Partager via


Déclencheurs et actions pris en charge dans les playbooks Microsoft Sentinel

Cet article décrit les déclencheurs et les actions pris en charge par le connecteur Logic Apps Microsoft Sentinel. Utilisez les déclencheurs et actions répertoriés dans les playbooks Microsoft Sentinel pour interagir avec vos données Microsoft Sentinel.

Important

Cette fonctionnalité est actuellement en préversion. Consultez l’Avenant aux conditions d’utilisation pour les préversions de Microsoft Azure pour connaître les conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure sont en version bêta, en préversion ou non encore en disponibilité générale.

Prérequis

Avant de commencer, vérifiez que vous disposez des autorisations Azure suivantes requises pour utiliser les composants du connecteur Microsoft Sentinel :

Rôle Utiliser des déclencheurs Obtenir les actions disponibles Mettre à jour l’incident,
ajouter un commentaire
Lecteur Microsoft Sentinel -
Répondeur/Contributeur Microsoft Sentinel

Pour plus d’informations, consultez Rôles et autorisations dans Microsoft Sentinel et prérequis pour l’utilisation des playbooks Microsoft Sentinel.

Déclencheurs Microsoft Sentinel pris en charge

Le connecteur Microsoft Sentinel, et donc les playbooks Microsoft Sentinel, prennent en charge les déclencheurs suivants :

  • Incident Microsoft Sentinel. Recommandé pour la plupart des scénarios d’automatisation des incidents.

    Le playbook reçoit des objets Incident, qui comprennent les entités et les alertes. Ce déclencheur vous permet d’associer le playbook à une règle d’automatisation qui peut être déclenchée lorsqu’un incident est créé ou mis à jour dans Microsoft Sentinel. Tous les avantages des règles d’automatisation s’appliquent alors à l’incident.

  • Alerte Microsoft Sentinel (préversion). Recommandé pour les playbooks qui doivent être exécutés manuellement sur les alertes et pour les règles d’analytique planifiées qui ne génèrent pas d’incidents pour leurs alertes.

    • Ce déclencheur ne peut pas être utilisé pour automatiser les réponses dans le cas des alertes générées par les règles d’analytique de sécurité Microsoft.
    • Les playbooks qui utilisent ce déclencheur ne peuvent pas être appelées par des règles d’automatisation.
  • Entité Microsoft Sentinel. Recommandé pour les playbooks qui doivent être exécutés manuellement sur des entités spécifiques à partir d’un contexte d’investigation ou de chasse aux menaces. Les playbooks qui utilisent ce déclencheur ne peuvent pas être appelées par des règles d’automatisation.

Les schémas utilisés par ces flux ne sont pas identiques. Nous vous recommandons d’utiliser le flux Déclencheur d’incident Microsoft Sentinel pour la plupart des scénarios.

Champs dynamiques des incidents

L’objet Incident reçu de l’incident Microsoft Sentinel comprend les champs dynamiques suivants :

Nom du champ Description
Propriétés d’incident Affichées sous la forme Incident: <nom de champ>
Alertes Un tableau des propriétés d’alerte suivantes, affichées sous la forme Alerte: <nom du champ>.

Étant donné qu’un incident peut inclure plusieurs alertes, la sélection d’une propriété d’alerte génère automatiquement une boucle for each pour couvrir toutes les alertes dans l’incident.
Entités Un tableau de toutes les entités de l’alerte
Champs d’informations sur l’espace de travail Détails sur l’espace de travail Microsoft Sentinel où l’incident a été créé, notamment :

– L’ID d’abonnement
– Le nom de l’espace de travail
– L’ID de l’espace de travail
– Le nom du groupe de ressources

Actions Microsoft Sentinel prises en charge

Le connecteur Microsoft Sentinel, et donc les playbooks Microsoft Sentinel, prennent en charge les actions suivantes :

Action Quand utiliser cette fonctionnalité ?
Alerte – Obtenir l’incident Dans les playbooks qui commencent par le déclencheur d’alerte. Utile pour obtenir les propriétés de l’incident ou pour récupérer l’ID ARM de l’incident à utiliser avec les actions Mettre à jour l’incident et Ajouter un commentaire à l’incident.
Obtenir l'incident Pour déclencher un playbook à partir d’une source externe ou d’un déclencheur autre que Sentinel. Identifié par un ID ARM de l’incident. Récupère les propriétés et les commentaires de l’incident.
Mettre à jour l'incident Pour modifier l’État d’un incident (par exemple lors de la fermeture de l’incident), attribuer un Propriétaire, ajouter ou supprimer une balise, ou modifier sa Gravité, son Titre ou sa Description.
Ajouter des commentaires à l’incident Pour enrichir l’incident avec les informations collectées à partir de sources externes, auditer les actions effectuées par le playbook sur les entités, fournir des informations supplémentaires utiles pour l’examen des incidents.
Entités – Obtenir <type d’entité> Dans les playbooks qui fonctionnent sur un type d’entité spécifique (Adresse IP, Compte, Hôte, **URL ou FileHash) connu au moment de la création du playbook, lorsque vous devez être en mesure de l’analyser et de travailler sur ses champs uniques.

Conseil

Les actions Mettre à jour l’incident et Ajouter un commentaire à l’incident exigent l’ID ARM de l’incident.

Utilisez au préalable l’action Alerte – Obtenir l’incident pour obtenir l’ID ARM de l’incident.

Types d’entités non prises en charge

Le champ dynamique Entités consiste en un tableau d’objets JSON, chacun représentant une entité. Chaque type d’entité possède son propre schéma, en fonction de ses propriétés uniques.

L’action « Entités – Obtenir <type d’entité> » vous permet d’effectuer les opérations suivantes :

  • Filtrez le tableau d’entités selon le type demandé.
  • Analysez les champs spécifiques de ce type pour qu’ils puissent être utilisés comme champs dynamiques dans d’autres actions.

L’entrée correspond au champ dynamique Entités.

La réponse est un tableau d’entités, dans lequel les propriétés spéciales sont analysées et peuvent être utilisées directement dans une boucle For each.

Les types d’entités actuellement pris en charge comprennent :

L’image suivante montre un exemple d’actions disponibles pour les entités :

Capture d’écran d’une liste d’actions d’entités.

Pour les autres types d’entités, des fonctionnalités similaires peuvent être obtenues avec les actions intégrées Logic Apps :

  • Filtrez le tableau d’entités selon le type demandé avec Filtrer le tableau.

  • Analysez les champs spécifiques de ce type pour qu’ils puissent être utilisés comme champs dynamiques dans d’autres actions avec Analyser le code JSON.

Pour plus d’informations, consultez l’article suivant :