向 Microsoft Sentinel 验证 playbook

Microsoft Sentinel playbook 基于在 Azure 逻辑应用中构建的工作流,这是一项云服务,可帮助计划、自动执行和编排整个企业范围内系统中的任务和工作流。

Azure 逻辑应用必须单独连接,并独立地对它与之交互的每个资源(包括 Microsoft Sentinel 本身)进行身份验证。 逻辑应用使用专用连接器实现此目的,每个资源类型都有自己的连接器。

本文介绍逻辑应用 Microsoft Sentinel 连接器支持的连接类型和身份验证类型。 Playbook 可以使用支持的身份验证方法与 Microsoft Sentinel 交互并访问你的 Microsoft Sentinel 数据。

先决条件

建议在阅读此文章之前阅读以下文章:

要授予托管标识对其他资源(如 Microsoft Sentinel 工作区)的访问权限,登录用户必须拥有有权编写角色分配的角色,例如 Microsoft Sentinel 工作区的所有者用户访问管理员

身份验证

逻辑应用中的 Microsoft Sentinel 连接器及其组件触发器和操作可以代表对相关工作区拥有必需权限(读取和/或写入)的任何标识进行操作。 连接器支持多种标识类型:

所需的权限

无论身份验证方法如何,经过身份验证的标识都需要以下权限才能使用 Microsoft Sentinel 连接器的各个组件。 “写入”操作包括诸如更新事件或添加注释等操作。

角色 使用触发器 使用“读取”操作 使用“写入”操作
Microsoft Sentinel 读取者 -
Microsoft Sentinel 响应者/参与者

有关详细信息,请参阅 Microsoft Sentinel 中的角色和权限以及 Microsoft Sentinel playbook 先决条件

使用托管标识进行身份验证

作为托管标识进行身份验证时,你可以将权限直接授予 playbook,它是一种逻辑应用工作流资源。 然后,playbook 采取的 Microsoft Sentinel 连接器操作会代表 playbook 运行,就好像它是一个独立的对象,对 Microsoft Sentinel 有着自己的权限。

使用托管标识进行身份验证

  1. 在逻辑应用工作流资源上启用托管标识。 有关详细信息,请参阅在 Azure 门户中启用系统分配的标识

    逻辑应用现在可以使用系统分配的标识,该标识注册到 Microsoft Entra ID,由对象 ID 表示。

  2. 使用以下步骤向该标识授予对 Microsoft Sentinel 工作区的访问权限:

    1. 在 Microsoft Sentinel 菜单中,选择“设置”。

    2. 选择“工作区设置”选项卡。从“工作区”菜单中,选择“访问控制(IAM)” 。

    3. 在顶部的按钮栏中,依次选择“添加”、“添加角色分配” 。 如果已禁用“添加角色分配”选项,那么你没有权限分配角色。

    4. 在显示的新面板中,分配适当的角色:

    5. 在“将访问权限分配给”下,选择“逻辑应用”。

    6. 选择 Playbook 所属的订阅,然后选择相应的 Playbook 名称。

    7. 选择“保存”。

    有关详细信息,请参阅将标识访问权限授予资源

  3. 在 Microsoft Sentinel 逻辑应用连接器中启用托管标识身份验证方法:

    1. 在逻辑应用设计器中,添加 Microsoft Sentinel 逻辑应用连接器步骤。 如果已为现有连接启用连接器,请选择“更改连接”链接。 例如:

      “更改连接”链接的屏幕截图。

    2. 在连接的结果列表中,选择“新增”

    3. 通过选择“通过托管标识连接(预览版)”来创建新连接。 例如:

      “使用托管标识连接”选项的屏幕截图。

    4. 输入此连接的名称,选择“系统分配的托管标识”,然后选择“创建”

      “使用托管标识连接”链接的屏幕截图。

    5. 选择“创建”以完成创建连接

作为服务主体进行身份验证(Microsoft Entra 应用程序)

通过注册 Microsoft Entra 应用程序创建服务主体。 建议使用已注册的应用程序作为连接器的标识,而不是用户帐户。

将你自己的应用程序与 Microsoft Sentinel 连接器配合使用

  1. 向 Microsoft Entra ID 注册应用程序并创建服务主体。 有关详细信息,请参阅创建可访问资源的 Microsoft Entra 应用程序和服务主体

  2. 获取凭据以供将来的身份验证使用。 在“已注册的应用程序”页中,获取用于登录的应用程序凭据:

    • 客户端 ID,位于“概述”
    • 客户端密码,位于“证书和机密”下
  3. 向应用授予使用 Microsoft Sentinel 工作区的权限:

    1. 在 Microsoft Sentinel 工作区中,转到“设置”>“工作区设置”>“访问控制(IAM)”

    2. 选择“添加角色分配”,然后选择要分配给应用程序的角色。

      例如,若要允许应用程序执行在 Microsoft Sentinel 工作区中进行更改的操作(如更新事件),请选择“Microsoft Sentinel 参与者”角色。 对于仅读取数据的操作,“Microsoft Sentinel 读者”角色就足够了。

    3. 找到所需的应用程序并保存所做的更改。

      默认情况下,可用选项中不显示 Microsoft Entra 应用程序。 若要查找应用程序,请搜索其名称并选中它。

  4. 使用应用凭据对逻辑应用中的 Microsoft Sentinel 连接器进行身份验证。

    1. 在逻辑应用设计器中,添加 Microsoft Sentinel 逻辑应用连接器步骤。

    2. 如果已为现有连接启用连接器,请选择“更改连接”链接。 例如:

      “更改连接”链接的屏幕截图。

    3. 在生成的连接列表中,选择“新增”,然后选择“使用服务主体连接”。 例如:

      已选择“服务主体”选项的屏幕截图。

    4. 输入在已注册应用程序的详细信息页中提供的必需参数值:

      • 租户:位于“概述”下
      • 客户端 ID:位于“概述”下
      • “客户端密码”:位于“客户端和密码”

      例如:

      “使用服务主体连接”参数的屏幕截图。

    5. 选择“创建”以完成创建连接

作为 Microsoft Entra 用户进行身份验证

以 Microsoft Entra 用户身份建立连接:

  1. 在逻辑应用设计器中,添加 Microsoft Sentinel 逻辑应用连接器步骤。 如果已为现有连接启用连接器,请选择“更改连接”链接。 例如:

    “更改连接”链接的屏幕截图。

  2. 在生成的连接列表中,选择“新增”,然后选择“登录”。

    已选择“登录”按钮的屏幕截图。

  3. 出现提示时输入凭据,然后按照屏幕上的剩余说明创建连接。

查看和编辑 playbook API 连接

API 连接用于将 Azure 逻辑应用连接到其他服务,包括 Microsoft Sentinel。 每次对 Azure 逻辑应用中的连接器进行新的身份验证时,都会创建一个新的 API 连接资源,其中包含配置对服务的访问权限时提供的详细信息。 相同的 API 连接可以在同一资源组中的所有 Microsoft Sentinel 操作和触发器中使用。

若要查看 API 连接,请执行以下操作之一:

  • 在 Azure 门户中,搜索“API 连接”。 使用以下数据找到你的 playbook 的 API 连接:

    • 显示名称:每次创建连接时为连接指定的易记名称。
    • 状态:API 连接的状态。
    • 资源组:Microsoft playbook 的 API 连接是在 playbook(Azure 逻辑应用)资源的资源组中创建的。
  • 在 Azure 门户中,查看所有资源,并按“类型” = “API 连接器”筛选视图。 此方法允许一次性选择、标记和删除多个连接。

若要更改现有连接的授权,请输入连接资源,然后选择“编辑 API 连接”

有关详细信息,请参阅: