Azure Logic Apps pour les playbooks Microsoft Sentinel
Les playbooks Microsoft Sentinel sont basés sur des workflows intégrés à Azure Logic Apps, un service cloud qui vous permet de planifier, d’automatiser et d’orchestrer des tâches et des workflows à travers les systèmes de l’entreprise. Les playbooks Microsoft Sentinel peuvent tirer parti de toute la puissance et des capacités des modèles intégrés dans Azure Logic Apps.
Azure Logic Apps communique avec d’autres systèmes et services à l’aide de différents types de connecteurs. Utilisez le connecteur Microsoft Sentinel pour créer des playbooks qui interagissent avec Microsoft Sentinel.
Remarque
Azure Logic Apps crée des ressources distinctes, de sorte que des frais supplémentaires peuvent s’appliquer. Consultez la page sur la tarification d’Azure Logic Apps pour en savoir plus.
Composants du connecteur Microsoft Sentinel
Dans le connecteur Microsoft Sentinel, utilisez des déclencheurs, des actions et des champs dynamiques pour définir le workflow de votre playbook :
Composant | Description |
---|---|
Déclencheur | Un déclencheur est le composant du connecteur qui démarre un workflow, dans ce cas un playbook. Un déclencheur Microsoft Sentinel définit le schéma que le playbook s’attend à recevoir lorsqu’il est déclenché. Le connecteur Microsoft Sentinel prend en charge les types de déclencheurs suivants : - Déclencheur d’alerte : le playbook reçoit une alerte en entrée. - Déclencheur d’entité : Le playbook reçoit une entité en tant qu’entrée. - Déclencheur d’incident : le playbook reçoit un incident en entrée, ainsi que toutes les alertes et entités incluses. |
Actions | Les actions représentent toutes les étapes qui se produisent après le déclencheur. Vous pouvez organiser des actions de manière séquentielle, en parallèle ou dans une matrice de conditions complexes. |
Champs dynamiques | Les champs dynamiques sont des champs temporaires qui peuvent être utilisés dans les actions qui suivent votre déclencheur. Les champs dynamiques sont déterminés par le schéma de sortie des déclencheurs et des actions, et sont remplis par leur sortie réelle. |
Azure Logic Apps prend également en charge d’autres types de connecteurs, notamment des connecteurs managés qui enveloppent les appels d’API ou des connecteurs personnalisés. Pour plus d’informations, consultez les connecteurs Azure Logic Apps et leur documentation et Créer vos propres connecteurs Azure Logic Apps personnalisés.
Types d’applications logiques pris en charge
Microsoft Sentinel prend en charge les applications logiques Consommation et Standard :
Consommation : S’exécute dans Azure Logic Apps multilocataire et utilise le moteur classique et original d’Azure Logic Apps.
Standard : S’exécute dans Azure Logic Apps monolocataire et utilise un moteur Azure Logic Apps de conception plus récente.
Les ressources Standard offrent des performances plus élevées, des tarifs fixes, la prise en charge de plusieurs workflows, une gestion simplifiée des connexions d’API, des fonctionnalités réseau intégrées, des fonctionnalités CI/CD, etc. Toutefois, les fonctionnalités de playbook suivantes diffèrent pour les applications logiques Standard dans Microsoft Sentinel :
Fonctionnalité Description Création de playbooks Les modèles de playbook ne sont pas actuellement pris en charge pour les workflows Standard, ce qui signifie que vous ne pouvez pas utiliser de modèle pour créer votre playbook directement dans Microsoft Sentinel.
Au lieu de cela, créez votre workflow manuellement dans Azure Logic Apps pour l’utiliser en tant que playbook dans Microsoft Sentinel.Points de terminaison privés Si vous utilisez des workflows Standard avec des points de terminaison privés, Microsoft Sentinel vous demande de définir une stratégie de restriction d’accès dans les applications logiques pour prendre en charge ces points de terminaison privés dans tous les playbooks basés sur des workflows Standard.
Sans stratégie de restriction d’accès, les workflows avec des points de terminaison privés peuvent toujours être visibles et sélectionnés dans Microsoft Sentinel, mais leur exécution échoue.Workflows sans état Bien que les workflows Standard peuvent être avec état et sans état dans Azure Logic Apps, Microsoft Sentinel ne prend pas en charge les workflows sans état.
Pour plus d’informations, consultez Workflows avec et sans état.
Authentifications de playbooks auprès de Microsoft Sentinel
Azure Logic Apps doit se connecter séparément et s’authentifier indépendamment auprès de chaque type de ressource avec lequel il interagit, dont Microsoft Sentinel lui-même. Azure Logic Apps utilise des connecteurs spécialisés à cet effet, chaque type de ressource ayant son propre connecteur.
Pour plus d’informations, consultez Authentifier des playbooks auprès de Microsoft Sentinel.
Contenu connexe
- Différences entre le type de ressource et l’environnement hôte dans la documentation Azure Logic Apps
- Connecteur Microsoft Sentinel pour Azure Logic Apps dans la documentation Azure Logic Apps
- Créer et gérer des playbooks Microsoft Sentinel