Megosztás a következőn keresztül:

Forgatókönyvek hitelesítése a Microsoft Sentinel felé

  • Cikk
  • A következőre érvényes::
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

A Microsoft Sentinel forgatókönyvek az Azure Logic Appsben létrehozott munkafolyamatokon alapulnak, amely egy felhőszolgáltatás, amely segít a feladatok és munkafolyamatok ütemezésében, automatizálásában és vezénylésében a nagyvállalati rendszereken.

Az Azure Logic Appsnek külön kell csatlakoznia, és független hitelesítést kell végeznie minden erőforráshoz, minden egyes típushoz, amelyet használ, beleértve magát a Microsoft Sentinelt is. A Logic Apps erre a célra speciális összekötőket használ, és mindegyik erőforrástípusnak saját összekötője van.

Ez a cikk a Logic Apps Microsoft Sentinel-összekötőhöz támogatott kapcsolatok és hitelesítés típusait ismerteti. A forgatókönyvek támogatott hitelesítési módszerekkel kommunikálhatnak a Microsoft Sentinellel, és hozzáférhetnek a Microsoft Sentinel-adatokhoz.

Előfeltételek

Javasoljuk, hogy a következő cikkeket olvassa el a következő cikk előtt:

Ahhoz, hogy a felügyelt identitás hozzáférést kapjon más erőforrásokhoz, például a Microsoft Sentinel-munkaterülethez, a bejelentkezett felhasználónak rendelkeznie kell szerepkör-hozzárendelések írásához szükséges engedélyekkel, például a Microsoft Sentinel-munkaterület tulajdonosával vagy felhasználói hozzáférésével Rendszergazda istratorával.

Hitelesítés

A Logic Apps Microsoft Sentinel-összekötője, valamint annak összetevő-eseményindítói és műveletei bármely olyan identitás nevében működhetnek, amely rendelkezik a szükséges engedélyekkel (olvasási és/vagy írási) a megfelelő munkaterületen. Az összekötő több identitástípust is támogat:

A szükséges engedélyek

A hitelesítési módszertől függetlenül a hitelesített identitásnak a következő engedélyekre van szüksége a Microsoft Sentinel-összekötő különböző összetevőinek használatához. Az "Írás" műveletek olyan műveleteket tartalmaznak, mint például az incidensek frissítése vagy megjegyzés hozzáadása.

Szerepkörök Eseményindítók használata "Olvasási" műveletek használata "Írási" műveletek használata
Microsoft Sentinel-olvasó -
Microsoft Sentinel-válaszadó /közreműködője

További információ: Szerepkörök és engedélyek a Microsoft Sentinelben és a Microsoft Sentinel forgatókönyv előfeltételeiben.

Hitelesítés felügyelt identitással

Felügyelt identitásként történő hitelesítéssel közvetlenül a forgatókönyvhöz adhat engedélyeket, amely egy Logic App munkafolyamat-erőforrás. A forgatókönyv által végrehajtott Microsoft Sentinel-összekötőműveletek ezután a forgatókönyv nevében működnek, mintha egy független objektum lenne, amely saját engedélyekkel rendelkezik a Microsoft Sentinelen.

Felügyelt identitással történő hitelesítés:

  1. Felügyelt identitás engedélyezése a Logic Apps munkafolyamat-erőforrásán. További információ: Rendszer által hozzárendelt identitás engedélyezése az Azure Portalon.

    A logikai alkalmazás mostantól használhatja a rendszer által hozzárendelt identitást, amely a Microsoft Entra ID-val van regisztrálva, és amelyet egy objektumazonosító jelöl.

  2. Az alábbi lépésekkel hozzáférést biztosíthat az identitásnak a Microsoft Sentinel-munkaterülethez:

    1. A Microsoft Sentinel menüben válassza a Gépház.

    2. Válassza a Munkaterület beállításai lapot. A munkaterület menüjében válassza a Hozzáférés-vezérlés (IAM) lehetőséget.

    3. A felső gombsávon válassza a Hozzáadás és a Szerepkör-hozzárendelés hozzáadása lehetőséget. Ha a Szerepkör-hozzárendelés hozzáadása lehetőség le van tiltva, nincs engedélye szerepkörök hozzárendelésére.

    4. A megjelenő új panelen rendelje hozzá a megfelelő szerepkört:

    5. A Hozzáférés hozzárendelése területen válassza a Logikai alkalmazás lehetőséget.

    6. Válassza ki azt az előfizetést, amelyhez a forgatókönyv tartozik, majd válassza ki a forgatókönyv nevét.

    7. Válassza a Mentés lehetőséget.

    További információ: Identitáshozzáférés biztosítása az erőforrásokhoz.

  3. Engedélyezze a felügyelt identitás-hitelesítési módszert a Microsoft Sentinel Logic Apps-összekötőben:

    1. A Logic Apps-tervezőben adjon hozzá egy Microsoft Sentinel Logic Apps-összekötő lépést. Ha az összekötő már engedélyezve van egy meglévő kapcsolathoz, válassza a Kapcsolat módosítása hivatkozást. Példa:

      Képernyőkép a Kapcsolat módosítása hivatkozásról.

    2. Az eredményként kapott kapcsolatok listájában válassza az Új hozzáadása lehetőséget.

    3. Hozzon létre egy új kapcsolatot a felügyelt identitással (előzetes verzió) rendelkező Csatlakozás kiválasztásával. Példa:

      Képernyőkép a felügyelt identitással rendelkező Csatlakozás.

    4. Adja meg a kapcsolat nevét, válassza a rendszer által hozzárendelt felügyelt identitást, majd válassza a Létrehozás lehetőséget.

      Képernyőkép a felügyelt identitás hivatkozásával rendelkező Csatlakozás.

    5. Válassza a Létrehozás lehetőséget a kapcsolat létrehozásának befejezéséhez.

Hitelesítés szolgáltatásnévként (Microsoft Entra-alkalmazás)

Hozzon létre egy szolgáltatásnevet egy Microsoft Entra-alkalmazás regisztrálásával. Javasoljuk, hogy felhasználói fiók helyett egy regisztrált alkalmazást használjon az összekötő identitásaként.

Saját alkalmazás használata a Microsoft Sentinel-összekötővel:

  1. Regisztrálja az alkalmazást a Microsoft Entra-azonosítóval, és hozzon létre egy szolgáltatásnevet. További információ: Microsoft Entra-alkalmazás és szolgáltatásnév létrehozása, amely hozzáfér az erőforrásokhoz.

  2. Hitelesítő adatok lekérése a jövőbeli hitelesítéshez. A regisztrált alkalmazásoldalon kérje le az alkalmazás hitelesítő adatait a bejelentkezéshez:

    • Ügyfélazonosító az Áttekintés területen
    • Titkos ügyfélkód a Tanúsítványok > titkos kódok területen

  3. Engedélyek megadása az alkalmazásnak a Microsoft Sentinel-munkaterülettel való együttműködéshez:

    1. A Microsoft Sentinel munkaterületen nyissa meg a Gépház> Workspace Gépház> Access vezérlőt (IAM)

    2. Válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget, majd válassza ki az alkalmazáshoz hozzárendelni kívánt szerepkört.

      Ha például engedélyezni szeretné az alkalmazás számára a Microsoft Sentinel-munkaterületen módosításokat végrehajtó műveleteket, például egy incidens frissítését, válassza ki a Microsoft Sentinel közreműködői szerepkört. A csak adatokat olvasó műveletekhez elegendő a Microsoft Sentinel Reader szerepkör.

    3. Keresse meg a szükséges alkalmazást, és mentse a módosításokat.

      Alapértelmezés szerint a Microsoft Entra-alkalmazások nem jelennek meg az elérhető lehetőségek között. Az alkalmazás megkereséséhez keresse meg a nevet, és jelölje ki.

  4. Az alkalmazás hitelesítő adataival hitelesítheti magát a Microsoft Sentinel-összekötőn a Logic Appsben.

    1. A Logic Apps-tervezőben adjon hozzá egy Microsoft Sentinel Logic Apps-összekötő lépést.

    2. Ha az összekötő már engedélyezve van egy meglévő kapcsolathoz, válassza a Kapcsolat módosítása hivatkozást. Példa:

      Képernyőkép a Kapcsolat módosítása hivatkozásról.

    3. Az eredményként kapott kapcsolatok listájában válassza az Új hozzáadása, majd a szolgáltatásnévvel rendelkező Csatlakozás lehetőséget. Példa:

      Képernyőkép a kijelölt Szolgáltatásnév beállításról.

    4. Adja meg a szükséges paraméterértékeket, amelyek a regisztrált alkalmazás részletes lapján érhetők el:

      • Bérlő: az Áttekintés területen
      • Ügyfélazonosító: az Áttekintés területen
      • Titkos ügyfélkód: a Tanúsítványok > titkos kódok területen

      Példa:

      Képernyőkép a szolgáltatásnév paramétereit tartalmazó Csatlakozás.

    5. Válassza a Létrehozás lehetőséget a kapcsolat létrehozásának befejezéséhez.

Hitelesítés Microsoft Entra-felhasználóként

Kapcsolat létrehozása Microsoft Entra-felhasználóként:

  1. A Logic Apps-tervezőben adjon hozzá egy Microsoft Sentinel Logic Apps-összekötő lépést. Ha az összekötő már engedélyezve van egy meglévő kapcsolathoz, válassza a Kapcsolat módosítása hivatkozást. Példa:

    Képernyőkép a Kapcsolat módosítása hivatkozásról.

  2. Az eredményként kapott kapcsolatok listájában válassza az Új hozzáadása, majd a Bejelentkezés lehetőséget.

    Képernyőkép a kijelölt Bejelentkezés gombról.

  3. Amikor a rendszer kéri, adja meg a hitelesítő adatait, majd a képernyőn megjelenő utasításokat követve hozzon létre kapcsolatot.

Forgatókönyv API-kapcsolatainak megtekintése és szerkesztése

Az API-kapcsolatok az Azure Logic Apps más szolgáltatásokhoz, például a Microsoft Sentinelhez való csatlakoztatására szolgálnak. Minden alkalommal, amikor új hitelesítést végez egy összekötőhöz az Azure Logic Appsben, létrejön egy új API-kapcsolati erőforrás, amely tartalmazza a szolgáltatáshoz való hozzáférés konfigurálásakor megadott adatokat. Ugyanaz az API-kapcsolat használható az összes Microsoft Sentinel-műveletben és eseményindítóban ugyanabban az erőforráscsoportban.

Az API-kapcsolatok megtekintéséhez tegye az alábbiak egyikét:

  • Az Azure Portalon keressen API-kapcsolatokat. Keresse meg a forgatókönyv API-kapcsolatát a következő adatokkal:

    • Megjelenítendő név: Az a rövid név, amellyel a kapcsolatot minden alkalommal megadja, amikor létrehoz egyet.
    • Állapot: Az API-kapcsolat állapota.
    • Erőforráscsoport: A Microsoft-forgatókönyvek API-kapcsolatai a forgatókönyv (Azure Logic Apps) erőforráscsoportjában jönnek létre.

  • Az Azure Portalon tekintse meg az összes erőforrást, és szűrje a nézetet a Type API-összekötő = alapján. Ezzel a módszerrel egyszerre több kapcsolatot jelölhet ki, címkézhet és törölhet.

Meglévő kapcsolat engedélyezésének módosításához írja be a kapcsolati erőforrást, és válassza az API-kapcsolat szerkesztése lehetőséget.

Kapcsolódó tartalom

További információk: