تشغيل دليل المبادئ حسب الطلب

  • 8 دقائق

قد تتطلب بعض الحوادث في شركة Contoso مزيدًا من التحقيق قبل تشغيل دليل المبادئ. يسمح لك Microsoft Sentinel بتشغيل أدلة المبادئ عند الطلب لتسهيل التحقيقات المتعمقة.

تشغيل دليل المبادئ عند الطلب

يمكنك تكوين أدلة المبادئ للتشغيل عند الطلب بناءً على تفاصيل الحدث، أو لبدء خطوات محددة كجزء من التحقيق، أو لإجراء بعض إجراءات المعالجة.

ضع في اعتبارك السيناريو الذي يتم فيه منع المستخدمين المشتبه بهم من الوصول إلى موارد الشركة. بصفتك مسؤول الأمان في شركة Contoso، تجد حدثًا حالته إيجابية خاطئة. كان بعض المستخدمين في شركة Contoso يصلون إلى الموارد عبر اتصال شبكة خاصة ظاهرية من أجهزة كمبيوتر بعيدة في أثناء الاتصال بأجهزة الكمبيوتر المكتبية في نفس الوقت. تلقى Microsoft Cloud Security إشارات واستنادًا إلى الثغرة الأمنية التي تكتشف تهديدًا محتملاً من مواقع سفر غير نمطية، فقد حدد المستخدمين على أنها مخاطر متوسطة.

يمكنك استخدام دليل المبادئ الذي يمكنه تجاهل خاصية المستخدم الخطرة هذه تلقائيا في معرف Microsoft Entra.

مستودع Microsoft Sentinel على GitHub

يحتويمستودع Microsoft Sentinel على GitHub على أدلة مبادئ جاهزة للاستخدام لمساعدتك على أتمتة الاستجابات إلى الحوادث. يتم تعريف أدلة المبادئ هذه باستخدام Azure Resource Manager (قالب ARM) الذي يستخدم مشغلات Logic App Microsoft Sentinel.

بالنسبة إلى السيناريو الموضح سابقًا، يمكنك استخدام دليل المبادئ Dismiss-AADRiskyUser، الموجود في مستودع Microsoft Sentinel على GitHub، ونشره مباشرةً في اشتراكك في Azure.

لكل عملية نشر من GitHub، يجب أولاً تخويل كل اتصال في دليل المبادئ قبل تحريره في Logic Apps Designer. سيقوم التخويل بإنشاء اتصال API بالموصل المناسب وتخزين الرمز المميز والمتغيرات. يمكنك تحديد موقع اتصال API في مجموعة الموارد حيث أنشأت التطبيق المنطقي.

يتم إلحاق اسم كل اتصال API مع البادئة «azuresentinel». يمكنك أيضًا تحرير الاتصال في Logic Apps Designer عندما تقوم بتحرير التطبيق المنطقي.

Screenshot that depicts the authorization of the API connection.

إرفاق دليل مبادئ لحدث موجود

بعد أن يصبح دليل المبادئ جاهزًا، يمكنك فتح صفحة «الحدث» في Microsoft Sentinel، وتحديد الحدث الموجود. في جزء التفاصيل، يمكنك تحديد «View full details» لاستكشاف خصائص الحدث. من «Alerts panel»، يمكنك تحديد «View playbooks»، ثم يمكنك تشغيل أحد أدلة المبادئ الموجودة.

توضح لقطة الشاشة التالية مثال نشاط المستخدم المشبوه، والذي يمكنك من خلاله إرفاق دليل المبادئ Dismiss-AADRiskyUser.

Screenshot of the Incident page.

بعد التحقيق في الحادث، يمكنك اختيار تشغيل دليل المبادئ يدويا للاستجابة لتهديد أمني.

‏‫اختبر معلوماتك

1.

يريد المسؤول إرفاق دليل المبادئ بحدث موجود ويبدأ في التحقيق في الحدث. ما الخيار الذي يجب على المسؤول تحديده لإرفاق دليل المبادئ؟

2.

تريد البحث عن استعلام اكتشاف تهديدات مناسب أو مصنف يمكنك استخدامه لمتطلباتك. أين يمكنك البحث عن هذه العناصر؟