Microsoft Sentinel 劇本中支持的觸發程式和動作
本文說明 Logic Apps Microsoft Sentinel 連接器支援的觸發程式和動作。 使用 Microsoft Sentinel 劇本中所列的觸發程式和動作,與您的 Microsoft Sentinel 數據互動。
重要
已注意到的功能目前處於預覽狀態。 請參閱 Microsoft Azure Preview 補充使用規定,了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。
必要條件
開始之前,請確定您具有下列使用 Microsoft Sentinel 連接器元件所需的 Azure 許可權:
| 角色 | 使用觸發程式 | 取得可用的動作 | 更新事件, 新增批注 |
|---|---|---|---|
| Microsoft Sentinel 讀者 | ✓ | ✓ | - |
| Microsoft Sentinel 回應者/參與者 | ✓ | ✓ | ✓ |
如需詳細資訊,請參閱 Microsoft Sentinel 中的角色和許可權,以及 使用 Microsoft Sentinel 劇本的必要條件。
支援的 Microsoft Sentinel 觸發程式
Microsoft Sentinel 連接器,因此 Microsoft Sentinel 劇本支援下列觸發程式:
Microsoft Sentinel 事件。 建議用於大部分的事件自動化案例。
劇本會接收事件物件,包括實體和警示。 此觸發程式可讓您將劇本附加至可在 Microsoft Sentinel 中建立或更新事件時觸發的自動化規則,並將自動化規則的所有優點套用至事件。
Microsoft Sentinel 警示 (預覽版) 。 針對必須在警示上手動執行的劇本,或針對不會為其警示產生事件的排程分析規則,建議使用。
- 此觸發程式無法用來自動回應 Microsoft 安全性分析規則所產生的警示。
- 自動化規則無法呼叫使用此觸發程式的劇本。
Microsoft Sentinel 實體。 建議用於必須在調查或威脅搜捕內容的特定實體上手動執行的劇本。 自動化規則無法呼叫使用此觸發程式的劇本。
這些流程所使用的架構並不相同。 我們建議針對大部分案例使用 Microsoft Sentinel 事件觸發 程式流程。
事件動態欄位
從 Microsoft Sentinel 事件收到的 Incident 物件包含下列動態欄位:
| 欄位名稱 | 描述 |
|---|---|
| 事件屬性 | 顯示為事件:<功能變數名稱> |
| 警示 | 下列警示屬性的陣列,顯示為 警示: <功能變數名稱>。 由於每個事件都可以包含多個警示,因此選取警示屬性會自動為每個循環產生 ,以涵蓋事件中的所有警示。 |
| 實體 | 所有警示實體的陣列 |
| 工作區資訊欄位 | 建立事件的 Microsoft Sentinel 工作區詳細數據,包括: - 訂用帳戶標識碼 - 工作區名稱 - 工作區識別碼 - 資源組名 |
支援的 Microsoft Sentinel 動作
Microsoft Sentinel 連接器,因此 Microsoft Sentinel 劇本支援下列動作:
| 動作 | 使用時機 |
|---|---|
| 警示 - 取得事件 | 在以警示觸發程式開頭的劇本中。 適用於取得事件屬性,或擷取 事件ARM標識碼 以搭配 更新事件 或 將批註新增至事件 動作。 |
| 取得事件 | 從外部來源或非 Sentinel 觸發程式觸發劇本時。 使用 事件 ARM 識別碼來識別。 擷取事件屬性和批注。 |
| 更新事件 | 若要變更事件 的狀態 (例如關閉事件時),請指派 擁有者、新增或移除標記,或變更其 嚴重性、 標題或 描述。 |
| 將批註新增至事件 | 使用從外部來源收集的信息來擴充事件;稽核腳本對實體所採取的動作;,以提供對事件調查有價值的其他資訊。 |
| 實體 - 取得 <實體類型> | 在劇本建立時間已知的特定實體類型(IP、帳戶、主機、**URL 或 FileHash)上運作的劇本中,您必須能夠剖析它並處理其唯一字段。 |
提示
[更新事件] 和 [將批注新增至事件] 動作需要事件 ARM 標識碼。
使用警示 - 事先取得事件 動作來取得 事件 ARM 識別碼。
支援的實體類型
[ 實體 ] 動態欄位是 JSON 物件的陣列,每個物件都代表實體。 每個實體類型都有自己的架構,視其唯一屬性而定。
「實體 - 取得<實體類型>」動作可讓您:
- 依要求的類型篩選實體陣列。
- 剖析此類型的特定欄位,使其可在進一步動作中當做動態欄位使用。
輸入是 [實體 ] 動態欄位。
回應是實體數位,其中會剖析特殊屬性,而且可以直接用於 For each 迴圈。
目前支援的實體類型包括:
下圖顯示實體可用動作的範例:
對於其他實體類型,您可以使用Logic Apps的內建動作來達成類似的功能:
剖析此類型的特定欄位,以便使用 Parse JSON 在進一步的動作中使用動態欄位。
相關內容
如需詳細資訊,請參閱
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: