Каталог содержимого SOAR для Microsoft Sentinel
Microsoft Sentinel предоставляет широкий спектр сборников схем и соединителей для операций SOAR (оркестрация, автоматизация и реагирование системы безопасности), что позволяет легко интегрировать Microsoft Sentinel с любым продуктом или службой в вашей среде.
Перечисленные ниже интеграции могут включать некоторые или все из следующих компонентов:
Тип компонента | Характер использования | Вариант использования и инструкции по нему |
---|---|---|
Шаблоны сборника схем | Автоматизированный рабочий процесс | Используйте шаблоны сборника схем, чтобы развернуть готовые модули схем для автоматического реагирования на угрозы. Автоматизация реагирования на угрозы с помощью сборников схем в Microsoft Sentinel |
Управляемый соединитель Azure Logic Apps | Стандартные блоки для создания сборников схем | Сборники схем представляют собой управляемые соединители для взаимодействия с сотнями служб корпорации Майкрософт и сторонних разработчиков. Полный список соединителей Logic Apps и документации для них |
Настраиваемый соединитель Azure Logic Apps | Стандартные блоки для создания сборников схем | Вам может потребоваться взаимодействие со службами, для которых нет готовых соединителей. В таких случаях следует применять пользовательские соединители. Вы можете создавать (и даже совместно использовать) соединители и определять для них собственные триггеры и действия. |
Интеграция SOAR и отдельных компонентов описана в следующих ресурсах:
- Решения Microsoft Sentinel
- колонка службы автоматизации Microsoft Sentinel, вкладка "Шаблоны сборников схем";
- конструктор Logic Apps (для управляемых соединителей Logic Apps);
- репозиторий Microsoft Sentinel в GitHub.
Совет
- Многие интеграции SOAR могут быть развернуты как часть решения Microsoft Sentinel вместе с соответствующими соединителями данных, правилами аналитики и книгами. Дополнительные сведения см. в статье Каталог решений Microsoft Sentinel.
- Дополнительные интеграции предоставляются сообществом Microsoft Sentinel, они опубликованы в репозитории GitHub.
- Если у вас есть продукт или служба, которые отсутствуют в списке и в настоящее время не поддерживаются, отправьте запрос на функцию.
Вы также можете создать собственные средства, используя следующие средства:- Настраиваемый соединитель Logic Apps
- Функции Azure
- Вызовы Logic Apps по протоколу HTTP
AbuseIPDB
Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
---|---|---|---|
AbuseIPDB (Доступно как решение) |
Настраиваемый соединитель Logic Apps Сборники схем |
Microsoft | Обогащение инцидентов по IP-данным, Отчет IP-адреса в базу данных IP-адресов злоупотреблений, Запрет списка аналитике угроз |
Atlassian
Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
---|---|---|---|
Jira | Управляемый соединитель для Logic Apps Сборники схем |
Microsoft Сообщество |
Инциденты синхронизации |
AWS IAM
Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
---|---|---|---|
AWS IAM (Доступно как решение) |
Настраиваемый соединитель Logic Apps Сборники схем |
Microsoft | Добавление тегов пользователей, Удаление ключей доступа, Обогащение инцидентов |
Контрольный по укреплению
Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
---|---|---|---|
Контрольный по укреплению (Доступно как решение) |
Настраиваемый соединитель Logic Apps Сборники схем |
Microsoft | Получение результатов проверки URL-адреса |
Check Point
Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
---|---|---|---|
Контрольная точка NGFW (Доступно как решение) |
Настраиваемый соединитель Logic Apps Сборники схем |
CheckPoint | |
Cisco
Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
---|---|---|---|
Cisco ASA, Cisco Meraki |
Настраиваемый соединитель Logic Apps Сборники схем |
Сообщество | Блокировка IP-адресов |
Cisco FirePower | Настраиваемый соединитель Logic Apps Сборники схем |
Сообщество | Блокировка IP-адресов и URL |
Cisco ISE (Доступно как решение) |
Настраиваемый соединитель Logic Apps Сборники схем |
Microsoft | |
Cisco Umbrella (Доступно как решение) |
Настраиваемый соединитель Logic Apps Сборники схем |
Microsoft | Блокировать домены, управление политиками, управление списками назначения, обогащение и расследование. |
Crowdstrike
Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
---|---|---|---|
Защита конечных точек Falcon (Доступно как решение) |
Сборники схем | Microsoft | Обогащение конечных точек, изоляция конечных точек. |
Эластичные поиски
Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
---|---|---|---|
Эластичные поиски (Доступно как решение) |
Сборники схем | Microsoft | Обогащение инцидента |
F5
Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
---|---|---|---|
BIG-IP | Сборники схем | Сообщество | Блокировка IP-адресов и URL |
Forcepoint
Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
---|---|---|---|
Forcepoint NGFW | Настраиваемый соединитель Logic Apps Сборники схем |
Сообщество | Блокировка IP-адресов и URL |
Fortinet
Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
---|---|---|---|
FortiGate (Доступно как решение) |
Настраиваемый соединитель Logic Apps функции Azure; Сборники схем |
Microsoft | Блокировка IP-адресов и URL |
Fortiweb Cloud (Доступно как решение) |
Настраиваемый соединитель Logic Apps функции Azure; Сборники схем |
Microsoft | Блокировать IP-адреса и URL-адреса, Обогащение инцидентов |
Freshdesk
Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
---|---|---|---|
Freshdesk | Управляемый соединитель для Logic Apps | Инциденты синхронизации | |
GCP IAM
Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
---|---|---|---|
GCP IAM (Доступно как решение) |
Настраиваемый соединитель Logic Apps Сборники схем |
Microsoft | Отключение учетной записи службы Отключение ключа учетной записи службы Обогащение сведений об учетной записи службы |
Have I Been Pwned
Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
---|---|---|---|
Have I Been Pwned | Настраиваемый соединитель Logic Apps Сборники схем |
Сообщество | |
HYAS
Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
---|---|---|---|
Аналитические сведения о HYAS (Доступно как решение) |
Управляемый соединитель для Logic Apps Сборники схем |
HYAS | |
IBM
Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
---|---|---|---|
Устойчивость | Настраиваемый соединитель Logic Apps Сборники схем |
Сообщество | Инциденты синхронизации |
Api Cloud InsightsVM
Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
---|---|---|---|
Api Cloud InsightsVM | Настраиваемый соединитель Logic Apps Сборники схем |
Microsoft | Обогащение инцидентов с информацией о ресурсах, Обогащение сведений об уязвимостях, Запуск проверки виртуальной машины |
Microsoft
Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
---|---|---|---|
Azure DevOps | Управляемый соединитель для Logic Apps Сборники схем |
Microsoft Сообщество |
Инциденты синхронизации |
Брандмауэр Azure (Доступно как решение) |
Настраиваемый соединитель Logic Apps Сборники схем |
Microsoft | Блокировка IP-адресов |
Защита идентификации Microsoft Entra | Управляемый соединитель для Logic Apps Сборники схем |
Microsoft Сообщество |
Обогащение пользователей, исправление пользователей. |
Microsoft Entra ID | Управляемый соединитель для Logic Apps Сборники схем |
Microsoft Сообщество |
Обогащение пользователей, исправление пользователей. |
Обозреватель данных Azure | Управляемый соединитель для Logic Apps | Microsoft | Запросы и расследование |
Сборщик данных Azure Log Analytics | Управляемый соединитель для Logic Apps | Microsoft Сообщество |
Запросы и расследование |
Microsoft Defender для конечной точки | Управляемый соединитель для Logic Apps Сборники схем |
Microsoft Сообщество |
Обогащение конечных точек, изоляция конечных точек. |
Microsoft Defender для Интернета вещей | Сборники схем | Microsoft | Оркестрация и уведомление |
Microsoft Teams | Управляемый соединитель для Logic Apps Сборники схем |
Microsoft Сообщество |
Уведомления Сотрудничество создание ответов с участием человека. |
Minemeld
Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
---|---|---|---|
Minemeld (Доступно как решение) |
Настраиваемый соединитель Logic Apps Сборники схем |
Microsoft | Создание индикатора, Обогащение инцидента |
Точка IP-адреса Neustar
Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
---|---|---|---|
Точка IP-адреса Neustar (Доступно как решение) |
Сборники схем | Microsoft | Получение сведений о географическом IP-адресе |
Okta
Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
---|---|---|---|
Okta | Управляемый соединитель для Logic Apps Сборники схем |
Сообщество | Обогащение пользователей, исправление пользователей. |
OpenCTI
Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
---|---|---|---|
OpenCTI (Доступно как решение) |
Настраиваемый соединитель Logic Apps Сборники схем |
Microsoft | Создание индикатора, Обогащение инцидента, Получение потока индикатора, Импорт в Sentinel |
Пало-Альто
Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
---|---|---|---|
Palo Alto PAN-OS (Доступно как решение) |
Настраиваемый соединитель Logic Apps Сборники схем |
Сообщество | Блокировка IP-адресов и URL |
Wildfire | Настраиваемый соединитель Logic Apps Сборники схем |
Сообщество | Обогащение и ответы Filehash |
Proofpoint
Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
---|---|---|---|
Proofpoint TAP (Доступно как решение) |
Настраиваемый соединитель Logic Apps Сборники схем |
Microsoft | Обогащение учетных записей |
Qualys VM
Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
---|---|---|---|
Виртуальная машина Qualys (Доступно как решение) |
Настраиваемый соединитель Logic Apps Сборники схем |
Microsoft | Получение сведений о ресурсах, Получение ресурса по CVEID, Получение ресурса по порту Open, Запуск проверки виртуальной машины |
Recorded Future
Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
---|---|---|---|
Аналитика Recorded Future | Управляемый соединитель для Logic Apps Сборники схем |
Recorded Future | Обогащение сущностей |
ReversingLabs
Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
---|---|---|---|
Решение для обогащения файлов TitaniumCloud (Доступно как решение) |
Управляемый соединитель для Logic Apps Сборники схем |
ReversingLabs | Обогащение FileHash |
RiskIQ
Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
---|---|---|---|
Цифровой след RiskIQ (Доступно как решение) |
Управляемый соединитель для Logic Apps Сборники схем |
RiskIQ | Обогащение сущностей |
Пассивный итог RiskIQ | Управляемый соединитель для Logic Apps Сборники схем |
RiskIQ | Обогащение сущностей |
Аналитика безопасности RiskIQ (Доступно как решение) |
Управляемый соединитель для Logic Apps Сборники схем |
RiskIQ | Обогащение сущностей |
ServiceNow
Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
---|---|---|---|
ServiceNow | Управляемый соединитель для Logic Apps Сборники схем |
Microsoft Сообщество |
Инциденты синхронизации |
Slack
Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
---|---|---|---|
Slack | Управляемый соединитель для Logic Apps Сборники схем |
Microsoft Сообщество |
Уведомления Совместная работа |
TheHive
Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
---|---|---|---|
TheHive (Доступно как решение) |
Настраиваемый соединитель Logic Apps Сборники схем |
Microsoft | Создание оповещений, Создание регистра, Блокировка пользователя |
ThreatX WAF
Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
---|---|---|---|
ThreatX WAF (Доступно как решение) |
Настраиваемый соединитель Logic Apps Сборники схем |
Microsoft | Блокировка IP-адреса и URL-адреса Обогащение инцидентов |
URLhaus
Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
---|---|---|---|
URLhaus (Доступно как решение) |
Настраиваемый соединитель Logic Apps Сборники схем |
Microsoft | Проверьте узел и обогатите инцидент, Проверка хэша и обогащения инцидента, Проверка URL-адреса и обогащение инцидента |
Virus Total
Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
---|---|---|---|
Общее число вирусов | Управляемый соединитель для Logic Apps Сборники схем |
Microsoft Сообщество |
Обогащение сущностей |
VMware
Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
---|---|---|---|
Carbon Black Cloud (Доступно как решение) |
Настраиваемый соединитель Logic Apps Сборники схем |
Сообщество | Обогащение конечных точек, изоляция конечных точек. |
Zendesk
Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
---|---|---|---|
Zendesk | Управляемый соединитель для Logic Apps Сборники схем |
Microsoft Сообщество |
Инциденты синхронизации |
Zscaler
Продукт | Компоненты интеграции | Поддерживаются | Сценарии |
---|---|---|---|
Zscaler | Сборники схем | Microsoft | Исправление URL-адресов, обогащение инцидентов. |
Следующие шаги
В этом документе вы получили сведения о содержимом SOAR для Microsoft Sentinel.
- Узнайте подробнее о решениях Microsoft Sentinel.
- Поиск и развертывание решений Microsoft Sentinel