Microsoft Sentinel SOAR 内容目录

Microsoft Sentinel 提供了各种用于安全业务流程、自动化和响应 (SOAR) 的 playbook 和连接器，以便你可以轻松地将 Microsoft Sentinel 与环境中的任何产品或服务集成。

下面列出的集成可能包含以下部分或全部组件：

组件类型	目的	用例和链接说明
paybook 模板	自动化工作流	使用 playbook 模板来部署可供自动响应威胁的现成 playbook。 在 Microsoft Sentinel 中使用 playbook 自动响应威胁
Azure 逻辑应用托管连接器	用于创建 playbook 的构建基块	Playbook 使用托管连接器与数百个 Microsoft 和非 Microsoft 服务进行通信。 逻辑应用连接器及其文档的列表
Azure 逻辑应用自定义连接器	用于创建 playbook 的构建基块	你可能希望与那些无法用作预生成连接器的服务通信。 自定义连接器可以解决这个需求，因为它可以让你创建甚至共享连接器并定义其自己的触发器和操作。 自定义连接器概述 创建自己的自定义逻辑应用连接器

可以在以下位置找到 SOAR 集成及其组件：

• Microsoft Sentinel 解决方案
• Microsoft Sentinel 自动化边栏选项卡，playbook 模板选项卡
• 逻辑应用设计器（适用于托管逻辑应用连接器）
• Microsoft Sentinel GitHub 存储库

Cisco

产品	集成组件	支持的服务	方案
Cisco FirePower	自定义逻辑应用连接器 攻略	社区	阻止 IP 和 URL

F5

产品	集成组件	支持的服务	方案
Big-IP	攻略	社区	阻止 IP 和 URL

IBM

产品	集成组件	支持的服务	方案
弹性	自定义逻辑应用连接器 攻略	社区	同步事件

InsightVM Cloud API

产品	集成组件	支持的服务	方案
InsightVM Cloud API	自定义逻辑应用连接器 攻略	Microsoft	使用资产信息丰富事件， 扩充漏洞信息， 运行 VM 扫描

Microsoft

产品	集成组件	支持的服务	方案
Azure DevOps	托管逻辑应用连接器 攻略	Microsoft 社区	同步事件
Azure 防火墙 （作为解决方案提供）	自定义逻辑应用连接器 攻略	Microsoft	阻止 IP
Microsoft Entra ID	托管逻辑应用连接器 攻略	Microsoft 社区	用户扩充， 用户修正
Azure 数据资源管理器	托管逻辑应用连接器	Microsoft	查询和调查
Azure Log Analytics 数据收集器	托管逻辑应用连接器	Microsoft 社区	查询和调查

帕洛阿尔托

产品	集成组件	支持的服务	方案
Palo Alto PAN-OS （作为解决方案提供）	自定义逻辑应用连接器 攻略	社区	阻止 IP 和 URL
野火	自定义逻辑应用连接器 攻略	社区	Filehash 扩充和响应

Qualys VM

产品	集成组件	支持的服务	方案
Qualys VM （作为解决方案提供）	自定义逻辑应用连接器 攻略	Microsoft	获取资产详细信息， 通过 CVEID 获取资产， 通过开放端口获取资产， 启动 VM 扫描

Recorded Future

产品	集成组件	支持的服务	方案
Recorded Future Intelligence	托管逻辑应用连接器 攻略	Recorded Future	实体扩充

ServiceNow

产品	集成组件	支持的服务	方案
ServiceNow	托管逻辑应用连接器 攻略	Microsoft 社区	同步事件

URLhaus

产品	集成组件	支持的服务	方案
URLhaus （作为解决方案提供）	自定义逻辑应用连接器 攻略	Microsoft	检查主机和扩充事件， 检查哈希和扩充事件， 检查 URL 并扩充事件

Zscaler

产品	集成组件	支持的服务	方案
Zscaler	攻略	Microsoft	URL 补救措施， 事件扩充

后续步骤

本文档介绍了 Microsoft Sentinel SOAR 内容。

• 详细了解 Microsoft Sentinel 解决方案。
• 发现和部署 Microsoft Sentinel 解决方案。