向 Microsoft Sentinel 驗證劇本
Microsoft Sentinel 劇本是以 Azure Logic Apps 內建的工作流程為基礎,此雲端服務可協助您在整個企業中排程、自動化及協調整個系統的工作和工作流程。
Azure Logic Apps 必須個別連線,並獨立驗證每個類型的資源,其與其互動,包括 Microsoft Sentinel 本身。 Logic Apps 會針對此目的使用 特製化連接器 ,而每個資源類型都有自己的連接器。
本文說明 Logic Apps Microsoft Sentinel 連接器支援的連線類型和驗證類型。 劇本可以使用支持的驗證方法來與 Microsoft Sentinel 互動,並存取您的 Microsoft Sentinel 數據。
必要條件
建議您先閱讀下列文章,再閱讀下列文章:
- 使用 Microsoft Sentinel 劇本將威脅回應自動化
- 建立和管理 Microsoft Sentinel 劇本
- 適用於 Microsoft Sentinel 的 Azure Logic Apps 劇本
- Microsoft Sentinel 劇本中支持的觸發程式和動作
若要為受控識別提供其他資源的存取權,例如您的 Microsoft Sentinel 工作區,您的登入用戶必須具有撰寫角色指派的許可權,例如 Microsoft Sentinel 工作區的擁有者或使用者存取 管理員 istrator。
驗證
Logic Apps 中的 Microsoft Sentinel 連接器及其元件觸發程式和動作,可以代表任何在相關工作區上具有必要許可權(讀取和/或寫入)的身分識別運作。 連接器支援多個身分識別類型:
- 受控識別 (預覽) 。 例如,使用這個方法來降低您需要管理的身分識別數目。
- 服務主體 (Microsoft Entra 應用程式) 。 已註冊的應用程式提供增強的功能,可控制許可權、管理認證,以及啟用連接器使用的某些限制。
- Microsoft Entra 使用者
需要的權限
無論驗證方法為何,驗證身分識別都需要下列許可權,才能使用 Microsoft Sentinel 連接器的各種元件。 「寫入」動作包括更新事件或新增批注等動作。
| 角色 | 使用觸發程式 | 使用「讀取」動作 | 使用 「寫入」動作 |
|---|---|---|---|
| Microsoft Sentinel 讀者 | ✓ | ✓ | - |
| Microsoft Sentinel 回應者/參與者 | ✓ | ✓ | ✓ |
如需詳細資訊,請參閱 Microsoft Sentinel 和 Microsoft Sentinel 劇本先決條件中的角色和許可權。
使用受控識別進行驗證
驗證為受控識別可讓您直接將許可權授與劇本,也就是邏輯應用程式工作流程資源。 接著,劇本所採取的 Microsoft Sentinel 連接器動作會代表劇本操作,就好像它是具有自己 Microsoft Sentinel 許可權的獨立對象一樣。
若要使用受控識別進行驗證:
在Logic Apps工作流程資源上啟用受控識別。 如需詳細資訊,請參閱在 Azure 入口網站 中啟用系統指派的身分識別。
邏輯應用程式現在可以使用系統指派的身分識別,此身分識別是以 Microsoft Entra ID 註冊,並以對象識別元表示。
使用下列步驟,將 Microsoft Sentinel 工作區的存取權授與該身分識別:
從 [Microsoft Sentinel] 功能表中,選取 [設定]。
選取 [工作區設定] 索引標籤。從工作區功能表中,選取 [訪問控制][IAM]。
從頂端的按鈕列中,選取 [新增 ],然後選擇 [ 新增角色指派]。 如果 [新增角色指派] 選項已停用,您就沒有指派角色的權限。
在出現的新面板中,指派適當的角色:
- Microsoft Sentinel 回應程式:劇本具有更新事件或關注清單的步驟
- Microsoft Sentinel 讀者:劇本只接收事件
在 [指派存取權] 底下,選取 [邏輯應用程式]。
選取劇本所屬的訂用帳戶,然後選取劇本名稱。
選取 [儲存]。
如需詳細資訊,請參閱 為身分識別提供資源存取權。
在 Microsoft Sentinel Logic Apps 連接器中啟用受控識別驗證方法:
在 Logic Apps 設計工具中,新增 Microsoft Sentinel Logic Apps 連接器步驟。 如果已針對現有的連線啟用連接器,請選取 [ 變更連線] 連結。 例如:
在產生的連線清單中,選取 [ 新增]。
選取具有受控識別 連線 來建立新的連線(預覽版)。 例如:
輸入此連線的名稱,選取 [系統指派的受控識別],然後選取 [ 建立]。
選取 [建立] 以完成建立您的連線。
驗證即服務主體 (Microsoft Entra 應用程式)
註冊 Microsoft Entra 應用程式來建立服務主體。 我們建議您使用已註冊的應用程式作為連接器的身分識別,而不是用戶帳戶。
若要搭配 Microsoft Sentinel 連接器使用您自己的應用程式:
使用 Microsoft Entra ID 註冊應用程式,並建立服務主體。 如需詳細資訊,請參閱 建立可存取資源的 Microsoft Entra 應用程式和服務主體。
取得未來驗證的認證。 在已註冊的應用程式頁面中,取得用於登入的應用程式認證:
- 用戶端標識碼,在 [概觀] 底下
- 客戶端密碼,在 [憑證和秘密] 底下
授與具有使用 Microsoft Sentinel 工作區許可權的應用程式:
在 Microsoft Sentinel 工作區中,移至 設定 Workspace 設定>> Access 控件 (IAM)
選取 [ 新增角色指派],然後選取您想要指派給應用程式的角色。
例如,若要允許應用程式執行在 Microsoft Sentinel 工作區中進行變更的動作,例如更新事件,請選取 [Microsoft Sentinel 參與者 ] 角色。 若為只讀取數據的動作, Microsoft Sentinel 讀取者 角色就已足夠。
尋找必要的應用程式並儲存變更。
根據預設,Microsoft Entra 應用程式不會顯示在可用的選項中。 若要尋找您的應用程式,請搜尋名稱並加以選取。
使用應用程式認證向 Logic Apps 中的 Microsoft Sentinel 連接器進行驗證。
在 Logic Apps 設計工具中,新增 Microsoft Sentinel Logic Apps 連接器步驟。
如果已針對現有的連線啟用連接器,請選取 [ 變更連線] 連結。 例如:
在產生的連線清單中,選取 [新增],然後選取 [使用服務主體 連線]。 例如:
![已選取 [服務主體] 選項的螢幕快照。](../media/authenticate-playbooks-to-sentinel/auth-methods-spn-choice.png)
輸入必要的參數值,這些值可在已註冊的應用程式詳細數據頁面中取得:
- 租使用者:在 [概觀] 底下
- 用戶端識別碼:在 [概觀] 底下
- 客戶端密碼:在 [憑證和秘密] 底下
例如:
選取 [建立] 以完成建立您的連線。
以 Microsoft Entra 使用者身分進行驗證
若要以 Microsoft Entra 使用者身分建立連線:
在 Logic Apps 設計工具中,新增 Microsoft Sentinel Logic Apps 連接器步驟。 如果已針對現有的連線啟用連接器,請選取 [ 變更連線] 連結。 例如:
在產生的連線清單中,選取 [新增],然後選取 [ 登入]。
![已選取 [登入] 按鈕的螢幕快照。](../media/authenticate-playbooks-to-sentinel/auth-methods-sign-in.png)
出現提示時輸入您的認證,然後依照畫面上的其餘指示來建立連線。
檢視和編輯劇本 API 連線
API 連線可用來將 Azure Logic Apps 連線到其他服務,包括 Microsoft Sentinel。 每次針對 Azure Logic Apps 中的連接器進行新的驗證時,都會建立新的 API 連線 資源,其中包含設定服務存取權時提供的詳細數據。 相同的 API 連線可用於相同資源群組中的所有 Microsoft Sentinel 動作和觸發程式。
若要檢視 API 連線,請執行下列其中一項:
在 Azure 入口網站 中,搜尋 API 連線。 使用下列資料找出劇本的 API 連線:
- 顯示名稱:每次建立連線時,都會提供連線的易記名稱。
- 狀態:API 連線的狀態。
- 資源群組:Microsoft 劇本的 API 聯機會在劇本 (Azure Logic Apps) 資源的資源群組中建立。
在 Azure 入口網站 中,檢視所有資源,並依類型 = API 連接器篩選檢視。 此方法可讓您一次選取、標記及刪除多個連線。
若要變更現有連線的授權,請輸入連線資源,然後選取 [ 編輯 API 連線]。
相關內容
如需詳細資訊,請參閱