intoview.aiشبكات · أمن · سحابة · ذكاء اصطناعي
عمليات الأمن والحوادث والـ Playbooks0%
الاستجابة الآلية (Playbooks)حدثحادثةPlaybookعزل المضيفحالةآليإجراءالحدث ينشئ حادثة، والـ Playbook ينفّذ إجراءً مثل عزل المضيف
تحويل FortiAnalyzer من تخزين سجلات سلبي إلى استجابة أمنية فعّالة

يضيف الـ FortiSoC module إلى FortiAnalyzer قدرات Security Operations Center كاملة فوق طبقة الـ logging الموجودة. بدل أن تكتفي بتخزين الـ logs والـ events، تستطيع الآن إنشاء وتتبع Incidents، وتنفيذ threat hunting عبر السجلات، والتعامل مع Outbreak alerts الجاهزة من FortiGuard. النقطة المحورية هي أن FAZ يتحوّل من أداة تحليل تاريخي إلى منصّة استجابة لحظية.

  • 1إدارة الـ Incidents تتيح إنشاء حادثة وإرفاق الـ events والـ logs ذات الصلة بها، ثمّ إسناد analyst وتعيين severity وتتبّع الـ status من Open إلى Closed.
  • 2الـ Outbreak alerts عبارة عن تواقيع جاهزة من FortiGuard لحملات هجوم معروفة، وعند تطابقها مع الـ logs لديك يولّد FAZ event أو incident تلقائياً مع سياق التهديد.
  • 3الـ threat hunting يُنفّذ عبر Log View و FortiView بصياغة استعلامات فلترة على الحقول مثل srcip و dstip و action للبحث الاستباقي عن مؤشرات الاختراق IOCs.
  • 4الـ Playbook يتكوّن من trigger واحد يطلق التنفيذ، يليه سلسلة tasks/actions تُنفَّذ بالترتيب، وكل action يستدعي Connector محدّداً.
  • 5الـ trigger قد يكون On Event أو On Incident أو On Schedule أو On Demand، ما يسمح بالأتمتة التفاعلية مع التهديدات أو بالمسح الدوري المجدول.

تشريح الـ Playbook

Trigger: حدث/حادثة/جدولة
🔗
Connector: FortiOS/إشعار/محلي
⚙️
Task: اجلب/أغنِ/نفّذ
🛡️
Action: عزل host / تنبيه
📋
Monitor: حالة التشغيل
🔎تفاصيل أعمق
  • الـ Connectors هي الجسر بين FAZ والأنظمة الخارجية: FortiOS connector لتنفيذ إجراءات على FortiGate مثل عزل host عبر quarantine، و notification connectors مثل Email و webhook لإبلاغ الفريق، إضافة إلى local connector لإجراءات داخل FAZ نفسه.
  • دورة حياة الـ incident تتكامل مع الـ playbooks: يمكن لـ playbook بـ trigger من نوع On Incident أن يُغني الحادثة تلقائياً (enrichment) بجلب معلومات إضافية، أو أن يبدأ احتواءً فورياً بمجرّد فتح الحادثة.
  • الـ Playbook Monitor يعرض كل عملية تشغيل (run) مع حالتها ووقتها وأي خطأ في أي task، وهو نقطة التشخيص الأولى عندما لا ينفّذ الـ playbook كما هو متوقّع — تماماً مثل أهمية رؤية حالة العملية في أي منصّة تشغيلية.
⌨️معمل CLI تفاعلي
اختر مهمة، اكتب الأوامر بنفسك وشاهد النتيجة — أو اضغط «نفّذ التالي».
📖 شرح المهمة والأوامر
الـ SOC و الـ Playbooks تُدار بالكامل من الـ GUI تحت FortiSoC؛ الـ CLI هنا فقط للتحقق من الحالة العامة وحالة الـ ADOM، لا لإنشاء playbook.
  • config system globalالدخول إلى قسم الإعداد
  • set workspace-mode disabledضبط قيمة إعداد
  • endحفظ والخروج من القسم
  • diagnose test application fmgd 99أمر تشخيص
  • # GUI: System Settings > All ADOMs > edit ADOM > enable advanced SOC featuresأمر
FAZ-LAB-01 — FortiOS CLI
# المهمة: تأكيد تفعيل الـ FortiSoC / SOC features على الـ ADOM
FAZ-LAB-01 #
0/5
أوامر تحقّق من التشغيل (اضغط للتشغيل فورًا):
الـ SOC و الـ Playbooks تُدار بالكامل من الـ GUI تحت FortiSoC؛ الـ CLI هنا فقط للتحقق من الحالة العامة وحالة الـ ADOM، لا لإنشاء playbook.

دورة حياة الـ Incident

  1. ١
    اكتشاف
    event أو Outbreak alert يطابق الـ logs
  2. ٢
    إنشاء
    إنشاء incident وإرفاق events/logs
  3. ٣
    إسناد
    تعيين analyst و severity
  4. ٤
    تحقيق
    threat hunting على الحقول
  5. ٥
    احتواء
    playbook ينفّذ quarantine ويُغلق
💡 نصيحة مقابلة: 💡 ابدأ الأتمتة بـ playbook إشعاري بسيط (notification only) قبل ربط أي action مدمّر مثل quarantine. الـ FortiOS connector يحتاج FortiGate مضافاً عبر Fabric مع API admin فعّال، وإلا ستفشل المهمة بصمت في سجل الـ Playbook Monitor.