Autenticare i playbook in Microsoft Sentinel
Il funzionamento di App per la logica deve connettersi separatamente ed eseguire l'autenticazione indipendentemente a ogni risorsa di ogni tipo con cui interagisce, incluso Microsoft Sentinel stesso. App per la logica usa connettori specializzati per questo scopo, con ogni tipo di risorsa con un proprio connettore. Questo documento illustra i tipi di connessione e autenticazione nel connettore di Microsoft Sentinel per App per la logica, che i playbook possono usare per interagire con Microsoft Sentinel per poter accedere alle informazioni nelle tabelle dell'area di lavoro.
Questo documento, insieme alla guida all'uso di trigger e azioni nei playbook, è un elemento complementare all'altra documentazione del playbook - Esercitazione: Usare playbook con regole di automazione in Microsoft Sentinel.
Per un'introduzione ai playbook, vedere Automatizzare la risposta alle minacce con playbook in Microsoft Sentinel.
Per la specifica completa del connettore di Microsoft Sentinel, vedere la documentazione del connettore di App per la logica.
Autenticazione
Il connettore Di Microsoft Sentinel in App per la logica e i relativi trigger e azioni dei componenti può operare per conto di qualsiasi identità con le autorizzazioni necessarie (lettura e/o scrittura) nell'area di lavoro pertinente. Il connettore supporta più tipi di identità:
Autorizzazioni obbligatorie
| Ruoli/componenti Connessione or | Trigger | Azioni "Get" | Aggiornare un evento imprevisto, aggiungere un commento |
|---|---|---|---|
| Lettore di Microsoft Sentinel | ✓ | ✓ | ✗ |
| Collaboratore del risponditore/di Microsoft Sentinel | ✓ | ✓ | ✓ |
Altre informazioni sulle autorizzazioni in Microsoft Sentinel.
Eseguire l'autenticazione con un'identità gestita
Questo metodo di autenticazione consente di concedere le autorizzazioni direttamente al playbook (una risorsa flusso di lavoro dell'app per la logica), in modo che le azioni del connettore di Microsoft Sentinel eseguite dal playbook funzionino per conto del playbook, come se fosse un oggetto indipendente con le proprie autorizzazioni per Microsoft Sentinel. L'uso di questo metodo riduce il numero di identità da gestire.
Nota
Per concedere a un'identità gestita l'accesso ad altre risorse (ad esempio l'area di lavoro di Microsoft Sentinel), l'utente connesso deve avere un ruolo con autorizzazioni per scrivere assegnazioni di ruolo, ad esempio Proprietario o Accesso utenti Amministrazione istrator dell'area di lavoro di Microsoft Sentinel.
Per eseguire l'autenticazione con l'identità gestita:
Abilitare l'identità gestita nella risorsa del flusso di lavoro di App per la logica. Per concludere:
Nel menu dell'app per la logica, in Impostazioni, selezionare Identità. Selezionare System assigned On Save (Sistema assegnato > al > salvataggio). Quando Azure chiede di confermare, selezionare Sì.
L'app per la logica può ora usare l'identità assegnata dal sistema, registrata con l'ID Microsoft Entra e rappresentata da un ID oggetto.
Concedere a tale identità l'accesso all'area di lavoro di Microsoft Sentinel:
Dal menu di Microsoft Sentinel selezionare Impostazioni.
Selezionare la scheda Impostazioni area di lavoro. Dal menu dell'area di lavoro selezionare Controllo di accesso (IAM).
Nella barra dei pulsanti in alto selezionare Aggiungi e scegliere Aggiungi assegnazione di ruolo. Se l'opzione Aggiungi assegnazione di ruolo è disabilitata, non si dispone delle autorizzazioni per assegnare i ruoli.
Nel nuovo pannello visualizzato assegnare il ruolo appropriato:
Ruolo Situazione Risponditore di Microsoft Sentinel Il playbook include passaggi che aggiornano eventi imprevisti o watchlist Lettore di Microsoft Sentinel Il playbook riceve solo eventi imprevisti Altre informazioni sui ruoli disponibili in Microsoft Sentinel.
In Assegna accesso a scegliere App per la logica.
Scegliere la sottoscrizione a cui appartiene il playbook e selezionare il nome del playbook.
