مصادقة كتب التشغيل إلى Microsoft Sentinel

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

ملاحظة

يسمى Azure Sentinel الآن Microsoft Sentinel، وسنقوم بتحديث هذه الصفحات في الأسابيع القادمة. تعرف على المزيد حول التحسينات الأمنية الأخيرة لـ Microsoft.

الطريقة التي تعمل بها Logic Apps ، يجب أن تتصل بشكل منفصل وتصادق بشكل مستقل على كل مورد من كل نوع تتفاعل معه ، بما في ذلك Microsoft Sentinel نفسه. تستخدم Logic Apps موصلات متخصصة لهذا الغرض، حيث يكون لكل نوع من أنواع الموارد موصل خاص به. يشرح هذا المستند أنواع الاتصال والمصادقة في موصل Microsoft Sentinel الخاص بالتطبيقات المنطقية، والذي يمكن أن تستخدمه كتب التشغيل للتفاعل مع Microsoft Sentinel من أجل الوصول إلى المعلومات الموجودة في جداول مساحة العمل الخاصة بك.

يعد هذا المستند، إلى جانب دليلنا لاستخدام المشغلات والإجراءات في كتب اللعب، مصاحبا لوثائق قواعد التشغيل الأخرى - البرنامج التعليمي: استخدم كتب التشغيل مع قواعد التشغيل التلقائي في Microsoft Sentinel.

للحصول على مقدمة حول كتب التشغيل، راجع أتمتة الاستجابة للتهديدات باستخدام كتب التشغيل في Microsoft Sentinel.

للحصول على المواصفات الكاملة لموصل Microsoft Sentinel، راجع وثائق موصل التطبيقات المنطقية.

المصادقة

يمكن أن يعمل موصل Microsoft Sentinel في Logic Apps، ومشغلات المكونات وإجراءاته، نيابة عن أي هوية لديها الأذونات اللازمة (قراءة و/أو كتابة) على مساحة العمل ذات الصلة. يدعم الموصل أنواع هوية متعددة:

• الهوية المدارة (معاينة)

• مستخدم Microsoft Azure AD

• Service principal (Azure AD application)

  

الأذونات المطلوبة

الأدوار / مكونات الموصل	أزرار التشغيل	إجراءات "الحصول على"	تحديث الحادث، إضافة تعليق
Microsoft Sentinel Reader	✓	✓	✗
Microsoft Sentinel ResponderContributor/	✓	✓	✓

تعرف على المزيد حول الأذونات في Microsoft Sentinel.

المصادقة باستخدام هوية مُدارة

تتيح لك طريقة المصادقة هذه منح أذونات مباشرة إلى دليل التشغيل (مورد سير عمل Logic App)، بحيث تعمل إجراءات موصل Microsoft Sentinel التي يتخذها دليل التشغيل نيابة عن دليل التشغيل، كما لو كان كائنا مستقلا له أذونات خاصة به على Microsoft Sentinel. يؤدي استخدام هذه الطريقة إلى تقليل عدد الهويات التي يجب عليك إدارتها.

ملاحظة

لمنح وصول هوية مدار إلى موارد أخرى (مثل مساحة عمل Microsoft Sentinel)، يجب أن يكون للمستخدم الذي قام بتسجيل الدخول دور لديه أذونات لكتابة تعيينات الأدوار، مثل المالك أو مسؤول وصول المستخدم لمساحة عمل Microsoft Sentinel.

للمصادقة باستخدام الهوية المدارة:

1. تمكين الهوية المدارة على مورد سير عمل Logic Apps. للتلخيص:

   • من القائمة تطبيق المنطق، ضمن الإعدادات، حدد الهوية. حدد النظام المعين عند > الحفظ>. عندما يطالبك Azure بالتأكيد، حدد نعم.

   • يمكن لتطبيقك المنطقي الآن استخدام الهوية المعينة من قبل النظام، والتي يتم تسجيلها في Azure AD ويتم تمثيلها بواسطة معرف كائن.

2. امنح هذه الهوية حق الوصول إلى مساحة عمل Microsoft Sentinel:

   1. من قائمة Microsoft Sentinel، حدد الإعدادات.

   2. حدد علامة التبويب إعدادات مساحة العمل . من قائمة مساحة العمل، حدد التحكم في الوصول (IAM).

   3. من شريط الأزرار في الجزء العلوي، حدد إضافة واختر إضافة تعيين دور. إذا تم تعطيل الخيار إضافة تعيين دور ، فلن يكون لديك أذونات لتعيين الأدوار.

   4. في اللوحة الجديدة التي تظهر، قم بتعيين الدور المناسب:

      الدور	الموقف
      Microsoft Sentinel Responder	يحتوي دليل التشغيل على خطوات لتحديث الحوادث أو قوائم المراقبة
      Microsoft Sentinel Reader	لا يتلقى دليل التشغيل سوى الحوادث

      تعرف على المزيد حول الأدوار المتوفرة في Microsoft Sentinel.

   5. ضمن تعيين حق الوصول إلى، اختر تطبيق المنطق.

   6. اختر الاشتراك الذي ينتمي إليه دليل التشغيل، وحدد اسم دليل التشغيل.

   7. حدد "Save".

3. تمكين أسلوب مصادقة الهوية المدارة في موصل Microsoft Sentinel Logic Apps:

   1. في مصمم التطبيقات المنطقية، أضف خطوة موصل Microsoft Sentinel Logic Apps. إذا كان الموصل ممكنا بالفعل لاتصال موجود، فانقر فوق الارتباط تغيير الاتصال .

      

   2. في قائمة الاتصالات الناتجة، حدد إضافة جديد في الأسفل.

   3. أنشئ اتصالا جديدا عن طريق تحديد الاتصال ذات الهوية المدارة (المعاينة).

      

   4. املأ اسما لهذا الاتصال، وحدد الهوية المدارة المعينة من قبل النظام ، وحدد إنشاء.

      

المصادقة كمستخدم Azure AD

لإجراء اتصال، حدد تسجيل الدخول. سيطلب منك تقديم معلومات حسابك. بمجرد القيام بذلك، اتبع الإرشادات المتبقية التي تظهر على الشاشة لإنشاء اتصال.

المصادقة كمبدأ خدمة (تطبيق Azure AD)

يمكن إنشاء مبادئ الخدمة عن طريق تسجيل تطبيق Azure AD. يفضل استخدام تطبيق مسجل كهوية للموصل ، بدلا من استخدام حساب مستخدم ، حيث ستتمكن بشكل أفضل من التحكم في الأذونات وإدارة بيانات الاعتماد وتمكين قيود معينة على استخدام الموصل.

لاستخدام التطبيق الخاص بك مع موصل Microsoft Sentinel، قم بتنفيذ الخطوات التالية:

1. قم بتسجيل التطبيق مع Azure AD وقم بإنشاء أصل خدمة. ⁧⁩تعرف على الكيفية⁧⁩.

2. احصل على بيانات الاعتماد (للمصادقة المستقبلية).

   في شفرة التطبيق المسجلة، احصل على بيانات اعتماد التطبيق لتسجيل الدخول:

   • معرف العميل: ضمن نظرة عامة
   • سر العميل: تحت أسرار الشهادات&.

3. منح الأذونات لمساحة عمل Microsoft Sentinel.

   في هذه الخطوة، سيحصل التطبيق على إذن للعمل مع مساحة عمل Microsoft Sentinel.

   1. في مساحة عمل Microsoft Sentinel، انتقل إلى الإعدادات -مساحة العمل الإعدادات ->>التحكم في الوصول (IAM)

   2. حدد Add role assignment.

   3. حدد الدور الذي ترغب في تعيينه للتطبيق. على سبيل المثال، للسماح للتطبيق بتنفيذ إجراءات من شأنها إجراء تغييرات في مساحة عمل Sentinel، مثل تحديث حادث، حدد دور مساهم Microsoft Sentinel . بالنسبة للإجراءات التي تقرأ البيانات فقط، يكون دور Microsoft Sentinel Reader كافيا. تعرف على المزيد حول الأدوار المتوفرة في Microsoft Sentinel.

   4. ابحث عن التطبيق المطلوب واحفظه. بشكل افتراضي، لا يتم عرض تطبيقات Azure AD في الخيارات المتاحة. للعثور على التطبيق الخاص بك، ابحث عن الاسم وحدده.

4. مصادقة

   في هذه الخطوة ، نستخدم بيانات اعتماد التطبيق للمصادقة على موصل Sentinel في Logic Apps.

   • حدد الاتصال بمسؤول الخدمة.

     

   • املأ المعلمات المطلوبة (يمكن العثور عليها في شفرة الطلب المسجلة)

     • المستأجر: ضمن نظرة عامة
     • معرف العميل: ضمن نظرة عامة
     • سر العميل: تحت أسرار الشهادات &

     

إدارة اتصالات واجهة برمجة التطبيقات

في كل مرة يتم فيها إنشاء مصادقة لأول مرة، يتم إنشاء مورد Azure جديد من النوع API Connection. يمكن استخدام نفس اتصال واجهة برمجة التطبيقات في جميع إجراءات Microsoft Sentinel والمشغلات في نفس مجموعة الموارد.

يمكن العثور على جميع اتصالات واجهة برمجة التطبيقات في شفرة اتصالات واجهة برمجة التطبيقات (ابحث عن اتصالات واجهة برمجة التطبيقات في مدخل Azure).

يمكنك أيضا العثور عليها عن طريق الانتقال إلى شفرة الموارد وتصفية الشاشة حسب نوع API Connection. تتيح لك هذه الطريقة تحديد اتصالات متعددة للعمليات المجمعة.

لتغيير تفويض اتصال موجود، أدخل مورد الاتصال، وحدد تحرير اتصال واجهة برمجة التطبيقات.

الخطوات التالية

في هذه المقالة، تعرفت على الطرق المختلفة لمصادقة دليل تشغيل يستند إلى Logic Apps إلى Microsoft Sentinel.

• تعرف على المزيد حول كيفية استخدام المشغلات والإجراءات في كتب التشغيل.