تشغيل دليل مبادئ في الوقت الفعلي

  • 12 دقائق

يمكنك تكوين أدلة مبادئ Microsoft Sentinel في Contoso للاستجابة لمخاطر الأمان.

استكشف صفحة أدلة المبادئ «Playbooks»

يمكنك أتمتة الاستجابات للتهديدات على صفحة «Playbooks». في هذه الصفحة، يمكنك مراقبة جميع أدلة المبادئ التي تم إنشاؤها من Azure Logic Apps. يعرض العمود «Trigger kind» نوع الروابط المستخدمة في التطبيق المنطقي.

يمكنك استخدام شريط العنوان، كما هو معروض في الرسم التخطيطي التالي، لإنشاء أدلة مبادئ جديدة أو لتمكين أو تعطيل أدلة المبادئ الحالية.

Screenshot of the header bar.

يوفر شريط العنوان الخيارات التالية:

  • استخدم خيار «Add Playbook» لإنشاء دليل مبادئ جديد.

  • استخدم خيار «Refresh» لتحديث الشاشة، على سبيل المثال، بعد إنشاء دليل مبادئ جديد.

  • استخدم حقل الوقت المنسدل لتصفية حالة تشغيل أدلة المبادئ.

  • لا تتوفر الخيارات «Enable» و«Disable» و«Delete» إلا إذا قمت بتحديد تطبيق منطقي واحد أو أكثر.

  • استخدم الخيار «Logic Apps documentation» لمراجعة ارتباطات وثائق Microsoft الرسمية للحصول على مزيد من المعلومات حول التطبيقات المنطقية.

تريد شركة Contoso استخدام إجراءات تلقائية لمنع المستخدمين المشتبه بهم من الوصول إلى شبكتهم. بصفتك مسؤول الأمان، يمكنك إنشاء دليل مبادئ لتنفيذ هذا الإجراء. لإنشاء دليل مبادئ جديد، حدد «Add Playbook». سيتم توجيهك إلى الصفحة حيث يجب عليك إنشاء تطبيق منطق جديد من خلال توفير مدخلات للإعدادات التالية:

  • «Subscription» (الاشتراك) حدد الاشتراك الذي يحتوي على Microsoft Sentinel.

  • مجموعة الموارد يمكنك استخدام مجموعة موارد موجودة أو إنشاء مجموعة جديدة.

  • اسم Logic App. توفير اسم وصفي للتطبيق المنطقي.

  • Location. حدد الموقع نفسه حيث توجد مساحة عمل Log Analytics.

  • Log Analytics. في حال تمكين Log Analytics، يمكنك الحصول على معلومات حول أحداث وقت تشغيل دليل المبادئ.

بعد توفير هذه المدخلات، حدد الخيار «Review + Create»، ثم حدد «Create».

مصمم التطبيقات المنطقية

ينشئ Microsoft Sentinel تطبيق المنطق، ثم يتم توجيهك إلى صفحة المصمم Logic App.

يوفر Logic App Designer لوحة تصميم تستخدمها لإضافة مشغل وإجراءات إلى سير عملك. يمكنك، على سبيل المثال، تكوين المشغل لينشأ من موصل Microsoft Sentinel عند إنشاء حدث أمان جديد. توفر صفحة Logic App Designer العديد من القوالب المحددة مسبقًا التي يمكنك استخدامها. ومع ذلك، لإنشاء دليل مبادئ، يجب أن تبدأ بقالب Blank Logic App لتصميم التطبيق المنطقي من البداية.

يتم بدء النشاط التلقائي في دليل المبادئ بواسطة مشغل Microsoft Sentinel. يمكنك البحث عن مشغل Microsoft Sentinel في مربع البحث بلوحة التصميم، ثم حدد أحد المشغلين المتاحين التاليين:

  • عندما يتم تشغيل استجابة لتنبيه Microsoft Sentinel

  • عندما يتم تشغيل قاعدة إنشاء حدث Microsoft Sentinel

يؤدي فتح Microsoft Sentinel الاتصال or للمرة الأولى إلى مطالبتك بتسجيل الدخول إلى المستأجر إما باستخدام حساب مستخدم من Microsoft Entra ID أو باستخدام Service Principal. يؤدي هذا إلى إنشاء اتصال API بمعرف Microsoft Entra الخاص بك. تخزن اتصالات واجهة برمجة التطبيقات المتغيرات والرموز المميزة المطلوبة للوصول إلى واجهة برمجة التطبيقات للاتصال، مثل معرف Microsoft Entra أو Office 365 أو ما شابه ذلك.

Screenshot of sign-in to the Microsoft Entra tenant.

يبدأ كل دليل مبادئ بمشغل تتبعه إجراءات تحدد الاستجابة التلقائية لحدث أمني. يمكنك دمج الإجراءات من موصل Microsoft Sentinel مع الإجراءات الأخرى من موصلات Logic Apps الأخرى.

يمكنك، على سبيل المثال، إضافة المشغل من موصل Microsoft Sentinel عند تشغيل حدث، واتباعه بإجراء يحدد الكيانات من تنبيه Microsoft Sentinel، وإجراء آخر يرسل بريدًا إلكترونيًا إلى حساب بريد إلكتروني في Office 365. ينشئ Microsoft Sentinel كل إجراء كخطوة جديدة ويحدد النشاط الذي تضيفه في تطبيق المنطق.

تعرض لقطة الشاشة التالية الحدث الذي تم تشغيله باستخدام موصل Microsoft Sentinel الذي يكشف عن أي حساب مريب ويرسل بريدًا إلكترونيًا إلى المسؤول.

Screenshot of the logic app with actions.

تحتوي كل خطوة في تصميم سير العمل على حقول مختلفة يجب عليك تعبئتها. يتطلب منك، على سبيل المثال، إجراء «كيانات - الحصول على حسابات» تقديم قائمة الكيانات من تنبيه Microsoft Sentinel. تتمثل إحدى ميزات استخدام Azure Logic Apps في أنه يمكنك توفير هذا الإدخال من قائمة المحتوى الديناميكي «Dynamic content»، والتي يتم ملؤها بمخرجات الخطوة السابقة. يوفر مشغل موصل Microsoft Sentinel، على سبيل المثال، عند تشغيل استجابة لتنبيه Microsoft Sentinelخصائص ديناميكية، مثل «الكيانات، اسم التنبيه المعروض» والتي يمكنك استخدامها لتعبئة المدخلات.

Screenshot that displays dynamic content.

يمكنك أيضًا إضافة مجموعة إجراءات تحكم تتيح لتطبيقك المنطقي اتخاذ القرارات. يمكن أن تتضمن مجموعة إجراءات التحكم الشروط المنطقية أو تبديل شروط الحالة أو التكرار الحلقي.

إجراء الشرط هو عبارة if تسمح لتطبيقك بتنفيذ إجراءات مختلفة بناءً على البيانات التي تعالجها. يتكون من تعبير منطقي وإجراءين. في وقت التشغيل، يقوم محرك التنفيذ بتقييم التعبير واختيار إجراء بناءً على ما إذا كان التعبير صحيحًا أم خطأ.

على سبيل المثال، تتلقى Contoso عددا كبيرا من التنبيهات، العديد منها بأنماط متكررة، والتي لا يمكن معالجتها أو التحقيق فيها. باستخدام الأتمتة في الوقت الفعلي، يمكن لفرق Contoso SecOps تقليل حمل العمل بشكل كبير عن طريق أتمتة الاستجابات الروتينية لأنواع التنبيهات المتكررة.

تعرض لقطة الشاشة التالية موقفًا مشابهًا، حيث استنادًا إلى إدخال المستخدم، يمكن لدليل المبادئ تغيير حالة التنبيه. يعترض إجراء التحكم إدخال المستخدم، وإذا تم تقييم التعبير على أنه عبارة صحيحة، يقوم دليل المبادئ بتغيير حالة التنبيه. في حالة تقييم إجراء التحكم للتعبير على أنه خطأ، يمكن لدليل المبادئ تشغيل أنشطة أخرى، مثل إرسال بريد إلكتروني كما هو موضح في لقطة الشاشة التالية.

Screenshot that displays the logic app condition.

بعد تقديم جميع الخطوات في Logic Apps Designer، احفظ التطبيق المنطقي لإنشاء دليل مبادئ في Microsoft Sentinel.

صفحة Logic Apps في Microsoft Sentinel

تظهر أدلة المبادئ التي تقوم بإنشائها في الصفحة «Playbooks» ويمكنك إجراء المزيد من التعديل عليها. يمكنك، من صفحة «أدلة المبادئ»، تحديد دليل مبادئ موجود، والذي سيفتح صفحة «Logic Apps» لدليل المبادئ هذا في Microsoft Sentinel.

يمكنك تشغيل العديد من الإجراءات على دليل المبادئ من شريط العنوان Logic Apps:

  • Run Trigger. يُستخدم لتشغيل التطبيق المنطقي لاختبار دليل المبادئ.

  • تحديث. يُستخدم لتحديث حالة التطبيق المنطقي لاسترداد حالة النشاط.

  • تحرير. يُستخدم لمزيد من تحرير دليل المبادئ في صفحة «Logic Apps Designer».

  • حذف. استخدم لحذف تطبيق المنطق إذا لم تكن بحاجة إليه.

  • Disable. يستخدم لتعطيل التطبيق المنطقي مؤقتًا لمنع تنفيذ الإجراء حتى في حالة تنشيط المشغل.

  • Update Schema. يُستخدم لتحديث مخطط التطبيق المنطقي بعد تغيير كبير في المنطق.

  • Clone. يُستخدم لعمل نسخة من التطبيق المنطقي الحالي، ثم يُستخدم ذلك كأساس لمزيد من التعديل.

  • Export. يُستخدم لتصدير التطبيق المنطقي إلى Microsoft Power Automate وMicrosoft Power Apps.

يعرض قسم الأساسيات معلومات وصفية حول التطبيق المنطقي. على سبيل المثال، يعرض تعريف التطبيق المنطقي عدد المشغلات والإجراءات التي يوفرها التطبيق المنطقي.

يمكنك استخدام قسم «Summary»، لمراجعة المعلومات الملخصة حول التطبيق المنطقي. من هذا القسم، يمكنك تحديد ارتباط التطبيق المنطقي لفتحه في Logic Apps Designer أو مراجعة سجل المشغل.

يعرض قسم «Runs history» عمليات التشغيل السابقة للتطبيق المنطقي وما إذا كانت قد نجحت أو فشلت.

أتمتة الاستجابة لحدث في Microsoft Sentinel

كخطوة أخيرة، تحتاج إلى إرفاق دليل المبادئ هذا بقاعدة تحليلات لأتمتة الاستجابات لحدث ما. يمكنك استخدام قسم «Automated Response» في قاعدة التحليلات لتحديد دليل المبادئ ليتم تشغيله تلقائيًا عند إنشاء التنبيه. لمزيد من المعلومات حول كيفية إنشاء قاعدة التحليلات، راجع الوحدة النمطية «الكشف عن المخاطر باستخدام تحليلات Microsoft Sentinel».

‏‫اختبر معلوماتك

1.

ما هو المحتوى الديناميكي في التطبيق المنطقي؟

2.

ينشئ المسؤول دليل مبادئ جديدًا لتلقي إشعار في كل مرة يتم فيها تفويض المستخدم بدور المسؤول العام. ما الموصل الذي يجب على المسؤول تحديده في التطبيق المنطقي؟