Condividi tramite


Playbook di App per la logica di Azure per Microsoft Sentinel

I playbook Microsoft Sentinel sono basati su flussi di lavoro basati su App per la logica di Azure, un servizio cloud che consente di pianificare, automatizzare e orchestrare attività e flussi di lavoro in tutti i sistemi aziendali. I playbook di Microsoft Sentinel possono sfruttare tutte le potenzialità e le funzionalità dei modelli predefiniti in App per la logica di Azure.

App per la logica di Azure comunica con altri sistemi e servizi usando vari tipi di connettori. Usare il connettore Microsoft Sentinel per creare playbook che interagiscono con Microsoft Sentinel.

Nota

App per la logica di Azure crea risorse separate, quindi potrebbero essere applicati costi aggiuntivi. Per altre informazioni, visitare la pagina dei prezzi di App per la logica di Azure.

Componenti del connettore di Microsoft Sentinel

All'interno del connettore Microsoft Sentinel usare trigger, azioni e campi dinamici per definire il flusso di lavoro del playbook:

Componente Descrizione
Trigger Un trigger è il componente connettore che avvia un flusso di lavoro, in questo caso un playbook. Un trigger di Microsoft Sentinel definisce lo schema previsto dal playbook quando viene attivato.

Il connettore Microsoft Sentinel supporta i tipi di trigger seguenti:

- Trigger di avviso: il playbook riceve un avviso come input.
- Trigger di entità: il playbook riceve un'entità come input.
- Trigger degli incidenti: il playbook riceve un incidente come input, insieme a tutti gli avvisi e le entità inclusi.
Azioni Le azioni corrispondono a tutti i passaggi eseguiti dopo l'attivazione del trigger. Le azioni possono essere disposte in sequenza, in parallelo o in una matrice di condizioni complesse.
Campi dinamici I campi dinamici sono campi temporanei che possono essere usati nelle azioni che seguono il trigger. I campi dinamici sono determinati dallo schema di output dei trigger e delle azioni e vengono popolati dal relativo output effettivo.

App per la logica di Azure supporta anche altri tipi di connettori, ad esempio connettori gestiti, che eseguono il wrapping delle chiamate API o connettori personalizzati. Per altre informazioni, vedere Connettori di App per la logica di Azure e la relativa documentazione e Creare connettori personalizzati di App per la logica di Azure.

Tipi di app per la logica supportati

Microsoft Sentinel supporta sia le app per il consumo che le app per la logica Standard:

  • Consumo: viene eseguito in App per la logica di Azure multi-tenant e usa il motore App per la logica di Azure classico e originale.

  • Standard: viene eseguito in App per la logica di Azure a tenant singolo e usa un motore di App per la logica di Azure progettato più di recente.

    Le risorse standard offrono prestazioni più elevate, prezzi fissi, più funzionalità del flusso di lavoro, gestione delle connessioni API semplificate, funzionalità di rete predefinite e funzionalità CI/CD e altro ancora. Tuttavia, la funzionalità del playbook seguente è diversa per le app per la logica Standard in Microsoft Sentinel:

    Funzionalità Descrizione
    Creazione di playbook I modelli di playbook non sono attualmente supportati per i flussi di lavoro Standard, il che significa che non è possibile usare un modello per creare il playbook direttamente in Microsoft Sentinel.

    Creare invece manualmente il flusso di lavoro in App per la logica di Azure per usarlo come playbook in Microsoft Sentinel.
    Endpoint privati Se si usano flussi di lavoro Standard con endpoint privati, Microsoft Sentinel richiede di definire criteri di restrizione di accesso nelle App per la logica per supportare tali endpoint privati in qualsiasi playbook basato su flussi di lavoro standard.

    Senza criteri di restrizione dell'accesso, i flussi di lavoro con endpoint privati potrebbero essere ancora visibili e selezionabili in Microsoft Sentinel, ma l'esecuzione avrà esito negativo.
    Flusso di lavoro senza stato Anche se i flussi di lavoro standard supportano sia con stato sia senza stato in App per la logica di Azure, Microsoft Sentinel non supporta flussi di lavoro senza stato.

    Per altre informazioni, vedere Flussi di lavoro con stato e senza stato.

Autenticazioni del playbook in Microsoft Sentinel

App per la logica di Azure deve connettersi separatamente ed eseguire l'autenticazione indipendentemente a ogni risorsa, di ogni tipo, con cui interagisce, incluso Microsoft Sentinel stesso. App per la logica di Azure usa connettori specializzati per questo scopo, con ogni tipo di risorsa con un proprio connettore.

Per altre informazioni, vedere Autenticare i playbook in Microsoft Sentinel.