Forgatókönyvek hitelesítése a Microsoft Sentinel felé
A Logic Apps működéséhez külön kell csatlakoznia, és független hitelesítést kell végeznie minden olyan erőforráshoz, amely minden olyan típusú erőforráshoz kapcsolódik, amellyel kommunikál, beleértve magát a Microsoft Sentinelt is. A Logic Apps erre a célra speciális összekötőket használ, és mindegyik erőforrástípusnak saját összekötője van. Ez a dokumentum a Logic Apps Microsoft Sentinel-összekötőben található kapcsolat és hitelesítés típusait ismerteti, amelyeket a forgatókönyvek a Microsoft Sentinellel való interakcióhoz használhatnak, hogy hozzáférhessenek a munkaterület tábláiban lévő információkhoz.
Ez a dokumentum, valamint a forgatókönyvek eseményindítóinak és műveleteinek használatát ismertető útmutatónk a forgatókönyvek egyéb dokumentációinak kísérője – Oktatóanyag: Forgatókönyvek használata automatizálási szabályokkal a Microsoft Sentinelben.
A forgatókönyvek bemutatása: Fenyegetéskezelés automatizálása forgatókönyvekkel a Microsoft Sentinelben.
A Microsoft Sentinel-összekötő teljes specifikációját a Logic Apps-összekötő dokumentációjában találja.
Hitelesítés
A Logic Apps Microsoft Sentinel-összekötője, valamint annak összetevő-eseményindítói és műveletei bármely olyan identitás nevében működhetnek, amely rendelkezik a szükséges engedélyekkel (olvasási és/vagy írási) a megfelelő munkaterületen. Az összekötő több identitástípust is támogat:
A szükséges engedélyek
| Szerepkörök / Csatlakozás or összetevők | Triggerek | "Get" műveletek | Frissítési incidens, megjegyzés hozzáadása |
|---|---|---|---|
| Microsoft Sentinel-olvasó | ✓ | ✓ | ✗ |
| Microsoft Sentinel-válaszadó /közreműködője | ✓ | ✓ | ✓ |
További információ a Microsoft Sentinel engedélyeiről.
Hitelesítés felügyelt identitással
Ez a hitelesítési módszer lehetővé teszi, hogy engedélyeket adjon közvetlenül a forgatókönyvnek (egy Logic App munkafolyamat-erőforrásnak), hogy a forgatókönyv által végrehajtott Microsoft Sentinel-összekötő-műveletek úgy működjenek a forgatókönyv nevében, mintha egy független objektum lenne, amely saját engedélyekkel rendelkezik a Microsoft Sentinelen. Ezzel a módszerrel kevesebb identitást kell kezelnie.
Feljegyzés
Ahhoz, hogy a felügyelt identitás hozzáférést kapjon más erőforrásokhoz (például a Microsoft Sentinel-munkaterülethez), a bejelentkezett felhasználónak rendelkeznie kell szerepkör-hozzárendelések írásához szükséges engedélyekkel, például a Microsoft Sentinel-munkaterület tulajdonosával vagy felhasználói hozzáférésével Rendszergazda istratorával.
Hitelesítés felügyelt identitással:
Felügyelt identitás engedélyezése a Logic Apps munkafolyamat-erőforrásán. Összegezve:
A logikai alkalmazás menüjében, a Gépház alatt válassza az Identitás lehetőséget. Válassza ki a mentéshez> hozzárendelt > rendszert. Amikor az Azure megerősítést kér, válassza az Igen lehetőséget.
A logikai alkalmazás mostantól használhatja a rendszer által hozzárendelt identitást, amely a Microsoft Entra ID-val van regisztrálva, és amelyet egy objektumazonosító jelöl.
Adjon hozzáférést az identitásnak a Microsoft Sentinel-munkaterülethez:
A Microsoft Sentinel menüben válassza a Gépház.
Válassza a Munkaterület beállításai lapot. A munkaterület menüjében válassza a Hozzáférés-vezérlés (IAM) lehetőséget.
A felső gombsávon válassza a Hozzáadás és a Szerepkör-hozzárendelés hozzáadása lehetőséget. Ha a Szerepkör-hozzárendelés hozzáadása lehetőség le van tiltva, nincs engedélye szerepkörök hozzárendelésére.
A megjelenő új panelen rendelje hozzá a megfelelő szerepkört:
Szerepkör Helyzet Microsoft Sentinel-válaszadó A forgatókönyv olyan lépéseket tartalmaz, amelyek frissítik az incidenseket vagy a figyelőlistákat Microsoft Sentinel-olvasó A forgatókönyv csak incidenseket fogad További információ a Microsoft Sentinelben elérhető szerepkörökről.
A Hozzáférés hozzárendelése területen válassza a Logikai alkalmazás lehetőséget.
Válassza ki azt az előfizetést, amelyhez a forgatókönyv tartozik, és válassza ki a forgatókönyv nevét.
Válassza a Mentés lehetőséget.
Engedélyezze a felügyelt identitás-hitelesítési módszert a Microsoft Sentinel Logic Apps-összekötőben:
A Logic Apps-tervezőben adjon hozzá egy Microsoft Sentinel Logic Apps-összekötő lépést. Ha az összekötő már engedélyezve van egy meglévő kapcsolathoz, válassza a Kapcsolat módosítása hivatkozást.
Az eredményként kapott kapcsolatok listájában válassza alul az Új hozzáadása lehetőséget.
Hozzon létre egy új kapcsolatot a felügyelt identitással (előzetes verzió) rendelkező Csatlakozás kiválasztásával.
Adja meg a kapcsolat nevét, válassza a rendszer által hozzárendelt felügyelt identitást , és válassza a Létrehozás lehetőséget.
Hitelesítés Microsoft Entra-felhasználóként
Kapcsolat létrehozásához válassza a Bejelentkezés lehetőséget. A rendszer kérni fogja, hogy adja meg a fiók adatait. Miután ezt megtette, kövesse a képernyőn található utasításokat a kapcsolat létrehozásához.
Hitelesítés szolgáltatásnévként (Microsoft Entra-alkalmazás)
A szolgáltatásnevek egy Microsoft Entra-alkalmazás regisztrálásával hozhatók létre. Jobb, ha egy regisztrált alkalmazást használ az összekötő identitásaként felhasználói fiók használata helyett, mivel jobban szabályozhatja az engedélyeket, kezelheti a hitelesítő adatokat, és bizonyos korlátozásokat engedélyezhet az összekötő használatára.
Ha saját alkalmazást szeretne használni a Microsoft Sentinel-összekötővel, hajtsa végre a következő lépéseket:
Regisztrálja az alkalmazást a Microsoft Entra-azonosítóval, és hozzon létre egy szolgáltatásnevet. További tudnivalókat itt talál.
Hitelesítő adatok lekérése (jövőbeli hitelesítéshez).
A regisztrált alkalmazásoldalon kérje le az alkalmazás hitelesítő adatait a bejelentkezéshez:
- Ügyfélazonosító: az Áttekintés területen
- Titkos ügyfélkód: a Tanúsítványok > titkos kódok területen.
Engedélyek megadása a Microsoft Sentinel-munkaterülethez.
Ebben a lépésben az alkalmazás engedélyt kap a Microsoft Sentinel-munkaterület használatára.
A Microsoft Sentinel munkaterületen lépjen a Gépház ->Workspace Gépház ->Access control (IAM) elemre
Válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget.
Válassza ki az alkalmazáshoz hozzárendelni kívánt szerepkört. Ha például engedélyezni szeretné az alkalmazásnak a Sentinel-munkaterületen módosításokat végrehajtó műveleteket, például egy incidens frissítését, válassza ki a Microsoft Sentinel közreműködői szerepkört. A csak adatokat olvasó műveletekhez elegendő a Microsoft Sentinel Reader szerepkör. További információ a Microsoft Sentinelben elérhető szerepkörökről.
Keresse meg a szükséges alkalmazást, és mentse. Alapértelmezés szerint a Microsoft Entra-alkalmazások nem jelennek meg az elérhető lehetőségek között. Az alkalmazás megkereséséhez keresse meg a nevet, és jelölje ki.
Hitelesítés
Ebben a lépésben az alkalmazás hitelesítő adataival hitelesítjük a Sentinel-összekötőt a Logic Appsben.
Válassza Csatlakozás szolgáltatásnévvel.
Adja meg a szükséges paramétereket (a regisztrált alkalmazás oldalán található)
- Bérlő: az Áttekintés területen
- Ügyfélazonosító: az Áttekintés területen
- Titkos ügyfélkód: a Tanúsítványok > titkos kódok területen
API-kapcsolatok kezelése
Minden alkalommal, amikor először hoz létre hitelesítést, egy új, API-Csatlakozás ion típusú Azure-erőforrás jön létre. Ugyanaz az API-kapcsolat használható az összes Microsoft Sentinel-műveletben és eseményindítóban ugyanabban az erőforráscsoportban.
Az ÖSSZES API-kapcsolat megtalálható az API-kapcsolatok lapon (api-kapcsolatok keresése az Azure Portalon).
Az Erőforrások lapra lépve az API-Csatlakozás ion típus alapján szűrheti a megjelenítést. Így több kapcsolatot is kiválaszthat a tömeges műveletekhez.
Egy meglévő kapcsolat engedélyezésének módosításához írja be a kapcsolati erőforrást, és válassza az API-kapcsolat szerkesztése lehetőséget.
Következő lépések
Ebben a cikkben megismerkedett a Logic Apps-alapú forgatókönyvEk Microsoft Sentinelhez való hitelesítésének különböző módszereivel.
- További információ az eseményindítók és műveletek forgatókönyvekben való használatáról.