Share via

أتمتة الاستجابة للتهديدات في Microsoft Sentinel باستخدام قواعد الأتمتة

  • مقالة
  • ينطبق على:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

تشرح هذه المقالة ماهية قواعد آلية Microsoft Azure Sentinel وطريقة استخدامها لتنفيذ عمليات تنسيق الأمان والتشغيل الآلي والاستجابة (SOAR)، ما يزيد من فعالية SOC ويوفر لك الوقت والموارد.

هام

يتوفر Microsoft Sentinel كجزء من المعاينة العامة للنظام الأساسي لعمليات الأمان الموحدة في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

ما هي قواعد التشغيل الآلي؟

قواعد الأتمتة هي طريقة لإدارة الأتمتة مركزيًا في Microsoft Sentinel، من خلال السماح لك بتحديد وتنسيق مجموعة صغيرة من القواعد التي يمكن تطبيقها عبر سيناريوهات مختلفة.

تنطبق قواعد التنفيذ التلقائي على فئات حالات الاستخدام التالية:

  • تنفيذ مهام التشغيل التلقائي الأساسية لمعالجة الحوادث دون استخدام أدلة المبادئ. على سبيل المثال:

    • إضافة مهام الحوادث للمحللين لمتابعة.
    • قمع الحوادث الصاخبة.
    • فرز الحوادث الجديدة عن طريق تغيير حالتها من جديد إلى نشط وتعيين مالك.
    • وضع علامات على الحوادث لتصنيفها.
    • تصعيد الحدث من خلال تعيين مالك جديد.
    • أغلق الحوادث التي تم حلها، وحدد السبب وأضف التعليقات.

  • التنفيذ التلقائي للاستجابات لقواعد تحليلات متعددة في وقت واحد.

  • التحكّم في ترتيب الإجراءات التي يتم تنفيذها.

  • افحص محتويات حادث (التنبيهات والكيانات والخصائص الأخرى) واتخذ المزيد من الإجراءات عن طريق استدعاء دليل المبادئ.

  • يمكن أن تكون قواعد الأتمتة أيضا الآلية التي تقوم من خلالها بتشغيل دليل المبادئ استجابة لتنبيهغير مقترن بحادث.

باختصار، تعمل قواعد الأتمتة على تبسيط استخدام الأتمتة في Microsoft Sentinel، مما يتيح لك تبسيط مهام سير العمل المعقدة لعمليات تنسيق الاستجابة للتهديدات.

المكونات

تتكون قواعد التنفيذ التلقائي من عدة مكونات:

  • المشغلاتالتي تحدد نوع حدث الحالة التي ستتسبب في تشغيل القاعدة، تخضع لـ...
  • الشروط التي ستقوم بتحديد الظروف الدقيقة التي سيتم بموجبها تشغيل القاعدة وتنفيذها...
  • الإجراءات لتغيير الحدث بطريقة ما أو استدعاء دليل المبادئ.

أزرار التشغيل

يتم تشغيل قواعد التنفيذ التلقائي عند إنشاء حدث أو تحديثه أو عند إنشاء تنبيه. تذكر أن الحوادث تتضمن تنبيهات، وأنه يمكن إنشاء كل من التنبيهات والحوادث بواسطة قواعد التحليلات، والتي يوجد منها عدة أنواع، كما هو موضح في الكشف عن التهديدات باستخدام قواعد التحليلات المضمنة في Microsoft Sentinel.

يعرض الجدول التالي السيناريوهات المحتملة المختلفة التي ستتسبب في تشغيل قاعدة التنفيذ التلقائي.

نوع الزناد الأحداث التي تؤدي لتشغيل القاعدة
عند إنشاء حدث النظام الأساسي لعمليات الأمان الموحدة في Microsoft Defender:
  • يتم إنشاء حدث جديد في مدخل Microsoft Defender.

    لم يتم إلحاق Microsoft Sentinel بالنظام الأساسي الموحد:
  • يتم إنشاء حادث جديد بواسطة قاعدة تحليلات.
  • يتم استيعاب حادث من Microsoft Defender XDR.
  • يتم إنشاء حادث جديد يدويا.
    		•
    عند تحديث الحدث
  • يتم تغيير حالة الحدث (مغلق/معاد فتحه/ثلاثي).
  • يتم تعيين مالك الحدث أو تغييره.
  • يتم رفع خطورة الحادث أو خفضه.
  • تتم إضافة التنبيهات إلى حادث.
  • تتم إضافة التعليقات أو العلامات أو التكتيكات إلى حادث.
    		•
    عند إنشاء التنبيه
  • يتم إنشاء تنبيه بواسطة قاعدة تحليلات Microsoft Sentinel المجدولة أو NRT .
    		•

    الأتمتة المستندة إلى الحدث أم المستندة إلى التنبيه؟

    الآن بعد أن تم التعامل مع كل من أتمتة الحوادث وأتمتة التنبيهات بشكل مركزي من خلال قواعد الأتمتة بالإضافة إلى كتيبات التشغيل، كيف يمكنك اختيار وقت استخدام أي منهما؟

    بالنسبة لمعظم حالات الاستخدام، تكون الأتمتة التي يتم تشغيلها بالحوادث هي النهج الأفضل. في Microsoft Sentinel، الحدث هو "ملف حالة" - تجميع لجميع الأدلة ذات الصلة لتحقيق معين. إنها حاوية للتنبيهات والكيانات والتعليقات والتعاون والبيانات الاصطناعية الأخرى. على عكس التنبيهات التي تعد جزءًا واحدًا من الأدلة، تكون الحوادث قابلة للتعديل، وتكون الحالة الأكثر تحديثًا، ويمكن إثراؤها بالتعليقات والعلامات والإشارات المرجعية. يسمح لك الحدث بتعقب قصة الهجوم التي تستمر في التطور مع إضافة تنبيهات جديدة.

    لهذه الأسباب، من المنطقي إنشاء الأتمتة الخاصة بك حول الحوادث. لذا فإن الطريقة الأنسب لإنشاء أدلة المبادئ هي تأسيسها على مشغل حادث Microsoft Sentinel في Azure Logic Apps.

    السبب الرئيسي لاستخدام الأتمتة التي يتم تشغيلها بواسطة التنبيه هو الاستجابة للتنبيهات التي تم إنشاؤها بواسطة قواعد التحليلات التي لا تنشئ حوادث (أي، حيث تم تعطيل إنشاء الحدث في علامة التبويب إعدادات الحدث في معالج قاعدة التحليلات).

    هذا السبب مهم بشكل خاص عندما يتم إلحاق مساحة عمل Microsoft Sentinel الخاصة بك بالنظام الأساسي لعمليات الأمان الموحدة، حيث يحدث كل إنشاء حدث في Microsoft Defender XDR، وبالتالي يجب تعطيل قواعد إنشاء الحدث في Microsoft Sentinel.

    حتى دون أن يتم إلحاقك بالمدخل الموحد، قد تقرر على أي حال استخدام الأتمتة التي يتم تشغيلها بواسطة التنبيه إذا كنت تريد استخدام منطق خارجي آخر لتحديد ما إذا كان يتم إنشاء الحوادث من التنبيهات وكيفية إنشائها، وكذلك إذا تم تجميع التنبيهات وكيفية تجميعها في الحوادث. على سبيل المثال:

    • يمكن تشغيل دليل التشغيل من خلال تنبيه ليس له حادثة مرتبطة، وإثراء التنبيه بمعلومات من مصادر أخرى، وبناءً على بعض المنطق الخارجي، قرر ما إذا كنت تريد إنشاء حادثة أم لا.

    • يمكن تشغيل دليل التشغيل من خلال تنبيه وبدلاً من إنشاء حادثة، ابحث عن حادثة موجودة مناسبة لإضافة التنبيه إليها. تعرف على المزيد حول توسيع الحدث.

    • يمكن تشغيل دليل المبادئ بواسطة تنبيه وإعلام موظفي SOC بالتنبيه، حتى يتمكن الفريق من تحديد ما إذا كان سيتم إنشاء حادث أم لا.

    • يمكن تشغيل دليل المبادئ بواسطة تنبيه وإرسال التنبيه إلى نظام إصدار التذاكر الخارجي لإنشاء الحادث وإدارته، وإنشاء تذكرة جديدة لكل تنبيه.

    إشعار

    • تتوفر الأتمتة التي يتم تشغيلها بواسطة التنبيه فقط للتنبيهات التي تم إنشاؤها بواسطة قواعد تحليلات الأمان المجدولة وNRT وMicrosoft.

    • لا تتوفر الأتمتة التي يتم تشغيلها بواسطة التنبيه للتنبيهات التي تم إنشاؤها بواسطة Microsoft Defender XDR في النظام الأساسي لعمليات الأمان الموحدة. لمزيد من المعلومات، راجع التنفيذ التلقائي مع النظام الأساسي لعمليات الأمان الموحدة.

    ‏‏شروط

    يمكن تعريف مجموعات معقدة من الشروط للتحكم في وقت تشغيل الإجراءات (انظر أدناه). تتضمن هذه الشروط الحدث الذي يقوم بتشغيل القاعدة (حدث تم إنشاؤه أو تحديثه أو إنشاء تنبيه)، وحالات أو قيم خصائص الحدث وخصائص الكيان (لمشغل الحدث فقط)، وكذلك قاعدة التحليلات أو القواعد التي أنشأت الحدث أو التنبيه.

    عند تشغيل قاعدة التشغيل التلقائي، فإنه يتحقق من الحدث المشغل أو التنبيه مقابل الشروط المحددة في القاعدة. بالنسبة للحوادث، يتم تقييم الشروط المستندة إلى الخاصية وفقًا للحالة الحالية للخاصية في لحظة إجراء التقييم، أو وفقًا للتغييرات في حالة الخاصية (انظر أدناه للحصول على التفاصيل). نظرًا لأن حدث إنشاء حدث واحد أو تحديثه يمكن أن يؤدي إلى تشغيل العديد من قواعد التشغيل التلقائي، فإن الأمر الذي يتم تشغيله به (انظر أدناه) يحدث فرقا في تحديد نتيجة تقييم الشروط. سيتم تشغيلالإجراءاتالمحددة في القاعدة فقط إذا تم استيفاء كافة الشروط.

    مشغل لإنشاء الحدث

    بالنسبة للقواعد المعرفة باستخدام المشغلعند إنشاء حدث، يمكنك تحديد الشروط التي تتحقق منالحالة الجاريةلقيم قائمة معينة من خصائص الحدث، باستخدام عامل تشغيل واحد أو أكثر من عوامل التشغيل التالية:

    قيمة خاصية الحدث

    • تساويأولا تساويالقيمة المحددة في الشرط.
    • يحتوي على القيمة التي تم تعريفها في الشرط أولا يحتويعليها.
    • يبدأ بالقيمةالتي تم تحديدها في الشرط أو لا يبدأ بها.
    • ينتهي بالقيمةأو التي تم تحديدها في الشرط ولا تنتهي بـ .

    تشير الحالة الجاريةفي هذا السياق إلى لحظة تقييم الشرط- أي لحظة تشغيل قاعدة التشغيل التلقائي. إذا تم تحديد أكثر من قاعدة أتمتة واحدة للتشغيل استجابة لإنشاء هذا الحادث، فإن التغييرات التي تم إجراؤها على الحادث من قِبل قاعدة أتمتة تم تشغيلها مسبقًا تعتبر الحالة الحالية للقواعد التي يتم تشغيلها لاحقًا.

    مشغل التحديث المتعلق بالحدث

    تشمل الشروط التي تم تقييمها في القواعد المعرفة باستخدام المشغلعند تحديث الحدث جميع تلك المدرجة لمشغل إنشاء الحدث. لكن مشغل التحديث يشمل المزيد من الخصائص التي يمكن تقييمها.

    يتم تحديث إحدى هذه الخصائص من. تتيح لك هذه الخاصية تتبع نوع المصدر الذي أجرى التغيير في الحادث. يمكنك إنشاء شرط تقييم ما إذا كان الحدث قد تم تحديثه بإحدى القيم التالية، اعتمادا على ما إذا كنت قد قمت بإلحاق مساحة العمل الخاصة بك بالنظام الأساسي لعمليات الأمان الموحدة:

    • تطبيق، بما في ذلك التطبيقات في كل من مداخل Azure وDefender.
    • مستخدم، بما في ذلك التغييرات التي أجراها المستخدمون في كل من مداخل Azure وDefender.
    • AIR، للتحديثات عن طريق التحقيق التلقائي والاستجابة في Microsoft Defender لـ Office 365
    • تجميع تنبيه (الذي أضاف تنبيهات إلى الحدث)، بما في ذلك مجموعات التنبيهات التي تم إجراؤها بواسطة قواعد التحليلات ومنطق ارتباط Microsoft Defender XDR المضمن
    • دليل المبادئ
    • قاعدة أتمتة
    • غير ذلك، إذا لم تنطبق أي من القيم المذكورة أعلاه

    باستخدام هذا الشرط، على سبيل المثال، يمكنك توجيه قاعدة الأتمتة هذه للتشغيل على أي تغيير تم إجراؤه على حادث، إلا إذا تم إجراؤه من قاعدة تلقائية أخرى.

    أكثر من ذلك، يستخدم مشغل التحديث أيضاً عوامل تشغيل أخرى تتحقق منتغييرات الحالةفي قيم خصائص الحدث بالإضافة إلى حالتها الجارية. يستوفى شرط تغيير الحالةإذا:

    كانت قيمة الخاصية المتعلقة بالحدث

    • تغيرت (بصرف النظر عن القيمة الفعلية قبل أو بعد).
    • تغيرت من القيمة المحددة في الشرط.
    • تغيرت إلى القيمة المحددة في الشرط.
    • تمت إضافتها إلى (ينطبق هذا على الخصائص التي تشمل قائمة بالقيم).

    خاصية العلامة : فردي مقابل مجموعة

    خاصية الحدث Tag هي مجموعة من العناصر الفردية - يمكن أن يكون لحادث واحد علامات متعددة مطبقة عليه. يمكنك تحديد الشروط التي تتحقق من كل علامة في المجموعة بشكل فردي، والشروط التي تتحقق من مجموعة العلامات كوحدة.

    • يتحقق أي عوامل تشغيل علامات فردية من الشرط مقابل كل علامة في المجموعة. يكون التقييم صحيحا عندما تفي علامة واحدة على الأقل بالشرط.
    • تتحقق مجموعة جميع عوامل تشغيل العلامات من الشرط مقابل مجموعة العلامات كوحدة واحدة. يكون التقييم صحيحا فقط إذا كانت المجموعة ككل تفي بالشرط.

    هذا التمييز مهم عندما يكون الشرط الخاص بك سالبا (لا يحتوي على)، وبعض العلامات في المجموعة تفي بالشرط والبعض الآخر لا.

    لنلق نظرة على مثال حيث حالتك، لا تحتوي العلامة على "2024"، ولديك حادثان، كل منهما له علامتان:

    \الحوادث ▶
    الشرط ▼ \    		 الحادث 1
    العلامة 1: 2024
    العلامة 2: 2023    		 الحادث 2
    العلامة 1: 2023
    العلامة 2: 2022
    أي علامة فردية
    لا يحتوي على "2024"    		 صحيح صواب
    مجموعة من جميع العلامات
    لا يحتوي على "2024"    		 كاذبه صواب

    في هذا المثال، في الحادث 1:

    • إذا كان الشرط يتحقق من كل علامة على حدة، فنظرا لوجود علامة واحدة على الأقل تفي بالشرط ( لا يحتوي على "2024")، يكون الشرط الإجمالي صحيحا.
    • إذا كان الشرط يتحقق من جميع العلامات في الحدث كوحدة واحدة، بعد ذلك نظرا لوجود علامة واحدة على الأقل لا تفي بالشرط (التي تحتوي على "2024")، فإن الشرط الإجمالي خطأ.

    في الحادث 2، ستكون النتيجة هي نفسها، بغض النظر عن نوع الشرط المحدد.

    مشغل إنشاء التنبيه

    الشرط الوحيد الذي يمكن تكوينه حاليا لمشغل إنشاء التنبيه هو مجموعة قواعد التحليلات التي سيتم تشغيل قاعدة التشغيل التلقائي لها.

    الإجراءات

    يمكن تحديد الإجراءات للتشغيل عند استيفاء الشروط (انظر أعلاه). يمكنك تحديد العديد من الإجراءات في قاعدة واحدة، ويمكنك اختيار الترتيب الذي سيتم تشغيلها به (اطلع أدناه). يمكن تعريف الإجراءات التالية باستخدام قواعد التنفيذ التلقائي، دون الحاجة إلىالوظائف المتقدمة لدليل المبادئ:

    • إضافة مهمة إلى حادث - يمكنك إنشاء قائمة مراجعة للمهام للمحللين لمتابعة جميع عمليات فرز الحدث والتحقيق فيه ومعالجته، لضمان عدم تفويت أي خطوات هامة.

    • تغيير حالة الأحداث، الحفاظ على سير عملك محدثاً.

    • تغيير خطورة الأحداث - يمكنك إعادة تقييم الكيانات وإعادة ترتيبها استناداً إلى وجودها أو مشاركتها في الحدث أو غيابها أو قيمها أو سماتها.

    • تعيين الأحداث لمالك - يساعدك هذا في توجيه أنواع الأحداث إلى الموظفين الأنسب للتعامل معها، أو إلى أكثر الموظفين إتاحة.

    • إضافة العلامات إلى الأحداث - يفيد هذا في تصنيف الأحداث حسب الموضوع أو المهاجم أو أي قاسم مشترك آخر.

    كما يمكنك تحديد الإجراءات لتشغيل دليل المبادئ، من أجل اتخاذ إجراءات استجابة أكثر تعقيداً، بما في ذلك أي إجراء يشمل أنظمة خارجية. تعتمد أدلة المبادئ المتوفرة لاستخدامها في قاعدة التشغيل التلقائي على المشغل الذي تستند إليه أدلة المبادئ و قاعدة التشغيل التلقائي: يمكن تشغيل أدلة مبادئ مشغل الحدث فقط من قواعد التشغيل التلقائي لمشغل الحوادث، ويمكن تشغيل أدلة مبادئ مشغل التنبيه فقط من قواعد التشغيل التلقائي لمشغل التنبيه. يمكنك تحديد إجراءات متعددة تستدعي أدلة المبادئ أو مجموعات من أدلة المبادئ والإجراءات الأخرى. سيتم تشغيل الإجراءات بالترتيب الذي يتم سردها به في القاعدة.

    ستتوفر أدلة المبادئ التي تستخدم أي إصدار من Azure Logic Apps (قياسي أو استهلاكي) للتشغيل من قواعد التشغيل التلقائي.

    تاريخ انتهاء الصلاحية

    يمكنك تحديد تاريخ انتهاء الصلاحية على قاعدة تلقائية. سيتم تعطيل القاعدة بعد ذلك التاريخ. ويعد ذلك مفيداً لمعالجة (أي إغلاق) لأحداث "التشويش" الناجمة عن الأنشطة المخطط لها والمقيدة زمنياً مثل اختبار الاختراق.

    الأمر

    يمكنك تحديد الترتيب الذي سيتم تشغيل قواعد تلقائية. ستعمل قواعد التنفيذ التلقائي اللاحقة على تقييم شروط الأحداث وفقاً لحالتها بعد أن يتم التصرف بناءً على قواعد التنفيذ التلقائي السابقة.

    على سبيل المثال، إذا غيرت "قاعدة التنفيذ التلقائي الأولى" خطورة الحدث من متوسط إلى منخفض، وتم تعريف "قاعدة التنفيذ التلقائي الثانية" للتشغيل فقط على الأحداث ذات الخطورة المتوسطة أو الأعلى، فلن يتم تشغيلها على هذا الحدث.

    يحدد ترتيب قواعد الأتمتة التي تضيف مهام الحوادث الترتيب الذي ستظهر به المهام في حادث معين.

    القواعد المستندة إلى مشغل التحديث لها قائمة انتظار منفصلة خاصة بها. إذا تم تشغيل مثل هذه القواعد للتشغيل في حادث تم إنشاؤه للتو (من تغيير تم إجراؤه بواسطة قاعدة أتمتة أخرى)، فلن يتم تشغيلها إلا بعد تشغيل كافة القواعد القابلة للتطبيق بناءً على مشغل الإنشاء.

    ملاحظات حول ترتيب التنفيذ والأولوية

    • تعيين رقم الطلب في قواعد التنفيذ التلقائي يحدد ترتيب تنفيذها.
    • يحتفظ كل نوع مشغل بقائمة الانتظار الخاصة به.
    • بالنسبة للقواعد التي تم إنشاؤها في مدخل Microsoft Azure، سيتم ملء حقل الطلب تلقائيا بالرقم الذي يتبع أعلى رقم تستخدمه القواعد الموجودة من نفس نوع المشغل.
    • ومع ذلك، بالنسبة للقواعد التي تم إنشاؤها بطرق أخرى (سطر الأوامر وواجهة برمجة التطبيقات وما إلى ذلك)، يجب تعيين رقم الطلب يدويا.
    • لا توجد آلية تحقق تمنع قواعد متعددة من الحصول على نفس رقم الطلب، حتى ضمن نفس نوع المشغل.
    • يمكنك السماح لقاعدةين أو أكثر من نفس نوع المشغل بأن يكون لها نفس رقم الطلب، إذا كنت لا تهتم بالترتيب الذي يتم تشغيله فيه.
    • بالنسبة للقواعد من نفس نوع المشغل مع نفس رقم الطلب، يحدد محرك التنفيذ عشوائيا القواعد التي سيتم تشغيلها في أي ترتيب.
    • بالنسبة لقواعد أنواع مشغلات الحوادث المختلفة، سيتم تشغيل جميع القواعد المعمول بها مع نوع مشغل إنشاء الحدث أولا (وفقا لأرقام الطلبات الخاصة بهم)، ثم فقط القواعد مع نوع مشغل تحديث الحدث (وفقا لأرقام الطلبات الخاصة بهم).
    • يتم تشغيل القواعد دائما بشكل تسلسلي، لا بالتوازي أبدا.

    إشعار

    بعد الإلحاق بالنظام الأساسي لعمليات الأمان الموحدة، إذا تم إجراء تغييرات متعددة على نفس الحدث في فترة تتراوح بين خمس وعشر دقائق، يتم إرسال تحديث واحد إلى Microsoft Sentinel، مع أحدث تغيير فقط.

    السيناريوهات وحالات الاستخدام الشائعة

    مهام الحوادث

    تسمح لك قواعد التشغيل التلقائي بتوحيد وإضفاء الطابع الرسمي على الخطوات المطلوبة لفرز الحوادث والتحقيق فيها ومعالجتها، من خلال إنشاء مهام يمكن تطبيقها على حادث واحد، أو عبر مجموعات من الحوادث، أو على جميع الحوادث، وفقا للشروط التي حددتها في قاعدة الأتمتة ومنطق الكشف عن التهديدات في قواعد التحليلات الأساسية. تظهر المهام المطبقة على حدث ما في صفحة الحدث، بحيث يكون لدى محلليك قائمة كاملة بالإجراءات التي يحتاجون إلى اتخاذها، مباشرة أمامهم، ولن يفوتهم أي خطوات هامة.

    التشغيل التلقائي للحوادث والتنبيه

    يمكن تشغيل قواعد الأتمتة عن طريق إنشاء أو تحديث الحوادث وأيضا عن طريق إنشاء التنبيهات. يمكن لجميع هذه التكرارات تشغيل سلاسل الاستجابة التلقائية، والتي يمكن أن تتضمن أدلة المبادئ (مطلوب أذونات خاصة).

    تشغيل أدلة المبادئ لموفر خدمة Microsoft

    توفر القواعد التلقائية طريقة لآلية معالجة تنبيهات أمان Microsoft من خلال تطبيق هذه القواعد على الحوادث التي تم إنشاؤها من التنبيهات. يمكن لقواعد التشغيل التلقائي استدعاء أدلة المبادئ (الأذونات الخاصة مطلوبة) وتمرير الحوادث إليها بكافة تفاصيلها، بما في ذلك التنبيهات والكيانات. بشكل عام، تملي أفضل ممارسات Microsoft Azure Sentinel استخدام قائمة انتظار الحوادث كنقطة محورية لعمليات الأمان.

    تشمل تنبيهات تأمين Microsoft ما يلي:

    • Microsoft Entra ID Protection
    • Microsoft Defender للسحابة
    • تطبيقات Microsoft Defender للسحابة
    • Microsoft Defender for Office 365
    • Microsoft Defender لنقطة النهاية
    • Microsoft Defender for Identity
    • Microsoft Defender لإنترنت الأشياء

    أدلة المبادئ/ الإجراءات المتعددة المتسلسلة في قاعدة واحدة

    يمكنك الآن التحكم بشكل شبه كامل في ترتيب تنفيذ الإجراءات وأدلة المبادئ في قاعدة أتمتة واحدة. يمكنك أيضًا التحكم في ترتيب تنفيذ قواعد الأتمتة نفسها. يتيح لك ذلك تبسيط أدلة المبادئ الخاصة بك إلى حد كبير، وتقليلها إلى مهمة واحدة أو سلسلة صغيرة ومباشرة من المهام، ودمج أدلة المبادئ الصغيرة هذه في مجموعات مختلفة في قواعد أتمتة مختلفة.

    قم بتعيين دليل مبادئ واحد لقواعد تحليلات متعددة في وقت واحد

    إذا كانت لديك مهمة تريد أتمتة جميع قواعد التحليلات الخاصة بك - على سبيل المثال، إنشاء بطاقة دعم في نظام تذاكر خارجي - يمكنك تطبيق دليل واحد على أي من قواعد التحليلات الخاصة بك أو جميعها - بما في ذلك أي قواعد مستقبلية - في ضربة واحدة. هذا يجعل مهام الصيانة والتدبير المنزلي البسيطة ولكن المتكررة أقل بكثير من العمل الروتيني.

    التعيين التلقائي للأحداث

    يمكنك تعيين الأحداث للمالك الصحيح تلقائيًا. إذا كان لدى SOC الخاص بك محلل متخصص في نظام أساسي معين، فيمكن تعيين أي حوادث متعلقة بهذا النظام الأساسي تلقائيًا إلى هذا المحلل.

    منع الحدث

    يمكنك استخدام القواعد لحل الحوادث التي تُعرف بإيجابيات خاطئة/سليمة تلقائيًا دون استخدام دليل المبادئ. على سبيل المثال، عند تشغيل اختبارات الاختراق أو إجراء الصيانة المجدولة أو الترقيات أو إجراءات التنفيذ التلقائي للاختبار، قد يتم إنشاء العديد من الحوادث الإيجابية الخاطئة التي تريد SOC تجاهلها. يمكن لقاعدة أتمتة محدودة الوقت إغلاق هذه الحوادث تلقائيًا عند إنشائها، مع وضع علامة عليها بواصف سبب إنشائها.

    آلية محدودة الوقت

    يمكنك إضافة تواريخ انتهاء الصلاحية للقواعد التلقائية الخاصة بك. قد تكون هناك حالات أخرى غير منع الحوادث التي تتطلب أتمتة محدودة زمنيا. قد ترغب في تعيين نوع معين من الحوادث لمستخدم معين (على سبيل المثال، متدرب أو مستشار) لإطار زمني محدد. إذا كان الإطار الزمني معروفًا مسبقًا، فيمكنك التسبب في تعطيل القاعدة بشكل فعال في نهاية مدى ملاءمتها، دون الحاجة إلى تذكر القيام بذلك.

    وضع علامة تلقائياً على الحدث

    يمكنك إضافة علامات النص الحر تلقائيًا إلى الحدث لتجميعها أو تصنيفها وفقًا لأي معايير تختارها.

    تمت إضافة حالات الاستخدام من قِبل مشغل التحديث

    الآن وقد أدت التغييرات التي تم إجراؤها على الحوادث إلى تشغيل قواعد تلقائية، فإن المزيد من السيناريوهات مفتوحة للآلية.

    توسيع الآلية عند تطور الحدث

    يمكنك استخدام مشغل التحديث لتطبيق العديد من حالات الاستخدام المذكورة أعلاه على الحدث أثناء تقدم التحقيق ويضيف المحللون التنبيهات والتعليقات والعلامات. تجميع تنبيه التحكم في الحدث.

    تحديث التزامن والإخطار

    قم بإعلام فرقك المختلفة والموظفين الآخرين عند إجراء تغييرات على الحدث، حتى لا يفوتهم أي تحديثات مهمة. تصعيد الحدث من خلال تعيينه إلى مالكين جدد وإعلام المالكين الجدد بمهامهم. التحكم في وقت وطريقة إعادة فتح الأحداث.

    الحفاظ على التزامن مع الأنظمة الخارجية

    إذا كنت قد استخدمت أدلة المبادئ لإنشاء تذاكر في أنظمة خارجية عند إنشاء الحوادث، فيمكنك استخدام قاعدة التشغيل التلقائي لتشغيل التحديث للاتصال بدليل المبادئ الذي سيقوم بتحديث تلك التذاكر.

    تنفيذ قواعد تلقائية

    يتم تشغيل قواعد التنفيذ التلقائي بالتتابع، وفقاً لـ الأمرالذيتحدده. يتم تنفيذ كل قاعدة التنفيذ التلقائي لـ بعد أن تنتهي القاعدة السابقة من تشغيلها. ضمن قاعدة تلقائية، يتم تشغيل جميع الإجراءات بالتتابع بالترتيب الذي تم تحديدها به.

    قد يتم التعامل مع إجراءات Playbook ضمن قاعدة التنفيذ التلقائي بشكل مختلف في بعض الحالات، وفقا للمعايير التالية:

    وقت تشغيل دليل المبادئ تنتقل قاعدة تلقائية إلى الإجراء التالي...
    أقل من ثانية مباشرة بعد الانتهاء من دليل المبادئ
    أقل من دقيقتين ما يصل إلى دقيقتين بعد بدء تشغيل دليل التشغيل،
    لكن ليس أكثر من 10 ثوانٍ بعد اكتمال دليل المبادئ
    يزيد عن دقيقتين بعد دقيقتين من بدء تشغيل دليل اللعبة،
    بصرف النظر عما إذا كان قد اكتمل أم لا

    أذونات قواعد التشغيل التلقائي لتشغيل دليل المبادئ

    عند تشغيل قاعدة التشغيل الآلي لـ Microsoft Azure Sentinel، فإنها تستخدم حساب خدمة Azure Sentinel خاصًا مرخصًا بشكل خاص لهذا الإجراء. يؤدي استخدام هذا الحساب (بدلا من حساب المستخدم الخاص بك) إلى زيادة مستوى أمان الخدمة.

    لكي تقوم قاعدة التشغيل التلقائي بتشغيل دليل المبادئ، يجب منح هذا الحساب أذونات صريحة لمجموعة الموارد حيث يوجد دليل المبادئ. عند هذه النقطة، ستكون أي قاعدة أتمتة قادرة على تشغيل أي دليل مبادئ في مجموعة الموارد هذه.

    عند تكوين قاعدة تلقائية وإضافة إجراء دليل المبادئستظهر قائمة منسدلة بأدلة المبادئ. ستظهر أدلة المبادئ التي لا يمتلك Microsoft Azure Sentinel أذونات لها على أنها غير متوفرة («رمادية اللون»). يمكنك منح إذن Microsoft Azure Sentinel لمجموعات موارد أدلة المبادئ على الفور من خلال تحديد الارتباط إدارة أذونات دليل المبادئ. لمنح هذه الأذونات، ستحتاج لأذوناتالمالكعلى مجموعات الموارد هذه. انظر متطلبات الأذونات الكاملة.

    الأذونات في بنية متعددة المستأجرين

    تدعم قواعد الأتمتة بشكل كامل مساحة العمل المشتركة والنشرات متعددة المستأجرين (في حالة تعدد المستأجرين، باستخدام Azure Lighthouse).

    لذلك، إذا كان توزيع Microsoft Sentinel الخاص بك يستخدم بنية متعددة المستأجرين، يمكن أن يكون لديك قاعدة أتمتة في مستأجر واحد يقوم بتشغيل دليل المبادئ الذي يعيش في مستأجر مختلف، ولكن يجب تعريف أذونات Sentinel لتشغيل أدلة المبادئ في المستأجر حيث توجد أدلة المبادئ، وليس في المستأجر حيث يتم تعريف قواعد التنفيذ التلقائي.

    في الحالة المحددة لمزود خدمة الأمان المُدار (MSSP)، إذ يدير مستأجر مزود الخدمة مساحة عمل Microsoft Azure Sentinel في مستأجر عميل، هناك سيناريوهان خاصان يستدعي انتباهك:

    • يتم تكوين قاعدة أتمتة تم إنشاؤها في مستأجر العميل من أجل تشغيل دليل المبادئ الموجود في مستأجر موفر الخدمة.

      يتم استخدام هذا النهج عادة لحماية الملكية الفكرية في دليل المبادئ. لا يوجد شيء خاص مطلوب لهذا السيناريو للعمل. عند تعريف إجراء دليل المبادئ في قاعدة التشغيل التلقائي، وتصل إلى المرحلة التي تمنح فيها أذونات Microsoft Azure Sentinel على مجموعة الموارد ذات الصلة حيث يوجد دليل المبادئ (باستخدام لوحةإدارة أذونات دليل المبادئ)، سترى مجموعات الموارد التي تنتمي إلى مستأجر موفر الخدمة من بين تلك التي يمكنك الاختيار من بينها. انظر العملية بأكملها المخططة تفصيلياً هنا.

    • تم تكوين قاعدة تلقائية التي تم إنشاؤها في مساحة عمل العميل (أثناء تسجيل الدخول إلى مستأجر مزود الخدمة) لتشغيل دليل المبادئ الموجود في مستأجر العميل.

      يتم استخدام هذا التكوين عندما لا تكون هناك حاجة لحماية الملكية الفكرية. لكي يعمل هذا السيناريو، فيجب منح أذونات تنفيذ دليل المبادئ إلى Microsoft Azure Sentinel في كلا المستأجرين. يمكنك في مستأجر العميل أن تمنحهم في لوحة«إدارة أذونات دليل المبادئ»كما هو الحال في السيناريو العادي متعدد المستأجرين. أنت في حاجة لمنح الأذونات ذات الصلة في مستأجر موفر الخدمة، إلى إضافة تفويض Azure Lighthouse إضافي يمنح حقوق الوصول إلى تطبيق Azure Security Insights مع دور Microsoft Sentinel Automation Contributor في مجموعة الموارد التي يوجد بها دليل المبادئ.

      السيناريو يبدو كالتالي:

      بنية قاعدة تلقائية متعددة المستأجرين

      انظرإرشاداتنامن أجل إعداد هذا.

    إنشاء قواعد التنفيذ التلقائي وإدارتها

    يمكنك إنشاء قواعد الأتمتة وإدارتها من مناطق مختلفة في Microsoft Sentinel أو النظام الأساسي لعمليات الأمان الموحدة، اعتمادا على حاجتك وحالة الاستخدام الخاصة بك.

    • صفحة التنفيذ التلقائي

      يمكن إدارة قواعد التنفيذ التلقائي مركزيا في صفحة Automation ، ضمن علامة التبويب Automation rules . من هناك، يمكنك إنشاء قواعد أتمتة جديدة وتحرير القواعد الموجودة. كما يمكنك سحب قواعد التنفيذ التلقائي لتغيير ترتيب التنفيذ وتمكينها أو تعطيلها.

      في صفحة التنفيذ التلقائي ، سترى جميع القواعد المحددة على مساحة العمل، إلى جانب حالتها (ممكن/معطل) وقواعد التحليلات التي يتم تطبيقها عليها.

      عندما تحتاج إلى قاعدة أتمتة تنطبق على الحوادث من Microsoft Defender XDR، أو من العديد من قواعد التحليلات في Microsoft Sentinel، قم بإنشائها مباشرة في صفحة التنفيذ التلقائي .

    • معالج قاعدة التحليلات

      في علامة تبويب الاستجابة التلقائية لمعالج قاعدة تحليلات Microsoft Sentinel، ضمن قواعد التنفيذ التلقائي، يمكنك عرض قواعد التنفيذ التلقائي وتحريرها وإنشاءها التي تنطبق على قاعدة التحليلات المعينة التي يتم إنشاؤها أو تحريرها في المعالج.

      ستلاحظ أنه عند إنشاء قاعدة التنفيذ التلقائي من هنا، تعرض لوحة إنشاء قاعدة تلقائية جديدةشرط قاعدة التحليلاتعلى أنه غير متوفر، لأن هذه القاعدة معينة بالفعل لتطبيقها فقط على قاعدة التحليلات التي تقوم بتحريرها في المعالج. لا تزال جميع خيارات التكوين الأخرى متوفرة إليك.

    • صفحة الحوادث

      يمكنك أيضا إنشاء قاعدة أتمتة من صفحة الحوادث ، من أجل الاستجابة لحدث متكرر واحد. يعد ذلك مفيداً عند إنشاء قاعدة منع الإغلاقلـ الأحداث :المشوشة: تلقائياً.

      ستلاحظ أنه عند إنشاء قاعدة تلقائية من هنا، قامت لوحة إنشاء قاعدة تلقائية جديدة بتعبئة جميع الحقول بقيم من الحادث. وستعمل على تسمية القاعدة بنفس اسم الحدث، وتطبقها على قاعدة التحليلات التي أنشأت الحدث، وتستخدم جميع الكيانات المتوفرة في الحدث كشروط للقاعدة. كما تقترح إجراء منع (إغلاق) بشكل افتراضي، وتقترح تعيين تاريخ انتهاء صلاحية للقاعدة. يمكنك إضافة الشروط والإجراءات أو إزالتها، وتغيير تاريخ انتهاء الصلاحية كما يحلو لك.

    الخطوات التالية

    في هذا المستند، تعرفت على كيفية مساعدة قواعد الأتمتة في إدارة أتمتة الاستجابة مركزيًا لحوادث وتنبيهات Microsoft Sentinel.