Каталог содержимого SOAR для Microsoft Sentinel
Microsoft Sentinel предоставляет широкий спектр сборников схем и соединителей для операций SOAR (оркестрация, автоматизация и реагирование системы безопасности), что позволяет легко интегрировать Microsoft Sentinel с любым продуктом или службой в вашей среде.
Перечисленные ниже интеграции могут включать некоторые или все из следующих компонентов:
| Тип компонента | Характер использования | Вариант использования и инструкции по нему |
|---|---|---|
| Шаблоны сборника схем | Автоматизированный рабочий процесс | Используйте шаблоны сборника схем, чтобы развернуть готовые модули схем для автоматического реагирования на угрозы. Автоматизация реагирования на угрозы с помощью сборников схем в Microsoft Sentinel |
| Управляемый соединитель Azure Logic Apps | Стандартные блоки для создания сборников схем | Сборники схем представляют собой управляемые соединители для взаимодействия с сотнями служб корпорации Майкрософт и сторонних разработчиков. Полный список соединителей Logic Apps и документации для них |
| Настраиваемый соединитель Azure Logic Apps | Стандартные блоки для создания сборников схем | Вам может потребоваться взаимодействие со службами, для которых нет готовых соединителей. В таких случаях следует применять пользовательские соединители. Вы можете создавать (и даже совместно использовать) соединители и определять для них собственные триггеры и действия. |
Интеграция SOAR и отдельных компонентов описана в следующих ресурсах:
- Решения Microsoft Sentinel
- колонка службы автоматизации Microsoft Sentinel, вкладка "Шаблоны сборников схем";
- конструктор Logic Apps (для управляемых соединителей Logic Apps);
- репозиторий Microsoft Sentinel в GitHub.
Совет
- Многие интеграции SOAR могут быть развернуты как часть решения Microsoft Sentinel вместе с соответствующими соединителями данных, правилами аналитики и книгами. Дополнительные сведения см. в статье Каталог решений Microsoft Sentinel.
- Дополнительные интеграции предоставляются сообществом Microsoft Sentinel, они опубликованы в репозитории GitHub.
- Если у вас есть продукт или служба, которые отсутствуют в списке и в настоящее время не поддерживаются, отправьте запрос на функцию.
Вы также можете создать собственные средства, используя следующие средства:- Настраиваемый соединитель Logic Apps
- Функции Azure
- Вызовы Logic Apps по протоколу HTTP
AbuseIPDB
| Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
|---|---|---|---|
| AbuseIPDB (Доступно как решение) |
Настраиваемый соединитель Logic Apps Сборники схем |
Microsoft | Обогащение инцидентов по IP-данным, Отчет IP-адреса в базу данных IP-адресов злоупотреблений, Запрет списка аналитике угроз |
Atlassian
| Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
|---|---|---|---|
| Jira | Управляемый соединитель для Logic Apps Сборники схем |
Microsoft Сообщество |
Инциденты синхронизации |
AWS IAM
| Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
|---|---|---|---|
| AWS IAM (Доступно как решение) |
Настраиваемый соединитель Logic Apps Сборники схем |
Microsoft | Добавление тегов пользователей, Удаление ключей доступа, Обогащение инцидентов |
Контрольный по укреплению
| Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
|---|---|---|---|
| Контрольный по укреплению (Доступно как решение) |
Настраиваемый соединитель Logic Apps Сборники схем |
Microsoft | Получение результатов проверки URL-адреса |
Check Point
| Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
|---|---|---|---|
| Контрольная точка NGFW (Доступно как решение) |
Настраиваемый соединитель Logic Apps Сборники схем |
CheckPoint | |
Cisco
| Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
|---|---|---|---|
| Cisco ASA, Cisco Meraki |
Настраиваемый соединитель Logic Apps Сборники схем |
Сообщество | Блокировка IP-адресов |
| Cisco FirePower | Настраиваемый соединитель Logic Apps Сборники схем |
Сообщество | Блокировка IP-адресов и URL |
| Cisco ISE (Доступно как решение) |
Настраиваемый соединитель Logic Apps Сборники схем |
Microsoft | |
| Cisco Umbrella (Доступно как решение) |
Настраиваемый соединитель Logic Apps Сборники схем |
Microsoft | Блокировать домены, управление политиками, управление списками назначения, обогащение и расследование. |
Crowdstrike
| Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
|---|---|---|---|
| Защита конечных точек Falcon (Доступно как решение) |
Сборники схем | Microsoft | Обогащение конечных точек, изоляция конечных точек. |
Эластичные поиски
| Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
|---|---|---|---|
| Эластичные поиски (Доступно как решение) |
Сборники схем | Microsoft | Обогащение инцидента |
F5
| Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
|---|---|---|---|
| BIG-IP | Сборники схем | Сообщество | Блокировка IP-адресов и URL |
Forcepoint
| Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
|---|---|---|---|
| Forcepoint NGFW | Настраиваемый соединитель Logic Apps Сборники схем |
Сообщество | Блокировка IP-адресов и URL |
Fortinet
| Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
|---|---|---|---|
| FortiGate (Доступно как решение) |
Настраиваемый соединитель Logic Apps функции Azure; Сборники схем |
Microsoft | Блокировка IP-адресов и URL |
| Fortiweb Cloud (Доступно как решение) |
Настраиваемый соединитель Logic Apps функции Azure; Сборники схем |
Microsoft | Блокировать IP-адреса и URL-адреса, Обогащение инцидентов |
Freshdesk
| Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
|---|---|---|---|
| Freshdesk | Управляемый соединитель для Logic Apps | Инциденты синхронизации | |
GCP IAM
| Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
|---|---|---|---|
| GCP IAM (Доступно как решение) |
Настраиваемый соединитель Logic Apps Сборники схем |
Microsoft | Отключение учетной записи службы Отключение ключа учетной записи службы Обогащение сведений об учетной записи службы |
Have I Been Pwned
| Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
|---|---|---|---|
| Have I Been Pwned | Настраиваемый соединитель Logic Apps Сборники схем |
Сообщество | |
HYAS
| Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
|---|---|---|---|
| Аналитические сведения о HYAS (Доступно как решение) |
Управляемый соединитель для Logic Apps Сборники схем |
HYAS | |
IBM
| Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
|---|---|---|---|
| Устойчивость | Настраиваемый соединитель Logic Apps Сборники схем |
Сообщество | Инциденты синхронизации |
Api Cloud InsightsVM
| Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
|---|---|---|---|
| Api Cloud InsightsVM | Настраиваемый соединитель Logic Apps Сборники схем |
Microsoft | Обогащение инцидентов с информацией о ресурсах, Обогащение сведений об уязвимостях, Запуск проверки виртуальной машины |
Microsoft
| Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
|---|---|---|---|
| Azure DevOps | Управляемый соединитель для Logic Apps Сборники схем |
Microsoft Сообщество |
Инциденты синхронизации |
| Брандмауэр Azure (Доступно как решение) |
Настраиваемый соединитель Logic Apps Сборники схем |
Microsoft | Блокировка IP-адресов |
| Защита идентификации Microsoft Entra | Управляемый соединитель для Logic Apps Сборники схем |
Microsoft Сообщество |
Обогащение пользователей, исправление пользователей. |
| Microsoft Entra ID | Управляемый соединитель для Logic Apps Сборники схем |
Microsoft Сообщество |
Обогащение пользователей, исправление пользователей. |
| Обозреватель данных Azure | Управляемый соединитель для Logic Apps | Microsoft | Запросы и расследование |
| Сборщик данных Azure Log Analytics | Управляемый соединитель для Logic Apps | Microsoft Сообщество |
Запросы и расследование |
| Microsoft Defender для конечной точки | Управляемый соединитель для Logic Apps Сборники схем |
Microsoft Сообщество |
Обогащение конечных точек, изоляция конечных точек. |
| Microsoft Defender для Интернета вещей | Сборники схем | Microsoft | Оркестрация и уведомление |
| Microsoft Teams | Управляемый соединитель для Logic Apps Сборники схем |
Microsoft Сообщество |
Уведомления Сотрудничество создание ответов с участием человека. |
Minemeld
| Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
|---|---|---|---|
| Minemeld (Доступно как решение) |
Настраиваемый соединитель Logic Apps Сборники схем |
Microsoft | Создание индикатора, Обогащение инцидента |
Точка IP-адреса Neustar
| Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
|---|---|---|---|
| Точка IP-адреса Neustar (Доступно как решение) |
Сборники схем | Microsoft | Получение сведений о географическом IP-адресе |
Okta
| Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
|---|---|---|---|
| Okta | Управляемый соединитель для Logic Apps Сборники схем |
Сообщество | Обогащение пользователей, исправление пользователей. |
OpenCTI
| Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
|---|---|---|---|
| OpenCTI (Доступно как решение) |
Настраиваемый соединитель Logic Apps Сборники схем |
Microsoft | Создание индикатора, Обогащение инцидента, Получение потока индикатора, Импорт в Sentinel |
Пало-Альто
| Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
|---|---|---|---|
| Palo Alto PAN-OS (Доступно как решение) |
Настраиваемый соединитель Logic Apps Сборники схем |
Сообщество | Блокировка IP-адресов и URL |
| Wildfire | Настраиваемый соединитель Logic Apps Сборники схем |
Сообщество | Обогащение и ответы Filehash |
Proofpoint
| Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
|---|---|---|---|
| Proofpoint TAP (Доступно как решение) |
Настраиваемый соединитель Logic Apps Сборники схем |
Microsoft | Обогащение учетных записей |
Qualys VM
| Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
|---|---|---|---|
| Виртуальная машина Qualys (Доступно как решение) |
Настраиваемый соединитель Logic Apps Сборники схем |
Microsoft | Получение сведений о ресурсах, Получение ресурса по CVEID, Получение ресурса по порту Open, Запуск проверки виртуальной машины |
Recorded Future
| Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
|---|---|---|---|
| Аналитика Recorded Future | Управляемый соединитель для Logic Apps Сборники схем |
Recorded Future | Обогащение сущностей |
ReversingLabs
| Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
|---|---|---|---|
| Решение для обогащения файлов TitaniumCloud (Доступно как решение) |
Управляемый соединитель для Logic Apps Сборники схем |
ReversingLabs | Обогащение FileHash |
RiskIQ
| Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
|---|---|---|---|
| Цифровой след RiskIQ (Доступно как решение) |
Управляемый соединитель для Logic Apps Сборники схем |
RiskIQ | Обогащение сущностей |
| Пассивный итог RiskIQ | Управляемый соединитель для Logic Apps Сборники схем |
RiskIQ | Обогащение сущностей |
| Аналитика безопасности RiskIQ (Доступно как решение) |
Управляемый соединитель для Logic Apps Сборники схем |
RiskIQ | Обогащение сущностей |
ServiceNow
| Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
|---|---|---|---|
| ServiceNow | Управляемый соединитель для Logic Apps Сборники схем |
Microsoft Сообщество |
Инциденты синхронизации |
Slack
| Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
|---|---|---|---|
| Slack | Управляемый соединитель для Logic Apps Сборники схем |
Microsoft Сообщество |
Уведомления Совместная работа |
TheHive
| Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
|---|---|---|---|
| TheHive (Доступно как решение) |
Настраиваемый соединитель Logic Apps Сборники схем |
Microsoft | Создание оповещений, Создание регистра, Блокировка пользователя |
ThreatX WAF
| Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
|---|---|---|---|
| ThreatX WAF (Доступно как решение) |
Настраиваемый соединитель Logic Apps Сборники схем |
Microsoft | Блокировка IP-адреса и URL-адреса Обогащение инцидентов |
URLhaus
| Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
|---|---|---|---|
| URLhaus (Доступно как решение) |
Настраиваемый соединитель Logic Apps Сборники схем |
Microsoft | Проверьте узел и обогатите инцидент, Проверка хэша и обогащения инцидента, Проверка URL-адреса и обогащение инцидента |
Virus Total
| Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
|---|---|---|---|
| Общее число вирусов | Управляемый соединитель для Logic Apps Сборники схем |
Microsoft Сообщество |
Обогащение сущностей |
VMware
| Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
|---|---|---|---|
| Carbon Black Cloud (Доступно как решение) |
Настраиваемый соединитель Logic Apps Сборники схем |
Сообщество | Обогащение конечных точек, изоляция конечных точек. |
Zendesk
| Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
|---|---|---|---|
| Zendesk | Управляемый соединитель для Logic Apps Сборники схем |
Microsoft Сообщество |
Инциденты синхронизации |
Zscaler
| Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
|---|---|---|---|
| Zscaler | Сборники схем | Microsoft | Исправление URL-адресов, обогащение инцидентов. |
Следующие шаги
В этом документе вы получили сведения о содержимом SOAR для Microsoft Sentinel.
- Узнайте подробнее о решениях Microsoft Sentinel.
- Поиск и развертывание решений Microsoft Sentinel