Compartir a través de

适用于 Microsoft Sentinel playbook 的 Azure 逻辑应用

Microsoft Sentinel playbook 基于在 Azure 逻辑应用中构建的工作流,这是一项云服务,可帮助计划、自动执行和编排整个企业范围内系统中的任务和工作流。 Microsoft Sentinel playbook 可以利用 Azure 逻辑应用中内置模板的所有强大功能。

Azure 逻辑应用使用各种类型的连接器与其他系统和服务通信。 使用 Microsoft Sentinel 连接器创建与 Microsoft Sentinel 交互的 playbook。

注意

Azure 逻辑应用会创建单独的资源,因此可能会产生额外费用。 有关详细信息,请访问 Azure 逻辑应用定价页面

Microsoft Sentinel 连接器组件

在 Microsoft Sentinel 连接器中,使用触发器、操作和动态字段定义 playbook 的工作流:

组件 说明
触发器 触发器是启动工作流的连接器组件,在本例中为 playbook。 Microsoft Sentinel 触发器定义了 playbook 在触发时期望接收的架构。

Microsoft Sentinel 连接器支持以下类型的触发器:

- 警报触发器:playbook 接收警报作为输入。
- 实体触发器:playbook 接收一个实体作为输入。
- 事件触发器:playbook 接收事件作为输入,同时接收其包含的所有警报和实体。
操作 操作是在触发器之后发生的所有步骤。 操作可以按顺序排列、并行排列或以复杂条件矩阵排列。
动态字段 动态字段是可以在触发器之后的操作中使用的临时字段。 动态字段由触发器和操作的输出架构确定,由它们的实际输出进行填充。

Azure 逻辑应用还支持其他类型的连接器,如围绕 API 调用的托管连接器或者自定义连接器。 有关详细信息,请参阅 Azure 逻辑应用连接器及其文档创建自己的自定义 Azure 逻辑应用连接器

支持的逻辑应用类型

Microsoft Sentinel 支持标准 Azure 逻辑应用资源类型

标准:在单租户 Azure 逻辑应用中运行,并使用最近设计的 Azure 逻辑应用引擎。

标准资源提供更高的性能、固定定价、多工作流功能、更轻松的 API 连接管理、内置网络功能和 CI/CD 功能等。 但是,对于 Microsoft Sentinel 中的标准逻辑应用,以下 playbook 功能有所不同:

Feature 说明
创建 Playbook 在 Azure 逻辑应用中手动创建工作流,以在 Microsoft Sentinel 中将其用作 playbook。
专用终结点 如果将标准工作流与专用终结点配合使用,则 Microsoft Sentinel 需要在逻辑应用中定义访问限制策略,以便基于标准工作流在任何 playbook 中为这些专用终结点提供支持。

如果没有访问限制策略,具有专用终结点的工作流在 Microsoft Sentinel 中可能仍可见且可供选择,但其运行将失败。
无状态工作流 虽然在 Azure 逻辑应用中有状态和无状态标准工作流均受支持,但 Microsoft Sentinel 不支持无状态工作流

有关详细信息,请查看有状态和无状态工作流

向 Microsoft Sentinel 进行 playbook 身份验证

Azure 逻辑应用必须单独连接,并独立地对它与之交互的每个资源(包括 Microsoft Sentinel 本身)进行身份验证。 Azure 逻辑应用使用专用连接器实现此目的,每个资源类型都有自己的连接器。

有关详细信息,请参阅向 Microsoft Sentinel 验证 playbook