Автоматизация реагирования на угрозы с помощью сборников схем в Microsoft Sentinel

  • Статья
  • Применяется к:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Эта статья содержит сведения о том, что такое сборники схем Microsoft Sentinel и как их использовать для реализации операций оркестрации, автоматизации и реагирования системы безопасности (SOAR), чтобы достичь лучших результатов, сэкономив время и ресурсы.

Внимание

Microsoft Sentinel доступен в рамках общедоступной предварительной версии для единой платформы операций безопасности на портале Microsoft Defender. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Что такое сборник схем?

Аналитики SOC обычно переполнены оповещениями системы безопасности и инцидентами на регулярной основе, настолько больших, что доступные сотрудники перегружены. В результате этого очень часто многие оповещения игнорируются, а многие инциденты не анализируются, из-за чего организация остается уязвимой для атак, которые не были замечены.

Многие (если не большинство) эти оповещения и инциденты подчиняются повторяющимся шаблонам, к которым можно применить определенные наборы действий по исправлению. Аналитики также поставлены перед основными задачами по исправлению и расследованию инцидентов, которые они управляют решением. В той степени, что эти действия могут быть автоматизированы, SOC может быть гораздо более продуктивным и эффективным, что позволяет аналитикам тратить больше времени и энергии на расследование.

Сборник схем — это коллекция этих действий по исправлению, которые вы выполняете из Microsoft Sentinel в качестве подпрограммы, чтобы автоматизировать и оркестрировать ответы на угрозы. Его можно запустить двумя способами:

  • Вручную по запросу в определенной сущности или оповещении
  • Автоматически в ответ на определенные оповещения или инциденты при активации правила автоматизации.

Например, если учетная запись и компьютер скомпрометированы, сборник схем может изолировать компьютер от сети и заблокировать учетную запись до момента получения уведомления об инциденте центром информационной безопасности.

Хотя вкладка "Активные сборники схем" на странице автоматизации отображает все активные сборники схем, доступные в любой выбранной подписке, по умолчанию сборник схем можно использовать только в пределах подписки, к которой она принадлежит, если только вы не предоставьте пользователю Microsoft Sentinel разрешения на группу ресурсов сборника схем.

После подключения к единой платформе операций безопасности на вкладке "Активные сборники схем" отображается предварительно определенный фильтр с подпиской подключенной рабочей области. В портал Azure добавьте данные для других подписок с помощью фильтра подписки Azure.

Шаблоны сборников схем

Шаблон сборника схем — это готовый, тестируемый и готовый рабочий процесс, который можно настроить в соответствии с вашими потребностями. Шаблон также может служить как справочник с рекомендациями при разработке сборника схем с нуля или как источник идей для новых сценариев автоматизации.

Шаблоны сборников схем не доступны как сами сборники схем. Из них создается сборник схем (редактируемая копия шаблона).

Шаблоны сборников схем можно получить из следующих источников:

  • На странице автоматизации на вкладке "Шаблоны сборников схем" перечислены установленные шаблоны сборников схем. Из одного шаблона можно создать несколько активных сборников схем.

    При публикации новой версии шаблона активные сборники схем, созданные на вкладке "Активные сборники схем", отображаются на вкладке "Активные сборники схем" , показывающую, что обновление доступно.

  • Шаблоны сборников схем доступны как часть решений продуктов или автономного содержимого, устанавливаемого на странице Центра контента в Microsoft Sentinel. Дополнительные сведения см. в статье о содержимом и решениях и решениях Microsoft Sentinel и управлении ими, а также для управления содержимым Microsoft Sentinel.

  • Репозиторий GitHub Microsoft Sentinel содержит множество шаблонов сборников схем. Их можно развернуть в подписке Azure, нажав кнопку Развернуть в Azure.

С технической точки зрения шаблон сборника схем — это шаблон ARM, состоящий из нескольких ресурсов: рабочего процесса Azure Logic Apps и подключения API для каждого задействованного подключения.

