Ověřování playbooků ve službě Microsoft Sentinel

• Platí pro:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Playbooky Microsoft Sentinel jsou založené na pracovních postupech vytvořených v Azure Logic Apps, cloudové službě, která vám pomůže plánovat, automatizovat a orchestrovat úlohy a pracovní postupy napříč systémy v celém podniku.

Azure Logic Apps se musí připojovat samostatně a ověřovat nezávisle na každém prostředku, každého typu, se kterým komunikuje, včetně samotné služby Microsoft Sentinel. Logic Apps pro tento účel používá specializované konektory , přičemž každý typ prostředku má svůj vlastní konektor.

Tento článek popisuje typy připojení a ověřování podporované pro konektor Logic Apps Microsoft Sentinel. Playbooky můžou používat podporované metody ověřování pro interakci s Microsoft Sentinelem a přístup k datům Microsoft Sentinelu.

Požadavky

Doporučujeme, abyste si před tímto článek přečetli následující články:

• Automatizace reakcí na hrozby pomocí playbooků Microsoft Sentinelu
• Vytváření a správa playbooků Microsoft Sentinelu
• Playbooky Azure Logic Apps pro Microsoft Sentinel
• Podporované triggery a akce v playbookech Microsoft Sentinelu

Pokud chcete udělit spravované identitě přístup k jiným prostředkům, jako je pracovní prostor Microsoft Sentinelu, musí mít přihlášený uživatel roli s oprávněními k zápisu přiřazení rolí, jako je vlastník nebo uživatelský přístup Správa istrator pracovního prostoru Služby Microsoft Sentinel.

Ověřování

Konektor Microsoft Sentinelu v Logic Apps a jeho komponentní triggery a akce můžou fungovat jménem jakékoli identity, která má potřebná oprávnění (čtení nebo zápis) v příslušném pracovním prostoru. Konektor podporuje více typů identit:

• Spravovaná identita (Preview) Pomocí této metody můžete například snížit počet identit, které potřebujete spravovat.
• Instanční objekt (aplikace Microsoft Entra) Registrované aplikace poskytují vylepšenou možnost řídit oprávnění, spravovat přihlašovací údaje a povolovat určitá omezení používání konektoru.
• Uživatel Microsoft Entra

Požadována oprávnění

Bez ohledu na metodu ověřování vyžaduje ověřená identita následující oprávnění k používání různých komponent konektoru Microsoft Sentinelu. Akce zápisu zahrnují akce, jako je aktualizace incidentů nebo přidání komentáře.

Role	Použití triggerů	Použití akcí Čtení	Použití akcí Zápis
Čtenář Microsoft Sentinelu	✓	✓	-
Přispěvatel respondéru/Microsoft Sentinelu	✓	✓	✓

Další informace najdete v tématu Role a oprávnění v požadavcích playbooku Microsoft Sentinel a Microsoft Sentinel.

Ověřování pomocí spravované identity

Ověřování jako spravovaná identita umožňuje udělit oprávnění přímo playbooku, což je prostředek pracovního postupu aplikace logiky. Akce konektoru Microsoft Sentinel prováděné playbookem pak fungují jménem playbooku, jako by šlo o nezávislý objekt s vlastními oprávněními v Microsoft Sentinelu.

Ověření pomocí spravované identity:

1. Povolte spravovanou identitu u prostředku pracovního postupu Logic Apps. Další informace najdete v tématu Povolení identity přiřazené systémem na webu Azure Portal.

   Vaše aplikace logiky teď může používat identitu přiřazenou systémem, která je zaregistrovaná v Microsoft Entra ID a je reprezentována ID objektu.

2. Pomocí následujícího postupu udělte této identitě přístup k pracovnímu prostoru Služby Microsoft Sentinel:

   1. V nabídce Microsoft Sentinel vyberte Nastavení.

   2. Vyberte kartu Nastavení pracovního prostoru. V nabídce pracovního prostoru vyberte Řízení přístupu (IAM).

   3. Na panelu tlačítek v horní části vyberte Přidat a zvolte Přidat přiřazení role. Pokud je možnost Přidat přiřazení role zakázaná, nemáte oprávnění k přiřazování rolí.

   4. Na novém panelu, který se zobrazí, přiřaďte příslušnou roli:

      • Microsoft Sentinel Responder: Playbook obsahuje kroky, které aktualizují incidenty nebo kontrolní seznamy.
      • Čtenář Microsoft Sentinel: Playbook přijímá pouze incidenty

   5. V části Přiřadit přístup vyberte Aplikaci logiky.

   6. Vyberte předplatné, do které playbook patří, a pak vyberte název playbooku.

   7. Zvolte Uložit.

   Další informace najdete v tématu Udělení přístupu k prostředkům identitě.

3. Povolte metodu ověřování spravované identity v konektoru Microsoft Sentinel Logic Apps:

   1. V návrháři Logic Apps přidejte krok konektoru Logic Apps pro Microsoft Sentinel. Pokud už je konektor pro existující připojení povolený, vyberte odkaz Změnit připojení . Příklad:

      

   2. Ve výsledném seznamu připojení vyberte Přidat nové.

   3. Nové připojení vytvoříte tak, že vyberete Připojení se spravovanou identitou (Preview). Příklad:

      

   4. Zadejte název tohoto připojení, vyberte spravovanou identitu přiřazenou systémem a pak vyberte Vytvořit.

      

   5. Výběrem možnosti Vytvořit dokončíte vytváření připojení.

Ověření jako instančního objektu (aplikace Microsoft Entra)

Vytvořte instanční objekt registrací aplikace Microsoft Entra. Doporučujeme používat zaregistrovanou aplikaci jako identitu konektoru místo uživatelského účtu.

Použití vlastní aplikace s konektorem Microsoft Sentinelu:

1. Zaregistrujte aplikaci pomocí Microsoft Entra ID a vytvořte instanční objekt. Další informace naleznete v tématu Vytvoření aplikace Microsoft Entra a instančního objektu, který má přístup k prostředkům.

2. Získejte přihlašovací údaje pro budoucí ověřování. Na stránce registrované aplikace získejte přihlašovací údaje aplikace pro přihlášení:

   • ID klienta v části Přehled
   • Tajný klíč klienta v části Certifikáty a tajné kódy

3. Udělte aplikaci oprávněním pro práci s pracovním prostorem Microsoft Sentinelu:

   1. V pracovním prostoru Microsoft Sentinelu přejděte do Nastavení> Ovládacího prvku Nastavení> Access (IAM)

   2. Vyberte Přidat přiřazení role a pak vyberte roli, kterou chcete přiřadit k aplikaci.

      Pokud například chcete aplikaci povolit provádění akcí, které provádějí změny v pracovním prostoru Služby Microsoft Sentinel, jako je aktualizace incidentu , vyberte roli Přispěvatel Microsoft Sentinelu. Pro akce, které čtou jenom data, stačí role Čtenář služby Microsoft Sentinel.

   3. Vyhledejte požadovanou aplikaci a uložte změny.

      Ve výchozím nastavení se aplikace Microsoft Entra nezobrazují v dostupných možnostech. Pokud chcete najít aplikaci, vyhledejte název a vyberte ji.

4. Pomocí přihlašovacích údajů aplikace se ověřte v konektoru Microsoft Sentinelu v Logic Apps.

   1. V návrháři Logic Apps přidejte krok konektoru Logic Apps pro Microsoft Sentinel.

   2. Pokud už je konektor pro existující připojení povolený, vyberte odkaz Změnit připojení . Příklad:

      

   3. Ve výsledném seznamu připojení vyberte Přidat nový a pak vyberte Připojení s instančním objektem. Příklad:

      

   4. Zadejte požadované hodnoty parametrů, které jsou k dispozici na stránce s podrobnostmi registrované aplikace:

      • Tenant: v části Přehled
      • ID klienta: v části Přehled
      • Tajný klíč klienta: v části Certifikáty a tajné kódy

      Příklad:

      

   5. Výběrem možnosti Vytvořit dokončíte vytváření připojení.

Ověření jako uživatel Microsoft Entra

Vytvoření připojení jako uživatel Microsoft Entra:

1. V návrháři Logic Apps přidejte krok konektoru Logic Apps pro Microsoft Sentinel. Pokud už je konektor pro existující připojení povolený, vyberte odkaz Změnit připojení . Příklad:

   

2. Ve výsledném seznamu připojení vyberte Přidat nový a pak vyberte Přihlásit se.

   

3. Po zobrazení výzvy zadejte svoje přihlašovací údaje a podle zbývajících pokynů na obrazovce vytvořte připojení.

Zobrazení a úprava připojení rozhraní API playbooku

Připojení rozhraní API se používají k připojení Azure Logic Apps k jiným službám, včetně Microsoft Sentinelu. Pokaždé, když se vytvoří nové ověřování pro konektor v Azure Logic Apps, vytvoří se nový prostředek připojení rozhraní API obsahující podrobnosti, které jsou k dispozici při konfiguraci přístupu ke službě. Stejné připojení rozhraní API je možné použít ve všech akcích a triggerech Microsoft Sentinelu ve stejné skupině prostředků.

Pokud chcete zobrazit připojení rozhraní API, udělejte jednu z těchto věcí:

• Na webu Azure Portal vyhledejte připojení rozhraní API. Pomocí následujících dat vyhledejte připojení rozhraní API pro playbook:

  • Zobrazovaný název: Popisný název, který dáte připojení pokaždé, když ho vytvoříte.
  • Stav: Stav připojení rozhraní API.
  • Skupina prostředků: Připojení rozhraní API pro playbooky Microsoftu se vytvářejí ve skupině prostředků playbooku (Azure Logic Apps).

• Na webu Azure Portal zobrazte všechny prostředky a vyfiltrujte zobrazení podle konektoru rozhraní API typu = . Tato metoda umožňuje vybrat, označit a odstranit více připojení najednou.

Pokud chcete změnit autorizaci stávajícího připojení, zadejte prostředek připojení a vyberte Upravit připojení rozhraní API.

Související obsah

Další informace naleznete v tématu:

• Automatizace reakcí na hrozby pomocí playbooků v Microsoft Sentinelu
• Vytváření a správa playbooků Microsoft Sentinelu
• Automatizace a spouštění playbooků Microsoft Sentinelu