Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Microsoft Sentinel playbooky jsou založené na pracovních postupech integrovaných v Azure Logic Apps, cloudové službě, která pomáhá plánovat, automatizovat a orchestrovat úlohy a pracovní postupy napříč systémy v rámci celého podniku. Microsoft Sentinel playbooky můžou využívat všechny možnosti a možnosti integrovaných šablon v Azure Logic Apps.
Azure Logic Apps komunikuje s jinými systémy a službami pomocí různých typů konektorů. Pomocí konektoru Microsoft Sentinel můžete vytvářet playbooky, které pracují s Microsoft Sentinel.
Poznámka
Azure Logic Apps vytváří samostatné prostředky, takže se můžou účtovat další poplatky. Další informace najdete na stránce s cenami Azure Logic Apps.
komponenty konektoru Microsoft Sentinel
V konektoru Microsoft Sentinel definujte pracovní postup playbooku pomocí triggerů, akcí a dynamických polí:
| Součást | Popis |
|---|---|
| Aktivační událost | Trigger je komponenta konektoru, která spouští pracovní postup, v tomto případě playbook. Trigger Microsoft Sentinel definuje schéma, které playbook očekává při aktivaci. Konektor Microsoft Sentinel podporuje následující typy triggerů: - Aktivační událost upozornění: Playbook obdrží upozornění jako vstup. - Trigger entity: Playbook přijme entitu jako vstup. - Trigger incidentu: Playbook obdrží incident jako vstup spolu se všemi zahrnutými výstrahami a entitami. |
| Akce | Akce jsou všechny kroky, které se provádějí po triggeru. Akce lze uspořádat postupně, paralelně nebo v matici složitých podmínek. |
| Dynamická pole | Dynamická pole jsou dočasná pole, která se dají použít v akcích, které následují po triggeru. Dynamická pole jsou určena výstupním schématem triggerů a akcí a jsou naplněna jejich skutečným výstupem. |
Azure Logic Apps také podporuje další typy konektorů, jako jsou spravované konektory, které se obepíná kolem volání rozhraní API, nebo vlastní konektory. Další informace najdete v tématech Azure Konektory Logic Apps a jejich dokumentace a Vytvoření vlastních konektorů Azure Logic Apps.
Podporované typy aplikací logiky
Microsoft Sentinel podporuje aplikace logiky Consumption i Standard:
Consumption: Běží ve víceklientských Azure Logic Apps a používá klasický původní modul Azure Logic Apps.
Standard: Běží v jednom tenantovi Azure Logic Apps a používá nedávno navržený modul Azure Logic Apps.
Standardní prostředky nabízejí vyšší výkon, pevné ceny, možnosti více pracovních postupů, jednodušší správu připojení rozhraní API, integrované síťové funkce a funkce CI/CD a další. Následující funkce playbooku se ale u aplikací logiky Standard v Microsoft Sentinel liší:
Funkce Popis Vytváření playbooků Šablony playbooků se v současné době nepodporují pro standardní pracovní postupy, což znamená, že šablonu nemůžete použít k vytvoření playbooku přímo v Microsoft Sentinel.
Místo toho vytvořte pracovní postup ručně v Azure Logic Apps, abyste ho mohli použít jako playbook v Microsoft Sentinel.Privátní koncové body Pokud používáte standardní pracovní postupy s privátními koncovými body, Microsoft Sentinel vyžaduje, abyste v Aplikacích logiky definovali zásady omezení přístupu, které tyto privátní koncové body podporují ve všech playboocích založených na standardních pracovních postupech.
Bez zásad omezení přístupu můžou být pracovní postupy s privátními koncovými body stále viditelné a vybratelné v Microsoft Sentinel, ale jejich spuštění se nezdaří.Bezstavové pracovní postupy I když standardní pracovní postupy podporují v Azure Logic Apps stavové i bezstavové pracovní postupy, Microsoft Sentinel nepodporuje bezstavové pracovní postupy.
Další informace najdete v tématu Stavové a bezstavové pracovní postupy.
Ověřování playbooků pro Microsoft Sentinel
Azure Logic Apps se musí připojit samostatně a nezávisle se ověřovat ke každému prostředku každého typu, se kterým komunikuje, včetně Microsoft Sentinel sám. Azure Logic Apps k tomuto účelu používá specializované konektory, přičemž každý typ prostředku má svůj vlastní konektor.
Další informace najdete v tématu Ověřování playbooků pro Microsoft Sentinel.
Související obsah
- Rozdíly mezi typem prostředku a hostitelským prostředím v dokumentaci k Azure Logic Apps
- konektor Microsoft Sentinel pro Azure Logic Apps v dokumentaci k Azure Logic Apps
- Vytváření a správa playbooků Microsoft Sentinel