重要
注意: 2026 年 8 月 18 日,根据 世纪互联发布的公告,所有Microsoft Sentinel 功能将在中国 Azure 正式停用。
Microsoft Sentinel 提供了各种 playbook 和连接器,用于安全业务流程、自动化和响应(SOAR),以便你可以轻松地将 Microsoft Sentinel 与环境中的任何产品或服务集成。
下面列出的集成可能包括以下部分或全部组件:
| 组件类型 | 目的 | 用例和链接说明 |
|---|---|---|
| Playbook 模板 | 自动化工作流 | 使用 playbook 模板部署现成的 playbook 以自动响应威胁。 在 Microsoft Sentinel 中使用 playbook 自动响应威胁 |
| Azure 逻辑应用托管连接器 | 用于创建 playbook 的构建基块 | Playbook 使用托管连接器与数百个Microsoft和非Microsoft服务通信。 逻辑应用连接器及其文档列表 |
| Azure 逻辑应用自定义连接器 | 用于创建 playbook 的构建基块 | 你可能想要与作为预生成连接器不可用的服务进行通信。 自定义连接器通过允许创建连接器(甚至共享)并定义其自己的触发器和作来解决这一需求。 |
可以在以下位置找到 SOAR 集成及其组件:
- Microsoft Sentinel 解决方案
- Microsoft Sentinel 自动化边栏选项卡,playbook 模板选项卡
- 逻辑应用设计器(适用于托管逻辑应用连接器)
- Microsoft Sentinel GitHub 存储库
小窍门
- 许多 SOAR 集成可以部署为 Microsoft Sentinel 解决方案的一部分,以及相关的数据连接器、分析规则和工作簿。 有关详细信息,请参阅 Microsoft Sentinel 解决方案目录。
- Microsoft Sentinel 社区提供了更多集成,可在 GitHub 存储库中找到。
- 如果你的产品或服务未列出或当前受支持,请提交功能请求。
还可以使用以下工具创建自己的工具:- 逻辑应用自定义连接器
- Azure 函数
- 逻辑应用 HTTP 调用
思科
| 产品 | 集成组件 | 支持的服务 | 情境 |
|---|---|---|---|
| Cisco FirePower | 自定义逻辑应用连接器 演练手册 |
Community | 阻止 IP 和 URL |
F5
| 产品 | 集成组件 | 支持的服务 | 情境 |
|---|---|---|---|
| Big-IP | 演练手册 | Community | 阻止 IP 和 URL |
IBM
| 产品 | 集成组件 | 支持的服务 | 情境 |
|---|---|---|---|
| 弹性 | 自定义逻辑应用连接器 演练手册 |
Community | 同步事件 |
InsightVM 云 API
| 产品 | 集成组件 | 支持的服务 | 情境 |
|---|---|---|---|
| InsightVM 云 API | 自定义逻辑应用连接器 演练手册 |
微软 | 使用资产信息丰富事件, 扩充漏洞信息, 运行 VM 扫描 |
微软
| 产品 | 集成组件 | 支持的服务 | 情境 |
|---|---|---|---|
| Azure DevOps | 托管逻辑应用连接器 演练手册 |
微软 Community |
同步事件 |
|
Azure 防火墙 (作为解决方案提供) |
自定义逻辑应用连接器 演练手册 |
微软 | 阻止 IP |
| Microsoft Entra ID |
托管逻辑应用连接器 演练手册 |
微软 Community |
用户扩充, 用户修正 |
| Azure 数据资源管理器 | 托管逻辑应用连接器 | 微软 | 查询和调查 |
| Azure Log Analytics 数据收集器 | 托管逻辑应用连接器 | 微软 Community |
查询和调查 |
帕洛阿尔托
| 产品 | 集成组件 | 支持的服务 | 情境 |
|---|---|---|---|
|
Palo Alto PAN-OS (作为解决方案提供) |
自定义逻辑应用连接器 演练手册 |
Community | 阻止 IP 和 URL |
| 野火 | 自定义逻辑应用连接器 演练手册 |
Community | Filehash 扩充和响应 |
Qualys VM
| 产品 | 集成组件 | 支持的服务 | 情境 |
|---|---|---|---|
|
Qualys VM (作为解决方案提供) |
自定义逻辑应用连接器 演练手册 |
微软 | 获取资产详细信息, 按 CVEID 获取资产, 通过打开端口获取资产, 启动 VM 扫描 |
记录的未来
| 产品 | 集成组件 | 支持的服务 | 情境 |
|---|---|---|---|
| 记录的未来智能 |
托管逻辑应用连接器 演练手册 |
记录的未来 | 实体扩充 |
ServiceNow
| 产品 | 集成组件 | 支持的服务 | 情境 |
|---|---|---|---|
| ServiceNow |
托管逻辑应用连接器 演练手册 |
微软 Community |
同步事件 |
URLhaus
| 产品 | 集成组件 | 支持的服务 | 情境 |
|---|---|---|---|
|
URLhaus (作为解决方案提供) |
自定义逻辑应用连接器 演练手册 |
微软 | 检查主机和扩充事件, 检查哈希和扩充事件, 检查 URL 和扩充事件 |
Zscaler
| 产品 | 集成组件 | 支持的服务 | 情境 |
|---|---|---|---|
| Zscaler | 演练手册 | 微软 | URL 修正, 事件扩充 |
后续步骤
本文档介绍了Microsoft Sentinel SOAR 内容。