Azure Logic Apps för Microsoft Sentinel-spelböcker
Microsoft Sentinel-spelböcker baseras på arbetsflöden som skapats i Azure Logic Apps, en molntjänst som hjälper dig att schemalägga, automatisera och samordna uppgifter och arbetsflöden mellan system i hela företaget. Microsoft Sentinel-spelböcker kan dra nytta av all kraft och alla funktioner i de inbyggda mallarna i Azure Logic Apps.
Azure Logic Apps kommunicerar med andra system och tjänster med hjälp av olika typer av anslutningsappar. Använd Microsoft Sentinel-anslutningsappen för att skapa spelböcker som interagerar med Microsoft Sentinel.
Kommentar
Azure Logic Apps skapar separata resurser, så ytterligare avgifter kan tillkomma. Mer information finns på prissättningssidan för Azure Logic Apps.
Microsoft Sentinel-anslutningskomponenter
Använd utlösare, åtgärder och dynamiska fält i Microsoft Sentinel-anslutningsappen för att definiera din spelboks arbetsflöde:
| Komponent | beskrivning |
|---|---|
| Utlösare | En utlösare är anslutningskomponenten som startar ett arbetsflöde, i det här fallet en spelbok. En Microsoft Sentinel-utlösare definierar det schema som spelboken förväntar sig att ta emot när den utlöses. Microsoft Sentinel-anslutningsappen stöder följande typer av utlösare: - Aviseringsutlösare: Spelboken tar emot en avisering som indata. - Entitetsutlösare: Spelboken tar emot en entitet som indata. - Incidentutlösare: Spelboken tar emot en incident som indata, tillsammans med alla inkluderade aviseringar och entiteter. |
| Åtgärder | Åtgärder är alla steg som sker efter utlösaren. Åtgärder kan ordnas sekventiellt, parallellt eller i en matris med komplexa villkor. |
| Dynamiska fält | Dynamiska fält är temporära fält som kan användas i de åtgärder som följer din utlösare. Dynamiska fält bestäms av utdataschemat för utlösare och åtgärder och fylls i av deras faktiska utdata. |
Azure Logic Apps stöder även andra typer av anslutningsappar, till exempel hanterade anslutningsappar, som omsluter API-anrop eller anpassade anslutningsappar. Mer information finns i Anslutningsappar för Azure Logic Apps och deras dokumentation och Skapa egna anpassade Azure Logic Apps-anslutningsappar.
Typer av logikappar som stöds
Microsoft Sentinel stöder både förbruknings- och standardlogikappar:
Förbrukning: Körs i Azure Logic Apps med flera klientorganisationer och använder den klassiska, ursprungliga Azure Logic Apps-motorn.
Standard: Körs i Azure Logic Apps med en enda klientorganisation och använder en nyligen utformad Azure Logic Apps-motor.
Standardresurser erbjuder högre prestanda, fast prissättning, funktioner för flera arbetsflöden, enklare HANTERING av API-anslutningar, inbyggda nätverksfunktioner och CI/CD-funktioner med mera. Följande spelboksfunktioner skiljer sig dock åt för standardlogikappar i Microsoft Sentinel:
Funktion beskrivning Skapa spelböcker Spelboksmallar stöds för närvarande inte för Standard-arbetsflöden, vilket innebär att du inte kan använda en mall för att skapa din spelbok direkt i Microsoft Sentinel.
Skapa i stället arbetsflödet manuellt i Azure Logic Apps för att använda det som en spelbok i Microsoft Sentinel.Privata slutpunkter Om du använder Standard-arbetsflöden med privata slutpunkter kräver Microsoft Sentinel att du definierar en princip för åtkomstbegränsning i Logikappar för att stödja dessa privata slutpunkter i spelböcker baserade på Standard-arbetsflöden.
Utan en princip för åtkomstbegränsning kan arbetsflöden med privata slutpunkter fortfarande vara synliga och valbara i Microsoft Sentinel, men det går inte att köra dem.Tillståndslösa arbetsflöden Standardarbetsflöden stöder både tillståndskänsliga och tillståndslösa i Azure Logic Apps, men Microsoft Sentinel stöder inte tillståndslösa arbetsflöden.
Mer information finns i Tillståndskänsliga och tillståndslösa arbetsflöden.
Spelboksautentisering till Microsoft Sentinel
Azure Logic Apps måste ansluta separat och autentisera sig separat till varje resurs, av varje typ, som den interagerar med, inklusive till Själva Microsoft Sentinel. Azure Logic Apps använder specialiserade anslutningsappar för detta ändamål, där varje resurstyp har en egen anslutningsapp.
Mer information finns i Autentisera spelböcker till Microsoft Sentinel.
Relaterat innehåll
- Skillnader mellan resurstyp och värdmiljö i Azure Logic Apps-dokumentationen
- Microsoft Sentinel-anslutningsprogram för Azure Logic Apps i Azure Logic Apps-dokumentationen
- Skapa och hantera Microsoft Sentinel-spelböcker