向 Microsoft Sentinel 验证 playbook
Microsoft Sentinel playbook 基于在 Azure 逻辑应用中构建的工作流,这是一项云服务,可帮助计划、自动执行和编排整个企业范围内系统中的任务和工作流。
Azure 逻辑应用必须单独连接,并独立地对它与之交互的每个资源(包括 Microsoft Sentinel 本身)进行身份验证。 逻辑应用使用专用连接器实现此目的,每个资源类型都有自己的连接器。
本文介绍逻辑应用 Microsoft Sentinel 连接器支持的连接类型和身份验证类型。 Playbook 可以使用支持的身份验证方法与 Microsoft Sentinel 交互并访问你的 Microsoft Sentinel 数据。
先决条件
建议在阅读此文章之前阅读以下文章:
- 使用 Microsoft Sentinel playbook 自动响应威胁
- 创建和管理 Microsoft Sentinel playbook
- 适用于 Microsoft Sentinel playbook 的 Azure 逻辑应用
- Microsoft Sentinel playbook 中支持的触发器和操作
要授予托管标识对其他资源(如 Microsoft Sentinel 工作区)的访问权限,登录用户必须拥有有权编写角色分配的角色,例如 Microsoft Sentinel 工作区的所有者或用户访问管理员。
身份验证
逻辑应用中的 Microsoft Sentinel 连接器及其组件触发器和操作可以代表对相关工作区拥有必需权限(读取和/或写入)的任何标识进行操作。 连接器支持多种标识类型:
- 托管标识(预览版)。 例如,使用此方法降低需要管理的标识数。
- 服务主体(Microsoft Entra 应用程序)。 已注册的应用程序提供了控制权限、管理凭据以及对连接器的使用施加某些限制的增强能力。
- Microsoft Entra 用户
所需的权限
无论身份验证方法如何,经过身份验证的标识都需要以下权限才能使用 Microsoft Sentinel 连接器的各个组件。 “写入”操作包括诸如更新事件或添加注释等操作。
| 角色 | 使用触发器 | 使用“读取”操作 | 使用“写入”操作 |
|---|---|---|---|
| Microsoft Sentinel 读取者 | ✓ | ✓ | - |
| Microsoft Sentinel 响应者/参与者 | ✓ | ✓ | ✓ |
有关详细信息,请参阅 Microsoft Sentinel 中的角色和权限以及 Microsoft Sentinel playbook 先决条件。
使用托管标识进行身份验证
作为托管标识进行身份验证时,你可以将权限直接授予 playbook,它是一种逻辑应用工作流资源。 然后,playbook 采取的 Microsoft Sentinel 连接器操作会代表 playbook 运行,就好像它是一个独立的对象,对 Microsoft Sentinel 有着自己的权限。
使用托管标识进行身份验证:
在逻辑应用工作流资源上启用托管标识。 有关详细信息,请参阅在 Azure 门户中启用系统分配的标识。
逻辑应用现在可以使用系统分配的标识,该标识注册到 Microsoft Entra ID,由对象 ID 表示。
使用以下步骤向该标识授予对 Microsoft Sentinel 工作区的访问权限:
在 Microsoft Sentinel 菜单中,选择“设置”。
选择“工作区设置”选项卡。从“工作区”菜单中,选择“访问控制(IAM)” 。
在顶部的按钮栏中,依次选择“添加”、“添加角色分配” 。 如果已禁用“添加角色分配”选项,那么你没有权限分配角色。
在显示的新面板中,分配适当的角色:
- Microsoft Sentinel 响应者:Playbook 具有更新事件或监视列表的步骤
- Microsoft Sentinel 读者:Playbook 仅接收事件
在“将访问权限分配给”下,选择“逻辑应用”。
选择 Playbook 所属的订阅,然后选择相应的 Playbook 名称。
选择“保存”。
有关详细信息,请参阅将标识访问权限授予资源。
在 Microsoft Sentinel 逻辑应用连接器中启用托管标识身份验证方法:
在逻辑应用设计器中,添加 Microsoft Sentinel 逻辑应用连接器步骤。 如果已为现有连接启用连接器,请选择“更改连接”链接。 例如:
在连接的结果列表中,选择“新增”。
通过选择“通过托管标识连接(预览版)”来创建新连接。 例如:
输入此连接的名称,选择“系统分配的托管标识”,然后选择“创建”。
选择“创建”以完成创建连接。
作为服务主体进行身份验证(Microsoft Entra 应用程序)
通过注册 Microsoft Entra 应用程序创建服务主体。 建议使用已注册的应用程序作为连接器的标识,而不是用户帐户。
将你自己的应用程序与 Microsoft Sentinel 连接器配合使用:
向 Microsoft Entra ID 注册应用程序并创建服务主体。 有关详细信息,请参阅创建可访问资源的 Microsoft Entra 应用程序和服务主体。
获取凭据以供将来的身份验证使用。 在“已注册的应用程序”页中,获取用于登录的应用程序凭据:
- 客户端 ID,位于“概述”下
- 客户端密码,位于“证书和机密”下
向应用授予使用 Microsoft Sentinel 工作区的权限:
在 Microsoft Sentinel 工作区中,转到“设置”>“工作区设置”>“访问控制(IAM)”
选择“添加角色分配”,然后选择要分配给应用程序的角色。
例如,若要允许应用程序执行在 Microsoft Sentinel 工作区中进行更改的操作(如更新事件),请选择“Microsoft Sentinel 参与者”角色。 对于仅读取数据的操作,“Microsoft Sentinel 读者”角色就足够了。
找到所需的应用程序并保存所做的更改。
默认情况下,可用选项中不显示 Microsoft Entra 应用程序。 若要查找应用程序,请搜索其名称并选中它。
使用应用凭据对逻辑应用中的 Microsoft Sentinel 连接器进行身份验证。
在逻辑应用设计器中,添加 Microsoft Sentinel 逻辑应用连接器步骤。
如果已为现有连接启用连接器,请选择“更改连接”链接。 例如:
在生成的连接列表中,选择“新增”,然后选择“使用服务主体连接”。 例如:
输入在已注册应用程序的详细信息页中提供的必需参数值:
- 租户:位于“概述”下
- 客户端 ID:位于“概述”下
- “客户端密码”:位于“客户端和密码”下
例如:
选择“创建”以完成创建连接。
作为 Microsoft Entra 用户进行身份验证
以 Microsoft Entra 用户身份建立连接:
在逻辑应用设计器中,添加 Microsoft Sentinel 逻辑应用连接器步骤。 如果已为现有连接启用连接器,请选择“更改连接”链接。 例如:
在生成的连接列表中,选择“新增”,然后选择“登录”。
出现提示时输入凭据,然后按照屏幕上的剩余说明创建连接。
查看和编辑 playbook API 连接
API 连接用于将 Azure 逻辑应用连接到其他服务,包括 Microsoft Sentinel。 每次对 Azure 逻辑应用中的连接器进行新的身份验证时,都会创建一个新的 API 连接资源,其中包含配置对服务的访问权限时提供的详细信息。 相同的 API 连接可以在同一资源组中的所有 Microsoft Sentinel 操作和触发器中使用。
若要查看 API 连接,请执行以下操作之一:
在 Azure 门户中,搜索“API 连接”。 使用以下数据找到你的 playbook 的 API 连接:
- 显示名称:每次创建连接时为连接指定的易记名称。
- 状态:API 连接的状态。
- 资源组:Microsoft playbook 的 API 连接是在 playbook(Azure 逻辑应用)资源的资源组中创建的。
在 Azure 门户中,查看所有资源,并按“类型” = “API 连接器”筛选视图。 此方法允许一次性选择、标记和删除多个连接。
若要更改现有连接的授权,请输入连接资源,然后选择“编辑 API 连接”。
相关内容
有关详细信息,请参阅: