مشاركة عبر

إنشاء مهام الحوادث وتنفيذها في Microsoft Sentinel باستخدام أدلة المبادئ

  • مقالة
  • ينطبق على:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

توضح هذه المقالة كيفية استخدام أدلة المبادئ لإنشاء مهام الحوادث وتنفيذها اختياريا لإدارة عمليات سير عمل المحللين المعقدة في Microsoft Sentinel.

استخدم إجراء إضافة مهمة في دليل المبادئ، في موصل Microsoft Sentinel، لإضافة مهمة تلقائيا إلى الحدث الذي أدى إلى تشغيل دليل المبادئ. يتم دعم كل من مهام سير العمل القياسية والاستهلاكية.

تلميح

يمكن إنشاء مهام الحوادث تلقائيا ليس فقط بواسطة أدلة المبادئ، ولكن أيضا من خلال قواعد الأتمتة، وأيضا يدويا، بشكل مخصص، من داخل الحدث.

لمزيد من المعلومات، راجع استخدام المهام لإدارة الحوادث في Microsoft Sentinel.

المتطلبات الأساسية

  • مطلوب دور مستجيب Microsoft Sentinel لعرض الحوادث وتحريرها، وهو أمر ضروري لإضافة المهام وعرضها وتحريرها.

  • مطلوب دور Logic Apps Contributor لإنشاء أدلة المبادئ وتحريرها.

لمزيد من المعلومات، راجع متطلبات دليل مبادئ Microsoft Sentinel.

استخدام دليل المبادئ لإضافة مهمة وتنفيذها

يوفر هذا القسم إجراء نموذجيا لإضافة إجراء دليل المبادئ الذي يقوم بالتالي:

  • إضافة مهمة إلى الحدث، وإعادة تعيين كلمة مرور مستخدم تم اختراقها
  • إضافة إجراء دليل مبادئ آخر لإرسال إشارة إلى Microsoft Entra ID Protection (AAD (دليل Azure النشط)IP) لإعادة تعيين كلمة المرور فعليا
  • يضيف إجراء دليل المبادئ النهائي لوضع علامة على المهمة في اكتمال الحدث.

لإضافة هذه الإجراءات وتكوينها، اتبع الخطوات التالية:

  1. من موصل Microsoft Sentinel، أضف إجراء إضافة مهمة إلى الحدث ثم:

    1. حدد عنصر المحتوى الديناميكي لمعرف Incident ARM لحقل معرف Incident ARM.

    2. أدخل إعادة تعيين كلمة مرور المستخدم كعنوان.

    3. إضافة وصف اختياري.

    على سبيل المثال:

    تظهر لقطة الشاشة إجراءات دليل المبادئ لإضافة مهمة لإعادة تعيين كلمة مرور المستخدم.

  2. إضافة إجراء Entities - Get Accounts (Preview). أضف عنصر المحتوى الديناميكي للكيانات (من مخطط حدث Microsoft Sentinel) إلى حقل قائمة الكيانات. على سبيل المثال:

    تظهر لقطة الشاشة إجراءات دليل المبادئ للحصول على كيانات الحساب في الحدث.

  3. أضف لكل تكرار حلقي من مكتبة إجراءات التحكم. أضف عنصر المحتوى الديناميكي للحسابات من الكيانات - الحصول على إخراج الحسابات إلى حقل تحديد إخراج من الخطوات السابقة. على سبيل المثال:

    توضح لقطة الشاشة كيفية إضافة إجراء حلقة لكل حلقة إلى دليل المبادئ من أجل تنفيذ إجراء على كل حساب مكتشف.

  4. داخل التكرار الحلقي لكل تكرار حلقي، حدد إضافة إجراء. ثم:

    1. ابحث عن موصل Microsoft Entra ID Protection وحدده
    2. حدد الإجراء Confirm a risky user as compromised (Preview).
    3. أضف عنصر المحتوى الديناميكي لمعرف مستخدم Accounts Microsoft Entra إلى حقل userIds Item - 1.

    يعين هذا الإجراء في عمليات الحركة داخل Microsoft Entra ID Protection لإعادة تعيين كلمة مرور المستخدم.

    تظهر لقطة الشاشة إرسال الكيانات إلى AAD (دليل Azure النشط)IP لتأكيد التسوية.

    إشعار

    يعد حقل معرف مستخدم Accounts Microsoft Entra إحدى الطرق لتعريف مستخدم في AAD (دليل Azure النشط)IP. قد لا يكون بالضرورة أفضل طريقة في كل سيناريو، ولكن يتم إحضاره هنا كمثال.

    للحصول على المساعدة، راجع أدلة المبادئ الأخرى التي تتعامل مع المستخدمين الذين تم اختراقهم، أو وثائق Microsoft Entra ID Protection.

  5. أضف الإجراء وضع علامة على مهمة كمكتملة من موصل Microsoft Sentinel وأضف عنصر المحتوى الديناميكي لمعرف مهمة الحدث إلى حقل معرف Task ARM. على سبيل المثال:

    لقطة شاشة توضح كيفية إضافة إجراء دليل المبادئ لوضع علامة على مهمة حدث مكتملة.

استخدام دليل المبادئ لإضافة مهمة بشكل مشروط

يوفر هذا القسم إجراء عينة لإضافة إجراء دليل المبادئ الذي يبحث عن عنوان IP الذي يظهر في حادث.

  • إذا كانت نتائج هذا البحث هي أن عنوان IP ضار، يقوم دليل المبادئ بإنشاء مهمة للمحلل لتعطيل المستخدم باستخدام عنوان IP هذا.
  • إذا لم يكن عنوان IP عنوانا ضارا معروفا، ينشئ دليل المبادئ مهمة مختلفة، ليتصل المحلل بالمستخدم للتحقق من النشاط.

لإضافة هذه الإجراءات وتكوينها، اتبع الخطوات التالية:

  1. من موصل Microsoft Sentinel، أضف إجراء Entities - Get IPs . أضف عنصر المحتوى الديناميكي للكيانات (من مخطط حدث Microsoft Sentinel) إلى حقل قائمة الكيانات. على سبيل المثال:

    تظهر لقطة الشاشة إجراءات دليل المبادئ للحصول على كيانات عنوان IP في الحدث.

  2. أضف لكل تكرار حلقي من مكتبة إجراءات التحكم. أضف عنصر المحتوى الديناميكي ل IPs من الكيانات - الحصول على إخراج عناوين IP إلى حقل تحديد إخراج من الخطوات السابقة. على سبيل المثال:

    توضح لقطة الشاشة كيفية إضافة إجراء حلقة لكل حلقة إلى دليل المبادئ من أجل تنفيذ إجراء على كل عنوان IP مكتشف.

  3. داخل التكرار الحلقي لكل تكرار حلقي، حدد إضافة إجراء، ثم:

    1. ابحث عن موصل إجمالي الفيروسات وحدده.
    2. حدد إجراء الحصول على تقرير IP (معاينة).
    3. أضف عنصر المحتوى الديناميكي لعنوان عناوين IP من الكيانات - الحصول على إخراج عناوين IP إلى حقل عنوان IP.

    على سبيل المثال:

    تظهر لقطة الشاشة إرسال الطلب إلى إجمالي الفيروسات لتقرير عنوان IP.

  4. داخل التكرار الحلقي لكل تكرار حلقي، حدد إضافة إجراء، ثم:

    1. إضافة شرط من مكتبة إجراءات التحكم.
    2. أضف عنصر المحتوى الديناميكي الضار لإحصاءات التحليل الأخير من إخراج الحصول على تقرير IP. قد تحتاج إلى تحديد مشاهدة المزيد للعثور عليه.
    3. حدد هو أكبر من عامل التشغيل وأدخل 0 كقيمة.

    يطرح هذا الشرط السؤال "هل كان لتقرير IP إجمالي الفيروسات أي نتائج؟" على سبيل المثال:

    لقطة شاشة توضح كيفية تعيين حالة true-false في دليل المبادئ.

  5. داخل الخيار True، حدد Add an action، ثم:

    1. حدد الإجراء Add task to incident من موصل Microsoft Sentinel.
    2. حدد عنصر المحتوى الديناميكي لمعرف Incident ARM لحقل معرف Incident ARM.
    3. أدخل وضع علامة على المستخدم كمخترق كعنوان.
    4. إضافة وصف اختياري.

    على سبيل المثال:

    تظهر لقطة الشاشة إجراءات دليل المبادئ لإضافة مهمة لوضع علامة على المستخدم على أنه مخترق.

  6. داخل الخيار خطأ، حدد إضافة إجراء، ثم:

    1. حدد الإجراء Add task to incident من موصل Microsoft Sentinel.
    2. حدد عنصر المحتوى الديناميكي لمعرف Incident ARM لحقل معرف Incident ARM.
    3. أدخل الوصول إلى المستخدم لتأكيد النشاط كعنوان.
    4. إضافة وصف اختياري.

    على سبيل المثال:

    تظهر لقطة الشاشة إجراءات دليل المبادئ لإضافة مهمة لتأكيد نشاط المستخدم.

المحتوى ذو الصلة

لمزيد من المعلومات، راجع: