Playbooky Azure Logic Apps pro Microsoft Sentinel
Playbooky Microsoft Sentinel jsou založené na pracovních postupech vytvořených v Azure Logic Apps, cloudové službě, která vám pomůže plánovat, automatizovat a orchestrovat úlohy a pracovní postupy napříč systémy v celém podniku. Playbooky Microsoft Sentinelu můžou využívat všechny možnosti a možnosti integrovaných šablon v Azure Logic Apps.
Azure Logic Apps komunikuje s jinými systémy a službami pomocí různých typů konektorů. Pomocí konektoru Microsoft Sentinel můžete vytvářet playbooky, které komunikují s Microsoft Sentinelem.
Poznámka:
Azure Logic Apps vytváří samostatné prostředky, takže se můžou účtovat další poplatky. Další informace najdete na stránce s cenami azure Logic Apps.
Součásti konektoru Microsoft Sentinelu
Pomocí triggerů, akcí a dynamických polí v konektoru Microsoft Sentinel definujte pracovní postup playbooku:
| Komponenta | Popis |
|---|---|
| Trigger | Trigger je komponenta konektoru, která v tomto případě spouští pracovní postup playbooku. Trigger Služby Microsoft Sentinel definuje schéma, které playbook očekává při aktivaci. Konektor Microsoft Sentinel podporuje následující typy triggerů: - Trigger upozornění: Playbook obdrží jako vstup upozornění. - Trigger entity (Preview):Playbook přijímá entitu jako vstup. - Trigger incidentu: Playbook přijímá incident jako vstup spolu se všemi zahrnutými výstrahami a entitami. |
| Akce | Akce jsou všechny kroky, které se stanou po aktivaci triggeru. Akce lze uspořádat postupně, paralelně nebo v matici složitých podmínek. |
| Dynamická pole | Dynamická pole jsou dočasná pole, která se dají použít v akcích, které následují za triggerem. Dynamická pole jsou určena výstupním schématem aktivačních událostí a akcí a jsou naplněna jejich skutečným výstupem. |
Azure Logic Apps také podporuje další typy konektorů, jako jsou spravované konektory, které se obtéknou kolem volání rozhraní API nebo vlastních konektorů. Další informace najdete v tématu Konektory Azure Logic Apps a jejich dokumentace a vytvoření vlastních konektorů Azure Logic Apps.
Podporované typy aplikací logiky
Microsoft Sentinel podporuje jak spotřebu, tak standardní typy prostředků Azure Logic Apps:
Prostředky Consumption běží ve víceklientských Azure Logic Apps a používají klasický původní modul Azure Logic Apps.
Standardní prostředky běží v Azure Logic Apps s jedním tenantem a používají nedávno navržený modul Azure Logic Apps.
Standardní prostředky nabízejí vyšší výkon, pevné ceny, více funkcí pracovních postupů, jednodušší správu připojení rozhraní API, integrované síťové funkce a funkce CI/CD a další. Následující funkce playbooku se ale u standardních prostředků v Microsoft Sentinelu liší:
Funkce Popis Vytváření playbooků Šablony playbooků nejsou v současné době podporovány pro standardní pracovní postupy, což znamená, že k vytvoření playbooku přímo v Microsoft Sentinelu nemůžete použít šablonu.
Místo toho vytvořte pracovní postup ručně v Azure Logic Apps, abyste ho mohli použít jako playbook v Microsoft Sentinelu.Privátní koncové body Pokud používáte standardní pracovní postupy s privátními koncovými body, Microsoft Sentinel vyžaduje, abyste v aplikacích logiky definovali zásady omezení přístupu, které podporují tyto privátní koncové body v jakýchkoli playboocích založených na standardních pracovních postupech.
Bez zásad omezení přístupu můžou být pracovní postupy s privátními koncovými body stále viditelné a vybratelné v Microsoft Sentinelu, ale jejich spuštění selže.Bezstavové pracovní postupy I když standardní pracovní postupy podporují stavové i bezstavové v Azure Logic Apps, Microsoft Sentinel nepodporuje bezstavové pracovní postupy.
Další informace naleznete v tématu Stavové a bezstavové pracovní postupy.
Ověřování playbooků v Microsoft Sentinelu
Azure Logic Apps se musí připojovat samostatně a ověřovat nezávisle na každém prostředku, každého typu, se kterým komunikuje, včetně samotné služby Microsoft Sentinel. Logic Apps pro tento účel používá specializované konektory , přičemž každý typ prostředku má svůj vlastní konektor.
Další informace najdete v tématu Ověřování playbooků v Microsoft Sentinelu.
Související obsah
- Rozdíly mezi typem prostředků a hostitelským prostředím v dokumentaci k Azure Logic Apps
- Konektor Logic Apps pro Microsoft Sentinel v dokumentaci k Azure Logic Apps
- Vytváření a správa playbooků Microsoft Sentinelu
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro