Compartir a través de

适用于 Microsoft Sentinel playbook 的 Azure 逻辑应用

Microsoft Sentinel playbook 基于在 Azure 逻辑应用中构建的工作流,这是一项云服务,可帮助计划、自动执行和编排整个企业范围内系统中的任务和工作流。 Microsoft Sentinel playbook 可以利用 Azure 逻辑应用中内置模板的所有强大功能。

Azure 逻辑应用使用各种类型的连接器与其他系统和服务通信。 使用 Microsoft Sentinel 连接器创建与 Microsoft Sentinel 交互的 playbook。

注意

Azure 逻辑应用会创建单独的资源,因此可能会产生额外费用。 有关详细信息,请访问 Azure 逻辑应用定价页面

Microsoft Sentinel 连接器组件

在 Microsoft Sentinel 连接器中,使用触发器、操作和动态字段定义 playbook 的工作流:

组件 说明
触发器 触发器是启动工作流的连接器组件,在本例中为 playbook。 Microsoft Sentinel 触发器定义了 playbook 在触发时期望接收的架构。

Microsoft Sentinel 连接器支持以下类型的触发器:

- 警报触发器:playbook 接收警报作为输入。
- 实体触发器:playbook 接收一个实体作为输入。
- 事件触发器:playbook 接收事件作为输入,同时接收其包含的所有警报和实体。
操作 操作是在触发器之后发生的所有步骤。 操作可以按顺序排列、并行排列或以复杂条件矩阵排列。
动态字段 动态字段是可以在触发器之后的操作中使用的临时字段。 动态字段由触发器和操作的输出架构确定,由它们的实际输出进行填充。

Azure 逻辑应用还支持其他类型的连接器,如围绕 API 调用的托管连接器或者自定义连接器。 有关详细信息,请参阅 Azure 逻辑应用连接器及其文档创建自己的自定义 Azure 逻辑应用连接器

支持的逻辑应用类型

Microsoft Sentinel 同时支持消耗型逻辑应用和标准逻辑应用:

  • 消耗型:在多租户 Azure 逻辑应用中运行并使用经典原始 Azure 逻辑应用引擎。

  • 标准:在单租户 Azure 逻辑应用中运行,并使用最近设计的 Azure 逻辑应用引擎。

    标准资源提供更高的性能、固定定价、多工作流功能、更轻松的 API 连接管理、内置网络功能和 CI/CD 功能等。 但是,对于 Microsoft Sentinel 中的标准逻辑应用,以下 playbook 功能有所不同:

    Feature 说明
    创建 Playbook 标准工作流当前不支持 playbook 模板,即无法直接在 Microsoft Sentinel 中使用模板来创建 playbook。

    而是在 Azure 逻辑应用中手动创建工作流,以在 Microsoft Sentinel 中将其用作 playbook。
    专用终结点 如果将标准工作流与专用终结点配合使用,则 Microsoft Sentinel 需要在逻辑应用中定义访问限制策略,以便基于标准工作流在任何 playbook 中为这些专用终结点提供支持。

    如果没有访问限制策略,具有专用终结点的工作流在 Microsoft Sentinel 中可能仍可见且可供选择,但其运行将失败。
    无状态工作流 虽然在 Azure 逻辑应用中有状态和无状态标准工作流均受支持,但 Microsoft Sentinel 不支持无状态工作流

    有关详细信息,请查看有状态和无状态工作流

向 Microsoft Sentinel 进行 playbook 身份验证

Azure 逻辑应用必须单独连接,并独立地对它与之交互的每个资源(包括 Microsoft Sentinel 本身)进行身份验证。 Azure 逻辑应用使用专用连接器实现此目的,每个资源类型都有自己的连接器。

有关详细信息,请参阅向 Microsoft Sentinel 验证 playbook