Поддерживаемые триггеры и действия в сборниках схем Microsoft Sentinel
В этой статье описываются триггеры и действия, поддерживаемые соединителем Logic Apps Microsoft Sentinel. Используйте перечисленные триггеры и действия в сборниках схем Microsoft Sentinel для взаимодействия с данными Microsoft Sentinel.
Внимание
В настоящее время отмеченные функции доступны в предварительной версии. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.
Необходимые компоненты
Перед началом работы убедитесь, что у вас есть следующие разрешения Azure, необходимые для использования компонентов соединителя Microsoft Sentinel:
| Роль | Использование триггеров | Получение доступных действий | Обновление инцидента Добавление примечания |
|---|---|---|---|
| Средство чтения Microsoft Sentinel | ✓ | ✓ | - |
| Microsoft Sentinel Отвечающее устройство/Участник | ✓ | ✓ | ✓ |
Дополнительные сведения см. в статье "Роли и разрешения" в Microsoft Sentinel и предварительные требования для работы с сборниками схем Microsoft Sentinel.
Поддерживаемые триггеры Microsoft Sentinel
Соединитель Microsoft Sentinel и сборники схем Microsoft Sentinel поддерживают следующие триггеры:
Инцидент Microsoft Sentinel. Рекомендуется для большинства сценариев автоматизации инцидентов.
Сборник схем получает объекты инцидентов, включая как сущности, так и оповещения. Этот триггер позволяет подключить сборник схем к правилу автоматизации, которое можно активировать при создании или обновлении инцидента в Microsoft Sentinel, применяя все преимущества правил автоматизации к инциденту.
Оповещение Microsoft Sentinel (предварительная версия). Рекомендуется для сборников схем, которые должны выполняться вручную в оповещениях или для правил запланированной аналитики, которые не создают инциденты для их оповещений.
- Этот триггер нельзя использовать для автоматизации ответов на оповещения, созданные правилами аналитики безопасности Майкрософт.
- Сборники схем, использующие этот триггер, не могут вызываться правилами автоматизации.
Сущность Microsoft Sentinel. Рекомендуется использовать сборники схем, которые должны выполняться вручную в определенных сущностях из контекста исследования или охоты на угрозы. Сборники схем, использующие этот триггер, не могут вызываться правилами автоматизации.
Схемы, используемые этими потоками, не идентичны. Для большинства сценариев рекомендуется использовать поток триггера инцидента Microsoft Sentinel.
Динамические поля инцидента
Объект Инцидент, полученный из инцидента Microsoft Sentinel, включает следующие динамические поля:
| Имя поля | Description |
|---|---|
| Свойства инцидента | Отображается как инцидент: <имя поля> |
| Оповещения | Массив следующих свойств генерации оповещений, показанный как оповещение: <имя> поля. Так как каждый инцидент может включать несколько оповещений, выбор свойства оповещения автоматически создает для каждого цикла для покрытия всех оповещений в инциденте. |
| Сущности | Массив всех сущностей оповещения |
| Поля сведений о рабочей области | Сведения о рабочей области Microsoft Sentinel, в которой был создан инцидент, в том числе: — идентификатор подписки — имя рабочей области — идентификатор рабочей области — имя группы ресурсов |
Поддерживаемые действия Microsoft Sentinel
Соединитель Microsoft Sentinel и сборники схем Microsoft Sentinel поддерживают следующие действия:
| Действие | Сценарии использования |
|---|---|
| Оповещение — получить инцидент | В сборниках схем, запускаемом с триггером оповещения. Используется для получения свойств инцидента или идентификатора ARM инцидента для использования с действиями Обновить инцидент или Добавить комментарий к инциденту. |
| Получение инцидента | При активации сборника схем из внешнего источника или с помощью триггера, не относящегося к Sentinel. Идентификация с помощью ИД ARM инцидента. Извлекает свойства и комментарии инцидента. |
| Обновление инцидента | Чтобы изменить статус инцидента (например, при закрытии инцидента), назначьте владельца, добавьте или удалите тег либо измените его уровень серьезности, заголовок или описание. |
| Добавление комментариев к инциденту | Чтобы дополнить инцидент информацией, собранной из внешних источников; для аудита действий, выполняемых сборником схем в отношении сущностей; для предоставления дополнительной информации, полезной для исследования инцидентов. |
| Сущности — получить <тип сущности> | В сборниках схем, которые работают с определенным типом сущности (IP, account, Host, **URL или FileHash), известным во время создания сборника схем, и вам нужно иметь возможность анализировать его и работать с уникальными полями. |
Совет
Для выполнения действий Обновить инцидент и Добавить комментарий к инциденту требуется идентификатор ARM инцидента.
Следует заранее использовать действие Оповещение — получить инцидент, чтобы получить идентификатор ARM инцидента.
Поддерживаемые типы сущностей
Динамическое поле Сущности — это массив объектов JSON, каждый из которых представляет сущность. Каждый тип сущности имеет собственную схему в зависимости от его уникальных свойств.
Действие "Сущности — получение <типа> сущностей" позволяет:
- Фильтрация массива сущностей по запрошенному типу.
- Анализ конкретных полей этого типа, чтобы их можно было использовать в качестве динамических полей в дальнейших действиях.
Входными данными является значение в поле Сущности.
Ответ — это массив сущностей, в котором анализируются специальные свойства, доступные для использования непосредственно в цикле for each.
В настоящее время поддерживаются типы сущностей:
На следующем рисунке показан пример доступных действий для сущностей:
Для других типов сущностей аналогичная функциональность может быть достигнута с помощью встроенных действий Logic Apps.
Фильтрация массива сущностей по запрошенному типу с помощью действия Фильтровать массив.
Анализ конкретных полей этого типа, чтобы их можно было использовать в качестве динамических полей в дальнейших действиях с помощью действия Анализировать JSON.
Связанный контент
Дополнительные сведения см. в разделе: