استخدام دليل مبادئ Microsoft Sentinel لإيقاف المستخدمين الذين يحتمل أن يتعرضوا للخطر
توضح هذه المقالة سيناريو نموذجي لكيفية استخدام دليل المبادئ وقاعدة التشغيل التلقائي لأتمتة الاستجابة للحوادث ومعالجة تهديدات الأمان. تساعدك قواعد التنفيذ التلقائي على فرز الحوادث في Microsoft Sentinel، وتستخدم أيضا لتشغيل أدلة المبادئ استجابة للحوادث أو التنبيهات. لمزيد من المعلومات، راجع التنفيذ التلقائي في Microsoft Sentinel: تزامن الأمان والأتمتة والاستجابة (SOAR).
يصف السيناريو النموذجي الموضح في هذه المقالة كيفية استخدام قاعدة التشغيل التلقائي ودليل المبادئ لإيقاف مستخدم يحتمل أن يتعرض للاختراق عند إنشاء حادث.
إشعار
نظرا لأن playbooks يستخدم Azure Logic Apps، فقد يتم تطبيق رسوم إضافية. قم بزيارة صفحة التسعير Azure Logic Apps للحصول على مزيد من التفاصيل.
هام
يتوفر Microsoft Sentinel الآن بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.
المتطلبات الأساسية
الأدوار التالية مطلوبة لاستخدام Azure Logic Apps لإنشاء وتشغيل أدلة المبادئ في Microsoft Sentinel.
الدور | الوصف |
---|---|
المالك | يتيح لك منح حق الوصول إلى أدلة المبادئ في مجموعة الموارد. |
مساهم Microsoft Sentinel | يتيح لك إرفاق دليل مبادئ بقاعدة تحليلات أو أتمتة. |
مستجيب Microsoft Sentinel | يتيح لك الوصول إلى حدث لتشغيل دليل المبادئ يدويا، ولكنه لا يسمح لك بتشغيل دليل المبادئ. |
عامل تشغيل دليل مبادئ Microsoft Sentinel | يتيح لك تشغيل دليل المبادئ يدويا. |
مساهم أتمتة Microsoft Sentinel | يسمح لقواعد التشغيل التلقائي بتشغيل أدلة المبادئ. لا يتم استخدام هذا الدور لأي غرض آخر. |
يصف الجدول التالي الأدوار المطلوبة استنادا إلى ما إذا كنت تحدد Consumption أو Standard logic app لإنشاء دليل المبادئ الخاص بك:
تطبيق المنطق | أدوار Azure | الوصف |
---|---|---|
الاستهلاك | Logic App Contributor | تحرير التطبيقات المنطقية وإدارتها. تشغيل أدلة المبادئ. لا يسمح لك بمنح حق الوصول إلى أدلة المبادئ. |
الاستهلاك | عامل تشغيل Logic App | قراءة التطبيقات المنطقية وتمكينها وتعطيلها. لا يسمح لك بتحرير تطبيقات المنطق أو تحديثها. |
قياسي | عامل تشغيل Logic Apps القياسي | تمكين مهام سير العمل وإعادة إرسالها وتعطيلها في تطبيق منطقي. |
قياسي | Logic Apps Standard Developer | إنشاء تطبيقات المنطق وتحريرها. |
قياسي | Logic Apps Standard Contributor | إدارة جميع جوانب تطبيق المنطق. |
تعرض علامة التبويب أدلة المبادئ النشطة في صفحة التنفيذ التلقائي جميع أدلة المبادئ النشطة المتوفرة عبر أي اشتراكات محددة. بشكل افتراضي، يمكن استخدام دليل المبادئ فقط ضمن الاشتراك الذي ينتمي إليه، ما لم تمنح أذونات Microsoft Sentinel لمجموعة موارد دليل المبادئ على وجه التحديد.
أذونات إضافية مطلوبة لتشغيل أدلة المبادئ على الحوادث
يستخدم Microsoft Sentinel حساب خدمة لتشغيل أدلة المبادئ على الحوادث، لإضافة الأمان وتمكين واجهة برمجة تطبيقات قواعد التشغيل التلقائي لدعم حالات استخدام CI/CD. يتم استخدام حساب الخدمة هذا لدلائل المبادئ المشغلة بالحوادث، أو عند تشغيل دليل المبادئ يدويا على حدث معين.
بالإضافة إلى الأدوار والأذونات الخاصة بك، يجب أن يكون لحساب خدمة Microsoft Sentinel هذا مجموعة الأذونات الخاصة به على مجموعة الموارد حيث يوجد دليل المبادئ، في شكل دور Microsoft Sentinel Automation Contributor . بمجرد أن يكون ل Microsoft Sentinel هذا الدور، يمكنه تشغيل أي دليل مبادئ في مجموعة الموارد ذات الصلة، يدويا أو من قاعدة التنفيذ التلقائي.
لمنح Microsoft Sentinel الأذونات المطلوبة، يجب أن يكون لديك دور مسؤول وصول المالك أو المستخدم. لتشغيل أدلة المبادئ، ستحتاج أيضا إلى دور Logic App Contributor في مجموعة الموارد التي تحتوي على أدلة المبادئ التي تريد تشغيلها.
إيقاف المستخدمين الذين يحتمل أن يتعرضوا للخطر
ترغب فرق SOC في التأكد من أن المستخدمين الذين يحتمل أن يتعرضوا للخطر لا يمكنهم التنقل في شبكتهم وسرقة المعلومات. نوصي بإنشاء استجابة تلقائية متعددة الأوجه للحوادث التي تم إنشاؤها بواسطة القواعد التي تكشف عن المستخدمين المخترقين للتعامل مع مثل هذه السيناريوهات.
قم بتكوين قاعدة التشغيل التلقائي و playbook لاستخدام التدفق التالي:
يتم إنشاء حدث لمستخدم يحتمل أن يتعرض للاختراق ويتم تشغيل قاعدة أتمتة لاستدعاء دليل المبادئ الخاص بك.
يفتح دليل المبادئ تذكرة في نظام إصدار تذاكر تكنولوجيا المعلومات، مثل ServiceNow.
يرسل دليل المبادئ أيضا رسالة إلى قناة عمليات الأمان في Microsoft Teams أو Slack للتأكد من أن محللي الأمان على علم بالحادث.
يرسل دليل المبادئ أيضا جميع المعلومات في الحدث في رسالة بريد إلكتروني إلى مسؤول الشبكة الأقدم ومسؤول الأمان. تتضمن رسالة البريد الإلكتروني زري الخيار حظر وتجاهل المستخدم.
ينتظر playbook حتى يتم تلقي استجابة من المسؤولين، ثم يستمر في خطواته التالية.
إذا اختار المسؤولون حظر، يرسل دليل المبادئ أمرا إلى معرف Microsoft Entra لتعطيل المستخدم، وواحد إلى جدار الحماية لحظر عنوان IP.
إذا اختار المسؤولون Ignore، فسيقوم دليل التشغيل بإغلاق الحادث في Microsoft Azure Sentinel والتذكرة في ServiceNow.
تظهر لقطة الشاشة التالية الإجراءات والشروط التي قد تضيفها في إنشاء نموذج دليل المبادئ هذا: