Проверка подлинности сборников схем в Microsoft Sentinel

• Применяется к:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Сборники схем Microsoft Sentinel основаны на рабочих процессах, встроенных в Azure Logic Apps, облачной службе, которая помогает планировать, автоматизировать и оркестрировать задачи и рабочие процессы в разных системах по всей организации.

Azure Logic Apps должен подключаться отдельно и проходить проверку подлинности независимо от каждого ресурса, с каждым типом, с которым он взаимодействует, включая сам Microsoft Sentinel. В этих целях Logic Apps использует специальные соединители, причем каждый тип ресурса имеет собственный соединитель.

В этой статье описываются типы подключений и проверки подлинности, поддерживаемые соединителем Logic Apps Microsoft Sentinel. Сборники схем могут использовать поддерживаемые методы проверки подлинности для взаимодействия с Microsoft Sentinel и доступа к данным Microsoft Sentinel.

Необходимые компоненты

Перед этим рекомендуется ознакомиться со следующими статьями:

• Автоматизация реагирования на угрозы с помощью сборников схем Microsoft Sentinel
• Создание сборников схем Microsoft Sentinel и управление ими
• Сборники схем Azure Logic Apps для Microsoft Sentinel
• Поддерживаемые триггеры и действия в сборниках схем Microsoft Sentinel

Чтобы предоставить управляемому удостоверению доступ к другим ресурсам, таким как рабочая область Microsoft Sentinel, пользователь, вошедшего в систему, должен иметь роль с разрешениями на запись назначений ролей, например владельца или доступа пользователей Администратор istrator рабочей области Microsoft Sentinel.

Проверка подлинности

Соединитель Microsoft Sentinel в Logic Apps и сопутствующие триггеры и действия могут выполняться от имени любого удостоверения, имеющего необходимые разрешения (на чтение или запись) в соответствующей рабочей области. Соединитель поддерживает несколько типов удостоверений:

• Управляемое удостоверение (предварительная версия). Например, используйте этот метод для уменьшения количества удостоверений, которым требуется управлять.
• Субъект-служба (приложение Microsoft Entra). Зарегистрированные приложения обеспечивают расширенную возможность управления разрешениями, управления учетными данными и включения определенных ограничений на использование соединителя.
• Пользователь Microsoft Entra

Требуемые разрешения

Независимо от метода проверки подлинности, для использования различных компонентов соединителя Microsoft Sentinel требуются следующие разрешения. Действия записи включают такие действия, как обновление инцидентов или добавление комментария.

Роли	Использование триггеров	Использование действий "Чтение"	Использование действий "Запись"
Средство чтения Microsoft Sentinel	✓	✓	-
Microsoft Sentinel Отвечающее устройство/Участник	✓	✓	✓

Дополнительные сведения см. в разделе "Роли и разрешения" в предварительных требованиях к сборнику схем Microsoft Sentinel и Microsoft Sentinel.

Аутентификация на основе управляемого удостоверения

Аутентификация в качестве управляемого удостоверения позволяет предоставлять разрешения непосредственно в сборник схем, который является ресурсом рабочего процесса приложения логики. Действия соединителя Microsoft Sentinel, выполняемые сборником схем, затем работают от имени сборника схем, как если бы он был независимым объектом с собственными разрешениями в Microsoft Sentinel.

Для проверки подлинности с помощью управляемого удостоверения:

1. Включите управляемое удостоверение для ресурса рабочего процесса Logic Apps. Дополнительные сведения см. в разделе "Включить назначенное системой удостоверение" в портал Azure.

   Теперь приложение логики может использовать назначаемое системой удостоверение, которое зарегистрировано в идентификаторе Microsoft Entra и представлено идентификатором объекта.

2. Чтобы предоставить это удостоверение с доступом к рабочей области Microsoft Sentinel, выполните следующие действия.

   1. В меню Microsoft Sentinel выберите Параметры.

   2. Выберите вкладку Настройки рабочего пространства. В меню рабочего пространства выберите Контроль доступа (IAM).

   3. На панели кнопок вверху выберите Добавить и выберите Добавить назначение роли. Если параметр Добавить назначение ролей отключен, у вас нет разрешений на назначение ролей.

   4. В появившейся новой панели назначьте соответствующую роль.

      • Microsoft Sentinel Responder: сборник схем имеет шаги, которые обновляют инциденты или списки наблюдения
      • Microsoft Sentinel Reader: сборник схем получает только инциденты

   5. В разделе "Назначение доступа" выберите "Приложение логики".

   6. Выберите подписку, к которой принадлежит сборник схем, а затем выберите имя сборника схем.

   7. Выберите Сохранить.

   Дополнительные сведения см. в разделе "Предоставление удостоверению доступа к ресурсам".

3. Включите метод проверки подлинности на основе управляемого удостоверения в соединителе Logic Apps для Microsoft Sentinel:

   1. В конструкторе Logic Apps добавьте шаг соединителя Logic Apps для Microsoft Sentinel. Если соединитель уже включен для существующего подключения, выберите ссылку "Изменить подключение ". Например:

      

   2. В результирующем списке подключений нажмите кнопку "Добавить новую".

   3. Создайте подключение, выбрав Подключение с управляемым удостоверением (предварительная версия). Например:

      

   4. Введите имя для этого подключения, выберите управляемое удостоверение, назначаемое системой, и нажмите кнопку "Создать".

      

   5. Нажмите кнопку "Создать", чтобы завершить создание подключения.

Проверка подлинности в качестве субъекта-службы (приложение Microsoft Entra)

Создайте субъект-службу, зарегистрируя приложение Microsoft Entra. Рекомендуется использовать зарегистрированное приложение в качестве удостоверения соединителя вместо учетной записи пользователя.

Чтобы использовать собственное приложение с соединителем Microsoft Sentinel, выполните следующие действия.

1. Зарегистрируйте приложение с помощью идентификатора Microsoft Entra и создайте субъект-службу. Дополнительные сведения см. в статье "Создание приложения Microsoft Entra и субъекта-службы" с доступом к ресурсам.

2. Получение учетных данных для будущей проверки подлинности. На странице зарегистрированного приложения получите учетные данные приложения для входа:

   • Идентификатор клиента в разделе "Обзор"
   • Секрет клиента в разделе "Сертификаты и секреты"

3. Предоставьте приложению разрешения для работы с рабочей областью Microsoft Sentinel:

   1. В рабочей области Microsoft Sentinel перейдите к элементу управления Параметры Workspace Параметры>> Access (IAM)

   2. Выберите " Добавить назначение ролей" и выберите роль, которую вы хотите назначить приложению.

      Например, чтобы разрешить приложению выполнять действия, которые вносят изменения в рабочую область Microsoft Sentinel, например обновление инцидента, выберите роль участника Microsoft Sentinel. Для действий, которые считывают только данные, достаточно роли читателя Microsoft Sentinel.

   3. Найдите необходимое приложение и сохраните изменения.

      По умолчанию приложения Microsoft Entra не отображаются в доступных параметрах. Чтобы найти приложение, выполните поиск по его имени и выберите его.

4. Используйте учетные данные приложения для проверки подлинности в соединителе Microsoft Sentinel в Logic Apps.

   1. В конструкторе Logic Apps добавьте шаг соединителя Logic Apps для Microsoft Sentinel.

   2. Если соединитель уже включен для существующего подключения, выберите ссылку "Изменить подключение ". Например:

      

   3. В результирующем списке подключений выберите "Добавить новую", а затем выберите Подключение с субъектом-службой. Например:

      

   4. Введите необходимые значения параметров, доступные на странице сведений о зарегистрированном приложении:

      • клиент в разделе Обзор;
      • идентификатор клиента в разделе Обзор;
      • секрет клиента в разделе Сертификаты и секреты.

      Например:

      

   5. Нажмите кнопку "Создать", чтобы завершить создание подключения.

Проверка подлинности от имени пользователя Microsoft Entra

Чтобы сделать подключение пользователем Microsoft Entra, сделайте следующее:

1. В конструкторе Logic Apps добавьте шаг соединителя Logic Apps для Microsoft Sentinel. Если соединитель уже включен для существующего подключения, выберите ссылку "Изменить подключение ". Например:

   

2. В результирующем списке подключений нажмите кнопку "Добавить новую", а затем нажмите кнопку "Войти".

   

3. Введите учетные данные при появлении запроса и следуйте остальным инструкциям на экране, чтобы создать подключение.

Просмотр и изменение подключений API сборников схем

Подключения API используются для подключения Azure Logic Apps к другим службам, включая Microsoft Sentinel. Каждый раз при создании новой проверки подлинности для соединителя в Azure Logic Apps создается новый ресурс подключения API, содержащий сведения, предоставленные при настройке доступа к службе. Одно и то же подключение API можно использовать во всех действиях и триггерах Microsoft Sentinel в пределах одной группы ресурсов.

Чтобы просмотреть подключения API, выполните одно из следующих действий.

• В портал Azure найдите подключения API. Найдите подключение API для сборника схем, используя следующие данные:

  • Отображаемое имя: понятное имя, которое вы предоставляете подключению при каждом создании.
  • Состояние: состояние подключения API.
  • Группа ресурсов: подключения API для сборников схем Майкрософт создаются в группе ресурсов ресурса (Azure Logic Apps).

• В портал Azure просмотрите все ресурсы и отфильтруйте представление по соединителю API типа = . Этот метод позволяет одновременно выбирать, тегировать и удалять несколько подключений.

Чтобы изменить авторизацию существующего подключения, введите ресурс подключения и выберите "Изменить подключение API".

Связанный контент

Дополнительные сведения см. в разделе:

• Автоматизация реагирования на угрозы с помощью сборников схем в Microsoft Sentinel
• Создание сборников схем Microsoft Sentinel и управление ими
• Автоматизация и запуск сборников схем Microsoft Sentinel