Aracılığıyla paylaş


Microsoft Sentinel playbook'ları için Azure Logic Apps

Microsoft Sentinel playbook'ları, kuruluş genelindeki sistemlerde görevleri ve iş akışlarını zamanlamanıza, otomatikleştirmenize ve düzenlemenize yardımcı olan bir bulut hizmeti olan Azure Logic Apps'te yerleşik iş akışlarını temel alır. Microsoft Sentinel playbook'ları, Azure Logic Apps'teki yerleşik şablonların tüm gücünden ve özelliklerinden yararlanabilir.

Azure Logic Apps, çeşitli bağlayıcı türlerini kullanarak diğer sistem ve hizmetlerle iletişim kurar. Microsoft Sentinel ile etkileşim kuran playbook'lar oluşturmak için Microsoft Sentinel bağlayıcısını kullanın.

Not

Azure Logic Apps ayrı kaynaklar oluşturduğu için ek ücretler uygulanabilir. Daha fazla bilgi için Azure Logic Apps fiyatlandırma sayfasını ziyaret edin.

Microsoft Sentinel bağlayıcı bileşenleri

Microsoft Sentinel bağlayıcısı içinde, playbook'unuzun iş akışını tanımlamak için tetikleyicileri, eylemleri ve dinamik alanları kullanın:

Bileşen Veri Akışı Açıklaması
Tetikleyici Tetikleyici, bir iş akışı (bu örnekte playbook) başlatan bağlayıcı bileşenidir. Microsoft Sentinel tetikleyicisi, playbook'un tetiklendiğinde almayı beklediği şemayı tanımlar.

Microsoft Sentinel bağlayıcısı aşağıdaki tetikleyici türlerini destekler:

- Uyarı tetikleyicisi: Playbook giriş olarak bir uyarı alır.
- Varlık tetikleyicisi (Önizleme):Playbook giriş olarak bir varlık alır.
- Olay tetikleyicisi: Playbook, dahil edilen tüm uyarılar ve varlıklarla birlikte giriş olarak bir olay alır.
Eylemler Eylemler, tetikleyiciden sonra gerçekleşen tüm adımlardır. Eylemler sıralı olarak, paralel olarak veya karmaşık koşulların matrisinde düzenlenebilir.
Dinamik alanlar Dinamik alanlar, tetikleyicinizi izleyen eylemlerde kullanılabilecek geçici alanlardır. Dinamik alanlar tetikleyicilerin ve eylemlerin çıkış şeması tarafından belirlenir ve gerçek çıkışlarıyla doldurulur.

Azure Logic Apps, API çağrılarını veya özel bağlayıcıları sarmalayan yönetilen bağlayıcılar gibi diğer bağlayıcı türlerini de destekler. Daha fazla bilgi için bkz . Azure Logic Apps bağlayıcıları ve belgeleri ve Kendi özel Azure Logic Apps bağlayıcılarınızı oluşturma.

Desteklenen mantıksal uygulama türleri

Microsoft Sentinel hem tüketimi hem de standart Azure Logic Apps kaynak türlerini destekler:

  • Tüketim kaynakları çok kiracılı Azure Logic Apps'te çalışır ve klasik, özgün Azure Logic Apps altyapısını kullanır.

  • Standart kaynaklar tek kiracılı Azure Logic Apps'te çalışır ve daha yakın zamanda tasarlanmış bir Azure Logic Apps altyapısı kullanır.

    Standart kaynaklar daha yüksek performans, sabit fiyatlandırma, birden çok iş akışı özelliği, daha kolay API bağlantı yönetimi, yerleşik ağ özellikleri ve CI/CD özellikleri ve daha fazlasını sunar. Ancak, Microsoft Sentinel'deki Standart kaynaklar için aşağıdaki playbook işlevleri farklılık gösterir:

    Özellik Açıklama
    Playbook oluşturma Playbook şablonları şu anda Standart iş akışları için desteklenmemektedir; başka bir deyişle playbook'unuzu doğrudan Microsoft Sentinel'de oluşturmak için şablon kullanamazsınız.

    Bunun yerine iş akışınızı Microsoft Sentinel'de playbook olarak kullanmak için Azure Logic Apps'te el ile oluşturun.
    Özel uç noktalar Özel uç noktalarla Standart iş akışları kullanıyorsanız Microsoft Sentinel, Standart iş akışlarına dayalı tüm playbook'larda bu özel uç noktaları desteklemek için Logic apps'te bir erişim kısıtlama ilkesi tanımlamanızı gerektirir.

    Erişim kısıtlama ilkesi olmadan, özel uç noktaları olan iş akışları Microsoft Sentinel'de görünmeye ve seçilebilir olmaya devam edebilir, ancak bunları çalıştırmak başarısız olur.
    Durum bilgisi olmayan iş akışları Standart iş akışları Azure Logic Apps'te hem durum bilgisi hem de durum bilgisi olmayan iş akışlarını desteklerken, Microsoft Sentinel durum bilgisi olmayan iş akışlarını desteklemez.

    Daha fazla bilgi için bkz . Durum bilgisi olan ve durum bilgisi olmayan iş akışları.

Microsoft Sentinel'de Playbook kimlik doğrulamaları

Azure Logic Apps'in ayrı olarak bağlanması ve microsoft Sentinel dahil olmak üzere etkileşimde bulunduğu her tür kaynakta bağımsız olarak kimlik doğrulaması yapması gerekir. Logic Apps bu amaçla özel bağlayıcılar kullanır ve her kaynak türünün kendi bağlayıcısı vardır.

Daha fazla bilgi için bkz . Microsoft Sentinel'de playbook'ların kimliğini doğrulama.