Sdílet prostřednictvím


Podporované triggery a akce v playbookech Microsoft Sentinelu

Tento článek popisuje triggery a akce podporované konektorem Služby Logic Apps pro Microsoft Sentinel. Pomocí uvedených triggerů a akcí v playboocích Microsoft Sentinelu můžete pracovat s daty Microsoft Sentinelu.

Požadavky

Než začnete, ujistěte se, že máte následující oprávnění Azure požadovaná k používání komponent konektoru Microsoft Sentinel:

Role Použití triggerů Získání dostupných akcí Aktualizace incidentu
přidání komentáře
Čtenář Microsoft Sentinelu -
Přispěvatel respondéru/Microsoft Sentinelu

Další informace najdete v tématu Role a oprávnění v Microsoft Sentinelu a požadavky pro práci s playbooky Microsoft Sentinel.

Podporované triggery Microsoft Sentinelu

Konektor Microsoft Sentinelu, a proto playbooky Microsoft Sentinelu podporují následující triggery:

  • Incident Microsoft Sentinelu Doporučuje se pro většinu scénářů automatizace incidentů.

    Playbook přijímá objekty incidentů, včetně entit i výstrah. Tento trigger umožňuje připojit playbook k pravidlu automatizace, které se dá aktivovat při každém vytvoření nebo aktualizaci incidentu v Microsoft Sentinelu a použití všech výhod pravidel automatizace pro incident.

  • Upozornění služby Microsoft Sentinel (Preview) Doporučuje se pro playbooky, které se musí spouštět ručně u výstrah nebo pro plánovaná analytická pravidla, která negenerují incidenty pro upozornění.

    • Tento trigger se nedá použít k automatizaci odpovědí na výstrahy vygenerované pravidly analýzy zabezpečení Microsoftu.
    • Playbooky používající tento trigger nelze volat pravidly automatizace.
  • Entita Microsoft Sentinelu Doporučuje se pro playbooky, které se musí spouštět ručně u konkrétních entit z kontextu prošetření nebo proaktivního vyhledávání hrozeb. Playbooky používající tento trigger nelze volat pravidly automatizace.

Schémata používaná těmito toky nejsou stejná. Pro většinu scénářů doporučujeme použít tok triggeru incidentu Služby Microsoft Sentinel.

Dynamická pole incidentu

Objekt incidentu přijatý z incidentu Microsoft Sentinelu obsahuje následující dynamická pole:

Název pole Popis
Vlastnosti incidentu Zobrazeno jako incident: <název pole>
Výstrahy Pole následujících vlastností výstrahy, které se zobrazí jako Výstraha: <název> pole.

Vzhledem k tomu, že každý incident může obsahovat více výstrah, výběr vlastnosti výstrahy automaticky vygeneruje pro každou smyčku pro pokrytí všech výstrah v incidentu.
Entity Pole všech entit výstrahy
Pole s informacemi o pracovním prostoru Podrobnosti o pracovním prostoru Microsoft Sentinelu, ve kterém byl incident vytvořen, včetně následujících:

– ID předplatného
– Název pracovního prostoru
– ID pracovního prostoru
– Název skupiny prostředků

Podporované akce Microsoft Sentinelu

Konektor Microsoft Sentinelu, a proto playbooky Microsoft Sentinelu podporují následující akce:

Akce Kdy ji použít
Upozornění – Získání incidentu V playbookech, které začínají triggerem upozornění. Užitečné pro získání vlastností incidentu nebo načtení ID ARM incidentu pro použití s incidentem aktualizace nebo přidání komentáře k akcím incidentu.
Získání incidentu Při aktivaci playbooku z externího zdroje nebo s triggerem, který není sentinelový. Identifikujte ID ARM incidentu. Načte vlastnosti a komentáře incidentu.
Aktualizace incidentu Pokud chcete změnit stav incidentu (například při zavření incidentu), přiřaďte vlastníka, přidejte nebo odeberte značku nebo změňte její závažnost, název nebo popis.
Přidání komentářů k incidentu Rozšíření incidentu informacemi shromážděnými z externích zdrojů; auditovat akce prováděné playbookem u subjektů; poskytování dalších informací cenných pro vyšetřování incidentů.
Entity – Získání <typu entity> V playboocích, které pracují na určitém typu entity (IP, Účet, Hostitel, **adresa URL nebo FileHash), které jsou známé při vytváření playbooku, a musíte být schopni ho analyzovat a pracovat na jeho jedinečných polích.

Tip

Akce aktualizují incident a přidají komentář k incidentu, které vyžadují ID ARM incidentu.

Pomocí výstrahy – získání akce incidentu předem získejte ID ARM incidentu.

Podporované typy entit

Dynamické pole Entity je pole objektů JSON, z nichž každá představuje entitu. Každý typ entity má vlastní schéma v závislosti na jeho jedinečných vlastnostech.

Akce Entity – Získání <typu> entity umožňuje:

  • Vyfiltrujte pole entit podle požadovaného typu.
  • Parsujte konkrétní pole tohoto typu, aby je bylo možné použít jako dynamická pole v dalších akcích.

Vstup je dynamické pole Entity .

Odpověď je pole entit, kde se analyzují speciální vlastnosti a lze je použít přímo v rámci každé smyčky.

Mezi aktuálně podporované typy entit patří:

Následující obrázek ukazuje příklad dostupných akcí pro entity:

Snímek obrazovky se seznamem akcí entit

U jiných typů entit je možné podobné funkce dosáhnout pomocí předdefinovaných akcí Logic Apps:

  • Filtrujte pole entit podle požadovaného typu pomocí pole filtru.

  • Parsujte konkrétní pole tohoto typu, aby je bylo možné použít jako dynamická pole v dalších akcích pomocí parsování JSON.

Další informace naleznete v tématu: