ترحيل أتمتة Splunk SOAR إلى Microsoft Azure Sentinel
يوفر Microsoft Sentinel إمكانات تنسيق الأمان والتنفيذ التلقائي والاستجابة (SOAR) مع قواعد التنفيذ التلقائي وأدلة المبادئ. تسهل قواعد الأتمتة معالجة الحوادث والاستجابة البسيطة، بينما تقوم أدلة المبادئ بتشغيل تسلسلات أكثر تعقيدا من الإجراءات للاستجابة للتهديدات ومعالجتها. تتناول هذه المقالة كيفية تحديد حالات استخدام SOAR، وكيفية ترحيل أتمتة Splunk SOAR إلى قواعد التشغيل التلقائي ل Microsoft Sentinel ودلائل المبادئ.
لمزيد من المعلومات حول الاختلافات بين قواعد التشغيل التلقائي ودلائل المبادئ، راجع المقالات التالية:
- أتمتة الاستجابة للمخاطر باستخدام قواعد التشغيل التلقائي
- أتمتة الاستجابة للمخاطر باستخدام أدلة المبادئ
تحديد حالات استخدام SOAR
إليك ما تحتاج إلى التفكير فيه عند ترحيل حالات استخدام SOAR من Splunk.
- جودة حالة الاستخدام. اختر حالات استخدام الأتمتة استنادا إلى الإجراءات المحددة بوضوح، مع الحد الأدنى من التباين، ومعدل إيجابي خاطئ منخفض.
- التدخل اليدوي. يمكن أن يكون للاستجابات التلقائية تأثيرات واسعة النطاق. يجب أن يكون للأتمتة عالية التأثير مدخلات بشرية لتأكيد الإجراءات عالية التأثير قبل اتخاذها.
- المعايير الثنائية. لزيادة نجاح الاستجابة، يجب أن تكون نقاط القرار داخل سير العمل التلقائي محدودة قدر الإمكان، وذلك من خلال معايير ثنائية. عندما يكون هناك متغيران فقط في صنع القرار الآلي، يتم تقليل الحاجة إلى التدخل البشري وتعزيز إمكانية التنبؤ بالنتائج.
- تنبيهات أو بيانات دقيقة. تعتمد إجراءات الاستجابة على دقة الإشارات كالتنبيهات. يلزم أن تكون التنبيهات ومصادر الإثراء موثوقة. تعزز موارد Microsoft Sentinel مثل قوائم المشاهدة والمعلومات الذكية للمخاطر ذات التصنيفات عالية الثقة الموثوقية.
- دور المحلل. في حين أن الأتمتة رائعة، احجز المهام الأكثر تعقيدا للمحللين. قم بتزويدهم بفرصة الإدخال في مهام سير العمل التي تتطلب التحقق من الصحة. باختصار، يجب أن يزيد التنفيذ التلقائي للاستجابة قدرات المحللين وتوسعها.
ترحيل سير عمل SOAR
يوضح هذا القسم كيفية تحويل مفاهيم Splunk SOAR الرئيسية إلى مكونات Microsoft Azure Sentinel، ويوفّر إرشادات عامة حول كيفية ترحيل كل خطوة أو مكوّن في سير عمل SOAR.
| الخطوة (في الرسم التخطيطي) | Splunk | Microsoft Sentinel |
|---|---|---|
| 1 | استيعـاب الأحداث في الفِهرس الرئيسي. | استيعـاب الأحداث في مساحة العمل Log Analytics. |
| 2 | إنشاء حاويات. | وضع علامة على الأحداث باستخدام custom details feature. |
| 3 | إنشاء الحالات. | يمكن لـ Microsoft Azure Sentinel تجميع الحوادث تلقائيًا وفقًا لمعايير محددة من جانب المستخدم، مثل الكيانات المشتركة أو جسامة الحادث. ثم تنشئ هذه التنبيهات الأحداث. |
| 4 | إنشاء أدلّة المبادئ. | تستخدم Azure Logic Apps العديد من الموصلات لتنسيق الأنشطة عبر Microsoft Azure Sentinel وAzure وبيئات الجهات الخارجية والمجموعة المختلطة. |
| 4 | إنشاء المصنّفات. | ينفذ Microsoft Azure Sentinel أدلة المبادئ إما بشكل منفصل أو كجزء من قاعدة أتمتة مُرتّبةً. كما يمكنك تنفيذ أدلة المبادئ يدويًا مقابل التنبيهات أو الأحداث وفقًا لإجراء مركز عمليات الأمان (SOC) المحدد مسبقًا. |
تعيين مكونات SOAR
راجع ميزات Microsoft Azure Sentinel أو Azure Logic Apps التي يتم تعيينها إلى مكونات Splunk SOAR الرئيسية.
| Splunk | Microsoft Sentinel/Azure Logic Apps |
|---|---|
| محرر دليل المبادئ | مصمم Logic App |
| المشغِّل | المشغِّل |
| • الموصّلات • التطبيق • وسيط الأتمتة |
• Connector • Hybrid Runbook Worker |
| كُتَل الإجراءات | الإجراء |
| وسيط الاتصالية | عامل دفتر التشغيل المختلط |
| المجتمع | • علامة تبويب قوالب >الأتمتة • Content hub catalog • GitHub |
| القرار | Conditional control |
| رمز | Azure Function connector |
| المطالبة | إرسال بريد إلكتروني للموافقة |
| Format | عمليات البيانات |
| إدخال أدلّة المبادئ | احصل على مدخلات متغيرة من نتائج الخطوات التي تم تنفيذها مسبقًا أو المتغيرات المعلن عنها مسبقًا بشكل صريح |
| تعيين المعلمات باستخدام أداة المساعدة Utility block API | إدارة الحوادث باستخدام API |
تشغيل أدلة المبادئ وقواعد الأتمتة في Microsoft Azure Sentinel
تتوفر معظم أدلة المبادئ التي تستخدمها مع Microsoft Sentinel إما في علامة التبويب قوالب التنفيذ التلقائي>، أو كتالوج مركز المحتوى أو GitHub. ومع ذلك، في بعض الحالات، قد تحتاج إلى إنشاء أدلّة مبادئ من البداية أو من القوالب الموجودة.
عادةً ما تنشئ تطبيق المنطق المخصص الخاص بك باستخدام ميزة Azure Logic App Designer. تستند التعليمات البرمجية للتطبيقات المنطقية إلى قوالب Azure Resource Manager (ARM)، والتي تسهل تطوير Azure Logic Apps وتوزيعها ونقلها عبر بيئات متعددة. لتحويل دليل المبادئ المخصص إلى قالب ARM قابل للنقل، يمكنك استخدام ARM template generator.
استخدم هذه الموارد للحالات التي تحتاج فيها إلى إنشاء أدلة المبادئ الخاصة بك إما من البداية أو من القوالب الموجودة.
- التنفيذ التلقائي لمعالجة الأحداث في Microsoft Sentinel
- أتمتة الاستجابة للتهديدات باستخدام أدلة المبادئ في Microsoft Sentinel
- البرنامج التعليمي: استخدام كتب التشغيل مع قواعد التشغيل التلقائي في Microsoft Azure Sentinel
- كيفية استخدام Microsoft Sentinel للاستجابة للأحداث والتزامن والتنفيذ التلقائي
- بطاقات موائمة مفتوحة لتحسين الاستجابة للأحداث في Microsoft Sentinel
أفضل ممارسات SOAR بعد الترحيل
فيما يلي أفضل الممارسات التي يجب أخذها في الاعتبار بعد ترحيل SOAR الخاص بك:
- بعد ترحيل أدلة المبادئ، اختبر أدلة المبادئ على نطاقٍ واسعٍ للتأكد من أن الإجراءات التي تم ترحيلها تعمل بالشكل المتوقع.
- راجع عمليات التنفيذ التلقائي الخاصة بك بشكل دوري لاستكشاف طرق لتبسيط SOAR أو تحسينه بشكل أكبر. يضيف Microsoft Azure Sentinel باستمرار موصلات وإجراءات جديدة يمكن أن تساعدك على تبسيط أو زيادة فعالية تطبيقات الاستجابة الحالية.
- راقب أداء أدلة المبادئ خاصتك باستخدام مصنف مراقبة سلامة أدلة المبادئ.
- استخدم الهويّات المُدارة وكيانات الخدمة: المصادقة مقابل خدمات Azure المختلفة داخل Logic Apps وتخزين البيانات السرية في Azure Key Vault وحجب إخراج تنفيذ التدفق. كما نوصي بـ مراقبة أنشطة كيانات الخدمة هذه.
الخطوات التالية
تعلّمت في هذه المقالة كيفية تعيين أتمتة SOAR الخاصة بك من Splunk إلى Microsoft Azure Sentinel.