مشاركة عبر


استخدام دليل مبادئ Microsoft Sentinel لإيقاف المستخدمين الذين يحتمل أن يتعرضوا للخطر

توضح هذه المقالة سيناريو نموذجي لكيفية استخدام دليل المبادئ وقاعدة التشغيل التلقائي لأتمتة الاستجابة للحوادث ومعالجة تهديدات الأمان. تساعدك قواعد التنفيذ التلقائي على فرز الحوادث في Microsoft Sentinel، وتستخدم أيضا لتشغيل أدلة المبادئ استجابة للحوادث أو التنبيهات. لمزيد من المعلومات، راجع التنفيذ التلقائي في Microsoft Sentinel: تزامن الأمان والأتمتة والاستجابة (SOAR).

يصف السيناريو النموذجي الموضح في هذه المقالة كيفية استخدام قاعدة التشغيل التلقائي ودليل المبادئ لإيقاف مستخدم يحتمل أن يتعرض للاختراق عند إنشاء حادث.

إشعار

نظرا لأن playbooks يستخدم Azure Logic Apps، فقد يتم تطبيق رسوم إضافية. تفضل بزيارة صفحة تسعير Azure Logic Apps للحصول على مزيد من التفاصيل.

هام

يتوفر Microsoft Sentinel بشكل عام في مدخل Microsoft Defender، بما في ذلك للعملاء الذين ليس لديهم Microsoft Defender XDR أو ترخيص E5.

بدءا من يوليو 2026، سيتم دعم Microsoft Sentinel في مدخل Defender فقط، وسيتم إعادة توجيه أي عملاء متبقين يستخدمون مدخل Microsoft Azure تلقائيا.

نوصي بأن يبدأ أي عملاء يستخدمون Microsoft Sentinel في Azure في التخطيط للانتقال إلى مدخل Defender للحصول على تجربة عمليات الأمان الموحدة الكاملة التي يقدمها Microsoft Defender. لمزيد من المعلومات، راجع التخطيط للانتقال إلى مدخل Microsoft Defender لجميع عملاء Microsoft Sentinel.

المتطلبات الأساسية

الأدوار التالية مطلوبة لاستخدام Azure Logic Apps لإنشاء وتشغيل أدلة المبادئ في Microsoft Sentinel.

الدور ‏‏الوصف
مالك يتيح لك منح حق الوصول إلى أدلة المبادئ في مجموعة الموارد.
مساهم Microsoft Sentinel يتيح لك إرفاق دليل مبادئ بقاعدة تحليلات أو أتمتة.
مستجيب Microsoft Sentinel يتيح لك الوصول إلى حدث لتشغيل دليل المبادئ يدويا، ولكنه لا يسمح لك بتشغيل دليل المبادئ.
عامل تشغيل دليل مبادئ Microsoft Sentinel يتيح لك تشغيل دليل المبادئ يدويا.
مساهم أتمتة Microsoft Sentinel يسمح لقواعد التشغيل التلقائي بتشغيل أدلة المبادئ. لا يتم استخدام هذا الدور لأي غرض آخر.

يصف الجدول التالي الأدوار المطلوبة استنادا إلى ما إذا كنت تحدد Consumption أو Standard logic app لإنشاء دليل المبادئ الخاص بك:

تطبيق المنطق أدوار Azure ‏‏الوصف
الاستهلاك‬ Logic App Contributor تحرير التطبيقات المنطقية وإدارتها. تشغيل أدلة المبادئ. لا يسمح لك بمنح حق الوصول إلى أدلة المبادئ.
الاستهلاك‬ عامل تشغيل Logic App قراءة التطبيقات المنطقية وتمكينها وتعطيلها. لا يسمح لك بتحرير تطبيقات المنطق أو تحديثها.
قياسي عامل تشغيل Logic Apps القياسي تمكين مهام سير العمل وإعادة إرسالها وتعطيلها في تطبيق منطقي.
قياسي Logic Apps Standard Developer إنشاء تطبيقات المنطق وتحريرها.
قياسي Logic Apps Standard Contributor إدارة جميع جوانب تطبيق المنطق.

تعرض علامة التبويب أدلة المبادئ النشطة في صفحة التنفيذ التلقائي جميع أدلة المبادئ النشطة المتوفرة عبر أي اشتراكات محددة. بشكل افتراضي، يمكن استخدام دليل المبادئ فقط ضمن الاشتراك الذي ينتمي إليه، ما لم تمنح أذونات Microsoft Sentinel لمجموعة موارد دليل المبادئ على وجه التحديد.

أذونات إضافية مطلوبة لتشغيل أدلة المبادئ على الحوادث

يستخدم Microsoft Sentinel حساب خدمة لتشغيل أدلة المبادئ على الحوادث، لإضافة الأمان وتمكين واجهة برمجة تطبيقات قواعد التشغيل التلقائي لدعم حالات استخدام CI/CD. يتم استخدام حساب الخدمة هذا لدلائل المبادئ المشغلة بالحوادث، أو عند تشغيل دليل المبادئ يدويا على حدث معين.

بالإضافة إلى الأدوار والأذونات الخاصة بك، يجب أن يكون لحساب خدمة Microsoft Sentinel هذا مجموعة الأذونات الخاصة به على مجموعة الموارد حيث يوجد دليل المبادئ، في شكل دور Microsoft Sentinel Automation Contributor . بمجرد أن يكون ل Microsoft Sentinel هذا الدور، يمكنه تشغيل أي دليل مبادئ في مجموعة الموارد ذات الصلة، يدويا أو من قاعدة التنفيذ التلقائي.

لمنح Microsoft Sentinel الأذونات المطلوبة، يجب أن يكون لديك دور مسؤول وصولالمالك أو المستخدم. لتشغيل أدلة المبادئ، ستحتاج أيضا إلى دور Logic App Contributor في مجموعة الموارد التي تحتوي على أدلة المبادئ التي تريد تشغيلها.

إيقاف المستخدمين الذين يحتمل أن يتعرضوا للخطر

ترغب فرق SOC في التأكد من أن المستخدمين الذين يحتمل أن يتعرضوا للخطر لا يمكنهم التنقل في شبكتهم وسرقة المعلومات. نوصي بإنشاء استجابة تلقائية متعددة الأوجه للحوادث التي تم إنشاؤها بواسطة القواعد التي تكشف عن المستخدمين المخترقين للتعامل مع مثل هذه السيناريوهات.

قم بتكوين قاعدة التشغيل التلقائي و playbook لاستخدام التدفق التالي:

  1. يتم إنشاء حدث لمستخدم يحتمل أن يتعرض للاختراق ويتم تشغيل قاعدة أتمتة لاستدعاء دليل المبادئ الخاص بك.

  2. يفتح دليل المبادئ تذكرة في نظام إصدار تذاكر تكنولوجيا المعلومات، مثل ServiceNow.

  3. يرسل دليل المبادئ أيضا رسالة إلى قناة عمليات الأمان في Microsoft Teams أو Slack للتأكد من أن محللي الأمان على علم بالحادث.

  4. يرسل دليل المبادئ أيضا جميع المعلومات في الحدث في رسالة بريد إلكتروني إلى مسؤول الشبكة الأقدم ومسؤول الأمان. تتضمن رسالة البريد الإلكتروني زري الخيار حظروتجاهل المستخدم.

  5. ينتظر playbook حتى يتم تلقي استجابة من المسؤولين، ثم يستمر في خطواته التالية.

    • إذا اختار المسؤولون حظر، يرسل دليل المبادئ أمرا إلى معرف Microsoft Entra لتعطيل المستخدم، وواحد إلى جدار الحماية لحظر عنوان IP.

    • إذا اختار المسؤولون تجاهل، يغلق دليل المبادئ الحدث في Microsoft Sentinel، والتذكرة في ServiceNow.

تظهر لقطة الشاشة التالية الإجراءات والشروط التي قد تضيفها في إنشاء نموذج دليل المبادئ هذا:

لقطة شاشة ل Logic App تعرض إجراءات وشروط دليل المبادئ هذا.