أتمتة الاستجابة للتهديدات باستخدام أدلة المبادئ في Microsoft Sentinel
يتعامل محللو SOC مع العديد من التنبيهات والحوادث الأمنية، ويمكن أن يطغى الحجم الهائل على الفرق، ما يؤدي إلى تجاهل التنبيهات والحوادث التي لم يتم استثمارها. يمكن معالجة العديد من التنبيهات والحوادث من خلال نفس مجموعات إجراءات المعالجة المحددة مسبقا، والتي يمكن أتمتتها لجعل SOC أكثر كفاءة وتحرير المحللين لإجراء تحقيقات أعمق.
استخدم أدلة مبادئ Microsoft Sentinel لتشغيل مجموعات مكونة مسبقا من إجراءات المعالجة للمساعدة في أتمتة الاستجابة للمخاطر وتنسيقها. قم بتشغيل أدلة المبادئ تلقائيا، استجابة لتنبيهات وحوادث محددة تؤدي إلى تشغيل قاعدة أتمتة مكونة، أو يدويا أو عند الطلب لكيان أو تنبيه معين.
على سبيل المثال، إذا تم اختراق حساب وجهاز، يمكن لدليل المبادئ عزل الجهاز تلقائيا عن الشبكة وحظر الحساب بحلول الوقت الذي يتم فيه إعلام فريق SOC بالحادث.
ملاحظة
نظرا لأن playbooks يستخدم Azure Logic Apps، فقد يتم تطبيق رسوم إضافية. قم بزيارة صفحة التسعير Azure Logic Apps للحصول على مزيد من التفاصيل.
هام
يتوفر Microsoft Sentinel بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. للمعاينة، يتوفر Microsoft Sentinel في مدخل Defender بدون Microsoft Defender XDR أو ترخيص E5. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.
يسرد الجدول التالي حالات الاستخدام عالية المستوى حيث نوصي باستخدام أدلة مبادئ Microsoft Sentinel لأتمتة استجابتك للمخاطر:
| حالة الاستخدام | الوصف |
|---|---|
| الإثراء | جمع البيانات وإرفاقها بحادث لمساعدة فريقك على اتخاذ قرارات أكثر ذكاء. |
| مزامنة ثنائية الاتجاه | مزامنة حوادث Microsoft Sentinel مع أنظمة إصدار التذاكر الأخرى. على سبيل المثال، قم بإنشاء قاعدة أتمتة لجميع عمليات إنشاء الحوادث، وأرفق دليل مبادئ يفتح تذكرة في ServiceNow. |
| تزامن | استخدم منصة الدردشة الخاصة بفريق SOC للتحكم بشكل أفضل في قائمة انتظار الحوادث. على سبيل المثال، أرسل رسالة إلى قناة عمليات الأمان في Microsoft Teams أو Slack للتأكد من أن محللي الأمان على علم بالحادث. |
| Response | الاستجابة الفورية للتهديدات، مع الحد الأدنى من التبعيات البشرية، مثل عند الإشارة إلى مستخدم أو جهاز تم اختراقه. بدلا من ذلك، قم بتشغيل سلسلة من الخطوات التلقائية يدويا أثناء التحقيق أو أثناء التتبع. |
لمزيد من المعلومات، راجع حالات استخدام دليل المبادئ الموصى به والقوالب والأمثلة.
الأدوار التالية مطلوبة لاستخدام Azure Logic Apps لإنشاء وتشغيل أدلة المبادئ في Microsoft Sentinel.
| الدور | الوصف |
|---|---|
| المالك | يتيح لك منح حق الوصول إلى أدلة المبادئ في مجموعة الموارد. |
| مساهم Microsoft Sentinel | يتيح لك إرفاق دليل مبادئ بقاعدة تحليلات أو أتمتة. |
| مستجيب Microsoft Sentinel | يتيح لك الوصول إلى حدث لتشغيل دليل المبادئ يدويا، ولكنه لا يسمح لك بتشغيل دليل المبادئ. |
| عامل تشغيل دليل مبادئ Microsoft Sentinel | يتيح لك تشغيل دليل المبادئ يدويا. |
| مساهم أتمتة Microsoft Sentinel | يسمح لقواعد التشغيل التلقائي بتشغيل أدلة المبادئ. لا يتم استخدام هذا الدور لأي غرض آخر. |
يصف الجدول التالي الأدوار المطلوبة استنادا إلى ما إذا كنت تحدد Consumption أو Standard logic app لإنشاء دليل المبادئ الخاص بك:
| تطبيق المنطق | أدوار Azure | الوصف |
|---|---|---|
| الاستهلاك | Logic App Contributor | تحرير التطبيقات المنطقية وإدارتها. تشغيل أدلة المبادئ. لا يسمح لك بمنح حق الوصول إلى أدلة المبادئ. |
| الاستهلاك | عامل تشغيل Logic App | قراءة التطبيقات المنطقية وتمكينها وتعطيلها. لا يسمح لك بتحرير تطبيقات المنطق أو تحديثها. |
| قياسي | عامل تشغيل Logic Apps القياسي | تمكين مهام سير العمل وإعادة إرسالها وتعطيلها في تطبيق منطقي. |
| قياسي | Logic Apps Standard Developer | إنشاء تطبيقات المنطق وتحريرها. |
| قياسي | Logic Apps Standard Contributor | إدارة جميع جوانب تطبيق المنطق. |
تعرض علامة التبويب أدلة المبادئ النشطة في صفحة التنفيذ التلقائي جميع أدلة المبادئ النشطة المتوفرة عبر أي اشتراكات محددة. بشكل افتراضي، يمكن استخدام دليل المبادئ فقط ضمن الاشتراك الذي ينتمي إليه، ما لم تمنح أذونات Microsoft Sentinel لمجموعة موارد دليل المبادئ على وجه التحديد.
يستخدم Microsoft Sentinel حساب خدمة لتشغيل أدلة المبادئ على الحوادث، لإضافة الأمان وتمكين واجهة برمجة تطبيقات قواعد التشغيل التلقائي لدعم حالات استخدام CI/CD. يتم استخدام حساب الخدمة هذا لدلائل المبادئ المشغلة بالحوادث، أو عند تشغيل دليل المبادئ يدويا على حدث معين.
بالإضافة إلى الأدوار والأذونات الخاصة بك، يجب أن يكون لحساب خدمة Microsoft Sentinel هذا مجموعة الأذونات الخاصة به على مجموعة الموارد حيث يوجد دليل المبادئ، في شكل دور Microsoft Sentinel Automation Contributor . بمجرد أن يكون ل Microsoft Sentinel هذا الدور، يمكنه تشغيل أي دليل مبادئ في مجموعة الموارد ذات الصلة، يدويا أو من قاعدة التنفيذ التلقائي.
لمنح Microsoft Sentinel الأذونات المطلوبة، يجب أن يكون لديك دور مسؤول وصول المالك أو المستخدم. لتشغيل أدلة المبادئ، ستحتاج أيضا إلى دور Logic App Contributor في مجموعة الموارد التي تحتوي على أدلة المبادئ التي تريد تشغيلها.
هام
قوالب دليل المبادئ موجودة حاليًا في PREVIEW. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.
يتم إنشاء قوالب Playbook مسبقا واختبارها وجاهزة للاستخدام التي لا يمكن استخدامها كدلائل مبادئ نفسها، ولكنها جاهزة للتخصيص لتلبية احتياجاتك. نوصي أيضا باستخدام قوالب دليل المبادئ كمرجع لأفضل الممارسات عند تطوير أدلة المبادئ من البداية، أو كمصدر إلهام لسيناريوهات التشغيل التلقائي الجديدة.
الوصول إلى قوالب دليل المبادئ من المصادر التالية:
| الموقع | الوصف |
|---|---|
| صفحة أتمتة Microsoft Sentinel | تسرد علامة التبويب قوالب Playbook جميع أدلة المبادئ المثبتة. إنشاء دليل مبادئ نشط واحد أو أكثر باستخدام نفس القالب. عندما ننشر إصدارا جديدا من قالب، فإن أي أدلة مبادئ نشطة تم إنشاؤها من هذا القالب تحتوي على تسمية إضافية تمت إضافتها في علامة التبويب أدلة المبادئ النشطة للإشارة إلى توفر تحديث. |
| صفحة مركز محتوى Microsoft Sentinel | تتوفر قوالب Playbook كجزء من حلول المنتج أو المحتوى المستقل المثبت من مركز المحتوى. لمزيد من المعلومات، راجع: بشأن محتوى وحلول Microsoft Sentinel اكتشاف المحتوى الجاهز من Microsoft Sentinel وإدارته |
| GitHub | يحتوي مستودع Microsoft Sentinel GitHub على العديد من قوالب دليل المبادئ الأخرى. حدد Deploy to Azure لنشر قالب إلى اشتراك Azure الخاص بك. |
من الناحية الفنية، قالب دليل المبادئ هو قالب Azure Resource Manager (ARM)، والذي يتكون من عدة موارد: سير عمل Azure Logic Apps واتصالات واجهة برمجة التطبيقات لكل اتصال معني.
لمزيد من المعلومات، راجع:
- إنشاء أدلة مبادئ Microsoft Sentinel وتخصيصها من قوالب المحتوى
- قوالب دليل المبادئ الموصى بها
- Azure Logic Apps لدلائل مبادئ Microsoft Sentinel
استخدم سير العمل التالي لإنشاء وتشغيل أدلة مبادئ Microsoft Sentinel:
حدد سيناريو التشغيل التلقائي الخاص بك. نوصي بمراجعة حالات استخدام أدلة المبادئ الموصى بها وقوالب أدلة المبادئ للبدء.
إذا كنت لا تستخدم قالب، فبادر بإنشاء دليل المبادئ الخاص بك وإنشاء تطبيق المنطق الخاص بك. لمزيد من المعلومات، راجع إنشاء أدلة مبادئ Microsoft Sentinel وإدارتها.
اختبر تطبيق المنطق الخاص بك عن طريق تشغيله يدويا. لمزيد من المعلومات، راجع تشغيل دليل المبادئ يدويا، عند الطلب.
قم بتكوين دليل المبادئ الخاص بك للتشغيل تلقائيا على تنبيه جديد أو إنشاء حدث، أو تشغيله يدويا حسب الحاجة لعملياتك. لمزيد من المعلومات، راجع الاستجابة للتهديدات باستخدام أدلة مبادئ Microsoft Sentinel.