通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Microsoft Sentinel SOAR 内容目录

Microsoft Sentinel 提供了各种用于安全业务流程、自动化和响应 (SOAR) 的 playbook 和连接器,以便你可以轻松地将 Microsoft Sentinel 与环境中的任何产品或服务集成。

下面列出的集成可能包含以下部分或全部组件:

组件类型 目的 用例和链接说明
paybook 模板 自动化工作流 使用 playbook 模板来部署可供自动响应威胁的现成 playbook。

在 Microsoft Sentinel 中使用 playbook 自动响应威胁
Azure 逻辑应用托管连接器 用于创建 playbook 的构建基块 Playbook 使用托管连接器与数百个 Microsoft 和非 Microsoft 服务进行通信。

逻辑应用连接器及其文档的列表
Azure 逻辑应用自定义连接器 用于创建 playbook 的构建基块 你可能希望与那些无法用作预生成连接器的服务通信。 自定义连接器可以解决这个需求,因为它可以让你创建甚至共享连接器并定义其自己的触发器和操作。

可以在以下位置找到 SOAR 集成及其组件:

  • Microsoft Sentinel 解决方案
  • Microsoft Sentinel 自动化边栏选项卡,playbook 模板选项卡
  • 逻辑应用设计器(适用于托管逻辑应用连接器)
  • Microsoft Sentinel GitHub 存储库

提示

  • 许多 SOAR 集成还可连同相关的数据连接器、分析规则和工作簿,部署为 Microsoft Sentinel 解决方案的一部分。 有关详细信息,请参阅 Microsoft Sentinel 解决方案目录
  • 更多集成由 Microsoft Sentinel 社区提供,可在 GitHub 存储库中找到。
  • 如果有未列出或当前不受支持的产品或服务,请提交功能请求。
    你还可以使用以下工具创建自己的工具:
    • 逻辑应用自定义连接器
    • Azure 函数
    • 逻辑应用 HTTP 调用

AbuseIPDB

产品 集成组件 支持的服务 方案
AbuseIPDB
(作为解决方案提供)		 自定义逻辑应用连接器

攻略		 Microsoft 使用 IP 信息来扩充事件、
将 IP 报告给 Abuse IP DB、
威胁情报的拒绝列表

Atlassian

产品 集成组件 支持的服务 方案
Jira 托管逻辑应用连接器

攻略		 Microsoft

社区		 同步事件

AWS IAM

产品 集成组件 支持的服务 方案
AWS IAM
(作为解决方案提供)		 自定义逻辑应用连接器

攻略		 Microsoft 添加用户标记、
删除访问密钥、
扩充事件

Checkphish by Bolster

产品 集成组件 支持的服务 方案
Checkphish by Bolster
(作为解决方案提供)		 自定义逻辑应用连接器

攻略		 Microsoft 获取 URL 扫描结果

检查点

产品 集成组件 支持的服务 方案
Check Point NGFW
(作为解决方案提供)		 自定义逻辑应用连接器

攻略		 CheckPoint

Cisco

产品 集成组件 支持的服务 方案
Cisco ASA,
Cisco Meraki		 自定义逻辑应用连接器

攻略		 社区 阻止 IP
Cisco FirePower 自定义逻辑应用连接器

攻略		 社区 阻止 IP 和 URL
Cisco ISE
(作为解决方案提供)		 自定义逻辑应用连接器

攻略		 Microsoft
Cisco Umbrella
(作为解决方案提供)		 自定义逻辑应用连接器

攻略		 Microsoft 阻止域、
策略管理、
目标列表管理、
扩充和调查

Crowdstrike

产品 集成组件 支持的服务 方案
Falcon 终结点保护
(作为解决方案提供)		 攻略 Microsoft 终结点扩充、
隔离终结点
产品 集成组件 支持的服务 方案
弹性搜索
(作为解决方案提供)		 攻略 Microsoft 扩充事件

F5

产品 集成组件 支持的服务 方案
Big-IP 攻略 社区 阻止 IP 和 URL

Forcepoint

产品 集成组件 支持的服务 方案
Forcepoint NGFW 自定义逻辑应用连接器

攻略		 社区 阻止 IP 和 URL

Fortinet

产品 集成组件 支持的服务 方案
FortiGate
(作为解决方案提供)		 自定义逻辑应用连接器

Azure 函数

攻略		 Microsoft 阻止 IP 和 URL
Fortiweb Cloud
(作为解决方案提供)		 自定义逻辑应用连接器

Azure 函数

攻略		 Microsoft 阻止 IP 和 URL、
事件扩充

Freshdesk

产品 集成组件 支持的服务 方案
Freshdesk 托管逻辑应用连接器 同步事件

GCP IAM

产品 集成组件 支持的服务 方案
GCP IAM
(作为解决方案提供)		 自定义逻辑应用连接器

攻略		 Microsoft 禁用服务帐户、
禁用服务帐户密钥、
扩充服务帐户信息

Have I Been Pwned

产品 集成组件 支持的服务 方案
Have I Been Pwned 自定义逻辑应用连接器

攻略		 社区

HYAS

产品 集成组件 支持的服务 方案
HYAS Insight
(作为解决方案提供)		 托管逻辑应用连接器

攻略		 HYAS

IBM

产品 集成组件 支持的服务 方案
弹性 自定义逻辑应用连接器

攻略		 社区 同步事件

InsightVM Cloud API

产品 集成组件 支持的服务 方案
InsightVM Cloud API 自定义逻辑应用连接器

攻略		 Microsoft 使用资产信息丰富事件,
扩充漏洞信息,
运行 VM 扫描

Microsoft

产品 集成组件 支持的服务 方案
Azure DevOps 托管逻辑应用连接器

攻略		 Microsoft

社区		 同步事件
Azure 防火墙
(作为解决方案提供)		 自定义逻辑应用连接器

攻略		 Microsoft 阻止 IP
Microsoft Entra ID 保护 托管逻辑应用连接器

攻略		 Microsoft

社区		 用户扩充,
用户修正
Microsoft Entra ID 托管逻辑应用连接器

攻略		 Microsoft

社区		 用户扩充,
用户修正
Azure 数据资源管理器 托管逻辑应用连接器 Microsoft 查询和调查
Azure Log Analytics 数据收集器 托管逻辑应用连接器 Microsoft

社区		 查询和调查
用于终结点的 Microsoft Defender 托管逻辑应用连接器

攻略		 Microsoft

社区		 终结点扩充、
隔离终结点
Microsoft Defender for IoT 攻略 Microsoft 业务流程和通知
Microsoft Teams 托管逻辑应用连接器

攻略		 Microsoft

社区		 通知、
协作、
创建人工参与的响应

Minemeld

产品 集成组件 支持的服务 方案
Minemeld
(作为解决方案提供)		 自定义逻辑应用连接器

攻略		 Microsoft 创建指示器、
扩充事件

Neustar IP GEO Point

产品 集成组件 支持的服务 方案
Neustar IP GEO Point
(作为解决方案提供)		 攻略 Microsoft 获取 IP 地理位置信息

Okta

产品 集成组件 支持的服务 方案
Okta 托管逻辑应用连接器

攻略		 社区 用户扩充,
用户修正

OpenCTI

产品 集成组件 支持的服务 方案
OpenCTI
(作为解决方案提供)		 自定义逻辑应用连接器

攻略		 Microsoft 创建指示器、
扩充事件、
获取指示器流、
导入到 Sentinel

帕洛阿尔托

产品 集成组件 支持的服务 方案
Palo Alto PAN-OS
(作为解决方案提供)		 自定义逻辑应用连接器

攻略		 社区 阻止 IP 和 URL
野火 自定义逻辑应用连接器

攻略		 社区 Filehash 扩充和响应

Proofpoint

产品 集成组件 支持的服务 方案
Proofpoint TAP
(作为解决方案提供)		 自定义逻辑应用连接器

攻略		 Microsoft 帐户扩充

Qualys VM

产品 集成组件 支持的服务 方案
Qualys VM
(作为解决方案提供)		 自定义逻辑应用连接器

攻略		 Microsoft 获取资产详细信息,
通过 CVEID 获取资产,
通过开放端口获取资产,
启动 VM 扫描

Recorded Future

产品 集成组件 支持的服务 方案
Recorded Future Intelligence 托管逻辑应用连接器

攻略		 Recorded Future 实体扩充

ReversingLabs

产品 集成组件 支持的服务 方案
TitaniumCloud 文件扩充
(作为解决方案提供)		 托管逻辑应用连接器

攻略		 ReversingLabs FileHash 扩充

RiskIQ

产品 集成组件 支持的服务 方案
RiskIQ Digital Footprint
(作为解决方案提供)		 托管逻辑应用连接器

攻略		 RiskIQ 实体扩充
RiskIQ Passive Total 托管逻辑应用连接器

攻略		 RiskIQ 实体扩充
RiskIQ 安全情报
(作为解决方案提供)		 托管逻辑应用连接器

攻略		 RiskIQ 实体扩充

ServiceNow

产品 集成组件 支持的服务 方案
ServiceNow 托管逻辑应用连接器

攻略		 Microsoft

社区		 同步事件

Slack

产品 集成组件 支持的服务 方案
Slack 托管逻辑应用连接器

攻略		 Microsoft

社区		 通知、
协作

TheHive

产品 集成组件 支持的服务 方案
TheHive
(作为解决方案提供)		 自定义逻辑应用连接器

攻略		 Microsoft 创建警报、
创建案例、
锁定用户

ThreatX WAF

产品 集成组件 支持的服务 方案
ThreatX WAF
(作为解决方案提供)		 自定义逻辑应用连接器

攻略		 Microsoft 阻止 IP / URL、
事件扩充

URLhaus

产品 集成组件 支持的服务 方案
URLhaus
(作为解决方案提供)		 自定义逻辑应用连接器

攻略		 Microsoft 检查主机和扩充事件,
检查哈希和扩充事件,
检查 URL 并扩充事件

Virus Total

产品 集成组件 支持的服务 方案
Virus Total 托管逻辑应用连接器

攻略		 Microsoft

社区		 实体扩充

VMware

产品 集成组件 支持的服务 方案
Carbon Black Cloud
(作为解决方案提供)		 自定义逻辑应用连接器

攻略		 社区 终结点扩充、
隔离终结点

Zendesk

产品 集成组件 支持的服务 方案
Zendesk 托管逻辑应用连接器

攻略		 Microsoft

社区		 同步事件

Zscaler

产品 集成组件 支持的服务 方案
Zscaler 攻略 Microsoft URL 补救措施,
事件扩充

后续步骤

本文档介绍了 Microsoft Sentinel SOAR 内容。

  • Last updated on