Microsoft Sentinel 提供了各种用于安全业务流程、自动化和响应 (SOAR) 的 playbook 和连接器,以便你可以轻松地将 Microsoft Sentinel 与环境中的任何产品或服务集成。
下面列出的集成可能包含以下部分或全部组件:
| 组件类型 | 目的 | 用例和链接说明 |
|---|---|---|
| paybook 模板 | 自动化工作流 | 使用 playbook 模板来部署可供自动响应威胁的现成 playbook。 在 Microsoft Sentinel 中使用 playbook 自动响应威胁 |
| Azure 逻辑应用托管连接器 | 用于创建 playbook 的构建基块 | Playbook 使用托管连接器与数百个 Microsoft 和非 Microsoft 服务进行通信。 逻辑应用连接器及其文档的列表 |
| Azure 逻辑应用自定义连接器 | 用于创建 playbook 的构建基块 | 你可能希望与那些无法用作预生成连接器的服务通信。 自定义连接器可以解决这个需求,因为它可以让你创建甚至共享连接器并定义其自己的触发器和操作。 |
可以在以下位置找到 SOAR 集成及其组件:
- Microsoft Sentinel 解决方案
- Microsoft Sentinel 自动化边栏选项卡,playbook 模板选项卡
- 逻辑应用设计器(适用于托管逻辑应用连接器)
- Microsoft Sentinel GitHub 存储库
提示
- 许多 SOAR 集成还可连同相关的数据连接器、分析规则和工作簿,部署为 Microsoft Sentinel 解决方案的一部分。 有关详细信息,请参阅 Microsoft Sentinel 解决方案目录。
- 更多集成由 Microsoft Sentinel 社区提供,可在 GitHub 存储库中找到。
- 如果有未列出或当前不受支持的产品或服务,请提交功能请求。
你还可以使用以下工具创建自己的工具:- 逻辑应用自定义连接器
- Azure 函数
- 逻辑应用 HTTP 调用
| 产品 | 集成组件 | 支持的服务 | 方案 |
|---|---|---|---|
| Cisco FirePower | 自定义逻辑应用连接器 攻略 |
社区 | 阻止 IP 和 URL |
| 产品 | 集成组件 | 支持的服务 | 方案 |
|---|---|---|---|
| Big-IP | 攻略 | 社区 | 阻止 IP 和 URL |
| 产品 | 集成组件 | 支持的服务 | 方案 |
|---|---|---|---|
| 弹性 | 自定义逻辑应用连接器 攻略 |
社区 | 同步事件 |
| 产品 | 集成组件 | 支持的服务 | 方案 |
|---|---|---|---|
| InsightVM Cloud API | 自定义逻辑应用连接器 攻略 |
Microsoft | 使用资产信息丰富事件, 扩充漏洞信息, 运行 VM 扫描 |
| 产品 | 集成组件 | 支持的服务 | 方案 |
|---|---|---|---|
| Azure DevOps | 托管逻辑应用连接器 攻略 |
Microsoft 社区 |
同步事件 |
| Azure 防火墙 (作为解决方案提供) |
自定义逻辑应用连接器 攻略 |
Microsoft | 阻止 IP |
| Microsoft Entra ID | 托管逻辑应用连接器 攻略 |
Microsoft 社区 |
用户扩充, 用户修正 |
| Azure 数据资源管理器 | 托管逻辑应用连接器 | Microsoft | 查询和调查 |
| Azure Log Analytics 数据收集器 | 托管逻辑应用连接器 | Microsoft 社区 |
查询和调查 |
| 产品 | 集成组件 | 支持的服务 | 方案 |
|---|---|---|---|
| Palo Alto PAN-OS (作为解决方案提供) |
自定义逻辑应用连接器 攻略 |
社区 | 阻止 IP 和 URL |
| 野火 | 自定义逻辑应用连接器 攻略 |
社区 | Filehash 扩充和响应 |
| 产品 | 集成组件 | 支持的服务 | 方案 |
|---|---|---|---|
| Qualys VM (作为解决方案提供) |
自定义逻辑应用连接器 攻略 |
Microsoft | 获取资产详细信息, 通过 CVEID 获取资产, 通过开放端口获取资产, 启动 VM 扫描 |
| 产品 | 集成组件 | 支持的服务 | 方案 |
|---|---|---|---|
| Recorded Future Intelligence | 托管逻辑应用连接器 攻略 |
Recorded Future | 实体扩充 |
| 产品 | 集成组件 | 支持的服务 | 方案 |
|---|---|---|---|
| ServiceNow | 托管逻辑应用连接器 攻略 |
Microsoft 社区 |
同步事件 |
| 产品 | 集成组件 | 支持的服务 | 方案 |
|---|---|---|---|
| URLhaus (作为解决方案提供) |
自定义逻辑应用连接器 攻略 |
Microsoft | 检查主机和扩充事件, 检查哈希和扩充事件, 检查 URL 并扩充事件 |
| 产品 | 集成组件 | 支持的服务 | 方案 |
|---|---|---|---|
| Zscaler | 攻略 | Microsoft | URL 补救措施, 事件扩充 |
本文档介绍了 Microsoft Sentinel SOAR 内容。