Trigger e azioni supportati nei playbook di Microsoft Sentinel
Questo articolo descrive i trigger e le azioni supportati dal connettore di Microsoft Sentinel per App per la logica. Usare i trigger e le azioni elencati nei playbook di Microsoft Sentinel per interagire con i dati di Microsoft Sentinel.
Importante
La funzionalità annotata è attualmente disponibile in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altre condizioni legali applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.
Prerequisiti
Prima di iniziare, assicurarsi di disporre delle autorizzazioni di Azure seguenti necessarie per usare i componenti del connettore di Microsoft Sentinel:
| Ruolo | Uso di trigger | Ottenere le azioni disponibili | Aggiornare un evento imprevisto, aggiungere un commento |
|---|---|---|---|
| Lettore di Microsoft Sentinel | ✓ | ✓ | - |
| Collaboratore del risponditore/di Microsoft Sentinel | ✓ | ✓ | ✓ |
Per altre informazioni, vedere Ruoli e autorizzazioni in Microsoft Sentinel e prerequisiti per l'uso dei playbook di Microsoft Sentinel.
Trigger di Microsoft Sentinel supportati
Il connettore Microsoft Sentinel e quindi i playbook di Microsoft Sentinel supportano i trigger seguenti:
Evento imprevisto di Microsoft Sentinel. Consigliato per la maggior parte degli scenari di automazione degli eventi imprevisti.
Il playbook riceve gli oggetti eventi imprevisti, incluse le entità e gli avvisi. Questo trigger consente di collegare un playbook a una regola di automazione che può essere attivata ogni volta che viene creato o aggiornato un evento imprevisto in Microsoft Sentinel, applicando tutti i vantaggi delle regole di automazione all'evento imprevisto.
Avviso di Microsoft Sentinel (anteprima). Consigliato per i playbook che devono essere eseguiti manualmente sugli avvisi o per le regole di analisi pianificate che non generano eventi imprevisti per i relativi avvisi.
- Questo trigger non può essere usato per automatizzare le risposte agli avvisi generati dalle regole di analisi della sicurezza Microsoft.
- I playbook che usano questo trigger non possono essere chiamati dalle regole di automazione.
Entità di Microsoft Sentinel. Consigliato per i playbook che devono essere eseguiti manualmente su entità specifiche da un contesto di indagine o di ricerca delle minacce. I playbook che usano questo trigger non possono essere chiamati dalle regole di automazione.
Gli schemi usati da questi flussi non sono identici. È consigliabile usare il flusso di trigger degli eventi imprevisti di Microsoft Sentinel per la maggior parte degli scenari.
Campi dinamici degli eventi imprevisti
L'oggetto Evento imprevisto ricevuto dall'evento imprevisto di Microsoft Sentinel include i campi dinamici seguenti:
| Nome del campo | Descrizione |
|---|---|
| Proprietà degli eventi imprevisti | Visualizzato come Evento imprevisto: <nome campo> |
| Avvisi | Matrice delle proprietà di avviso seguenti, visualizzate come Avviso: <nome> campo. Poiché ogni evento imprevisto può includere più avvisi, la selezione di una proprietà di avviso genera automaticamente un per ogni ciclo per coprire tutti gli avvisi nell'evento imprevisto. |
| Entità | Matrice di tutte le entità dell'avviso |
| Campi delle informazioni sull'area di lavoro | Informazioni dettagliate sull'area di lavoro di Microsoft Sentinel in cui è stato creato l'evento imprevisto, tra cui: - ID sottoscrizione - Nome dell'area di lavoro - ID area di lavoro - Nome gruppo di risorse |
Azioni di Microsoft Sentinel supportate
Il connettore Microsoft Sentinel e quindi i playbook di Microsoft Sentinel supportano le azioni seguenti:
| Azione | Quando usarlo |
|---|---|
| Avviso - Ottenere un evento imprevisto | Nei playbook che iniziano con il trigger di avviso. Utile per ottenere le proprietà dell'evento imprevisto o recuperare l'ID ARM dell'evento imprevisto da usare con l'evento imprevisto Aggiorna o Aggiungi commento alle azioni degli eventi imprevisti. |
| Ottenere un evento imprevisto | Quando si attiva un playbook da un'origine esterna o con un trigger non Sentinel. Identificare con un ID ARM di evento imprevisto. Recupera le proprietà e i commenti degli eventi imprevisti. |
| Aggiorna evento imprevisto | Per modificare lo stato di un evento imprevisto, ad esempio quando si chiude l'evento imprevisto, assegnare un proprietario, aggiungere o rimuovere un tag oppure modificare la gravità, il titolo o la descrizione. |
| Aggiungere commenti agli eventi imprevisti | Per arricchire l'evento imprevisto con informazioni raccolte da fonti esterne; per controllare le azioni eseguite dal playbook sulle entità; per fornire informazioni aggiuntive utili per l'indagine sugli eventi imprevisti. |
| Entità - Ottenere <il tipo di entità> | Nei playbook che funzionano su un tipo di entità specifico (IP, Account, Host, **URL o FileHash) noto in fase di creazione del playbook ed è necessario essere in grado di analizzarlo e lavorare sui relativi campi univoci. |
Suggerimento
Le azioni Aggiorna evento imprevisto e Aggiungi un commento all'evento imprevisto richiedono l'ID ARM dell'evento imprevisto.
Usare l'azione Avviso - Ottieni evento imprevisto in anticipo per ottenere l'ID ARM dell'evento imprevisto.
Tipi di entità supportati
Il campo dinamico Entities è una matrice di oggetti JSON, ognuno dei quali rappresenta un'entità. Ogni tipo di entità ha uno schema specifico, a seconda delle relative proprietà univoce.
L'azione "Entities - Get <entity type>" consente di:
- Filtrare la matrice di entità in base al tipo richiesto.
- Analizzare i campi specifici di questo tipo, in modo che possano essere usati come campi dinamici in altre azioni.
L'input è il campo dinamico Entities .
La risposta è una matrice di entità, in cui le proprietà speciali vengono analizzate e possono essere usate direttamente in un ciclo For each .
I tipi di entità attualmente supportati includono:
L'immagine seguente mostra un esempio di azioni disponibili per le entità:
Per altri tipi di entità, è possibile ottenere funzionalità simili usando le azioni predefinite di App per la logica:
Filtrare la matrice di entità in base al tipo richiesto usando La matrice di filtri.
Analizzare i campi specifici di questo tipo, in modo che possano essere usati come campi dinamici in altre azioni usando Analizza JSON.
Contenuto correlato
Per altre informazioni, vedi:
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per