Microsoft Sentinel playbook 中支持的触发器和操作

本文介绍逻辑应用 Microsoft Sentinel 连接器支持的触发器和操作。使用 Microsoft Sentinel playbook 中列出的触发器和操作与 Microsoft Sentinel 数据进行交互。

重要

注明的功能目前处于预览状态。请参阅 Azure 预览版的补充使用条款，了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

先决条件

在开始之前，请确保你拥有以下使用 Microsoft Sentinel 连接器组件所需的 Azure 权限：

角色	使用触发器	获取可用操作	更新事件，添加注释
Microsoft Sentinel 读取者	✓	✓	-
Microsoft Sentinel 响应者/参与者	✓	✓	✓

Microsoft Sentinel 连接器以及 Microsoft Sentinel playbook 支持以下触发器：

Microsoft Sentinel 事件。建议用于大多数事件自动化情况。

Playbook 接收事件对象，包括实体和警报。此触发器允许将 playbook 附加到自动化规则，无论何时在 Microsoft Sentinel 中创建或更新事件，都可以触发 playbook，并将自动化规则的优点全部都应用到事件。
Microsoft Sentinel 警报（预览版）。建议用于必须针对警报手动运行的 playbook，或用于不生成警报事件的计划分析规则。
- 此触发器不能用于自动响应由 Microsoft 安全分析规则生成的警报。
- 自动化规则无法调用使用此触发器的 playbook。
Microsoft Sentinel 实体。建议用于必须对调查或威胁搜寻上下文中的特定实体手动运行的 playbook。自动化规则无法调用使用此触发器的 playbook。

这些流使用的架构并不相同。对于大多数情况，建议使用“Microsoft Sentinel 事件触发器”流。

从 Microsoft Sentinel 事件接收的“事件”对象包括以下动态字段：

字段名称	说明
事件属性	显示为 Incident: <字段名称>
警报	以下警报属性的数组，显示为 Alert: <字段名称>。由于每个事件可以包含多个警报，因此选择警报属性会自动生成一个 for each 循环，以涵盖事件中的所有警报。
实体	所有警报实体的数组
工作区信息字段	在其中创建事件的 Microsoft Sentinel 工作区的详细信息，包括： - 订阅 ID - 工作区名称 - 工作区 ID - 资源组名称

Microsoft Sentinel 连接器以及 Microsoft Sentinel playbook 支持以下操作：

操作	何时使用
“警报 - 获取事件”	在以警报触发器开头的 playbook 中。可用于获取事件属性，或检索“事件 ARM ID”以与“更新事件”或“向事件添加注释”操作一起使用。
获取事件	从外部源或使用非 Sentinel 触发器触发 playbook 时。使用“事件 ARM ID”标识。检索事件属性和注释。
更新事件	更改事件的“状态”（例如，关闭事件时），分配“所有者”，添加或删除标记，或更改其“严重性”、“标题”或“说明”。
“向事件添加注释”	用从外部源收集的信息扩充事件；审核 playbook 对实体执行的操作；提供对事件调查有用的其他信息。
实体 - 获取 <entity type>	在处理创建 playbook 时已知的特定实体类型（“IP”、“帐户”、“主机”、**URL 或“FileHash”）的 playbook 中，并且需要能够对其进行分析和处理其唯一字段。

提示

操作“更新事件”和操作“向事件添加注释”需要“事件 ARM ID”。

事先使用“警报-获取事件”操作来获取“事件 ARM ID”。

“实体”动态字段是 JSON 对象的数组，其中每个对象都表示一个实体。每个实体类型都有自己的架构，具体取决于它的唯一属性。

“实体 - 获取 <实体类型>”操作可执行以下操作：

输入是“实体”动态字段。

响应是实体的数组，其中特殊属性经过分析，并可直接在“For each”循环中使用。

当前支持的实体类型包括：

下图显示了可用于实体的操作示例：

实体操作列表的屏幕截图。

对于其他实体类型，可以使用逻辑应用的内置操作来实现类似的功能：

有关详细信息，请参阅：