Guias estratégicos dos Aplicativos Lógicos do Azure para Microsoft Sentinel
Os guias estratégicos no Microsoft Sentinel se baseiam em fluxos de trabalho criados nos Aplicativos Lógicos do Azure, um serviço de nuvem que ajuda a agendar, automatizar e orquestrar tarefas e fluxos de trabalho entre os sistemas de toda a empresa. Os guias estratégicos do Microsoft Sentinel podem aproveitar toda a capacidade e a personalização dos modelos internos dos Aplicativos Lógicos do Azure.
Os Aplicativos Lógicos do Azure se comunica com outros sistemas e serviços usando vários tipos de conectores. Use o conector do Microsoft Sentinel para criar guias estratégicos que interagem com o Microsoft Sentinel.
Observação
Os Aplicativos Lógicos do Azure criam recursos separados, portanto, cobranças adicionais podem ser aplicadas. Para obter mais informações, visite a página de preços dos Aplicativos Lógicos do Azure.
Componentes do conector do Microsoft Sentinel
No conector do Microsoft Sentinel, use gatilhos, ações e campos dinâmicos para definir o fluxo de trabalho do guia estratégico:
| Componente | Descrição |
|---|---|
| Gatilho | Um gatilho é o componente do conector que inicia um fluxo de trabalho, nesse caso, um guia estratégico. Um gatilho do Microsoft Sentinel define o esquema que o guia estratégico espera receber quando disparado. O conector do Microsoft Sentinel dá suporte aos seguintes tipos de gatilhos: - Gatilho de alerta: o guia estratégico recebe o alerta como entrada. - Gatilho de entidade: O playbook recebe uma entidade como entrada. - Gatilho de incidente: o guia estratégico recebe um incidente como entrada, juntamente com todos os alertas e entidades incluídos. |
| Ações | Ações são todas as etapas que ocorrem após o gatilho. As ações podem ser organizadas sequencialmente, em paralelo ou em uma matriz de condições complexas. |
| Campos dinâmicos | Os campos dinâmicos são campos temporários que podem ser usados nas ações que seguem o gatilho. Os campos dinâmicos são determinados pelo esquema de saída de gatilhos e ações e são preenchidos pela saída real. |
Os Aplicativos Lógicos do Azure também dão suporte a outros tipos de conectores, como conectores gerenciados, que encapsulam chamadas à API ou conectores personalizados. Para obter mais informações, confira Conectores dos Aplicativos Lógicos do Azure e a respectiva documentação e Criar seus conectores personalizados dos Aplicativos Lógicos do Azure.
Tipos de aplicativo lógico com suporte
O Microsoft Sentinel dá suporte aos aplicativos lógicos de Consumo e Standard:
Consumo: é executado em Aplicativos Lógicos do Azure multilocatários e usa o mecanismo clássico e original dos Aplicativos Lógicos do Azure.
Standard: é executado em Aplicativos Lógicos do Azure de locatário único e usa um mecanismos dos Aplicativos Lógicos do Azure projetado mais recentemente.
Os recursos padrão oferecem maior desempenho, preços fixos, vários recursos de fluxo de trabalho, gerenciamento de conexões de API mais fácil, funcionalidades internas de rede, recursos de CI/CD, entre outros. No entanto, a funcionalidade de guia estratégico a seguir é diferente dos aplicativos lógicos Standard no Microsoft Sentinel:
Recurso Descrição Como criar guias estratégicos Atualmente, não há suporte para modelos de guia estratégico nos fluxos de trabalho Standard, o que significa que você não pode usar um modelo para criar seu guia estratégico diretamente no Microsoft Sentinel.
Em vez disso, crie seu fluxo de trabalho manualmente nos Aplicativos Lógicos do Azure para usá-lo como um guia estratégico no Microsoft Sentinel.Pontos de extremidade privados Se você estiver usando fluxos de trabalho Standard com pontos de extremidade privados, o Microsoft Sentinel exigirá que você defina uma política de restrição de acesso em aplicativos lógicos para dar suporte a esses pontos de extremidade privados em todos os guias estratégicos baseados em fluxos de trabalho Standard.
Sem uma política de restrição de acesso, os fluxos de trabalho com pontos de extremidade privados ainda podem estar visíveis e serem selecionados no Microsoft Sentinel, mas ocorrerá uma falha na execução deles.Fluxos de trabalho sem estado Embora os fluxos de trabalho Standard deem suporte a fluxos de trabalho com estado e sem estado nos Aplicativos Lógicos do Azure, o Microsoft Sentinel não dá suporte a fluxos de trabalho sem estado.
Para obter mais informações, confira Fluxos de trabalho com estado e sem estado.
Autenticações de guia estratégico no Microsoft Sentinel
Os Aplicativos Lógicos do Azure precisam se conectar separadamente e se autenticar de maneira independente em relação a cada recurso, de cada tipo, com o qual interagem, incluindo o próprio Microsoft Sentinel. Os Aplicativos Lógicos do Azure usam conectores especializados para essa finalidade, com cada tipo de recurso com seu próprio conector.
Para obter mais informações, confira Autenticar guias estratégicos no Microsoft Sentinel.
Conteúdo relacionado
- Diferenças de ambiente de host e tipo de recurso na documentação dos Aplicativos Lógicos do Azure
- Conector do Microsoft Sentinel para Aplicativos Lógicos do Azure na documentação dos Aplicativos Lógicos do Azure
- Criar e gerenciar guias estratégicos do Microsoft Sentinel