Сборники схем Azure Logic Apps для Microsoft Sentinel
Сборники схем Microsoft Sentinel основаны на рабочих процессах, встроенных в Azure Logic Apps, облачной службе, которая помогает планировать, автоматизировать и оркестрировать задачи и рабочие процессы в разных системах по всей организации. Сборники схем Microsoft Sentinel могут воспользоваться всеми возможностями встроенных шаблонов в Azure Logic Apps.
Azure Logic Apps взаимодействует с другими системами и службами с помощью различных типов соединителей. Используйте соединитель Microsoft Sentinel для создания сборников схем, взаимодействующих с Microsoft Sentinel.
Примечание.
Azure Logic Apps создает отдельные ресурсы, поэтому могут применяться дополнительные расходы. Дополнительные сведения см. на странице цен Azure Logic Apps.
Компоненты соединителя Microsoft Sentinel
В соединителе Microsoft Sentinel используйте триггеры, действия и динамические поля для определения рабочего процесса сборника схем:
| Компонент | Description |
|---|---|
| Триггер | Триггер — это компонент соединителя, который запускает рабочий процесс, в данном случае сборник схем. Триггер Microsoft Sentinel определяет схему, которую сборник схем ожидает получения при активации. Соединитель Microsoft Sentinel поддерживает следующие типы триггеров: - Триггер оповещения: сборник схем получает оповещение в качестве входных данных. - Триггер сущности: сборник схем получает сущность в качестве входных данных. - Триггер инцидента: сборник схем получает инцидент в качестве входных данных, а также все включенные оповещения и сущности. |
| Действия | Действия — это все шаги, выполняемые после срабатывания триггера. Действия можно упорядочить последовательно, параллельно или в матрице сложных условий. |
| Динамические поля | Динамические поля — это временные поля, которые можно использовать в действиях, которые следуют за триггером. Динамические поля определяются выходной схемой триггеров и действий и заполняются фактическими выходными данными. |
Azure Logic Apps также поддерживает другие типы соединителей, такие как управляемые соединители, которые обтекают вызовами API или пользовательскими соединителями. Дополнительные сведения см. в статьях соединителей Azure Logic Apps и их документации и создании собственных пользовательских соединителей Azure Logic Apps.
Поддерживаемые типы приложений логики
Microsoft Sentinel поддерживает приложения логики "Потребление" и "Стандартный":
Потребление: выполняется в мультитенантных Azure Logic Apps и использует классический исходный модуль Azure Logic Apps.
Стандартная версия. Выполняется в Azure Logic Apps с одним клиентом и использует недавно разработанный механизм Azure Logic Apps.
Стандартные ресурсы обеспечивают более высокую производительность, фиксированные цены, несколько возможностей рабочего процесса, упрощение управления подключениями API, встроенные сетевые возможности и функции CI/CD и многое другое. Однако следующие функции сборника схем отличаются для приложений логики "Стандартный" в Microsoft Sentinel:
Возможность Description Создание сборников схем Шаблоны сборников схем в настоящее время не поддерживаются для стандартных рабочих процессов, что означает, что вы не можете использовать шаблон для создания сборника схем непосредственно в Microsoft Sentinel.
Вместо этого создайте рабочий процесс вручную в Azure Logic Apps, чтобы использовать его в качестве сборника схем в Microsoft Sentinel.Частные конечные точки Если вы используете стандартные рабочие процессы с частными конечными точками, Microsoft Sentinel требует определить политику ограничения доступа в приложениях логики для поддержки этих частных конечных точек в любых сборниках схем на основе стандартных рабочих процессов.
Без политики ограничений доступа рабочие процессы с частными конечными точками по-прежнему могут отображаться и выбираться в Microsoft Sentinel, но выполнение их завершится ошибкой.Рабочие процессы без отслеживания состояния Хотя рабочие процессы уровня "Стандартный" поддерживают как отслеживание состояния, так и без отслеживания состояния в Azure Logic Apps, Microsoft Sentinel не поддерживает рабочие процессы без отслеживания состояния.
Дополнительные сведения см. в рабочих процессах с отслеживанием состояния и без отслеживания состояния.
Проверка подлинности сборников схем в Microsoft Sentinel
Azure Logic Apps должен подключаться отдельно и проходить проверку подлинности независимо от каждого ресурса, с каждым типом, с которым он взаимодействует, включая сам Microsoft Sentinel. Azure Logic Apps использует специализированные соединители для этой цели, при этом каждый тип ресурса имеет собственный соединитель.
Дополнительные сведения см. в сборниках схем проверки подлинности в Microsoft Sentinel.
Связанный контент
- Различия между типами ресурсов и средой узла в документации по Azure Logic Apps
- Соединитель Microsoft Sentinel для Azure Logic Apps в документации по Azure Logic Apps
- Создание сборников схем Microsoft Sentinel и управление ими