0 إلى أنها ضارة.
سواء كان الشرط صحيحا أو خاطئا، نريد إرسال البيانات في التقرير إلى جدول في Log Analytics بحيث يمكن الاستعلام عنها وتحليلها، وإضافة تعليق إلى الحدث.
ولكن كما سترى، لدينا المزيد من الاتصالات غير الصالحة التي نحتاج إلى تخويلها.
حدد الإجراء Connections في الإطار True.
حدد الأيقونة في العمود غير صالح للاتصال المعروض.
ستتم مطالبتك بمعلومات الاتصال.
أدخل "Log Analytics" كاسم الاتصال.
بالنسبة إلى معرف مساحة العمل، انسخ المعرف والصقه من صفحة نظرة عامة لإعدادات مساحة عمل Log Analytics.
حدد تحديث.
سترى الآن إجراء إرسال البيانات بشكل صحيح. (إذا كان لديك بالفعل اتصال Log Analytics من Logic Apps، فسوف تكون بالفعل في هذه المرحلة.)
الآن حدد الإجراء Connections في الإطار False . يستخدم هذا الإجراء نفس الاتصال الموجود في الإطار True.
تحقق من وضع علامة على الاتصال المسمى Log Analytics ، وحدد Cancel. وهذا يضمن أن الإجراء سيتم عرضه الآن بشكل صحيح في دليل المبادئ.
الآن سترى دليل المبادئ بأكمله، تم تكوينه بشكل صحيح.
مهم جدا! لا تنس تحديد حفظ في الجزء العلوي من نافذة مصمم تطبيق المنطق. بعد مشاهدة رسائل الإعلام التي تفيد بحفظ دليل المبادئ بنجاح، سترى دليل المبادئ مدرجا في علامة التبويب أدلة المبادئ النشطة* في صفحة التنفيذ التلقائي .
انشأ قاعدة أتمتة
الآن، لتشغيل دليل المبادئ هذا فعليا، ستحتاج إلى إنشاء قاعدة أتمتة سيتم تشغيلها عند إنشاء الحوادث واستدعاء دليل المبادئ.
من صفحة Automation، حدد + Create من الشعار العلوي. من القائمة المنسدلة، حدد Automation rule.
في لوحة إنشاء قاعدة أتمتة جديدة، قم بتسمية القاعدة "البرنامج التعليمي: إثراء معلومات IP".
ضمن الشروط، حدد + إضافة وشرط (و).
حدد عنوان IP من القائمة المنسدلة للخاصية على اليسار. حدد Contains من القائمة المنسدلة للمشغل، واترك حقل القيمة فارغا. وهذا يعني بشكل فعال أن القاعدة ستطبق على الأحداث التي تحتوي على حقل عنوان IP يحتوي على أي شيء.
لا نريد إيقاف تغطية أي قواعد تحليلات من خلال هذه الأتمتة، لكننا لا نريد أن يتم تشغيل الأتمتة دون داع أيضا، لذلك سنقتصر التغطية على الحوادث التي تحتوي على كيانات عنوان IP.
ضمن Actions، حدد Run playbook من القائمة المنسدلة.
حدد القائمة المنسدلة الجديدة التي تظهر.
سترى قائمة بجميع أدلة المبادئ في اشتراكك. تلك الرمادية هي تلك التي لا يمكنك الوصول إليها. في مربع النص Search playbooks ، ابدأ بكتابة الاسم - أو أي جزء من الاسم - ل playbook الذي أنشأناه أعلاه. ستتم تصفية قائمة أدلة المبادئ ديناميكيا مع كل حرف تكتبه.
عندما ترى دليل المبادئ في القائمة، حدده.
إذا كان دليل المبادئ رمادي اللون، فحدد الارتباط إدارة أذونات دليل المبادئ (في الفقرة الدقيقة للطباعة أدناه حيث حددت دليل المبادئ - راجع لقطة الشاشة أعلاه). في اللوحة التي تفتح، حدد مجموعة الموارد التي تحتوي على دليل المبادئ من قائمة مجموعات الموارد المتوفرة، ثم حدد تطبيق.
حدد + إضافة إجراء مرة أخرى. الآن، من القائمة المنسدلة الإجراء الجديد الذي يظهر، حدد إضافة علامات.
حدد + إضافة علامة. أدخل "Tutorial-Enriched IP addresses" كنص العلامة وحدد OK.
اترك الإعدادات المتبقية كما هي، وحدد تطبيق.
التحقق من الأتمتة الناجحة
في صفحة Incidents ، أدخل نص العلامة Tutorial-Enriched IP addresses في شريط البحث واضغط على مفتاح Enter لتصفية القائمة للحوادث مع تطبيق تلك العلامة. هذه هي الحوادث التي تم تشغيل قاعدة التشغيل الآلي عليها.
افتح أي حدث أو أكثر من هذه الحوادث وتحقق مما إذا كانت هناك تعليقات حول عناوين IP هناك. يشير وجود هذه التعليقات إلى تشغيل دليل المبادئ على الحدث.
تنظيف الموارد
إذا كنت لن تستمر في استخدام سيناريو التشغيل التلقائي هذا، فاحذف دليل المبادئ وقاعدة التشغيل التلقائي التي أنشأتها بالخطوات التالية:
في صفحة Automation ، حدد علامة التبويب Active playbooks .
أدخل اسم (أو جزء من الاسم) لدليل المبادئ الذي أنشأته في شريط البحث .
(إذا لم تظهر، فتأكد من تعيين أي عوامل تصفية إلى حدد الكل.)ضع علامة على خانة الاختيار إلى جانب دليل المبادئ في القائمة، وحدد حذف من الشعار العلوي.
(إذا كنت لا تريد حذفه، يمكنك تحديد تعطيل بدلا من ذلك.)حدد علامة التبويب Automation rules.
أدخل اسم (أو جزء من الاسم) لقاعدة التنفيذ التلقائي التي أنشأتها في شريط البحث .
(إذا لم تظهر، فتأكد من تعيين أي عوامل تصفية إلى حدد الكل.)ضع علامة على خانة الاختيار بجوار قاعدة التنفيذ التلقائي في القائمة، وحدد حذف من الشعار العلوي.
(إذا كنت لا تريد حذفه، يمكنك تحديد تعطيل بدلا من ذلك.)
المحتوى ذو الصلة
الآن بعد أن تعلمت كيفية أتمتة سيناريو إثراء الحدث الأساسي، تعرف على المزيد حول الأتمتة والسيناريوهات الأخرى التي يمكنك استخدامها فيها.
- راجع المزيد من الأمثلة على استخدام أدلة المبادئ مع قواعد التشغيل التلقائي.
- اتعمق في إضافة إجراءات إلى أدلة المبادئ.
- استكشف بعض سيناريوهات التشغيل التلقائي الأساسية التي لا تتطلب أدلة المبادئ.