Używanie wyzwalaczy i akcji w podręcznikach usługi Microsoft Sentinel
W tym dokumencie opisano typy wyzwalaczy i akcji w łączniku usługi Microsoft Sentinel usługi Logic Apps, których podręczniki mogą używać do interakcji z usługą Microsoft Sentinel oraz informacji w tabelach obszaru roboczego. W dalszej części pokazano, jak uzyskać dostęp do określonych typów informacji usługi Microsoft Sentinel, których prawdopodobnie potrzebujesz.
Ten dokument wraz z naszym przewodnikiem dotyczącym uwierzytelniania podręczników w usłudze Microsoft Sentinel jest uzupełnieniem naszej innej dokumentacji podręcznika — Samouczek: używanie podręczników z regułami automatyzacji w usłudze Microsoft Sentinel. Te trzy dokumenty będą się odwoływać do siebie tam i z powrotem.
Aby zapoznać się z wprowadzeniem do podręczników, zobacz Automatyzowanie reagowania na zagrożenia za pomocą podręczników w usłudze Microsoft Sentinel.
Pełną specyfikację łącznika usługi Microsoft Sentinel można znaleźć w dokumentacji łącznika usługi Logic Apps.
Ważne
Usługa Microsoft Sentinel jest dostępna w publicznej wersji zapoznawczej dla ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Wymagane uprawnienia
| Role \ składniki Połączenie or | Wyzwalacze | Akcje "Pobierz" | Zdarzenie aktualizacji, dodawanie komentarza |
|---|---|---|---|
| Czytelnik usługi Microsoft Sentinel | ✓ | ✓ | ✗ |
| Współautor odpowiedzi/usługi Microsoft Sentinel | ✓ | ✓ | ✓ |
Dowiedz się więcej o uprawnieniach w usłudze Microsoft Sentinel.
Podsumowanie wyzwalaczy usługi Microsoft Sentinel
Chociaż łącznik usługi Microsoft Sentinel może być używany na różne sposoby, składniki łącznika można podzielić na trzy przepływy, z których każdy jest wyzwalany przez inne wystąpienie usługi Microsoft Sentinel:
| Trigger (pełna nazwa w usłudze Logic Apps Projektant) | Zastosowanie | Znane ograniczenia |
|---|---|---|
| Zdarzenie usługi Microsoft Sentinel (wersja zapoznawcza) | Zalecane w przypadku większości scenariuszy automatyzacji zdarzeń. Podręcznik odbiera obiekty incydentów, w tym jednostki i alerty. Użycie tego wyzwalacza umożliwia dołączanie podręcznika do reguły automatyzacji, dzięki czemu może zostać wyzwolony po utworzeniu zdarzenia (a teraz również zaktualizowanej) w usłudze Microsoft Sentinel, a wszystkie zalety reguł automatyzacji można zastosować do zdarzenia. |
Podręczniki z tym wyzwalaczem nie obsługują grupowania alertów, co oznacza, że otrzymają tylko pierwszy alert wysyłany z każdym zdarzeniem. AKTUALIZACJA: od lutego 2023 r. grupowanie alertów jest obsługiwane dla tego wyzwalacza. |
| Alert usługi Microsoft Sentinel (wersja zapoznawcza) | Zalecane w przypadku podręczników, które muszą być uruchamiane na alertach ręcznie z portalu usługi Microsoft Sentinel lub w przypadku zaplanowanych reguł analizy, które nie generują zdarzeń dla alertów. | Tego wyzwalacza nie można używać do automatyzowania odpowiedzi dla alertów generowanych przez reguły analizy zabezpieczeń firmy Microsoft. Podręczniki korzystające z tego wyzwalacza nie mogą być wywoływane przez reguły automatyzacji. |
| Jednostka usługi Microsoft Sentinel (wersja zapoznawcza) | Do użycia w podręcznikach, które muszą być uruchamiane ręcznie na określonych jednostkach z kontekstu badania lub wyszukiwania zagrożeń. | Podręczniki korzystające z tego wyzwalacza nie mogą być wywoływane przez reguły automatyzacji. |
Schematy używane przez te przepływy nie są identyczne. Zalecaną praktyką jest użycie przepływu wyzwalacza zdarzeń usługi Microsoft Sentinel, który ma zastosowanie do większości scenariuszy.
Pola dynamiczne zdarzenia
Obiekt Incident odebrany ze zdarzenia usługi Microsoft Sentinel zawiera następujące pola dynamiczne:
Właściwości zdarzenia (wyświetlane jako "Zdarzenie: nazwa pola")
Alerty (tablica)
Właściwości alertu (wyświetlane jako "Alert: nazwa pola")
Podczas wybierania właściwości alertu, takiej jak Alert: <nazwa> właściwości, każda pętla jest generowana automatycznie, ponieważ zdarzenie może zawierać wiele alertów.
Jednostki (tablica wszystkich jednostek alertu)
Pola informacji o obszarze roboczym (dotyczy obszaru roboczego usługi Sentinel, w którym utworzono zdarzenie)
- Identyfikator subskrypcji
- Nazwa obszaru roboczego
- Identyfikator obszaru roboczego
- Nazwa grupy zasobów
Podsumowanie akcji usługi Microsoft Sentinel
| Składnik | Zastosowanie |
|---|---|
| Alert — uzyskiwanie zdarzenia | W podręcznikach rozpoczynających się od wyzwalacza alertu. Przydatne w przypadku pobierania właściwości zdarzenia lub pobierania identyfikatora zdarzenia usługi ARM do użycia z zdarzeniem Aktualizacji lub Dodaj komentarz do akcji zdarzenia. |
| Uzyskiwanie zdarzenia | W przypadku wyzwalania podręcznika ze źródła zewnętrznego lub wyzwalacza innego niż Sentinel. Zidentyfikuj identyfikator zdarzenia usługi ARM. Pobiera właściwości i komentarze dotyczące zdarzenia. |
| Aktualizowanie zdarzenia | Aby zmienić stan zdarzenia (na przykład podczas zamykania zdarzenia), przypisz właściciela, dodaj lub usuń tag albo zmień ważność, tytuł lub opis. |
| Dodawanie komentarzy do zdarzenia | Aby wzbogacić incydent o informacje zebrane ze źródeł zewnętrznych; przeprowadzanie inspekcji akcji podjętych przez podręcznik w jednostkach; aby dostarczyć dodatkowe informacje przydatne do badania zdarzeń. |
| Jednostki — pobieranie <typu jednostki> | W podręcznikach, które działają na określonym typie jednostki (IP, konto, host, adres URL lub plikHash), który jest znany w czasie tworzenia podręcznika i musisz mieć możliwość analizowania go i pracy nad jego unikatowymi polami. |
Praca ze zdarzeniami — przykłady użycia
Napiwek
Akcje Aktualizuj zdarzenie i Dodaj komentarz do zdarzenia wymagają identyfikatora zdarzenia usługi ARM.
Użyj akcji Alert — Pobierz zdarzenie wcześniej, aby uzyskać identyfikator zdarzenia usługi ARM.
Aktualizowanie zdarzenia
Podręcznik jest wyzwalany przez zdarzenie usługi Microsoft Sentinel
Alert dotyczący podręcznika jest wyzwalany przez alert usługi Microsoft Sentinel
Korzystanie z informacji o zdarzeniu
Podstawowy podręcznik do wysyłania szczegółów zdarzenia pocztą:
Podręcznik jest wyzwalany przez zdarzenie usługi Microsoft Sentinel
Alert dotyczący podręcznika jest wyzwalany przez alert usługi Microsoft Sentinel
Dodawanie komentarza do zdarzenia
Podręcznik jest wyzwalany przez zdarzenie usługi Microsoft Sentinel
Alert dotyczący podręcznika jest wyzwalany przez alert usługi Microsoft Sentinel
Wyłączanie użytkownika
Podręcznik jest wyzwalany przez jednostkę usługi Microsoft Sentinel
Podręczniki jednostek bez identyfikatora zdarzenia
Podręczniki utworzone za pomocą wyzwalacza jednostki często korzystają z pola Identyfikator zdarzenia usługi ARM (na przykład w celu zaktualizowania zdarzenia po wykonaniu akcji w jednostce).
Jeśli taki podręcznik zostanie wyzwolony w kontekście bez połączenia ze zdarzeniem (na przykład w przypadku wyszukiwania zagrożeń), nie ma zdarzenia , którego identyfikator może wypełnić to pole. W takim przypadku pole zostanie wypełnione wartością null.
W związku z tym podręcznik może zakończyć się niepowodzeniem. Aby zapobiec temu awarii, zaleca się utworzenie warunku, który będzie sprawdzać wartość w polu identyfikatora zdarzenia przed podjęciem jakichkolwiek akcji i przepisać inny zestaw akcji, jeśli pole ma wartość null , czyli jeśli podręcznik nie jest uruchamiany z incydentu.
Przed pierwszą akcją odwołującą się do pola Identyfikator zdarzenia usługi ARM dodaj krok typu Warunek.
Wybierz pole Wybierz wartość i wprowadź okno dialogowe Dodawanie zawartości dynamicznej.
Wybierz kartę Wyrażenie i funkcję length(collection).
Wybierz kartę Zawartość dynamiczna i pole Identyfikator zdarzenia usługi ARM.
Sprawdź, czy wynikowe wyrażenie jest
length(triggerBody()?['IncidentArmID'])i wybierz przycisk OK.
Ustaw operator i wartość w warunku na wartość "jest większa niż" i "0".
W ramce True dodaj akcje do wykonania, jeśli element playbook jest uruchamiany z kontekstu zdarzenia.
W ramce False dodaj akcje do wykonania, jeśli podręcznik jest uruchamiany z kontekstu innego niż incydent.
Praca z określonymi typami jednostek
Pole dynamiczne Jednostki to tablica obiektów JSON, z których każda reprezentuje jednostkę. Każdy typ jednostki ma swój własny schemat, w zależności od jego unikatowych właściwości.
Akcja "Jednostki — Pobierz <typ> jednostki" umożliwia wykonanie następujących czynności:
- Filtruj tablicę jednostek według żądanego typu.
- Przeanalizuj określone pola tego typu, aby można było ich używać jako pól dynamicznych w dalszych akcjach.
Dane wejściowe to pole dynamiczne Jednostki .
Odpowiedź to tablica jednostek, w której właściwości specjalne są analizowane i mogą być używane bezpośrednio w pętli For each .
Obecnie obsługiwane typy jednostek to:
W przypadku innych typów jednostek można osiągnąć podobne funkcje przy użyciu wbudowanych akcji usługi Logic Apps:
Filtruj tablicę jednostek według żądanego typu przy użyciu funkcji Filter Array.
Przeanalizuj określone pola tego typu, aby można je było używać jako pól dynamicznych w dalszych akcjach przy użyciu analizowania kodu JSON.
Praca ze szczegółami niestandardowymi
Pole dynamiczne Szczegóły niestandardowe alertu, dostępne w wyzwalaczu zdarzenia, jest tablicą obiektów JSON, z których każdy reprezentuje niestandardowy szczegół alertu. Szczegóły niestandardowe, jak pamiętasz, to pary klucz-wartość, które umożliwiają uwidoczną informacje ze zdarzeń w alercie, dzięki czemu mogą być reprezentowane, śledzone i analizowane w ramach zdarzenia.
Ponieważ to pole w alercie można dostosować, jego schemat zależy od typu zdarzenia, które jest udostępniane. Konieczne będzie podanie danych z wystąpienia tego zdarzenia w celu wygenerowania schematu, który określi sposób analizowania pola szczegółów niestandardowych.
Zobacz poniższy przykład:
W tych parach klucz-wartość klucz (kolumna po lewej stronie) reprezentuje tworzone pola niestandardowe, a wartość (kolumna po prawej stronie) reprezentuje pola z danych zdarzeń, które wypełniają pola niestandardowe.
Aby wygenerować schemat, możesz podać następujący kod JSON. Kod przedstawia nazwy kluczy jako tablice oraz wartości (pokazane jako rzeczywiste wartości, a nie kolumnę zawierającą wartości) jako elementy w tablicach.
{ "FirstCustomField": [ "1", "2" ], "SecondCustomField": [ "a", "b" ] }
Dodaj nowy krok przy użyciu wbudowanej akcji Analizowanie kodu JSON . Możesz wprowadzić ciąg "przeanalizuj plik json" w polu Wyszukaj, aby go znaleźć.
Znajdź i wybierz pozycję Szczegóły niestandardowe alertu na liście Zawartość dynamiczna w obszarze wyzwalacza zdarzenia.
Spowoduje to utworzenie pętli Dla każdej pętli, ponieważ zdarzenie zawiera tablicę alertów.
Wybierz link Użyj przykładowego ładunku , aby wygenerować schemat .
Podaj przykładowy ładunek. Przykładowy ładunek można znaleźć, wyszukując w usłudze Log Analytics inne wystąpienie tego alertu, i kopiując obiekt szczegółów niestandardowych (w obszarze Właściwości rozszerzone). Uzyskaj dostęp do danych usługi Log Analytics na stronie Dzienniki w witrynie Azure Portal lub na stronie Zaawansowane wyszukiwanie zagrożeń w portalu usługi Defender. Na poniższym zrzucie ekranu użyliśmy kodu JSON pokazanego powyżej.
Pola niestandardowe są gotowe do użycia pól dynamicznych typu Tablica. W tym miejscu można zobaczyć tablicę i jej elementy, zarówno w schemacie, jak i na liście, która jest wyświetlana w obszarze Zawartość dynamiczna, którą opisano powyżej.
Następne kroki
W tym artykule przedstawiono więcej informacji na temat używania wyzwalaczy i akcji w podręcznikach usługi Microsoft Sentinel w celu reagowania na zagrożenia.
- Dowiedz się, jak aktywnie polować na zagrożenia przy użyciu usługi Microsoft Sentinel.