مشاركة عبر

إنشاء أدلة مبادئ Microsoft Sentinel وتخصيصها من القوالب

  • مقالة
  • ينطبق على:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

قالب دليل المبادئ هو سير عمل أتمتة تم إنشاؤه مسبقا واختباره وجاهز للاستخدام ل Microsoft Sentinel يمكن تخصيصه لتلبية احتياجاتك. يمكن أن تكون القوالب أيضا بمثابة مرجع لأفضل الممارسات عند تطوير أدلة المبادئ من البداية، أو كمصدر إلهام لسيناريوهات التنفيذ التلقائي الجديدة.

قوالب Playbook ليست أدلة مبادئ نشطة بحد ذاتها، ويجب عليك إنشاء نسخة قابلة للتحرير لاحتياجاتك.

يتم تطوير العديد من قوالب دليل المبادئ من قبل مجتمع Microsoft Sentinel وموردي البرامج المستقلين (ISVs) وخبراء Microsoft الخاصين، استنادا إلى سيناريوهات التشغيل التلقائي الشائعة المستخدمة من قبل مراكز عمليات الأمان في جميع أنحاء العالم.

هام

قوالب دليل المبادئ موجودة حاليًا في PREVIEW. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.

يتوفر Microsoft Sentinel الآن بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

المتطلبات الأساسية

لإنشاء أدلة المبادئ وإدارتها، تحتاج إلى الوصول إلى Microsoft Sentinel باستخدام أحد أدوار Azure التالية:

  • Logic App Contributor، لتحرير وإدارة تطبيقات المنطق
  • عامل تشغيل Logic App لقراءة تطبيقات المنطق وتمكينها وتعطيلها

لمزيد من المعلومات، راجع متطلبات دليل مبادئ Microsoft Sentinel.

نوصي بقراءة Azure Logic Apps لدلائل مبادئ Microsoft Sentinel قبل إنشاء دليل المبادئ الخاص بك.

الوصول إلى قوالب دليل المبادئ

الوصول إلى قوالب دليل المبادئ من المصادر التالية:

الموقع ‏‏الوصف
صفحة أتمتة Microsoft Sentinel تسرد علامة التبويب قوالب Playbook جميع أدلة المبادئ المثبتة. إنشاء دليل مبادئ نشط واحد أو أكثر باستخدام نفس القالب.

عندما ننشر إصدارا جديدا من قالب، فإن أي أدلة مبادئ نشطة تم إنشاؤها من هذا القالب تحتوي على تسمية إضافية تمت إضافتها في علامة التبويب أدلة المبادئ النشطة للإشارة إلى توفر تحديث.
صفحة مركز محتوى Microsoft Sentinel تتوفر قوالب Playbook كجزء من حلول المنتج أو المحتوى المستقل المثبت من مركز المحتوى.

لمزيد من المعلومات، راجع:
بشأن محتوى وحلول Microsoft Sentinel
اكتشاف المحتوى الجاهز من Microsoft Sentinel وإدارته
GitHub يحتوي مستودع Microsoft Sentinel GitHub على العديد من قوالب دليل المبادئ الأخرى. حدد Deploy to Azure لنشر قالب إلى اشتراك Azure الخاص بك.

من الناحية الفنية، قالب دليل المبادئ هو قالب Azure Resource Manager (ARM)، والذي يتكون من عدة موارد: سير عمل Azure Logic Apps واتصالات واجهة برمجة التطبيقات لكل اتصال معني.

تركز هذه المقالة على توزيع قالب دليل التشغيل من علامة التبويب Playbook templates ضمن Automation.

استكشاف قوالب قواعد اللعبة

بالنسبة إلى Microsoft Sentinel في مدخل Microsoft Azure، حدد صفحة مركز محتوى إدارة>المحتوى. بالنسبة إلى Microsoft Sentinel في مدخل Defender، حدد مركز محتوى إدارة>المحتوى في Microsoft Sentinel.>

في صفحة مركز المحتوى، حدد نوع المحتوى لتصفية Playbook. تسرد طريقة العرض المصفاة هذه جميع الحلول والمحتوى المستقل الذي يتضمن قالب playbook واحدا أو أكثر. قم بتثبيت الحل أو المحتوى المستقل للحصول على القالب.

ثم حدد علامة التبويب Configuration>Automation>Playbook templates لعرض القوالب المثبتة. على سبيل المثال:

لقطة شاشة لمعرض قوالب دليل المبادئ.

للعثور على قالب دليل المبادئ الذي يناسب متطلباتك، قم بتصفية القائمة حسب المعايير التالية:

تصفية ‏‏الوصف
المشغِّل تصفية حسب كيفية تشغيل دليل المبادئ، بما في ذلك الحوادث أو التنبيهات أو الكيانات. لمزيد من المعلومات، راجع مشغلات Microsoft Sentinel المدعومة.
موصلات Logic Apps تصفية حسب الخدمات الخارجية التي تتفاعل معها أدلة المبادئ. أثناء عملية النشر، يحتاج كل موصل إلى افتراض هوية للمصادقة على الخدمة الخارجية.
الكيانات قم بالتصفية حسب أنواع الكيانات التي يتوقع دليل المبادئ العثور عليها في الحدث.

على سبيل المثال، يتوقع دليل المبادئ الذي يخبر جدار الحماية بحظر عنوان IP العثور على عناوين IP في الحدث. قد يتم إنشاء مثل هذه الحوادث بواسطة قاعدة تحليلات هجوم القوة الغاشمة.
العلامات قم بالتصفية حسب التسميات المطبقة على دليل المبادئ، أو ربط دليل المبادئ بسيناريو معين، أو الإشارة إلى خاصية خاصة. على سبيل المثال:

- الإثراء - أدلة المبادئ التي تجلب معلومات من خدمة أخرى لإضافة سياق إلى حادث. عادة ما تتم إضافة هذه المعلومات كتعليق على الحدث أو إرسالها إلى SOC.
- المعالجة - أدلة المبادئ التي تتخذ إجراء على الكيانات المتأثرة للقضاء على تهديد محتمل.
- المزامنة - دليل المبادئ الذي يساعد على الاحتفاظ بخدمة خارجية، مثل خدمة إدارة الحوادث، محدثة بخصائص الحدث.
- الإعلام - أدلة المبادئ التي ترسل بريدا إلكترونيا أو رسالة.
- استجابة من Teams - أدلة المبادئ التي تسمح للمحللين باتخاذ إجراء يدوي من Teams باستخدام البطاقات التفاعلية.

على سبيل المثال:

لقطة شاشة لكيفية تصفية قائمة قوالب دليل المبادئ.

تخصيص دليل من قالب

يصف هذا الإجراء كيفية نشر قوالب دليل المبادئ، ويمكن تكراره لإنشاء أدلة مبادئ متعددة من نفس القالب.

بينما يمكن استخدام معظم قوالب دليل المبادئ كما هي، نوصي بضبطها حسب الحاجة لتناسب دليل المبادئ الخاص بك لاحتياجات SOC الخاصة بك.

  1. في علامة التبويب قوالب Playbook، حدد دليل المبادئ للبدء منه.

  2. إذا كان دليل التشغيل يحتوي على أي متطلبات مسبقة، فتأكد من اتباع التعليمات. على سبيل المثال:

    • تستدعي بعض أدلة المبادئ أدلة المبادئ الأخرى كإجراءات. يُشار إلى دليل التشغيل الثاني هذا باسم دليل التشغيل المتداخل. في مثل هذه الحالة، أحد المتطلبات الأساسية هو نشر دليل المبادئ المتداخل أولا.

    • تتطلب بعض أدلة المبادئ نشر موصل Logic Apps مخصص أو Azure Function. في مثل هذه الحالات، هناك ارتباط Deploy to Azure ينقلك إلى عملية نشر قالب ARM العامة.

  3. حدد Create playbook لفتح معالج إنشاء دليل التشغيل استناداً إلى القالب المحدد. يحتوي المعالج على أربع علامات تبويب:

    • الأساسيات: حدد موقع دليل المبادئ الجديد، وهو مورد Logic Apps، وامنحه اسما. يمكنك استخدام الافتراضي. على سبيل المثال:

      لقطة شاشة لمعالج إنشاء Playbook، علامة تبويب الأساسيات.

    • المعلمات: أدخل القيم الخاصة بالعميل التي يستخدمها دليل المبادئ. على سبيل المثال، إذا أرسل دليل المبادئ بريدا إلكترونيا إلى SOC، فحدد عنوان المستلم. إذا كان دليل المبادئ يحتوي على موصل مخصص قيد الاستخدام، فيجب نشره في نفس مجموعة الموارد، وستتم مطالبتك بإدخال اسمه في علامة التبويب المعلمات .

      تظهر علامة التبويب Parameters فقط إذا كان دليل المبادئ يحتوي على معلمات. على سبيل المثال:

      لقطة شاشة لمعالج إنشاء Playbook، علامة تبويب المعلمات.

    • الاتصالات: قم بتوسيع كل إجراء لرؤية الاتصالات الحالية التي قمت بإنشائها لكتيبات التشغيل السابقة. يمكنك اختيار استخدام الاتصالات الموجودة، أو إنشاء اتصال جديد. على سبيل المثال:

      لقطة شاشة لمعالج إنشاء Playbook، علامة تبويب الاتصالات.

      • لإنشاء اتصال جديد، حدد إنشاء اتصال جديد بعد النشر. ينقلك هذا الخيار إلى مصمم Logic Apps بعد اكتمال عملية النشر.

      • يتم سرد الموصلات المخصصة بواسطة اسم الموصل المخصص الذي تم إدخاله في علامة التبويب المعلمات .

      • بالنسبة للموصلات التي تدعم الاتصال بالهوية المدارة، مثل Microsoft Sentinel، فإن الهوية المدارة هي أسلوب الاتصال الافتراضي.

      لمزيد من المعلومات، راجع مصادقة أدلة المبادئ إلى Microsoft Sentinel.

    • المراجعة والإنشاء: اعرض ملخصاً للعملية وانتظر التحقق من صحة إدخالك قبل إنشاء دليل التشغيل.

  4. بعد اتباع الخطوات في معالج إنشاء دليل المبادئ حتى النهاية، يتم نقلك إلى تصميم سير عمل دليل المبادئ الجديد في مصمم Logic Apps. على سبيل المثال:

    لقطة شاشة لدليل المبادئ في مصمم Logic Apps.

  5. لكل موصل اخترته، أنشئ اتصالا جديدا بعد النشر:

    1. من قائمة التنقل، حدد API connections ثم حدد اسم الاتصال. على سبيل المثال:

      لقطة شاشة توضح كيفية عرض اتصالات A P I.

    2. حدد Edit API connection من قائمة التنقل.

    3. املأ المعلمات المطلوبة وحدد Save. على سبيل المثال:

      لقطة شاشة توضح كيفية تحرير اتصالات A P I.

    بدلا من ذلك، قم بإنشاء اتصال جديد من ضمن الخطوات ذات الصلة في مصمم Logic Apps:

    1. لكل خطوة تظهر مع علامة خطأ، حددها لتوسيعها ثم حدد إضافة جديد.

    2. المصادقة وفقاً للتعليمات ذات الصلة. لمزيد من المعلومات، راجع مصادقة أدلة المبادئ إلى Microsoft Sentinel.

    3. إذا كانت هناك خطوات أخرى باستخدام هذا الموصل نفسه، فقم بتوسيع مربعاتها. من قائمة الاتصالات التي تظهر، حدد الاتصال الذي أنشأته للتو.

  6. إذا اخترت استخدام اتصال هوية مدار ل Microsoft Sentinel، أو للاتصالات المدعومة الأخرى، فتأكد من منح أذونات إلى دليل المبادئ الجديد على مساحة عمل Microsoft Sentinel أو على الموارد المستهدفة ذات الصلة للموصلات الأخرى.

  7. احفظ كتاب التشغيل. يظهر دليل المبادئ في علامة التبويب أدلة المبادئ النشطة.

لتشغيل دليل المبادئ الخاص بك، قم بتعيين استجابة تلقائية أو تشغيله يدويا. لمزيد من المعلومات، راجع الاستجابة للتهديدات باستخدام أدلة مبادئ Microsoft Sentinel.

الإبلاغ عن مشكلة في قالب دليل المبادئ

للإبلاغ عن خطأ أو طلب تحسين لكتيب التشغيل، حدد الرابط Supported by في جزء تفاصيل دليل التشغيل. إذا كان هذا دليل مبادئ مدعوما من المجتمع، فإن الارتباط يأخذك لفتح مشكلة GitHub. وإلا، يتم توجيهك إلى صفحة الداعم، مع معلومات حول كيفية إرسال ملاحظاتك.

المحتوى ذو الصلة