App per la logica di Azure per i playbook di Microsoft Sentinel
I playbook di Microsoft Sentinel sono basati su flussi di lavoro integrati in App per la logica di Azure, un servizio cloud che consente di pianificare, automatizzare e orchestrare attività e flussi di lavoro in tutti i sistemi aziendali. I playbook di Microsoft Sentinel possono sfruttare tutte le potenzialità e le funzionalità dei modelli predefiniti in App per la logica di Azure.
App per la logica di Azure comunica con altri sistemi e servizi usando vari tipi di connettori. Usare il connettore Microsoft Sentinel per creare playbook che interagiscono con Microsoft Sentinel.
Nota
App per la logica di Azure crea risorse separate, quindi potrebbero essere applicati costi aggiuntivi. Per altre informazioni, visitare la pagina dei prezzi di App per la logica di Azure.
Componenti del connettore di Microsoft Sentinel
All'interno del connettore Microsoft Sentinel usare trigger, azioni e campi dinamici per definire il flusso di lavoro del playbook:
| Componente | Descrizione |
|---|---|
| Trigger | Un trigger è il componente connettore che avvia un flusso di lavoro, in questo caso un playbook. Un trigger di Microsoft Sentinel definisce lo schema previsto dal playbook quando viene attivato. Il connettore Microsoft Sentinel supporta i tipi di trigger seguenti: - Trigger di avviso: il playbook riceve un avviso come input. - Trigger di entità (anteprima): il playbook riceve un'entità come input. - Trigger degli eventi imprevisti: il playbook riceve un evento imprevisto come input, insieme a tutti gli avvisi e le entità inclusi. |
| Azioni | Le azioni corrispondono a tutti i passaggi eseguiti dopo l'attivazione del trigger. Le azioni possono essere disposte in sequenza, in parallelo o in una matrice di condizioni complesse. |
| Campi dinamici | I campi dinamici sono campi temporanei che possono essere usati nelle azioni che seguono il trigger. I campi dinamici sono determinati dallo schema di output dei trigger e delle azioni e vengono popolati dal relativo output effettivo. |
App per la logica di Azure supporta anche altri tipi di connettori, ad esempio connettori gestiti, che eseguono il wrapping delle chiamate API o connettori personalizzati. Per altre informazioni, vedere App per la logica di Azure connettori e la relativa documentazione e Creare connettori di App per la logica di Azure personalizzati.
Tipi di app per la logica supportati
Microsoft Sentinel supporta sia il consumo che i tipi di risorse standard App per la logica di Azure:
Le risorse a consumo vengono eseguite in App per la logica di Azure multi-tenant e usano il motore di App per la logica di Azure classico e originale.
Le risorse standard vengono eseguite in App per la logica di Azure a tenant singolo e usano un motore di App per la logica di Azure progettato più di recente.
Le risorse standard offrono prestazioni più elevate, prezzi fissi, più funzionalità del flusso di lavoro, gestione delle connessioni API semplificate, funzionalità di rete predefinite e funzionalità CI/CD e altro ancora. Tuttavia, la funzionalità del playbook seguente è diversa per le risorse Standard in Microsoft Sentinel:
Funzionalità Descrizione Creazione di playbook I modelli di playbook non sono attualmente supportati per i flussi di lavoro Standard, il che significa che non è possibile usare un modello per creare il playbook direttamente in Microsoft Sentinel.
Creare invece manualmente il flusso di lavoro in App per la logica di Azure per usarlo come playbook in Microsoft Sentinel.Endpoint privati Se si usano flussi di lavoro Standard con endpoint privati, Microsoft Sentinel richiede di definire criteri di restrizione di accesso nelle app per la logica per supportare tali endpoint privati in qualsiasi playbook basato su flussi di lavoro Standard.
Senza criteri di restrizione dell'accesso, i flussi di lavoro con endpoint privati potrebbero essere ancora visibili e selezionabili in Microsoft Sentinel, ma l'esecuzione avrà esito negativo.Flussi di lavoro senza stato Anche se i flussi di lavoro Standard supportano flussi di lavoro con stato e senza stato in App per la logica di Azure, Microsoft Sentinel non supporta flussi di lavoro senza stato.
Per altre informazioni, vedere Flussi di lavoro con stato e senza stato.
Autenticazioni del playbook in Microsoft Sentinel
App per la logica di Azure deve connettersi separatamente ed eseguire l'autenticazione indipendentemente a ogni risorsa, di ogni tipo, con cui interagisce, incluso Microsoft Sentinel stesso. App per la logica usa connettori specializzati per questo scopo, con ogni tipo di risorsa con un proprio connettore.
Per altre informazioni, vedere Autenticare i playbook in Microsoft Sentinel.
Contenuto correlato
- Differenze tra il tipo di risorsa e l'ambiente host nella documentazione di App per la logica di Azure
- Connettore di App per la logica di Microsoft Sentinel nella documentazione di App per la logica di Azure
- Creare e gestire playbook di Microsoft Sentinel
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per