Seleziona Salva.
Abilitare il metodo di autenticazione dell'identità gestita nel connettore App per la logica di Microsoft Sentinel:
Nella finestra di progettazione di App per la logica aggiungere un passaggio del connettore app per la logica di Microsoft Sentinel. Se il connettore è già abilitato per una connessione esistente, selezionare il collegamento Cambia connessione .
Nell'elenco risultante delle connessioni selezionare Aggiungi nuovo nella parte inferiore.
Creare una nuova connessione selezionando Connessione con identità gestita (anteprima).
Immettere un nome per questa connessione, selezionare Identità gestita assegnata dal sistema e selezionare Crea.
Eseguire l'autenticazione come utente di Microsoft Entra
Per stabilire una connessione, selezionare Accedi. Verrà richiesto di fornire le informazioni sull'account. Al termine, seguire le istruzioni rimanenti sullo schermo per creare una connessione.
Eseguire l'autenticazione come entità servizio (applicazione Microsoft Entra)
Le entità servizio possono essere create registrando un'applicazione Microsoft Entra. È preferibile usare un'applicazione registrata come identità del connettore , invece di usare un account utente, in quanto sarà più possibile controllare le autorizzazioni, gestire le credenziali e abilitare determinate limitazioni sull'uso del connettore.
Per usare un'applicazione personalizzata con il connettore Microsoft Sentinel, seguire questa procedura:
Registrare l'applicazione con Microsoft Entra ID e creare un'entità servizio. Informazioni.
Ottenere le credenziali (per l'autenticazione futura).
Nella pagina dell'applicazione registrata ottenere le credenziali dell'applicazione per l'accesso:
- ID client: in Panoramica
- Segreto client: in Certificati e segreti.
Concedere le autorizzazioni all'area di lavoro di Microsoft Sentinel.
In questo passaggio, l'app otterrà l'autorizzazione per lavorare con l'area di lavoro di Microsoft Sentinel.
Nell'area di lavoro di Microsoft Sentinel passare a Impostazioni ->Workspace Impostazioni ->Access control (IAM)
Selezionare Aggiungi un'assegnazione di ruolo.
Selezionare il ruolo che si desidera assegnare all'applicazione. Ad esempio, per consentire all'applicazione di eseguire azioni che apportano modifiche nell'area di lavoro sentinel, ad esempio l'aggiornamento di un evento imprevisto, selezionare il ruolo Collaboratore di Microsoft Sentinel. Per le azioni che leggono solo i dati, il ruolo lettore di Microsoft Sentinel è sufficiente. Altre informazioni sui ruoli disponibili in Microsoft Sentinel.
Trovare l'applicazione richiesta e salvare. Per impostazione predefinita, le applicazioni Microsoft Entra non vengono visualizzate nelle opzioni disponibili. Per trovare l'applicazione, cercare il nome e selezionarlo.
Autentica
In questo passaggio si usano le credenziali dell'app per eseguire l'autenticazione al connettore Sentinel in App per la logica.
Selezionare Connetti con l'entità servizio.
Compilare i parametri obbligatori (è disponibile nella pagina dell'applicazione registrata)
- Tenant: in Panoramica
- ID client: in Panoramica
- Segreto client: in Certificati e segreti
Gestire le connessioni API
Ogni volta che viene creata un'autenticazione per la prima volta, viene creata una nuova risorsa di Azure di tipo API Connessione ion. La stessa connessione API può essere usata in tutte le azioni e i trigger di Microsoft Sentinel nello stesso gruppo di risorse.
Tutte le connessioni API sono disponibili nella pagina Connessioni API (cercare connessioni API nella portale di Azure).
È anche possibile trovarli passando alla pagina Risorse e filtrando la visualizzazione in base al tipo API Connessione ion. In questo modo è possibile selezionare più connessioni per le operazioni bulk.
Per modificare l'autorizzazione di una connessione esistente, immettere la risorsa di connessione e selezionare Modifica connessione API.
Passaggi successivi
In questo articolo sono stati illustrati i diversi metodi di autenticazione di un playbook basato su App per la logica in Microsoft Sentinel.
- Altre informazioni su come usare trigger e azioni nei playbook.