أتمتة الاستجابات ل Microsoft Defender لمشغلات السحابة

  • مقالة
  • قراءة خلال 6 دقائق

يتضمن كل برنامج أمني مهام سير عمل متعددة للاستجابة للحوادث. وقد تشمل هذه العمليات إخطار أصحاب المصلحة ذوي الصلة، وبدء عملية إدارة التغيير، وتطبيق خطوات إصلاحية محددة. يوصي خبراء الأمان بأتمتة أكبر قدر ممكن من خطوات هذه الإجراءات. حيث تقلل الأتمتة من النفقات. كما يمكن أن تحسن الأمان من خلال ضمان أن تتم خطوات العملية بسرعة، وبشكل ثابت، ووفقًا لمتطلباتك المحددة مسبقًا.

توضح هذه المقالة ميزة أتمتة سير العمل من Microsoft Defender for Cloud. يمكن لهذه الميزة تشغيل Logic Apps على تنبيهات الأمان والتوصيات والتغييرات في الامتثال التنظيمي. على سبيل المثال، قد ترغب في أن تراسل Defender for Cloud مستخدماً معيناً بالبريد الإلكتروني عند حدوث تنبيه. ستتعرف أيضا على كيفية إنشاء تطبيقات منطقية باستخدام تطبيقات Azure المنطقية.

التوفر

الجانب التفاصيل
حالة الإصدار: التوافر العام (GA)
التسعير: مجاني
الأدوار والأذونات المطلوبة: دور مسؤول الأمان أو المالك في مجموعة الموارد
يجب أن يكون لديك أيضا أذونات كتابة للمورد الهدف

للعمل مع مهام سير عمل Azure Logic Apps، يجب أن يكون لديك أيضا أدوار/أذونات Logic Apps التالية:
- أذونات مشغل تطبيق المنطق مطلوبة أو الوصول إلى قراءة/تشغيل تطبيق Logic App (لا يمكن لهذا الدور إنشاء تطبيقات منطقية أو تحريرها؛ فقط تشغيل التطبيقات الموجودة)
- أذونات "مساهم تطبيق Logic App" مطلوبة لإنشاء تطبيق Logic وتعديله
إذا كنت ترغب في استخدام موصلات Logic App، فقد تحتاج إلى بيانات اعتماد إضافية لتسجيل الدخول إلى خدماتها الخاصة (على سبيل المثال، مثيلات Outlook/Teams/Slack الخاصة بك)
سحب: ⁩ السحب التجارية
National (Azure Government, Azure China 21Vianet)

إنشاء تطبيق منطق وتحديد متى يجب تشغيله تلقائيًا

  1. من الشريط الجانبي ل Defender for Cloud، حدد أتمتة سير العمل.

    Screenshot of workflow automation page showing the list of defined automations.

    من هذه الصفحة، يمكنك إنشاء قواعد أتمتة جديدة، بالإضافة إلى تمكين القواعد الحالية أو تعطيلها أو حذفها.

  2. لتحديد سير عمل جديد، انقر فوق إضافة أتمتة سير العمل. يتم فتح جزء الخيارات الخاص بالأتمتة الجديدة.

    Add workflow automations pane.

    هنا يمكنك إدخال:

    1. اسم ووصف للأتمتة.

    2. المشغلات التي ستبدأ سير العمل التلقائي هذا. على سبيل المثال، قد ترغب في تشغيل Logic App الخاص بك عند إنشاء تنبيه أمان يحتوي على "SQL".

      ملاحظة

      إذا كان المشغل الخاص بك عبارة عن توصية تحتوي على "توصيات فرعية"، على سبيل المثال يجب معالجة نتائج تقييم الثغرات الأمنية في قواعد بيانات SQL، فلن يتم تشغيل تطبيق المنطق لكل اكتشاف أمان جديد؛ فقط عندما تتغير حالة التوصية الأصلية.

    3. Logic App الذي سيتم تشغيله عند استيفاء شروط المشغل.

  3. من قسم الإجراءات، حدد زيارة صفحة التطبيقات المنطقية لبدء عملية إنشاء تطبيق Logic App.

    سيتم نقلك إلى Azure Logic Apps.

  4. حدد ⁧⁩إضافة⁧⁩.

    Creating a new Logic App.

  5. أدخل اسما ومجموعة موارد وموقعا، وحدد مراجعة وإنشاء>.

    تظهر الرسالة النشر قيد التقدم . انتظر حتى يظهر إعلام اكتمال النشر وحدد الانتقال إلى المورد من الإشعار.

  6. في تطبيق المنطق الجديد، يمكنك الاختيار من بين قوالب مُضمنة، محددة مسبقًا من فئة الأمان. أو يمكنك تحديد تدفق مخصص من الأحداث التي تحدث عند تشغيل هذه العملية.

    تلميح

    في بعض الأحيان في تطبيق منطقي ، يتم تضمين المعلمات في الموصل كجزء من سلسلة وليس في مجالها الخاص. للحصول على مثال حول كيفية استخراج المعلمات، راجع الخطوة #14 من العمل باستخدام معلمات التطبيق المنطقي أثناء إنشاء Microsoft Defender لأتمتة سير العمل في Cloud.

    يدعم مصمم التطبيق المنطقي مشغلات Defender for Cloud التالية:

    • عند إنشاء Microsoft Defender for Cloud Recommendation أو تشغيله - إذا كان تطبيقك المنطقي يعتمد على توصية يتم إهمالها أو استبدالها، فسيتوقف التشغيل التلقائي عن العمل وستحتاج إلى تحديث المشغل. لتعقب التغييرات التي تطرأ على التوصيات، استخدم ملاحظات الإصدار.

    • عند إنشاء Defender for Cloud Alert أو تشغيله - يمكنك تخصيص المشغل بحيث يرتبط فقط بالتنبيهات ذات مستويات الخطورة التي تهمك.

    • عند إنشاء تقييم الامتثال التنظيمي ل Defender for Cloud أو تشغيله - قم بتشغيل عمليات التشغيل الآلي استنادا إلى تحديثات تقييمات الامتثال التنظيمي.

    ملاحظة

    إذا كنت تستخدم المشغل القديم "عند تشغيل استجابة لتنبيه Microsoft Defender for Cloud"، فلن يتم تشغيل تطبيقاتك المنطقية بواسطة ميزة أتمتة سير العمل. بدلا من ذلك ، استخدم أي من المشغلات المذكورة أعلاه.

    Sample logic app.

  7. بعد تحديد تطبيق المنطق، ارجع إلى جزء تعريف أتمتة سير العمل ("Add workflow automation"). انقر فوق تحديث للتأكد من توفر تطبيق Logic الجديد للتحديد.

    Refresh.

  8. حدد تطبيق المنطق الخاص بك واحفظ الأتمتة. لاحظ أن القائمة المنسدلة Logic App تعرض فقط التطبيقات المنطقية مع دعم موصلات Defender for Cloud المذكورة أعلاه.

تشغيل تطبيق Logic يدويا

يمكنك أيضًا تشغيل تطبيقات المنطق يدويًا عند عرض أي تنبيه أو توصية أمنية.

لتشغيل تطبيق Logic يدويا، افتح تنبيها أو توصية وانقر فوق تطبيق Trigger Logic App:

Manually trigger a Logic App.

تكوين أتمتة سير العمل على نطاق واسع باستخدام النهج المرفقة

يمكن أن تؤدي أتمتة عمليات المراقبة والاستجابة للحوادث في مؤسستك إلى تحسين الوقت الذي يستغرقه التحقيق في الحوادث الأمنية والتخفيف من حدتها بشكل كبير.

لنشر تكوينات التشغيل التلقائي عبر مؤسستك، استخدم نهج "DeployIfNotExist" الموصوف أدناه لسياسة Azure الموصوف أدناه لإنشاء إجراءات أتمتة سير العمل وتكوينها.

ابدأ باستخدام قوالب أتمتة سير العمل.

لتنفيذ هذه السياسات:

  1. من الجدول أدناه، حدد السياسة التي تريد تطبيقها:

    هدف النهج معرف السياسة
    أتمتة سير العمل لتنبيهات الأمان نشر أتمتة سير العمل ل Microsoft Defender للتنبيهات السحابية f1525828-9a90-4fcf-be48-268cdd02361e
    أتمتة سير العمل لتوصيات الأمان نشر أتمتة سير العمل ل Microsoft Defender لتوصيات السحابة 73d6ab6c-2475-4850-afd6-43795f3492ef
    أتمتة سير العمل لتغييرات الامتثال التنظيمي نشر أتمتة سير العمل ل Microsoft Defender للتوافق التنظيمي السحابي 509122b9-ddd9-47ba-a5f1-d0dac20be63c

    تلميح

    يمكنك أيضا العثور عليها من خلال البحث في Azure Policy:

    1. افتح سياسة Azure. Accessing Azure Policy.
    2. من قائمة نهج Azure، حدد التعريفات وابحث عنها بالاسم.

  2. من صفحة نهج Azure ذات الصلة، حدد تعيين. Assigning the Azure Policy.

  3. افتح كل علامة تبويب وقم بتعيين المعلمات حسب الرغبة:

    1. في علامة التبويب أساسيات ، قم بتعيين نطاق النهج. لاستخدام الإدارة المركزية، قم بتعيين النهج إلى مجموعة الإدارة التي تحتوي على الاشتراكات التي ستستخدم تكوين أتمتة سير العمل.

    2. في علامة التبويب معلمات ، قم بتعيين تفاصيل مجموعة الموارد ونوع البيانات.

      تلميح

      تحتوي كل معلمة على تلميح أداة يشرح الخيارات المتاحة لك.

      توفر علامة التبويب "معلمات Azure Policy" (1) إمكانية الوصول إلى خيارات تكوين مماثلة مثل صفحة أتمتة سير العمل في Defender for Cloud (2). Comparing the parameters in workflow automation with Azure Policy.

    3. اختياريا، لتطبيق هذا التعيين على الاشتراكات الموجودة، افتح علامة التبويب معالجة وحدد خيار إنشاء مهمة معالجة.

  4. راجع صفحة الملخص وحدد إنشاء.

مخططات أنواع البيانات

لعرض مخططات الأحداث الأولية لتنبيهات الأمان أو أحداث التوصيات التي تم تمريرها إلى مثيل Logic App، تفضل بزيارة مخططات أنواع بيانات أتمتة سير العمل. يمكن أن يكون هذا مفيدا في الحالات التي لا تستخدم فيها موصلات Logic App المضمنة في Defender for Cloud المذكورة أعلاه ، ولكن بدلا من ذلك تستخدم موصل HTTP العام الخاص ب Logic App - يمكنك استخدام مخطط JSON للحدث لتحليله يدويا كما تراه مناسبا.

الأسئلة الشائعة - أتمتة سير العمل

هل تدعم أتمتة سير العمل أي سيناريوهات لاستمرارية الأعمال أو التعافي من الكوارث؟

عند إعداد بيئتك لسيناريوهات غرفة البحرين لتسوية المنازعات، حيث يواجه المورد المستهدف انقطاعا أو كارثة أخرى، تقع على عاتق المؤسسة مسؤولية منع فقدان البيانات من خلال إنشاء نسخ احتياطية وفقا للإرشادات الواردة من مراكز أحداث Azure ومساحة عمل Log Analytics وتطبيق Logic App.

لكل أتمتة نشطة، نوصيك بإنشاء أتمتة متطابقة (معطلة) وتخزينها في موقع مختلف. عندما يكون هناك انقطاع، يمكنك تمكين عمليات النسخ الاحتياطي هذه والحفاظ على العمليات العادية.

تعرف على المزيد حول استمرارية الأعمال والتعافي من الكوارث لتطبيقات Azure Logic Apps.

الخطوات التالية

في هذه المقالة، تعرفت على كيفية إنشاء تطبيقات منطقية وأتمتة تنفيذها في Defender for Cloud وتشغيلها يدويا.

للاطلاع على المواد ذات الصلة، انظر: