Azure Logic Apps for Microsoft Sentinel forgatókönyvek
A Microsoft Sentinel forgatókönyvek az Azure Logic Appsben létrehozott munkafolyamatokon alapulnak, amely egy felhőszolgáltatás, amely segít a feladatok és munkafolyamatok ütemezésében, automatizálásában és vezénylésében a nagyvállalati rendszereken. A Microsoft Sentinel forgatókönyvek kihasználhatják az Azure Logic Apps beépített sablonjainak előnyeit és képességeit.
Az Azure Logic Apps különböző típusú összekötők használatával kommunikál más rendszerekkel és szolgáltatásokkal. A Microsoft Sentinel-összekötővel olyan forgatókönyveket hozhat létre, amelyek együttműködnek a Microsoft Sentinellel.
Feljegyzés
Az Azure Logic Apps külön erőforrásokat hoz létre, így további költségek is felmerülhetnek. További információkért látogasson el az Azure Logic Apps díjszabási oldalára.
A Microsoft Sentinel-összekötő összetevői
A Microsoft Sentinel-összekötőben eseményindítók, műveletek és dinamikus mezők használatával határozhatja meg a forgatókönyv munkafolyamatát:
| Összetevő | Leírás |
|---|---|
| Eseményindító | Az eseményindító az összekötő összetevő, amely elindít egy munkafolyamatot, ebben az esetben egy forgatókönyvet. A Microsoft Sentinel-eseményindító határozza meg azt a sémát, amelyet a forgatókönyv várhatóan megkap az aktiváláskor. A Microsoft Sentinel-összekötő a következő típusú eseményindítókat támogatja: - Riasztási eseményindító: A forgatókönyv bemenetként riasztást kap. - Entitás-eseményindító: A forgatókönyv bemenetként fogad egy entitást. - Incidens-eseményindító: A forgatókönyv bemenetként fogad egy incidenst, valamint az összes benne foglalt riasztást és entitást. |
| Műveletek | A műveletek mindazon lépések, amelyek az eseményindító aktiválása után végbemennek. A műveletek sorrendben, párhuzamosan vagy összetett feltételek mátrixában is rendezhetők. |
| Dinamikus mezők | A dinamikus mezők ideiglenes mezők, amelyek az eseményindítót követő műveletekben használhatók. A dinamikus mezőket az eseményindítók és műveletek kimeneti sémája határozza meg, és azok tényleges kimenete tölti ki őket. |
Az Azure Logic Apps más típusú összekötőket is támogat, például felügyelt összekötőket, amelyek API-hívások vagy egyéni összekötők körül futnak. További információ: Azure Logic Apps-összekötők és azok dokumentációja , valamint saját egyéni Azure Logic Apps-összekötők létrehozása.
Támogatott logikai alkalmazástípusok
A Microsoft Sentinel a Consumption és a Standard logikai alkalmazásokat is támogatja:
Használat: Több-bérlős Azure Logic Appsben fut, és a klasszikus, eredeti Azure Logic Apps-motort használja.
Standard: Egybérlős Azure Logic Appsben fut, és egy újabban tervezett Azure Logic Apps-motort használ.
A standard erőforrások magasabb teljesítményt, rögzített díjszabást, több munkafolyamat-képességet, egyszerűbb API-kapcsolatok kezelését, beépített hálózati képességeket és CI/CD-funkciókat kínálnak. A Microsoft Sentinel standard logikai alkalmazásai esetében azonban a következő forgatókönyv-funkciók különböznek:
Szolgáltatás Leírás Forgatókönyvek létrehozása A forgatókönyvsablonok jelenleg nem támogatottak a Standard munkafolyamatokban, ami azt jelenti, hogy nem használhat sablont a forgatókönyv közvetlen létrehozásához a Microsoft Sentinelben.
Ehelyett manuálisan hozza létre a munkafolyamatot az Azure Logic Appsben, hogy forgatókönyvként használja a Microsoft Sentinelben.Privát végpontok Ha standard munkafolyamatokat használ privát végpontokkal, a Microsoft Sentinel megköveteli, hogy a Logic Appsben definiáljon egy hozzáférési korlátozási szabályzatot, amely támogatja ezeket a privát végpontokat minden standard munkafolyamaton alapuló forgatókönyvben.
Hozzáférés-korlátozási szabályzat nélkül előfordulhat, hogy a privát végpontokkal rendelkező munkafolyamatok továbbra is láthatók és kiválaszthatók a Microsoft Sentinelben, de a futtatásuk sikertelen lesz.Állapot nélküli munkafolyamatok Míg a Standard munkafolyamatok mind az állapotalapú, mind az állapot nélküli azure Logic Apps-alkalmazásokban támogatottak, a Microsoft Sentinel nem támogatja az állapot nélküli munkafolyamatokat.
További információ: Állapotalapú és állapot nélküli munkafolyamatok.
Forgatókönyv-hitelesítések a Microsoft Sentinelnek
Az Azure Logic Appsnek külön kell csatlakoznia, és független hitelesítést kell végeznie minden erőforráshoz, minden egyes típushoz, amelyet használ, beleértve magát a Microsoft Sentinelt is. Az Azure Logic Apps erre a célra speciális összekötőket használ, és mindegyik erőforrástípusnak saját összekötője van.
További információ: Forgatókönyvek hitelesítése a Microsoft Sentinelnek.
Kapcsolódó tartalom
- Erőforrástípus- és gazdagépkörnyezetbeli különbségek az Azure Logic Apps dokumentációjában
- Microsoft Sentinel-összekötő az Azure Logic Appshez az Azure Logic Apps dokumentációjában
- Microsoft Sentinel-forgatókönyvek létrehozása és kezelése