Playbooks verifiëren bij Microsoft Sentinel

• Van toepassing op:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel-playbooks zijn gebaseerd op werkstromen die zijn gebouwd in Azure Logic Apps, een cloudservice waarmee u taken en werkstromen in verschillende systemen in de hele onderneming kunt plannen, automatiseren en organiseren.

Azure Logic Apps moet afzonderlijk worden verbonden en onafhankelijk worden geverifieerd voor elke resource, van elk type, waarmee deze communiceert, met inbegrip van Microsoft Sentinel zelf. Logic Apps maakt gebruik van gespecialiseerde connectors voor dit doel, waarbij elk resourcetype een eigen connector heeft.

In dit artikel worden de typen verbindingen en verificatie beschreven die worden ondersteund voor de Logic Apps Microsoft Sentinel-connector. Playbooks kunnen ondersteunde verificatiemethoden gebruiken om te communiceren met Microsoft Sentinel en toegang te krijgen tot uw Microsoft Sentinel-gegevens.

Vereisten

We raden u aan de volgende artikelen vóór deze te lezen:

• Bedreigingsreactie automatiseren met Microsoft Sentinel-playbooks
• Microsoft Sentinel-playbooks maken en beheren
• Azure Logic Apps voor Microsoft Sentinel-playbooks
• Ondersteunde triggers en acties in Microsoft Sentinel-playbooks

Als u een beheerde identiteit toegang wilt geven tot andere resources, zoals uw Microsoft Sentinel-werkruimte, moet uw aangemelde gebruiker een rol hebben met machtigingen voor het schrijven van roltoewijzingen, zoals Eigenaar of Gebruikerstoegang Beheer istrator van de Microsoft Sentinel-werkruimte.

Verificatie

De Microsoft Sentinel-connector in Logic Apps en de bijbehorende onderdeeltriggers en -acties kunnen worden uitgevoerd namens elke identiteit met de benodigde machtigingen (lezen en/of schrijven) voor de relevante werkruimte. De connector ondersteunt meerdere identiteitstypen:

• Beheerde identiteit (preview). Gebruik deze methode bijvoorbeeld om het aantal identiteiten te verlagen dat u moet beheren.
• Service-principal (Microsoft Entra-toepassing). Geregistreerde toepassingen bieden een verbeterde mogelijkheid om machtigingen te beheren, referenties te beheren en bepaalde beperkingen voor het gebruik van de connector in te schakelen.
• Microsoft Entra-gebruiker

Vereiste machtigingen

Ongeacht de verificatiemethode zijn de volgende machtigingen vereist voor de geverifieerde identiteit om verschillende onderdelen van de Microsoft Sentinel-connector te gebruiken. Schrijfacties omvatten acties zoals het bijwerken van incidenten of het toevoegen van een opmerking.

Rollen	Triggers gebruiken	Leesacties gebruiken	Schrijfacties gebruiken
Microsoft Sentinel Reader	✓	✓	-
Inzender voor Microsoft Sentinel Responder/	✓	✓	✓

Zie De vereisten voor rollen en machtigingen in Microsoft Sentinel en Microsoft Sentinel voor meer informatie.

Verifiëren met een beheerde identiteit

Door te verifiëren als een beheerde identiteit kunt u rechtstreeks machtigingen verlenen aan het playbook. Dit is een werkstroomresource voor logische apps. Acties van de Microsoft Sentinel-connector die door het playbook worden uitgevoerd, werken vervolgens namens het playbook alsof het een onafhankelijk object met eigen machtigingen voor Microsoft Sentinel is.

Verifiëren met een beheerde identiteit:

1. Schakel beheerde identiteit in op de Logic Apps-werkstroomresource. Zie De door het systeem toegewezen identiteit inschakelen in Azure Portal voor meer informatie.

   Uw logische app kan nu de door het systeem toegewezen identiteit gebruiken, die is geregistreerd bij Microsoft Entra-id en wordt vertegenwoordigd door een object-id.

2. Gebruik de volgende stappen om die identiteit toegang te verlenen tot uw Microsoft Sentinel-werkruimte:

   1. Selecteer Instellingen in het menu Microsoft Sentinel.

   2. Selecteer het tabblad Werkruimte-instellingen . Selecteer toegangsbeheer (IAM) in het werkruimtemenu.

   3. Selecteer in de knopbalk bovenaan de optie Toevoegen en kies Roltoewijzing toevoegen. Als de optie Roltoewijzing toevoegen is uitgeschakeld, hebt u geen machtigingen om rollen toe te wijzen.

   4. Wijs in het nieuwe deelvenster dat wordt weergegeven de juiste rol toe:

      • Microsoft Sentinel Responder: Playbook bevat stappen voor het bijwerken van incidenten of volglijsten
      • Microsoft Sentinel Reader: Playbook ontvangt alleen incidenten

   5. Selecteer logische app onder Toegang toewijzen aan.

   6. Selecteer het abonnement waartoe het playbook behoort en selecteer vervolgens de naam van het playbook.

   7. Selecteer Opslaan.

   Zie Identiteit toegang verlenen tot resources voor meer informatie.

3. Schakel de verificatiemethode voor beheerde identiteit in de Microsoft Sentinel Logic Apps-connector in:

   1. Voeg in de ontwerpfunctie van Logic Apps een microsoft Sentinel Logic Apps-connectorstap toe. Als de connector al is ingeschakeld voor een bestaande verbinding, selecteert u de koppeling Verbinding wijzigen. Voorbeeld:

      

   2. Selecteer Nieuwe toevoegen in de resulterende lijst met verbindingen.

   3. Maak een nieuwe verbinding door Verbinding maken met beheerde identiteit (preview) te selecteren. Voorbeeld:

      

   4. Voer een naam in voor deze verbinding, selecteer door het systeem toegewezen beheerde identiteit en selecteer vervolgens Maken.

      

   5. Selecteer Maken om de verbinding te voltooien.

Verifiëren als een service-principal (Microsoft Entra-toepassing)

Maak een service-principal door een Microsoft Entra-toepassing te registreren. U wordt aangeraden een geregistreerde toepassing te gebruiken als de identiteit van de connector in plaats van een gebruikersaccount.

Uw eigen toepassing gebruiken met de Microsoft Sentinel-connector:

1. Registreer de toepassing bij Microsoft Entra ID en maak een service-principal. Zie Een Microsoft Entra-toepassing en service-principal maken die toegang hebben tot resources voor meer informatie.

2. Haal referenties op voor toekomstige verificatie. Haal op de geregistreerde toepassingspagina de toepassingsreferenties op voor het aanmelden:

   • Client-id, onder Overzicht
   • Clientgeheim, onder Certificaten en geheimen

3. Verdeel de app met machtigingen om te werken met de Microsoft Sentinel-werkruimte:

   1. Ga in de Microsoft Sentinel-werkruimte naar Instellingen> Werkruimte Instellingen> Access-besturingselement (IAM)

   2. Selecteer Roltoewijzing toevoegen en selecteer vervolgens de rol die u aan de toepassing wilt toewijzen.

      Als u bijvoorbeeld wilt toestaan dat de toepassing acties uitvoert die wijzigingen aanbrengen in de Microsoft Sentinel-werkruimte, zoals het bijwerken van een incident, selecteert u de rol Microsoft Sentinel-inzender . Voor acties die alleen gegevens lezen, is de rol Microsoft Sentinel Reader voldoende.

   3. Zoek de vereiste toepassing en sla uw wijzigingen op.

      Microsoft Entra-toepassingen worden standaard niet weergegeven in de beschikbare opties. Als u uw toepassing wilt zoeken, zoekt u de naam en kiest u deze.

4. Gebruik de app-referenties om te verifiëren bij de Microsoft Sentinel-connector in Logic Apps.

   1. Voeg in de ontwerpfunctie van Logic Apps een microsoft Sentinel Logic Apps-connectorstap toe.

   2. Als de connector al is ingeschakeld voor een bestaande verbinding, selecteert u de koppeling Verbinding wijzigen. Voorbeeld:

      

   3. Selecteer nieuwe toevoegen in de resulterende lijst met verbindingen en selecteer vervolgens Verbinding maken met service-principal. Voorbeeld:

      

   4. Voer de vereiste parameterwaarden in die beschikbaar zijn op de pagina met details van de geregistreerde toepassing:

      • Tenant: onder Overzicht
      • Client-id: onder Overzicht
      • Clientgeheim: onder Certificaten en geheimen

      Voorbeeld:

      

   5. Selecteer Maken om de verbinding te voltooien.

Verifiëren als Microsoft Entra-gebruiker

Een verbinding maken als Microsoft Entra-gebruiker:

1. Voeg in de ontwerpfunctie van Logic Apps een microsoft Sentinel Logic Apps-connectorstap toe. Als de connector al is ingeschakeld voor een bestaande verbinding, selecteert u de koppeling Verbinding wijzigen. Voorbeeld:

   

2. Selecteer nieuwe toevoegen in de resulterende lijst met verbindingen en selecteer vervolgens Aanmelden.

   

3. Voer uw referenties in wanneer u hierom wordt gevraagd en volg de resterende instructies op het scherm om een verbinding te maken.

Playbook-API-verbindingen weergeven en bewerken

API-verbindingen worden gebruikt om Azure Logic Apps te verbinden met andere services, waaronder Microsoft Sentinel. Telkens wanneer er een nieuwe verificatie wordt uitgevoerd voor een connector in Azure Logic Apps, wordt er een nieuwe API-verbindingsresource gemaakt met de details die worden opgegeven bij het configureren van toegang tot de service. Dezelfde API-verbinding kan worden gebruikt in alle Microsoft Sentinel-acties en triggers in dezelfde resourcegroep.

Ga op een van de volgende manieren te werk om API-verbindingen weer te geven:

• Zoek in Azure Portal naar API-verbindingen. Zoek de API-verbinding voor uw playbook met behulp van de volgende gegevens:

  • Weergavenaam: De beschrijvende naam die u de verbinding geeft telkens wanneer u er een maakt.
  • Status: de status van de API-verbinding.
  • Resourcegroep: API-verbindingen voor Microsoft-playbooks worden gemaakt in de resourcegroep van het playbook (Azure Logic Apps).

• Bekijk in Azure Portal alle resources en filter de weergave op type = API-connector. Met deze methode kunt u meerdere verbindingen tegelijk selecteren, taggen en verwijderen.

Als u de autorisatie van een bestaande verbinding wilt wijzigen, voert u de verbindingsresource in en selecteert u API-verbinding bewerken.

Gerelateerde inhoud

Zie voor meer informatie:

• Reactie op bedreigingen automatiseren met playbooks in Microsoft Sentinel
• Microsoft Sentinel-playbooks maken en beheren
• Microsoft Sentinel-playbooks automatiseren en uitvoeren