أتمتة الاستجابات للحوادث باستخدام قواعد اللعبة في Azure Sentinel

أتمتة الاستجابات للحوادث باستخدام قواعد اللعبة في Azure Sentinel

11/01/2024

تهدف هذه المقالة الفنية والتعليمية إلى توجيه محللي الأمان ومسؤولي تكنولوجيا المعلومات ومهندسي الأنظمة في أتمتة الاستجابات للحوادث الأمنية باستخدام Playbooks في Microsoft Sentinel. تعتبر Playbooks، التي تعتمد على Azure Logic Apps، مكونًا أساسيًا لقدرة Sentinel على التنسيق والأتمتة والاستجابة الأمنية (SOAR)، مما يمكّن فرق الأمان من أتمتة المهام المتكررة، وتنسيق سير العمل المعقدة، والاستجابة للتهديدات بشكل أسرع وأكثر اتساقًا [1].

مقدمة

في مركز العمليات الأمنية الحديث (SOC)، يمكن أن يكون حجم التنبيهات والحوادث هائلاً. يقضي محللو الأمن قدرًا كبيرًا من الوقت في المهام اليدوية والمتكررة مثل فرز التنبيهات وإثراء البيانات وإخطار أصحاب المصلحة وتنفيذ إجراءات الإصلاح الأساسية. لا تؤدي هذه النفقات العامة إلى زيادة متوسط ​​الوقت اللازم للاستجابة (MTTR) فحسب، بل تعمل أيضًا على تحويل انتباه المحللين عن التهديدات الأكثر تعقيدًا والتحقيقات المتعمقة. يعالج Microsoft Sentinel، بفضل إمكانات SOAR، هذا التحدي من خلال تمكين أتمتة الاستجابة للحوادث من خلال قواعد اللعبة [2].

سيغطي هذا الدليل العملي المفاهيم الأساسية لـ Playbooks وقواعد الأتمتة في Sentinel، وعملية إنشاء Playbook باستخدام Azure Logic Apps، ودمج Playbooks مع التحليلات وقواعد الأتمتة، وأمثلة التشغيل الآلي العملية مثل إرسال الإشعارات، وحظر عناوين IP الضارة، وعزل المضيفين المخترقين. سيتم توفير تعليمات خطوة بخطوة وأمثلة لسير العمل حتى يتمكن القارئ من تنفيذ والتحقق من صحة أتمتة الاستجابة للحوادث، وتحسين العمليات الأمنية وتعزيز الموقف الدفاعي لمؤسستهم.

ما سبب أهمية التشغيل الآلي باستخدام قواعد اللعبة في Sentinel؟

  • وقت الاستجابة المنخفض (MTTR): يعمل على أتمتة إجراءات المعالجة الفورية، مثل حظر عنوان IP أو تعطيل حساب مستخدم، مما يقلل الوقت الذي يظل فيه التهديد نشطًا.
  • زيادة كفاءة مركز عمليات الأمن (SOC): تحرر محللي الأمن من المهام المتكررة، مما يسمح لهم بالتركيز على التحقيقات المعقدة ومطاردة التهديدات.
  • الاتساق والتوحيد: يضمن أن الاستجابات للحوادث تتبع عملية موحدة وموثقة، مما يقلل الأخطاء البشرية ويضمن الامتثال.
  • قابلية التوسع: تتيح لمركز عمليات الأمن (SOC) التعامل مع حجم متزايد من التنبيهات دون الحاجة إلى زيادة الفريق بشكل متناسب.
  • تنسيق الأدوات: يتكامل مع مجموعة واسعة من الخدمات والأدوات (Azure وMicrosoft 365 وحلول الجهات الخارجية) لتنسيق الاستجابات عبر النظام البيئي الأمني ​​بأكمله.
  • إثراء البيانات: يعمل على أتمتة جمع المعلومات السياقية من مصادر متعددة (مثل معلومات التهديدات ومعلومات المستخدم وبيانات الجهاز) لتسريع عملية الفرز والتحقيق.

المتطلبات الأساسية

لأتمتة الاستجابات باستخدام Playbooks في Azure Sentinel، ستحتاج إلى العناصر التالية:

  1. مساحة عمل Microsoft Sentinel النشطة: مساحة عمل Log Analytics مع تمكين حل Microsoft Sentinel.
  2. الوصول الإداري: حساب يتمتع بأذونات إنشاء الموارد وإدارتها في Azure، بما في ذلك Logic Apps، وله دور Microsoft Sentinel Contributor أو Microsoft Sentinel Responder في مساحة عمل Sentinel [3].
  3. موصلات البيانات التي تم تكوينها: مصادر البيانات المتصلة بـ Sentinel لإنشاء التنبيهات والحوادث (مثل Azure Active Directory، وMicrosoft Defender for Cloud، وما إلى ذلك).
  4. تم تمكين قواعد التحليل: تم تكوين قواعد التحليل لاكتشاف التهديدات وإنشاء حوادث من البيانات التي تم استيعابها.

خطوة بخطوة: أتمتة الاستجابات باستخدام كتب اللعب

لنقم بإنشاء قواعد اللعبة وتشغيلها تلقائيًا للرد على أي حادث أمني.

1. فهم مكونات الأتمتة الحارسة

  • قواعد اللعبة: هذه عبارة عن مجموعات من الإجراءات التي يمكن تشغيلها من Microsoft Sentinel استجابةً لتنبيه أو حادث. تم إنشاء قواعد التشغيل أعلى تطبيقات Azure Logic ويمكن أن تتضمن سلسلة من الإجراءات مثل إرسال رسائل البريد الإلكتروني، وإنشاء التذاكر في أنظمة ITSM، وحظر عناوين IP في جدار الحماية، وما إلى ذلك. [4].
  • قواعد الأتمتة: هذه هي القواعد التي تسمح لك بإدارة أتمتة inciالأسنان في الحارس. ويمكن استخدامها لتعيين الأحداث، وتغيير حالتها، وإضافة العلامات، والأهم من ذلك، تشغيل قواعد اللعبة. تعمل قواعد الأتمتة بمثابة "المشغل" المركزي لقواعد اللعبة [5].

2. إنشاء قواعد اللعبة التي تمارسها (تطبيق Azure Logic)

لنقم بإنشاء قواعد اللعبة البسيطة التي، عند تشغيلها بواسطة حادثة Sentinel، ترسل إشعارًا عبر البريد الإلكتروني يحتوي على تفاصيل الحادثة.

  1. افتح المتصفح الخاص بك وانتقل إلى بوابة Azure: https://portal.azure.com.
  2. في حقل البحث العلوي، اكتب "Logic Apps" وحدده من النتائج.
  3. انقر فوق "+إضافة" لإنشاء تطبيق منطقي جديد.

  4. الأساسيات:

    • الاشتراك: حدد اشتراكك.
    • مجموعة الموارد: حدد مجموعة موارد (يوصى باستخدام نفس المجموعة المستخدمة في مساحة عمل Sentinel الخاصة بك).
    • اسم التطبيق المنطقي: قم بتسمية دليل التشغيل الخاص بك (على سبيل المثال: NotifyIncidentSentinel).
    • المنطقة: حدد المنطقة.
    • نوع الخطة: حدد الاستهلاك لنموذج الدفع أولاً بأول، وهو مثالي لمعظم سيناريوهات Playbook.

  5. انقر فوق "مراجعة + إنشاء"، ثم "إنشاء".

  6. بعد النشر، انقر فوق "انتقال إلى المورد" لفتح Logic Apps Designer.

3. تكوين مشغلات وإجراءات دليل التشغيل

سيتم فتح Logic App Designer مع شاشة النماذج. حدد "تطبيق المنطق الفارغ".

  1. تكوين المشغل: في حقل بحث المصمم، اكتب Microsoft Sentinel وحدد المشغل عند إنشاء حادثة Microsoft Sentinel.

  2. الاتصال بـ Sentinel: إذا كانت هذه هي المرة الأولى لك، فستحتاج إلى إنشاء اتصال بمساحة عمل Sentinel الخاصة بك. قم بالمصادقة باستخدام حساب لديه الأذونات اللازمة.

  3. أضف إجراء (إرسال بريد إلكتروني): انقر على + خطوة جديدة.

  4. في حقل البحث، اكتب "إرسال بريد إلكتروني" وحدد الإجراء "إرسال بريد إلكتروني (V2)" من موصل "Office 365 Outlook" (أو موفر بريد إلكتروني آخر من اختيارك).

  5. تكوين إجراء البريد الإلكتروني: قم بملء حقول البريد الإلكتروني باستخدام المحتوى الديناميكي من مشغل حادث Sentinel:

    • إلى: أدخل عنوان البريد الإلكتروني للمستلم (على سبيل المثال: [email protected]).
    • الموضوع: حادثة الحارس الجديدة: وحدد عنوان الحادث من المحتوى الديناميكي.
    • النص: قم بإنشاء نص بريد إلكتروني إعلامي، بما في ذلك تفاصيل الحادث:
      • العنوان: (اختر عنوان الحادثة)
      • خطورة الحادث: (حدد خطورة الحادث)
      • الوصف: (حدد وصف الحادث)
      • رابط الحادث: (حدد عنوان URL للحادث)

  6. انقر حفظ لحفظ قواعد اللعبة التي تمارسها.

4. منح أذونات قواعد اللعبة التي تمارسها

قبل أن يتمكن Playbook من التفاعل مع Sentinel والموارد الأخرى، فإنه يحتاج إلى أذونات. أسهل طريقة للقيام بذلك هي تعيين دور "Microsoft Sentinel Contributor" للهوية المُدارة لتطبيق Logic App.

  1. في مدخل Azure، انتقل إلى مساحة عمل Azure Sentinel الخاصة بك.
  2. في جزء التنقل الأيسر، حدد التحكم في الوصول (IAM).
  3. انقر فوق +إضافة > إضافة تعيين دور.
  4. الدور: حدد Microsoft Sentinel Contributor.
  5. الأعضاء: ضمن تعيين الوصول إلى، حدد الهوية المُدارة.
  6. انقر فوق "+تحديد الأعضاء".

  7. الهوية المُدارة: حدد التطبيق المنطقي وابحث عن دليل التشغيل الخاص بك (NotifyIncidentSentinel). حدده وانقر فوق "تحديد".

  8. انقر فوق "مراجعة + تعيين" للإنهاء.

5. إنشاء قاعدة التشغيل الآلي لتشغيل قواعد اللعبة

الآن، لنقم بإنشاء قاعدة أتمتة في Sentinel لتشغيل Playbook عند إنشاء حادثة جديدة.

  1. في مدخل Azure، انتقل إلى مساحة عمل Azure Sentinel الخاصة بك.
  2. في جزء التنقل الأيسر، حدد الأتمتة.
  3. انقر فوق + إنشاء > قاعدة الأتمتة.
  4. اسم قاعدة التشغيل الآلي: أعطها اسمًا (على سبيل المثال: الإبلاغ عن الحوادث الجديدة).
  5. المشغل: حدد عند إنشاء الحادث.
  6. الشروط: يمكنك إضافة شروط بحيث يتم تشغيل القاعدة فقط لأحداث محددة (على سبيل المثال: الخطورة يساوي مرتفع). في هذا المثال، لن نضيف شروطًا، وبالتالي سيتم تطبيق القاعدة على جميع الأحداث الجديدة.
  7. الإجراءات: ضمن الإجراءات، حدد تشغيل قواعد اللعبة.

  8. من القائمة المنسدلة، حدد Pدفتر التخطيط الذي قمت بإنشائه (NotifyIncidentSentinel).

  9. الأمر: تحديد أمر تنفيذ القاعدة (إذا كان هناك عدة قواعد).

  10. انتهاء صلاحية القاعدة: تحديد ما إذا كان يجب أن تنتهي صلاحية القاعدة في وقت ما.
  11. انقر فوق "تطبيق" لإنشاء قاعدة التشغيل الآلي.

التحقق والاختبار

للتحقق من صحة الأتمتة، تحتاج إلى تشغيل إنشاء حادثة في Sentinel.

1. إثارة حادث اختبار

  1. في مدخل Azure، انتقل إلى مساحة عمل Azure Sentinel الخاصة بك.
  2. في جزء التنقل الأيسر، حدد الحوادث.
  3. انقر فوق + إنشاء حادثة (معاينة).
  4. قم بملء تفاصيل حادث الاختبار (العنوان، الوصف، الخطورة، وما إلى ذلك) ثم انقر فوق "إنشاء".

2. التحقق من تنفيذ قواعد اللعبة

  1. التحقق من البريد الإلكتروني: تحقق من صندوق الوارد الخاص بالمستلم الذي قمت بإعداده في Playbook. من المفترض أن تتلقى بريدًا إلكترونيًا يحتوي على تفاصيل حادثة الاختبار التي قمت بإنشائها.

  2. التحقق من سجل تنفيذ Playbook: في بوابة Azure، انتقل إلى تطبيق Logic App (NotifyIncidentSentinel).

  3. في جزء التنقل الأيسر، حدد نظرة عامة ثم علامة التبويب "سجل التشغيل".
  4. يجب أن تشاهد تنفيذًا ناجحًا يتوافق مع حادث الاختبار. اضغط عليها لترى تفاصيل كل خطوة (التحفيز والإجراء).

مثال عملي متقدم: حظر عنوان IP الضار

لنقم بإنشاء قواعد اللعبة الأكثر تقدمًا والتي، عند تلقي حادثة تحتوي على عنوان IP ضار، تضيف عنوان IP هذا إلى قاعدة الحظر في مجموعة Azure Network Security Group (NSG).

  1. إنشاء قواعد اللعبة الجديدة: اتبع الخطوات الواردة في القسم 2 لإنشاء تطبيق منطقي جديد (على سبيل المثال: BloquearIPMalicioso).
  2. تكوين المشغل: استخدم المشغل عند إنشاء حادثة Microsoft Sentinel.

  3. إضافة إجراء (الحصول على كيانات الحادثة): أضف خطوة جديدة وابحث عن الإجراء الكيانات - احصل على عناوين IP من موصل Microsoft Sentinel. سيؤدي هذا إلى استخراج عناوين IP الحادثة.

  4. إضافة إجراء (حلقة لكل عنوان IP): بما أن الحادث يمكن أن يحتوي على عناوين IP متعددة، أضف عنصر تحكم "لكل" للتكرار على قائمة عناوين IP التي تم إرجاعها بواسطة الإجراء السابق.

  5. إضافة إجراء (إضافة IP إلى NSG): داخل حلقة لكل، أضف إجراء موصل Azure NSG يسمى تحديث مجموعة أمان الشبكة.

    • مجموعة الموارد: حدد مجموعة الموارد الخاصة بمجموعة موردي المواد النووية الخاصة بك.
    • اسم مجموعة أمان الشبكة: حدد NSG الذي تريد تحديثه.
    • قواعد الأمان: أضف قاعدة أمان جديدة بالخصائص التالية:
      • الاسم: BlockIP- (وأضف عنوان IP الديناميكي من حلقة For every).
      • الأولوية: قم بتعيين أولوية عالية (على سبيل المثال: 100).
      • الاتجاه: الإدخال.
      • الوصول: رفض.
      • البروتوكول: أي.
      • نطاق منفذ المصدر: *.
      • نطاق منفذ الوجهة: *.
      • عنوان المصدر: حدد عنوان IP الديناميكي للحلقة `لكل'.
      • عناوين الوجهة: *.

  6. حفظ الأذونات ومنحها: احفظ دليل التشغيل وامنح الأذونات اللازمة للهوية المُدارة لتطبيق Logic App (على سبيل المثال، المساهم في الشبكة في نطاق NSG).

  7. إنشاء قاعدة أتمتة: قم بإنشاء قاعدة أتمتة جديدة في Sentinel لتشغيل دليل التشغيل هذا عندما يحتوي حادث ما على عنوان IP ضار (على سبيل المثال، استنادًا إلى اسم قاعدة التحليل أو العلامات).

نصائح أمنية وأفضل الممارسات

  • استخدام الهويات المُدارة: استخدم دائمًا الهويات المُدارة لمصادقة كتب التشغيل بدلاً من تخزين بيانات الاعتماد أو مفاتيح واجهة برمجة التطبيقات.
  • مبدأ الامتياز الأقل لـ Playbooks: امنح Playbooks الأذونات الضرورية فقط لتنفيذ إجراءاتها. على سبيل المثال، إذا كان دليل التشغيل يحتاج فقط إلى قراءة البيانات، فلا تمنح أذونات الكتابة.
  • الاختبار في بيئة التطوير: قبل نشر قواعد اللعبة في الإنتاج، اختبرها بدقة في بيئة التطوير أو الاختبار لتجنب العواقب غير المقصودة.
  • مراقبة كتب التشغيل: راقب سجل تشغيل كتب التشغيل لديك لاكتشاف حالات الفشل أو عمليات التشغيل غير المتوقعة. تكوين التنبيهات لفشل قواعد اللعبة التي تمارسها.
  • التوثيق: قم بتوثيق ما يفعله كل كتاب قواعد اللعبة بوضوح، والأذونات الممنوحة له، وكيفية تشغيله. وهذا أمر بالغ الأهمية للصيانة والتدقيق.
  • التحكم في الإصدار: استخدم نظام التحكم في الإصدارالإصدار (مثل Git) لإدارة الكود المصدري لتطبيقات Logic Apps (تصدير نموذج ARM)، مما يسمح بتتبع التغيير والتعاون.
  • موافقة الإنسان على الإجراءات التدميرية: بالنسبة إلى إجراءات الإصلاح التي قد تؤثر على الإنتاج (مثل عزل خادم مهم)، فكر في إضافة خطوة موافقة بشرية في Playbook (على سبيل المثال، إرسال بريد إلكتروني يتضمن خيارات الموافقة/الرفض عبر البطاقات التكيفية).

استكشاف الأخطاء وإصلاحها الشائعة

  • لم يتم تشغيل دليل التشغيل: تحقق من قاعدة التشغيل الآلي في Sentinel. التأكد من استيفاء شروط القاعدة بالحادث. تأكد من تكوين مشغل Playbook بشكل صحيح.
  • فشل تشغيل Playbook: تحقق من سجل تشغيل تطبيق Logic App لتحديد الخطوة الفاشلة ورسالة الخطأ. تتضمن الأسباب الشائعة عدم كفاية الأذونات أو المعلمات غير الصحيحة أو مشكلات الاتصال.
  • خطأ في الأذونات: تحقق من أن الهوية المُدارة لتطبيق Logic App لديها أذونات RBAC المطلوبة على المورد الذي تحاول الوصول إليه (مثل Sentinel وNSG وAzure AD).
  • حلقة لا نهائية: كن حذرًا من أن دليل التشغيل لا ينفذ إجراءً يؤدي بدوره إلى حدوث نفس الحادث مرة أخرى، مما يؤدي إلى إنشاء حلقة لا نهائية. استخدم الشروط في قواعد التنفيذ التلقائي لمنع ذلك.
  • مشكلات الموصل: تحقق من الوثائق الخاصة بموصل Logic App الذي تستخدمه بحثًا عن أي قيود أو مشكلات معروفة. تحقق مما إذا كان الاتصال سليمًا.

الخلاصة

تُعد أتمتة الاستجابة للحوادث باستخدام Playbooks في Azure Sentinel بمثابة قدرة تحويلية لأي فريق أمان. من خلال أتمتة المهام المتكررة وتنظيم إجراءات المعالجة، يمكن للمؤسسات تقليل وقت الاستجابة للتهديدات بشكل كبير، وزيادة كفاءة مركز عمليات الأمان، وضمان استجابة متسقة وموحدة للحوادث. تسمح لك مرونة Azure Logic Apps بإنشاء سير عمل تلقائي بدءًا من الإشعارات البسيطة وحتى سلاسل المعالجة المعقدة عبر أدوات متعددة. باستخدام هذا الدليل العملي، سيكون متخصصو الأمن مجهزين تجهيزًا جيدًا لتسخير قوة SOAR في Microsoft Sentinel، مما يجعل عملياتهم الأمنية أكثر مرونة وفعالية واستعدادًا لمواجهة تحديات مشهد التهديدات المتطور باستمرار.

المراجع:

[1] مايكروسوفت تعلم. أتمتة الاستجابة للتهديدات باستخدام قواعد التشغيل الآلي في Microsoft Sentinel. متوفر على: https://learn.microsoft.com/pt-br/azure/sentinel/automate-incident-handling-with-automation-rules [2] مايكروسوفت تعلم. ما هو SOAR (التنسيق الأمني ​​والأتمتة والاستجابة)؟. متوفر على: https://learn.microsoft.com/pt-br/azure/sentinel/what-is-soar [3] مايكروسوفت تعلم. الأذونات في Microsoft Sentinel. متوفر على: https://learn.microsoft.com/pt-br/azure/sentinel/roles [4] مايكروسوفت تعلم. إنشاء وإدارة قواعد اللعب الخاصة بـ Microsoft Sentinel. متوفر على: https://learn.microsoft.com/pt-br/azure/sentinel/automation/create-playbooks [5] مايكروسوفت تعلم. إنشاء واستخدام قواعد أتمتة Azure Sentinel لإدارة الاستجابة. متوفر على: https://learn.microsoft.com/pt-br/azure/sentinel/create-manage-use-automation-rules