分享方式:


適用於 Microsoft Sentinel 劇本的 Azure Logic Apps

Microsoft Sentinel 劇本會以 Azure Logic Apps 內建的工作流程為基礎,這是一種雲端服務,可協助您跨整個企業的系統排程、自動化,以及協調工作和工作流程。 Microsoft Sentinel 劇本可以充分運用 Azure Logic Apps 中內建範本的所有功能。

Azure Logic Apps 會使用不同類型的連接器與其他系統和服務通訊。 使用 Microsoft Sentinel 連接器以建立與 Microsoft Sentinel 互動的劇本。

注意

Azure Logic Apps 會建立不同的資源,因此可能會產生額外費用。 如需詳細資訊,請造訪 Azure Logic Apps 定價頁面

Microsoft Sentinel 連接器元件

在 Microsoft Sentinel 連接器內,使用觸發程式、動作和動態欄位來定義劇本的工作流程:

元件 描述
觸發程序 觸發程序是啟動工作流程的連接器元件,在此案例中為劇本。 Microsoft Sentinel 觸發程序會定義劇本在觸發時預期會收到的結構描述。

Microsoft Sentinel 連接器支援下列類型的觸發程序:

- 警示觸發程序:劇本會接收警示作為輸入。
- 實體觸發程序:劇本會接收實體作為輸入。
- 事件觸發程序:劇本會接收事件作為輸入,以及所有包括的警示和實體。
動作 「動作」是指在觸發程序之後發生的所有步驟。 動作可以循序排列、平行排列,或以複雜條件的矩陣排列。
動態欄位 動態欄位是暫存欄位,可在追蹤觸發程序的動作中使用。 動態欄位是由觸發程序和動作的輸出結構描述所決定,並由其實際輸出填入。

Azure Logic Apps 也支援其他類型的連接器,例如受控連接器,這些連接器會圍繞 API 呼叫或自訂連接器。 如需詳細資訊,請參閱 Azure Logic Apps 連接器及其文件 (英文) 和 建立您自己的自訂 Azure Logic Apps 連接器

支援的邏輯應用程式類型

Microsoft Sentinel 同時支援取用和標準邏輯應用程式:

  • 用:在多租使用者 Azure Logic Apps 中執行,並使用傳統原始的 Azure Logic Apps 引擎。

  • 標準:在單一租使用者 Azure Logic Apps 中執行,並使用最近設計的 Azure Logic Apps 引擎。

    標準資源提供更高的效能、固定定價、多個工作流程功能、更容易的 API 連線管理、內建的網路功能和 CI/CD 功能等等。 不過,Microsoft Sentinel 中的標準邏輯應用程式,下列劇本功能有所不同:

    功能 描述
    建立劇本 標準工作流程目前不支援劇本範本,這表示您無法使用範本直接在 Microsoft Sentinel 中建立劇本。

    相反地,請在 Azure Logic Apps 中手動建立您的工作流程,以在 Microsoft Sentinel 中將其作為劇本使用。
    私人端點 如果您使用標準工作流程搭配私人端點,Microsoft Sentinel 會要求您在 Logic Apps 中定義存取限制原則,以支援以標準工作流程為基礎的任何劇本中的這些私人端點。

    如果沒有存取限制原則,具有私人端點的工作流程仍可能會顯示在 Sentinel Microsoft 中且可選取,但卻無法執行。
    無狀態工作流程 雖然標準工作流程支援 Azure Logic Apps 中的「具狀態」和「無狀態」,但 Microsoft Sentinel 不支援無狀態工作流程。

    如需詳細資訊,請參閱具狀態與無狀態工作流程 (部分機器翻譯)。

Microsoft Sentinel 的劇本驗證

Azure Logic Apps 必須個別連線至與其互動的每種類型的每個資源 (包括 Microsoft Sentinel 本身) 以及進行獨立驗證。 Azure Logic Apps 會針對此目的使用 特製化 連接器,而每個資源類型都有自己的連接器。

如需詳細資訊,請參閱 向 Microsoft Sentinel 驗證劇本