تنسيق الأمان والأتمتة والاستجابة (SOAR) في Microsoft Sentinel

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

ملاحظة

يسمى Azure Sentinel الآن Microsoft Sentinel، وسنقوم بتحديث هذه الصفحات في الأسابيع القادمة. تعرف على المزيد حول التحسينات الأمنية الأخيرة لـ Microsoft.

توضح هذه المقالة إمكانات تنسيق الأمان والأتمتة والاستجابة (SOAR) الخاصة ب Microsoft Sentinel، وتوضح كيف يزيد استخدام قواعد التشغيل التلقائي وكتب التشغيل استجابة لتهديدات الأمان من فعالية SOC ويوفر لك الوقت والموارد.

مايكروسوفت سنتينل كحل SOAR

المشكلة

عادة ما يتم إغراق فرق SIEM / SOC بالتنبيهات والحوادث الأمنية على أساس منتظم ، بكميات كبيرة جدا بحيث يتم إغراق الموظفين المتاحين. وينتج هذا في كثير من الأحيان في المواقف التي يتم فيها تجاهل العديد من التنبيهات وعدم التحقيق في العديد من الحوادث، مما يترك المؤسسة عرضة للهجمات التي تمر دون أن يلاحظها أحد.

الحل

Microsoft Sentinel ، بالإضافة إلى كونه نظام معلومات الأمان وإدارة الأحداث (SIEM) ، هو أيضا نظام أساسي لتنسيق الأمان والأتمتة والاستجابة (SOAR). أحد أغراضه الأساسية هو أتمتة أي مهام إثراء واستجابة ومعالجة متكررة ويمكن التنبؤ بها تقع على عاتق مركز عمليات الأمان والموظفين (SOC / SecOps) ، مما يوفر الوقت والموارد لإجراء تحقيق أكثر تعمقا في التهديدات المتقدمة والبحث عنها. تتخذ الأتمتة بعض الأشكال المختلفة في Microsoft Sentinel، بدءا من قواعد التشغيل الآلي التي تدير مركزية أتمتة معالجة الحوادث والاستجابة لها، إلى كتب التشغيل التي تقوم بتشغيل تسلسلات محددة مسبقا من الإجراءات لتوفير أتمتة متقدمة قوية ومرنة لمهام الاستجابة للتهديدات.

قواعد الأتمتة

تسمح قواعد الأتمتة (المتاحة الآن بشكل عام!) للمستخدمين بإدارة أتمتة معالجة الحوادث مركزيا. إلى جانب السماح لك بتعيين دفاتر تشغيل للحوادث (وليس فقط للتنبيهات كما كان من قبل)، تسمح لك قواعد التشغيل التلقائي أيضا بأتمتة الاستجابات لقواعد التحليلات المتعددة في وقت واحد، ووضع علامة على الحوادث أو تعيينها أو إغلاقها تلقائيا دون الحاجة إلى كتب اللعب، والتحكم في ترتيب الإجراءات التي يتم تنفيذها. ستعمل قواعد التشغيل التلقائي على تبسيط استخدام التشغيل الآلي في Microsoft Sentinel وستمكنك من تبسيط مهام سير العمل المعقدة لعمليات تنسيق الحوادث.

تعرف على المزيد من خلال هذا الشرح الكامل لقواعد التشغيل التلقائي.

أدلة المبادئ

دليل اللعب هو مجموعة من إجراءات الاستجابة والمعالجة والمنطق التي يمكن تشغيلها من Microsoft Sentinel كروتين. يمكن أن يساعد دليل التشغيل في أتمتة وتنسيق الاستجابة للتهديد الخاص بك ، ويمكن أن يتكامل مع الأنظمة الأخرى الداخلية والخارجية على حد سواء ، ويمكن تعيينه ليعمل تلقائيا استجابة لتنبيهات أو حوادث محددة ، عند تشغيله بواسطة قاعدة تحليلات أو قاعدة أتمتة ، على التوالي. يمكن أيضا تشغيله يدويا عند الطلب ، استجابة للتنبيهات ، من صفحة الحوادث.

تستند كتب التشغيل في Microsoft Sentinel إلى مهام سير العمل المضمنة في Azure Logic Apps، وهي خدمة سحابية تساعدك على جدولة المهام ومهام سير العمل وأتمتتها وتنسيقها عبر الأنظمة في جميع أنحاء المؤسسة. وهذا يعني أن كتب التشغيل يمكنها الاستفادة من كل القوة والقابلية للتخصيص لقدرات التكامل والتنسيق الخاصة ب Logic Apps وأدوات التصميم سهلة الاستخدام، وقابلية التوسع والموثوقية ومستوى الخدمة لخدمة Tier 1 Azure.

تعرف على المزيد من خلال هذا الشرح الكامل لكتب اللعب.

الخطوات التالية

في هذا المستند، تعرفت على كيفية استخدام Microsoft Sentinel للأتمتة لمساعدة SOC على العمل بشكل أكثر فعالية وكفاءة.

• للتعرف على أتمتة معالجة الحوادث، راجع أتمتة معالجة الحوادث في Microsoft Sentinel.
• لمعرفة المزيد حول خيارات التشغيل التلقائي المتقدمة، راجع أتمتة الاستجابة للتهديدات باستخدام دفاتر التشغيل في Microsoft Sentinel.
• للحصول على تعليمات حول تنفيذ قواعد التشغيل التلقائي وكتب التشغيل، راجع البرنامج التعليمي: استخدام كتب التشغيل لأتمتة استجابات التهديدات في Microsoft Sentinel.