سير العمل الشائعة في SOC

تقدّم هذه الصفحة أدلة تشغيل بسيطة وعملية، خطوة بخطوة، لأكثر مهام AuroraSOC شيوعًا.

متى تستخدم هذه الصفحة

استخدم هذه الصفحة عندما يكون سؤالك من نوع:

• "كيف يمكنني فرز هذا التنبيه بسرعة؟"
• "كيف يمكنني تحويل تنبيه إلى حالة مُدارة؟"
• "كيف يمكنني تنفيذ الاستجابة بأمان باستخدام عناصر التحكم في الموافقة؟"

سير العمل 1: فرز تنبيه جديد عالي الخطورة

هدف

تحديد ما إذا كان التنبيه إيجابيًا كاذبًا، أو للمراقبة فقط، أو يحتاج إلى استجابة فورية.

خطوات

1. انتقل إلى إدارة التنبيهات.
2. قم بالتصفية إلى severity=critical وstatus=new.
3. افتح تفاصيل التنبيه واقرأ السياق والمصدر ومؤشرات الاختراق (IOCs).
4. شغّل تحقيق الذكاء الاصطناعي وانتظر النتائج.
5. حدّث حالة التنبيه:
   • triaged إذا لم تكن هناك حاجة إلى اتخاذ إجراء فوري
   • investigating إذا كان التحليل الأعمق مطلوبًا
   • contained إذا بدأ إجراء الاستجابة

أخطاء شائعة

• إغلاق التنبيه قبل مراجعة أدلة التسلسل الزمني
• تجاهل أحداث CPS/IoT المرتبطة بحوادث هجينة IT/OT

سير العمل 2: تحويل التنبيه إلى حالة حادث

هدف

تتبع الملكية والتسلسل الزمني والحل في مكان واحد.

خطوات

1. من تفاصيل التنبيه، قم بإنشاء حالة أو الارتباط بها.
2. قم بتعيين درجة الخطورة، وتعيين المالك، وإضافة سياق ملخص.
3. أضف نتائج التحقيق كعناصر في التسلسل الزمني.
4. تتبع كل خطوة استجابة حتى الإغلاق.
5. أنشئ تقريرًا وأغلق الحالة مع ملاحظات الحل.

ذات صلة: إدارة الحالات، SOAR Playbooks

سير العمل 3: تشغيل الاستجابة باستخدام حواجز حماية الموافقة

التشغيل الجاف أولاً

1. افتح Playbook مناسبًا في SOAR Playbooks.
2. نفّذ في وضع التشغيل الجاف.
3. راجع الآثار الجانبية المتوقعة والأصول المتأثرة.
4. انتقل إلى التنفيذ المعتمد إذا كانت النتائج مقبولة.

التنفيذ المعتمد

1. أرسل طلب موافقة للإجراءات عالية المخاطر.
2. انتظر القرار في مسار الموافقات.
3. نفّذ بعد اعتماد الطلب.
4. سجّل النتائج في التسلسل الزمني للحالة.

سير العمل 4: التحقيق في مخاطر نقطة النهاية أو الجهاز

مسار نقطة النهاية

1. افتح EDR Endpoints.
2. صفِّ نقاط النهاية غير الصحية أو عالية المخاطر.
3. شغّل الفحص وراجع مؤشرات العمليات/الشبكة.

مسار CPS/إنترنت الأشياء

1. افتح أجهزة CPS/IoT.
2. راجع حالة attestation وحالة الثقة بالبرنامج الثابت.
3. صعّد الأجهزة المخترقة أو غير الموثوقة إلى سير عمل الحالة.

قائمة تحقق بعد تنفيذ أي سير عمل

استخدم هذه القائمة السريعة بعد كل تنفيذ:

1. تم تسجيل انتقالات حالة التنبيه/الحالة بشكل صحيح.
2. يحتوي التسلسل الزمني على جميع خطوات المحلل والوكيل.
3. تم ربط الموافقات المطلوبة بالإجراءات المنفذة.
4. تتضمن ملاحظة الإغلاق سبب القرار والخطوات اللاحقة.

أهداف SLA المقترحة

مرحلة سير العمل	الهدف المقترح
الفرز الأولي لتنبيه حرج	5-15 دقيقة
تحويل تنبيه إلى حالة	أقل من 10 دقائق بعد الفرز
قرار الموافقة للإجراءات عالية المخاطر	أقل من 30 دقيقة
استكمال ملاحظة إغلاق الحالة	خلال ساعة من آخر إجراء

حلول سريعة لاستكشاف الأخطاء

تم تعطيل زر التحقيق

السبب المحتمل: يفتقر الدور إلى إذن investigation:trigger.

نتائج الذكاء الاصطناعي متأخرة

السبب المحتمل: تراكم في workers أو انتهاء مهلة نقطة نهاية الوكيل.

تعذر تنفيذ Playbook

السبب المحتمل: موافقة معلّقة، أو Playbook معطّل، أو عدم تطابق في الأذونات.

الصفحات ذات الصلة

• نظرة عامة على لوحة المعلومات
• إدارة التنبيهات
• إدارة الحالات
• الإنسان في الحلقة
• واجهة برمجة تطبيقات REST للمطور