مشاركة عبر

أتمتة وتشغيل أدلة مبادئ Microsoft Sentinel

  • مقالة
  • ينطبق على:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Playbooks هي مجموعات من الإجراءات التي يمكن تشغيلها من Microsoft Sentinel استجابة لحادث بأكمله أو لتنبيه فردي أو إلى كيان معين. يمكن أن يساعد دليل المبادئ في أتمتة الاستجابة وتنسيقها، ويمكن تعيينه للتشغيل تلقائيا عند إنشاء تنبيهات محددة أو عند إنشاء الحوادث أو تحديثها، عن طريق إرفاقها بقاعدة التنفيذ التلقائي. يمكن أيضا تشغيله يدويا عند الطلب على حوادث أو تنبيهات أو كيانات محددة.

توضح هذه المقالة كيفية إرفاق أدلة المبادئ بقواعد التحليلات أو قواعد التشغيل التلقائي، أو تشغيل أدلة المبادئ يدويا على حوادث أو تنبيهات أو كيانات معينة.

إشعار

تستند كتيبات التشغيل في Microsoft Azure Sentinel إلى تدفقات العمل المضمنة في Azure Logic Apps، مما يعني أنك تحصل على كل القوة وقابلية التخصيص والقوالب المضمنة لتطبيقات Logic. قد يتم تطبيق رسوم إضافية. قم بزيارة صفحة التسعير Azure Logic Apps للحصول على مزيد من التفاصيل.

هام

يتوفر Microsoft Sentinel بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. للمعاينة، يتوفر Microsoft Sentinel في مدخل Defender بدون Microsoft Defender XDR أو ترخيص E5. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

المتطلبات الأساسية

قبل البدء، تأكد من أن لديك دليل مبادئ متوفرا للأتمتة أو التشغيل، مع مشغل وشروط وإجراءات محددة. لمزيد من المعلومات، راجع إنشاء أدلة مبادئ Microsoft Sentinel وإدارتها.

أدوار Azure المطلوبة لتشغيل أدلة المبادئ

لتشغيل أدلة المبادئ، تحتاج إلى أدوار Azure التالية:

الدور ‏‏الوصف
المالك يتيح لك منح حق الوصول إلى أدلة المبادئ في مجموعة الموارد.
مساهم Microsoft Sentinel إرفاق دليل مبادئ بقاعدة تحليلات أو قاعدة أتمتة
مستجيب Microsoft Sentinel الوصول إلى حدث لتشغيل دليل المبادئ يدويا. لتشغيل دليل المبادئ بالفعل، تحتاج أيضا إلى الأدوار التالية:

- Microsoft Sentinel Playbook Operator، لتشغيل دليل المبادئ يدويا
- دور Microsoft Sentinel Automation Contributor ، للسماح لقواعد التشغيل التلقائي بتشغيل أدلة المبادئ.

لمزيد من المعلومات، راجع المتطلبات الأساسية لدليل المبادئ.

أذونات إضافية مطلوبة لتشغيل أدلة المبادئ على الحوادث

يستخدم Microsoft Sentinel حساب خدمة لتشغيل أدلة المبادئ على الحوادث، لإضافة الأمان وتمكين واجهة برمجة تطبيقات قواعد التشغيل التلقائي لدعم حالات استخدام CI/CD. يتم استخدام حساب الخدمة هذا لدلائل المبادئ المشغلة بالحوادث، أو عند تشغيل دليل المبادئ يدويا على حدث معين.

بالإضافة إلى الأدوار والأذونات الخاصة بك، يجب أن يكون لحساب خدمة Microsoft Sentinel هذا مجموعة الأذونات الخاصة به على مجموعة الموارد حيث يوجد دليل المبادئ، في شكل دور Microsoft Sentinel Automation Contributor . بمجرد أن يكون ل Microsoft Sentinel هذا الدور، يمكنه تشغيل أي دليل مبادئ في مجموعة الموارد ذات الصلة، يدويا أو من قاعدة التنفيذ التلقائي.

لمنح Microsoft Sentinel الأذونات المطلوبة، يجب أن يكون لديك دور مسؤول وصول المالك أو المستخدم. لتشغيل أدلة المبادئ، ستحتاج أيضا إلى دور Logic App Contributor في مجموعة الموارد التي تحتوي على أدلة المبادئ التي تريد تشغيلها.

تكوين أذونات دليل المبادئ للحوادث في نشر متعدد المستأجرين

في التوزيع متعدد المستأجرين، إذا كان دليل المبادئ الذي تريد تشغيله في مستأجر مختلف، يجب منح حساب خدمة Microsoft Sentinel إذنا لتشغيل دليل المبادئ في مستأجر دليل المبادئ.

  1. من قائمة التنقل Microsoft Azure Sentinel في مستأجر كتيبات التشغيل، حدد Settings.

  2. في صفحة الإعدادات ، حدد علامة التبويب الإعدادات ، ثم موسع أذونات Playbook.

  3. حدد الزر تكوين الأذونات لفتح لوحة إدارة الأذونات.

  4. ضع علامة على خانات الاختيار لمجموعات الموارد التي تحتوي على أدلة المبادئ التي تريد تشغيلها، وحدد تطبيق. على سبيل المثال:

    لقطة شاشة تعرض قسم الإجراءات مع تحديد دليل التشغيل.

يجب أن يكون لديك أذونات المالك على أي مجموعة موارد تريد منح أذونات Microsoft Sentinel لها، ويجب أن يكون لديك دور عامل تشغيل دليل المبادئ Microsoft Sentinel على أي مجموعة موارد تحتوي على أدلة المبادئ التي تريد تشغيلها.

إذا كنت تريد ، في سيناريو MSSP، تشغيل دليل مبادئ في مستأجر عميل من قاعدة أتمتة تم إنشاؤها أثناء تسجيل الدخول إلى مستأجر موفر الخدمة، يجب منح Microsoft Sentinel الإذن لتشغيل دليل المبادئ في كلا المستأجرين:

  • في مستأجر العميل، اتبع الإرشادات القياسية للتوزيع متعدد المستأجرين.

  • في مستأجر موفر الخدمة، أضف تطبيق Azure Security Insights في قالب إلحاق Azure Lighthouse كما يلي:

    1. من مدخل Microsoft Azure، انتقل إلى Microsoft Entra ID وحدد Enterprise applications.
    2. حدد نوع التطبيق وعامل التصفية على تطبيقات Microsoft.
    3. في مربع البحث، أدخل Azure Security Insights.
    4. نسخ حقل Object ID. تحتاج إلى إضافة هذا التخويل الإضافي إلى تفويض Azure Lighthouse الحالي.

يحتوي دور Microsoft Sentinel Automation Contributor على GUID ثابت من f4c81013-99ee-4d62-a7ee-b3f1f648599a. سيبدو نموذج تفويض Azure Lighthouse مثل هذا في قالب المعلمات الخاصة بك:

{
"principalId": "<Enter the Azure Security Insights app Object ID>", 
"roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
"principalIdDisplayName": "Microsoft Sentinel Automation Contributors" 
}

أتمتة الاستجابات للحوادث والتنبيهات

للاستجابة تلقائيا للحوادث بأكملها أو التنبيهات الفردية باستخدام دليل المبادئ، قم بإنشاء قاعدة أتمتة يتم تشغيلها عند إنشاء الحدث أو تحديثه، أو عند إنشاء التنبيه. تتضمن قاعدة التنفيذ التلقائي هذه خطوة تستدعي دليل المبادئ الذي تريد استخدامه.

لإنشاء قاعدة أتمتة:

  1. من صفحة التنفيذ التلقائي في قائمة التنقل في Microsoft Sentinel، حدد إنشاء من القائمة العلوية ثم قاعدة التنفيذ التلقائي. على سبيل المثال:

    لقطة شاشة توضح كيفية إضافة قاعدة أتمتة جديدة.

