إنشاء الحوادث الخاصة بك يدويا في Microsoft Sentinel في مدخل Microsoft Azure

مقالة
10/16/2024
ينطبق على:

Microsoft Sentinel in the Azure portal

هام

الإنشاء اليدوي للحوادث، باستخدام البوابة الإلكترونية أو تطبيقات المنطق، قيد المعاينة حاليًا. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.

يتوفر الإنشاء اليدوي للحوادث بشكل عام باستخدام واجهة برمجة التطبيقات.

يتوفر Microsoft Sentinel بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. للمعاينة، يتوفر Microsoft Sentinel في مدخل Defender بدون Microsoft Defender XDR أو ترخيص E5. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

باستخدام Microsoft Sentinel كحل لمعلومات الأمان وإدارة الأحداث (SIEM)، يتم توسيط أنشطة الكشف عن التهديدات والاستجابة لعمليات الأمان الخاصة بك على الحوادث التي تقوم بالتحقيق فيها ومعالجتها. ولهذه الحوادث مصدران رئيسيان:

يتم إنشاؤها تلقائيا عندما تعمل آليات الكشف على السجلات والتنبيهات التي ي استيعابها Microsoft Sentinel من مصادر البيانات المتصلة بها.
يتم استيعابها مباشرة من خدمات أمان Microsoft المتصلة الأخرى (مثل Microsoft Defender XDR) التي أنشأتها.

ومع ذلك، يمكن أن تأتي بيانات التهديد أيضا من مصادر أخرى لم يتم استيعابها في Microsoft Sentinel، أو الأحداث التي لم يتم تسجيلها في أي سجل، ومع ذلك يمكن تبرير فتح تحقيق. على سبيل المثال، قد يلاحظ أحد الموظفين أن شخصا غير معروف يشارك في نشاط مشبوه يتعلق بموجودات معلومات مؤسستك. قد يقوم هذا الموظف بالاتصال بمركز عمليات الأمان (SOC) أو إرسال بريد إلكتروني إليه للإبلاغ عن النشاط.

يسمح Microsoft Sentinel في مدخل Microsoft Azure لمحللي الأمان بإنشاء حوادث يدويا لأي نوع من الأحداث، بغض النظر عن مصدرها أو بياناتها، حتى لا تفوتك إمكانية التحقيق في هذه الأنواع غير العادية من التهديدات.

حالات الاستخدام الشائعة

إنشاء حدث لحدث تم الإبلاغ عنه

هذا هو السيناريو الموضح في المقدمة أعلاه.

إنشاء حوادث خارج الأحداث من الأنظمة الخارجية

أنشئ حوادث بناءً على أحداث من الأنظمة التي لا يتم إدخال سجلاتها في Microsoft Sentinel. على سبيل المثال، قد تستخدم حملة التصيد الاحتيالي المستندة إلى الرسائل القصيرة العلامات التجارية والموضوعات الخاصة بمؤسستك لاستهداف الأجهزة المحمولة الشخصية للموظفين. قد ترغب في التحقيق في مثل هذا الهجوم، ويمكنك إنشاء حادث في Microsoft Sentinel بحيث يكون لديك نظام أساسي لإدارة التحقيق الخاص بك، وجمع الأدلة وتسجيلها، وتسجيل إجراءات الاستجابة والتخفيف.

إنشاء الحوادث على أساس نتائج التتبع

إنشاء حوادث بناءً على النتائج المرصودة لأنشطة التتبع. على سبيل المثال، في حين أن تتبع التهديدات في سياق تحقيق معين (أو بنفسك)، قد تصادف دليلا على تهديد غير ذي صلة تماما يستدعي تحقيقا منفصلا خاص به.

إنشاء حدث يدويًا

توجد ثلاث طرق لإنشاء حادث يدويًا:

إنشاء حدث باستخدام مدخل Microsoft Azure
إنشاء حدث باستخدام Azure Logic Apps، باستخدام مشغل حدث Microsoft Sentinel.
إنشاء حدث باستخدام واجهة برمجة تطبيقات Microsoft Sentinel، من خلال مجموعة عمليات الحوادث. يسمح لك بالحصول على الحوادث وإنشاؤها وتحديثها وحذفها.

بعد إلحاق Microsoft Sentinel بمدخل Microsoft Defender، لا تتم مزامنة الحوادث التي تم إنشاؤها يدويا مع مدخل Defender، على الرغم من أنه لا يزال من الممكن عرضها وإدارتها في Microsoft Sentinel في مدخل Microsoft Azure، ومن خلال Logic Apps وواجهة برمجة التطبيقات.

قم بإنشاء حادثة باستخدام مدخل Microsoft Azure

حدد Microsoft Sentinel واختر مساحة العمل الخاصة بك.
من قائمة التنقل Microsoft Azure Sentinel، حدد الحوادث.
في صفحة Incidents، حدد + Create incident (Preview) من شريط الأزرار.

سيتم فتح لوحة Create incident (Preview) على الجانب الأيمن من الشاشة.
املأ الحقول في اللوحة وفقًا لذلك.
- ‏‫المسمى الوظيفي
  - أدخل عنوانًا من اختيارك للحادث. سيظهر الحدث في قائمة الانتظار بهذا العنوان.
  - مطلوب. نص مجاني بطول غير محدود. سيتم اقتطاع المسافات.
- الوصف
  - أدخل معلومات وصفية حول الحادث، بما في ذلك تفاصيل مثل أصل الحادث، وأي كيانات معينة، والعلاقة بأحداث أخرى، ومن تم إبلاغه، وما إلى ذلك.
  - اختياري. نص مجاني يصل إلى 5000 حرف.
- الخطورة
  - اختر خطورة من القائمة المنسدلة. تتوفر جميع الخطورة المدعومة من Microsoft Sentinel.
  - مطلوب. الإعدادات الافتراضية معينة على "متوسطة."
- الحالة
  - اختر حالة من القائمة المنسدلة. تتوفر جميع الحالات المدعومة من Microsoft Sentinel.
  - مطلوب. الإعدادات الافتراضية معينة على "جديدة."
  - يمكنك إنشاء حادث بالحالة "مغلق"، ثم فتحه يدويًا بعد ذلك لإجراء تغييرات واختيار حالة مختلفة. سيؤدي اختيار "مغلق" من القائمة المنسدلة إلى تنشيط حقول أسباب التصنيف لتتمكن من اختيار سبب إغلاق الحادث وإضافة تعليقات.
- المالك
  - اختر من بين المستخدمين أو المجموعات المتوفرة في المستأجر الخاص بك. ابدأ بكتابة اسم للبحث عن المستخدمين والمجموعات. حدد الحقل (انقر أو اضغط) لعرض قائمة الاقتراحات. اختر "تعيين لي" في أعلى القائمة لتعيين الحدث لنفسك.
  - اختياري.
- العلامات
  - استخدم العلامات لتصنيف الحوادث ولتصفية وتحديد موقعها في قائمة الانتظار.
  - إنشاء علامات عن طريق تحديد أيقونة علامة الجمع، وإدخال نص في مربع الحوار، وتحديد موافق. سيقترح الإكمال التلقائي العلامات المستخدمة داخل مساحة العمل خلال الأسبوعين السابقين.
  - اختياري. نص مجاني.
في الجزء السفلي، حدد إنشاء. بعد بضع ثوان، سيتم إنشاء الحدث وسيظهر في قائمة انتظار الحوادث.

إذا قمت بتعيين الحدث على حالة "مغلق"، فلن تظهر في قائمة الانتظار حتى تقوم بتغيير عامل تصفية الحالة لإظهار الحوادث المغلقة أيضًا. يتم تعيين عامل التصفية بشكل افتراضي لعرض الحوادث فقط بحالة "جديد" أو "نشط."

حدد الحادث في قائمة الانتظار للاطلاع على تفاصيله الكاملة وإضافة إشارات مرجعية وتغيير مالكها وحالتها والمزيد.

إذا غيرت رأيك لسبب ما بعد حقيقة إنشاء الحدث، يمكنك حذفه من شبكة قائمة الانتظار، أو من داخل الحدث نفسه.

إنشاء حدث باستخدام Azure Logic Apps

يتوفر إنشاء حدث أيضًا كإجراء Logic Apps في موصل Microsoft Sentinel، وبالتالي في أدلة مبادئMicrosoft Sentinel.

يمكنك العثور على إجراء إنشاء حدث (معاينة) في مخطط دليل المبادئ لمشغل الحدث.

لقطة شاشة لإنشاء إجراء تطبيق منطق الحادث في موصل Microsoft Sentinel.

تحتاج إلى توفير المعلمات كما هو موضح أدناه:

حدد اسم الاشتراك ومجموعة الموارد ومساحة العمل من القوائم المنسدلة الخاصة بها.
للحصول على الحقول المتبقية، راجع التفسيرات أعلاه (ضمن إنشاء حدث باستخدام مدخل Microsoft Azure).

يوفر Microsoft Sentinel بعض نماذج قواعد التشغيل التي توضح لك كيفية العمل بهذه الإمكانية:

إنشاء حدث باستخدام نموذج Microsoft
إنشاء حدث من صندوق وارد البريد الإلكتروني المشترك

يمكنك العثور عليها في معرض قوالب دليل المبادئ في صفحة Microsoft Sentinel Automation.

إنشاء حادثة باستخدام Microsoft Sentinel API

تسمح لك مجموعة عمليات الحوادث ليس فقط بإنشاء الحوادث، ولكن أيضًا بتحديثها (تحريرها) والحصول عليها (استردادها) وإدراجها وحذفها.

يمكنك إنشاء حدث باستخدام نقطة النهاية التالية. بعد تقديم هذا الطلب، سيكون الحادث مرئيًا في قائمة انتظار الحوادث في البوابة.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview

فيما يلي مثال على الشكل الذي قد يبدو عليه نص الطلب:

{
  "etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
  "properties": {
    "lastActivityTimeUtc": "2019-01-01T13:05:30Z",
    "firstActivityTimeUtc": "2019-01-01T13:00:30Z",
    "description": "This is a demo incident",
    "title": "My incident",
    "owner": {
      "objectId": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
    },
    "severity": "High",
    "classification": "FalsePositive",
    "classificationComment": "Not a malicious activity",
    "classificationReason": "IncorrectAlertLogic",
    "status": "Closed"
  }
}

ملاحظات

لا تحتوي الحوادث التي تم إنشاؤها يدويًا على أي كيانات أو تنبيهات. لذلك، ستظل علامة التبويب Alerts في صفحة الحدث فارغة حتى تقوم بربط التنبيهات الموجودة بالحادث الخاص بك.

ستظل علامة التبويب Entities أيضًا فارغة، حيث إن إضافة الكيانات مباشرة إلى الحوادث التي تم إنشاؤها يدويًا غير مدعومة حاليًا. (إذا قمت بربط تنبيه بهذا الحادث، فستظهر كيانات من التنبيه في الحادث.)
لن تعرض الحوادث التي تم إنشاؤها يدويًا أيضًا أي اسم منتج في قائمة الانتظار.
يتم تصفية قائمة انتظار الحوادث افتراضيًا لعرض الحوادث التي تكون بحالة "جديد" أو "نشط" فقط. إذا قمت بإنشاء حادث بالحالة "مغلق"، فلن يظهر في قائمة الانتظار حتى تقوم بتغيير مرشح الحالة لإظهار الحوادث المغلقة أيضًا.

الخطوات التالية

لمزيد من المعلومات، راجع:

مشاركة عبر