你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文介绍 Logic Apps Microsoft Sentinel 连接器支持的触发器和动作。 使用 Microsoft Sentinel playbook 中列出的触发器和操作与 Microsoft Sentinel 数据进行交互。
重要
指出的功能目前以 预览版提供。 请参阅 Microsoft Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
先决条件
在开始之前,请确保具有以下 Azure 权限才能使用 Microsoft Sentinel 连接器组件:
| 角色 | 使用触发器 | 获取可用操作 | 更新事件, 添加注释 |
|---|---|---|---|
| Microsoft Sentinel 读者 | ✓ | ✓ | - |
| Microsoft Sentinel 响应方/参与者 | ✓ | ✓ | ✓ |
有关详细信息,请参阅 Microsoft Sentinel 中的角色和权限 以及 使用 Microsoft Sentinel playbook 的先决条件。
支持的Microsoft Sentinel 触发器
Microsoft Sentinel 连接器以及 Microsoft Sentinel playbook 支持以下触发器:
Microsoft Sentinel 事件。 建议用于大多数事件自动化方案。
Playbook 接收事件对象,包括实体和警报。 此触发器允许您将运行手册附加到自动化规则上,当 Microsoft Sentinel 中的事件被创建或更新时,这些规则便会被触发,将自动化规则的所有优势应用于事件。
Microsoft Sentinel 警报(预览版)。 建议用于必须针对警报手动运行的 playbook,或用于不生成警报事件的计划分析规则。
- 此触发器不能用于自动响应 Microsoft安全 分析规则生成的警报。
- 自动化规则无法调用使用此触发器的 playbook。
Microsoft Sentinel 实体。 建议用于必须对调查或威胁搜寻上下文中的特定实体手动运行的 playbook。 自动化规则无法调用使用此触发器的 playbook。
这些流使用的架构并不相同。 建议对大多数场景使用 Microsoft Sentinel 事件触发器 流。
事件动态字段
从 Microsoft Sentinel 事件收到的 Incident 对象包含以下动态字段:
| 字段名称 | DESCRIPTION |
|---|---|
| 事件属性 | 显示为 Incident: <字段名称> |
| 警报 | 以下警报属性的数组,显示为 “警报: <”字段名称>。 由于每个事件可以包含多个警报,因此选择警报属性会自动 为每个 循环生成一个警报,以覆盖事件中的所有警报。 |
| 实体 | 所有警报实体的数组 |
| 工作区信息字段 | 有关创建事件的Microsoft Sentinel 工作区的详细信息,包括: - 订阅 ID - 工作区名称 - 工作区 ID - 资源组名称 |
支持的 Microsoft Sentinel 操作
Microsoft Sentinel 连接器以及 Microsoft Sentinel playbook 支持以下操作:
| 行动 | 何时使用 |
|---|---|
| “警报 - 获取事件” | 在以警报触发器开头的 playbook 中。 用于获取事件属性或检索事件 ARM ID 以用于 更新事件 或 向事件作添加注释 。 |
| 获取事件 | 从外部源或使用非 Sentinel 触发器触发 playbook 时。 使用 事件 ARM ID 进行标识。 检索事件属性和注释。 |
| 更新事件 | 若要更改事件 的状态 (例如关闭事件时),请分配 所有者、添加或删除标记,或更改其 严重性、 标题或 说明。 |
| 向事件添加注释 | 用从外部源收集的信息扩充事件;审核 playbook 对实体执行的操作;提供对事件调查有用的其他信息。 |
| 实体 - 获取 <实体类型> | 在适用于特定实体类型的 playbook 中(如 IP、帐户、主机、**URL 或 FileHash),这些类型在 playbook 创建时已被确定,而且你需要能够解析这些实体并处理其独特字段。 |
小窍门
执行更新事件和向事件添加注释需要事件 ARM ID。
事先使用“警报-获取事件”操作来获取“事件 ARM ID”。
支持的实体类型
“实体”动态字段是 JSON 对象的数组,每个对象表示一个实体。 每个实体类型都有自己的架构,具体取决于其唯一属性。
使用“实体 - 获取<实体类型>”操作允许您:
- 按请求的类型筛选实体数组。
- 分析此类型的特定字段,以便它们可以用作进一步作中的动态字段。
输入是 “实体 ”动态字段。
响应是实体数组,其中对特殊属性进行了分析,并可直接在 For each 循环中使用。
当前支持的实体类型包括:
下图显示了实体的可用操作示例:
对于其他实体类型,可以使用逻辑应用的内置作实现类似的功能:
使用 筛选器数组按请求的类型筛选实体数组。
分析此类型的特定字段,以便可以在进一步的操作中使用 Parse JSON 作为动态字段。
相关内容
有关详细信息,请参见: