مشاركة عبر

إنشاء مهام الحوادث في Microsoft Sentinel باستخدام قواعد الأتمتة

  • مقالة
  • ينطبق على:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

توضح هذه المقالة كيفية استخدام قواعد الأتمتة لإنشاء قوائم مهام الحوادث، من أجل توحيد عمليات سير عمل المحللين في Microsoft Sentinel.

يمكن إنشاء مهام الحوادث تلقائيا ليس فقط من خلال قواعد الأتمتة، ولكن أيضا بواسطة أدلة المبادئ، وأيضا يدويا، بشكل مخصص، من داخل الحدث.

حالات الاستخدام لأدوار مختلفة

تتناول هذه المقالة السيناريوهات التالية التي تنطبق على مديري SOC وكبار المحللين ومهندسي الأتمتة:

تتم معالجة سيناريو آخر من هذا القبيل في المقالة المصاحبة التالية:

تتناول مقالة أخرى، في الارتباطات التالية، السيناريوهات التي تطبق المزيد على محللي SOC:

هام

يتوفر Microsoft Sentinel كجزء من النظام الأساسي لعمليات الأمان الموحدة في مدخل Microsoft Defender. يتم الآن دعم Microsoft Sentinel في مدخل Defender لاستخدام الإنتاج. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

المتطلبات الأساسية

دور مستجيب Microsoft Sentinel مطلوب لإنشاء قواعد التشغيل التلقائي ولعرض الحوادث وتحريرها، وكلاهما ضروري لإضافة المهام وعرضها وتحريرها.

عرض قواعد الأتمتة مع إجراءات مهمة الحدث

في صفحة التنفيذ التلقائي ، يمكنك تصفية طريقة عرض قواعد التنفيذ التلقائي لمشاهدة القواعد التي تم تعريفها فقط إضافة إجراءات مهمة .

لقطة شاشة توضح كيفية تصفية شبكة قواعد التشغيل التلقائي.

  1. حدد عامل تصفية الإجراءات .

  2. قم بإلغاء تحديد خانة الاختيار تحديد الكل .

  3. قم بالتمرير لأسفل ووضع علامة على خانة الاختيار إضافة مهمة .

  4. حدد موافق واطلع على النتائج.

    لقطة شاشة تعرض نتائج عامل التصفية على شبكة قواعد التشغيل التلقائي.

    هذه هي قواعد التشغيل التلقائي التي تضيف المهام إلى الحوادث. يخبرك عمود أسماء قواعد التحليلات بقواعد التحليلات التي تخضع لها قواعد الأتمتة هذه، لذلك سيكون لديك فكرة عامة عن الحوادث المتأثرة.

    إشعار

    للحصول على معرفة دقيقة بما إذا كانت قاعدة التنفيذ التلقائي ستنطبق على حدث معين، يجب فتح القاعدة لمعرفة ما إذا تم تحديد أي شروط إضافية، بالإضافة إلى شرط قاعدة التحليلات. إذا تم تحديد شروط أخرى، فسيتم تضييق نطاق الحوادث المتأثرة وفقا لذلك.

إضافة مهام إلى الحوادث باستخدام قواعد التشغيل التلقائي

  1. في صفحة Automation ، حدد + Create وحدد Automation rule.

  2. سيتم فتح لوحة إنشاء قاعدة أتمتة جديدة على الجانب الأيمن.
    امنح قاعدة التشغيل التلقائي اسما يصف ما تفعله.

  3. حدد When incident is created as the trigger (يمكنك أيضا استخدام When incident is updated).

  4. أضف الشروط لتحديد الحوادث التي ستتم إضافة مهام جديدة إليها.

    على سبيل المثال، تصفية حسب اسم قاعدة التحليلات:

    • قد ترغب في إضافة مهام إلى الحوادث استنادا إلى أنواع التهديدات التي تم اكتشافها بواسطة قاعدة تحليلات أو مجموعة من قواعد التحليلات التي تحتاج إلى التعامل معها وفقا لسير عمل معين. ابحث عن قواعد التحليلات ذات الصلة وحددها من القائمة المنسدلة.

    • أو، قد تحتاج إلى إضافة مهام ذات صلة بالحوادث عبر جميع أنواع التهديدات (في هذه الحالة، اترك التحديد الافتراضي للكل كما هو).

    في كلتا الحالتين، يمكنك إضافة المزيد من الشروط لتضييق نطاق الحوادث التي سيتم تطبيق قاعدة التنفيذ التلقائي عليها. تعرف على المزيد حول إضافة شروط متقدمة إلى قواعد التشغيل التلقائي.

    شيء واحد ستحتاج إلى مراعاته هو أن الترتيب الذي تظهر به المهام في الحادث الخاص بك يتم تحديده من خلال وقت إنشاء المهام. يمكنك تعيين ترتيب قواعد الأتمتة بحيث يتم تشغيل القواعد التي تضيف المهام المطلوبة لجميع الحوادث أولا، وبعد ذلك فقط أي قواعد تضيف المهام المطلوبة للحوادث التي تم إنشاؤها بواسطة قواعد تحليلات معينة.

    لقطة شاشة للجزء الأول من معالج قاعدة التنفيذ التلقائي.

  5. ضمن إجراءات، حدد إضافة مهمة.

    لقطة شاشة لاختيار إجراء إضافة مهمة في قاعدة التنفيذ التلقائي.

  6. لكل مهمة، أدخل عنوانا في حقل عنوان المهمة، ثم (اختياريا) حدد + إضافة وصف لفتح حقل وصف.
    تظهر عناوين المهام فقط بشكل افتراضي في لوحة قائمة مهام الحدث. يظهر وصف المهمة فقط عند توسيع عنصر المهمة.

    لقطة شاشة توضح كيفية إضافة عنوان ووصف إلى مهمة.

  7. في حقل الوصف، يمكنك إضافة وصف حر للمهمة، بما في ذلك الصور والارتباطات وتنسيق النص المنسق (راجع الارتباطات التشعبية والقوائم ذات التعداد الرقمي والنص المنسق بحظر التعليمات البرمجية في الأمثلة أدناه).

    لقطة شاشة توضح كيفية إضافة وصف إلى مهمة.

  8. أضف المزيد من المهام إلى نفس مجموعة الحوادث عن طريق تحديد + إضافة إجراء وتكرار الخطوات الثلاث الأخيرة.

    سيتم إنشاء المهام وإضافتها إلى الحدث وفقا لترتيب إضافة إجراءات المهمة في قاعدة التنفيذ التلقائي.

    لقطة شاشة توضح كيفية إضافة المزيد من المهام إلى قاعدة التنفيذ التلقائي.

  9. قم بإنهاء إنشاء قاعدة التنفيذ التلقائي عن طريق إكمال الخطوات المتبقية، وانتهاء صلاحية القاعدة وترتيبها، وتحديد تطبيق في النهاية. راجع إنشاء قواعد أتمتة Microsoft Sentinel واستخدامها لإدارة الاستجابة للحصول على التفاصيل الكاملة.

    فيما يتعلق بإعداد الطلب : يعتمد الترتيب الذي تظهر به المهام في الحوادث على أمرين:

    1. ترتيب تنفيذ قواعد التنفيذ التلقائي، كما هو محدد من قبل الرقم في إعداد الطلب ، و...
    2. ترتيب إضافة إجراءات المهمة المعرفة داخل كل قاعدة أتمتة.

الخطوات التالية