Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die Trigger und Aktionen beschrieben, die vom Microsoft Sentinel-Connector von Logic Apps unterstützt werden. Verwenden Sie die in Microsoft Sentinel-Playbooks aufgeführten Trigger und Aktionen, um mit Ihren Microsoft Sentinel-Daten zu interagieren.
Von Bedeutung
Die erwähnte Funktionalität befindet sich derzeit in der VORSCHAU. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Voraussetzungen
Bevor Sie beginnen, stellen Sie sicher, dass Sie über die folgenden Azure-Berechtigungen verfügen, die für die Verwendung von Microsoft Sentinel-Connectorkomponenten erforderlich sind:
| Rolle | Verwenden von Triggern | Abrufen verfügbarer Aktionen | Vorfall aktualisieren, Kommentar hinzufügen |
|---|---|---|---|
| Microsoft Sentinel-Lesegerät | ✓ | ✓ | - |
| Mitwirkender an Microsoft / | ✓ | ✓ | ✓ |
Weitere Informationen finden Sie unter Rollen und Berechtigungen in Microsoft Sentinel und Voraussetzungen für die Arbeit mit Microsoft Sentinel-Playbooks.
Unterstützte Microsoft Sentinel-Trigger
Der Microsoft Sentinel-Connector und damit Microsoft Sentinel-Playbooks unterstützen die folgenden Trigger:
Microsoft Sentinel-Vorfall. Empfohlen für die meisten Szenarien zur Automatisierung von Vorfällen.
Das Playbook empfängt Vorfallobjekte, einschließlich Entitäten und Warnungen. Mit diesem Trigger können Sie ein Playbook an eine Automatisierungsregel anfügen, die ausgelöst werden kann, wenn ein Vorfall in Microsoft Sentinel erstellt oder aktualisiert wird, wobei alle Vorteile von Automatisierungsregeln auf den Vorfall angewendet werden.
Microsoft Sentinel-Warnung (Vorschau). Empfohlen für Playbooks, die manuell für Warnungen ausgeführt werden müssen, oder für geplante Analyseregeln, die keine Vorfälle für ihre Warnungen generieren.
- Dieser Trigger kann nicht verwendet werden, um Antworten auf Warnungen zu automatisieren, die von Microsoft-Sicherheitsanalyseregeln generiert werden.
- Playbooks, die diesen Trigger verwenden, können nicht von Automatisierungsregeln aufgerufen werden.
Microsoft Sentinel-Entität. Empfohlen für Playbooks, die manuell für bestimmte Entitäten aus einem Untersuchungs- oder Bedrohungssuchkontext ausgeführt werden müssen. Playbooks, die diesen Trigger verwenden, können nicht von Automatisierungsregeln aufgerufen werden.
Die Schemas, die von diesen Flows verwendet werden, sind nicht identisch. Es wird empfohlen, für die meisten Szenarien den Microsoft Sentinel-Vorfalltriggerflow zu verwenden.
Dynamische Felder für Vorfälle
Das Incident-Objekt , das von einem Microsoft Sentinel-Vorfall empfangen wurde, enthält die folgenden dynamischen Felder:
| Feldname | BESCHREIBUNG |
|---|---|
| Eigenschaften von Vorfällen | Wird als Vorfall angezeigt: <Feldname> |
| Benachrichtigungen | Ein Array der folgenden Warnungseigenschaften, das als Alert: <field name> angezeigt wird. Da jeder Vorfall mehrere Warnungen enthalten kann, wird durch Auswahl einer Warneigenschaft automatisch eine for-each-Schleife generiert, um alle Warnungen im Vorfall abzudecken. |
| Entitäten | Ein Array aller Entitäten der Warnung |
| Infofelder für den Arbeitsbereich | Details zum Microsoft Sentinel-Arbeitsbereich, in dem der Vorfall erstellt wurde, einschließlich: - Abonnement-ID - Name des Arbeitsbereichs - Arbeitsbereichs-ID - Name der Ressourcengruppe |
Bekannte Probleme und Einschränkungen
Das Umbenennen eines Triggers in einer Logik-App wird derzeit nicht unterstützt. Durch das Ändern des Triggernamens werden Integrationen mit Automatisierungsworkflows und Microsoft Sentinel unterbrochen, da diese Dienste auf den ursprünglichen Triggernamen für die Konnektivität angewiesen sind.
Unterstützte Microsoft Sentinel-Aktionen
Der Microsoft Sentinel-Connector und damit die Microsoft Sentinel-Playbooks unterstützen die folgenden Aktionen:
| Maßnahme | Wann man es verwenden sollte |
|---|---|
| Warnung - Vorfall abrufen | In Playbooks, die mit Alert trigger beginnen. Nützlich zum Abrufen der Incident-Eigenschaften oder zum Abrufen der Incident-ARM-ID zur Verwendung mit den Aktionen "Incident aktualisieren " oder "Kommentar zu Incident hinzufügen ". |
| Vorfall abrufen | Beim Auslösen eines Playbooks aus einer externen Quelle oder mit einem Nicht-Sentinel-Trigger. Identifizieren Sie sich mit einer Incident-ARM-ID. Ruft die Eigenschaften und Kommentare des Vorfalls ab. |
| Vorfall aktualisieren | Um den Status eines Incidents zu ändern (z. B. beim Schließen des Incidents), weisen Sie einen Besitzer zu, fügen Sie ein Tag hinzu oder entfernen Sie es oder ändern Sie den Schweregrad, den Titel oder die Beschreibung. |
| Hinzufügen von Kommentaren zum Vorfall | Um den Vorfall mit Informationen anzureichern, die aus externen Quellen gesammelt wurden; um die Maßnahmen zu prüfen, die das Playbook für die Unternehmen ergriffen hat; um zusätzliche Informationen zu liefern, die für die Untersuchung von Vorfällen wertvoll sind. |
| Entitäten – Abrufen des <Entitätstyps> | In Playbooks, die mit einem bestimmten Entitätstyp (IP,Account, Host, **URL oder FileHash) arbeiten, der zum Zeitpunkt der Playbook-Erstellung bekannt ist, und Sie müssen in der Lage sein, ihn zu analysieren und an seinen eindeutigen Feldern zu arbeiten. |
Tipp
Für die Aktionen "Incident aktualisieren " und " Kommentar zum Incident hinzufügen" ist die ARM-ID des Incidents erforderlich.
Verwenden Sie zuvor die Aktion Warnung – Vorfall abrufen , um die ARM-ID des Vorfalls abzurufen.
Unterstützte Entitätstypen
Das dynamische Feld "Entitäten " ist ein Array von JSON-Objekten, von denen jedes eine Entität darstellt. Jeder Entitätstyp verfügt über ein eigenes Schema, abhängig von seinen eindeutigen Eigenschaften.
Mit der Aktion "Entitäten - Entitätstyp< abrufen>" können Sie Folgendes tun:
- Filtern Sie das Array von Entitäten nach dem angeforderten Typ.
- Analysieren Sie die spezifischen Felder dieses Typs, damit sie als dynamische Felder in weiteren Aktionen verwendet werden können.
Die Eingabe ist das dynamische Feld Entitäten .
Die Antwort ist ein Array von Entitäten, in denen die speziellen Eigenschaften analysiert werden und direkt in einer For each-Schleife verwendet werden können.
Zu den derzeit unterstützten Entitätstypen gehören:
Die folgende Abbildung zeigt ein Beispiel für verfügbare Aktionen für Entitäten:
Für andere Entitätstypen können ähnliche Funktionen mithilfe der integrierten Aktionen von Logic Apps erreicht werden:
Filtern Sie das Array von Entitäten nach dem angeforderten Typ mithilfe von Array filtern.
Analysieren Sie die spezifischen Felder dieses Typs, sodass sie als dynamische Felder in weiteren Aktionen mit Parse JSON verwendet werden können.
Verwandte Inhalte
Weitere Informationen finden Sie unter: