ملاحظة
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
توضح هذه المقالة سيناريو نموذجي لكيفية استخدام دليل المبادئ وقاعدة التشغيل التلقائي لأتمتة الاستجابة للحوادث ومعالجة تهديدات الأمان. تساعدك قواعد التنفيذ التلقائي على فرز الحوادث في Microsoft Sentinel، وتستخدم أيضا لتشغيل أدلة المبادئ استجابة للحوادث أو التنبيهات. لمزيد من المعلومات، راجع التنفيذ التلقائي في Microsoft Sentinel: تزامن الأمان والأتمتة والاستجابة (SOAR).
يصف السيناريو النموذجي الموضح في هذه المقالة كيفية استخدام قاعدة التشغيل التلقائي ودليل المبادئ لإيقاف مستخدم يحتمل أن يتعرض للاختراق عند إنشاء حادث.
Note
نظرا لأن playbooks يستخدم Azure Logic Apps، فقد يتم تطبيق رسوم إضافية. تفضل بزيارة صفحة تسعير Azure Logic Apps للحصول على مزيد من التفاصيل.
Important
يتوفر Microsoft Sentinel بشكل عام في مدخل Microsoft Defender، بما في ذلك للعملاء الذين ليس لديهم Microsoft Defender XDR أو ترخيص E5.
Starting in July 2026, all customers using Microsoft Sentinel in the Azure portal will be redirected to the Defender portal and will use Microsoft Sentinel in the Defender portal only. Starting in July 2025, many new customers are automatically onboarded and redirected to the Defender portal.
إذا كنت لا تزال تستخدم Microsoft Sentinel في مدخل Microsoft Azure، نوصيك بالبدء في التخطيط للانتقال إلى مدخل Defender لضمان انتقال سلس والاستفادة الكاملة من تجربة عمليات الأمان الموحدة التي يقدمها Microsoft Defender. لمزيد من المعلومات، راجع حان الوقت للنقل: إيقاف مدخل Microsoft Sentinel Azure لمزيد من الأمان.
Prerequisites
الأدوار التالية مطلوبة لاستخدام Azure Logic Apps لإنشاء وتشغيل أدلة المبادئ في Microsoft Sentinel.
| Role | Description |
|---|---|
| Owner | يتيح لك منح حق الوصول إلى أدلة المبادئ في مجموعة الموارد. |
| مساهم Microsoft Sentinel | يتيح لك إرفاق دليل مبادئ بقاعدة تحليلات أو أتمتة. |
| مستجيب Microsoft Sentinel | يتيح لك الوصول إلى حدث لتشغيل دليل المبادئ يدويا، ولكنه لا يسمح لك بتشغيل دليل المبادئ. |
| عامل تشغيل دليل مبادئ Microsoft Sentinel | يتيح لك تشغيل دليل المبادئ يدويا. |
| مساهم أتمتة Microsoft Sentinel | يسمح لقواعد التشغيل التلقائي بتشغيل أدلة المبادئ. لا يتم استخدام هذا الدور لأي غرض آخر. |
يصف الجدول التالي الأدوار المطلوبة استنادا إلى ما إذا كنت تحدد Consumption أو Standard logic app لإنشاء دليل المبادئ الخاص بك:
| Logic app | Azure roles | Description |
|---|---|---|
| Consumption | Logic App Contributor | تحرير التطبيقات المنطقية وإدارتها. Run playbooks. لا يسمح لك بمنح حق الوصول إلى أدلة المبادئ. |
| Consumption | عامل تشغيل Logic App | قراءة التطبيقات المنطقية وتمكينها وتعطيلها. لا يسمح لك بتحرير تطبيقات المنطق أو تحديثها. |
| Standard | عامل تشغيل Logic Apps القياسي | تمكين مهام سير العمل وإعادة إرسالها وتعطيلها في تطبيق منطقي. |
| Standard | Logic Apps Standard Developer | إنشاء تطبيقات المنطق وتحريرها. |
| Standard | Logic Apps Standard Contributor | إدارة جميع جوانب تطبيق المنطق. |
The Active playbooks tab on the Automation page displays all active playbooks available across any selected subscriptions. بشكل افتراضي، يمكن استخدام دليل المبادئ فقط ضمن الاشتراك الذي ينتمي إليه، ما لم تمنح أذونات Microsoft Sentinel لمجموعة موارد دليل المبادئ على وجه التحديد.
أذونات إضافية مطلوبة لتشغيل أدلة المبادئ على الحوادث
يستخدم Microsoft Sentinel حساب خدمة لتشغيل أدلة المبادئ على الحوادث، لإضافة الأمان وتمكين واجهة برمجة تطبيقات قواعد التشغيل التلقائي لدعم حالات استخدام CI/CD. يتم استخدام حساب الخدمة هذا لدلائل المبادئ المشغلة بالحوادث، أو عند تشغيل دليل المبادئ يدويا على حدث معين.
بالإضافة إلى الأدوار والأذونات الخاصة بك، يجب أن يكون لحساب خدمة Microsoft Sentinel هذا مجموعة الأذونات الخاصة به على مجموعة الموارد حيث يوجد دليل المبادئ، في شكل دور Microsoft Sentinel Automation Contributor . بمجرد أن يكون ل Microsoft Sentinel هذا الدور، يمكنه تشغيل أي دليل مبادئ في مجموعة الموارد ذات الصلة، يدويا أو من قاعدة التنفيذ التلقائي.
To grant Microsoft Sentinel with the required permissions, you must have an Owner or User access administrator role. لتشغيل أدلة المبادئ، ستحتاج أيضا إلى دور Logic App Contributor في مجموعة الموارد التي تحتوي على أدلة المبادئ التي تريد تشغيلها.
إيقاف المستخدمين الذين يحتمل أن يتعرضوا للخطر
ترغب فرق SOC في التأكد من أن المستخدمين الذين يحتمل أن يتعرضوا للخطر لا يمكنهم التنقل في شبكتهم وسرقة المعلومات. نوصي بإنشاء استجابة تلقائية متعددة الأوجه للحوادث التي تم إنشاؤها بواسطة القواعد التي تكشف عن المستخدمين المخترقين للتعامل مع مثل هذه السيناريوهات.
قم بتكوين قاعدة التشغيل التلقائي و playbook لاستخدام التدفق التالي:
يتم إنشاء حدث لمستخدم يحتمل أن يتعرض للاختراق ويتم تشغيل قاعدة أتمتة لاستدعاء دليل المبادئ الخاص بك.
يفتح دليل المبادئ تذكرة في نظام إصدار تذاكر تكنولوجيا المعلومات، مثل ServiceNow.
يرسل دليل المبادئ أيضا رسالة إلى قناة عمليات الأمان في Microsoft Teams أو Slack للتأكد من أن محللي الأمان على علم بالحادث.
The playbook also sends all the information in the incident in an email message to your senior network admin and security admin. The email message includes Block and Ignore user option buttons.
ينتظر playbook حتى يتم تلقي استجابة من المسؤولين، ثم يستمر في خطواته التالية.
If the admins choose Block, the playbook sends a command to Microsoft Entra ID to disable the user, and one to the firewall to block the IP address.
If the admins choose Ignore, the playbook closes the incident in Microsoft Sentinel, and the ticket in ServiceNow.
تظهر لقطة الشاشة التالية الإجراءات والشروط التي قد تضيفها في إنشاء نموذج دليل المبادئ هذا:
