البرنامج التعليمي: الاستجابة للتهديدات باستخدام أدلة المبادئ مع قواعد التشغيل التلقائي في Microsoft Sentinel

• ينطبق على:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

يوضح لك هذا البرنامج التعليمي كيفية استخدام كتيبات التشغيل جنباً إلى جنب مع قواعد التنفيذ التلقائي للتنفيذ التلقائي فيما يخص استجابتك للحوادث ومعالجة تهديدات الأمان التي اكتشفها Microsoft Azure Sentinel. عندما تكمل هذا البرنامج التعليمي، ستكون قادر علي:

• انشأ قاعدة أتمتة
• قم بإنشاء playbook
• إضافة إجراءات إلى playbook
• قم بإرفاق playbook بقاعدة أتمتة أو قاعدة تحليلات لأتمتة الاستجابة للتهديد

إشعار

يوفر هذا البرنامج التعليمي إرشادات أساسية لمهمة top customer: إنشاء التشغيل الآلي لفرز الحوادث. لمزيد من المعلومات، راجع قسم الكيفية، مثل أتمتة الاستجابة للتهديدات باستخدام كتيبات التشغيل في Microsoft Azure Sentinel واستخدام المشغلات والإجراءات في دفاتر تشغيل Microsoft Azure Sentinel.

هام

يتوفر Microsoft Sentinel كجزء من المعاينة العامة للنظام الأساسي لعمليات الأمان الموحدة في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

ما هي قواعد التشغيل الآلي وplaybooks؟

تساعدكقواعد التنفيذ التلقائي في فرز الحوادث في Microsoft Azure Sentinel. يمكنك استخدامها لتعيين الحوادث تلقائياً للموظفين المناسبين أو إغلاق الحوادث الصاخبة أو الإيجابيات الزائفةالمعروفة وتغيير شدتها وإضافة علامات. كما أنها الآلية التي يمكنك من خلالها تشغيل أدلة المبادئ استجابة للحوادث أو التنبيهات.

Playbooks هي مجموعات من الإجراءات التي يمكن تشغيلها من Microsoft Sentinel استجابة لحادث بأكمله أو لتنبيه فردي أو إلى كيان معين. يمكن أن يساعد دليل المبادئ في أتمتة الاستجابة وتنسيقها، ويمكن تعيينه للتشغيل تلقائيا عند إنشاء تنبيهات محددة أو عند إنشاء الحوادث أو تحديثها، عن طريق إرفاقها بقاعدة التنفيذ التلقائي. يمكن أيضا تشغيله يدويا عند الطلب على حوادث أو تنبيهات أو كيانات محددة.

تستند كتيبات التشغيل في Microsoft Azure Sentinel إلى تدفقات العمل المضمنة في Azure Logic Apps، مما يعني أنك تحصل على كل القوة وقابلية التخصيص والقوالب المضمنة لتطبيقات Logic. يتم إنشاء كل playbook للاشتراك المحدد الذي ينتمي إليه، ولكن يوضح عرض Playbooks لك كل playbook المتاحة عبر أي اشتراكات محددة.

إشعار

نظرا لأن playbooks يستخدم Azure Logic Apps، فقد يتم تطبيق رسوم إضافية. قم بزيارة صفحة التسعير Azure Logic Apps للحصول على مزيد من التفاصيل.

على سبيل المثال، إذا كنت تريد منع المستخدمين الذين يحتمل أن يتعرضوا للخطر من التنقل في الشبكة وسرقة المعلومات، يمكنك إنشاء استجابة تلقائية متعددة الأوجه للحوادث التي تم إنشاؤها بواسطة القواعد التي تكشف عن المستخدمين الذين يتعرضون للخطر. تبدأ بإنشاء playbook الذي يتخذ الإجراءات التالية:

1. عندما يتم استدعاء playbook من قبل قاعدة التشغيل الآلي التي تمرر حادث، يفتح playbook تذكرة في ServiceNow أو أي نظام آخر لتذاكر تكنولوجيا المعلومات.

2. يرسل رسالة إلى قناة عمليات الأمان الخاصة بك في Microsoft Teams أو Slack للتأكد من أن محللي الأمان على علم بالحادث.

3. كما أنه يرسل جميع المعلومات في الحادث في رسالة بريد إلكتروني إلى مسؤول الشبكة الأقدم ومسؤول الأمان. تتضمن رسالة البريد الإلكتروني أزرار خيار حظروتجاهل المستخدم.

4. ينتظر playbook حتى يتم تلقي استجابة من المسؤولين، ثم يستمر في خطواته التالية.

5. إذا اختار المسؤولون حظر، فإنه يرسل أمرا إلى معرف Microsoft Entra لتعطيل المستخدم، وواحد إلى جدار الحماية لحظر عنوان IP.

6. إذا اختار المسؤولون Ignore، فسيقوم دليل التشغيل بإغلاق الحادث في Microsoft Azure Sentinel والتذكرة في ServiceNow.

لتشغيل playbook، ستقوم بإنشاء قاعدة أتمتة يتم تشغيلها عند إنشاء هذه الحوادث. وستتخذ هذه القاعدة الخطوات التالية:

1. تغير القاعدة حالة الحادث إلى Active.

2. وهو يعين الحادث للمحلل المكلف بإدارة هذا النوع من الحوادث.

3. يضيف علامة "compromised user".

4. وأخيرا، فإنه يدعو playbook الذي قمت بإنشائه للتو. (الأذونات الخاصة مطلوبة لهذه الخطوة.)

يمكن تشغيل Playbooks تلقائياً للاستجابة للحوادث، من خلال إنشاء قواعد التشغيل الآلي التي تسمي playbooks as actions، كما هو الحال في المثال أعلاه. كما يمكن تشغيلها تلقائياً للاستجابة للتنبيهات، من خلال إخبار قاعدة التحليلات بتشغيل playbooks واحد أو أكثر تلقائياً عند إنشاء التنبيه.

يمكنك أيضاً اختيار تشغيل playbooks يدويا عند الطلب، كرد على تنبيه محدد.

احصل على مقدمة أكثر اكتمالاً وتفصيلاً للتنفيذ التلقائي فيما يخص الاستجابة للتهديدات باستخدام قواعد التنفيذ التلقائي وكتيبات التشغيل في Microsoft Azure Sentinel.

قم بإنشاء playbook

اتبع هذه الخطوات لإنشاء Playbook جديد في Microsoft Azure Sentinel:

مدخل Microsoft Azure

مدخل Defender

1. بالنسبة إلى Microsoft Sentinel في مدخل Microsoft Azure، حدد صفحة Configuration>Automation. بالنسبة إلى Microsoft Sentinel في مدخل Defender، حدد Microsoft Sentinel>Configuration>Automation.

2. من القائمة العلوية، حدد Create.

3. تمنحك القائمة المنسدلة التي تظهر ضمن Create أربعة خيارات لإنشاء أدلة المبادئ:

   1. إذا كنت تقوم بإنشاء دليل مبادئ قياسي (النوع الجديد - راجع أنواع تطبيقات المنطق)، فحدد دليل المبادئ الفارغ ثم اتبع الخطوات الواردة في علامة التبويب Logic Apps Standard أدناه.

   2. إذا كنت تقوم بإنشاء دليل مبادئ الاستهلاك (النوع الأصلي الكلاسيكي)، فحدد إما Playbook مع مشغل الحدث أو Playbook مع مشغل التنبيه أو Playbook مع مشغل الكيان، اعتمادا على المشغل الذي تريد استخدامه. بعد ذلك، تابع اتباع الخطوات الواردة في علامة التبويب Logic Apps Consumption أدناه.

      لمزيد من التفاصيل حول المشغل الذي يجب استخدامه، راجع استخدام المشغلات والإجراءات في أدلة مبادئ Microsoft Sentinel.

استهلاك تطبيقات المنطق

إعداد playbook وLogic App

بغض النظر عن المشغل الذي اخترته لإنشاء دليل التشغيل الخاص بك في الخطوة السابقة، سيظهر معالج إنشاء دليل.

1. في علامة التبويب Basics:

   1. حدد Subscriptionو Resource groupو Region التي تختارها من القوائم المنسدلة الخاصة بكل منها. المنطقة المختارة هي المكان الذي سيتم فيه تخزين معلومات تطبيق Logic.

   2. أدخل اسماً لدليل التشغيل الخاص بك ضمن Playbook name.

   3. إذا كنت تريد مراقبة نشاط دليل التشغيل هذا لأغراض التشخيص، فضع علامة على مربع الاختيار Enable diagnostics logs in Log Analytics، واختر Log Analytics workspace من القائمة المنسدلة.

   4. إذا كانت أدلة المبادئ تحتاج إلى الوصول إلى الموارد المحمية الموجودة داخل شبكة Azure الظاهرية أو المتصلة بها، فقد تحتاج إلى استخدام بيئة خدمة تكامل (ISE). إذا كان الأمر كذلك، حدد خانة الاختيار اقتران ببيئة خدمة التكامل، وحدد ISE المطلوب من القائمة المنسدلة.

   5. حدد Next : Connections >.

2. في علامة التبويب Connections :

   من الناحية المثالية، يجب أن تترك هذا القسم كما هو، تكوين Logic Apps للاتصال بـ Microsoft Azure Sentinel بالهوية المُدارة. تعرف على المزيد حول هذا الموضوع وبدائل المصادقة الأخرى.

   حدد Next : Review and create >.

3. في علامة التبويب Review and create :

   راجع خيارات التكوين التي قمت بتحديدها، وحدد Create and continue to designer.

4. سيستغرق إنشاء وتوزيع دليل التشغيل بضع دقائق، وبعد ذلك سترى الرسالة "اكتمل التوزيع الخاص بك" وسيتم نقلك إلى Logic App Designerفي دليل التشغيل الجديد. ستتم إضافة المشغل الذي اخترته في البداية تلقائياً كخطوة أولى، ويمكنك متابعة تصميم سير العمل من هناك.

   

   إذا اخترت مشغل كيان Microsoft Sentinel (معاينة)، فحدد نوع الكيان الذي تريد أن يتلقى دليل المبادئ هذا كإدخال.

   

Logic Apps Standard

قم بإعداد تطبيق Logic وسير العمل

هناك ثلاث خطوات لبدء إنشاء دليل المبادئ Logic Apps Standard:

1. إنشاء تطبيق Logic.
2. إنشاء سير عمل (هذا هو دليل التشغيل الفعلي).
3. اختر المشغل.

إنشاء Logic App

نظراً لأنك حددت كتاب تشغيل فارغ، سيتم فتح علامة تبويب متصفح جديدة وتنقلك إلى معالج إنشاء تطبيق منطقي.

1. في علامة التبويب Basics:

   1. حدد Subscription وResource Group من اختيارك من القوائم المنسدلة الخاصة بكل منهما.

   2. أدخل اسماً لتطبيق Logic الخاص بك. بالنسبة إلى النشر، اختر Workflow. حدد Region حيث تريد توزيع تطبيق المنطق.

   3. بالنسبة إلى نوع الخطة، اختر Standard.

   4. حدد Next : Hosting >.

2. في علامة التبويب Hosting:

   1. بالنسبة إلى نوع التخزين، اختر Azure Storage، واختر أو أنشئ Storage account.

   2. اختر خطة Windows.

3. حدد Next : Monitoring >.

4. في علامة التبويب Monitoring :

   1. إذا كنت تريد تمكين مراقبة الأداء في Azure Monitor لهذا التطبيق، فاترك زر التبديل على نعم. خلاف ذلك، قم بتبديله إلى لا.

      إشعار

      هذه المراقبة ليست مطلوبة لـ Microsoft Azure Sentinel وستكلفكإضافية.

   2. إذا أردت، يمكنك تحديد Next : Tags > لتطبيق العلامات على تطبيق Logic هذا لتصنيف الموارد ولأغراض الفوترة. بخلاف ذلك، حدد Review + create.

5. في علامة التبويب Review + create :

   راجع خيارات التكوين التي حددتها وحدد Create.

6. سيستغرق إنشاء وتوزيع دليل التشغيل الخاص بك بضع دقائق، سترى خلالها بعض رسائل التوزيع. في نهاية العملية، سيتم نقلك إلى شاشة التوزيع النهائية حيث سترى رسالة "اكتمل التوزيع الخاص بك".

   حدد الانتقال إلى المورد. سيتم نقلك إلى الصفحة الرئيسية لتطبيق Logic الجديد الخاص بك.

   على عكس كتب اللعب إصدار classic، لم تنته بعد. الآن يجب عليك إنشاء سير عمل.

إنشاء سير عمل (قواعد اللعبة)

1. حدد Workflows من قائمة التنقل بصفحة تطبيق Logic.

2. حدد + Add من شريط الأزرار في الأعلى (قد يستغرق الأمر بضع ثوانٍ حتى يصبح الزر نشطاً).

3. ستظهر لوحة مسار عمل جديد. أدخل اسماً لسير العمل الخاص بك.

4. ضمن State type، حدد Stateful.

   إشعار

   لا يدعم Microsoft Azure Sentinel حالياً استخدام مهام سير العمل Stateless كقوائم تشغيل.

5. حدد إنشاء. سيتم حفظ سير العمل الخاص بك وسيظهر في قائمة مهام سير العمل في تطبيق Logic الخاص بك. حدد سير العمل للمتابعة.

6. ستدخل صفحة سير العمل الخاصة بك. يمكنك هنا رؤية جميع المعلومات المتعلقة بسير العمل، بما في ذلك سجل لجميع الأوقات التي سيتم تشغيلها فيها. من قائمة التنقل، حدد Designer.

7. ستفتح شاشة المصمم وستتم مطالبتك على الفور بإضافة مشغل ومتابعة تصميم سير العمل.

   

اختر المشغل

1. حدد علامة التبويب Azure وأدخل "Sentinel" في سطر البحث.

2. في علامة التبويب Triggers أدناه، سترى المشغلات الثلاثة التي تقدمها Microsoft Sentinel:

   • تنبيه Microsoft Azure Sentinel (إصدار أولي)
   • كيان Microsoft Sentinel (معاينة)
   • حادثة Microsoft Azure Sentinel (إصدار أولي)

   حدد المشغل الذي يطابق نوع كتاب التشغيل الذي تقوم بإنشائه.

   

   إذا اخترت مشغل كيان Microsoft Sentinel (معاينة)، فحدد نوع الكيان الذي تريد أن يتلقى دليل المبادئ هذا كإدخال.

   

إشعار

عند اختيار مشغل أو أي إجراء لاحق، سيطلب منك المصادقة على أي موفر موارد تتفاعل معه. في هذه الحالة، الموفر هو Microsoft Azure Sentinel. هناك بعض الطرق المختلفة التي يمكنك اتباعها للمصادقة. للحصول على تفاصيل وإرشادات، راجع مصادقة كتيبات التشغيل إلى Microsoft Azure Sentinel.

لمزيد من المعلومات حول المشغّل الذي يجب استخدامه، راجع استخدام المشغلات والإجراءات في Microsoft Azure Sentinel playbooks

اضف إجراءات

الآن يمكنك تحديد ما يحدث عند استدعاء playbook. يمكنك إضافة إجراءات أو شروط منطقية أو حلقات أو تبديل شروط الحالة، وكل ذلك عن طريق تحديد New step. يفتح هذا التحديد إطارا جديدا في المصمم، حيث يمكنك اختيار نظام أو تطبيق للتفاعل معه أو شرط لتعيينه. أدخل اسم النظام أو التطبيق في شريط البحث أعلى الإطار، ثم اختر من بين النتائج المتوفرة.

في كل خطوة من هذه الخطوات، يؤدي النقر فوق أي حقل إلى عرض لوحة تحتوي على قائمتين: Dynamic contentوExpression. من قائمة المحتوى الديناميكي، يمكنك إضافة مراجع إلى سمات التنبيه أو الحادث الذي تم تمريره إلى دليل التشغيل، بما في ذلك القيم والسمات لجميع الكيانات المعينة و التفاصيل المخصصة الواردة في التنبيه أو الحادث. من قائمة Expression، يمكنك الاختيار من بين مكتبة كبيرة من الوظائف لإضافة منطق إضافي إلى خطواتك.

تظهر لقطة الشاشة هذه الإجراءات والشروط التي قد تضيفها في إنشاء playbook الموضح في المثال في بداية هذا المستند. تعرف على المزيد حول إضافة إجراءات إلى أدلة المبادئ الخاصة بك.

راجع استخدام المشغلات والإجراءات في أدلة مبادئ Microsoft Sentinel للحصول على تفاصيل حول الإجراءات التي يمكنك إضافتها إلى أدلة المبادئ لأغراض مختلفة.

على وجه الخصوص، لاحظ هذه المعلومات المهمة حول أدلة المبادئ استنادا إلى مشغل الكيان في سياق غير الحدث.

أتمتة استجابات التهديدات

لقد أنشأت playbook الخاص بك وحددت المشغل، قم بتعيين الشروط، ووصف الإجراءات التي ستتخذها والمخرجات التي ستنتجها. الآن تحتاج إلى تحديد المعايير التي سيتم تشغيل وإعداد آلية التشغيل الآلي ضمنها والتي سيتم تشغيلها عند استيفاء تلك المعايير.

الاستجابة للأحداث والتنبيهات

لاستخدام دليل المبادئ للاستجابة تلقائيا لحدث بأكمله أو لتنبيه فردي، قم بإنشاء قاعدة أتمتة سيتم تشغيلها عند إنشاء الحدث أو تحديثه، أو عند إنشاء التنبيه. ستتضمن قاعدة التنفيذ التلقائي هذه خطوة تستدعي دليل المبادئ الذي تريد استخدامه.

لإنشاء قاعدة أتمتة:

1. من صفحة التنفيذ التلقائي في قائمة التنقل في Microsoft Sentinel، حدد إنشاء من القائمة العلوية ثم قاعدة التنفيذ التلقائي.

   

2. يتم فتح لوحة انشأ قاعدة التنفيذ التلقائي الجديدة. أدخل اسماً لقاعدتك.

   تختلف خياراتك اعتمادا على ما إذا كانت مساحة العمل الخاصة بك قد تم إلحاقها بالنظام الأساسي لعمليات الأمان الموحدة. على سبيل المثال:

   مساحات العمل المإلحاقة

   

   مساحات العمل غير المإلحاقة

   

3. المشغل: حدد المشغل المناسب وفقا للظروف التي تقوم بإنشاء قاعدة التنفيذ التلقائي لها — عند إنشاء الحدث أو عند تحديث الحدث أو عند إنشاء التنبيه.

4. الظروف:

   1. إذا لم يتم إلحاق مساحة العمل الخاصة بك بعد بالنظام الأساسي لعمليات الأمان الموحدة، يمكن أن تحتوي الحوادث على مصدرين محتملين:

      • يمكن إنشاء الحوادث داخل Microsoft Sentinel
      • يمكن استيراد الحوادث من Microsoft Defender XDR ومزامنتها معها.

      إذا حددت أحد مشغلات الأحداث وتريد أن تسري قاعدة التنفيذ التلقائي فقط على الحوادث المصدر في Microsoft Sentinel، أو بدلا من ذلك في Microsoft Defender XDR، فحدد المصدر في شرط If Incident provider .

      سيتم عرض هذا الشرط فقط إذا تم تحديد مشغل حدث ولم يتم إلحاق مساحة العمل الخاصة بك بالنظام الأساسي لعمليات الأمان الموحدة.

   2. بالنسبة لجميع أنواع المشغلات، إذا كنت تريد أن تسري قاعدة التنفيذ التلقائي فقط على قواعد تحليلات معينة، فحدد القواعد عن طريق تعديل إذا كان اسم قاعدة التحليلات يحتوي على شرط.

   3. أضف أي شروط أخرى تريد تحديد ما إذا كان سيتم تشغيل قاعدة التنفيذ التلقائي هذه. حدد + إضافة واختر الشروط أو مجموعات الشروط من القائمة المنسدلة. يتم تعبئة قائمة الشروط بتفاصيل التنبيه وحقول معرف الكيان.

5. الإجراءات:

   1. نظرا لأنك تستخدم قاعدة التشغيل التلقائي هذه لتشغيل دليل المبادئ، اختر إجراء Run playbook من القائمة المنسدلة. سيطلب منك بعد ذلك الاختيار من قائمة منسدلة ثانية تعرض أدلة المبادئ المتوفرة. يمكن لقاعدة التشغيل التلقائي تشغيل أدلة المبادئ التي تبدأ بنفس المشغل (حدث أو تنبيه) مثل المشغل المحدد في القاعدة، لذلك ستظهر أدلة المبادئ هذه فقط في القائمة.

      هام

      يجب منح Microsoft Sentinel أذونات صريحة لتشغيل أدلة المبادئ، سواء يدويا أو من قواعد التشغيل التلقائي. إذا ظهر"playbooks "grayed out في القائمة المنسدلة، فهذا يعني أن Sentinel ليس لديه إذن لمجموعة موارد playbook هذه. انقر فوق رابطإدارة أذونات playbook لتعيين الأذونات.

      في لوحة Manage permissions التي تفتح، ضع علامة على خانات الاختيار الخاصة بمجموعات الموارد التي تحتوي على playbook التي تريد تشغيلها، ثم انقر فوق Apply.

      

      • يجب أن يكون لديك أنت بنفسك أذونات المالك لأي مجموعة موارد تريد منحها أذونات Microsoft Azure Sentinel، ويجب أن يكون لديك دور Logic App Contributor في أي مجموعة موارد تحتوي على كتيبات اللعب التي تريدها يجري.

      • في التوزيع متعدد المستأجرين، إذا كان دليل التشغيل الذي تريد تشغيله موجوداً في مستأجر مختلف، فيجب أن تمنح Microsoft Azure Sentinel إذناً لتشغيل كتاب التشغيل في مستأجر دليل التشغيل.

        1. من قائمة التنقل Microsoft Azure Sentinel في مستأجر كتيبات التشغيل، حدد Settings.
        2. في شفرةSettings، حدد علامة تبويب Settings، ثم موسع أذونات Playbook.
        3. انقر فوق زر Configure permissions لفتح لوحة Manage permissions المذكورة أعلاه، ثم تابع كما هو موضح هناك.

      • إذا كنت تريد، في سيناريو MSSP، تشغيل دليل التشغيل في مستأجر عميل من قاعدة أتمتة تم إنشاؤها أثناء تسجيل الدخول إلى مستأجر موفر الخدمة، فيجب منح Microsoft Azure Sentinel إذناً للتشغيل دليل التشغيل في كلا المستأجرين. في المستأجر العميل، اتبع الإرشادات الخاصة بالتوزيع متعدد المستأجرين في النقطة السابقة. في مستأجر موفر الخدمة، يجب إضافة تطبيق Azure Security Insights في قالب إلحاق Azure Lighthouse:

        1. من مدخل Microsoft Azure، انتقل إلى معرف Microsoft Entra.
        2. انقر على Enterprise Applications.
        3. حدد Application Type وقم بالتصفية على تطبيقات Microsoft.
        4. في مربع البحث اكتب Azure Security Insights.
        5. نسخ حقل Object ID. ستحتاج إلى إضافة هذا التفويض الإضافي إلى تفويض Azure Lighthouse الحالي الخاص بك.

        يحتوي دور Microsoft Azure Sentinel Automation Contributor على GUID ثابت وهو f4c81013-99ee-4d62-a7ee-b3f1f648599a. سيبدو نموذج تفويض Azure Lighthouse مثل هذا في قالب المعلمات الخاصة بك:

        {
             "principalId": "<Enter the Azure Security Insights app Object ID>", 
             "roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
             "principalIdDisplayName": "Microsoft Sentinel Automation Contributors" 
        }
        

   2. أضف أي إجراءات أخرى تريدها لهذه القاعدة. يمكنك تغيير ترتيب تنفيذ الإجراءات عن طريق تحديد الأسهم لأعلى أو لأسفل إلى يمين أي إجراء.

6. عيّن تاريخ انتهاء الصلاحية لقاعدة التنفيذ التلقائي إذا كنت تريد أن يكون لها واحد.

7. أدخل رقما ضمن Order لتحديد مكان تشغيل هذه القاعدة في تسلسل قواعد التنفيذ التلقائي.

8. حدد تطبيق. لقد انتهيت!

اكتشف طرقا أخرى لإنشاء قواعد التشغيل التلقائي.

الاستجابة للتنبيهات - الأسلوب القديم

طريقة أخرى لتشغيل أدلة المبادئ تلقائيا استجابة للتنبيهات هي استدعائها من قاعدة التحليلات. عندما تنشئ القاعدة تنبيها، يتم تشغيل دليل المبادئ.

سيتم إهمال هذا الأسلوب اعتبارا من مارس 2026.

بدءا من يونيو 2023، لم يعد بإمكانك إضافة أدلة المبادئ إلى قواعد التحليلات بهذه الطريقة. ومع ذلك، لا يزال بإمكانك مشاهدة أدلة المبادئ الموجودة التي تم استدعاؤها من قواعد التحليلات، وسيظل تشغيل أدلة المبادئ هذه حتى مارس 2026. يتم تشجيعك بشدة على إنشاء قواعد التشغيل التلقائي لاستدعاء أدلة المبادئ هذه بدلا من ذلك قبل ذلك.

تشغيل دليل المبادئ عند الطلب

يمكنك أيضا تشغيل دليل المبادئ يدويا عند الطلب، سواء استجابة للتنبيهات أو الحوادث (في المعاينة) أو الكيانات (أيضا في المعاينة). يمكن أن يكون هذا مفيداً في المواقف التي تريد فيها المزيد من المدخلات البشرية والتحكم فيها في عمليات التنسيق والاستجابة.

قم بتشغيل كتاب التشغيل يدوياً عند التنبيه

هذا الإجراء غير مدعوم في النظام الأساسي لعمليات الأمان الموحدة.

في مدخل Microsoft Azure، حدد إحدى علامات التبويب التالية حسب الحاجة للبيئة الخاصة بك:

صفحة تفاصيل الحادث الجديد

1. في صفحة Incidents، حدد حادثة.

   في مدخل Microsoft Azure، حدد عرض التفاصيل الكاملة في أسفل جزء تفاصيل الحادث لفتح صفحة تفاصيل الحادث.

2. في صفحة تفاصيل الحدث، في عنصر واجهة مستخدم المخطط الزمني للحوادث، اختر التنبيه الذي تريد تشغيل دليل المبادئ عليه. حدد النقاط الثلاث في نهاية سطر التنبيه واختر تشغيل دليل المبادئ من القائمة المنبثقة.

   

3. سيتم فتح جزء كتيبات التشغيل التنبيهية. سترى قائمة بجميع كتيبات التشغيل التي تمت تهيئتها باستخدام مشغل Microsoft Azure Sentinel Alert Logic Apps الذي يمكنك الوصول إليه.

4. حدد Run في سطر دليل معين لتشغيله على الفور.

الرسم البياني للتحقيق

1. في صفحة Incidents، حدد حادثة.

   في مدخل Microsoft Azure، حدد عرض التفاصيل الكاملة في أسفل جزء تفاصيل الحادث لفتح صفحة تفاصيل الحادث.

2. في صفحة تفاصيل الحادث، حدد علامة التبويب Alerts، واختر التنبيه الذي تريد تشغيل دليل التشغيل عليه، وحدد الرابط View playbooks في نهاية سطر ذلك التنبيه.

3. سيتم فتح جزء كتيبات التشغيل التنبيهية. سترى قائمة بجميع كتيبات التشغيل التي تمت تهيئتها باستخدام مشغل Microsoft Azure Sentinel Alert Logic Apps الذي يمكنك الوصول إليه.

4. حدد Run في سطر دليل معين لتشغيله على الفور.

يمكنك مشاهدة سجل التشغيل لكتب التشغيل في تنبيه عن طريق تحديد علامة التبويب Runs في جزء Alert playbooks. قد يستغرق الأمر بضع ثوانٍ حتى تظهر أي عملية تشغيل مكتملة للتو في القائمة. سيؤدي تحديد تشغيل معين إلى فتح سجل التشغيل الكامل في Logic Apps.

تشغيل دليل المبادئ يدويا على حادث (معاينة)

يختلف هذا الإجراء، اعتمادا على ما إذا كنت تعمل في Microsoft Sentinel أو في النظام الأساسي لعمليات الأمان الموحدة. حدد علامة التبويب ذات الصلة للبيئة الخاصة بك:

مدخل Microsoft Azure

1. في صفحة Incidents، حدد حادثة.

2. من جزء تفاصيل الحادث الذي يظهر على اليمين، حدد Actions > تشغيل دليل التشغيل (إصدار أولي).
   (تحديد النقاط الثلاث في نهاية سطر الحادث على الشبكة أو النقر بزر الماوس الأيمن فوق الحادث سيعرض نفس القائمة مثل الزر Action .)

3. يتم فتح لوحة تشغيل دليل التشغيل عند الحادث على اليمين. سترى قائمة بجميع كتيبات التشغيل التي تمت تهيئتها باستخدام مشغل Microsoft Azure Sentinel Incident Logic Apps الذي يمكنك الوصول إليه.

   إذا كنت لا ترى دليل التشغيل الذي تريد تشغيله في القائمة، فهذا يعني أن Microsoft Azure Sentinel ليس لديه أذونات لتشغيل كتيبات التشغيل في مجموعة الموارد هذه (انظر الملاحظة أعلاه).

   لمنح هذه الأذونات، حدد الإعدادات> الإعدادات> أذوناتPlaybook>تكوين الأذونات. في لوحة Manage permissions التي تفتح، حدد خانات الاختيار لمجموعات الموارد التي تحتوي على كتيبات التشغيل التي تريد تشغيلها، وحدد Apply.

4. حدد Run في سطر دليل معين لتشغيله على الفور.

   يجب أن يكون لديك دور عامل تشغيل دليل المبادئ Microsoft Sentinel على أي مجموعة موارد تحتوي على أدلة المبادئ التي تريد تشغيلها. إذا لم تتمكن من تشغيل دليل المبادئ بسبب فقدان الأذونات، نوصيك بالاتصال بالمسؤول لمنحك الأذونات ذات الصلة. لمزيد من المعلومات، راجع الأذونات المطلوبة للعمل مع أدلة المبادئ.

مدخل Microsoft Defender

1. في صفحة Incidents، حدد حادثة.

2. من جزء تفاصيل الحدث الذي يظهر على اليمين، حدد Run Playbook.

3. يتم فتح لوحة Run playbook on incident على اليمين، مع جميع أدلة المبادئ ذات الصلة للحدث المحدد. في العمود Action ، حدد Run playbook ل playbook الذي تريد تشغيله على الفور.

قد يعرض عمود الإجراءات أيضا إحدى الحالات التالية:

‏الحالة	الوصف والإجراءات المطلوبة
الأذونات المفقودة	يجب أن يكون لديك دور عامل تشغيل دليل المبادئ Microsoft Sentinel على أي مجموعة موارد تحتوي على أدلة المبادئ التي تريد تشغيلها. إذا كنت تفتقد الأذونات، نوصيك بالاتصال بالمسؤول لمنحك الأذونات ذات الصلة. لمزيد من المعلومات، راجع الأذونات المطلوبة للعمل مع أدلة المبادئ.
منح الإذن	يفتقد Microsoft Sentinel دور المساهم في التنفيذ التلقائي ل Microsoft Sentinel، وهو مطلوب لتشغيل أدلة المبادئ حول الحوادث. في مثل هذه الحالات، حدد منح الإذن لفتح جزء إدارة الأذونات . تتم تصفية جزء إدارة الأذونات بشكل افتراضي إلى مجموعة موارد دليل المبادئ المحدد. حدد مجموعة الموارد ثم حدد Apply لمنح الأذونات المطلوبة. يجب أن تكون مالكا أو مسؤول وصول مستخدم في مجموعة الموارد التي تريد منح أذونات Microsoft Sentinel إليها. إذا كنت تفتقد الأذونات، فستفقد مجموعة الموارد اللون الرمادي ولن تتمكن من تحديدها. في مثل هذه الحالات، نوصي بالاتصال بالمسؤول لمنحك الأذونات ذات الصلة. لمزيد من المعلومات، راجع الملاحظة أعلاه.

اعرض محفوظات التشغيل لدلائل المبادئ في حدث ما عن طريق تحديد علامة التبويب Runs في لوحة Run playbook on incident . قد يستغرق الأمر بضع ثوانٍ حتى تظهر أي عملية تشغيل مكتملة للتو في القائمة. سيؤدي تحديد تشغيل معين إلى فتح سجل التشغيل الكامل في Logic Apps.

تشغيل دليل المبادئ يدويا على كيان (معاينة)

هذا الإجراء غير مدعوم في النظام الأساسي لعمليات الأمان الموحدة.

1. حدد كيانا بإحدى الطرق التالية، اعتمادا على السياق الأصلي الخاص بك:

   إذا كنت في صفحة تفاصيل الحادث (إصدار جديد):

   1. في عنصر واجهة مستخدم الكيانات في علامة التبويب نظرة عامة، ابحث عن كيان من القائمة (لا تحدده).
   2. حدد النقاط الثلاث الموجودة على يمين الكيان.
   3. حدد Run playbook (Preview) من القائمة المنبثقة وتابع الخطوة 2 أدناه.
      إذا حددت الكيان وأدخلت علامة التبويب Entities في صفحة تفاصيل الحدث، فتابع مع السطر التالي أدناه.
   4. ابحث عن كيان من القائمة (لا تحدده).
   5. حدد النقاط الثلاث الموجودة على يمين الكيان.
   6. حدد Run playbook (Preview) من القائمة المنبثقة.
      إذا حددت الكيان وأدخلت صفحة الكيان الخاصة به، فحدد الزر Run playbook (Preview) في اللوحة اليسرى.

   إذا كنت في صفحة تفاصيل الحدث (الإصدار القديم):

   1. حدد علامة التبويب Entities الخاصة بالحادث.
   2. ابحث عن كيان من القائمة (لا تحدده).
   3. حدد الارتباط Run playbook (Preview) في نهاية السطر الخاص به في القائمة.
      إذا حددت الكيان وأدخلت صفحة الكيان الخاصة به، فحدد الزر Run playbook (Preview) في اللوحة اليسرى.

   إذا كنت في الرسم البياني للتحقيق:

   1. حدد كيانا في الرسم البياني.
   2. حدد الزر Run playbook (Preview) في اللوحة الجانبية للكيان.
      بالنسبة لبعض أنواع الكيانات، قد تحتاج إلى تحديد الزر Entity actions ومن القائمة الناتجة حدد Run playbook (Preview).

   إذا كنت تبحث بشكل استباقي عن التهديدات:

   1. من شاشة سلوك الكيان، حدد كيانا من القوائم الموجودة على الصفحة، أو ابحث عن كيان آخر وحدده.
   2. في صفحة الكيان، حدد الزر Run playbook (Preview) في اللوحة اليسرى.

2. بغض النظر عن السياق الذي أتيت منه، ستفتح الإرشادات أعلاه كافة لوحة Run playbook على< نوع> الكيان. سترى قائمة بجميع أدلة المبادئ التي لديك حق الوصول إليها والتي تم تكوينها باستخدام مشغل Microsoft Sentinel Entity Logic Apps لنوع الكيان المحدد.

3. حدد Run في سطر دليل معين لتشغيله على الفور.

يمكنك مشاهدة محفوظات التشغيل لدلائل المبادئ على كيان معين عن طريق تحديد علامة التبويب Runs في لوحة Run playbook على <نوع> الكيان. قد يستغرق الأمر بضع ثوانٍ حتى تظهر أي عملية تشغيل مكتملة للتو في القائمة. سيؤدي تحديد تشغيل معين إلى فتح سجل التشغيل الكامل في Logic Apps.

الخطوات التالية

في هذا البرنامج التعليمي، تعلمت كيفية استخدام كتيبات التشغيل وقواعد التنفيذ التلقائي في Microsoft Azure Sentinel للرد على التهديدات.

• تعرف على المزيد حول مصادقة أدلة المبادئ إلى Microsoft Sentinel
• تعرف على المزيد حول استخدام المشغلات والإجراءات في أدلة مبادئ Microsoft Sentinel
• تعرف على كيفية البحث الاستباقي عن التهديدات باستخدام Microsoft Azure Sentinel.