ما هي أدلة مبادئ Microsoft Sentinel؟
بالإضافة إلى تقييم المشكلات المتعلقة بتكوين الأمان ومعالجتها، يجب على شركة Contoso أيضًا مراقبة المشكلات والتهديدات الجديدة، ثم الاستجابة بشكل مناسب.
Microsoft Sentinel حل SIEM وSOAR
Microsoft Sentinel هو حل «إدارة معلومات الأمان والأحداث» (SIEM) «وتوزيع الأمان والأتمتة والاستجابة» (SOAR) المصمم للبيئات المختلطة.
إشعار
توفر حلول SIEM تخزين السجلات وتحليلها والأحداث والتنبيهات التي تنشئها الأنظمة الأخرى. يمكنك تكوين هذه الحلول لرفع التنبيهات الخاصة بها. تدعم حلول SOAR معالجة الثغرات الأمنية والتشغيل التلقائي العام لعمليات الأمان.
يستخدم Microsoft Azure Sentinel عمليات كشف مضمنة ومخصصة لتنبيهك بمخاطر الأمان المحتملة، مثل محاولات الوصول إلى موارد Contoso من خارج بنيتها الأساسية أو عندما يبدو أن البيانات الواردة من Contoso تم إرسالها إلى عنوان IP ضار معروف. يمكنك أيضًا إنشاء حوادث بناءً على هذه التنبيهات.
أدلة مبادئ Microsoft Sentinel
يمكنك إنشاء أدلة مبادئ الأمان في Microsoft Sentinel للاستجابة إلى التنبيهات. تعتبر أدلة المبادئ عبارة عن مجموعات من الإجراءات المستندة إلى تطبيقات Azure Logic Apps التي يتم تشغيلها استجابة لتنبيه. يمكنك تشغيل أدلة مبادئ الأمان هذه يدويًا استجابة للتحقيق في حدث، أو يمكنك تكوين تنبيه لتشغيل دليل مبادئ تلقائيًا.
من خلال القدرة على الاستجابة للحوادث تلقائيًا، يمكنك أتمتة بعض عمليات الأمان وزيادة إنتاجية مركز عمليات الأمان (SOC) الخاص بك.
على سبيل المثال، لمعالجة مخاوف شركة Contoso، يمكنك تطوير سير عمل بخطوات محددة يمكنها منع اسم مستخدم مريب من الوصول إلى الموارد من عنوان IP غير آمن. بدلا من ذلك، يمكنك تكوين دليل المبادئ لتنفيذ عملية مثل إعلام فريق SecOps بتنبيه أمان عالي المستوى.
Azure Logic Apps
Azure Logic Apps هي خدمة سحابية تعمل على أتمتة تشغيل عمليات عملك. يمكنك استخدام أداة تصميم رسومية تسمى Logic Apps Designer لترتيب المكونات التي تم إنشاؤها مسبقًا في التسلسل الذي تحتاجه. يمكنك أيضًا استخدام عرض التعليمات البرمجية وكتابة العملية الآلية في ملف JSON.
موصل Logic Apps Connector
تستخدم التطبيقات المنطقية الروابط للاتصال بمئات الخدمات. الموصل هو مكون يوفر واجهة إلى خدمة خارجية.
إشعار
موصل بيانات Microsoft Sentinel وموصل Logic Apps ليسا نفس الشيء. يقوم موصل بيانات Microsoft Sentinel بتوصيل Microsoft Sentinel بمنتجات الأمان من Microsoft وأنظمة الأمان البيئية للحلول غير التابعة لـ Microsoft. موصل Logic Apps هو مكون يوفر اتصال API لخدمة خارجية ويسمح بتكامل الأحداث والبيانات والإجراءات عبر التطبيقات والخدمات والأنظمة والبروتوكولات والأنظمة الأساسية الأخرى.
ما هي المشغلات والإجراءات
تستخدم Azure Logic Apps مشغلات وإجراءات، والتي يتم تعريفها كما يلي:
المشغل هو حدث يقع عندما يتم استيفاء مجموعة معينة من الشروط. يتم تنشيط المشغلات تلقائيًا عند استيفاء الشروط. على سبيل المثال، يقع حدث أمان في Microsoft Sentinel الذي يتم تشغيله لاتخاذ إجراء تلقائي.
الإجراء هو عملية تقوم بتنفيذ مهمة في سير عمل Logic Apps. يتم تشغيل الإجراءات عند تنشيط مشغل أو اكتمال إجراء آخر أو استيفاء شرط.
موصل Microsoft Sentinel Logic Apps
يستخدم دليل مبادئ Microsoft Sentinel موصل Microsoft Sentinel Logic Apps. يوفر المشغلات والإجراءات التي يمكن أن تبدأ دليل المبادئ وتنفذ الإجراءات المحددة.
يوجد حاليًا مشغلان من موصل Microsoft Sentinel Logic Apps:
عندما يتم تشغيل استجابة لتنبيه Microsoft Sentinel
عندما يتم تشغيل قاعدة إنشاء حدث Microsoft Sentinel
إشعار
نظرًا إلى أن موصل Microsoft Sentinel Logic App قيد المعاينة، فقد تتغير الميزات الموضحة في هذه الوحدة النمطية مستقبلا.
يسرد الجدول التالي جميع الإجراءات الحالية لموصل Microsoft Sentinel.
| الاسم | الوصف |
|---|---|
| إضافة تعليق إلى الحدث | إضافة تعليقات إلى الحدث المحدد. |
| إضافة تسميات إلى الحدث | إضافة تسميات إلى الحدث المحدد. |
| إجراء «Alert - Get incident» | إرجاع الحدث المقترن بالتنبيه المحدد. |
| تغيير وصف الحدث | تغيير وصف الحدث المحدد. |
| تغيير خطورة الحدث | تغيير خطورة الحدث المحدد. |
| تغيير حالة الحدث | تغيير حالة الحاث المحدد. |
| تغيير عنوان الحدث (V2) | تغيير عنوان الحدث المحدد. |
| إجراء «Entities - Get Accounts» | إرجاع قائمة بالحسابات المقترنة بالتنبيه. |
| إجراء «Entities - Get FileHashes» | إرجاع قائمة تجزئة الملفات «File Hashes» المرتبطة بالتنبيه. |
| إجراء «Entities - Get Hosts» | إرجاع قائمة المضيفين المقترنة بالتنبيه. |
| إجراء «Entities - Get IPs» | إرجاع قائمة بعناوين IP المقترنة بالتنبيه. |
| إجراء «Entities - Get URLs» | إرجاع قائمة بعناوين URL المقترنة بالتنبيه. |
| إزالة التسميات من الحدث | إزالة التسميات الخاصة بالحدث المحدد. |
إشعار
توفر الإجراءات التي تحتوي على (V2) أو رقم أعلى إصدارًا جديدًا من الإجراء وقد تختلف عن الوظيفة القديمة للإجراء.
تتطلب بعض الإجراءات التكامل مع إجراءات من موصلات أخرى. على سبيل المثال، إذا أرادت شركة Contoso تحديد جميع الحسابات المشبوهة التي تم إرجاعها في التنبيه من الكيانات المحددة، فإنه يجب عليك دمج إجراء Entities - Get Accounts مع الإجراء For Each. وبالمثل، للحصول على جميع المضيفين الفرديين في حدث يكتشف مضيفين مشبوهين، يجب عليك دمج إجراء Entities - Get Hosts مع الإجراء For Each.