Obsługiwane wyzwalacze i akcje w podręcznikach usługi Microsoft Sentinel
W tym artykule opisano wyzwalacze i akcje obsługiwane przez łącznik usługi Microsoft Sentinel usługi Logic Apps. Użyj wymienionych wyzwalaczy i akcji w podręcznikach usługi Microsoft Sentinel, aby wchodzić w interakcje z danymi usługi Microsoft Sentinel.
Ważne
Zanotowano funkcje są obecnie dostępne w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Wymagania wstępne
Przed rozpoczęciem upewnij się, że masz następujące uprawnienia platformy Azure wymagane do korzystania ze składników łącznika usługi Microsoft Sentinel:
| Rola | Korzystanie z wyzwalaczy | Uzyskiwanie dostępnych akcji | Zdarzenie aktualizacji, dodawanie komentarza |
|---|---|---|---|
| Czytelnik usługi Microsoft Sentinel | ✓ | ✓ | - |
| Współautor odpowiedzi/usługi Microsoft Sentinel | ✓ | ✓ | ✓ |
Aby uzyskać więcej informacji, zobacz Role i uprawnienia w usłudze Microsoft Sentinel oraz wymagania wstępne dotyczące pracy z podręcznikami usługi Microsoft Sentinel.
Obsługiwane wyzwalacze usługi Microsoft Sentinel
Łącznik usługi Microsoft Sentinel i w związku z tym podręczniki usługi Microsoft Sentinel obsługują następujące wyzwalacze:
Zdarzenie usługi Microsoft Sentinel. Zalecane w przypadku większości scenariuszy automatyzacji zdarzeń.
Podręcznik odbiera obiekty incydentów, w tym jednostki i alerty. Ten wyzwalacz umożliwia dołączenie podręcznika do reguły automatyzacji, która może zostać wyzwolona za każdym razem, gdy zdarzenie zostanie utworzone lub zaktualizowane w usłudze Microsoft Sentinel, stosując wszystkie korzyści wynikające z reguł automatyzacji do zdarzenia.
Alert usługi Microsoft Sentinel (wersja zapoznawcza). Zalecane w przypadku podręczników, które muszą być uruchamiane ręcznie w przypadku alertów lub dla zaplanowanych reguł analizy, które nie generują zdarzeń dla alertów.
- Tego wyzwalacza nie można używać do automatyzowania odpowiedzi dla alertów generowanych przez reguły analizy zabezpieczeń firmy Microsoft.
- Podręczniki korzystające z tego wyzwalacza nie mogą być wywoływane przez reguły automatyzacji.
Jednostka usługi Microsoft Sentinel. Zalecane w przypadku podręczników, które muszą być uruchamiane ręcznie na określonych jednostkach z kontekstu badania lub wyszukiwania zagrożeń. Podręczniki korzystające z tego wyzwalacza nie mogą być wywoływane przez reguły automatyzacji.
Schematy używane przez te przepływy nie są identyczne. W większości scenariuszy zalecamy użycie przepływu wyzwalacza zdarzeń usługi Microsoft Sentinel.
Pola dynamiczne zdarzenia
Obiekt Incident odebrany ze zdarzenia usługi Microsoft Sentinel zawiera następujące pola dynamiczne:
| Nazwa pola | opis |
|---|---|
| Właściwości zdarzenia | Pokazano jako Zdarzenie: <nazwa pola> |
| Alerty | Tablica następujących właściwości alertu wyświetlana jako Alert: <nazwa> pola. Ponieważ każde zdarzenie może zawierać wiele alertów, wybranie właściwości alertu automatycznie generuje dla każdej pętli, aby uwzględnić wszystkie alerty w zdarzeniu. |
| Encje | Tablica wszystkich jednostek alertu |
| Pola informacji o obszarze roboczym | Szczegółowe informacje o obszarze roboczym usługi Microsoft Sentinel, w którym utworzono zdarzenie, w tym: - Identyfikator subskrypcji - Nazwa obszaru roboczego — Identyfikator obszaru roboczego — Nazwa grupy zasobów |
Obsługiwane akcje usługi Microsoft Sentinel
Łącznik usługi Microsoft Sentinel, w związku z czym podręczniki usługi Microsoft Sentinel obsługują następujące akcje:
| Akcja | Zastosowanie |
|---|---|
| Alert — uzyskiwanie zdarzenia | W podręcznikach rozpoczynających się od wyzwalacza alertu. Przydatne w przypadku pobierania właściwości zdarzenia lub pobierania identyfikatora zdarzenia usługi ARM do użycia z zdarzeniem Aktualizacji lub Dodaj komentarz do akcji zdarzenia. |
| Uzyskiwanie zdarzenia | W przypadku wyzwalania podręcznika ze źródła zewnętrznego lub wyzwalacza innego niż Sentinel. Zidentyfikuj identyfikator zdarzenia usługi ARM. Pobiera właściwości i komentarze dotyczące zdarzenia. |
| Aktualizowanie zdarzenia | Aby zmienić stan zdarzenia (na przykład podczas zamykania zdarzenia), przypisz właściciela, dodaj lub usuń tag albo zmień ważność, tytuł lub opis. |
| Dodawanie komentarzy do zdarzenia | Aby wzbogacić incydent o informacje zebrane ze źródeł zewnętrznych; przeprowadzanie inspekcji akcji podjętych przez podręcznik w jednostkach; aby dostarczyć dodatkowe informacje przydatne do badania zdarzeń. |
| Jednostki — pobieranie <typu jednostki> | W podręcznikach, które działają na określonym typie jednostki (IP, konto, host, **adres URL lub plikHash), który jest znany w czasie tworzenia podręcznika, i musisz mieć możliwość analizowania go i pracy nad jego unikatowymi polami. |
Napiwek
Akcje Aktualizuj zdarzenie i Dodaj komentarz do zdarzenia wymagają identyfikatora zdarzenia usługi ARM.
Użyj akcji Alert — Pobierz zdarzenie wcześniej, aby uzyskać identyfikator zdarzenia usługi ARM.
Obsługiwane typy encji
Pole dynamiczne Jednostki to tablica obiektów JSON, z których każda reprezentuje jednostkę. Każdy typ jednostki ma swój własny schemat, w zależności od jego unikatowych właściwości.
Akcja "Jednostki — Pobierz <typ> jednostki" umożliwia:
- Filtruj tablicę jednostek według żądanego typu.
- Przeanalizuj określone pola tego typu, aby można było ich używać jako pól dynamicznych w dalszych akcjach.
Dane wejściowe to pole dynamiczne Jednostki .
Odpowiedź to tablica jednostek, w której właściwości specjalne są analizowane i mogą być używane bezpośrednio w pętli For each .
Obecnie obsługiwane typy jednostek obejmują:
Na poniższej ilustracji przedstawiono przykład dostępnych akcji dla jednostek:
W przypadku innych typów jednostek można osiągnąć podobne funkcje przy użyciu wbudowanych akcji usługi Logic Apps:
Filtruj tablicę jednostek według żądanego typu przy użyciu funkcji Filter Array.
Przeanalizuj określone pola tego typu, aby można je było używać jako pól dynamicznych w dalszych akcjach przy użyciu analizowania kodu JSON.
Powiązana zawartość
Aby uzyskać więcej informacji, zobacz: