适用于 Microsoft Sentinel playbook 的 Azure 逻辑应用
Microsoft Sentinel playbook 基于在 Azure 逻辑应用中构建的工作流,这是一项云服务,可帮助计划、自动执行和编排整个企业范围内系统中的任务和工作流。 Microsoft Sentinel playbook 可以利用 Azure 逻辑应用中内置模板的所有强大功能。
Azure 逻辑应用使用各种类型的连接器与其他系统和服务通信。 使用 Microsoft Sentinel 连接器创建与 Microsoft Sentinel 交互的 playbook。
注意
Azure 逻辑应用会创建单独的资源,因此可能会产生额外费用。 有关详细信息,请访问 Azure 逻辑应用定价页面。
Microsoft Sentinel 连接器组件
在 Microsoft Sentinel 连接器中,使用触发器、操作和动态字段定义 playbook 的工作流:
| 组件 | 说明 |
|---|---|
| 触发器 | 触发器是启动工作流的连接器组件,在本例中为 playbook。 Microsoft Sentinel 触发器定义了 playbook 在触发时期望接收的架构。 Microsoft Sentinel 连接器支持以下类型的触发器: - 警报触发器:playbook 接收警报作为输入。 - 实体触发器:playbook 接收一个实体作为输入。 - 事件触发器:playbook 接收事件作为输入,同时接收其包含的所有警报和实体。 |
| 操作 | 操作是在触发器之后发生的所有步骤。 操作可以按顺序排列、并行排列或以复杂条件矩阵排列。 |
| 动态字段 | 动态字段是可以在触发器之后的操作中使用的临时字段。 动态字段由触发器和操作的输出架构确定,由它们的实际输出进行填充。 |
Azure 逻辑应用还支持其他类型的连接器,如围绕 API 调用的托管连接器或者自定义连接器。 有关详细信息,请参阅 Azure 逻辑应用连接器及其文档和创建自己的自定义 Azure 逻辑应用连接器。
支持的逻辑应用类型
Microsoft Sentinel 支持标准 Azure 逻辑应用资源类型:
标准:在单租户 Azure 逻辑应用中运行,并使用最近设计的 Azure 逻辑应用引擎。
标准资源提供更高的性能、固定定价、多工作流功能、更轻松的 API 连接管理、内置网络功能和 CI/CD 功能等。 但是,对于 Microsoft Sentinel 中的标准逻辑应用,以下 playbook 功能有所不同:
| Feature | 说明 |
|---|---|
| 创建 Playbook | 在 Azure 逻辑应用中手动创建工作流,以在 Microsoft Sentinel 中将其用作 playbook。 |
| 专用终结点 | 如果将标准工作流与专用终结点配合使用,则 Microsoft Sentinel 需要在逻辑应用中定义访问限制策略,以便基于标准工作流在任何 playbook 中为这些专用终结点提供支持。 如果没有访问限制策略,具有专用终结点的工作流在 Microsoft Sentinel 中可能仍可见且可供选择,但其运行将失败。 |
| 无状态工作流 | 虽然在 Azure 逻辑应用中有状态和无状态标准工作流均受支持,但 Microsoft Sentinel 不支持无状态工作流。 有关详细信息,请查看有状态和无状态工作流。 |
向 Microsoft Sentinel 进行 playbook 身份验证
Azure 逻辑应用必须单独连接,并独立地对它与之交互的每个资源(包括 Microsoft Sentinel 本身)进行身份验证。 Azure 逻辑应用使用专用连接器实现此目的,每个资源类型都有自己的连接器。
有关详细信息,请参阅向 Microsoft Sentinel 验证 playbook。
相关内容
- Azure 逻辑应用文档中的资源类型和主机环境差异
- Azure 逻辑应用文档中的适用于 Azure 逻辑应用的 Microsoft Sentinel 连接器
- 创建和管理 Microsoft Sentinel playbook