مشاركة عبر

البرنامج التعليمي: استخراج كيانات الحادث بإجراءات غير أصلية

  • مقالة
  • ينطبق على:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

يثري تعيين الكيان التنبيهات والحوادث بمعلومات ضرورية لأي عمليات تحقيق وإجراءات علاجية تلي ذلك.

تتضمن أدلة مبادئ Microsoft Sentinel هذه الإجراءات الأصلية لاستخراج معلومات الكيان:

  • الحسابات
  • DNS
  • تجزئة الملف
  • المضيفون
  • عناوين IP
  • عناوين URL

بالإضافة إلى هذه الإجراءات، يحتوي تعيين كيان القاعدة التحليلية على أنواع الكيانات التي ليست إجراءات أصلية، مثل البرامج الضارة، والعملية، ومفتاح التسجيل، وعلبة البريد، والمزيد. في هذا البرنامج التعليمي، ستتعلم كيفية العمل مع الإجراءات غير الأصلية باستخدام إجراءات مضمنة مختلفة لاستخراج القيم ذات الصلة.

في هذا البرنامج التعليمي، تتعلم كيفية:

  • إنشاء دليل مبادئ مع مشغل حدث وتشغيله يدويا على الحدث.
  • تهيئة متغير صفيف.
  • تصفية نوع الكيان المطلوب من أنواع الكيانات الأخرى.
  • تحليل النتائج في ملف JSON.
  • إنشاء القيم كمحتوى ديناميكي للاستخدام في المستقبل.

هام

يتوفر Microsoft Sentinel الآن بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

المتطلبات الأساسية

لإكمال هذا البرنامج التعليمي، تأكد من أن لديك ما يلي:

  • اشتراك Azure. أنشئ حسابا مجانيا إذا لم يكن لديك حساب بالفعل.

  • مستخدم Azure مع الأدوار التالية المعينة على الموارد التالية:

    • Microsoft Sentinel Contributor على مساحة عمل Log Analytics حيث يتم نشر Microsoft Sentinel.
    • Logic App Contributor، والمالك أو ما يعادله، على أي مجموعة موارد ستحتوي على دليل المبادئ الذي تم إنشاؤه في هذا البرنامج التعليمي.

  • سيكون حساب VirusTotal (مجاني) كافيا لهذا البرنامج التعليمي. يتطلب تنفيذ الإنتاج حساب VirusTotal Premium.

إنشاء دليل مبادئ باستخدام مشغل حدث

  1. بالنسبة إلى Microsoft Sentinel في مدخل Microsoft Azure، حدد صفحة Configuration>Automation. بالنسبة إلى Microsoft Sentinel في مدخل Defender، حدد Microsoft Sentinel>Configuration>Automation.

  2. في صفحة Automation، حدد Create>Playbook with incident trigger.

  3. في معالج Create playbook ، ضمن Basics، حدد الاشتراك ومجموعة الموارد، وامنح دليل المبادئ اسما.

  4. حدد Next: Connections >.

    ضمن الاتصالات، يجب أن يكون Microsoft Sentinel - الاتصال باتصال الهوية المدارة مرئيا. على سبيل المثال:

    لقطة شاشة لإنشاء دليل مبادئ جديد مع مشغل حدث.

  5. حدد Next: Review and create >.

  6. ضمن Review and create، حدد Create and continue to designer.

    يفتح مصمم Logic app تطبيقا منطقيا باسم دليل المبادئ الخاص بك.

    لقطة شاشة لعرض دليل المبادئ في مصمم تطبيق المنطق.

تهيئة متغير صفيف

  1. في مصمم Logic app، ضمن الخطوة حيث تريد إضافة متغير، حدد New step.

  2. ضمن اختيار عملية، في مربع البحث، اكتب المتغيرات كعامل تصفية. من قائمة الإجراءات، اختر تهيئة متغير.

  3. قدم هذه المعلومات حول المتغير الخاص بك:

    • بالنسبة إلى اسم المتغير، استخدم Entities.

    • بالنسبة للنوع، حدد Array.

    • بالنسبة للقيمة، ابدأ بكتابة الكيانات وحدد Entities ضمن Dynamic content.

      لقطة شاشة لتهيئة متغير صفيف.

تحديد حدث موجود

  1. في Microsoft Sentinel، انتقل إلى Incidents وحدد حادثا تريد تشغيل دليل المبادئ عليه.

  2. في صفحة الحدث على اليمين، حدد Actions > Run playbook (Preview).

  3. ضمن Playbooks، بجوار دليل المبادئ الذي أنشأته، حدد Run.

    عند تشغيل دليل المبادئ، يتم تشغيل رسالة Playbook بنجاح مرئية في أعلى اليمين.

  4. حدد تشغيل، وبالتالي دليل المبادئ، حدد عرض تشغيل.

    صفحة تشغيل تطبيق المنطق مرئية.

  5. ضمن Initialize variable، تكون حمولة العينة مرئية ضمن Value. لاحظ حمولة العينة لاستخدامها لاحقا.

    لقطة شاشة لعرض حمولة العينة ضمن حقل القيمة.

تصفية نوع الكيان المطلوب من أنواع الكيانات الأخرى

  1. انتقل مرة أخرى إلى صفحة التنفيذ التلقائي وحدد دليل المبادئ الخاص بك.

  2. ضمن الخطوة حيث تريد إضافة متغير، حدد خطوة جديدة.

  3. ضمن اختيار إجراء، في مربع البحث، أدخل صفيف التصفية كعامل تصفية. من قائمة الإجراءات، حدد عمليات البيانات.

    لقطة شاشة لتصفية صفيف وتحديد عمليات البيانات.

  4. قدم هذه المعلومات حول صفيف التصفية:

    1. ضمن من>المحتوى الديناميكي، حدد متغير الكيانات الذي قمت بتهيئةه مسبقا.

    2. حدد الحقل الأول Choose a value (على اليسار)، وحدد Expression.

    3. لصق عنصر القيمة ()?[' kind']، وحدد OK.

      لقطة شاشة لملء تعبير صفيف التصفية.

    4. اترك القيمة مساوية للقيمة (لا تقم بتعديلها).

    5. في الحقل الثاني Choose a value (على اليمين)، اكتب Process. يجب أن يكون هذا مطابقا تماما للقيمة في النظام.

      إشعار

      هذا الاستعلام حساس لحالة الأحرف. تأكد من kind أن القيمة تطابق القيمة في حمولة العينة. راجع حمولة العينة من عند إنشاء دليل المبادئ.

      لقطة شاشة لملء معلومات صفيف التصفية.

تحليل النتائج إلى ملف JSON

  1. في تطبيق المنطق الخاص بك، ضمن الخطوة التي تريد إضافة متغير فيها، حدد خطوة جديدة.

  2. حدد Data operations>Parse JSON.

    لقطة شاشة لتحديد خيار تحليل JSON ضمن عمليات البيانات.

  3. قدم هذه المعلومات حول العملية:

    1. حدد المحتوى، وضمن صفيف تصفية المحتوى>الديناميكي، حدد النص الأساسي.

      لقطة شاشة لتحديد المحتوى الديناميكي ضمن المحتوى.

    2. ضمن المخطط، الصق مخطط JSON بحيث يمكنك استخراج القيم من صفيف. انسخ حمولة العينة التي قمت بإنشائها عند إنشاء دليل المبادئ.

      لقطة شاشة لنسخ حمولة العينة.

    3. ارجع إلى دليل المبادئ، وحدد Use sample payload لإنشاء مخطط.

      لقطة شاشة لتحديد استخدام حمولة العينة لإنشاء مخطط.

    4. الصق الحمولة. إضافة قوس مربع فتح ([) في بداية المخطط وإغلاقها في نهاية المخطط ].

      لقطة شاشة للصق حمولة العينة.

      لقطة شاشة للجزء الثاني من حمولة العينة الملصقة.

    5. حدد تم.

استخدام القيم الجديدة كمحتوى ديناميكي للاستخدام في المستقبل

يمكنك الآن استخدام القيم التي قمت بإنشائها كمحتوى ديناميكي لمزيد من الإجراءات. على سبيل المثال، إذا كنت تريد إرسال بريد إلكتروني يحتوي على بيانات العملية، يمكنك العثور على إجراء تحليل JSON ضمن المحتوى الديناميكي، إذا لم تقم بتغيير اسم الإجراء.

لقطة شاشة لإرسال بريد إلكتروني مع بيانات العملية.

تأكد من حفظ دليل المبادئ

تأكد من حفظ دليل المبادئ، ويمكنك الآن استخدام دليل المبادئ لعمليات SOC.

الخطوات التالية

تقدم إلى المقالة التالية لمعرفة كيفية إنشاء مهام الحوادث وتنفيذها في Microsoft Sentinel باستخدام أدلة المبادئ.

إنشاء مهام الحوادث وتنفيذها في Microsoft Sentinel باستخدام أدلة المبادئ