  2. يتم فتح لوحة انشأ قاعدة التنفيذ التلقائي الجديدة. أدخل اسماً لقاعدتك. تختلف خياراتك بناء على ما إذا كانت مساحة العمل الخاصة بك قد تم إعدادها في مدخل Microsoft Defender. على سبيل المثال:

  3. المشغل: حدد المشغل المناسب وفقا للظروف التي تقوم بإنشاء قاعدة التنفيذ التلقائي لها — عند إنشاء الحدث أو عند تحديث الحدث أو عند إنشاء التنبيه.

  4. شروط:

    1. إذا لم يتم إلحاق مساحة العمل الخاصة بك بعد في مدخل Defender، يمكن أن تحتوي الحوادث على مصدرين محتملين:

      إذا حددت أحد مشغلات الأحداث وتريد أن تسري قاعدة التنفيذ التلقائي فقط على الحوادث المصدر في Microsoft Sentinel، أو بدلا من ذلك في Microsoft Defender XDR، فحدد المصدر في شرط If Incident provider .

      يتم عرض هذا الشرط فقط إذا تم تحديد مشغل حدث ولم يتم إلحاق مساحة العمل الخاصة بك بمدخل Defender.

    2. بالنسبة لجميع أنواع المشغلات، إذا كنت تريد أن تسري قاعدة التنفيذ التلقائي فقط على قواعد تحليلات معينة، فحدد القواعد عن طريق تعديل إذا كان اسم قاعدة التحليلات يحتوي على شرط.

    3. أضف أي شروط أخرى تريد تحديد ما إذا كانت قاعدة التنفيذ التلقائي هذه تعمل أم لا. حدد + إضافة وحدد الشروط أو مجموعات الشروط من القائمة المنسدلة. يتم تعبئة قائمة الشروط بتفاصيل التنبيه وحقول معرف الكيان.

  5. الإجراءات:

    1. نظرا لأنك تستخدم قاعدة التشغيل التلقائي هذه لتشغيل دليل المبادئ، حدد إجراء Run playbook من القائمة المنسدلة. سيطلب منك بعد ذلك التحديد من قائمة منسدلة ثانية تعرض أدلة المبادئ المتوفرة. يمكن لقاعدة التشغيل التلقائي تشغيل أدلة المبادئ التي تبدأ بنفس المشغل (حدث أو تنبيه) مثل المشغل المحدد في القاعدة، لذلك تظهر أدلة المبادئ هذه فقط في القائمة.

      إذا ظهر دليل المبادئ باللون الرمادي في القائمة المنسدلة، فهذا يعني أن Microsoft Sentinel ليس لديه إذن لمجموعة موارد دليل المبادئ هذا. حدد الارتباط إدارة أذونات دليل المبادئ لتعيين الأذونات.

      في لوحة Manage permissions التي تفتح، حدد خانات الاختيار لمجموعات الموارد التي تحتوي على كتيبات التشغيل التي تريد تشغيلها، وحدد Apply. على سبيل المثال:

      لقطة شاشة تعرض قسم الإجراءات مع تحديد دليل التشغيل.

      يجب أن يكون لديك أذونات المالك على أي مجموعة موارد تريد منح أذونات Microsoft Sentinel لها، ويجب أن يكون لديك دور عامل تشغيل دليل المبادئ Microsoft Sentinel على أي مجموعة موارد تحتوي على أدلة المبادئ التي تريد تشغيلها.

      لمزيد من المعلومات، راجع الأذونات الإضافية المطلوبة لتشغيل أدلة المبادئ على الحوادث.

    2. أضف أي إجراءات أخرى تريدها لهذه القاعدة. يمكنك تغيير ترتيب تنفيذ الإجراءات عن طريق تحديد الأسهم لأعلى أو لأسفل إلى يمين أي إجراء.

  6. عيّن تاريخ انتهاء الصلاحية لقاعدة التنفيذ التلقائي إذا كنت تريد أن يكون لها واحد.

  7. أدخل رقما ضمن Order لتحديد مكان تشغيل هذه القاعدة في تسلسل قواعد التنفيذ التلقائي.

  8. حدد تطبيق لإكمال التنفيذ التلقائي.

لمزيد من المعلومات، راجع إنشاء أدلة مبادئ Microsoft Sentinel وإدارتها.

الاستجابة للتنبيهات - الأسلوب القديم

طريقة أخرى لتشغيل أدلة المبادئ تلقائيا استجابة للتنبيهات هي استدعائها من قاعدة التحليلات. عندما تنشئ القاعدة تنبيها، يتم تشغيل دليل المبادئ.

سيتم إهمال هذا الأسلوب اعتبارا من مارس 2026.

بدءا من يونيو 2023، لم يعد بإمكانك إضافة أدلة المبادئ إلى قواعد التحليلات بهذه الطريقة. ومع ذلك، لا يزال بإمكانك مشاهدة أدلة المبادئ الموجودة التي تم استدعاؤها من قواعد التحليلات، وسيظل تشغيل أدلة المبادئ هذه حتى مارس 2026. نحن نشجعك بشدة على إنشاء قواعد التشغيل التلقائي لاستدعاء أدلة المبادئ هذه بدلا من ذلك قبل ذلك.

تشغيل دليل المبادئ يدويا، عند الطلب

يمكنك أيضا تشغيل دليل المبادئ يدويا عند الطلب، سواء استجابة للتنبيهات أو الحوادث أو الكيانات. يمكن أن يكون هذا مفيداً في المواقف التي تريد فيها المزيد من المدخلات البشرية والتحكم فيها في عمليات التنسيق والاستجابة.

قم بتشغيل كتاب التشغيل يدوياً عند التنبيه

هذا الإجراء غير مدعوم في مدخل Defender.

في مدخل Microsoft Azure، حدد إحدى علامات التبويب التالية حسب الحاجة للبيئة الخاصة بك:

  1. في صفحة الحوادث ، حدد حدثا، ثم حدد عرض التفاصيل الكاملة لفتح صفحة تفاصيل الحادث.

  2. في صفحة تفاصيل الحدث، في عنصر واجهة مستخدم المخطط الزمني للحوادث، حدد التنبيه الذي تريد تشغيل دليل المبادئ عليه. حدد النقاط الثلاث في نهاية سطر التنبيه وحدد Run playbook من القائمة المنبثقة.

    لقطة شاشة لتشغيل دليل المبادئ على تنبيه عند الطلب.

  3. يتم فتح جزء أدلة مبادئ التنبيه. ترى قائمة بجميع أدلة المبادئ التي تم تكوينها باستخدام مشغل Microsoft Sentinel Alert Logic Apps الذي يمكنك الوصول إليه.

  4. حدد Run في سطر دليل معين لتشغيله على الفور.

يمكنك مشاهدة سجل التشغيل لكتب التشغيل في تنبيه عن طريق تحديد علامة التبويب Runs في جزء Alert playbooks. قد يستغرق الأمر بضع ثوانٍ حتى تظهر أي عملية تشغيل مكتملة للتو في القائمة. يؤدي تحديد تشغيل معين إلى فتح سجل التشغيل الكامل في Logic Apps.

قم بتشغيل كتيب اللعبة يدوياً حول حادث

يختلف هذا الإجراء، اعتمادا على ما إذا كنت تعمل في مدخل Microsoft Azure أو في مدخل Defender. حدد علامة التبويب ذات الصلة للبيئة الخاصة بك:

  1. في صفحة Incidents، حدد حادثة.

  2. من جزء تفاصيل الحدث الذي يظهر على الجانب، حدد Actions > Run playbook.

    يؤدي تحديد النقاط الثلاث في نهاية سطر الحدث على الشبكة أو النقر بزر الماوس الأيمن فوق الحدث إلى عرض نفس القائمة مثل زر الإجراء .

  3. يتم فتح دليل المبادئ تشغيل على لوحة الحدث على الجانب. ترى قائمة بجميع أدلة المبادئ التي تم تكوينها باستخدام مشغل Microsoft Sentinel Incident Logic Apps الذي يمكنك الوصول إليه.

    إذا كنت لا ترى دليل المبادئ الذي تريد تشغيله في القائمة، فهذا يعني أن Microsoft Sentinel ليس لديه أذونات لتشغيل أدلة المبادئ في مجموعة الموارد هذه.

    لمنح هذه الأذونات، حدد الإعدادات>الإعدادات>أذونات>دليل المبادئ تكوين الأذونات. في لوحة Manage permissions التي تفتح، حدد خانات الاختيار لمجموعات الموارد التي تحتوي على كتيبات التشغيل التي تريد تشغيلها، وحدد Apply.

    للحصول على معلومات، راجع الأذونات الإضافية المطلوبة لتشغيل أدلة المبادئ على الحوادث.

  4. حدد Run في سطر دليل معين لتشغيله على الفور.

    يجب أن يكون لديك دور عامل تشغيل دليل المبادئ Microsoft Sentinel على أي مجموعة موارد تحتوي على أدلة المبادئ التي تريد تشغيلها. إذا لم تتمكن من تشغيل دليل المبادئ بسبب فقدان الأذونات، نوصيك بالاتصال بالمسؤول لمنحك الأذونات ذات الصلة. لمزيد من المعلومات، راجع متطلبات دليل مبادئ Microsoft Sentinel.

اعرض محفوظات التشغيل لدلائل المبادئ في حدث ما عن طريق تحديد علامة التبويب Runs في لوحة Run playbook on incident . قد يستغرق الأمر بضع ثوانٍ حتى تظهر أي عملية تشغيل مكتملة للتو في القائمة. يؤدي تحديد تشغيل معين إلى فتح سجل التشغيل الكامل في Logic Apps.

تشغيل دليل المبادئ يدويا على كيان

هذا الإجراء غير مدعوم في مدخل Defender.

حدد كيانا بإحدى الطرق التالية، اعتمادا على السياق الأصلي الخاص بك:

إذا كنت في صفحة تفاصيل الحادث (إصدار جديد):

في عنصر واجهة مستخدم الكيانات في علامة التبويب نظرة عامة ، حدد موقع الكيان الخاص بك، وقم بأحد الإجراءات التالية:

  • لا تحدد الكيان. بدلا من ذلك، حدد النقاط الثلاث الموجودة على يمين الكيان، ثم حدد Run playbook. حدد موقع دليل المبادئ الذي تريد تشغيله، وحدد تشغيل في صف دليل المبادئ هذا.

  • حدد الكيان لفتح علامة التبويب Entities في صفحة تفاصيل الحدث. حدد موقع الكيان الخاص بك في القائمة، وحدد النقاط الثلاث إلى اليمين. حدد موقع دليل المبادئ الذي تريد تشغيله، وحدد تشغيل في صف دليل المبادئ هذا.

  • حدد كيانا واتنقل لأسفل إلى صفحة تفاصيل الكيان. ثم حدد الزر Run playbook في اللوحة اليسرى. حدد موقع دليل المبادئ الذي تريد تشغيله، وحدد تشغيل في صف دليل المبادئ هذا.

بغض النظر عن السياق الذي أتيت منه، فإن الخطوة الأخيرة في هذا الإجراء هي من لوحة Run playbook on< entity type>. تعرض هذه اللوحة قائمة بجميع أدلة المبادئ التي لديك حق الوصول إليها والتي تم تكوينها باستخدام مشغل Microsoft Sentinel Entity Logic Apps لنوع الكيان المحدد.

في جزء *Run playbook on <entity type> ، حدد علامة التبويب Runs لمشاهدة محفوظات تشغيل دليل المبادئ لكيان معين. قد يستغرق الأمر بضع ثوانٍ حتى تظهر أي عملية تشغيل مكتملة للتو في القائمة. يؤدي تحديد تشغيل معين إلى فتح سجل التشغيل الكامل في Logic Apps.

المحتوى ذو الصلة

لمزيد من المعلومات، راجع: