Delen via


Azure Logic Apps voor Microsoft Sentinel-playbooks

Microsoft Sentinel-playbooks zijn gebaseerd op werkstromen die zijn gebouwd in Azure Logic Apps, een cloudservice waarmee u taken en werkstromen in verschillende systemen in de hele onderneming kunt plannen, automatiseren en organiseren. Microsoft Sentinel-playbooks kunnen profiteren van alle mogelijkheden en mogelijkheden van de ingebouwde sjablonen in Azure Logic Apps.

Azure Logic Apps communiceert met andere systemen en services met behulp van verschillende typen connectors. Gebruik de Microsoft Sentinel-connector om playbooks te maken die communiceren met Microsoft Sentinel.

Notitie

Azure Logic Apps maakt afzonderlijke resources, dus er kunnen extra kosten van toepassing zijn. Ga naar de pagina met prijzen van Azure Logic Apps voor meer informatie.

Microsoft Sentinel-connectoronderdelen

Gebruik in de Microsoft Sentinel-connector triggers, acties en dynamische velden om de werkstroom van uw playbook te definiëren:

Onderdeel Beschrijving
Trigger Een trigger is het connectoronderdeel waarmee een werkstroom wordt gestart, in dit geval een playbook. Een Microsoft Sentinel-trigger definieert het schema dat het playbook verwacht te ontvangen wanneer deze wordt geactiveerd.

De Microsoft Sentinel-connector ondersteunt de volgende typen triggers:

- Waarschuwingstrigger: Het playbook ontvangt een waarschuwing als invoer.
- Entiteittrigger: Het playbook ontvangt een entiteit als invoer.
- Incidenttrigger: Het playbook ontvangt een incident als invoer, samen met alle opgenomen waarschuwingen en entiteiten.
Acties acties zijn alle stappen die na de trigger plaatsvinden. Acties kunnen opeenvolgend, parallel of in een matrix met complexe voorwaarden worden gerangschikt.
Dynamische velden Dynamische velden zijn tijdelijke velden die kunnen worden gebruikt in de acties die volgen op uw trigger. Dynamische velden worden bepaald door het uitvoerschema van triggers en acties en worden ingevuld door hun werkelijke uitvoer.

Azure Logic Apps biedt ook ondersteuning voor andere typen connectors, zoals beheerde connectors, die worden verpakt rond API-aanroepen of aangepaste connectors. Zie Azure Logic Apps-connectors en de bijbehorende documentatie en Uw eigen aangepaste Azure Logic Apps-connectors maken voor meer informatie.

Ondersteunde typen logische apps

Microsoft Sentinel biedt ondersteuning voor zowel verbruiks- als standaardlogica-apps:

  • Verbruik: wordt uitgevoerd in multitenant Azure Logic Apps en maakt gebruik van de klassieke, oorspronkelijke Azure Logic Apps-engine.

  • Standard: wordt uitgevoerd in Azure Logic Apps met één tenant en maakt gebruik van een recent ontworpen Azure Logic Apps-engine.

    Standaardresources bieden hogere prestaties, vaste prijzen, meerdere werkstroommogelijkheden, eenvoudiger API-verbindingenbeheer, ingebouwde netwerkmogelijkheden en CI/CD-functies, en meer. De volgende playbookfunctionaliteit verschilt echter voor Standaard logische apps in Microsoft Sentinel:

    Functie Beschrijving
    Playbooks maken Playbooksjablonen worden momenteel niet ondersteund voor Standaardwerkstromen. Dit betekent dat u geen sjabloon kunt gebruiken om uw playbook rechtstreeks in Microsoft Sentinel te maken.

    Maak in plaats daarvan uw werkstroom handmatig in Azure Logic Apps om deze te gebruiken als playbook in Microsoft Sentinel.
    Privé-eindpunten Als u standaardwerkstromen met privé-eindpunten gebruikt, moet u in Microsoft Sentinel een toegangsbeperkingsbeleid definiëren in Logische apps om deze privé-eindpunten in playbooks te ondersteunen op basis van Standaardwerkstromen.

    Zonder toegangsbeperkingsbeleid zijn werkstromen met privé-eindpunten mogelijk nog steeds zichtbaar en selecteerbaar in Microsoft Sentinel, maar het uitvoeren ervan mislukt.
    Staatloze werkstromen Hoewel Standaardwerkstromen stateful en stateless in Azure Logic Apps ondersteunen, biedt Microsoft Sentinel geen ondersteuning voor stateless werkstromen.

    Zie Stateful en stateless werkstromen voor meer informatie.

Playbookverificaties voor Microsoft Sentinel

Azure Logic Apps moet afzonderlijk worden verbonden en onafhankelijk worden geverifieerd voor elke resource, van elk type, waarmee deze communiceert, met inbegrip van Microsoft Sentinel zelf. Azure Logic Apps maakt gebruik van gespecialiseerde connectors voor dit doel, waarbij elk resourcetype een eigen connector heeft.

Zie Playbooks verifiëren bij Microsoft Sentinel voor meer informatie.