Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
I denne artikel beskrives de udløsere og handlinger, der understøttes af Logic Apps Microsoft Sentinel-connectoren. Brug de viste udløsere og handlinger i Microsoft Sentinel playbooks til at interagere med dine Microsoft Sentinel data.
Vigtigt!
Den noterede funktionalitet findes i øjeblikket i PRØVEVERSION. Se de supplerende vilkår for anvendelse for Microsoft Azure-prøveversioner for at få yderligere juridiske vilkår, der gælder for Azure funktioner, der er i beta, prøveversion eller på anden måde endnu ikke er offentligt tilgængelige.
Forudsætninger
Før du starter, skal du sørge for, at du har følgende Azure tilladelser, der kræves for at bruge Microsoft Sentinel connectorkomponenter:
| Rolle | Brug udløsere | Hent tilgængelige handlinger | Opdater hændelse, tilføj en kommentar |
|---|---|---|---|
| Microsoft Sentinel Læser | ✓ | ✓ | - |
| bidragyder til Microsoft Sentinel responder/ | ✓ | ✓ | ✓ |
Du kan få flere oplysninger under Roller og tilladelser i Microsoft Sentinel og forudsætninger for at arbejde med Microsoft Sentinel playbooks.
Understøttede Microsoft Sentinel udløsere
Den Microsoft Sentinel connector og derfor Microsoft Sentinel playbooks understøtter følgende udløsere:
Microsoft Sentinel hændelse. Anbefales til de fleste automatiseringsscenarier for hændelser.
Playbooken modtager hændelsesobjekter, herunder både objekter og beskeder. Denne udløser giver dig mulighed for at knytte en playbook til en automatiseringsregel, der kan udløses, når en hændelse oprettes eller opdateres i Microsoft Sentinel og anvender alle fordelene ved automatiseringsregler på hændelsen.
Microsoft Sentinel besked (prøveversion). Anbefales til playbooks, der skal køres manuelt på beskeder eller for planlagte analyseregler, der ikke genererer hændelser for deres beskeder.
- Denne udløser kan ikke bruges til at automatisere svar for beskeder, der genereres af Microsofts regler for sikkerhedsanalyse .
- Playbooks, der bruger denne udløser, kan ikke kaldes af automatiseringsregler.
Microsoft Sentinel objekt. Anbefales til playbooks, der skal køres manuelt på bestemte enheder fra en undersøgelse eller trusselsjagtkontekst. Playbooks, der bruger denne udløser, kan ikke kaldes af automatiseringsregler.
De skemaer, der bruges af disse flow, er ikke identiske. Vi anbefaler, at du bruger flowet Microsoft Sentinel hændelsesudløser til de fleste scenarier.
Dynamiske hændelsesfelter
Hændelsesobjektet, der er modtaget fra Microsoft Sentinel hændelse, indeholder følgende dynamiske felter:
| Feltnavn | Beskrivelse |
|---|---|
| Hændelsesegenskaber | Vist som Hændelse: <feltnavn> |
| Beskeder | En matrix af følgende egenskaber for besked, der vises som Besked: <feltnavn>. Da hver hændelse kan indeholde flere beskeder, genererer valg af en beskedegenskab automatisk en for hver løkke for at dække alle beskeder i hændelsen. |
| Enheder | En matrix af alle beskedenhederne |
| Felter med arbejdsområdeoplysninger | Oplysninger om det Microsoft Sentinel arbejdsområde, hvor hændelsen blev oprettet, herunder: - Abonnements-id - Navn på arbejdsområde - Arbejdsområde-id - Navn på ressourcegruppe |
Kendte problemer og begrænsninger
Omdøbning af en udløser i en Logic App understøttes ikke i øjeblikket. Ændring af udløsernavnet afbryder integrationer med automatiske arbejdsprocesser og Microsoft Sentinel, da disse tjenester er afhængige af det oprindelige udløsernavn for forbindelsen.
Understøttede Microsoft Sentinel handlinger
Den Microsoft Sentinel connector og derfor Microsoft Sentinel playbooks understøtter følgende handlinger:
| Handling | Hvornår skal du bruge den? |
|---|---|
| Besked - Hent hændelse | I playbooks, der starter med udløseren Besked. Nyttig til at hente hændelsesegenskaberne eller hente det HÆNDELSES-ARM-id , der skal bruges sammen med opdateringshændelsen eller Føj kommentar til hændelseshandlinger . |
| Hent hændelse | Når du udløser en playbook fra en ekstern kilde eller med en udløser, der ikke er Sentinel. Identificer med et hændelses-ARM-id. Henter hændelsesegenskaberne og kommentarerne. |
| Opdater hændelse | Hvis du vil ændre status for en hændelse (f.eks. når du lukker hændelsen), skal du tildele en ejer, tilføje eller fjerne en kode eller ændre dens alvorsgrad, titel eller beskrivelse. |
| Føj kommentarer til hændelse | At forbedre hændelsen med oplysninger, der er indsamlet fra eksterne kilder; at overvåge de handlinger, der udføres af legebogen på enhederne til at levere yderligere oplysninger, der er værdifulde for undersøgelse af hændelser. |
| Objekter – Hent <objekttype> | I playbooks, der arbejder på en bestemt enhedstype (IP, Konto, Vært, **URL eller FileHash), som er kendt på oprettelsestidspunktet for en playbook, og du skal kunne fortolke den og arbejde på de entydige felter. |
Tip
Handlingerne Opdater hændelse og Føj en kommentar til hændelse kræver ARM-id'et for hændelsen.
Brug handlingen Besked – Hent hændelse på forhånd for at hente ARM-id'et for hændelsen.
Understøttede objekttyper
Det dynamiske felt Objekter er en matrix af JSON-objekter, som hver især repræsenterer et objekt. Hver objekttype har sit eget skema, afhængigt af dens entydige egenskaber.
Handlingen "Objekter – Hent <objekttype>" giver dig mulighed for at:
- Filtrer matrixen af enheder efter den ønskede type.
- Parse de specifikke felter af denne type, så de kan bruges som dynamiske felter i yderligere handlinger.
Inputtet er det dynamiske felt Objekter .
Svaret er en matrix af objekter, hvor de særlige egenskaber fortolkes og kan bruges direkte i en For hver løkke.
De objekttyper, der understøttes i øjeblikket, omfatter:
På følgende billede vises et eksempel på tilgængelige handlinger for objekter:
For andre objekttyper kan lignende funktionalitet opnås ved hjælp af Logic Apps' indbyggede handlinger:
Filtrer matrixen af enheder efter den ønskede type ved hjælp af Filtermatrix.
Parse de specifikke felter af denne type, så de kan bruges som dynamiske felter i yderligere handlinger ved hjælp af Fortse JSON.
Relateret indhold
Du kan finde flere oplysninger under: