Autenticar guias estratégicos para o Microsoft Sentinel
Da maneira como os Aplicativos Lógicos funcionam, eles precisam se conectar separadamente e autenticar de maneira independente a cada recurso de cada tipo com o qual interage, incluindo o próprio Microsoft Sentinel. Os Aplicativos Lógicos usam conectores especializados para essa finalidade, com cada tipo de recurso com seu próprio conector. Este documento explica os tipos de conexão e autenticação no Conector dos Aplicativos Lógicos do Microsoft Sentinel, que os guias estratégicos podem usar para interagir com o Microsoft Sentinel a fim de ter acesso às informações nas tabelas do seu workspace.
Este documento, juntamente com nosso guia para usar gatilhos e ações em guias estratégicos, é um complemento para nossa outra documentação do guia estratégico – Tutorial: usar guias estratégicos com regras de automação no Microsoft Sentinel.
Para obter uma introdução aos guias estratégicos, confira Automatizar a resposta contra ameaças com guias estratégicos no Microsoft Sentinel.
Para obter a especificação completa do conector do Microsoft Sentinel, confira a Documentação do conector de Aplicativos Lógicos.
Autenticação
O conector do Microsoft Sentinel nos Aplicativos Lógicos e seus gatilhos e ações de componente podem operar em nome de qualquer identidade que tenha as permissões necessárias (leitura e/ou gravação) no workspace relevante. O conector dá suporte a vários tipos de identidade:
Permissões necessárias
| Componentes das Funções / Conector | Gatilhos | Ações "Get" | Atualizar incidente, adicionar um comentário |
|---|---|---|---|
| Leitor do Microsoft Sentinel | ✓ | ✓ | ✗ |
| Respondente/do Microsoft Sentinel Colaborador | ✓ | ✓ | ✓ |
Saiba mais sobre permissões no Microsoft Sentinel.
Autenticar com identidade gerenciada
Esse método de autenticação permite que você conceda permissões diretamente ao guia estratégico (um recurso de fluxo de trabalho do Aplicativo Lógico), para que as ações do conector do Microsoft Sentinel executadas pelo guia estratégico operem no nome do guia estratégico, como se fosse um objeto independente com suas próprias permissões no Microsoft Sentinel. O uso desse método reduz o número de identidades que você precisa gerenciar.
Observação
Para dar acesso à identidade gerenciada a outros recursos (como seu espaço de trabalho do Microsoft Sentinel), o usuário conectado deve ter uma função com permissões para gravar atribuições de função, como proprietário ou administrador de acesso do usuário do workspace do Microsoft Sentinel.
Para autenticar com identidade gerenciada:
Habilite a identidade gerenciada no recurso de fluxo de trabalho dos Aplicativos Lógicos. Para resumir:
No menu do aplicativo lógico, em Configurações, selecione Identidade. Selecione Sistema Atribuído > Ativado > Salvar. Quando o Azure solicitar que você confirme, selecione Sim.
Seu aplicativo lógico agora pode usar a identidade atribuída pelo sistema, que é registrada com a ID do Microsoft Entra e é representada por uma ID de objeto.
Dê a essa identidade acesso ao workspace do Microsoft Sentinel:
No menu do Microsoft Sentinel, selecioneConfigurações.
Selecione a guia Configurações do workspace. No menu do workspace, selecione Controle de acesso (IAM) .
Na barra de botões na parte superior, selecione Adicionar e escolha Adicionar atribuição de função. Se a opção Adicionar atribuição de função estiver desativada, você não terá permissões para atribuir funções.
No novo painel que aparecer, atribua a função apropriada:
Função Situação Respondente do Microsoft Sentinel O guia estratégico tem etapas que atualizam incidentes ou watchlists Leitor do Microsoft Sentinel O guia estratégico só recebe incidentes Saiba mais sobre as funções disponíveis no Microsoft Sentinel.
Em Atribuir acesso a, escolha Aplicativo lógico.
Escolha a assinatura à qual o guia estratégico pertence e selecione o nome do guia estratégico.
Selecione Salvar.
Habilite o método de autenticação de identidade gerenciada no conector dos Aplicativos Lógicos do Microsoft Sentinel:
No designer dos Aplicativos Lógicos, adicione uma etapa de conector dos Aplicativos Lógicos do Microsoft Sentinel. Se o conector já estiver habilitado para uma conexão existente, selecione o link Alterar conexão.
Na lista de conexões resultante, selecione Adicionar nova na parte inferior.
Crie uma conexão selecionando Conexão com identidade gerenciada (versão prévia) .
Preencha um nome para essa conexão, selecione Identidade gerenciada atribuída pelo sistema e selecione Criar.
Autenticar como um usuário do Microsoft Entra
Para fazer uma conexão, selecione Entrar. Você será solicitado a fornecer as informações da sua conta. Depois disso, siga as instruções restantes na tela para criar uma conexão.
Autenticar como uma entidade de serviço (aplicativo Microsoft Entra)
As entidades de serviço podem ser criadas registrando um aplicativo do Microsoft Entra. É preferível usar um aplicativo registrado como a identidade do conector, em vez de usar uma conta de usuário, pois você terá mais capacidade de controlar permissões, gerenciar credenciais e habilitar determinadas limitações no uso do conector.
Veja como usar seu próprio aplicativo com o conector do Microsoft Sentinel:
Registre o aplicativo com a ID do Microsoft Entra e crie uma entidade de serviço. Saiba como.
Obtenha credenciais (para autenticação futura).
Na página do aplicativo registrado, obtenha as credenciais do aplicativo para se conectar:
- ID do cliente: em Visão geral
- Segredo do cliente, selecione Certificados e segredos.
Conceda permissões para o workspace do Microsoft Sentinel.
Nesta etapa, o aplicativo terá permissão para trabalhar com o workspace do Microsoft Sentinel.
No workspace do Microsoft Sentinel, acesse Configurações –>Configurações do Workspace –>Controle de acesso (IAM)
Selecione Adicionar atribuição de função.
Selecione a função que deseja atribuir ao aplicativo. Por exemplo, para permitir que o aplicativo execute ações que farão alterações no workspace do Sentinel, como atualizar um incidente, selecione a função Colaborador do Microsoft Sentinel. Para ações que só leem dados, a função Leitor do Microsoft Sentinel é suficiente. Saiba mais sobre as funções disponíveis no Microsoft Sentinel.
Encontre o aplicativo necessário e salve-o. Por padrão, os aplicativos do Microsoft Entra não são exibidos nas opções disponíveis. Para localizar seu aplicativo, pesquise o nome e selecione-o.
Authenticate
Nesta etapa, usamos as credenciais do aplicativo para autenticar o conector do Sentinel nos Aplicativos Lógicos.
Selecione Conectar-se à Entidade de Serviço.
Preencha os parâmetros necessários (podem ser encontrados na página do aplicativo registrado)
- Locatário: em Visão geral
- ID do cliente: em Visão geral
- Segredo do Cliente: em Certificados e segredos
Gerenciar suas conexões de API
Toda vez que uma autenticação é criada pela primeira vez, um novo recurso do Azure do tipo Conexão de API é criado. A mesma conexão de API pode ser usada em todas as ações e gatilhos do Microsoft Sentinel no mesmo grupo de recursos.
Todas as conexões de API podem ser encontradas na página Conexões de API (procure Conexões de API no portal do Azure).
Você também pode encontrá-las acessando a página Recursos e filtrando a exibição por tipo de Conexão de API. Dessa forma, você poderá selecionar várias conexões para operações em massa.
Para alterar a autorização de uma conexão existente, insira o recurso de conexão e selecione Editar conexão de API.
Próximas etapas
Neste artigo, você aprendeu sobre os diferentes métodos de autenticação de um guia estratégico baseado em Aplicativos Lógicos para o Microsoft Sentinel.
- Saiba mais sobre como usar gatilhos e ações em guias estratégicos.