Teilen über


Azure Logic Apps-Connector für Microsoft Sentinel-Playbooks

Microsoft Sentinel-Playbooks basieren auf Workflows, die in Azure Logic Apps erstellt wurden, einem Clouddienst, mit dem Sie Aufgaben und Workflows systemübergreifend im gesamten Unternehmen planen, automatisieren und orchestrieren können. Microsoft Sentinel-Playbooks können die gesamte Leistungsfähigkeit und die Funktionen der integrierten Vorlagen in Azure Logic Apps nutzen.

Azure Logic Apps kommuniziert mit anderen Systemen und Diensten über verschiedene Typen von Connectors. Verwenden Sie den Microsoft Sentinel-Connector zum Erstellen von Playbooks, die mit Microsoft Sentinel interagieren.

Hinweis

Azure Logic Apps erstellt separate Ressourcen, daher können zusätzliche Gebühren anfallen. Weitere Informationen finden Sie auf der Preisseite von Azure Logic Apps.

Komponenten des Microsoft Sentinel-Connectors

Verwenden Sie im Microsoft Sentinel-Connector Trigger, Aktionen und dynamische Felder, um den Workflow Ihres Playbooks zu definieren:

Komponente Beschreibung
Trigger Ein Trigger ist eine Connector-Komponente, die einen Workflow startet, in diesem Fall ein Playbook. Ein Microsoft Sentinel-Trigger definiert das Schema, das das Playbook erwartet, wenn es ausgelöst wird.

Der Microsoft Sentinel-Connector unterstützt die folgenden Arten von Triggern:

- Warnungstrigger: Das Playbook empfängt eine Warnung als Eingabe.
- Entitätstrigger (Vorschau): Das Playbook empfängt als Eingabe eine Entität.
- Incident-Trigger: Das Playbook empfängt einen Incident als Eingabe zusammen mit allen enthaltenen Warnungen und Entitäten.
Aktionen Als Aktionen werden alle Schritte bezeichnet, die nach dem Trigger ausgeführt werden. Aktionen können sequentiell, parallel oder in einer Matrix komplexer Bedingungen angeordnet sein.
Dynamische Felder Dynamische Felder sind temporäre Felder, die in den Aktionen verwendet werden können, die dem Trigger folgen. Dynamische Felder werden durch das Ausgabeschema von Triggern und Aktionen bestimmt und werden von ihrer tatsächlichen Ausgabe aufgefüllt.

Azure Logic Apps unterstützt auch andere Arten von Connectors, z. B. verwaltete Connectors, die API-Aufrufe umschließen, oder benutzerdefinierte Connectors. Weitere Informationen finden Sie unter Logic Apps-Connectors und ihre Dokumentation und Erstellen eigener benutzerdefinierter Azure Logic Apps-Connectors.

Unterstützte Logik-App-Typen

Microsoft Sentinel unterstützt Azure Logic Apps-Ressourcen vom Typ Verbrauch und Standard:

  • Ressourcen vom Typ Verbrauch werden in Azure Logic Apps mit mehreren Mandanten ausgeführt und verwenden die klassische, ursprüngliche Azure Logic Apps-Engine.

  • Ressourcen vom Typ Standard werden in Azure Logic Apps mit einem einzelnen Mandanten ausgeführt und verwenden eine neu gestaltete Azure Logic Apps-Engine.

    Standardressourcen bieten höhere Leistung, feste Preise, mehrere Workflowfunktionen, einfachere Verwaltung von API-Verbindungen, integrierte Netzwerkfunktionen, CI/CD-Funktionen und vieles mehr. Die folgende Playbook-Funktionalität unterscheidet sich jedoch für Standardressourcen in Microsoft Sentinel:

    Funktion Beschreibung
    Erstellen von Playbooks Playbook-Vorlagen werden derzeit für Standardworkflows nicht unterstützt, was bedeutet, dass Sie kein Playbook direkt in Microsoft Sentinel erstellen können.

    Erstellen Sie ihren Workflow stattdessen manuell in Azure Logic Apps, um ihn als Playbook in Microsoft Sentinel zu verwenden.
    Private Endpunkte Wenn Sie Standardworkflows mit privaten Endpunkten verwenden, muss Microsoft Sentinel eine Zugriffseinschränkungsrichtlinie in Logic Apps definieren, um diese privaten Endpunkte in Playbooks basierend auf Standardworkflows zu unterstützen.

    Ohne eine Zugriffseinschränkungsrichtlinie sind Workflows mit privaten Endpunkten möglicherweise weiterhin sichtbar und in Microsoft Sentinel auswählbar, aber die Ausführung schlägt fehl.
    Zustandslose Workflows Standardworkflows unterstützen zwar sowohl zustandsbehaftete als auch zustandslose Workflows in Azure Logic Apps, Microsoft Sentinel unterstützt jedoch keine zustandslosen Workflows.

    Weitere Informationen finden Sie im Abschnitt Zustandsbehaftete und zustandslose Workflows.

Playbook-Authentifizierungen bei Microsoft Sentinel

Azure Logic Apps muss separat eine Verbindung herstellen und sich unabhängig bei jeder Ressource jedes Typs authentifizieren, mit der es interagiert, einschließlich Microsoft Sentinel selbst. Logic Apps verwendet zu diesem Zweck spezielle Konnektoren, wobei jeder Ressourcentyp seinen eigenen Konnektor hat.

Weitere Informationen finden Sie unter Authentifizieren von Playbooks bei Microsoft Sentinel.