Ondersteunde triggers en acties in Microsoft Sentinel-playbooks
In dit artikel worden de triggers en acties beschreven die worden ondersteund door de Logic Apps Microsoft Sentinel-connector. Gebruik de vermelde triggers en acties in Microsoft Sentinel-playbooks om te communiceren met uw Microsoft Sentinel-gegevens.
Belangrijk
De genoteerde functionaliteit is momenteel beschikbaar als PREVIEW-versie. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bèta, preview of anderszins nog niet beschikbaar zijn.
Vereisten
Voordat u begint, moet u ervoor zorgen dat u over de volgende Azure-machtigingen beschikt voor het gebruik van microsoft Sentinel-connectoronderdelen:
Role | Triggers gebruiken | Beschikbare acties ophalen | Incident bijwerken, een opmerking toevoegen |
---|---|---|---|
Microsoft Sentinel Reader | ✓ | ✓ | - |
Inzender voor Microsoft Sentinel Responder/ | ✓ | ✓ | ✓ |
Zie Rollen en machtigingen in Microsoft Sentinel en vereisten voor het werken met Microsoft Sentinel-playbooks voor meer informatie.
Ondersteunde Microsoft Sentinel-triggers
De Microsoft Sentinel-connector, en daarom Microsoft Sentinel-playbooks, ondersteunen de volgende triggers:
Microsoft Sentinel-incident. Aanbevolen voor de meeste scenario's voor incidentautomatisering.
Het playbook ontvangt incidentobjecten, waaronder entiteiten en waarschuwingen. Met deze trigger kunt u een playbook koppelen aan een automatiseringsregel die kan worden geactiveerd wanneer een incident wordt gemaakt of bijgewerkt in Microsoft Sentinel, waarbij alle voordelen van automatiseringsregels op het incident worden toegepast.
Microsoft Sentinel-waarschuwing (preview). Aanbevolen voor playbooks die handmatig moeten worden uitgevoerd voor waarschuwingen of voor geplande analyseregels die geen incidenten genereren voor hun waarschuwingen.
- Deze trigger kan niet worden gebruikt om reacties te automatiseren voor waarschuwingen die zijn gegenereerd door beveiligingsanalyseregels van Microsoft .
- Playbooks die deze trigger gebruiken, kunnen niet worden aangeroepen door automatiseringsregels.
Microsoft Sentinel-entiteit. Aanbevolen voor playbooks die handmatig moeten worden uitgevoerd op specifieke entiteiten vanuit een onderzoeks- of opsporingscontext voor bedreigingen. Playbooks die deze trigger gebruiken, kunnen niet worden aangeroepen door automatiseringsregels.
De schema's die door deze stromen worden gebruikt, zijn niet identiek. We raden u aan de triggerstroom van microsoft Sentinel-incidenten te gebruiken voor de meeste scenario's.
Dynamische velden voor incidenten
Het incidentobject dat is ontvangen van het Microsoft Sentinel-incident bevat de volgende dynamische velden:
Veldnaam | Beschrijving |
---|---|
Incidenteigenschappen | Weergegeven als Incident: <veldnaam> |
Waarschuwingen | Een matrix van de volgende waarschuwingseigenschappen, weergegeven als Waarschuwing: <veldnaam>. Omdat elk incident meerdere waarschuwingen kan bevatten, genereert het selecteren van een waarschuwingseigenschap automatisch een voor elke lus om alle waarschuwingen in het incident te behandelen. |
Entiteiten | Een matrix van alle entiteiten van de waarschuwing |
Velden voor werkruimtegegevens | Details over de Microsoft Sentinel-werkruimte waar het incident is gemaakt, waaronder: - Abonnements-id - Werkruimtenaam - Werkruimte-id - Naam van resourcegroep |
Ondersteunde Microsoft Sentinel-acties
De Microsoft Sentinel-connector, en daarom Microsoft Sentinel-playbooks, ondersteunen de volgende acties:
Actie | Wanneer te gebruiken |
---|---|
Waarschuwing - Incident ophalen | In playbooks die beginnen met waarschuwingstrigger. Handig voor het ophalen van de incidenteigenschappen of het ophalen van de ARM-id van het incident voor gebruik met het update-incident of het toevoegen van opmerkingen aan incidentacties. |
Incident ophalen | Bij het activeren van een playbook vanuit een externe bron of met een niet-Sentinel-trigger. Identificeer met een ARM-id voor incidenten. Haalt de incidenteigenschappen en opmerkingen op. |
Incident bijwerken | Als u de status van een incident wilt wijzigen (bijvoorbeeld bij het sluiten van het incident), wijst u een eigenaar toe, voegt u een tag toe of verwijdert u deze, of wijzigt u de ernst, titel of beschrijving. |
Opmerkingen toevoegen aan incident | Het incident verrijken met gegevens die zijn verzameld uit externe bronnen; om de acties te controleren die door het playbook op de entiteiten zijn uitgevoerd; om aanvullende informatie te verstrekken die waardevol is voor incidentonderzoek. |
Entiteiten - Entiteitstype ophalen <> | In playbooks die werken op een specifiek entiteitstype (IP, Account, Host, **URL of FileHash) die bekend is tijdens het maken van een playbook, moet u deze kunnen parseren en aan de unieke velden kunnen werken. |
Tip
Voor de acties Incident bijwerken en Een opmerking toevoegen aan een incident is de ARM-id van het incident vereist.
Gebruik de waarschuwing - Incidentactie vooraf ophalen om de ARM-id van het incident op te halen.
Ondersteunde entiteitstypen
Het dynamische veld Entiteiten is een matrix van JSON-objecten, die elk een entiteit vertegenwoordigen. Elk entiteitstype heeft een eigen schema, afhankelijk van de unieke eigenschappen.
Met de actie Entiteiten - Entiteitstype> ophalen <kunt u het volgende doen:
- Filter de matrix met entiteiten op het aangevraagde type.
- Parseert de specifieke velden van dit type, zodat ze kunnen worden gebruikt als dynamische velden in verdere acties.
De invoer is het dynamische veld Entiteiten .
Het antwoord is een matrix van entiteiten, waarbij de speciale eigenschappen worden geparseerd en rechtstreeks in een Lus voor elke lus kunnen worden gebruikt.
Momenteel ondersteunde entiteitstypen zijn onder andere:
In de volgende afbeelding ziet u een voorbeeld van beschikbare acties voor entiteiten:
Voor andere entiteitstypen kan vergelijkbare functionaliteit worden bereikt met behulp van ingebouwde acties van Logic Apps:
Filter de matrix van entiteiten op het aangevraagde type met filtermatrix.
Parseert de specifieke velden van dit type, zodat ze kunnen worden gebruikt als dynamische velden in verdere acties met behulp van JSON parseren.
Gerelateerde inhoud
Zie voor meer informatie: