Authentifizieren von Playbooks bei Microsoft Sentinel

  • Artikel
  • Gilt für::
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

So wie Logic Apps funktioniert, muss es separat eine Verbindung herstellen und sich unabhängig bei jeder Ressource jedes Typs authentifizieren, mit der es interagiert, einschließlich Microsoft Sentinel selbst. Logic Apps verwendet zu diesem Zweck spezielle Konnektoren, wobei jeder Ressourcentyp seinen eigenen Konnektor hat. In diesem Dokument werden die Arten von Verbindung und Authentifizierung im Microsoft Sentinel-Connector für Logic Apps erläutert, die Playbooks zur Interaktion mit Microsoft Sentinel verwenden können, um Zugriff auf die Informationen in den Tabellen Ihres Arbeitsbereichs zu haben.

Dieses Dokument ist zusammen mit unserem Leitfaden zum Verwenden von Triggern und Aktionen in Playbooks eine Ergänzung zu unserer anderen Playbookdokumentation: Tutorial: Verwenden von Playbooks mit Automatisierungsregeln in Microsoft Sentinel.

Eine Einführung in Playbooks finden Sie unter Automatisieren der Bedrohungsabwehr mit Playbooks in Microsoft Sentinel.

Die vollständige Spezifikation des Microsoft Sentinel-Connectors finden Sie in der Dokumentation zu Logic Apps-Connectors.

Authentifizierung

Der Microsoft Sentinel-Connector in Logic Apps und seine Komponententrigger und -aktionen können für jede Identität verwendet werden, die über die erforderlichen Berechtigungen (Lesen und/oder Schreiben) für den relevanten Arbeitsbereich verfügt. Der Connector unterstützt mehrere Identitätstypen:

Erforderliche Berechtigungen

Rollen/Connectorkomponenten Auslöser „Get“-Aktionen Incident aktualisieren,
Kommentar hinzufügen
Microsoft Sentinel-Leser
Microsoft Sentinel-Responder/Mitwirkender

Erfahren Sie mehr über Berechtigungen in Microsoft Sentinel.

Authentifizieren mit einer verwalteten Identität

Mit dieser Authentifizierungsmethode können Sie dem Playbook (eine Logic Apps-Workflowressource) direkt Berechtigungen erteilen, sodass vom Playbook durchgeführte Aktionen des Microsoft Sentinel-Connectors so im Auftrag des Playbooks funktionieren, als wäre es ein unabhängiges Objekt mit eigenen Berechtigungen für Microsoft Sentinel. Die Verwendung dieser Methode senkt die Anzahl der Identitäten, die Sie verwalten müssen.

Hinweis

Um einer verwalteten Identität Zugriff auf andere Ressourcen (z. B. Ihren Microsoft Sentinel-Arbeitsbereich) zu gewähren, muss Ihr angemeldeter Benutzer über eine Rolle mit Berechtigungen zum Schreiben von Rollenzuweisungen verfügen, z. B. „Besitzer“ oder „Benutzerzugriffsadministrator“ des Microsoft Sentinel-Arbeitsbereichs.

So führen Sie eine Authentifizierung mit verwalteter Identität durch:

  1. Aktivieren Sie die verwaltete Identität für die Logic Apps-Workflowressource. Zusammenfassung:

    • Wählen Sie im Menü der Logik-App unter Einstellungen die Option Identität aus. Wählen Sie Systemseitig zugewiesen > Ein > Speichern aus. Wenn Sie von Azure zur Bestätigung aufgefordert werden, wählen Sie Ja aus.

    • In der Logik-App kann nun die systemseitig zugewiesene Identität verwendet werden, die bei Microsoft Entra ID registriert ist und durch eine Objekt-ID dargestellt wird.

  2. Gewähren Sie dieser Identität Zugriff auf den Microsoft Sentinel-Arbeitsbereich:

    1. Wählen Sie im Microsoft Sentinel-Menü Einstellungen aus.

    2. Wählen Sie die Registerkarte Arbeitsbereichseinstellungen aus. Wählen Sie im Menü des Arbeitsbereichs Zugriffssteuerung (IAM) aus.

    3. Wählen Sie in der Schaltflächenleiste im oberen Bereich Hinzufügen und anschließend Rollenzuweisung hinzufügen aus. Wenn die Option Rollenzuweisung hinzufügen deaktiviert ist, sind Sie nicht zum Zuweisen von Rollen berechtigt.

    4. Weisen Sie im angezeigten neuen Bereich die entsprechende Rolle zu:

      Role Situation
      Microsoft Sentinel-Antwortender Playbook enthält Schritte zum Aktualisieren von Incidents oder Watchlists.
      Microsoft Sentinel-Leser Playbook empfängt nur Incidents

      Erfahren Sie mehr über die verfügbaren Rollen in Microsoft Sentinel.

    5. Wählen Sie unter Zugriff zuweisen zu die Option Logik-App aus.

    6. Wählen Sie das Abonnement aus, zu dem das Playbook gehört, und wählen Sie den Namen des Playbooks aus.

    7. Wählen Sie Speichern aus.

  3. Aktivieren Sie die Authentifizierungsmethode für verwaltete Identitäten im Logic Apps-Connector für Microsoft Sentinel:

    1. Fügen Sie im Logic Apps-Designer einen Schritt für den Logic Apps-Connector für Microsoft Sentinel hinzu. Wenn der Connector bereits für eine bestehende Verbindung aktiviert ist, wählen Sie den Link Verbindung ändern aus.

      Ändern der Verbindung

    2. Wählen Sie in der daraufhin angezeigten Liste der Verbindungen am unteren Rand Neu hinzufügen aus.

    3. Erstellen Sie eine neue Verbindung, indem Sie Verbindung mit verwalteter Identität herstellen (Vorschau) auswählen.

      Option „Verwaltete Identität“

    4. Geben Sie einen Namen für diese Verbindung ein, und wählen Sie Systemseitig zugewiesene verwaltete Identität und dann Erstellen aus.

      Herstellen einer Verbindung mit einer verwalteten Identität

Authentifizieren als Microsoft Entra-Benutzer

Um eine Verbindung herzustellen, wählen Sie Anmelden aus. Sie werden aufgefordert, Ihre Kontoinformationen anzugeben. Befolgen Sie anschließend die restlichen Anweisungen auf dem Bildschirm, um eine Verbindung herzustellen.

Authentifizieren als Dienstprinzipal (Microsoft Entra-Anwendung)

Dienstprinzipale können durch Registrieren einer Microsoft Entra-Anwendung erstellt werden. Vorzugsweise sollten Sie eine registrierte Anwendung anstelle eines Benutzerkontos als Identität des Connectors verwenden, da Sie so besser Berechtigungen steuern, Anmeldeinformationen verwalten und bestimmte Einschränkungen bei der Verwendung des Connectors aktivieren können.

Um Ihre eigene Anwendung mit dem Microsoft Sentinel-Connector zu verwenden, führen Sie die folgenden Schritte aus:

  1. Registrieren Sie die Anwendung mit Microsoft Entra ID, und erstellen Sie einen Dienstprinzipal. Weitere Informationen.

  2. Rufen Sie Anmeldeinformationen (für die zukünftige Authentifizierung) ab.

    Rufen Sie auf der Seite der registrierten Anwendung die Anmeldeinformationen für die Anwendung ab:

    • Client-ID: unter Übersicht
    • Geheimer Clientschlüssel: unter Zertifikate und Geheimnisse.

  3. Erteilen Sie Berechtigungen für den Microsoft Sentinel-Arbeitsbereich.

    In diesem Schritt erhält die App die Berechtigung zum Arbeiten mit dem Microsoft Sentinel-Arbeitsbereich.

    1. Navigieren Sie im Microsoft Sentinel-Arbeitsbereich zu Einstellungen>Arbeitsbereichseinstellungen>Zugriffssteuerung (IAM).

    2. Wählen Sie Rollenzuweisung hinzufügen aus.

    3. Wählen Sie die Rolle aus, die Sie der Anwendung zuweisen möchten. Um der Anwendung beispielsweise das Ausführen von Aktionen zu ermöglichen, die Änderungen wie das Aktualisieren eines Incidents im Sentinel-Arbeitsbereich vornehmen, wählen Sie die Rolle Microsoft Sentinel-Mitwirkender aus. Für Aktionen, die nur Daten lesen, ist die Rolle Microsoft Sentinel-Leser ausreichend. Erfahren Sie mehr über die verfügbaren Rollen in Microsoft Sentinel.

    4. Suchen Sie die erforderliche Anwendung, und speichern Sie sie. Microsoft Entra-Anwendungen werden standardmäßig nicht in den verfügbaren Optionen angezeigt. Suchen Sie nach dem Namen Ihrer Anwendung, und wählen Sie ihn aus.

  4. Authenticate

    In diesem Schritt verwenden wir die App-Anmeldeinformationen für die Authentifizierung beim Sentinel-Connector in Logic Apps.

    • Klicken Sie auf Verbindung über Dienstprinzipal herstellen.

      Option „Dienstprinzipal“

    • Geben Sie die erforderlichen Parameter ein. (Diese finden Sie auf der Seite der registrierten Anwendung.)

      • Mandant: unter Übersicht
      • Client-ID: unter Übersicht
      • Geheimer Clientschlüssel: unter Zertifikate und Geheimnisse

      Verbindung über Dienstprinzipal herstellen

Verwalten Ihrer API-Verbindungen

Jedes Mal, wenn eine Authentifizierung zum ersten Mal erstellt wird, wird eine neue Azure-Ressource vom Typ API-Verbindung erstellt. Die gleiche API-Verbindung kann in allen Microsoft Sentinel-Aktionen und -Triggern in derselben Ressourcengruppe verwendet werden.

Alle API-Verbindungen sind auf der Seite API-Verbindungen zu finden. (Suchen Sie im Azure-Portal nach API-Verbindungen.)

Sie können auch zur Seite Ressourcen wechseln und die Anzeige nach dem Typ API-Verbindung filtern. So können Sie mehrere Verbindungen für Massenvorgänge auswählen.

Um die Autorisierung einer vorhandenen Verbindung zu ändern, geben Sie die Verbindungs-Ressource ein, und wählen Sie API-Verbindung bearbeitenaus.

Nächste Schritte

In diesem Artikel haben Sie die verschiedenen Methoden zum Authentifizieren eines Logic Apps-basierten Playbooks bei Microsoft Sentinel kennengelernt.