مشاركة عبر

إنشاء قواعد التنفيذ التلقائي لـ Microsoft Azure Sentinel واستخدامها لإدارة الاستجابة

  • مقالة
  • ينطبق على:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

تشرح هذه المقالة كيفية إنشاء قواعد الأتمتة واستخدامها في Microsoft Sentinel لإدارة الاستجابة للمخاطر وتنسيقها، من أجل زيادة كفاءة SOC وفعاليته إلى أقصى حد.

ستتعرف في هذه المقالة على كيفية تحديد المشغلات والشروط التي تحدد وقت تشغيل قاعدة التشغيل التلقائي والإجراءات المختلفة التي يمكن أن تنفذها القاعدة والميزات والوظائف المتبقية.

هام

يتوفر Microsoft Sentinel بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. للمعاينة، يتوفر Microsoft Sentinel في مدخل Defender بدون Microsoft Defender XDR أو ترخيص E5. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

صمم قاعدة التنفيذ التلقائي الخاصة بك

قبل إنشاء قاعدة التنفيذ التلقائي، نوصي بتحديد نطاقها وتصميمها، بما في ذلك المشغل والشروط والإجراءات التي تشكل القاعدة الخاصة بك.

حدد النطاق

الخطوة الأولى في تصميم وتعريف قاعدة الأتمتة الخاصة بك هي معرفة الحوادث أو التنبيهات التي تريد تطبيقها عليها. يؤثر هذا التحديد مباشرة على كيفية إنشاء القاعدة.

تريد أيضاً تحديد حالة الاستخدام الخاصة بك. ما الذي تحاول تحقيقه بهذه التنفيذ التلقائي؟ يجب مراعاة الخيارات التالية:

  • إنشاء مهام للمحللين لمتابعة الحوادث والتحقيق فيها ومعالجتها.
  • قمع الحوادث الصاخبة. (بدلا من ذلك، استخدم أساليب أخرى لمعالجة الإيجابيات الخاطئة في Microsoft Sentinel.)
  • فرز الحوادث الجديدة عن طريق تغيير حالتها من جديد إلى نشط وتعيين مالك.
  • وضع علامات على الحوادث لتصنيفها.
  • تصعيد الحدث من خلال تعيين مالك جديد.
  • أغلق الحوادث التي تم حلها، وحدد السبب وأضف التعليقات.
  • قم بتحليل محتويات الحادث (التنبيهات، والكيانات، والخصائص الأخرى) واتخذ المزيد من الإجراءات من خلال استدعاء كتاب التشغيل.
  • التعامل مع تنبيه أو الاستجابة له دون وقوع حادث مقترن.

حدد الزناد

هل تريد تنشيط هذه الأتمتة عند إنشاء حوادث أو تنبيهات جديدة؟ أو في أي وقت يتم تحديث حادث؟

يتم تشغيل قواعد التنفيذ التلقائي عند إنشاء حدث أو تحديثه أو عند إنشاء تنبيه. تذكر أن الحوادث تتضمن تنبيهات، وأنه يمكن إنشاء كل من التنبيهات والحوادث بواسطة قواعد التحليلات، والتي يوجد منها عدة أنواع، كما هو موضح في الكشف عن التهديدات في Microsoft Sentinel.

يعرض الجدول التالي السيناريوهات المحتملة المختلفة التي تتسبب في تشغيل قاعدة التنفيذ التلقائي.

نوع الزناد الأحداث التي تؤدي لتشغيل القاعدة
عند إنشاء حدث مدخل Microsoft Defender:
  • يتم إنشاء حدث جديد في مدخل Microsoft Defender.

    لم يتم إلحاق Microsoft Sentinel ببوابة Defender:
  • يتم إنشاء حادث جديد بواسطة قاعدة تحليلات.
  • يتم استيعاب حادث من Microsoft Defender XDR.
  • يتم إنشاء حادث جديد يدويا.
    		•
    عند تحديث الحدث
  • يتم تغيير حالة الحدث (مغلق/معاد فتحه/ثلاثي).
  • يتم تعيين مالك الحدث أو تغييره.
  • يتم رفع خطورة الحادث أو خفضه.
  • تتم إضافة التنبيهات إلى حادث.
  • تتم إضافة التعليقات أو العلامات أو التكتيكات إلى حادث.
    		•
    عند إنشاء التنبيه
  • يتم إنشاء تنبيه بواسطة قاعدة تحليلات Microsoft Sentinel المجدولة أو NRT .
    		•

    قم بإنشاء قاعدة التنفيذ التلقائي الخاصة بك

    تنطبق معظم الإرشادات التالية على أي وجميع حالات الاستخدام التي ستنشئ لها قواعد التشغيل الآلي.

    إذا كنت تبحث عن منع الحوادث صاخبة وتعمل في مدخل Microsoft Azure، فحاول التعامل مع الإيجابيات الزائفة.

    إذا كنت ترغب في إنشاء قاعدة أتمتة لتطبيقها على قاعدة تحليلات معينة، فشاهد تعيين الاستجابات التلقائية وإنشاء القاعدة.

    لإنشاء قاعدة التشغيل التلقائي:

    1. بالنسبة إلى Microsoft Sentinel في مدخل Microsoft Azure، حدد صفحة Configuration>Automation. بالنسبة إلى Microsoft Sentinel في مدخل Defender، حدد Microsoft Sentinel>Configuration>Automation.

    2. من صفحة Automation في قائمة التنقل في Microsoft Sentinel، حدد Create من القائمة العلوية واختر Automation rule.

    3. يتم فتح لوحة انشأ قاعدة التنفيذ التلقائي الجديدة. في حقل اسم قاعدة التنفيذ التلقائي، أدخل اسما للقاعدة الخاصة بك.

    اختر الزناد الخاص بك

    من القائمة المنسدلة Trigger، حدد المشغل المناسب وفقا للظروف التي تقوم بإنشاء قاعدة التنفيذ التلقائي لها - عند إنشاء الحدث، أو عند تحديث الحدث، أو عند إنشاء التنبيه.

    لقطة شاشة لتحديد مشغّل إنشاء أو تحديث الحادث.

    تعريف الشروط

    استخدم الخيارات الموجودة في منطقة الشروط لتحديد شروط قاعدة التنفيذ التلقائي. جميع الشروط غير حساسة لحالة الأحرف.

    • القواعد التي تقوم بإنشائها عند إنشاء تنبيه تدعم الخاصية If Analytic rule name فقط في حالتك. حدد ما إذا كنت تريد أن تكون القاعدة شاملة (تحتوي على) أو حصرية (لا تحتوي على)، ثم حدد اسم القاعدة التحليلية من القائمة المنسدلة.

      تتضمن قيم اسم القاعدة التحليلية قواعد التحليلات فقط، ولا تتضمن أنواعا أخرى من القواعد، مثل التحليل الذكي للمخاطر أو قواعد الشذوذ.

    • القواعد التي تقوم بإنشائها عند إنشاء حادث أو تحديثه تدعم مجموعة كبيرة ومتنوعة من الشروط، اعتمادا على البيئة الخاصة بك. تبدأ هذه الخيارات بإلحاق Microsoft Sentinel بمدخل Defender:

      إذا تم إلحاق مساحة العمل الخاصة بك بمدخل Defender، فابدأ بتحديد أحد عوامل التشغيل التالية، إما في Azure أو مدخل Defender:

      • AND: الشروط الفردية التي يتم تقييمها كمجموعة. يتم تنفيذ القاعدة إذا تم استيفاء جميع الشروط من هذا النوع.

        للعمل مع عامل التشغيل AND ، حدد + Add expander واختر Condition (And) من القائمة المنسدلة. يتم ملء قائمة الشروط بواسطة خاصية الحادث وحقول خاصية الكيان.

      • OR (المعروفة أيضا باسم مجموعات الشروط): مجموعات من الشروط، يتم تقييم كل منها بشكل مستقل. يتم تنفيذ القاعدة إذا كانت مجموعة واحدة أو أكثر من الشروط صحيحة. لمعرفة كيفية العمل مع هذه الأنواع المعقدة من الشروط، راجع إضافة شروط متقدمة إلى قواعد التشغيل التلقائي.

      على سبيل المثال:

      لقطة شاشة لشروط قاعدة التشغيل التلقائي عند إلحاق مساحة العمل الخاصة بك بمدخل Defender.

      إذا حددت عند تحديث حدث كمشغل، فابدأ بتعريف الشروط الخاصة بك، ثم إضافة عوامل تشغيل وقيم إضافية حسب الحاجة.

    لتحديد شروطك:

    1. حدد خاصية من المربع المنسدل الأول على اليسار. يمكنك البدء في كتابة أي جزء من اسم الخاصية في مربع البحث لتصفية القائمة ديناميكياً، حتى تتمكن من العثور على ما تبحث عنه بسرعة.

      لقطة شاشة للكتابة في مربع البحث لتصفية قائمة الاختيارات.

    2. حدد عامل تشغيل من المربع المنسدل التالي على اليمين. لقطة شاشة لاختيار عامل تشغيل لقواعد التنفيذ التلقائي لـ.

      تختلف قائمة المشغلين التي يمكنك الاختيار من بينها وفقاً للمشغل والممتلكات المحددة. عند العمل في مدخل Defender، نوصي باستخدام شرط اسم القاعدة التحليلية بدلا من عنوان الحدث.

      الشروط المتاحة مع مشغل الإنشاء

      الخاصية مجموعة المشغل
      - ‏‫المسمى الوظيفي
      - الوصف
      - كافة خصائص الكيان المدرجة
        (راجع خصائص الكيان المدعومة)      		 - يساوي/لا يساوي
      - يحتوي على/لا يحتوي
      - يبدأ بـ/لا يبدأ بـ
      - ينتهي بـ/لا ينتهي بـ
      - العلامة (راجع الفردية مقابل المجموعة) أي علامة فردية:
      - يساوي/لا يساوي
      - يحتوي على/لا يحتوي
      - يبدأ بـ/لا يبدأ بـ
      - ينتهي بـ/لا ينتهي بـ

      مجموعة من جميع العلامات:
      - يحتوي على/لا يحتوي
      - الخطورة
      - الحالة
      - مفتاح التفاصيل المخصصة      		 - يساوي/لا يساوي
      - التكتيكات
      - تنبيه أسماء المنتجات
      - قيمة التفاصيل المخصصة
      - اسم القاعدة التحليلية      		 - يحتوي على/لا يحتوي

      الشروط المتاحة مع مشغل التحديث

      الخاصية مجموعة المشغل
      - ‏‫المسمى الوظيفي
      - الوصف
      - كافة خصائص الكيان المدرجة
        (راجع خصائص الكيان المدعومة)      		 - يساوي/لا يساوي
      - يحتوي على/لا يحتوي
      - يبدأ بـ/لا يبدأ بـ
      - ينتهي بـ/لا ينتهي بـ
      - العلامة (راجع الفردية مقابل المجموعة) أي علامة فردية:
      - يساوي/لا يساوي
      - يحتوي على/لا يحتوي
      - يبدأ بـ/لا يبدأ بـ
      - ينتهي بـ/لا ينتهي بـ

      مجموعة من جميع العلامات:
      - يحتوي على/لا يحتوي
      - العلامة (بالإضافة إلى أعلاه)
      - Alerts
      - التعليقات      		 - مضاف
      - الخطورة
      - الحالة      		 - يساوي/لا يساوي
      - تغير
      - تغير من
      - تغير إلى
      - المالك -تغيير. إذا تم تحديث مالك الحدث عبر واجهة برمجة التطبيقات، يجب تضمين userPrincipalName أو ObjectID ليتم الكشف عن التغيير بواسطة قواعد التشغيل التلقائي.
      - تم التحديث بواسطة
      - مفتاح التفاصيل المخصصة      		 - يساوي/لا يساوي
      - التكتيكات - يحتوي على/لا يحتوي
      - مضاف
      - تنبيه أسماء المنتجات
      - قيمة التفاصيل المخصصة
      - اسم القاعدة التحليلية      		 - يحتوي على/لا يحتوي

      الشروط المتوفرة مع مشغل التنبيه

      الشرط الوحيد الذي يمكن تقييمه بواسطة القواعد استنادا إلى مشغل إنشاء التنبيه هو قاعدة تحليلات Microsoft Sentinel التي أنشأت التنبيه.

      تعمل قواعد التنفيذ التلقائي التي تستند إلى مشغل التنبيه فقط على التنبيهات التي تم إنشاؤها بواسطة Microsoft Sentinel.

    3. أدخل قيمة في الحقل الموجود على اليمين. استنادا إلى الخاصية التي اخترتها، قد يكون هذا إما مربع نص أو قائمة منسدلة تحدد فيها من قائمة مغلقة من القيم. قد تتمكن أيضا من إضافة عدة قيم عن طريق تحديد أيقونة النرد إلى يمين مربع النص.

      لقطة شاشة لإضافة القيم إلى حالتك في قواعد التنفيذ التلقائي لـ.

    نُكرر مرة أخرى، لإعداد شروط Or معقدة مع حقول مختلفة، راجع إضافة شروط متقدمة إلى قواعد التشغيل التلقائي.

    الشروط المستندة إلى العلامات

    يمكنك إنشاء نوعين من الشروط استنادا إلى العلامات:

    • تقيم الشروط مع أي عوامل تشغيل علامات فردية القيمة المحددة مقابل كل علامة في المجموعة. يكون التقييم صحيحا عندما تفي علامة واحدة على الأقل بالشرط.
    • تقيم الشروط التي تحتوي على مجموعة من جميع عوامل تشغيل العلامات القيمة المحددة مقابل مجموعة العلامات كوحدة واحدة. يكون التقييم صحيحا فقط إذا كانت المجموعة ككل تفي بالشرط.

    لإضافة أحد هذه الشروط استنادا إلى علامات الحدث، اتبع الخطوات التالية:

    1. أنشئ قاعدة تشغيل تلقائي جديدة كما هو موضح أعلاه.

    2. أضف شرط أو مجموعة شروط.

    3. حدد Tag من القائمة المنسدلة properties.

    4. حدد القائمة المنسدلة عوامل التشغيل للكشف عن عوامل التشغيل المتوفرة للاختيار من بينها.

      راجع كيفية تقسيم عوامل التشغيل إلى فئتين كما هو موضح من قبل. اختر عامل التشغيل بعناية استنادا إلى كيفية تقييم العلامات.

      لمزيد من المعلومات، راجع خاصية العلامة : فردي مقابل مجموعة.

    الشروط استنادا إلى التفاصيل المخصصة

    يمكنك تعيين قيمة تفاصيل مخصصة تظهر في حدث كشرط لقاعدة التشغيل التلقائي. تذكر أن التفاصيل المخصصة هي نقاط بيانات في السجلات الأولية لسجل الأحداث التي يمكن إظهارها وعرضها في التنبيهات والأحداث الناتجة عنها. استخدم التفاصيل المخصصة للوصول إلى المحتوى الفعلي ذي الصلة في التنبيهات دون الحاجة إلى البحث في نتائج الاستعلام.

    لإضافة شرط استنادا إلى تفاصيل مخصصة:

    1. إنشاء قاعدة أتمتة جديدة كما هو موضح سابقا.

    2. أضف شرط أو مجموعة شروط.

    3. حدد مفتاح التفاصيل المخصصة من القائمة المنسدلة خصائص. حدد "يساوي" أو "لا يساوي" من القائمة المنسدلة لعوامل التشغيل.

      بالنسبة لشرط التفاصيل المخصصة، فإن القيم الموجودة في آخر قائمة منسدلة تأتي من التفاصيل المخصصة التي ظهرت في جميع قواعد التحليلات المُدرجة في الشرط الأول. حدد التفاصيل المخصصة التي تريد استخدامها كشرط.

      لقطة شاشة لإضافة مفتاح التفاصيل المخصصة كشرط.

    4. لقد اخترت الحقل الذي تريد تقييمه لهذا الشرط. الآن حدد القيمة التي تظهر في هذا الحقل الذي يجعل هذا الشرط يتم تقييمه إلى صحيح.
      حدد "+ إضافة شرط عنصر".

      لقطة شاشة لتحديد

      يظهر سطر شرط القيمة أدناه.

      لقطة شاشة لظهور حقل قيمة التفاصيل المخصصة.

    5. حدد "يحتوي على" أو "لا يحتوي على" من القائمة المنسدلة لعوامل التشغيل. في مربع النص جهة اليمين، أدخل القيمة التي تريد تقييم الشرط لها إلى صحيح.

      لقطة شاشة لتعبئة حقل قيمة التفاصيل المخصصة.

    في هذا المثال، إذا كان الحدث يحتوي على التفاصيل المخصصة DestinationEmail، وإذا كانت قيمة هذه التفاصيل هي pwned@bad-botnet.com، فسيُجرى تشغيل الإجراءات المحددة في قاعدة التشغيل التلقائي.

    اضف إجراءات

    اختر الإجراءات التي تريد أن تتخذها قاعدة التنفيذ التلقائي هذه. تتضمن الإجراءات المتاحة تعيين مالك، وتغيير الحالة، وتغيير الخطورة، وإضافة علامات، وتشغيل playbook. يمكنك إضافة العديد من الإجراءات كما تريد.

    إشعار

    يتوفر إجراء تشغيل دليل المبادئ فقط في قواعد التشغيل التلقائي باستخدام مشغل التنبيه.

    لقطة شاشة لقائمة الإجراءات المطلوب تحديدها في قاعدة التنفيذ التلقائي لـ.

    لأي إجراء تختاره، املأ الحقول التي تظهر لهذا الإجراء وفقا لما تريد القيام به.

    إذا أضفت إجراء Run playbook ، فستتم مطالبتك للاختيار من القائمة المنسدلة لدلائل المبادئ المتوفرة.

    • يمكن تشغيل أدلة المبادئ التي تبدأ بمشغل الحدث فقط من قواعد التشغيل التلقائي باستخدام أحد مشغلات الحدث، بحيث تظهر فقط في القائمة. وبالمثل، تتوفر أدلة المبادئ التي تبدأ بمشغل التنبيه فقط في قواعد التشغيل التلقائي باستخدام مشغل التنبيه.

    • يجب منح Microsoft Sentinel أذونات صريحة لتشغيل كتيبات التشغيل. إذا ظهر دليل المبادئ غير متوفر في القائمة المنسدلة، فهذا يعني أن Sentinel ليس لديه أذونات للوصول إلى مجموعة موارد دليل المبادئ هذا. لتعيين الأذونات، حدد الارتباط إدارة أذونات دليل المبادئ.

      في لوحة Manage permissions التي تفتح، حدد خانات الاختيار لمجموعات الموارد التي تحتوي على كتيبات التشغيل التي تريد تشغيلها، وحدد Apply.

      إدارة الأذونات

      يجب أن يكون لديك أذونات المالك على أي مجموعة موارد تريد منحها أذونات Microsoft Sentinel، ويجب أن يكون لديك دور مساهم التنفيذ التلقائي في Microsoft Sentinel على أي مجموعة موارد تحتوي على أدلة المبادئ التي تريد تشغيلها.

    • إذا لم يكن لديك دليل مبادئ يتخذ الإجراء الذي تريده، فبادر بإنشاء دليل مبادئ جديد. يجب إنهاء عملية إنشاء قاعدة التنفيذ التلقائي وإعادة تشغيلها بعد إنشاء دليل المبادئ الخاص بك.

    نقل الإجراءات

    يمكنك تغيير ترتيب الإجراءات في القاعدة الخاصة بك حتى بعد إضافتها. حدد الأسهم لأعلى أو لأسفل إلى جانب كل إجراء لنقله لأعلى أو لأسفل خطوة واحدة.

    لقطة شاشة توضح كيفية نقل الإجراءات لأعلى أو لأسفل.

    الانتهاء من إنشاء القاعدة الخاصة بك

    1. ضمن انتهاء صلاحية القاعدة، إذا كنت تريد انتهاء صلاحية قاعدة التشغيل التلقائي، فقم بتعيين تاريخ انتهاء صلاحية، واختياريا، وقت. وإلا، اتركه على أنه غير محدد.

    2. يتم ملء حقل الطلب مسبقا بالرقم المتوفر التالي لنوع مشغل القاعدة. يحدد هذا الرقم مكان تشغيل هذه القاعدة في تسلسل قواعد التشغيل التلقائي (من نفس نوع المشغل). يمكنك تغيير الرقم إذا كنت تريد تشغيل هذه القاعدة قبل قاعدة موجودة.

      لمزيد من المعلومات، راجع ملاحظات حول ترتيب التنفيذ والأولوية.

    3. حدد تطبيق. لقد انتهيت!

    لقطة شاشة للخطوات النهائية لإنشاء قاعدة التنفيذ التلقائي.

    تدقيق نشاط قاعدة التشغيل الآلي

    تعرف على قواعد الأتمتة التي ربما تكون قد فعلت لحدث معين. لديك سجل كامل من سجلات الأحداث المتوفرة لك في جدول SecurityIncident في صفحة السجلات في مدخل Microsoft Azure، أو صفحة التتبع المتقدم في مدخل Defender. استخدم الاستعلام التالي للاطلاع على جميع أنشطة قواعد التنفيذ التلقائي :

    SecurityIncident
| where ModifiedBy contains "Automation"

    تنفيذ قواعد تلقائية

    يتم تشغيل قواعد التنفيذ التلقائي بشكل تسلسلي، وفقا للترتيب الذي تحدده. يتم تنفيذ كل قاعدة أتمتة بعد انتهاء قاعدة التشغيل السابقة من تشغيلها. ضمن قاعدة التنفيذ التلقائي، يتم تشغيل جميع الإجراءات بشكل تسلسلي بالترتيب الذي يتم تعريفها به. راجع ملاحظات حول ترتيب التنفيذ والأولوية لمزيد من المعلومات.

    قد يتم التعامل مع إجراءات Playbook ضمن قاعدة التنفيذ التلقائي بشكل مختلف في بعض الحالات، وفقا للمعايير التالية:

    وقت تشغيل دليل المبادئ تنتقل قاعدة تلقائية إلى الإجراء التالي...
    أقل من ثانية مباشرة بعد الانتهاء من دليل المبادئ
    أقل من دقيقتين ما يصل إلى دقيقتين بعد بدء تشغيل دليل التشغيل،
    لكن ليس أكثر من 10 ثوانٍ بعد اكتمال دليل المبادئ
    يزيد عن دقيقتين بعد دقيقتين من بدء تشغيل دليل اللعبة،
    بصرف النظر عما إذا كان قد اكتمل أم لا

    الخطوات التالية

    في هذا المستند، تعلمت كيفية استخدام قواعد الأتمتة لإدارة أتمتة الاستجابة مركزيا لحوادث وتنبيهات Microsoft Sentinel.