Autenticare i playbook in Microsoft Sentinel
I playbook di Microsoft Sentinel sono basati su flussi di lavoro integrati in App per la logica di Azure, un servizio cloud che consente di pianificare, automatizzare e orchestrare attività e flussi di lavoro in tutti i sistemi aziendali.
App per la logica di Azure deve connettersi separatamente ed eseguire l'autenticazione indipendentemente a ogni risorsa, di ogni tipo, con cui interagisce, incluso Microsoft Sentinel stesso. App per la logica usa connettori specializzati per questo scopo, con ogni tipo di risorsa con un proprio connettore.
Questo articolo descrive i tipi di connessioni e l'autenticazione supportati per il connettore di Microsoft Sentinel per App per la logica. I playbook possono usare metodi di autenticazione supportati per interagire con Microsoft Sentinel e accedere ai dati di Microsoft Sentinel.
Prerequisiti
È consigliabile leggere gli articoli seguenti prima di questo:
- Automatizzare la risposta alle minacce con i playbook di Microsoft Sentinel
- Creare e gestire playbook di Microsoft Sentinel
- App per la logica di Azure per i playbook di Microsoft Sentinel
- Trigger e azioni supportati nei playbook di Microsoft Sentinel
Per concedere a un'identità gestita l'accesso ad altre risorse, ad esempio l'area di lavoro di Microsoft Sentinel, l'utente connesso deve avere un ruolo con autorizzazioni per scrivere assegnazioni di ruolo, ad esempio Proprietario o Accesso utenti Amministrazione istrator dell'area di lavoro di Microsoft Sentinel.
Autenticazione
Il connettore Di Microsoft Sentinel in App per la logica e i relativi trigger e azioni dei componenti può operare per conto di qualsiasi identità con le autorizzazioni necessarie (lettura e/o scrittura) nell'area di lavoro pertinente. Il connettore supporta più tipi di identità:
- Identità gestita (anteprima). Ad esempio, usare questo metodo per ridurre il numero di identità che è necessario gestire.
- Entità servizio (applicazione Microsoft Entra). Le applicazioni registrate consentono di controllare le autorizzazioni, gestire le credenziali e abilitare determinate limitazioni sull'uso del connettore.
- Utente di Microsoft Entra
Autorizzazioni obbligatorie
Indipendentemente dal metodo di autenticazione, le autorizzazioni seguenti sono richieste dall'identità autenticata per usare vari componenti del connettore Microsoft Sentinel. Le azioni di scrittura includono azioni come l'aggiornamento di eventi imprevisti o l'aggiunta di un commento.
Ruoli | Uso di trigger | Usare le azioni "Lettura" | Usare le azioni "Scrittura" |
---|---|---|---|
Lettore di Microsoft Sentinel | ✓ | ✓ | - |
Collaboratore del risponditore/di Microsoft Sentinel | ✓ | ✓ | ✓ |
Per altre informazioni, vedere Ruoli e autorizzazioni in Microsoft Sentinel e prerequisiti del playbook di Microsoft Sentinel.
Eseguire l'autenticazione con un'identità gestita
L'autenticazione come identità gestita consente di concedere le autorizzazioni direttamente al playbook, ovvero una risorsa flusso di lavoro dell'app per la logica. Le azioni del connettore di Microsoft Sentinel eseguite dal playbook operano quindi per conto del playbook, come se fosse un oggetto indipendente con le proprie autorizzazioni per Microsoft Sentinel.
Per eseguire l'autenticazione con un'identità gestita:
Abilitare l'identità gestita nella risorsa del flusso di lavoro di App per la logica. Per altre informazioni, vedere Abilitare l'identità assegnata dal sistema nella portale di Azure.
L'app per la logica può ora usare l'identità assegnata dal sistema, registrata con l'ID Microsoft Entra e rappresentata da un ID oggetto.
Usare la procedura seguente per concedere a tale identità l'accesso all'area di lavoro di Microsoft Sentinel:
Dal menu di Microsoft Sentinel selezionare Impostazioni.
Selezionare la scheda Impostazioni area di lavoro. Dal menu dell'area di lavoro selezionare Controllo di accesso (IAM).
Nella barra dei pulsanti in alto selezionare Aggiungi e scegliere Aggiungi assegnazione di ruolo. Se l'opzione Aggiungi assegnazione di ruolo è disabilitata, non si dispone delle autorizzazioni per assegnare i ruoli.
Nel nuovo pannello visualizzato assegnare il ruolo appropriato:
- Risponditore di Microsoft Sentinel: il playbook include passaggi che aggiornano eventi imprevisti o watchlist
- Lettore di Microsoft Sentinel: il playbook riceve solo eventi imprevisti
In Assegna accesso a selezionare App per la logica.
Selezionare la sottoscrizione a cui appartiene il playbook e quindi selezionare il nome del playbook.
Seleziona Salva.
Per altre informazioni, vedere Concedere all'identità l'accesso alle risorse.
Abilitare il metodo di autenticazione dell'identità gestita nel connettore App per la logica di Microsoft Sentinel:
Nella finestra di progettazione di App per la logica aggiungere un passaggio del connettore app per la logica di Microsoft Sentinel. Se il connettore è già abilitato per una connessione esistente, selezionare il collegamento Cambia connessione . Ad esempio:
Nell'elenco risultante delle connessioni selezionare Aggiungi nuovo.
Creare una nuova connessione selezionando Connessione con identità gestita (anteprima). Ad esempio:
Immettere un nome per questa connessione, selezionare Identità gestita assegnata dal sistema e quindi selezionare Crea.
Selezionare Crea per completare la creazione della connessione.
Eseguire l'autenticazione come entità servizio (applicazione Microsoft Entra)
Creare un'entità servizio registrando un'applicazione Microsoft Entra. È consigliabile usare un'applicazione registrata come identità del connettore anziché un account utente.
Per usare la propria applicazione con il connettore Microsoft Sentinel:
Registrare l'applicazione con Microsoft Entra ID e creare un'entità servizio. Per altre informazioni, vedere Creare un'applicazione Microsoft Entra e un'entità servizio in grado di accedere alle risorse.
Ottenere le credenziali per l'autenticazione futura. Nella pagina dell'applicazione registrata ottenere le credenziali dell'applicazione per l'accesso:
- ID client, in Panoramica
- Segreto client, in Certificati e segreti
Concedere all'app le autorizzazioni necessarie per l'uso con l'area di lavoro di Microsoft Sentinel:
Nell'area di lavoro di Microsoft Sentinel passare a Impostazioni> Area di lavoro Impostazioni> Accesso (IAM)
Selezionare Aggiungi assegnazione di ruolo e quindi selezionare il ruolo da assegnare all'applicazione.
Ad esempio, per consentire all'applicazione di eseguire azioni che apportano modifiche nell'area di lavoro di Microsoft Sentinel, ad esempio l'aggiornamento di un evento imprevisto, selezionare il ruolo Collaboratore Microsoft Sentinel. Per le azioni che leggono solo i dati, il ruolo lettore di Microsoft Sentinel è sufficiente.
Trovare l'applicazione richiesta e salvare le modifiche.
Per impostazione predefinita, le applicazioni Microsoft Entra non vengono visualizzate nelle opzioni disponibili. Per trovare l'applicazione, cercare il nome e selezionarlo.
Usare le credenziali dell'app per eseguire l'autenticazione al connettore Microsoft Sentinel in App per la logica.
Nella finestra di progettazione di App per la logica aggiungere un passaggio del connettore app per la logica di Microsoft Sentinel.
Se il connettore è già abilitato per una connessione esistente, selezionare il collegamento Cambia connessione . Ad esempio:
Nell'elenco risultante delle connessioni selezionare Aggiungi nuovo e quindi selezionare Connessione con l'entità servizio. Ad esempio:
Immettere i valori dei parametri obbligatori, disponibili nella pagina dei dettagli dell'applicazione registrata:
- Tenant: in Panoramica
- ID client: in Panoramica
- Segreto client: in Certificati e segreti
Ad esempio:
Selezionare Crea per completare la creazione della connessione.
Eseguire l'autenticazione come utente di Microsoft Entra
Per stabilire una connessione come utente di Microsoft Entra:
Nella finestra di progettazione di App per la logica aggiungere un passaggio del connettore app per la logica di Microsoft Sentinel. Se il connettore è già abilitato per una connessione esistente, selezionare il collegamento Cambia connessione . Ad esempio:
Nell'elenco risultante delle connessioni selezionare Aggiungi nuovo e quindi selezionare Accedi.
Immettere le credenziali quando richiesto e quindi seguire le istruzioni rimanenti sullo schermo per creare una connessione.
Visualizzare e modificare le connessioni API del playbook
Le connessioni API vengono usate per connettersi App per la logica di Azure ad altri servizi, tra cui Microsoft Sentinel. Ogni volta che viene creata una nuova autenticazione per un connettore in App per la logica di Azure, viene creata una nuova risorsa di connessione API contenente i dettagli forniti durante la configurazione dell'accesso al servizio. La stessa connessione API può essere usata in tutte le azioni e i trigger di Microsoft Sentinel nello stesso gruppo di risorse.
Per visualizzare le connessioni API, eseguire una delle operazioni seguenti:
Nella portale di Azure cercare connessioni API. Individuare la connessione API per il playbook usando i dati seguenti:
- Nome visualizzato: nome descrittivo assegnato alla connessione ogni volta che ne viene creata una.
- Stato: stato della connessione API.
- Gruppo di risorse: le connessioni API per i playbook Microsoft vengono create nel gruppo di risorse del playbook (App per la logica di Azure).
Nella portale di Azure visualizzare tutte le risorse e filtrare la visualizzazione in base al connettore API type = . Questo metodo consente di selezionare, contrassegnare ed eliminare più connessioni contemporaneamente.
Per modificare l'autorizzazione di una connessione esistente, immettere la risorsa di connessione e selezionare Modifica connessione API.
Contenuto correlato
Per altre informazioni, vedi: