Azure Logic Apps-Connector für Microsoft Sentinel-Playbooks
Microsoft Sentinel-Playbooks basieren auf Workflows, die in Azure Logic Apps erstellt wurden, einem Clouddienst, mit dem Sie Aufgaben und Workflows systemübergreifend im gesamten Unternehmen planen, automatisieren und orchestrieren können. Microsoft Sentinel-Playbooks können die gesamte Leistungsfähigkeit und die Funktionen der integrierten Vorlagen in Azure Logic Apps nutzen.
Azure Logic Apps kommuniziert mit anderen Systemen und Diensten über verschiedene Typen von Connectors. Verwenden Sie den Microsoft Sentinel-Connector zum Erstellen von Playbooks, die mit Microsoft Sentinel interagieren.
Hinweis
Azure Logic Apps erstellt separate Ressourcen, daher können zusätzliche Gebühren anfallen. Weitere Informationen finden Sie auf der Preisseite von Azure Logic Apps.
Komponenten des Microsoft Sentinel-Connectors
Verwenden Sie im Microsoft Sentinel-Connector Trigger, Aktionen und dynamische Felder, um den Workflow Ihres Playbooks zu definieren:
| Komponente | Beschreibung |
|---|---|
| Trigger | Ein Trigger ist eine Connector-Komponente, die einen Workflow startet, in diesem Fall ein Playbook. Ein Microsoft Sentinel-Trigger definiert das Schema, das das Playbook erwartet, wenn es ausgelöst wird. Der Microsoft Sentinel-Connector unterstützt die folgenden Arten von Triggern: - Warnungstrigger: Das Playbook empfängt eine Warnung als Eingabe. - Entitätsauslöser: Das Playbook empfängt als Eingabe eine Entität. - Incident-Trigger: Das Playbook empfängt einen Incident als Eingabe zusammen mit allen enthaltenen Warnungen und Entitäten. |
| Aktionen | Als Aktionen werden alle Schritte bezeichnet, die nach dem Trigger ausgeführt werden. Aktionen können sequentiell, parallel oder in einer Matrix komplexer Bedingungen angeordnet sein. |
| Dynamische Felder | Dynamische Felder sind temporäre Felder, die in den Aktionen verwendet werden können, die dem Trigger folgen. Dynamische Felder werden durch das Ausgabeschema von Triggern und Aktionen bestimmt und werden von ihrer tatsächlichen Ausgabe aufgefüllt. |
Azure Logic Apps unterstützt auch andere Arten von Connectors, z. B. verwaltete Connectors, die API-Aufrufe umschließen, oder benutzerdefinierte Connectors. Weitere Informationen finden Sie unter Logic Apps-Connectors und ihre Dokumentation und Erstellen eigener benutzerdefinierter Azure Logic Apps-Connectors.
Unterstützte Logik-App-Typen
Microsoft Sentinel unterstützt sowohl Verbrauchs- als auch Standard-Logik-Apps:
Verbrauch: Wird in Azure Logic Apps mit mehreren Mandanten ausgeführt. Verwendet das klassische, ursprüngliche Azure Logic Apps-Modul.
Standard: Wird in Azure Logic Apps mit einem Mandanten ausgeführt. Verwendet ein neueres Azure Logic Apps-Modul.
Standardressourcen bieten höhere Leistung, feste Preise, mehrere Workflowfunktionen, einfachere Verwaltung von API-Verbindungen, integrierte Netzwerkfunktionen, CI/CD-Funktionen und vieles mehr. Die folgende Playbook-Funktionalität unterscheidet sich jedoch für Standard-Logik-Apps in Microsoft Sentinel:
Funktion Beschreibung Erstellen von Playbooks Playbook-Vorlagen werden derzeit für Standardworkflows nicht unterstützt, was bedeutet, dass Sie kein Playbook direkt in Microsoft Sentinel erstellen können.
Erstellen Sie ihren Workflow stattdessen manuell in Azure Logic Apps, um ihn als Playbook in Microsoft Sentinel zu verwenden.Private Endpunkte Wenn Sie Standardworkflows mit privaten Endpunkten verwenden, muss Microsoft Sentinel eine Zugriffseinschränkungsrichtlinie in Logic Apps definieren, um diese privaten Endpunkte in Playbooks basierend auf Standardworkflows zu unterstützen.
Ohne eine Zugriffseinschränkungsrichtlinie sind Workflows mit privaten Endpunkten möglicherweise weiterhin sichtbar und in Microsoft Sentinel auswählbar, aber die Ausführung schlägt fehl.Zustandslose Workflows Standardworkflows unterstützen zwar sowohl zustandsbehaftete als auch zustandslose Workflows in Azure Logic Apps, Microsoft Sentinel unterstützt jedoch keine zustandslosen Workflows.
Weitere Informationen finden Sie im Abschnitt Zustandsbehaftete und zustandslose Workflows.
Playbook-Authentifizierungen bei Microsoft Sentinel
Azure Logic Apps muss separat eine Verbindung herstellen und sich unabhängig bei jeder Ressource jedes Typs authentifizieren, mit der es interagiert, einschließlich Microsoft Sentinel selbst. Azure Logic Apps verwendet zu diesem Zweck spezielle Konnektoren, wobei jeder Ressourcentyp seinen eigenen Konnektor hat.
Weitere Informationen finden Sie unter Authentifizieren von Playbooks bei Microsoft Sentinel.
Zugehöriger Inhalt
- Unterschiede zwischen Ressourcentyp und Hostumgebung in der Azure Logic Apps-Dokumentation.
- Microsoft Sentinel-Konnektor für Azure Logic Apps in der Dokumentation zu Azure Logic Apps
- Erstellen und Verwalten von Microsoft Sentinel-Playbooks