مشاركة عبر

البرنامج التعليمي: التحقق من معلومات سمعة عنوان IP وتسجيلها تلقائيا في الحوادث

  • مقالة
  • ينطبق على:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

تتمثل إحدى الطرق السريعة والسهلة لتقييم خطورة الحادث في معرفة ما إذا كانت أي عناوين IP فيه معروفة بأنها مصادر للنشاط الضار. إن وجود طريقة للقيام بذلك تلقائيا يمكن أن يوفر لك الكثير من الوقت والجهد.

في هذا البرنامج التعليمي، ستتعلم كيفية استخدام قواعد التشغيل التلقائي ل Microsoft Sentinel ودلائل المبادئ للتحقق تلقائيا من عناوين IP في حوادثك ضد مصدر معلومات التهديد وتسجيل كل نتيجة في الحادث ذي الصلة.

عند إكمال هذا البرنامج التعليمي، ستتمكن من:

  • إنشاء دليل مبادئ من قالب
  • تكوين اتصالات دليل المبادئ بالموارد الأخرى وتخويلها
  • إنشاء قاعدة أتمتة لاستدعاء دليل المبادئ
  • الاطلاع على نتائج العملية التلقائية

هام

يتوفر Microsoft Sentinel كجزء من النظام الأساسي لعمليات الأمان الموحدة في مدخل Microsoft Defender. يتم الآن دعم Microsoft Sentinel في مدخل Defender لاستخدام الإنتاج. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

المتطلبات الأساسية

لإكمال هذا البرنامج التعليمي، تأكد من أن لديك ما يلي:

  • اشتراك Azure. أنشئ حسابا مجانيا إذا لم يكن لديك حساب بالفعل.

  • مساحة عمل Log Analytics مع حل Microsoft Sentinel المنشور عليها والبيانات التي يتم استيعابها فيها.

  • مستخدم Azure مع الأدوار التالية المعينة على الموارد التالية:

    • Microsoft Sentinel Contributor على مساحة عمل Log Analytics حيث يتم نشر Microsoft Sentinel.
    • Logic App Contributor، والمالكأو ما يعادله، على أي مجموعة موارد ستحتوي على دليل المبادئ الذي تم إنشاؤه في هذا البرنامج التعليمي.

  • سيكون حساب VirusTotal (مجاني) كافيا لهذا البرنامج التعليمي. يتطلب تنفيذ الإنتاج حساب VirusTotal Premium.

إنشاء دليل مبادئ من قالب

يتضمن Microsoft Sentinel قوالب دليل المبادئ الجاهزة الجاهزة التي يمكنك تخصيصها واستخدامها لأتمتة عدد كبير من أهداف وسيناريوهات SecOps الأساسية. دعونا نجد واحدا لإثراء معلومات عنوان IP في حوادثنا.

  1. بالنسبة إلى Microsoft Sentinel في مدخل Microsoft Azure، حدد صفحة Configuration>Automation. بالنسبة إلى Microsoft Sentinel في مدخل Defender، حدد Microsoft Sentinel>Configuration>Automation.

  2. من صفحة Automation، حدد علامة التبويب Playbook templates (Preview).

  3. تصفية قائمة القوالب حسب العلامة:

    1. حدد تبديل عامل تصفية العلامات في أعلى القائمة (على يمين حقل البحث).

    2. قم بإلغاء تحديد خانة الاختيار تحديد الكل ، ثم ضع علامة على خانة الاختيار الإثراء . حدد موافق.

    على سبيل المثال:

    لقطة شاشة لقائمة قوالب دليل المبادئ التي سيتم تصفيتها حسب العلامات.

  4. حدد قالب تقرير IP Enrichment - Virus Total، وحدد Create playbook من جزء التفاصيل.

    لقطة شاشة لتحديد قالب دليل المبادئ لإنشاء دليل مبادئ منه.

  5. سيتم فتح معالج إنشاء دليل المبادئ. في علامة التبويب Basics:

    1. حدد الاشتراك ومجموعة الموارد والمنطقة من القوائم المنسدلة الخاصة بها.

    2. قم بتحرير اسم Playbook عن طريق إضافة إلى نهاية الاسم المقترح "Get-VirusTotalIPReport". (بهذه الطريقة ستتمكن من معرفة القالب الأصلي الذي جاء منه دليل المبادئ هذا، مع التأكد من أنه يحتوي على اسم فريد في حالة رغبتك في إنشاء دليل مبادئ آخر من هذا القالب نفسه.) دعونا نسميها "Get-VirusTotalIPReport-Tutorial-1".

    3. لنترك خانتي الاختيار الأخيرتين دون علامة كما هي، حيث لا نحتاج إلى هذه الخدمات في هذه الحالة:

      • تمكين سجلات التشخيص في Log Analytics
      • إقران ببيئة خدمة التكامل

      لقطة شاشة لعلامة التبويب Basics من معالج إنشاء دليل المبادئ.

    4. حدد Next : Connections >.

  6. في علامة التبويب الاتصال ions، سترى جميع الاتصالات التي يحتاج دليل المبادئ هذا إلى إجراؤها إلى خدمات أخرى، وطريقة المصادقة التي سيتم استخدامها إذا تم إجراء الاتصال بالفعل في سير عمل Logic App موجود في نفس مجموعة الموارد.

    1. اترك اتصال Microsoft Sentinel كما هو (يجب أن يقول "الاتصال بهوية مدارة").

    2. إذا كانت أي اتصالات تقول "سيتم تكوين اتصال جديد"، فستتم مطالبتك بذلك في المرحلة التالية من البرنامج التعليمي. أو، إذا كان لديك بالفعل اتصالات بهذه الموارد، فحدد سهم الموسع إلى يسار الاتصال واختر اتصالا موجودا من القائمة الموسعة. لهذا التمرين، سنتركه كما هو.

      لقطة شاشة لعلامة تبويب الاتصال من معالج إنشاء دليل المبادئ.

    3. حدد Next : Review and create >.

  7. في علامة التبويب مراجعة وإنشاء ، راجع جميع المعلومات التي أدخلتها كما يتم عرضها هنا، وحدد إنشاء ومتابعة المصمم.

    لقطة شاشة لعلامة التبويب مراجعة وإنشاء من معالج إنشاء دليل المبادئ.

    عند نشر دليل المبادئ، سترى سلسلة سريعة من الإعلامات حول تقدمه. ثم سيتم فتح مصمم تطبيق المنطق مع عرض دليل المبادئ الخاص بك. ما زلنا بحاجة إلى تخويل اتصالات تطبيق المنطق بالموارد التي يتفاعل معها بحيث يمكن تشغيل دليل المبادئ. ثم سنراجع كل إجراء من الإجراءات في دليل المبادئ للتأكد من أنها مناسبة للبيئة الخاصة بنا، وإجراء التغييرات إذا لزم الأمر.

    لقطة شاشة ل playbook مفتوحة في نافذة مصمم تطبيق المنطق.

تخويل اتصالات تطبيق المنطق

تذكر أنه عندما أنشأنا دليل المبادئ من القالب، قيل لنا إنه سيتم تكوين اتصالات جامع بيانات Azure Log Analytics وإجمالي الفيروسات لاحقا.

لقطة شاشة لمعلومات المراجعة من معالج إنشاء دليل المبادئ.

هنا حيث نفعل ذلك.

تخويل اتصال إجمالي الفيروسات

  1. حدد لكل إجراء لتوسيعه ومراجعة محتوياته (الإجراءات التي سيتم تنفيذها لكل عنوان IP).

    لقطة شاشة لإجراء عبارة التكرار الحلقي لكل في مصمم تطبيق المنطق.

  2. يسمى عنصر الإجراء الأول الذي تراه الاتصال ions ويحتوي على مثلث تحذير برتقالي.

    (إذا كان بدلا من ذلك، يتم تسمية هذا الإجراء الأولاحصل على تقرير IP (معاينة) ، وهذا يعني أن لديك بالفعل اتصالا موجودا بإجمالي الفيروسات ويمكنك الانتقال إلى الخطوة التالية.)

    1. حدد إجراء الاتصال ions لفتحه.

    2. حدد الأيقونة في العمود غير صالح للاتصال المعروض.

      لقطة شاشة لتكوين اتصال إجمالي الفيروسات غير صالح.

      ستتم مطالبتك بمعلومات الاتصال.

      لقطة شاشة توضح كيفية إدخال مفتاح API وتفاصيل الاتصال الأخرى لإجمالي الفيروسات.

    3. أدخل "إجمالي الفيروسات" كاسم الاتصال.

    4. بالنسبة إلى x-api_key، انسخ والصق مفتاح API من حساب إجمالي الفيروسات.

    5. حدد تحديث.

    6. الآن سترى إجراء الحصول على تقرير IP (معاينة) بشكل صحيح. (إذا كان لديك حساب إجمالي الفيروسات بالفعل، فسوف تكون بالفعل في هذه المرحلة.)

      تظهر لقطة الشاشة الإجراء لإرسال عنوان IP إلى إجمالي الفيروسات لتلقي تقرير عنه.

تخويل اتصال Log Analytics

الإجراء التالي هو شرط يحدد بقية إجراءات الحلقة لكل حلقة استنادا إلى نتيجة تقرير عنوان IP. يحلل درجة السمعة المعطاة لعنوان IP في التقرير. تشير الدرجة الأعلى من 0 إلى أن العنوان غير ضار؛ تشير الدرجة الأقل من 0 إلى أنها ضارة.

لقطة شاشة لإجراء الشرط في مصمم تطبيق المنطق.

سواء كان الشرط صحيحا أو خاطئا، نريد إرسال البيانات في التقرير إلى جدول في Log Analytics بحيث يمكن الاستعلام عنها وتحليلها، وإضافة تعليق إلى الحدث.

ولكن كما سترى، لدينا المزيد من الاتصالات غير الصالحة التي نحتاج إلى تخويلها.

لقطة شاشة تعرض سيناريوهات صحيحة وخطأ للشرط المحدد.

  1. حدد إجراء الاتصال ions في الإطار True.

  2. حدد الأيقونة في العمود غير صالح للاتصال المعروض.

    لقطة شاشة لتكوين اتصال Log Analytics غير صالح.

    ستتم مطالبتك بمعلومات الاتصال.

    توضح لقطة الشاشة كيفية إدخال معرف مساحة العمل وتفاصيل المفتاح وغيرها من تفاصيل الاتصال ل Log Analytics.

  3. أدخل "Log Analytics" كاسم الاتصال ion.

  4. بالنسبة إلى مفتاح مساحة العمل ومعرف مساحة العمل، انسخ والصق المفتاح والمعرف من إعدادات مساحة عمل Log Analytics. يمكن العثور عليها في صفحة إدارة الوكلاء، داخل موسع إرشادات عامل Log Analytics.

  5. حدد تحديث.

  6. سترى الآن إجراء إرسال البيانات بشكل صحيح. (إذا كان لديك بالفعل اتصال Log Analytics من Logic Apps، فسوف تكون بالفعل في هذه المرحلة.)

    تظهر لقطة الشاشة الإجراء لإرسال سجل تقرير إجمالي الفيروسات إلى جدول في Log Analytics.

  7. الآن حدد الإجراء الاتصال ions في الإطار False. يستخدم هذا الإجراء نفس الاتصال الموجود في الإطار True.

  8. تحقق من وضع علامة على الاتصال المسمى Log Analytics ، وحدد Cancel. وهذا يضمن أن الإجراء سيتم عرضه الآن بشكل صحيح في دليل المبادئ.

    لقطة شاشة لتكوين اتصال Log Analytics غير صالح ثان.

    الآن سترى دليل المبادئ بأكمله، تم تكوينه بشكل صحيح.

  9. مهم جدا! لا تنس تحديد حفظ في الجزء العلوي من نافذة مصمم تطبيق المنطق. بعد مشاهدة رسائل الإعلام التي تفيد بحفظ دليل المبادئ بنجاح، سترى دليل المبادئ مدرجا في علامة التبويب أدلة المبادئ النشطة* في صفحة التنفيذ التلقائي .

انشأ قاعدة أتمتة

الآن، لتشغيل دليل المبادئ هذا فعليا، ستحتاج إلى إنشاء قاعدة أتمتة سيتم تشغيلها عند إنشاء الحوادث واستدعاء دليل المبادئ.

  1. من صفحة Automation، حدد + Create من الشعار العلوي. من القائمة المنسدلة، حدد Automation rule.

    لقطة شاشة لإنشاء قاعدة أتمتة من صفحة التنفيذ التلقائي.

  2. في لوحة إنشاء قاعدة أتمتة جديدة، قم بتسمية القاعدة "البرنامج التعليمي: إثراء معلومات IP".

    لقطة شاشة لإنشاء قاعدة أتمتة، وتسميتها، وإضافة شرط.

  3. ضمن الشروط، حدد + إضافة وشرط (و).

    لقطة شاشة لإضافة شرط إلى قاعدة التنفيذ التلقائي.

  4. حدد عنوان IP من القائمة المنسدلة للخاصية على اليسار. حدد Contains من القائمة المنسدلة للمشغل، واترك حقل القيمة فارغا. وهذا يعني بشكل فعال أن القاعدة ستطبق على الأحداث التي تحتوي على حقل عنوان IP يحتوي على أي شيء.

    لا نريد إيقاف تغطية أي قواعد تحليلات من خلال هذه الأتمتة، لكننا لا نريد أن يتم تشغيل الأتمتة دون داع أيضا، لذلك سنقتصر التغطية على الحوادث التي تحتوي على كيانات عنوان IP.

    لقطة شاشة لتعريف شرط لإضافته إلى قاعدة التنفيذ التلقائي.

  5. ضمن Actions، حدد Run playbook من القائمة المنسدلة.

  6. حدد القائمة المنسدلة الجديدة التي تظهر.

    لقطة شاشة توضح كيفية تحديد دليل المبادئ الخاص بك من قائمة أدلة المبادئ - الجزء 1.

    سترى قائمة بجميع أدلة المبادئ في اشتراكك. تلك الرمادية هي تلك التي لا يمكنك الوصول إليها. في مربع النص Search playbooks ، ابدأ بكتابة الاسم - أو أي جزء من الاسم - ل playbook الذي أنشأناه أعلاه. ستتم تصفية قائمة أدلة المبادئ ديناميكيا مع كل حرف تكتبه.

    لقطة شاشة توضح كيفية تحديد دليل المبادئ الخاص بك من قائمة أدلة المبادئ - الجزء 2.

    عندما ترى دليل المبادئ في القائمة، حدده.

    لقطة شاشة توضح كيفية تحديد دليل المبادئ الخاص بك من قائمة أدلة المبادئ - الجزء 3.

    إذا كان دليل المبادئ رمادي اللون، فحدد الارتباط إدارة أذونات دليل المبادئ (في الفقرة الدقيقة للطباعة أدناه حيث حددت دليل المبادئ - راجع لقطة الشاشة أعلاه). في اللوحة التي تفتح، حدد مجموعة الموارد التي تحتوي على دليل المبادئ من قائمة مجموعات الموارد المتوفرة، ثم حدد تطبيق.

  7. حدد + إضافة إجراء مرة أخرى. الآن، من القائمة المنسدلة الإجراء الجديد الذي يظهر، حدد إضافة علامات.

  8. حدد + إضافة علامة. أدخل "Tutorial-Enriched IP addresses" كنص العلامة وحدد OK.

    لقطة شاشة توضح كيفية إضافة علامة إلى قاعدة التنفيذ التلقائي.

  9. اترك الإعدادات المتبقية كما هي، وحدد تطبيق.

التحقق من الأتمتة الناجحة

  1. في صفحة Incidents ، أدخل نص العلامة Tutorial-Enriched IP addresses في شريط البحث واضغط على مفتاح Enter لتصفية القائمة للحوادث مع تطبيق تلك العلامة. هذه هي الحوادث التي تم تشغيل قاعدة التشغيل الآلي عليها.

  2. افتح أي حدث أو أكثر من هذه الحوادث وتحقق مما إذا كانت هناك تعليقات حول عناوين IP هناك. يشير وجود هذه التعليقات إلى تشغيل دليل المبادئ على الحدث.

تنظيف الموارد

إذا كنت لن تستمر في استخدام سيناريو التشغيل التلقائي هذا، فاحذف دليل المبادئ وقاعدة التشغيل التلقائي التي أنشأتها بالخطوات التالية:

  1. في صفحة Automation ، حدد علامة التبويب Active playbooks .

  2. أدخل اسم (أو جزء من الاسم) لدليل المبادئ الذي أنشأته في شريط البحث .
    (إذا لم تظهر، فتأكد من تعيين أي عوامل تصفية إلى حدد الكل.)

  3. ضع علامة على خانة الاختيار إلى جانب دليل المبادئ في القائمة، وحدد حذف من الشعار العلوي.
    (إذا كنت لا تريد حذفه، يمكنك تحديد تعطيل بدلا من ذلك.)

  4. حدد علامة التبويب Automation rules.

  5. أدخل اسم (أو جزء من الاسم) لقاعدة التنفيذ التلقائي التي أنشأتها في شريط البحث .
    (إذا لم تظهر، فتأكد من تعيين أي عوامل تصفية إلى حدد الكل.)

  6. ضع علامة على خانة الاختيار بجوار قاعدة التنفيذ التلقائي في القائمة، وحدد حذف من الشعار العلوي.
    (إذا كنت لا تريد حذفه، يمكنك تحديد تعطيل بدلا من ذلك.)

الخطوات التالية

الآن بعد أن تعلمت كيفية أتمتة سيناريو إثراء الحدث الأساسي، تعرف على المزيد حول الأتمتة والسيناريوهات الأخرى التي يمكنك استخدامها فيها.