إنشاء قواعد التنفيذ التلقائي
تعد قواعد التنفيذ التلقائي طريقة لإدارة أتمتة معالجة الأحداث مركزياً، ما يسمح لك بتنفيذ مهام أتمتة بسيطة دون استخدام أدلة المبادئ. على سبيل المثال، تسمح لك قواعد التنفيذ التلقائي بتعيين الأحداث تلقائياً للموظفين المناسبين، ووضع علامة على الأحداث لتصنيفها، وتغيير حالة الأحداث وإغلاقها. كما يمكن لقواعد التنفيذ التلقائي أتمتة الاستجابات لقواعد تحليلات متعددة في وقت واحد، والتحكم في ترتيب الإجراءات التي يتم تنفيذها، وتشغيل أدلة المبادئ لتلك الحالات التي تكون فيها مهام التنفيذ التلقائي الأكثر تعقيداً ضرورية. باختصار، تعمل قواعد التنفيذ التلقائي على تبسيط استخدام الأتمتة في Microsoft Sentinel وتمكنك من تبسيط مهام سير العمل المعقدة لعمليات تنسيق الأحداث.
إنشاء قواعد التنفيذ التلقائي وإدارتها
يمكنك إنشاء قواعد التنفيذ التلقائي وإدارتهامن نقاط مختلفة في تجربة Microsoft Azure Sentinel، اعتماداً على حاجتك الخاصة وحالة الاستخدام.
جزء Automation
يمكن إدارة قواعد التنفيذ التلقائي مركزياً في جزء Automation الجديد (الذي يحل محل جزء Playbooks) ضمن علامة التبويب Automation rules. (يمكنك الآن أيضاً إدارة أدلة المبادئ في هذا الجزء ضمن علامة التبويب Playbooks)، من هناك، يمكنك إنشاء قواعد تنفيذ تلقائي جديدة وتحرير القواعد الموجودة. كما يمكنك سحب قواعد التنفيذ التلقائي لتغيير ترتيب التنفيذ وتمكينها أو تعطيلها.
في جزء Automation، سترى جميع القواعد المحددة على مساحة العمل بجانب حالتها (Enabled/Disabled) وقواعد التحليلات التي يتم تطبيقها عليها.
عندما تحتاج إلى قاعدة تنفيذ تلقائي تنطبق على العديد من قواعد التحليلات، قم بإنشائها مباشرةً في جزء Automation. من القائمة العلوية، حدد Create and Add new rule، والتي تفتح لوحة Create new automation rule. لديك هنا مرونة كاملة في تكوين القاعدة: يمكنك تطبيقها على أي قواعد تحليلات (بما في ذلك القواعد المستقبلية) وتحديد أوسع مجموعة من الشروط والإجراءات.
معالج قاعدة التحليلات
في علامة تبويب Automated response لمعالج قاعدة التحليلات، يمكنك الاطلاع على قواعد التنفيذ التلقائي وإدارتها وإنشاءها والتي تنطبق على قاعدة التحليلات المعينة التي يتم إنشاؤها أو تحريرها في المعالج.
عند تحديد Create وأحد أنواع القواعد (قاعدة الاستعلام المجدولة أو قاعدة إنشاء حدث Microsoft) من القائمة العلوية في جزء Analytics، أو إذا حددت قاعدة تحليلات موجودة وحددت Edit، فستفتح معالج القاعدة. عند تحديد علامة تبويب Automated response، سترى قسماً يسمى "التنفيذ التلقائي للأحداث"، والذي سيتم بموجبه عرض قواعد التنفيذ التلقائي التي تنطبق حالياً على هذه القاعدة. يمكنك تحديد قاعدة تنفيذ تلقائي موجودة لتحريرها، أو تحديد Add new لإنشاء قاعدة جديدة.
ستلاحظ أنه عند إنشاء قاعدة التنفيذ التلقائي من هنا، تعرض لوحة Create new automation rule شرط قاعدة التحليلات على أنه غير متوفر، لأن هذه القاعدة معينة بالفعل لتطبيقها فقط على قاعدة التحليلات التي تقوم بتحريرها في المعالج. لا تزال جميع خيارات التكوين الأخرى متوفرة إليك.
جزء Incidents
يمكنك أيضاً إنشاء قاعدة تنفيذ تلقائي من جزء Incidentsمن أجل الاستجابة لحدث متكرر واحد. يعد ذلك مفيداً عند إنشاء قاعدة منع الإغلاقلـ الأحداث :المشوشة: تلقائياً. حدد حدثاً من قائمة الانتظار وحدد Create automation rule من القائمة العلوية.
ستلاحظ أن لوحة Create new automation rule قد ملأت جميع الحقول بقيم من الحدث. وستعمل على تسمية القاعدة بنفس اسم الحدث، وتطبقها على قاعدة التحليلات التي أنشأت الحدث، وتستخدم جميع الكيانات المتوفرة في الحدث كشروط للقاعدة. كما تقترح إجراء منع (إغلاق) بشكل افتراضي، وتقترح تعيين تاريخ انتهاء صلاحية للقاعدة. يمكنك إضافة الشروط والإجراءات أو إزالتها، وتغيير تاريخ انتهاء الصلاحية كما يحلو لك.
مكونات قاعدة التنفيذ التلقائي
تتكون قواعد التنفيذ التلقائي من عدة مكونات:
المشغلات: يتم تشغيل قواعد التنفيذ التلقائي من خلال إنشاء حدث.
للمراجعة، يتم إنشاء الأحداث من التنبيهات بواسطة قواعد التحليلات، والتي يوجد منها عدة أنواع، كما هو موضح في البرنامج التعليمي "الكشف عن المخاطر باستخدام قواعد التحليلات المضمنة في Microsoft Sentinel".
الشروط: يمكن تحديد مجموعات معقدة من الشروط للتحكم في وقت تنفيذ الإجراءات (اطلع أدناه). تستند هذه الشروط عادةً إلى حالات أو قيم سمات الأحداث وكياناتها، ويمكن أن تتضمن عوامل تشغيل AND/OR/NOT/CONTAINS.
الإجراءات: يمكن تحديد الإجراءات للتشغيل عند استيفاء الشروط (اطلع أعلاه). يمكنك تحديد العديد من الإجراءات في قاعدة واحدة، ويمكنك اختيار الترتيب الذي سيتم تشغيلها به (اطلع أدناه). يمكن تعريف الإجراءات التالية باستخدام قواعد التنفيذ التلقائي، دون الحاجة إلىالوظائف المتقدمة لدليل المبادئ:
تغيير حالة الأحداث، الحفاظ على سير عملك محدثاً.
عند التغيير إلى «مغلق»، سيتم تحديد سبب الإغلاقوإضافة تعليق. يساعدك هذا في تتبع أدائك وفعاليتك، والضبط الدقيق لتقليلالإيجابيات الكاذبة.
تغيير خطورة الأحداث - يمكنك إعادة تقييم الكيانات وإعادة ترتيبها استناداً إلى وجودها أو مشاركتها في الحدث أو غيابها أو قيمها أو سماتها.
تعيين الأحداث لمالك - يساعدك هذا في توجيه أنواع الأحداث إلى الموظفين الأنسب للتعامل معها، أو إلى أكثر الموظفين إتاحة.
إضافة العلامات إلى الأحداث - يفيد هذا في تصنيف الأحداث حسب الموضوع أو المهاجم أو أي قاسم مشترك آخر.
كما يمكنك تحديد الإجراءات لتشغيل دليل المبادئ، من أجل اتخاذ إجراءات استجابة أكثر تعقيداً، بما في ذلك أي إجراء يشمل أنظمة خارجية. تتوفرفقطأدلة المبادئ التي تم تنشيطها من قبلمشغل الحدثلاستخدامها في قواعد التنفيذ التلقائي. يمكنك تحديد الإجراءات لتضمين أدلة مبادئ متعددة، أو مجموعات من أدلة المبادئ والإجراءات الأخرى، وترتيب تشغيلها.
ستكون أدلة المبادئ التي تستخدم أيًا من إصداري تطبيقات Logic (قياسي أو استهلاك)متاحة للتشغيل من قواعد التشغيل الآلي.
تاريخ انتهاء الصلاحية: يمكنك تحديد تاريخ انتهاء الصلاحية في قاعدة التنفيذ التلقائي. سيتم تعطيل القاعدة بعد ذلك التاريخ. ويعد ذلك مفيداً لمعالجة (أي إغلاق) لأحداث "التشويش" الناجمة عن الأنشطة المخطط لها والمقيدة زمنياً مثل اختبار الاختراق.
الترتيب: يمكنك تحديد الترتيب الذي سيتم فيه تشغيل قواعد التنفيذ التلقائي. ستعمل قواعد التنفيذ التلقائي اللاحقة على تقييم شروط الأحداث وفقاً لحالتها بعد أن يتم التصرف بناءً على قواعد التنفيذ التلقائي السابقة.
على سبيل المثال، إذا غيرت "قاعدة التنفيذ التلقائي الأولى" خطورة الحدث من متوسط إلى منخفض، وتم تعريف "قاعدة التنفيذ التلقائي الثانية" للتشغيل فقط على الأحداث ذات الخطورة المتوسطة أو الأعلى، فلن يتم تشغيلها على هذا الحدث.