إنشاء كتب تشغيل Microsoft Sentinel وتخصيصها من القوالب المضمنة

  • مقالة
  • قراءة خلال 6 دقائق

ملاحظة

يسمى Azure Sentinel الآن Microsoft Sentinel، وسنقوم بتحديث هذه الصفحات في الأسابيع القادمة. تعرف على المزيد حول التحسينات الأمنية الأخيرة لـ Microsoft.

هام

قوالب دليل التشغيل موجودة حاليا في PREVIEW. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.

قالب دليل التشغيل هو سير عمل تم إنشاؤه مسبقا واختباره وجاهز للاستخدام ويمكن تخصيصه لتلبية احتياجاتك. يمكن أن تكون القوالب أيضا مرجعا لأفضل الممارسات عند تطوير كتب التشغيل من الصفر، أو كمصدر إلهام لسيناريوهات التشغيل الآلي الجديدة.

قوالب قواعد التشغيل ليست كتب تشغيل نشطة في حد ذاتها، حتى تقوم بإنشاء دليل تشغيل (نسخة قابلة للتحرير من القالب) منها.

تم تطوير العديد من قوالب قواعد اللعب من قبل مجتمع Microsoft Sentinel وبائعي البرامج المستقلين (ISVs) وخبراء Microsoft الخاصين ، استنادا إلى سيناريوهات التشغيل الآلي الشائعة التي تستخدمها مراكز عمليات الأمان حول العالم.

يمكنك الحصول على قوالب قواعد التشغيل من المصادر التالية:

  • تعرض علامة التبويب قوالب دليل التشغيل (ضمن التشغيل التلقائي) السيناريوهات الرئيسية التي ساهم بها مجتمع Microsoft Sentinel. يمكن إنشاء العديد من كتب التشغيل النشطة من نفس القالب.

    عند نشر إصدار جديد من القالب، سيتم تصنيف دفاتر التشغيل النشطة التي تم إنشاؤها من هذا القالب (في علامة التبويب كتب التشغيل ) مع إشعار بتوفر تحديث.

  • يمكن أيضا الحصول على قوالب قواعد التشغيل كجزء من حل Microsoft Sentinel في سياق منتج معين. ينتج عن نشر الحل كتب تشغيل نشطة.

  • يحتوي مستودع GitHub Microsoft Sentinel على العديد من قوالب قواعد التشغيل. يمكن نشرها على اشتراك Azure عن طريق تحديد الزر نشر إلى Azure .

من الناحية الفنية، قالب دليل التشغيل هو قالب Azure Resource Manager (ARM) يتكون من عدة موارد: سير عمل Azure Logic Apps واتصالات واجهة برمجة التطبيقات لكل اتصال معني.

تركز هذه المقالة على نشر قالب دليل تشغيل من علامة التبويب قوالب دليل التشغيل ضمن التنفيذ التلقائي.

تساعدك هذه المقالة على فهم كيفية:

  • استكشاف قوالب قواعد التشغيل الجاهزة
  • نشر قالب دليل تشغيل

استكشاف قوالب قواعد التشغيل

من قائمة التنقل في Microsoft Sentinel، حدد التنفيذ التلقائي ثم علامة التبويب قوالب كتب التشغيل .

توضح قوالب قواعد التشغيل المعروضة هنا سيناريوهات التشغيل الآلي الرائدة التي تميل SOCs إلى استخدامها أو الحصول على أفكار منها. ساهم مجتمع Microsoft Sentinel بمعظم كتب اللعب هذه ، وكانت موجودة في الأصل في مستودع Microsoft Sentinel GitHub. وقد تم دمج بعض هذه الحلول في حلول Microsoft Sentinel.

Screenshot of the playbooks gallery.

للعثور على قالب دليل تشغيل يناسب متطلباتك، يمكنك تصفية القائمة حسب المعايير التالية:

  • يشير المشغل إلى أن دليل التشغيل يتم تشغيله عن طريق إنشاء الحوادث (وبالتالي يمكن إرفاقه بقاعدة التشغيل التلقائي) ، أو عن طريق إنشاء تنبيه (وبالتالي يمكن إرفاقه بقاعدة تحليلية) ، أو عن طريق شيء آخر. معرفة المزيد

  • تعرض موصلات Logic Apps الخدمات الخارجية التي سيتفاعل معها دليل التشغيل هذا. أثناء عملية النشر، سيحتاج كل موصل إلى افتراض هوية للمصادقة على الخدمة الخارجية.

  • تعرض الكيانات أنواع الكيانات التي تمت تصفيتها وتحليلها بشكل صريح بواسطة دليل قواعد اللعبة الذي يتوقع العثور على أنواع الكيانات هذه في الحادث. على سبيل المثال، يتوقع أن يعمل دليل التشغيل الذي يخبر جدار الحماية بحظر عنوان IP على الحوادث التي تم إنشاؤها بواسطة قواعد التحليلات التي تنشئ تنبيهات تحتوي على عناوين IP، مثل قاعدة اكتشاف هجوم القوة الغاشمة.

  • تعرض العلامات التسميات المطبقة على دليل التشغيل لربطه بسيناريو معين، أو للإشارة إلى خاصية خاصة.

    أمثلة:

    • الإثراء - يجلب دليل قواعد التشغيل معلومات من خدمة أخرى لإضافة معلومات إلى حادث. عادة ما تتم إضافة هذه المعلومات كتعليق على الحادث أو إرسالها إلى SOC.

    • المعالجة - يتخذ دليل اللعب إجراء على الكيانات المتأثرة للقضاء على تهديد محتمل.

    • المزامنة - يساعد دليل التشغيل في الحفاظ على تحديث خدمة خارجية، مثل خدمة إدارة الحوادث، بخصائص الحادث.

    • إشعار - يرسل دليل التشغيل بريدا إلكترونيا أو رسالة.

    • استجابة من Teams - يسمح دليل اللعب للمحللين باتخاذ إجراء يدوي من Teams باستخدام البطاقات التفاعلية.

Filter the list of playbook templates

تخصيص دليل تشغيل من قالب

يوضح هذا الإجراء كيفية نشر قوالب قواعد التشغيل.

يمكنك تكرار هذه العملية لإنشاء كتب تشغيل متعددة على نفس القالب.

  1. حدد اسم دليل تشغيل من علامة التبويب قوالب دليل التشغيل .

  2. إذا كان دليل التشغيل يحتوي على أي متطلبات مسبقة، فتأكد من اتباع الإرشادات.

    • ستطلق بعض كتب اللعب على كتب اللعب الأخرى اسم "إجراءات". يشار إلى هذا الكتاب الثاني باسم كتاب قواعد اللعب المتداخل. في مثل هذه الحالة ، سيكون أحد المتطلبات الأساسية هو نشر دليل اللعب المتداخل أولا.

    • ستتطلب بعض دفاتر التشغيل نشر موصل Logic Apps مخصص أو وظيفة Azure. في مثل هذه الحالات، سيكون هناك ارتباط نشر إلى Azure ينقلك إلى عملية نشر قالب ARM العامة.

  3. حدد إنشاء دليل تشغيل لفتح معالج إنشاء دليل التشغيل استنادا إلى القالب المحدد. يحتوي المعالج على أربع علامات تبويب:

    • أساسيات: حدد موقع دليل التشغيل الجديد (مورد التطبيقات المنطقية) وأعطه اسما (يمكن استخدامه افتراضيا). Playbook creation wizard, basics tab

    • البارامترات: أدخل القيم الخاصة بالعميل التي سيستخدمها دليل التشغيل. على سبيل المثال، إذا كان دليل التشغيل هذا سيرسل بريدا إلكترونيا إلى SOC، فيمكنك تحديد عنوان المستلم هنا. لن يتم عرض علامة التبويب هذه إلا إذا كان دليل التشغيل يحتوي على معلمات.

      ملاحظة

      إذا كان دليل التشغيل هذا يحتوي على موصل مخصص قيد الاستخدام، فيجب نشره في نفس مجموعة الموارد، وستتمكن من إدراج اسمه في علامة التبويب هذه.

      Playbook creation wizard, parameters tab

    • اتصالات: قم بتوسيع كل إجراء للاطلاع على الاتصالات الحالية التي أنشأتها لكتب التشغيل السابقة. تعرف على المزيد حول إنشاء اتصالات لكتب اللعب.

      ملاحظة

      بالنسبة للموصلات المخصصة، سيتم عرض الاتصالات باسم الموصل المخصص الذي تم إدخاله في علامة التبويب المعلمات .

      Playbook creation wizard. connections tab

      إذا لم يكن هناك أي اتصال، أو إذا كنت تريد إنشاء اتصال جديد، فاختر إنشاء اتصال جديد بعد النشر. سينقلك هذا إلى مصمم التطبيقات المنطقية بعد اكتمال عملية النشر.

      بالنسبة للموصلات التي تدعم الاتصال بالهوية المدارة، مثل Microsoft Sentinel، ستكون هذه هي طريقة الاتصال المحددة افتراضيا.

    • مراجعة وإنشاء: عرض ملخص للعملية وانتظر التحقق من صحة مدخلاتك قبل إنشاء دليل التشغيل.

  4. بعد اتباع الخطوات الموجودة في معالج إنشاء دليل التشغيل حتى النهاية، سيتم نقلك إلى تصميم سير عمل دليل التشغيل الجديد في مصمم التطبيقات المنطقية.

    See playbook in Logic Apps designer

  5. لكل موصل اخترت إنشاء اتصال جديد له بعد النشر:

    1. من قائمة التنقل، حدد اتصالات واجهة برمجة التطبيقات.

    2. حدد اسم الاتصال. Screenshot showing how to view A P I connections.

    3. حدد تحرير اتصال واجهة برمجة التطبيقات من قائمة التنقل.

    4. املأ المعلمات المطلوبة وانقر على حفظ. Screenshot showing how to edit A P I connections.

    بدلا من ذلك، يمكنك إنشاء اتصال جديد من ضمن الخطوات ذات الصلة في مصمم Logic Apps:

    1. لكل خطوة تظهر مع علامة خطأ، حددها للتوسيع.

    2. حدد ⁧⁩Add new⁧⁩.

    3. المصادقة وفقا للتعليمات ذات الصلة.

    4. إذا كانت هناك خطوات أخرى تستخدم هذا الموصل نفسه، فقم بتوسيع مربعاتها. من قائمة الاتصالات التي تظهر، حدد الاتصال الذي أنشأته للتو.

  6. إذا اخترت استخدام اتصال هوية مدار ل Microsoft Sentinel (أو للاتصالات الأخرى المدعومة)، فامنح أذونات لدليل التشغيل الجديد على مساحة عمل Microsoft Sentinel (أو على الموارد المستهدفة ذات الصلة للموصلات الأخرى).

  7. احفظ دليل التشغيل. ستتمكن الآن من رؤيته في علامة التبويب "كتب التشغيل النشطة ".

  8. لتشغيل دليل التشغيل هذا، قم بتعيين استجابة تلقائية أو قم بتشغيله يدويا.

  9. يمكن استخدام معظم القوالب كما هي، ولكننا نوصي بإجراء أي تعديلات مطلوبة لتناسب قواعد التشغيل الجديدة مع احتياجات SOC الخاصة بك.

استكشاف الأخطاء وإصلاحها

المشكلة: العثور على خطأ في دليل التشغيل

للإبلاغ عن خطأ أو طلب تحسين لدليل تشغيل، حدد الارتباط مدعوم بواسطة في جزء تفاصيل دليل التشغيل. إذا كان هذا دليل تشغيل مدعوما من المجتمع، فسوف ينقلك الرابط لفتح مشكلة GitHub. خلاف ذلك ، سيتم توجيهك إلى صفحة الداعم.

الخطوات التالية

في هذه المقالة ، تعلمت كيفية العمل مع قوالب قواعد التشغيل ، وإنشاء كتب التشغيل وتخصيصها لتناسب احتياجاتك. تعرف على المزيد حول كتب التشغيل والأتمتة في Microsoft Sentinel: