Playbooky Azure Logic Apps pro Microsoft Sentinel
Playbooky Microsoft Sentinel jsou založené na pracovních postupech vytvořených v Azure Logic Apps, cloudové službě, která vám pomůže plánovat, automatizovat a orchestrovat úlohy a pracovní postupy napříč systémy v celém podniku. Playbooky Microsoft Sentinelu můžou využívat všechny možnosti a možnosti integrovaných šablon v Azure Logic Apps.
Azure Logic Apps komunikuje s jinými systémy a službami pomocí různých typů konektorů. Pomocí konektoru Microsoft Sentinel můžete vytvářet playbooky, které komunikují s Microsoft Sentinelem.
Poznámka:
Azure Logic Apps vytváří samostatné prostředky, takže se můžou účtovat další poplatky. Další informace najdete na stránce s cenami azure Logic Apps.
Součásti konektoru Microsoft Sentinelu
Pomocí triggerů, akcí a dynamických polí v konektoru Microsoft Sentinel definujte pracovní postup playbooku:
| Komponenta | Popis |
|---|---|
| Trigger | Trigger je komponenta konektoru, která v tomto případě spouští pracovní postup playbooku. Trigger Služby Microsoft Sentinel definuje schéma, které playbook očekává při aktivaci. Konektor Microsoft Sentinel podporuje následující typy triggerů: - Trigger upozornění: Playbook obdrží jako vstup upozornění. - Trigger entity: Playbook přijímá entitu jako vstup. - Trigger incidentu: Playbook přijímá incident jako vstup spolu se všemi zahrnutými výstrahami a entitami. |
| Akce | Akce jsou všechny kroky, které se stanou po aktivaci triggeru. Akce lze uspořádat postupně, paralelně nebo v matici složitých podmínek. |
| Dynamická pole | Dynamická pole jsou dočasná pole, která se dají použít v akcích, které následují za triggerem. Dynamická pole jsou určena výstupním schématem aktivačních událostí a akcí a jsou naplněna jejich skutečným výstupem. |
Azure Logic Apps také podporuje další typy konektorů, jako jsou spravované konektory, které se obtéknou kolem volání rozhraní API nebo vlastních konektorů. Další informace najdete v tématu Konektory Azure Logic Apps a jejich dokumentace a vytvoření vlastních konektorů Azure Logic Apps.
Podporované typy aplikací logiky
Microsoft Sentinel podporuje aplikace logiky Consumption i Standard:
Spotřeba: Běží ve víceklientských azure Logic Apps a používá klasický původní modul Azure Logic Apps.
Standard: Běží v Azure Logic Apps s jedním tenantem a používá nedávno navržený modul Azure Logic Apps.
Standardní prostředky nabízejí vyšší výkon, pevné ceny, více funkcí pracovních postupů, jednodušší správu připojení rozhraní API, integrované síťové funkce a funkce CI/CD a další. Následující funkce playbooku se ale liší pro standardní aplikace logiky v Microsoft Sentinelu:
Funkce Popis Vytváření playbooků Šablony playbooků nejsou v současné době podporovány pro standardní pracovní postupy, což znamená, že k vytvoření playbooku přímo v Microsoft Sentinelu nemůžete použít šablonu.
Místo toho vytvořte pracovní postup ručně v Azure Logic Apps, abyste ho mohli použít jako playbook v Microsoft Sentinelu.Privátní koncové body Pokud používáte standardní pracovní postupy s privátními koncovými body, Microsoft Sentinel vyžaduje, abyste v aplikacích logiky definovali zásady omezení přístupu, které podporují tyto privátní koncové body v jakýchkoli playboocích založených na standardních pracovních postupech.
Bez zásad omezení přístupu můžou být pracovní postupy s privátními koncovými body stále viditelné a vybratelné v Microsoft Sentinelu, ale jejich spuštění selže.Bezstavové pracovní postupy I když standardní pracovní postupy podporují stavové i bezstavové v Azure Logic Apps, Microsoft Sentinel nepodporuje bezstavové pracovní postupy.
Další informace naleznete v tématu Stavové a bezstavové pracovní postupy.
Ověřování playbooků v Microsoft Sentinelu
Azure Logic Apps se musí připojovat samostatně a ověřovat nezávisle na každém prostředku, každého typu, se kterým komunikuje, včetně samotné služby Microsoft Sentinel. Azure Logic Apps pro tento účel používá specializované konektory , přičemž každý typ prostředku má svůj vlastní konektor.
Další informace najdete v tématu Ověřování playbooků v Microsoft Sentinelu.
Související obsah
- Rozdíly mezi typem prostředků a hostitelským prostředím v dokumentaci k Azure Logic Apps
- Konektor Microsoft Sentinel pro Azure Logic Apps v dokumentaci k Azure Logic Apps
- Vytváření a správa playbooků Microsoft Sentinelu