مشاركة عبر

إنشاء أدلة مبادئ Microsoft Sentinel وإدارتها

  • مقالة
  • ينطبق على:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Playbooks هي مجموعات من الإجراءات التي يمكن تشغيلها من Microsoft Sentinel استجابة لحادث بأكمله أو لتنبيه فردي أو إلى كيان معين. يمكن أن يساعد دليل المبادئ في أتمتة الاستجابة وتنسيقها، ويمكن إرفاقها بقاعدة أتمتة لتشغيلها تلقائيا عند إنشاء تنبيهات معينة أو عند إنشاء الحوادث أو تحديثها. يمكن أيضا تشغيل أدلة المبادئ يدويا عند الطلب على حوادث أو تنبيهات أو كيانات معينة.

توضح هذه المقالة كيفية إنشاء أدلة مبادئ Microsoft Sentinel وإدارتها. يمكنك لاحقا إرفاق أدلة المبادئ هذه بقواعد التحليلات أو قواعد التشغيل التلقائي، أو تشغيلها يدويا على حوادث أو تنبيهات أو كيانات معينة.

إشعار

تستند أدلة المبادئ في Microsoft Sentinel إلى مهام سير العمل المضمنة في Azure Logic Apps، ما يعني أنك تحصل على جميع القوة وقابلية التخصيص والقوالب المضمنة لتطبيقات المنطق. قد يتم فرض رسوم إضافية. للحصول على معلومات التسعير، تفضل بزيارة صفحة تسعير Azure Logic Apps.

هام

يتوفر Microsoft Sentinel بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. للمعاينة، يتوفر Microsoft Sentinel في مدخل Defender بدون Microsoft Defender XDR أو ترخيص E5. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

المتطلبات الأساسية

  • حساب واشتراك Azure. إذا لم يكن لديك اشتراك، فيجب التسجيل للحصول على حساب Azure مجاني.

  • لإنشاء أدلة المبادئ وإدارتها، تحتاج إلى الوصول إلى Microsoft Sentinel باستخدام أحد أدوار Azure التالية:

    تطبيق المنطق أدوار Azure ‏‏الوصف
    الاستهلاك‬ Logic App Contributor تحرير التطبيقات المنطقية وإدارتها.
    الاستهلاك‬ عامل تشغيل Logic App قراءة التطبيقات المنطقية وتمكينها وتعطيلها.
    قياسي عامل تشغيل Logic Apps القياسي تمكين مهام سير العمل وإعادة إرسالها وتعطيلها.
    قياسي Logic Apps Standard Developer إنشاء مهام سير العمل وتحريرها.
    قياسي Logic Apps Standard Contributor إدارة جميع جوانب سير العمل.

    لمزيد من المعلومات، راجع الوثائق التالية:

  • قبل إنشاء دليل المبادئ الخاص بك، نوصي بقراءة Azure Logic Apps لدلائل مبادئ Microsoft Sentinel.

قم بإنشاء playbook

اتبع هذه الخطوات لإنشاء Playbook جديد في Microsoft Azure Sentinel:

  1. في مدخل Microsoft Azure أو في مدخل Defender، انتقل إلى مساحة عمل Microsoft Sentinel. في قائمة مساحة العمل، ضمن Configuration، حدد Automation.

  2. من القائمة العلوية، حدد إنشاء، ثم حدد أحد الخيارات التالية:

    • إذا كنت تقوم بإنشاء دليل مبادئ الاستهلاك، فحدد أحد الخيارات التالية، اعتمادا على المشغل الذي تريد استخدامه، ثم اتبع الخطوات لتطبيق منطق الاستهلاك:

      • Playbook مع مشغل الحادث
      • Playbook مع مشغل التنبيه
      • Playbook مع مشغل الكيان

      يستمر هذا الدليل مع Playbook مع مشغل الكيان.

    • إذا كنت تقوم بإنشاء دليل مبادئ قياسي، فحدد دليل مبادئ فارغ ثم اتبع الخطوات لنوع تطبيق المنطق القياسي.

    لمزيد من المعلومات، راجع أنواع تطبيقات المنطق المدعومة والمشغلات والإجراءات المدعومة في أدلة مبادئ Microsoft Sentinel.

إعداد تطبيق منطق دليل المبادئ

حدد إحدى علامات التبويب التالية للحصول على تفاصيل حول كيفية إنشاء تطبيق منطقي لدليل المبادئ الخاص بك، اعتمادا على ما إذا كنت تستخدم Consumption أو Standard logic app. لمزيد من المعلومات، راجع أنواع تطبيقات المنطق المدعومة.

تلميح

إذا كانت أدلة المبادئ الخاصة بك بحاجة إلى الوصول إلى الموارد المحمية الموجودة داخل شبكة Azure الظاهرية أو المتصلة بها، قم بإنشاء سير عمل تطبيق منطقي قياسي.

تعمل مهام سير العمل القياسية في Azure Logic Apps أحادية المستأجر وتدعم استخدام نقاط النهاية الخاصة لنسبة استخدام الشبكة الواردة بحيث يمكن لسير العمل الاتصال بشكل خاص وآمن مع الشبكات الظاهرية. تدعم مهام سير العمل القياسية أيضا تكامل الشبكة الظاهرية لحركة المرور الصادرة. لمزيد من المعلومات، راجع تأمين نسبة استخدام الشبكة بين الشبكات الظاهرية وتطبيقات Azure Logic Apps أحادية المستأجر باستخدام نقاط النهاية الخاصة.

بعد تحديد المشغل، الذي يتضمن حدثا أو تنبيها أو مشغل كيان، يظهر معالج إنشاء دليل المبادئ، على سبيل المثال:

تظهر لقطة الشاشة إنشاء معالج دليل المبادئ وعلامة تبويب الأساسيات لدليل المبادئ المستند إلى سير عمل الاستهلاك.

اتبع هذه الخطوات لإنشاء دليل المبادئ الخاص بك:

  1. في علامة التبويب Basics ، قم بتوفير المعلومات التالية:

    1. بالنسبة إلى Subscription وResource group، حدد القيم التي تريدها من القوائم الخاصة بها.

      يتم تعيين قيمة Region إلى نفس المنطقة مثل مساحة عمل Log Analytics المقترنة.

    2. بالنسبة إلى Playbook name، أدخل اسما ل playbook الخاص بك.

    3. لمراقبة نشاط دليل المبادئ هذا لأغراض التشخيص، حدد تمكين سجلات التشخيص في Log Analytics، ثم حدد مساحة عمل Log Analytics ما لم تكن قد حددت بالفعل مساحة عمل.

  2. حدد Next : Connections >.

  3. في علامة التبويب Connections ، نوصي بترك القيم الافتراضية، التي تقوم بتكوين تطبيق منطقي للاتصال ب Microsoft Sentinel بهوية مدارة.

    لمزيد من المعلومات، راجع مصادقة أدلة المبادئ إلى Microsoft Sentinel.

  4. للمتابعة، حدد Next : Review and create >.

  5. في علامة التبويب Review and create ، راجع خيارات التكوين، وحدد Create playbook.

    يستغرق Azure بضع دقائق لإنشاء دليل المبادئ ونشره. بعد اكتمال النشر، يفتح دليل المبادئ الخاص بك في مصمم سير عمل الاستهلاك ل Azure Logic Apps. يظهر المشغل الذي حددته سابقا تلقائيا كخطوة أولى في سير العمل، لذا يمكنك الآن متابعة إنشاء سير العمل من هنا.

    تظهر لقطة الشاشة مصمم سير عمل الاستهلاك مع مشغل محدد.

  6. على المصمم، حدد مشغل Microsoft Sentinel، إذا لم يكن محددا بالفعل.

  7. في جزء إنشاء اتصال ، اتبع هذه الخطوات لتوفير المعلومات المطلوبة للاتصال ب Microsoft Sentinel.

    1. بالنسبة للمصادقة، حدد من الطرق التالية، والتي تؤثر على معلمات الاتصال اللاحقة:

      الطريقة ‏‏الوصف
      OAuth التخويل المفتوح (OAuth) هو معيار تقني يسمح لك بتخويل تطبيق أو خدمة لتسجيل الدخول إلى تطبيق آخر دون الكشف عن معلومات خاصة، مثل كلمات المرور. OAuth 2.0 هو بروتوكول الصناعة للتخويل ويمنح وصولا محدودا إلى الموارد المحمية. لمزيد من المعلومات، راجع الموارد التالية:

      - ما هو OAuth؟
      - تخويل OAuth 2.0 مع معرف Microsoft Entra
      كيان الخدمة يمثل كيان الخدمة كيانا يتطلب الوصول إلى الموارد التي يتم تأمينها بواسطة مستأجر Microsoft Entra. لمزيد من المعلومات، راجع كائن كيان الخدمة.
      الهوية المدارة هوية تتم إدارتها تلقائيا في معرف Microsoft Entra. يمكن للتطبيقات استخدام هذه الهوية للوصول إلى الموارد التي تدعم مصادقة Microsoft Entra والحصول على رموز Microsoft Entra المميزة دون الحاجة إلى إدارة أي بيانات اعتماد.

      للحصول على الأمان الأمثل، توصي Microsoft باستخدام هوية مدارة للمصادقة عندما يكون ذلك ممكنا. يوفر هذا الخيار أمانا فائقا ويساعد على الحفاظ على أمان معلومات المصادقة بحيث لا تضطر إلى إدارة هذه المعلومات الحساسة. لمزيد من المعلومات، راجع الموارد التالية:

      - ما الهويات المُدارة لموارد Azure؟
      - مصادقة الوصول والاتصالات إلى موارد Azure باستخدام الهويات المدارة في Azure Logic Apps.

      لمزيد من المعلومات، راجع مطالبات المصادقة.

    2. استنادا إلى خيار المصادقة المحدد، قم بتوفير قيم المعلمات الضرورية للخيار المقابل.

      لمزيد من المعلومات حول هذه المعلمات، راجع مرجع موصل Microsoft Sentinel.

    3. بالنسبة إلى Tenant ID، حدد معرف مستأجر Microsoft Entra.

    4. عند الانتهاء، حدد تسجيل الدخول.

  8. إذا اخترت مسبقا Playbook مع مشغل الكيان، فحدد نوع الكيان الذي تريد أن يتلقاه دليل المبادئ هذا كإدخال.

    تظهر لقطة الشاشة دليل مبادئ سير عمل الاستهلاك مع مشغل الكيان وأنواع الكيانات المتوفرة لتحديدها لتعيين مخطط دليل المبادئ.

مطالبات المصادقة

عند إضافة مشغل أو إجراء لاحق يتطلب مصادقة، قد تتم مطالبتك بالاختيار من بين أنواع المصادقة المتوفرة التي يدعمها موفر الموارد المقابل. في هذا المثال، مشغل Microsoft Sentinel هو العملية الأولى التي تضيفها إلى سير العمل الخاص بك. لذلك، موفر الموارد هو Microsoft Sentinel، الذي يدعم العديد من خيارات المصادقة. لمزيد من المعلومات، راجع الوثائق التالية:

إضافة إجراءات إلى دليل المبادئ

الآن بعد أن أصبح لديك سير عمل ل playbook الخاص بك، حدد ما يحدث عند استدعاء دليل المبادئ. أضف الإجراءات أو الشروط المنطقية أو الحلقات أو تبديل شروط الحالة، كل ذلك عن طريق تحديد علامة الجمع (+) على المصمم. لمزيد من المعلومات، راجع إنشاء سير عمل باستخدام مشغل أو إجراء.

يفتح هذا التحديد جزء إضافة إجراء حيث يمكنك الاستعراض أو البحث عن الخدمات والتطبيقات والأنظمة وإجراءات تدفق التحكم والمزيد. بعد إدخال مصطلحات البحث أو تحديد المورد الذي تريده، تعرض لك قائمة النتائج الإجراءات المتوفرة.

في كل إجراء، عند تحديد داخل حقل، تحصل على الخيارات التالية:

  • المحتوى الديناميكي (أيقونة البرق): اختر من قائمة المخرجات المتوفرة من الإجراءات السابقة في سير العمل، بما في ذلك مشغل Microsoft Sentinel. على سبيل المثال، يمكن أن تتضمن هذه المخرجات سمات تنبيه أو حدث تم تمريره إلى دليل المبادئ، بما في ذلك قيم وسمات جميع الكيانات المعينة والتفاصيل المخصصة في التنبيه أو الحدث. يمكنك إضافة مراجع إلى الإجراء الحالي عن طريق تحديد هذه المخرجات.

    للحصول على أمثلة تظهر استخدام المحتوى الديناميكي، راجع الأقسام التالية:

  • محرر التعبير (أيقونة الدالة): اختر من مكتبة كبيرة من الدالات لإضافة المزيد من المنطق إلى سير العمل.

لمزيد من المعلومات، راجع المشغلات والإجراءات المدعومة في أدلة مبادئ Microsoft Sentinel.

المحتوى الديناميكي: أدلة مبادئ الكيان التي لا تحتوي على معرف الحادث

غالبا ما تستخدم أدلة المبادئ التي تم إنشاؤها باستخدام مشغل كيان Microsoft Sentinel الحقل Incident ARM ID، على سبيل المثال، لتحديث حدث بعد اتخاذ إجراء على الكيان. إذا تم تشغيل دليل المبادئ هذا في سيناريو غير متصل بحادث، مثل عند تتبع التهديدات، فلا يوجد معرف حدث لملء هذا الحقل. بدلا من ذلك، يتم ملء الحقل بقيمة خالية. ونتيجة لذلك، قد يفشل تشغيل دليل المبادئ حتى الاكتمال.

لمنع هذا الفشل، نوصي بإنشاء شرط يتحقق من قيمة في حقل معرف الحدث قبل أن يتخذ سير العمل أي إجراءات أخرى. يمكنك وصف مجموعة مختلفة من الإجراءات التي يجب اتخاذها إذا كان الحقل يحتوي على قيمة خالية، بسبب عدم تشغيل دليل المبادئ من حادث.

  1. في سير العمل، قبل الإجراء الأول الذي يشير إلى الحقل Incident ARM ID، اتبع هذه الخطوات العامة لإضافة إجراء شرط.

  2. في جزء Condition ، في صف الشرط، حدد الحقل الأيسر Choose a value ، ثم حدد خيار المحتوى الديناميكي (رمز البرق).

  3. من قائمة المحتوى الديناميكي، ضمن حدث Microsoft Sentinel، استخدم مربع البحث للبحث عن معرف Arm للحوادث وتحديده.

    تلميح

    إذا لم يظهر الإخراج في القائمة، إلى جانب اسم المشغل، فحدد مشاهدة المزيد.

  4. في الحقل الأوسط، من قائمة عامل التشغيل، حدد لا يساوي.

  5. في الجانب الأيسر اختر حقل قيمة ، وحدد خيار محرر التعبير (أيقونة الدالة).

  6. في المحرر، أدخل null، وحدد Add.

عند الانتهاء، تبدو حالتك مشابهة للمثال التالي:

تظهر لقطة الشاشة شرطا إضافيا لإضافته قبل حقل معرف Incident ARM.

المحتوى الديناميكي: العمل مع التفاصيل المخصصة

في مشغل الحادث Microsoft Sentinel، يكون إخراج تفاصيل التنبيه المخصصة عبارة عن صفيف من كائنات JSON حيث يمثل كل منها تفاصيل مخصصة من تنبيه. التفاصيل المخصصة هي أزواج قيم المفاتيح التي تتيح لك عرض المعلومات من الأحداث في التنبيه بحيث يمكن تمثيلها وتعقبها وتحليلها كجزء من الحدث.

هذا الحقل في التنبيه قابل للتخصيص، لذلك يعتمد مخططه على نوع الحدث الذي يتم عرضه. لإنشاء المخطط الذي يحدد كيفية تحليل إخراج التفاصيل المخصصة، قم بتوفير البيانات من مثيل لهذا الحدث:

  1. في قائمة مساحة عمل Microsoft Sentinel، ضمن Configuration، حدد Analytics.

  2. اتبع الخطوات لإنشاء أو فتح قاعدة استعلام مجدولة موجودة أو قاعدة استعلام NRT.

  3. في علامة التبويب Set rule logic، قم بتوسيع قسم Custom details، على سبيل المثال:

    تظهر لقطة الشاشة التفاصيل المخصصة المحددة في قاعدة التحليلات.

    يوفر الجدول التالي المزيد من المعلومات حول أزواج قيم المفاتيح هذه:

    العنصر الموقع ‏‏الوصف
    المفتاح العمود الأيسر يمثل الحقول المخصصة التي تقوم بإنشائها.
    القيمة العمود الأيمن يمثل الحقول من بيانات الحدث التي تملأ الحقول المخصصة.

  4. لإنشاء المخطط، قم بتوفير مثال التعليمات البرمجية JSON التالي:

    { "FirstCustomField": [ "1", "2" ], "SecondCustomField": [ "a", "b" ] }

    تعرض التعليمات البرمجية أسماء المفاتيح كصفائف، والقيم كعناصر في الصفائف. يتم عرض القيم كقيم فعلية، وليس العمود الذي يحتوي على القيم.

لاستخدام الحقول المخصصة لمشغلات الحوادث، اتبع الخطوات التالية لسير العمل:

  1. في مصمم سير العمل، ضمن مشغل حدث Microsoft Sentinel، أضف الإجراء المضمن المسمى Parse JSON.

  2. حدد داخل معلمة المحتوى للإجراء، وحدد خيار قائمة المحتوى الديناميكي (أيقونة البرق).

  3. من القائمة، في قسم مشغل الحدث، ابحث عن تفاصيل مخصصة للتنبيه وحددها، على سبيل المثال:

    تظهر لقطة الشاشة تفاصيل التنبيه المخصصة المحددة في قائمة المحتوى الديناميكي.

    يضيف هذا التحديد تلقائيا لكل تكرار حلقي حول تحليل JSON لأن الحادث يحتوي على صفيف من التنبيهات.

  4. في جزء تحليل معلومات JSON ، حدد استخدام حمولة العينة لإنشاء مخطط، على سبيل المثال:

    تظهر لقطة الشاشة تحديد استخدام حمولة العينة لإنشاء ارتباط مخطط.

  5. في المربع إدخال أو لصق حمولة JSON عينة، قم بتوفير حمولة عينة، وحدد تم.

    على سبيل المثال، يمكنك العثور على حمولة عينة من خلال البحث في Log Analytics لمثيل آخر من هذا التنبيه، ثم نسخ كائن التفاصيل المخصصة، والذي يمكنك العثور عليه ضمن الخصائص الموسعة. للوصول إلى بيانات Log Analytics، انتقل إما إلى صفحة Logs في مدخل Microsoft Azure أو صفحة التتبع المتقدم في مدخل Defender.

    يوضح المثال التالي نموذج التعليمات البرمجية JSON السابق:

    تظهر لقطة الشاشة عينة حمولة JSON.

    عند الانتهاء، يحتوي مربع المخطط الآن على المخطط الذي تم إنشاؤه استنادا إلى العينة التي قدمتها. ينشئ إجراء تحليل JSON حقولا مخصصة يمكنك استخدامها الآن كالحقول الديناميكية مع نوع الصفيف في الإجراءات اللاحقة لسير العمل.

    يوضح المثال التالي صفيفا وعناصره، سواء في المخطط أو في قائمة المحتوى الديناميكي لإجراء لاحق يسمى Compose:

    تظهر لقطة الشاشة جاهزة لاستخدام الحقول الديناميكية من المخطط.

إدارة أدلة المبادئ

حدد علامة التبويب Automation > Active playbooks لعرض جميع أدلة المبادئ التي يمكنك الوصول إليها، والتي تمت تصفيتها حسب طريقة عرض الاشتراك.

بعد الإلحاق بمدخل Microsoft Defender، تعرض علامة التبويب أدلة المبادئ النشطة بشكل افتراضي عامل تصفية معرف مسبقا مع اشتراك مساحة العمل المضمنة. في مدخل Microsoft Azure، قم بتحرير الاشتراكات التي تعرضها من قائمة Directory + subscription في رأس صفحة Azure العمومية.

بينما تعرض علامة التبويب أدلة المبادئ النشطة جميع أدلة المبادئ النشطة المتوفرة عبر أي اشتراكات محددة، يمكن استخدام دليل المبادئ بشكل افتراضي فقط ضمن الاشتراك الذي ينتمي إليه، ما لم تمنح أذونات Microsoft Sentinel لمجموعة موارد دليل المبادئ على وجه التحديد.

تعرض علامة التبويب أدلة المبادئ النشطة أدلة المبادئ بالتفاصيل التالية:

اسم العمود ‏‏الوصف
الحالة يشير إلى ما إذا كان دليل المبادئ ممكنا أو معطلا.
تخطيط يشير إلى ما إذا كان دليل المبادئ يستخدم نوع مورد Standard أو Consumption Azure Logic Apps.

تستخدم LogicApp/Workflow أدلة المبادئ من النوع القياسي اصطلاح التسمية، والذي يعكس كيف يمثل دليل المبادئ القياسي سير عمل موجود جنبا إلى جنب مع مهام سير العمل الأخرى في تطبيق منطق واحد.

لمزيد من المعلومات، راجع Azure Logic Apps لدلائل مبادئ Microsoft Sentinel.
نوع المشغل يشير إلى المشغل في Azure Logic Apps الذي يبدأ تشغيل دليل المبادئ هذا:

- Microsoft Sentinel Incident/Alert/Entity: يبدأ دليل المبادئ بأحد مشغلات Sentinel، بما في ذلك الحدث أو التنبيه أو الكيان
- استخدام إجراء Microsoft Sentinel: يبدأ دليل المبادئ بمشغل غير Microsoft Sentinel ولكنه يستخدم إجراء Microsoft Sentinel
- آخر: لا يتضمن دليل المبادئ أي مكونات Microsoft Sentinel
- لم تتم تهيئته: تم إنشاء دليل المبادئ، ولكنه لا يحتوي على مكونات، ولا يؤدي أي منهما إلى تشغيل أي إجراءات.

حدد دليل المبادئ لفتح صفحة Azure Logic Apps الخاصة به، والتي تعرض المزيد من التفاصيل حول دليل المبادئ. في صفحة Azure Logic Apps:

  • عرض سجل لجميع الأوقات التي تم فيها تشغيل دليل المبادئ
  • عرض نتائج التشغيل، بما في ذلك النجاحات والفشل والتفاصيل الأخرى
  • إذا كانت لديك الأذونات ذات الصلة، فافتح مصمم سير العمل في Azure Logic Apps لتحرير دليل المبادئ مباشرة

المحتوى ذو الصلة

بعد إنشاء دليل المبادئ، قم بإرفاقه بالقواعد التي سيتم تشغيلها بواسطة الأحداث في بيئتك، أو قم بتشغيل أدلة المبادئ يدويا على حوادث أو تنبيهات أو كيانات معينة.

لمزيد من المعلومات، راجع: