你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Sentinel playbook 基于在 Azure 逻辑应用中构建的工作流,这是一项云服务,可帮助计划、自动执行和编排整个企业范围内系统中的任务和工作流。
Azure 逻辑应用必须单独连接,并独立地对它与之交互的每个资源(包括 Microsoft Sentinel 本身)进行身份验证。 逻辑应用将 专用连接器 用于此目的,每个资源类型都有其自己的连接器。
本文介绍逻辑应用 Microsoft Sentinel 连接器支持的连接类型和身份验证类型。 Playbook 可以使用支持的身份验证方法与 Microsoft Sentinel 进行交互,并访问 Microsoft Sentinel 数据。
先决条件
建议在此文章之前阅读以下文章:
- 使用 Microsoft Sentinel 操作手册自动进行威胁响应
- 创建和管理 Microsoft Sentinel playbook
- 适用于 Microsoft Sentinel playbook 的 Azure 逻辑应用
- Microsoft Sentinel playbook 中支持的触发器和操作
要授予托管标识对其他资源(如 Microsoft Sentinel 工作区)的访问权限,登录用户必须拥有有权编写角色分配的角色,例如 Microsoft Sentinel 工作区的所有者或用户访问管理员。
身份验证
在逻辑应用中,Microsoft Sentinel 连接器及其组件触发器和操作可以代表任何在相关工作区中拥有必要权限(读取和/或写入)的身份进行操作。 连接器支持多种标识类型:
- 托管标识(预览版)。 例如,使用此方法可以降低需要管理的标识数。
- 服务主体(Microsoft Entra 应用程序)。 已注册的应用程序增强了控制权限、管理凭据以及启用连接器使用某些限制的能力。
- Microsoft Entra 用户
所需的权限
无论身份验证方法如何,经过身份验证的标识都需要以下权限才能使用 Microsoft Sentinel 连接器的各个组件。 “写入”操作包括更新事件或添加注释等操作。
| 角色 | 使用触发器 | 使用“读取”操作 | 使用“写入”操作 |
|---|---|---|---|
| Microsoft Sentinel 读者 | ✓ | ✓ | - |
| Microsoft Sentinel 响应方/参与者 | ✓ | ✓ | ✓ |
有关详细信息,请参阅 Microsoft Sentinel 和Microsoft Sentinel playbook 先决条件中的角色和权限。
使用托管标识进行身份验证
作为托管标识进行身份验证时,你可以将权限直接授予 playbook,它是一种逻辑应用工作流资源。 然后,playbook 采取的 Microsoft Sentinel 连接器操作会代表 playbook 运行,就好像它是一个独立的对象,对 Microsoft Sentinel 有着自己的权限。
若要使用托管标识进行身份验证,
在逻辑应用工作流资源上启用托管标识。 有关详细信息,请参阅 Azure 门户中启用系统分配的标识。
逻辑应用现在可以使用系统分配的标识,该标识注册到 Microsoft Entra ID,由对象 ID 表示。
使用以下步骤授予该标识对 Microsoft Sentinel 工作区的访问权限:
在“Microsoft Sentinel”菜单中,选择“设置”。
选择“工作区设置”选项卡。在工作区菜单中,选择“访问控制”(IAM)。
从顶部的按钮栏中,选择“ 添加 ”,然后选择“ 添加角色分配”。 如果已禁用“添加角色分配”选项,那么你没有权限分配角色。
在出现的新面板中,分配相应的角色:
在 “分配访问权限”下,选择 “逻辑应用”。
选择剧本所属的订阅,然后选择剧本名称。
选择“保存”。
有关详细信息,请参阅 授予对资源的标识访问权限。
在 Microsoft Sentinel 逻辑应用连接器中启用托管标识身份验证方法:
在逻辑应用设计器中,添加 Microsoft Sentinel 逻辑应用连接器步骤。 如果已为现有连接启用连接器,请选择 “更改连接 ”链接。 例如:
在生成的连接列表中,选择“ 添加新”。
通过选择 “使用托管标识连接”(预览版)创建新连接。 例如:
输入此连接的名称,选择 系统分配的托管标识,然后选择“ 创建”。
选择 “创建 ”以完成连接创建。
作为服务主体进行身份验证(Microsoft Entra 应用程序)
通过注册 Microsoft Entra 应用程序来创建服务主体。 建议使用已注册的应用程序作为连接器的标识,而不是用户帐户。
若要将自己的应用程序与 Microsoft Sentinel 连接器配合使用,请执行以下作:
使用 Microsoft Entra ID 注册应用程序并创建服务主体。 有关详细信息,请参阅创建可访问资源的 Microsoft Entra 应用程序和服务主体。
获取将来身份验证的凭据。 在已注册的应用程序页中,获取用于登录的应用程序凭据:
- 客户端 ID,在“概述”下
- 客户端机密,在“证书和机密”下
向应用授予使用 Microsoft Sentinel 工作区的权限:
在 Microsoft Sentinel 工作区中,转到“设置”>“工作区设置”>“访问控制(IAM)”
选择 “添加角色分配”,然后选择要分配给应用程序的角色。
例如,若要允许应用程序执行在 Microsoft Sentinel 工作区中进行更改的作(例如更新事件),请选择 Microsoft Sentinel 参与者 角色。 对于仅读取数据的操作,Microsoft Sentinel 读者 角色已足够。
找到所需的应用程序并保存所做的更改。
默认情况下,可用选项中不显示 Microsoft Entra 应用程序。 若要查找应用程序,请搜索名称并选择它。
使用应用凭据向逻辑应用中的 Microsoft Sentinel 连接器进行身份验证。
在逻辑应用设计器中,添加 Microsoft Sentinel 逻辑应用连接器步骤。
如果已为现有连接启用连接器,请选择 “更改连接 ”链接。 例如:
在生成的连接列表中,选择“ 添加新”,然后选择“ 使用服务主体进行连接”。 例如:
输入在已注册应用程序的详细信息页中可用的必需参数值:
- 租户:在“概述”下
- 客户端 ID:在“概述”下
- 客户端密码:在“证书和机密”下
例如:
选择 “创建 ”以完成连接创建。
以 Microsoft Entra 用户身份进行身份验证
若要以 Microsoft Entra 用户身份建立连接,
在逻辑应用设计器中,添加 Microsoft Sentinel 逻辑应用连接器步骤。 如果已为现有连接启用连接器,请选择 “更改连接 ”链接。 例如:
在生成的连接列表中,选择“ 添加新”,然后选择“ 登录”。
出现提示时输入凭据,然后按照屏幕上的剩余说明创建连接。
查看和编辑 playbook API 连接
API 连接用于将 Azure 逻辑应用连接到其他服务,包括 Microsoft Sentinel。 每次对 Azure 逻辑应用中的连接器进行新的身份验证时,都会创建新的 API 连接 资源,其中包含配置对服务的访问权限时提供的详细信息。 同一 API 连接可用于同一资源组中的所有 Microsoft Sentinel 操作和触发器。
若要查看 API 连接,请执行以下作之一:
在 Azure 门户中,搜索 API 连接。 使用以下数据找到你的 playbook 的 API 连接:
- 显示名称:您在每次创建连接时为其指定的友好名称。
- 状态:API 连接的状态。
- 资源组:Microsoft playbook 的 API 连接是在 playbook(Azure 逻辑应用)资源资源组中创建的。
在 Azure 门户中,查看所有资源,并按 类型 = API 连接器筛选视图。 此方法允许一次性选择、标记和删除多个连接。
若要更改现有连接的授权,请输入连接资源,然后选择 “编辑 API 连接”。
相关内容
有关详细信息,请参见: