Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule opisano wyzwalacze i akcje obsługiwane przez łącznik Microsoft Sentinel dla Logic Apps. Użyj wymienionych wyzwalaczy i akcji w schematach operacyjnych Microsoft Sentinel, aby zarządzać swoimi danymi.
Ważne
Zanotowana funkcjonalność jest obecnie dostępna w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure , aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Wymagania wstępne
Przed rozpoczęciem upewnij się, że masz następujące uprawnienia platformy Azure wymagane do korzystania ze składników łącznika usługi Microsoft Sentinel:
| Rola | Korzystanie z wyzwalaczy | Uzyskiwanie dostępnych działań | Aktualizacja incydentu dodawanie komentarza |
|---|---|---|---|
| Czytelnik usługi Microsoft Sentinel | ✓ | ✓ | - |
| Microsoft Sentinel Udzielający odpowiedzi/Współautor | ✓ | ✓ | ✓ |
Aby uzyskać więcej informacji, zobacz Role i uprawnienia w usłudze Microsoft Sentinel oraz wymagania wstępne dotyczące pracy z podręcznikami usługi Microsoft Sentinel.
Obsługiwane wyzwalacze usługi Microsoft Sentinel
Łącznik usługi Microsoft Sentinel i w związku z tym podręczniki usługi Microsoft Sentinel obsługują następujące wyzwalacze:
Zdarzenie usługi Microsoft Sentinel. Zalecane w przypadku większości scenariuszy automatyzacji zdarzeń.
Podręcznik odbiera obiekty incydentów, w tym jednostki i alerty. Ten wyzwalacz umożliwia dołączenie podręcznika do reguły automatyzacji, która może zostać wyzwolona za każdym razem, gdy zdarzenie zostanie utworzone lub zaktualizowane w usłudze Microsoft Sentinel, stosując wszystkie korzyści wynikające z reguł automatyzacji do zdarzenia.
Alert usługi Microsoft Sentinel (wersja zapoznawcza). Zalecane w przypadku podręczników, które powinny być uruchamiane ręcznie w przypadku wystąpienia alertów, lub dla zaplanowanych reguł analizy, które nie generują incydentów dla swoich alertów.
- Tego wyzwalacza nie można używać do automatyzowania odpowiedzi dla alertów generowanych przez reguły analizy zabezpieczeń firmy Microsoft .
- Podręczniki korzystające z tego wyzwalacza nie mogą być wywoływane przez reguły automatyzacji.
Jednostka usługi Microsoft Sentinel. Zalecane w przypadku scenariuszy, które muszą być uruchamiane ręcznie na określonych jednostkach w kontekście badań lub wykrywania zagrożeń. Podręczniki korzystające z tego wyzwalacza nie mogą być wywoływane przez reguły automatyzacji.
Schematy używane przez te przepływy nie są identyczne. W większości scenariuszy zalecamy użycie przepływu wyzwalacza incydentów Microsoft Sentinel.
Dynamiczne pola zdarzenia
Obiekt Incident odebrany ze zdarzenia usługi Microsoft Sentinel zawiera następujące pola dynamiczne:
| Nazwa pola | Opis |
|---|---|
| Właściwości zdarzenia | Pokazano jako Zdarzenie: <nazwa> pola |
| Alerty | Tablica następujących właściwości alertu wyświetlana jako Alert: <nazwa> pola. Ponieważ każde zdarzenie może zawierać wiele alertów, wybranie właściwości alertu automatycznie generuje pętlę for each, aby uwzględnić wszystkie alerty w zdarzeniu. |
| Encje | Tablica wszystkich elementów alertu |
| Pola informacji o obszarze roboczym | Szczegółowe informacje o obszarze roboczym usługi Microsoft Sentinel, w którym utworzono zdarzenie, w tym: - Identyfikator subskrypcji - Nazwa obszaru roboczego — Identyfikator obszaru roboczego — Nazwa grupy zasobów |
Znane problemy i ograniczenia
Zmiana nazwy wyzwalacza w aplikacji logiki nie jest obecnie obsługiwana. Zmiana nazwy wyzwalacza powoduje przerwanie integracji z przepływami pracy automatyzacji i usługą Microsoft Sentinel, ponieważ te usługi bazują na oryginalnej nazwie wyzwalacza na potrzeby łączności.
Obsługiwane akcje usługi Microsoft Sentinel
Łącznik usługi Microsoft Sentinel, a co za tym idzie, playbooki Microsoft Sentinel obsługują następujące akcje:
| Akcja | Kiedy go użyć |
|---|---|
| Alert — Pobierz Zdarzenie | W podręcznikach rozpoczynających się od wyzwalacza alertu. Przydatne do pobierania właściwości incydentu lub identyfikatora ARM incydentu do użycia przy aktualizowaniu incydentu lub dodawaniu komentarza do incydentu. |
| Pobierz incydent | W przypadku wyzwalania podręcznika ze źródła zewnętrznego lub wyzwalacza innego niż Sentinel. Zidentyfikuj się przy użyciu identyfikatora incydentu ARM. Pobiera właściwości i komentarze dotyczące zdarzenia. |
| Aktualizowanie zdarzenia | Aby zmienić stan zdarzenia (na przykład podczas zamykania zdarzenia), przypisz właściciela, dodaj lub usuń tag albo zmień ważność, tytuł lub opis. |
| Dodawanie komentarzy do zdarzenia | Aby wzbogacić incydent o informacje zebrane ze źródeł zewnętrznych, przeprowadzić audyt działań podjętych przez podręcznik na podmiotach oraz dostarczyć dodatkowe informacje przydatne do badania zdarzeń. |
| Jednostki — pobierz <typ jednostki> | W podręcznikach, które działają na określonym typie jednostki (IP, konto, host, **adres URL lub plikHash), który jest znany w czasie tworzenia podręcznika, i musisz mieć możliwość analizowania go i pracy nad jego unikatowymi polami. |
Wskazówka
Akcje Aktualizuj zdarzenie i Dodaj komentarz do zdarzenia wymagają identyfikatora zdarzenia usługi ARM.
Użyj akcji Alert — Pobierz incydent wcześniej, aby uzyskać identyfikator ARM incydentu.
Obsługiwane typy encji
Pole dynamiczne Jednostki to tablica obiektów JSON, z których każda reprezentuje jednostkę. Każdy typ jednostki ma swój własny schemat, w zależności od jego unikatowych właściwości.
Akcja "Jednostki — Pobierz <typ> jednostki" umożliwia:
- Filtruj tablicę jednostek według żądanego typu.
- Przeanalizuj określone pola tego typu, aby można było ich używać jako pól dynamicznych w dalszych akcjach.
Dane wejściowe to pole dynamiczne Jednostki .
Odpowiedź to tablica jednostek, w której właściwości specjalne są analizowane i mogą być używane bezpośrednio w pętli For each .
Obecnie obsługiwane typy jednostek obejmują:
Na poniższej ilustracji przedstawiono przykład dostępnych akcji dla jednostek:
W przypadku innych typów jednostek można osiągnąć podobne funkcje przy użyciu wbudowanych akcji usługi Logic Apps:
Filtruj tablicę jednostek według żądanego typu przy użyciu funkcji Filter Array.
Przeanalizuj określone pola tego typu, aby można je było używać jako pól dynamicznych w dalszych akcjach przy użyciu analizowania kodu JSON.
Treści powiązane
Aby uzyskać więcej informacji, zobacz: