مشاركة عبر

الاستجابة لممثلي التهديد أثناء التحقيق في التهديدات أو تتبعها في Microsoft Sentinel

  • مقالة
  • ينطبق على:
    Microsoft Sentinel in the Azure portal

توضح هذه المقالة كيفية اتخاذ إجراءات الاستجابة ضد الجهات الفاعلة في التهديد على الفور، أثناء التحقيق في الحوادث أو البحث عن التهديدات، دون تدوير أو تبديل السياق من التحقيق أو البحث. يمكنك إنجاز ذلك باستخدام أدلة المبادئ استنادا إلى مشغل الكيان الجديد.

يدعم مشغل الكيان حاليا أنواع الكيانات التالية:

هام

مشغل الكيان قيد المعاينة حاليا. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.

تشغيل أدلة المبادئ باستخدام مشغل الكيان

عندما تحقق في حادث ما، وتحدد أن كيانا معينا - حساب مستخدم، ومضيف، وعنوان IP، وملف، وما إلى ذلك - يمثل تهديدا، يمكنك اتخاذ إجراءات معالجة فورية على هذا التهديد عن طريق تشغيل دليل مبادئ عند الطلب. يمكنك القيام بالمثل إذا واجهت كيانات مشبوهة أثناء البحث الاستباقي عن التهديدات خارج سياق الحوادث.

  1. حدد الكيان في أي سياق تواجهه، واختر الوسائل المناسبة لتشغيل دليل المبادئ، كما يلي:

    • في عنصر واجهة مستخدم الكيانات في علامة التبويب نظرة عامة على حدث ما في صفحة تفاصيل الحادث الجديد (الآن في المعاينة)، أو في علامة التبويب الكيانات الخاصة به، اختر كيانا من القائمة، وحدد النقاط الثلاث بجوار الكيان، وحدد تشغيل دليل المبادئ (معاينة) من القائمة المنبثقة.

      لقطة شاشة لصفحة تفاصيل الحادث.

      لقطة شاشة لعلامة تبويب الكيانات في صفحة تفاصيل الحادث.

    • في علامة التبويب Entities لحدث ما، اختر الكيان من القائمة وحدد الارتباط Run playbook (Preview) في نهاية السطر الخاص به في القائمة.

      لقطة شاشة لتحديد كيان من صفحة تفاصيل الحادث لتشغيل دليل المبادئ عليه.

    • من الرسم البياني للتحقيق، حدد كيانا وحدد الزر Run playbook (Preview) في اللوحة الجانبية للكيان.

      لقطة شاشة لتحديد كيان من الرسم البياني للتحقيق لتشغيل دليل المبادئ عليه.

    • من صفحة Entity behavior، حدد كيانا. من صفحة الكيان الناتج، حدد الزر Run playbook (Preview) في اللوحة اليسرى.

      لقطة شاشة لتحديد كيان من صفحة سلوك الكيان لتشغيل دليل المبادئ عليه.

      لقطة شاشة لصفحة الكيان المحددة لتشغيل دليل المبادئ على كيان.

  2. سيؤدي ذلك إلى فتح لوحة Run playbook على <نوع> الكيان.

    لقطة شاشة لتشغيل دليل المبادئ على لوحة الكيان.

    في أي من هذه اللوحات، سترى علامة تبويب: Playbooks and Runs.

  3. في علامة التبويب Playbooks، سترى قائمة بجميع أدلة المبادئ التي يمكنك الوصول إليها والتي تستخدم مشغل كيان Microsoft Sentinel لنوع الكيان هذا (في هذه الحالة، حسابات المستخدمين). حدد الزر Run ل playbook الذي تريد تشغيله على الفور.

    إذا كنت لا ترى دليل المبادئ الذي تريد تشغيله في القائمة، فهذا يعني أن Microsoft Sentinel ليس لديه أذونات لتشغيل أدلة المبادئ في مجموعة الموارد هذه.

    لمنح هذه الأذونات، حدد الإعدادات > الإعدادات > أذونات > Playbooks تكوين الأذونات. في لوحة إدارة الأذونات ، ضع علامة على خانات الاختيار لمجموعات الموارد التي تحتوي على أدلة المبادئ التي تريد تشغيلها، وحدد تطبيق.

    لمزيد من المعلومات، راجع الأذونات الإضافية المطلوبة ل Microsoft Sentinel لتشغيل أدلة المبادئ.

  4. يمكنك تدقيق نشاط أدلة المبادئ الخاصة بمشغل الكيان في علامة التبويب تشغيل . سترى قائمة بجميع الأوقات التي تم فيها تشغيل أي دليل مبادئ على الكيان الذي حددته. قد يستغرق ظهور أي تشغيل مكتمل للتو في هذه القائمة بضع ثوان. سيؤدي تحديد تشغيل معين إلى فتح سجل التشغيل الكامل في Azure Logic Apps.

الخطوات التالية

في هذه المقالة، تعلمت كيفية تشغيل أدلة المبادئ يدويا لمعالجة التهديدات من الكيانات أثناء التحقيق في حادث أو البحث عن التهديدات.