Microsoft Sentinel 為安全性協調流程、自動化和回應 (SOAR) 提供各種不同的劇本和連接器,讓您可以輕鬆地整合 Microsoft Sentinel 與環境中的任何產品或服務。
下面所列的整合可能包含下列部分或所有元件:
| 元件類型 | 目的 | 使用案例和連結的指示 |
|---|---|---|
| 劇本範本 | 自動化工作流程 | 使用劇本範本部署現成的劇本,以自動回應威脅。 使用 Microsoft Sentinel 中的劇本將威脅回應自動化 |
| Azure Logic Apps 受控連接器 | 建立劇本的建置組塊 | 劇本會使用受控連接器與數百個 Microsoft 和非Microsoft 服務通訊。 Logic Apps 連接器及其檔的清單 |
| Azure Logic Apps 自訂連接器 | 建立劇本的建置組塊 | 您可能想要與未做為預先建置連接器的服務通訊。 自訂連接器可讓您建立連接器,並定義自己的觸發程式和動作,藉此解決這項需求。 |
您可以在下列位置找到 SOAR 整合及其元件:
- Microsoft Sentinel 解決方案
- Microsoft Sentinel 自動化刀鋒視窗,劇本範本索引標籤
- Logic Apps 設計工具(適用于受控 Logic Apps 連接器)
- Microsoft Sentinel GitHub 存放庫
提示
- 許多 SOAR 整合都可以部署為 Microsoft Sentinel 解決方案 的一 部分,以及相關的資料連線器、分析規則和活頁簿。 如需詳細資訊,請參閱 Microsoft Sentinel 解決方案目錄。
- Microsoft Sentinel 社群提供更多整合,而且可在 GitHub 存放庫中找到。
- 如果您有未列出或目前支援的產品或服務,請提交功能要求。
您也可以使用下列工具建立您自己的工具:- Logic Apps 自訂連接器
- Azure Functions
- Logic Apps HTTP 呼叫
AbuseIPDB
| Products | 整合元件 | 支援者 | 案例 |
|---|---|---|---|
| AbuseIPDB (可用為解決方案) |
自訂 Logic Apps 連接器 劇本 |
Microsoft | 依 IP 資訊擴充事件 向濫用 IP DB 報告 IP, 拒絕威脅情報清單 |
Atlassian
| Products | 整合元件 | 支援者 | 案例 |
|---|---|---|---|
| Jira | 受控 Logic Apps 連接器 劇本 |
Microsoft 社群 |
同步處理事件 |
AWS IAM
| Products | 整合元件 | 支援者 | 案例 |
|---|---|---|---|
| AWS IAM (可用為解決方案) |
自訂 Logic Apps 連接器 劇本 |
Microsoft | 新增使用者標籤、 刪除存取金鑰, 擴充事件 |
Checkphish by Bolster
| Products | 整合元件 | 支援者 | 案例 |
|---|---|---|---|
| Checkphish by Bolster (可用為解決方案) |
自訂 Logic Apps 連接器 劇本 |
Microsoft | 取得 URL 掃描結果 |
Check Point
| Products | 整合元件 | 支援者 | 案例 |
|---|---|---|---|
| Check Point NGFW (可用為解決方案) |
自訂 Logic Apps 連接器 劇本 |
CheckPoint | |
Cisco
| Products | 整合元件 | 支援者 | 案例 |
|---|---|---|---|
| Cisco ASA, Cisco Meraki |
自訂 Logic Apps 連接器 劇本 |
社群 | 封鎖 IP |
| Cisco FirePower | 自訂 Logic Apps 連接器 劇本 |
社群 | 封鎖 IP 和 URL |
| Cisco ISE (可用為解決方案) |
自訂 Logic Apps 連接器 劇本 |
Microsoft | |
| Cisco Umbrella (可用為解決方案) |
自訂 Logic Apps 連接器 劇本 |
Microsoft | 封鎖網域, 原則管理, 目的地清單管理, 擴充和調查 |
Crowdstrike
| Products | 整合元件 | 支援者 | 案例 |
|---|---|---|---|
| 獵鷹端點保護 (可用為解決方案) |
劇本 | Microsoft | 端點擴充, 隔離端點 |
彈性搜尋
| Products | 整合元件 | 支援者 | 案例 |
|---|---|---|---|
| 彈性搜尋 (可用為解決方案) |
劇本 | Microsoft | 擴充事件 |
F5
| Products | 整合元件 | 支援者 | 案例 |
|---|---|---|---|
| Big-IP | 劇本 | 社群 | 封鎖 IP 和 URL |
Forcepoint
| Products | 整合元件 | 支援者 | 案例 |
|---|---|---|---|
| Forcepoint NGFW | 自訂 Logic Apps 連接器 劇本 |
社群 | 封鎖 IP 和 URL |
Fortinet
| Products | 整合元件 | 支援者 | 案例 |
|---|---|---|---|
| FortiGate (可用為解決方案) |
自訂 Logic Apps 連接器 Azure Function 劇本 |
Microsoft | 封鎖 IP 和 URL |
| Fortiweb Cloud (可用為解決方案) |
自訂 Logic Apps 連接器 Azure Function 劇本 |
Microsoft | 封鎖 IP 和 URL 、 事件擴充 |
Freshdesk
| Products | 整合元件 | 支援者 | 案例 |
|---|---|---|---|
| Freshdesk | 受控 Logic Apps 連接器 | 同步處理事件 | |
GCP IAM
| Products | 整合元件 | 支援者 | 案例 |
|---|---|---|---|
| GCP IAM (可用為解決方案) |
自訂 Logic Apps 連接器 劇本 |
Microsoft | 停用服務帳戶, 停用服務帳戶金鑰, 擴充服務帳戶資訊 |
Have I Been Pwned
| Products | 整合元件 | 支援者 | 案例 |
|---|---|---|---|
| Have I Been Pwned | 自訂 Logic Apps 連接器 劇本 |
社群 | |
HYAS
| Products | 整合元件 | 支援者 | 案例 |
|---|---|---|---|
| HYAS 深入解析 (可用為解決方案) |
受控 Logic Apps 連接器 劇本 |
HYAS | |
IBM
| Products | 整合元件 | 支援者 | 案例 |
|---|---|---|---|
| 彈性 | 自訂 Logic Apps 連接器 劇本 |
社群 | 同步處理事件 |
InsightVM 雲端 API
| Products | 整合元件 | 支援者 | 案例 |
|---|---|---|---|
| InsightVM 雲端 API | 自訂 Logic Apps 連接器 劇本 |
Microsoft | 使用資產資訊擴充事件, 擴充弱點資訊, 執行 VM 掃描 |
Microsoft
| Products | 整合元件 | 支援者 | 案例 |
|---|---|---|---|
| Azure DevOps | 受控 Logic Apps 連接器 劇本 |
Microsoft 社群 |
同步處理事件 |
| Azure 防火牆 (可用為解決方案) |
自訂 Logic Apps 連接器 劇本 |
Microsoft | 封鎖 IP |
| Microsoft Entra ID Protection | 受控 Logic Apps 連接器 劇本 |
Microsoft 社群 |
使用者擴充, 使用者補救 |
| Microsoft Entra ID | 受控 Logic Apps 連接器 劇本 |
Microsoft 社群 |
使用者擴充, 使用者補救 |
| Azure 資料總管 | 受控 Logic Apps 連接器 | Microsoft | 查詢和調查 |
| Azure Log Analytics 資料收集器 | 受控 Logic Apps 連接器 | Microsoft 社群 |
查詢和調查 |
| 適用於端點的 Microsoft Defender | 受控 Logic Apps 連接器 劇本 |
Microsoft 社群 |
端點擴充, 隔離端點 |
| 適用于 IoT 的 Microsoft Defender | 劇本 | Microsoft | 協調流程和通知 |
| Microsoft Teams | 受控 Logic Apps 連接器 劇本 |
Microsoft 社群 |
通知 協作 建立人為參與的回應 |
Minemeld
| Products | 整合元件 | 支援者 | 案例 |
|---|---|---|---|
| Minemeld (可用為解決方案) |
自訂 Logic Apps 連接器 劇本 |
Microsoft | 建立指標, 擴充事件 |
Neustar IP GEO Point
| Products | 整合元件 | 支援者 | 案例 |
|---|---|---|---|
| Neustar IP GEO Point (可用為解決方案) |
劇本 | Microsoft | 取得 IP 地理位置資訊 |
Okta
| Products | 整合元件 | 支援者 | 案例 |
|---|---|---|---|
| Okta | 受控 Logic Apps 連接器 劇本 |
社群 | 使用者擴充, 使用者補救 |
OpenCTI
| Products | 整合元件 | 支援者 | 案例 |
|---|---|---|---|
| OpenCTI (可用為解決方案) |
自訂 Logic Apps 連接器 劇本 |
Microsoft | 建立指標, 擴充事件, 取得指標資料流程, 匯入至 Sentinel |
Palo Alto
| Products | 整合元件 | 支援者 | 案例 |
|---|---|---|---|
| Palo Alto PAN-OS (可用為解決方案) |
自訂 Logic Apps 連接器 劇本 |
社群 | 封鎖 IP 和 URL |
| 野火 | 自訂 Logic Apps 連接器 劇本 |
社群 | Filehash 擴充和回應 |
Proofpoint
| Products | 整合元件 | 支援者 | 案例 |
|---|---|---|---|
| Proofpoint TAP (可用為解決方案) |
自訂 Logic Apps 連接器 劇本 |
Microsoft | 帳戶擴充 |
Qualys VM
| Products | 整合元件 | 支援者 | 案例 |
|---|---|---|---|
| Qualys VM (可用為解決方案) |
自訂 Logic Apps 連接器 劇本 |
Microsoft | 取得資產詳細資料, 依 CVEID 取得資產, 依開啟埠取得資產, 啟動 VM 掃描 |
Recorded Future
| Products | 整合元件 | 支援者 | 案例 |
|---|---|---|---|
| 錄製的未來智慧 | 受控 Logic Apps 連接器 劇本 |
Recorded Future | 實體擴充 |
ReversingLabs
| Products | 整合元件 | 支援者 | 案例 |
|---|---|---|---|
| TitaniumCloud 檔案擴充 (可用為解決方案) |
受控 Logic Apps 連接器 劇本 |
ReversingLabs | FileHash 擴充 |
RiskIQ
| Products | 整合元件 | 支援者 | 案例 |
|---|---|---|---|
| RiskIQ 數位使用量 (可用為解決方案) |
受控 Logic Apps 連接器 劇本 |
RiskIQ | 實體擴充 |
| RiskIQ 被動總計 | 受控 Logic Apps 連接器 劇本 |
RiskIQ | 實體擴充 |
| RiskIQ Security Intelligence (可用為解決方案) |
受控 Logic Apps 連接器 劇本 |
RiskIQ | 實體擴充 |
ServiceNow
| Products | 整合元件 | 支援者 | 案例 |
|---|---|---|---|
| ServiceNow | 受控 Logic Apps 連接器 劇本 |
Microsoft 社群 |
同步處理事件 |
Slack
| Products | 整合元件 | 支援者 | 案例 |
|---|---|---|---|
| Slack | 受控 Logic Apps 連接器 劇本 |
Microsoft 社群 |
通知 共同作業 |
TheHive
| Products | 整合元件 | 支援者 | 案例 |
|---|---|---|---|
| TheHive (可用為解決方案) |
自訂 Logic Apps 連接器 劇本 |
Microsoft | 建立警示, 建立案例, 鎖定使用者 |
ThreatX WAF
| Products | 整合元件 | 支援者 | 案例 |
|---|---|---|---|
| ThreatX WAF (可用為解決方案) |
自訂 Logic Apps 連接器 劇本 |
Microsoft | 封鎖 IP / URL, 事件擴充 |
URLhaus
| Products | 整合元件 | 支援者 | 案例 |
|---|---|---|---|
| URLhaus (可用為解決方案) |
自訂 Logic Apps 連接器 劇本 |
Microsoft | 檢查主機並擴充事件、 檢查雜湊並擴充事件、 檢查 URL 並擴充事件 |
Virus Total
| Products | 整合元件 | 支援者 | 案例 |
|---|---|---|---|
| 病毒總計 | 受控 Logic Apps 連接器 劇本 |
Microsoft 社群 |
實體擴充 |
VMware
| Products | 整合元件 | 支援者 | 案例 |
|---|---|---|---|
| 碳黑雲 (可用為解決方案) |
自訂 Logic Apps 連接器 劇本 |
社群 | 端點擴充, 隔離端點 |
Zendesk
| Products | 整合元件 | 支援者 | 案例 |
|---|---|---|---|
| Zendesk | 受控 Logic Apps 連接器 劇本 |
Microsoft 社群 |
同步處理事件 |
Zscaler
| Products | 整合元件 | 支援者 | 案例 |
|---|---|---|---|
| Zscaler | 劇本 | Microsoft | URL 補救, 事件擴充 |
下一步
在本檔中,您已瞭解 Microsoft Sentinel SOAR 內容。