Внимание

Шаблоны сборников схем сейчас находятся на этапе предварительной версии. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.

Основные понятия Azure Logic Apps

Сборники схем в Microsoft Sentinel основаны на рабочих процессах, встроенных в Azure Logic Apps — облачную службу, которая помогает планировать, автоматизировать и оркестрировать задачи и рабочие процессы в корпоративных системах. Это означает, что сборники схем могут пользоваться всеми преимуществами и возможностями встроенных шаблонов в Azure Logic Apps.

Примечание.

Azure Logic Apps создает отдельные ресурсы, поэтому могут применяться дополнительные расходы. Дополнительные сведения см. на странице цен Azure Logic Apps.

Azure Logic Apps взаимодействует с другими системами и службами с помощью соединителей. Ниже приведено краткое описание соединителей и некоторые их важные атрибуты.

  • Управляемый соединитель: набор действий и триггеров, которые обтекают вызовы API к конкретному продукту или службе. Azure Logic Apps предлагает сотни соединителей для взаимодействия со службами Майкрософт и сторонних разработчиков. Дополнительные сведения см. в статье о соединителях Azure Logic Apps и их документации

  • Настраиваемый соединитель: может потребоваться взаимодействовать со службами, которые недоступны в качестве предварительно созданных соединителей. В таких случаях следует применять пользовательские соединители. Вы можете создавать (и даже совместно использовать) соединители и определять для них собственные триггеры и действия. Дополнительные сведения см. в статье "Создание собственных пользовательских соединителей Azure Logic Apps".

  • Соединитель Microsoft Sentinel: чтобы создать сборники схем, взаимодействующие с Microsoft Sentinel, используйте соединитель Microsoft Sentinel. Дополнительные сведения см. в документации по соединителю Microsoft Sentinel.

  • Триггер: компонент соединителя, который запускает рабочий процесс, в данном случае сборник схем. Триггер Microsoft Sentinel определяет схему, которую сборник схем ожидает получать при активации. В настоящее время соединитель Microsoft Sentinel имеет три триггера:

    • Триггер оповещения: сборник схем получает оповещение в качестве входных данных.
    • Триггер сущности (предварительная версия): сборник схем получает сущность в качестве входных данных.
    • Триггер инцидента: сборник схем получает инцидент в качестве входных данных, а также все включенные оповещения и сущности.

  • Действия — это все шаги, выполняемые после срабатывания триггера. Их можно упорядочить последовательно, параллельно или с помощью таблицы сложных условий.

  • Динамические поля — временные поля, определяемые выходной схемой триггеров и действий, заполняемые фактическими выходными данными, которые можно использовать в следующих действиях.

Типы приложений логики

Microsoft Sentinel теперь поддерживает следующие типы ресурсов приложения логики:

  • Использование, которое выполняется в мультитенантных Azure Logic Apps и использует классический исходный модуль Azure Logic Apps.
  • Стандартная, которая выполняется в Azure Logic Apps с одним клиентом и использует обновленный механизм Azure Logic Apps.

Тип приложения логики "Стандартный " обеспечивает более высокую производительность, фиксированные цены, несколько возможностей рабочего процесса, упрощение управления подключениями API, собственные сетевые возможности, такие как поддержка виртуальных сетей и частных конечных точек (см. ниже), встроенные функции CI/CD, улучшенная интеграция Visual Studio Code, обновленный конструктор рабочих процессов и многое другое.

Чтобы использовать эту версию приложения логики, создайте новые стандартные сборники схем в Microsoft Sentinel (см. примечание ниже). Эти сборники схем можно использовать так же, как и в сборниках схем потребления:

  • Присоединяйте их к правилам автоматизации и (или) правилам аналитики.
  • Запускайте их по запросу, как из инцидентов, так и из предупреждений.
  • Управляйте ими с помощью вкладки "Активные сборники схем".

Примечание.

  • Стандартные рабочие процессы в настоящее время не поддерживают шаблоны сборников схем, что означает, что вы не можете создать сборник схем на основе стандартных рабочих процессов непосредственно в Microsoft Sentinel. Вместо этого необходимо создать рабочий процесс в Azure Logic Apps. После создания рабочего процесса он отображается как сборник схем в Microsoft Sentinel.

  • Стандартные рабочие процессы приложений логики поддерживают частные конечные точки, как упоминание выше, но Microsoft Sentinel требует определения политики ограничения доступа в приложениях логики для поддержки использования частных конечных точек в сборниках схем на основе стандартных рабочих процессов.

    Если политика ограничений доступа не определена, рабочие процессы с частными конечными точками по-прежнему могут отображаться и выбираться при выборе сборника схем из списка в Microsoft Sentinel (следует ли запускать вручную, добавлять в правило автоматизации или в коллекции сборников схем), и вы сможете выбрать их, но их выполнение завершится ошибкой.

  • Индикатор определяет стандартные рабочие процессы как отслеживание состояния или без отслеживания состояния. Microsoft Sentinel в настоящее время не поддерживает рабочие процессы без отслеживания состояния. Сведения о различиях между рабочими процессами с отслеживанием и без отслеживания состояния.

Существует множество различий между этими двумя типами ресурсов, некоторые из которых влияют на некоторые способы их использования в сборниках схем в Microsoft Sentinel. В таких случаях в документации будет указана необходимая информация. Дополнительные сведения см. в разделе "Различия в типах ресурсов и среде узла" в документации по Azure Logic Apps.

Требуемые разрешения

Чтобы предоставить команде SecOps возможность использовать Azure Logic Apps для создания и запуска сборников схем в Microsoft Sentinel, назначьте роли Azure команде по операциям безопасности или определенным пользователям в команде. Ниже описаны различные доступные роли и задачи, для выполнения которых их следует назначать.

Роли Azure для Azure Logic Apps

  • Участник приложения логики позволяет управлять приложениями логики и запускать сборники схем, однако не позволяет изменять доступ к ним (для этого требуется роль владельца).
  • Оператор приложений логики позволяет читать, включать и отключать приложения логики, однако не позволяет изменять или обновлять их.

Роли Azure для Microsoft Sentinel

  • Роль участника Microsoft Sentinel позволяет присоединить сборник схем к правилу аналитики или автоматизации.

  • Роль Реагирования Microsoft Sentinel позволяет получить доступ к инциденту для запуска сборника схем вручную. Но на самом деле запустить сборник схем, вам также нужно...

    • Роль оператора playbook Microsoft Sentinel позволяет запускать сборник схем вручную.
    • Роль Участник автоматизации Microsoft Sentinel позволяет использовать правила автоматизации для запуска сборников схем. Она не должена использоваться для других целей.

Подробнее

Процесс создания сборника схем

Варианты использования сборников схем

Платформа Azure Logic Apps предлагает сотни действий и триггеров, поэтому можно создать практически любой сценарий автоматизации. Microsoft Sentinel рекомендует начать со следующих сценариев SOC, для которых готовые шаблоны сборников схем доступны из поля:

Обогащение

Собирайте данные и подключайте их к инциденту для принятия более оптимальных решений.

Например:

Инцидент Microsoft Sentinel был создан на основе оповещения с помощью правила аналитики, создающего сущности IP-адресов.

Инцидент активирует правило автоматизации, которое запускает сборник схем путем выполнения следующих действий.

  • Выполните запуск при создании нового инцидента Microsoft Sentinel. Сущности, представленные в инциденте, хранятся в динамических полях триггера инцидента.

  • Для каждого IP-адреса выполните запрос к внешнему поставщику аналитики угроз, такому как Virus Total, для получения дополнительных данных.

  • Добавьте возвращенные данные и аналитические сведения в качестве комментариев инцидента.

Двунаправленная синхронизация

Сборники схем можно использовать для синхронизации инцидентов Microsoft Sentinel с другими системами отслеживания обращений.

Например:

Создайте правило автоматизации для всех операций создания инцидентов и подключите сборник схем, открывающий запрос в ServiceNow:

Оркестрация

Используйте платформу чата SOC для более оптимального управления очередью инцидентов.

Например:

Инцидент Microsoft Sentinel был создан на основе оповещения с помощью правила аналитики, создающего сущности имен пользователей и IP-адресов.

Инцидент активирует правило автоматизации, которое запускает сборник схем путем выполнения следующих действий.

  • Выполните запуск при создании нового инцидента Microsoft Sentinel.

  • Отправьте сообщение в ваш канал информационной безопасности в Microsoft Teams или Slack, чтобы убедиться, что ваши аналитики безопасности знают об инциденте.

  • Отправьте сообщение электронной почты со всей информацией об оповещении старшему сетевому администратору и администратору системы безопасности. Сообщение электронной почты будет содержать кнопки Блокировать и Игнорировать для пользователя.

  • Дождитесь получения ответа от администраторов, а затем продолжайте выполнение.

  • Если администраторы выбрали блокировку, отправьте команду брандмауэру, чтобы заблокировать IP-адрес в оповещении, а другой — идентификатору Microsoft Entra, чтобы отключить пользователя.

Response

Немедленно реагируйте на угрозы с минимальными зависимостями от пользователей.

Два примера:

Пример 1. Ответ на правило аналитики, указывающее скомпрометированного пользователя, как было обнаружено Защита идентификации Microsoft Entra:

  • Выполните запуск при создании нового инцидента Microsoft Sentinel.

  • Для каждой сущности пользователя в инциденте с подозрением на компрометацию выполните следующие действия.

    • Отправьте пользователю сообщение Teams и попросите его подтвердить, совершал ли он подозрительное действие.

    • Проверьте Защита идентификации Microsoft Entra, чтобы подтвердить состояние пользователя как скомпрометированное. Защита идентификации Microsoft Entra помечает пользователя как рискованного и применяет любую политику применения, уже настроенную, например, чтобы пользователь использовал MFA при следующем входе.

      Примечание.

      Это конкретное действие Microsoft Entra не инициирует никаких действий принудительного применения для пользователя, а также не инициирует любую конфигурацию политики принудительного применения. Он сообщает только Защита идентификации Microsoft Entra применять все уже определенные политики в соответствии с соответствующими параметрами. Любое принудительное применение полностью зависит от соответствующих политик, определенных в Защита идентификации Microsoft Entra.

Пример 2. Реагирование на правило аналитики, которое указывает на скомпрометированный компьютер, обнаруженный Microsoft Defender для конечной точки:

Ручной ответ во время исследования или во время охоты

Реагирование на угрозы в ходе активной расследовательской деятельности без выхода из контекста.

Благодаря новому триггеру сущности (теперь в предварительной версии) вы можете принять немедленные меры для отдельных субъектов угроз, обнаруженных во время расследования, один раз прямо из расследования. Этот параметр также доступен в контексте охоты на угрозы, не подключен к любому конкретному инциденту. Вы можете выбрать сущность в контексте и выполнить действия прямо там, сэкономить время и снизить сложность.

Ниже приведены действия, которые можно предпринять для сущностей с помощью этого типа сборника схем:

  • Блокировка скомпрометированного пользователя.
  • Блокировка трафика от вредоносного IP-адреса в брандмауэре.
  • Изоляция скомпрометированного узла в сети.
  • Добавление IP-адреса в список отслеживания безопасных и небезопасных адресов или во внешний CMDB.
  • Получение хэш-отчета из внешнего источника аналитики угроз и добавление его в инцидент в качестве комментария.

Запуск сборника схем

Сборники схем можно запустить как вручную, так и автоматически.

Они предназначены для автоматического запуска, и в идеале именно так они должны выполняться в обычном ходе операций. Вы выполняете запуск сборника схем автоматически, определяя его в качестве автоматического ответа в правиле аналитики (для оповещений) или в качестве действия в правиле автоматизации (для инцидентов).

Однако существуют обстоятельства, при которых требуется запуск сборников схем вручную. Например:

  • При создании сборника схем необходимо протестировать его, прежде чем поместить его в рабочую среду.

  • Могут возникнуть ситуации, когда вам потребуется больше контроля и человеческих данных, когда и когда выполняется определенный сборник схем.

    Вы запускаете сборник схем вручную , открыв инцидент, оповещение или сущность и выбрав и выполнив соответствующий сборник схем, отображаемый там. В настоящее время эта функция общедоступна для оповещений и в предварительной версии для инцидентов и сущностей.

Задание автоматического ответа

Благодаря полной автоматизации подпрограмм реагирования для повторяющихся типов инцидентов и оповещений команды информационной безопасности смогут значительно сократить рабочую нагрузку и сосредоточиться на уникальных инцидентах и оповещениях, анализе шаблонов, поиске угроз и т. д.

Задание автоматического ответа означает, что при каждой активации правила аналитики в дополнение к созданию оповещения правило будет запускать сборник схем, который в качестве входных данных будет получать оповещение, созданное правилом.

Если оповещение создает инцидент, инцидент активирует правило автоматизации, которое может в свою очередь запустить сборник схем, который будет получать в качестве входных данных инцидент, созданный оповещением.

Автоматическое реагирование на создание оповещений

Сборники схем, которые активируются при создании оповещений и получают оповещения в качестве входных данных (первый шаг — "оповещение Microsoft Sentinel"), следует подключить к правилу аналитики:

  1. Измените правило аналитики, создающее оповещение, для которого необходимо определить автоматический ответ.

  2. В разделе Автоматизация оповещений на вкладке Автоматический ответ выберите один или несколько сборников схем, которые будут активироваться этим правилом аналитики при создании оповещения.

Автоматическое реагирование на создание инцидентов

Для сборников схем, которые активируются при создании инцидента и получают инциденты в качестве входных данных (первый шаг — "инцидент Microsoft Sentinel"), создайте правило автоматизации и определите в нем действие Запустить сборник схем. Это можно сделать двумя способами.

  • Измените правило аналитики, создающее инцидент, для которого необходимо определить автоматический ответ. В разделе Автоматизация инцидентов на вкладке Автоматический ответ создайте правило автоматизации. Будет создан автоматический ответ только для этого правила аналитики.

  • На вкладке "Правила автоматизации" на странице автоматизации создайте новое правило автоматизации и укажите соответствующие условия и необходимые действия. Это правило автоматизации будет применяться ко всем правилам аналитики, удовлетворяющим заданным условиям.

    Примечание.

    Для работы с инцидентом Microsoft Sentinel требуются разрешения на запуск активируемых инцидентом сборников схем.

    Для запуска сборника схем на основе триггера инцидента (вручную или с помощью правила автоматизации) Microsoft Sentinel использует учетную запись службы, специально предназначенную для этого. Использование этой учетной записи (в отличие от учетной записи пользователя) повышает уровень безопасности службы и включает API правил автоматизации для поддержки вариантов использования CI/CD.

    Этой учетной записи необходимо предоставить явные разрешения (в виде роли участника автоматизации Microsoft Sentinel) в группе ресурсов, в которой находится сборник схем. На этом этапе вы сможете запускать в этой группе ресурсов любые сборники схем — либо вручную, либо из любого правила автоматизации.

    При добавлении действия Запустить сборник схем в правило автоматизации появится раскрывающийся список сборников схем на выбор. Сборники схем, на которые у Microsoft Sentinel нет разрешений, будут отображаться как недоступные (неактивные). Чтобы немедленно предоставить разрешение Microsoft Sentinel, выберите ссылку Управление разрешениями сборника схем.

    В сценарии с несколькими клиентами (Lighthouse) необходимо определить разрешения для клиента, на котором находится сборник схем, даже если правило автоматизации, вызывающее сборник схем, находится на другом клиенте. Для этого необходимо иметь разрешения владельца для группы ресурсов сборника схем.

    Существует уникальный сценарий для поставщика управляемых услуг безопасности (MSSP), в котором поставщик услуг во время входа в собственный клиент создает правило автоматизации в рабочей области клиента с помощью Azure Lighthouse. Затем это правило автоматизации вызывает сборник схем, принадлежащий клиенту. В этом случае службе Microsoft Sentinel должны быть предоставлены разрешения для обоих клиентов. В клиенте заказчика они предоставляются на панели Управление разрешениями сборника схем, как в обычном сценарии с несколькими клиентами. Чтобы предоставить соответствующие разрешения в клиенте поставщика службы, необходимо добавить дополнительное делегирование Azure Lighthouse, которое предоставляет права доступа к приложению Azure Security Insights с ролью участника службы автоматизации Microsoft Sentinel в группе ресурсов, в которой находится сборник схем. Узнайте, как добавить это делегирование.

См. полные инструкции по созданию правил автоматизации.

Запуск сборника схем вручную

Полная автоматизация — это лучшее решение для таких задач, как обработка инцидентов, расследование и устранение рисков, так как вы комфортно автоматизаете. Сказав это, могут быть веские причины для своего рода гибридной автоматизации: использование сборников схем для консолидации строки действий против диапазона систем в одну команду, но запуск сборников схем только когда и где вы решите. Например:

  • Вы можете предпочесть, чтобы аналитики SOC имели больше человеческого ввода и контроля над некоторыми ситуациями.

  • Вам также может потребоваться, чтобы они могли принимать меры в отношении конкретных субъектов угроз (сущностей) по запросу, в ходе расследования или охоты на угрозы, в контексте без необходимости переключения на другой экран. (Эта возможность теперь доступна в предварительной версии.)

  • Может потребоваться, чтобы инженеры SOC писали сборники схем, которые работают над определенными сущностями (теперь в предварительной версии) и могут выполняться только вручную.

  • Возможно, вы хотели бы, чтобы инженеры могли тестировать сборники схем, которые они пишут, прежде чем полностью развертывать их в правилах автоматизации.

По этим и другим причинам Microsoft Sentinel позволяет запускать сборники схем вручную по запросу для сущностей и инцидентов (как в предварительной версии), так и для оповещений.

  • Чтобы запустить сборник схем по конкретному инциденту, выберите инцидент из сетки на странице "Инциденты ". В портал Azure выберите "Действия" в области сведений об инциденте и в контекстном меню выберите "Запустить сборник схем" (предварительная версия). На портале Defender выберите "Запустить сборник схем " (предварительная версия) непосредственно на странице сведений об инциденте.

    Откроется панель Run playbook on incident (Запуск сборника схем для инцидента).

  • Чтобы запустить сборник схем для оповещения, выберите инцидент, введите сведения об инциденте, а затем на вкладке Оповещения выберите оповещение и щелкните Просмотреть сборники схем.

    Откроется панель Сборники схем оповещения.

  • Чтобы запустить сборник схем для сущности, выберите сущность любым из следующих способов:

    • На вкладке "Сущности" инцидента выберите сущность из списка и щелкните ссылку run playbook (предварительная версия) в конце строки в списке.
    • На графике исследования выберите сущность и нажмите кнопку run playbook (предварительная версия) на боковой панели сущности.
    • В поведении сущностей выберите сущность и на странице сущности нажмите кнопку Run playbook (предварительная версия) на панели слева.

    Все они будут открывать сборник схем run на< панели типов> сущностей.

На любой из этих панелей вы увидите две вкладки: сборники схем и запуски.

  • На вкладке "Сборники схем" вы увидите список всех сборников схем, к которым у вас есть доступ, и которые используют соответствующий триггер — будь то инцидент Microsoft Sentinel, оповещение Microsoft Sentinel или сущность Microsoft Sentinel. У каждого сборника схем в списке есть кнопка Запустить, с помощью которой можно немедленно запустить сборник схем.
    Если вы хотите запустить активируемый инцидентом сборник схем, которого нет в списке, см. примечание о разрешениях Microsoft Sentinel выше.

  • На вкладке Запуски вы увидите список всех случаев, когда для выбранного инцидента или оповещения запускался какой-либо сборник схем. На отображение только что выполненной операции запуска в этом списке может потребоваться несколько секунд. При выборе определенного запуска откроется полный журнал выполнения в Azure Logic Apps.

Управление сборниками схем

На вкладке Активные сборники схем отображается список всех сборников схем, к которым у вас есть доступ. Сборники схем отфильтрованы по подпискам, которые в настоящее время отображаются в Azure. Фильтр подписок доступен в меню Каталог и подписка в глобальном заголовке страницы.

Щелкнув имя сборника схем, вы перейдете на главную страницу сборника схем в Azure Logic Apps. В столбце Состояние указывается, включен он или отключен.

В столбце План указывается, использует ли сборник схем тип ресурса Стандарт или Потребление в Azure Logic Apps. Список можно отфильтровать по типу плана, чтобы просмотреть только один тип сборника схем. Вы заметите, что сборники схем стандартного типа используют соглашение об именовании LogicApp/Workflow. Это соглашение отражает тот факт, что Стандартный сборник схем представляет собой рабочий процесс, который существует совместно с другими рабочими процессами в одном приложении логики.

Тип триггера представляет триггер Azure Logic Apps, который запускает этот сборник схем.

Тип триггера Указывает типы компонентов в сборнике схем.
Инцидент Microsoft Sentinel, оповещение или сущность Сборник схем запущен с одним из триггеров Sentinel (инцидент, оповещение, сущность)
Использование действия Microsoft Sentinel Сборник схем запускается с помощью триггера, не являющегося триггером Sentinel, но использует действие Microsoft Sentinel.
Другое Сборник схем не включает каких-либо компонентов Sentinel.
Не инициализирован Сборник схем создан, но не содержит компонентов (триггеров или действий).

На странице Azure Logic Apps сборника схем вы можете просмотреть дополнительные сведения о сборнике схем, включая журнал всех времен выполнения, а также результат (успешное выполнение или сбой и другие сведения). Вы также можете открыть конструктор рабочих процессов в Azure Logic Apps и изменить сборник схем напрямую, если у вас есть соответствующие разрешения.

Подключения API

Подключения API используются для подключения Azure Logic Apps к другим службам. Каждый раз при создании новой проверки подлинности для соединителя в Azure Logic Apps создается новый ресурс подключения API типа и содержит сведения, предоставляемые при настройке доступа к службе.

Чтобы просмотреть все подключения API, введите подключения API в поле поиска в заголовке портала Azure. Обратите внимание на следующие столбцы.

  • Отображаемое имя — понятное имя, назначаемое подключению при создании.
  • Состояние — указывает состояние подключения: ошибка, подключено.
  • Группа ресурсов — подключения API создаются в группе ресурсов ресурса сборника схем (Azure Logic Apps).

Другой способ просмотра подключений API — перейти на страницу "Все ресурсы " и отфильтровать его по типу подключения API. Таким образом можно выбрать и удалить несколько подключений одновременно, а также добавить к ним теги.

Чтобы изменить авторизацию существующего подключения, укажите ресурс подключения и выберите Изменить подключение API.

Следующие рекомендуемые сборники схем и другие аналогичные сборники схем доступны для вас в центре содержимого или в репозитории Microsoft Sentinel GitHub:

Следующие шаги