تدريب - تكوين دليل المبادئ لحدث أمان
يتم إنشاء أتمتة سير العمل مباشرةً في بوابة Defender for Cloud.
هام
ستحتاج إلى حساب بريد إلكتروني في Microsoft 365 لاستخدام هذه المجموعة المحددة من الإرشادات. إذا لم يكن لديك واحد، فحاول تغيير الإرشادات أدناه لاستخدام قالب مختلف، أو قم بإنشاء Logic App فارغ.
سجّل الدخول إلى مدخل Azure باستخدام الحساب نفسه الذي استخدمته لتنشيط بيئة الاختبار المعزولة من Azure.
ابحث عن Microsoft Defender for Cloud وحدده باستخدام مربع البحث. يظهر جزء Overview لـ Defender for Cloud.
في جزء القائمة الأيمن، ضمن Management، حدد Workflow automation.
في شريط القوائم العلوي، حدد + إضافة أتمتة سير العمل لإنشاء أتمتة جديدة. يظهر جزء Add workflow automation.
أدخل القيم التالية لكل إعداد:
الإعداد القيمة عام الاسم RespondToMalwareAlert الوصف اشتراك Concierge مجموعة الموارد [Learn resource group] شروط المشغل حدد لأنواع بيانات Defender for Cloud تنبيه الأمان يحتوي اسم التنبيه على البرامج الضارة خطورة التنبيه كافة الخطورة المحددة ضمن Actions، يمكنك تحديد Azure Logic App موجود أو إنشاء تطبيق جديد. نظرا لأنه ليس لدينا واحد حتى الآن، حدد ارتباط صفحة Logic Apps لإنشاء Logic App جديد.
يظهر جزء Logic apps. تأكد من أنك لا تزال في دليل Microsoft Learn Sandbox قبل المتابعة.
في شريط القوائم العلوي، حدد + إضافة. يظهر جزء Create Logic App.
في علامة التبويب Basics، أدخل القِيم التالية لكل إعداد:
الإعداد القيمة تفاصيل المشروع الوصف اشتراك Concierge مجموعة الموارد [Learn resource group] تفاصيل المثيل اسم تطبيق المنطق RespondToMalwareAlert نوع الخطة الاستهلاك إشعار
تحتاج إلى اسم فريد لتطبيق المنطق. إذا لم يكن الاسم المقترح متوفرًا، فقم بتعديله أو حدد اسمًا آخر.
اقبل القيم الافتراضية لبقية الحقول.
حدد Review + create، ثم حدد Create. يستغرق الأمر دقيقة أو دقيقتين لإنشاء التطبيق. يمكنك مراقبة الإنشاء من خلال أيقونة الإعلامات أو تحديد تحديث لتحديث الشاشة.
بمجرد إنشاء Logic App، حدد Go to resource.
حدد Logic app designer ضمن Development Tools في القائمة اليسرى.
مرر لأسفل إلى قسم Templates وحدد Security من القائمة المنسدلة Category.
حدد Get a notification email when Defender for Cloud detects a threat, then select Use this template. يمكنك أيضا تحديد Blank Logic App إذا كنت تريد إنشاء بعض المنطق المخصص للتشغيل استجابة لتنبيه، أو إذا لم يكن لديك حساب بريد إلكتروني مستند إلى Microsoft 365.
حدد الارتباط تسجيل الدخول في المربع Office 365 Outlook. أدخِل معلومات تسجيل الدخول إلى Office 365 للاتصال بحساب بريدك الإلكتروني. بمجرد التحقق منها يتم عرض البريد الإلكتروني على موصل Office 365 Outlook.
حدد إضافة جديد في مربع الاتصال ions. يؤدي هذا إلى توصيل التطبيق المنطقي ب Microsoft Defender for Cloud.
إشعار
إذا لم يتم تحديث الجزء وإظهار الخطوة التالية، فحدد Code view، ثم حدد Designer.
حدد متابعة للانتقال إلى صفحة التفاصيل.
حدد عنوان بريد إلكتروني مستهدفًا لإرسال الإشعار إليه.
في هذه الشاشة يمكنك تغيير موضوع البريد الإلكتروني وكذلك جميع التفاصيل التي سيتم تضمينها.
يمكنك استخدام زر + New step لإنشاء خطوات منطقية إضافية في التدفق. في هذه الحالة، لا نحتاج إلى خطوة أخرى. حدد Save من شريط القوائم العلوي.
ارجع مرة أخرى إلى جزء Defender for Cloud، أو علامة التبويب وحدد Refresh لتحديد تطبيق Logic الذي تم إنشاؤه حديثًا.
حدد RespondToMalwareAlert (أو أي شيء قمت بتسمية تطبيقك المنطقي) من قائمة Logic Apps.
حدد Create لإنشاء أتمتة سير العمل.
تشغيل أتمتة سير العمل من Microsoft Defender للسحابة
عادة ما تقوم بتشغيل أدلة المبادئ من لوحة معلومات حماية حمل العمل باستخدام تنبيه موجود.
حدد Security alerts في جزء القائمة الأيسر من Defender for Cloud.
هنا، يمكنك تحديد تنبيه، وحدد عرض التفاصيل الكاملة، وحدد اتخاذ إجراء، وحدد القائمة المنسدلة Trigger automated response ، ثم حدد Trigger logic app.
في هذه الحالة، في Azure Sandbox، من المحتمل ألا يكون لديك أي تنبيهات، لذلك لا يمكنك تنفيذ دليل المبادئ بهذه الطريقة. ومع ذلك، يمكنك اختباره من خلال لوحة Logic Apps.
اختبار أتمتة سير العمل من Logic Apps
حدد Home من الشريط الجانبي الأيسر. سترى Logic App الخاص بك كمورد تم إنشاؤه حديثًا. إذا لم يكن الأمر كذلك، فحاول البحث عنه من شريط البحث العلوي. تذكر أن الاسم هو RespondToMalwareAlert.
في جزء Overview ، من شريط القوائم العلوي، حدد القائمة المنسدلة Run ، ثم حدد Run.
سيظهر إدخال جديد ضمن علامة تبويب Runs history في جزء Overview. قد تحتاج إلى تحديد الزر تحديث في أعلى الشاشة. ويمكنك تحديد هذا الإدخال لتصفح التفاصيل. على سبيل المثال، يمكنك التنقل في الإدخالات والمخرجات من تشغيل:
الإدخالات
{
"method": "post",
"path": "/Mail",
"host": {
"connection": {
"name": "/subscriptions/abcd/resourceGroups/abcd/providers/Microsoft.Web/connections/office365"
}
},
"body": {
"Body": "Microsoft Defender for Cloud has discovered a potential security threat in your environment. Details below:\n\nAlert name: \n\nDescription: \n\nDetection time: \n\nAttacked resource: \n\nDetected by: \n\nAlert ID: ",
"Importance": "High",
"Subject": "Microsoft Defender for Cloud has discovered a potential security threat in your environment",
"To": "john@doe.com"
}
}
الإخراجات
{
"statusCode": 200,
"headers": {
"Pragma": "no-cache",
"x-ms-request-id": "615f4430-7433-4fd3-aa2d-000e8a1a0db9",
"Strict-Transport-Security": "max-age=31536000; includeSubDomains",
"X-Content-Type-Options": "nosniff",
"X-Frame-Options": "DENY",
"Timing-Allow-Origin": "*",
"x-ms-apihub-cached-response": "true",
"Cache-Control": "no-store, no-cache",
"Date": "Fri, 10 Oct 2019 09:17:32 GMT",
"Set-Cookie": "ARRAffinity=9c9c847b5bd6c73a56d4f1afae4aecaa7f5b746d703be6c728afc87b6c50d7e3;Path=/;HttpOnly;Domain=office365-wus.azconn-wus.p.azurewebsites.net",
"Content-Length": "0",
"Expires": "-1"
}
}
يجب أن تتلقى أيضا رسالة بريد إلكتروني على عنوان البريد الإلكتروني الذي حددته تفيد بأن Microsoft Defender for Cloud اكتشف تهديدا أمنيا محتملا في بيئتك.
تهانينا! لقد نجحت في تكوين أتمتة سير العمل.