Támogatott eseményindítók és műveletek a Microsoft Sentinel forgatókönyveiben
Ez a cikk a Logic Apps Microsoft Sentinel-összekötő által támogatott eseményindítókat és műveleteket ismerteti. A Microsoft Sentinel-forgatókönyvekben szereplő triggerek és műveletek használatával kezelheti a Microsoft Sentinel-adatokat.
Fontos
A feljegyzett funkciók jelenleg előzetes verzióban érhetőek el. A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
Előfeltételek
Mielőtt hozzákezd, győződjön meg arról, hogy rendelkezik a Következő Azure-engedélyekkel a Microsoft Sentinel-összekötő összetevőinek használatához:
| Szerepkör | Eseményindítók használata | Elérhető műveletek lekérése | Frissítési incidens, megjegyzés hozzáadása |
|---|---|---|---|
| Microsoft Sentinel-olvasó | ✓ | ✓ | - |
| Microsoft Sentinel-válaszadó /közreműködője | ✓ | ✓ | ✓ |
További információ: Szerepkörök és engedélyek a Microsoft Sentinelben , valamint a Microsoft Sentinel-forgatókönyvek használatának előfeltételei.
Támogatott Microsoft Sentinel-eseményindítók
A Microsoft Sentinel-összekötő, és így a Microsoft Sentinel forgatókönyvei a következő triggereket támogatják:
Microsoft Sentinel-incidens. A legtöbb incidensautomatizálási forgatókönyv esetében ajánlott.
A forgatókönyv incidensobjektumokat fogad, beleértve az entitásokat és a riasztásokat is. Ez az eseményindító lehetővé teszi, hogy forgatókönyvet csatoljon egy olyan automatizálási szabályhoz, amely akkor aktiválható, amikor incidenst hoz létre vagy frissít a Microsoft Sentinelben, és az automatizálási szabályok minden előnyét alkalmazza az incidensre.
Microsoft Sentinel-riasztás (előzetes verzió). Olyan forgatókönyvekhez ajánlott, amelyeket manuálisan kell futtatni a riasztásokon, vagy olyan ütemezett elemzési szabályokhoz, amelyek nem hoznak létre incidenseket a riasztásaikhoz.
- Ez az eseményindító nem használható a Microsoft biztonsági elemzési szabályai által létrehozott riasztásokra adott válaszok automatizálására.
- Az eseményindítót használó forgatókönyveket nem hívhatják meg automatizálási szabályok.
Microsoft Sentinel entitás. Olyan forgatókönyvekhez ajánlott, amelyeket manuálisan kell futtatni egy adott entitáson egy vizsgálati vagy fenyegetéskeresési környezetből. Az eseményindítót használó forgatókönyveket nem hívhatják meg automatizálási szabályok.
A folyamatok által használt sémák nem azonosak. A legtöbb forgatókönyv esetében a Microsoft Sentinel incidensindító folyamatának használatát javasoljuk.
Incidens dinamikus mezői
A Microsoft Sentinel-incidenstől kapott incidensobjektum a következő dinamikus mezőket tartalmazza:
| Mező neve | Leírás |
|---|---|
| Incidens tulajdonságai | Incidensként jelenik meg: <mező neve> |
| Riasztások | A következő riasztási tulajdonságok tömbje, amely Riasztás: <mezőnévként> jelenik meg. Mivel minden incidens több riasztást is tartalmazhat, a riasztási tulajdonság kiválasztása automatikusan létrehoz egy-egy ciklust az incidens összes riasztásának lefedéséhez. |
| Entitások | A riasztás összes entitásának tömbje |
| Munkaterület adatainak mezői | Az incidenst létrehozó Microsoft Sentinel-munkaterület részletei, beleértve a következőket: - Előfizetés azonosítója - Munkaterület neve - Munkaterület azonosítója - Erőforráscsoport neve |
Támogatott Microsoft Sentinel-műveletek
A Microsoft Sentinel-összekötő, és ezért a Microsoft Sentinel forgatókönyvei a következő műveleteket támogatják:
| Művelet | Mikor lehet használni |
|---|---|
| Riasztás – Incidens lekérése | A Riasztás eseményindítóval kezdődő forgatókönyvekben. Hasznos az incidens tulajdonságainak lekéréséhez, vagy az incidens ARM-azonosítójának lekéréséhez, amelyet az incidens frissítéséhez vagy megjegyzés hozzáadása incidensműveletekhez használ. |
| Incidens lekérése | Forgatókönyv külső forrásból vagy nem Sentinel-eseményindítóval történő indításakor. Azonosítsa az incidens ARM-azonosítójával. Lekéri az incidens tulajdonságait és megjegyzéseit. |
| Frissítési incidens | Az incidens állapotának módosításához (például az incidens lezárásakor) rendeljen hozzá egy tulajdonost, vegyen fel vagy távolítson el egy címkét, vagy módosítsa annak súlyosságát, címét vagy leírását. |
| Megjegyzések hozzáadása incidenshez | Az incidens kibővítése külső forrásokból gyűjtött információkkal; az entitásokra vonatkozó forgatókönyv által tett műveletek naplózása; az incidensvizsgálat szempontjából értékes további információk biztosítása. |
| Entitások – Entitástípus lekérése <> | Olyan forgatókönyvekben, amelyek egy adott entitástípuson (IP, Fiók, Gazdagép, **URL vagy FileHash) dolgoznak, amely a forgatókönyv létrehozásakor ismert, és képesnek kell lennie elemezni és az egyedi mezőkön dolgozni. |
Tipp.
A műveletek frissítik az incidenst , és megjegyzést adnak az incidenshez , és az incidens ARM-azonosítóját igénylik.
Használja a Riasztás – Incidens lekérése műveletet előre az incidens ARM-azonosítójának lekéréséhez.
Támogatott entitástípusok
Az Entitások dinamikus mező JSON-objektumok tömbje, amelyek mindegyike egy entitást jelöl. Minden entitástípus saját sémával rendelkezik az egyedi tulajdonságaitól függően.
Az "Entitások – Entitástípus lekérése<>" művelet lehetővé teszi az alábbiakat:
- Az entitások tömbjének szűrése a kért típus szerint.
- Elemezheti az ilyen típusú mezőket, hogy további műveletekben dinamikus mezőként lehessen használni őket.
A bemenet az Entitások dinamikus mező.
A válasz entitások tömbje, ahol a speciális tulajdonságok elemezve vannak, és közvetlenül használhatók az egyes hurkokhoz.
Jelenleg támogatott entitástípusok:
Az alábbi képen egy példa látható az entitások számára elérhető műveletekre:
Más entitástípusok esetében hasonló funkciók érhetők el a Logic Apps beépített műveleteivel:
Szűrje az entitások tömböt a kért típus szerint a Szűrőtömb használatával.
Elemezheti az ilyen típusú mezőket, így dinamikus mezőként használhatók további műveletekben a JSON-elemzéssel.
Kapcsolódó tartalom
További információk:
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: