استخدام المشغلات والإجراءات في كتب تشغيل Microsoft Sentinel

  • مقالة
  • قراءة خلال 5 دقائق

ملاحظة

يسمى Azure Sentinel الآن Microsoft Sentinel، وسنقوم بتحديث هذه الصفحات في الأسابيع القادمة. تعرف على المزيد حول التحسينات الأمنية الأخيرة لـ Microsoft.

يشرح هذا المستند أنواع المشغلات والإجراءات الموجودة في موصل Microsoft Sentinel الخاص بالتطبيقات المنطقية، والتي يمكن أن تستخدمها كتب التشغيل للتفاعل مع Microsoft Sentinel والمعلومات الموجودة في جداول مساحة العمل. كما يوضح لك كيفية الوصول إلى أنواع محددة من معلومات Microsoft Sentinel التي من المحتمل أن تحتاجها.

يعد هذا المستند، إلى جانب دليلنا الخاص بمصادقة كتب التشغيل إلى Microsoft Sentinel، مصاحبا لوثائق قواعد التشغيل الأخرى - البرنامج التعليمي: استخدم كتب التشغيل مع قواعد التشغيل التلقائي في Microsoft Sentinel. ستشير هذه الوثائق الثلاث إلى بعضها البعض ذهابا وإيابا.

للحصول على مقدمة حول كتب التشغيل، راجع أتمتة الاستجابة للتهديدات باستخدام كتب التشغيل في Microsoft Sentinel.

للحصول على المواصفات الكاملة لموصل Microsoft Sentinel، راجع وثائق موصل التطبيقات المنطقية.

الأذونات المطلوبة

الأدوار \ مكونات الموصل أزرار التشغيل إجراءات "الحصول على" تحديث الحادث،
إضافة تعليق
Microsoft Sentinel Reader
Microsoft Sentinel ResponderContributor/

تعرف على المزيد حول الأذونات في Microsoft Sentinel.

ملخص مشغل Microsoft Sentinel

على الرغم من أنه يمكن استخدام موصل Microsoft Sentinel بطرق متنوعة ، إلا أنه يمكن تقسيم مكونات الموصل إلى تدفقات 2 ، يتم تشغيل كل منها بواسطة حدث Microsoft Sentinel مختلف:

مشغّل اسم المشغل الكامل في
Logic Apps Designer		 متى يتم استخدامها القيود المعروفة
محفز الحادث "حادثة Microsoft Sentinel (معاينة)" موصى به لمعظم سيناريوهات أتمتة الحوادث.

يتلقى دليل التشغيل كائنات الحوادث، بما في ذلك الكيانات والتنبيهات. يسمح استخدام هذا المشغل بإرفاق دليل التشغيل بقاعدة التشغيل التلقائي، بحيث يمكن تشغيله عند إنشاء حادث في Microsoft Sentinel، ويمكن تطبيق جميع مزايا قواعد التشغيل التلقائي على الحادث.		 لا تدعم كتب التشغيل التي تحتوي على هذا المشغل تجميع التنبيهات، مما يعني أنها لن تتلقى سوى التنبيه الأول الذي يتم إرساله مع كل حادث.
مشغل التنبيه "تنبيه مايكروسوفت سنتينل" ينصح به لكتب التشغيل التي يجب تشغيلها على التنبيهات يدويا من مدخل Microsoft Sentinel، أو لقواعد التحليلات المجدولة التي لا تنشئ حوادث لتنبيهاتها. لا يمكن استخدام هذا المشغل لأتمتة الاستجابات للتنبيهات التي تم إنشاؤها بواسطة قواعد تحليلات أمان Microsoft .

لا يمكن استدعاء كتب التشغيل التي تستخدم هذا المشغل بواسطة قواعد التشغيل التلقائي.

المخططات المستخدمة من قبل هذين التدفقين ليست متطابقة. تتمثل الممارسة الموصى بها في استخدام تدفق مشغل حادث Microsoft Sentinel ، والذي ينطبق على معظم السيناريوهات.

الحقول الديناميكية للحوادث

يتضمن كائن الحادث المستلم من حادث Microsoft Sentinel الحقول الديناميكية التالية:

  • خصائص الحادث (تظهر باسم "الحادث: اسم الحقل")

  • التنبيهات (صفيف)

    • خصائص التنبيه (تظهر باسم "تنبيه: اسم الحقل")

      عند تحديد خاصية تنبيه مثل تنبيه: <اسم> الخاصية، يتم إنشاء علامة لكل حلقة تلقائيا، نظرا لأن الحادث يمكن أن يتضمن تنبيهات متعددة.

  • الكيانات (صفيف من جميع كيانات التنبيه)

  • حقول معلومات مساحة العمل (تنطبق على مساحة عمل Sentinel حيث تم إنشاء الحادث)

    • Subscription ID
    • اسم مساحة العمل
    • Workspace ID
    • اسم مجموعة الموارد

ملخص إجراءات Microsoft Sentinel

المكونات متى يتم استخدامها
تنبيه - الحصول على حادث في كتب التشغيل التي تبدأ بمشغل التنبيه. مفيد للحصول على خصائص الحادث، أو استرداد معرف ARM للحادث لاستخدامه مع تحديث الحادث أو إضافة تعليق إلى إجراءات الحادث .
الحصول على حادث عند تشغيل دليل تشغيل من مصدر خارجي أو باستخدام مشغل غير حارس. التعرف على معرف ARM للحادث. استرداد خصائص الحادث والتعليقات.
تحديث الحادث لتغيير حالة الحادث (على سبيل المثال، عند إغلاق الحادثة)، قم بتعيين مالك أو إضافة علامة أو إزالتها أو لتغيير شدتها أو عنوانها أو وصفها.
إضافة تعليقات إلى الحادث إثراء الحادث بالمعلومات التي يتم جمعها من مصادر خارجية؛ مراجعة الإجراءات التي يتخذها كتاب قواعد اللعبة بشأن الكيانات؛ لتوفير معلومات إضافية قيمة للتحقيق في الحوادث.
الكيانات - الحصول على <نوع الكيان> في كتب التشغيل التي تعمل على نوع كيان معين (IP أو الحساب أو المضيف أو عنوان URLأوFileHash) المعروف في وقت إنشاء دليل التشغيل ، ويجب أن تكون قادرا على تحليله والعمل على حقوله الفريدة.

التعامل مع الحوادث - أمثلة الاستخدام

تلميح

تتطلب الإجراءات تحديث الحادث وإضافة تعليق إلى الحادثمعرف ARM للحادث.

استخدم التنبيه - الحصول على إجراء الحادث مسبقا للحصول على معرف ARM الخاص بالحادث.

تحديث حادث

  • يتم تشغيل Playbook بسبب حادث Microsoft Sentinel

    Incident trigger simple Update flow example

  • يتم تشغيل دليل التشغيل بواسطة تنبيه Microsoft Sentinel

    Alert trigger simple Update Incident flow example

استخدام معلومات الحوادث

دليل اللعب الأساسي لإرسال تفاصيل الحادث عبر البريد:

  • يتم تشغيل Playbook بسبب حادث Microsoft Sentinel

    Incident trigger simple Get flow example

  • يتم تشغيل دليل التشغيل بواسطة تنبيه Microsoft Sentinel

    Alert trigger simple Get Incident flow example

إضافة تعليق على الحادث

  • يتم تشغيل Playbook بسبب حادث Microsoft Sentinel

    Incident trigger simple add comment example

  • يتم تشغيل دليل التشغيل بواسطة تنبيه Microsoft Sentinel

العمل مع أنواع كيانات محددة

الحقل الديناميكي الكيانات عبارة عن صفيف من كائنات JSON، يمثل كل منها كيانا. يحتوي كل نوع كيان على مخطط خاص به ، اعتمادا على خصائصه الفريدة.

يتيح لك الإجراء " الكيانات - الحصول على <اسم> الكيان" القيام بما يلي:

  • تصفية صفيف الكيانات حسب النوع المطلوب.
  • قم بتحليل الحقول المحددة من هذا النوع، بحيث يمكن استخدامها كحقول ديناميكية في مزيد من الإجراءات.

الإدخال هو الحقل الديناميكي للكيانات .

الاستجابة عبارة عن مجموعة من الكيانات ، حيث يتم تحليل الخصائص الخاصة ويمكن استخدامها مباشرة في لكل حلقة.

أنواع الكيانات المدعومة حاليا هي:

بالنسبة لأنواع الكيانات الأخرى، يمكن تحقيق وظائف مماثلة باستخدام الإجراءات المضمنة في Logic Apps:

  • قم بتصفية صفيف الكيانات حسب النوع المطلوب باستخدام تصفية الصفيف.

  • قم بتحليل الحقول المحددة من هذا النوع، بحيث يمكن استخدامها كحقول ديناميكية في إجراءات أخرى باستخدام Parse JSON.

العمل باستخدام التفاصيل المخصصة

الحقل الديناميكي "تفاصيل التنبيه المخصصة" ، المتوفر في مشغل الحادث، عبارة عن مجموعة من كائنات JSON، يمثل كل منها تفصيلا مخصصا للتنبيه. التفاصيل المخصصة ، كما تتذكر ، هي أزواج من القيم الرئيسية تسمح لك بعرض المعلومات من الأحداث في التنبيه بحيث يمكن تمثيلها وتعقبها وتحليلها كجزء من الحادث.

نظرا لأن هذا الحقل في التنبيه قابل للتخصيص، يعتمد مخططه على نوع الحدث الذي يتم عرضه. سيتعين عليك توفير بيانات من مثيل لهذا الحدث لإنشاء المخطط الذي سيحدد كيفية تحليل حقل التفاصيل المخصصة.

راجع المثال التالي:

Custom details defined in analytics rule.

في أزواج القيم الرئيسية هذه، يمثل المفتاح (العمود الأيمن) الحقول المخصصة التي تقوم بإنشائها، وتمثل القيمة (العمود الأيسر) الحقول من بيانات الحدث التي تملأ الحقول المخصصة.

يمكنك توفير رمز JSON التالي لإنشاء المخطط. تعرض التعليمة البرمجية أسماء المفاتيح كمصفوفات، والقيم (التي تظهر كقيم فعلية، وليس العمود الذي يحتوي على القيم) كعناصر في المصفوفات.

{ "FirstCustomField": [ "1", "2" ], "SecondCustomField": [ "a", "b" ] }

  1. أضف خطوة جديدة باستخدام إجراء Parse JSON المضمن. يمكنك إدخال "تحليل json" في حقل البحث للعثور عليه.

  2. ابحث عن تنبيه التفاصيل المخصصة وحدده في قائمة المحتوى الديناميكي ، ضمن مشغل الحادث.

    Select

    سيؤدي ذلك إلى إنشاء حلقة لكل حلقة ، نظرا لأن الحادث يحتوي على مجموعة من التنبيهات.

  3. انقر فوق الارتباط استخدام عينة الحمولة لإنشاء مخطط .

    Select 'use sample payload to generate schema' link

  4. توفير عينة من الحمولة. يمكنك العثور على عينة حمولة من خلال البحث في Log Analytics (شفرة السجلات ) عن مثيل آخر من هذا التنبيه، ونسخ كائن التفاصيل المخصصة (ضمن الخصائص الموسعة). في لقطة الشاشة أدناه ، استخدمنا رمز JSON الموضح أعلاه.

    Enter sample JSON payload.

  5. الحقول المخصصة جاهزة للاستخدام الحقول الديناميكية من نوع الصفيف. يمكنك أن ترى هنا الصفيف وعناصره، سواء في المخطط أو في القائمة التي تظهر ضمن المحتوى الديناميكي، التي وصفناها أعلاه.

    Fields from schema ready to use.

الخطوات التالية

في هذه المقالة، تعلمت المزيد حول استخدام المشغلات والإجراءات في كتب تشغيل Microsoft Sentinel للاستجابة للتهديدات.