Manuais das Aplicações Lógicas do Azure para Microsoft Sentinel
Os playbooks do Microsoft Sentinel baseiam-se em fluxos de trabalho criados nas Aplicações Lógicas do Azure, um serviço na nuvem que o ajuda a agendar, automatizar e orquestrar tarefas e fluxos de trabalho entre sistemas em toda a empresa. Os playbooks do Microsoft Sentinel podem tirar partido de todo o poder e capacidades dos modelos incorporados nas Aplicações Lógicas do Azure.
Os Aplicativos Lógicos do Azure se comunicam com outros sistemas e serviços usando vários tipos de conectores. Use o conector do Microsoft Sentinel para criar playbooks que interagem com o Microsoft Sentinel.
Nota
As Aplicações Lógicas do Azure criam recursos separados, pelo que poderão ser aplicadas taxas adicionais. Para obter mais informações, visite a página de preços dos Aplicativos Lógicos do Azure.
Componentes do conector Microsoft Sentinel
No conector do Microsoft Sentinel, use gatilhos, ações e campos dinâmicos para definir o fluxo de trabalho do seu playbook:
| Componente | Description |
|---|---|
| Acionador | Um gatilho é o componente do conector que inicia um fluxo de trabalho, neste caso, um playbook. Um gatilho do Microsoft Sentinel define o esquema que o manual espera receber quando acionado. O conector Microsoft Sentinel suporta os seguintes tipos de gatilhos: - Gatilho de alerta: o manual recebe um alerta como entrada. - Gatilho de entidade: O manual recebe uma entidade como entrada. - Gatilho de incidente: O manual recebe um incidente como entrada, juntamente com todos os alertas e entidades incluídos. |
| Ações | As ações são todos os passos que ocorrem após o acionador. As ações podem ser organizadas sequencialmente, em paralelo ou em uma matriz de condições complexas. |
| Campos dinâmicos | Os campos dinâmicos são campos temporários que podem ser usados nas ações que seguem o gatilho. Os campos dinâmicos são determinados pelo esquema de saída de gatilhos e ações e são preenchidos por sua saída real. |
Os Aplicativos Lógicos do Azure também dão suporte a outros tipos de conectores, como conectores gerenciados, que envolvem chamadas de API, ou conectores personalizados. Para obter mais informações, consulte Conectores de Aplicativos Lógicos do Azure e sua documentação e Criar seus próprios conectores personalizados de Aplicativos Lógicos do Azure.
Tipos de aplicativos lógicos suportados
O Microsoft Sentinel suporta aplicativos lógicos de consumo e padrão:
Consumo: é executado em Aplicativos Lógicos do Azure multilocatários e usa o mecanismo clássico e original de Aplicativos Lógicos do Azure.
Padrão: é executado em Aplicativos Lógicos do Azure de locatário único e usa um mecanismo de Aplicativos Lógicos do Azure projetado mais recentemente.
Os recursos padrão oferecem maior desempenho, preços fixos, capacidade de fluxo de trabalho múltiplo, gerenciamento de conexões API mais fácil, recursos de rede integrados e recursos de CI/CD e muito mais. No entanto, a seguinte funcionalidade de playbook difere para aplicativos lógicos padrão no Microsoft Sentinel:
Funcionalidade Description Criação de playbooks Atualmente, os modelos de playbook não são suportados para fluxos de trabalho padrão, o que significa que você não pode usar um modelo para criar seu playbook diretamente no Microsoft Sentinel.
Em vez disso, crie seu fluxo de trabalho manualmente nos Aplicativos Lógicos do Azure para usá-lo como um manual no Microsoft Sentinel.Pontos Finais Privados Se você estiver usando fluxos de trabalho padrão com pontos de extremidade privados, o Microsoft Sentinel exigirá que você defina uma política de restrição de acesso em aplicativos lógicos para oferecer suporte a esses pontos de extremidade privados em quaisquer manuais baseados em fluxos de trabalho padrão.
Sem uma política de restrição de acesso, os fluxos de trabalho com pontos de extremidade privados ainda podem ser visíveis e selecionáveis no Microsoft Sentinel, mas executá-los falhará.Fluxos de trabalho sem estado Enquanto os fluxos de trabalho padrão oferecem suporte a fluxos de trabalho com e sem monitoração de estado nos Aplicativos Lógicos do Azure, o Microsoft Sentinel não oferece suporte a fluxos de trabalho sem monitoração de estado.
Para obter mais informações, consulte Fluxos de trabalho com e sem monitoração de estado.
Autenticações de playbook para o Microsoft Sentinel
Os Aplicativos Lógicos do Azure devem se conectar separadamente e autenticar independentemente a cada recurso, de cada tipo, com o qual interage, inclusive ao próprio Microsoft Sentinel. Os Aplicativos Lógicos do Azure usam conectores especializados para essa finalidade, com cada tipo de recurso tendo seu próprio conector.
Para obter mais informações, consulte Autenticar playbooks no Microsoft Sentinel.
Conteúdos relacionados
- Diferenças entre o tipo de recurso e o ambiente de host na documentação dos Aplicativos Lógicos do Azure
- Conector do Microsoft Sentinel para Aplicativos Lógicos do Azure na documentação dos Aplicativos Lógicos do Azure
- Criar e gerenciar playbooks do Microsoft Sentinel