Использование триггеров и действий в сборниках схем Microsoft Sentinel
В этом документе описываются типы триггеров и действий в соединителе Logic Apps Microsoft Sentinel, которые можно использовать для взаимодействия с Microsoft Sentinel и сведениями в таблицах вашей рабочей области. Далее вы узнаете, как получить конкретные типы сведений Microsoft Sentinel, которые, скорее всего, понадобятся вам.
Этот документ, а также наше руководство по проверке подлинности сборников схем в Microsoft Sentinel, являются дополнением к нашей другой документации по сборникам схем: Учебник. Использование сборников схем с правилами автоматизации в Microsoft Sentinel. Мы будем ссылаться на эти три документа.
Общие сведения о сборниках схем см. в разделе Автоматизация реагирования на угрозы с помощью сборников схем в Microsoft Sentinel.
Полную спецификацию соединителя Microsoft Sentinel см. в документации по соединителю Logic Apps.
Внимание
Microsoft Sentinel доступен в рамках общедоступной предварительной версии для единой платформы операций безопасности на портале Microsoft Defender. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.
Требуемые разрешения
| Роли и компоненты соединителя | Триггеры | Действия получения | Обновление инцидента Добавление примечания |
|---|---|---|---|
| Средство чтения Microsoft Sentinel | ✓ | ✓ | ✗ |
| Microsoft Sentinel Отвечающее устройство/Участник | ✓ | ✓ | ✓ |
Узнайте больше о разрешениях в Microsoft Sentinel.
Сводка по триггерам Microsoft Sentinel
Хотя соединитель Microsoft Sentinel можно использовать различными способами, компоненты соединителя можно разделить на три потока, каждый из которых активируется другим вхождением Microsoft Sentinel:
| Триггер (полное имя в конструкторе Logic Apps) | Сценарии использования | Известные ограничения |
|---|---|---|
| Инцидент Microsoft Sentinel (предварительная версия) | Рекомендуется для большинства сценариев автоматизации инцидентов. Сборник схем получает объекты инцидента, включая сущности и оповещения. С помощью этого триггера сборник схем можно подключить к правилу автоматизации, чтобы он срабатывал при создании (а теперь и при обновлении) инцидента в Microsoft Sentinel, после чего к инциденту можно применить все преимущества правил автоматизации. |
Сборники схем с этим триггером не поддерживают группирование предупреждений, то есть они получат только первое оповещение, отправленное для каждого инцидента. UPDATE: по состоянию на февраль 2023 г. для этого триггера поддерживается группирование оповещений. |
| Оповещение Microsoft Sentinel (предварительная версия) | Рекомендуется для сборников схем, которые должны выполняться в отношении оповещений вручную на портале Microsoft Sentinel, или для запланированных правил аналитики, которые не создают инциденты для своих оповещений. | Этот триггер не удастся использовать для автоматизации ответов на оповещения, сгенерированные правилами аналитики Microsoft Security. Сборники схем, где используется этот триггер, не удастся вызывать с помощью правил автоматизации. |
| Сущность Microsoft Sentinel (предварительная версия) | Для использования для сборников схем, которые необходимо запускать вручную в определенных сущностях из контекста исследования или охоты на угрозы. | Сборники схем, где используется этот триггер, не удастся вызывать с помощью правил автоматизации. |
Схемы, используемые этими потоками, не идентичны. Рекомендуется использовать поток триггера инцидента Microsoft Sentinel, который подходит в большинстве сценариев.
Динамические поля инцидента
Объект Инцидент, полученный из инцидента Microsoft Sentinel, включает следующие динамические поля:
Свойства инцидента (отображаются как "Инцидент: имя поля")
Оповещения (массив)
Свойства оповещения (отображаются как "Оповещение: имя поля")
При выборе свойства оповещения, например Оповещение: <имя свойства>, автоматически создается цикл for each, поскольку инцидент может включать несколько оповещений.
Сущности (массив всех сущностей оповещения)
Поля сведений о рабочей области (относятся к рабочей области Sentinel, в которой создан инцидент)
- ИД подписки
- имя рабочей области.
- Идентификатор рабочей области
- Имя группы ресурсов
Сводка по действиям Microsoft Sentinel
| Компонент | Сценарии использования |
|---|---|
| Оповещение — получить инцидент | В сборниках схем, запускаемом с триггером оповещения. Используется для получения свойств инцидента или идентификатора ARM инцидента для использования с действиями Обновить инцидент или Добавить комментарий к инциденту. |
| Получение инцидента | При активации сборника схем из внешнего источника или с помощью триггера, не относящегося к Sentinel. Идентификация с помощью ИД ARM инцидента. Извлекает свойства и комментарии инцидента. |
| Обновление инцидента | Чтобы изменить статус инцидента (например, при закрытии инцидента), назначьте владельца, добавьте или удалите тег либо измените его уровень серьезности, заголовок или описание. |
| Добавление комментариев к инциденту | Чтобы дополнить инцидент информацией, собранной из внешних источников; для аудита действий, выполняемых сборником схем в отношении сущностей; для предоставления дополнительной информации, полезной для исследования инцидентов. |
| Сущности — получить <тип сущности> | В сборниках схем для сущностей определенного типа (IP-адрес, Учетная запись, Узел, URL-адрес или FileHash), которые известны во время создания сборника схем. Также потребуется, чтобы вы могли проанализировать его и работать с его уникальными полями. |
Работа с инцидентами — примеры использования
Совет
Для выполнения действий Обновить инцидент и Добавить комментарий к инциденту требуется идентификатор ARM инцидента.
Следует заранее использовать действие Оповещение — получить инцидент, чтобы получить идентификатор ARM инцидента.
Обновление инцидента
Сборник схем запускается инцидентом Microsoft Sentinel
Сборник схем запускается оповещением Microsoft Sentinel
Использование сведений об инциденте
Базовый сборник схем для отправки сведений об инциденте по почте:
Сборник схем запускается инцидентом Microsoft Sentinel
Сборник схем запускается оповещением Microsoft Sentinel
Добавление комментария к инциденту
Сборник схем запускается инцидентом Microsoft Sentinel
Сборник схем запускается оповещением Microsoft Sentinel
Отключение пользователя
Сборник схем активируется сущностью Microsoft Sentinel
Сборники схем сущностей без идентификатора инцидента
Сборники схем, созданные с помощью триггера сущности, часто используют поле идентификатора ARM инцидента (например, чтобы обновить инцидент после принятия действий по сущности).
Если такой сборник схем активируется в контексте , не подключенном к инциденту (например, при поиске угроз), то не существует инцидента , идентификатор которого может заполнить это поле. В этом случае поле будет заполнено значением NULL.
В результате сборник схем может завершиться сбоем. Чтобы предотвратить этот сбой, рекомендуется создать условие, которое будет проверка для значения в поле идентификатора инцидента перед выполнением каких-либо действий и назначить другой набор действий, если поле имеет значение NULL, то есть если сборник схем не выполняется из инцидента.
Перед первым действием, ссылающимся на поле идентификатора ARM инцидента, добавьте шаг типа Condition.
Выберите поле "Выбор значения" и введите диалоговое окно "Добавить динамическое содержимое".
Выберите вкладку "Выражение" и функцию length(collection).
Выберите вкладку динамического содержимого и поле идентификатора ARM инцидента.
Проверьте результирующее выражение
length(triggerBody()?['IncidentArmID'])и нажмите кнопку "ОК".
Задайте для оператора и значения в условии значение "больше" и "0".
В кадре True добавьте действия, которые необходимо выполнить, если сборник схем выполняется из контекста инцидента.
В кадре False добавьте действия, которые необходимо выполнить, если сборник схем выполняется из контекста, отличного от инцидентов.
Работа с конкретными типами сущностей
Динамическое поле Сущности — это массив объектов JSON, каждый из которых представляет сущность. Каждый тип сущности имеет собственную схему в зависимости от его уникальных свойств.
Действие Сущности — получить<тип сущности> позволяет выполнять указанные ниже задачи.
- Фильтрация массива сущностей по запрошенному типу.
- Анализ конкретных полей этого типа, чтобы их можно было использовать в качестве динамических полей в дальнейших действиях.
Входными данными является значение в поле Сущности.
Ответ — это массив сущностей, в котором анализируются специальные свойства, доступные для использования непосредственно в цикле for each.
В настоящее время поддерживаются следующие типы сущностей.
Для других типов сущностей аналогичная функциональность может быть достигнута с помощью встроенных действий Logic Apps.
Фильтрация массива сущностей по запрошенному типу с помощью действия Фильтровать массив.
Анализ конкретных полей этого типа, чтобы их можно было использовать в качестве динамических полей в дальнейших действиях с помощью действия Анализировать JSON.
Работа с настраиваемыми сведениями
Динамическое поле Настраиваемые сведения об оповещении, доступное в триггере инцидента, представляет собой массив объектов JSON, каждый из которых представляет собой настраиваемые сведения об оповещении. Настраиваемые сведения, которые вы будете отзывать, представляют собой пары "ключ-значение". Они позволяют отображать сведения о событиях в оповещении, чтобы их можно было представить, отслеживать и анализировать как часть инцидента.
Поскольку это поле в оповещении является настраиваемым, его схема зависит от типа события. Необходимо предоставить данные из экземпляра этого события, чтобы создать схему, которая определит, как будет анализироваться поле настраиваемых сведений.
См. следующий пример.
В этих парах "ключ-значение" ключ (левый столбец) представляет настраиваемые поля, которые вы создаете, а значение (правый столбец) — поля из данных события, которые используются для заполнения настраиваемых полей.
Для создания схемы можно указать следующий код JSON. В коде имена ключей указываются в виде массивов, а значения (которые отображаются как фактические значения, а не столбец, содержащий значения) — в качестве элементов в массивах.
{ "FirstCustomField": [ "1", "2" ], "SecondCustomField": [ "a", "b" ] }
Добавьте новый шаг с помощью встроенного действия Анализировать JSON. В поле поиска можно ввести "анализировать json", чтобы найти его.
В списке Динамическое содержимое для триггера инцидента найдите и выберите пункт Настраиваемые сведения об оповещении.
Будет создан цикл for each, поскольку инцидент содержит массив оповещений.
Выберите пример полезных данных use для создания ссылки схемы .
Укажите пример полезной нагрузки. Пример полезных данных можно найти, выполнив поиск в Log Analytics для другого экземпляра этого оповещения, а также копирование объекта пользовательской информации (в разделе "Расширенные свойства"). Доступ к данным Log Analytics на странице "Журналы" на портал Azure или на странице расширенной охоты на портале Defender. На следующем снимке экрана мы использовали код JSON, показанный выше.
Настраиваемые поля готовы к использованию динамических полей типа Массив. Здесь можно увидеть массив и его элементы, как в схеме, так и в списке, который отображается в разделе Динамическое содержимое, как описано выше.
Следующие шаги
В этой статье вы узнали подробнее об использовании триггеров и действий в сборниках схем Microsoft Sentinel для реагирования на угрозы.
- Дополнительные сведения см. в статье об упреждающем обнаружении угроз с помощью Microsoft Sentinel.