Uwierzytelnianie podręczników w usłudze Microsoft Sentinel
Podręczniki usługi Microsoft Sentinel są oparte na przepływach pracy utworzonych w usłudze Azure Logic Apps, usłudze w chmurze, która ułatwia planowanie, automatyzowanie i organizowanie zadań i przepływów pracy w różnych systemach w całym przedsiębiorstwie.
Usługa Azure Logic Apps musi łączyć się oddzielnie i uwierzytelniać niezależnie od każdego zasobu, z każdym typem, z którymi wchodzi w interakcję, w tym z samą usługą Microsoft Sentinel. Usługa Logic Apps używa w tym celu wyspecjalizowanych łączników , a każdy typ zasobu ma własny łącznik.
W tym artykule opisano typy połączeń i uwierzytelniania obsługiwane dla łącznika usługi Microsoft Sentinel usługi Logic Apps. Podręczniki mogą korzystać z obsługiwanych metod uwierzytelniania w celu interakcji z usługą Microsoft Sentinel i uzyskiwania dostępu do danych usługi Microsoft Sentinel.
Wymagania wstępne
Zalecamy zapoznanie się z następującymi artykułami przed następującymi artykułami:
- Automatyzowanie reagowania na zagrożenia za pomocą podręczników usługi Microsoft Sentinel
- Tworzenie podręczników usługi Microsoft Sentinel i zarządzanie nimi
- Podręczniki usługi Azure Logic Apps dla usługi Microsoft Sentinel
- Obsługiwane wyzwalacze i akcje w podręcznikach usługi Microsoft Sentinel
Aby udzielić tożsamości zarządzanej dostępu do innych zasobów, takich jak obszar roboczy usługi Microsoft Sentinel, zalogowany użytkownik musi mieć rolę z uprawnieniami do zapisywania przypisań ról, takich jak właściciel lub dostęp użytkowników Administracja istrator obszaru roboczego usługi Microsoft Sentinel.
Uwierzytelnianie
Łącznik usługi Microsoft Sentinel w usłudze Logic Apps oraz jego składnik wyzwalacze i akcje mogą działać w imieniu dowolnej tożsamości, która ma niezbędne uprawnienia (odczyt i/lub zapis) w odpowiednim obszarze roboczym. Łącznik obsługuje wiele typów tożsamości:
- Tożsamość zarządzana (wersja zapoznawcza). Na przykład użyj tej metody, aby zmniejszyć liczbę tożsamości, którymi trzeba zarządzać.
- Jednostka usługi (aplikacja Firmy Microsoft Entra). Zarejestrowane aplikacje zapewniają rozszerzoną możliwość kontrolowania uprawnień, zarządzania poświadczeniami i włączania pewnych ograniczeń dotyczących korzystania z łącznika.
- Użytkownik firmy Microsoft Entra
Wymagane uprawnienia
Niezależnie od metody uwierzytelniania następujące uprawnienia są wymagane przez uwierzytelnionej tożsamości do korzystania z różnych składników łącznika usługi Microsoft Sentinel. Akcje "Zapisuj" obejmują akcje, takie jak aktualizowanie zdarzeń lub dodawanie komentarza.
Role | Korzystanie z wyzwalaczy | Używanie akcji "Odczyt" | Używanie akcji "Zapis" |
---|---|---|---|
Czytelnik usługi Microsoft Sentinel | ✓ | ✓ | - |
Współautor odpowiedzi/usługi Microsoft Sentinel | ✓ | ✓ | ✓ |
Aby uzyskać więcej informacji, zobacz Role i uprawnienia w temacie Microsoft Sentinel i Microsoft Sentinel playbook prerequisites (Wymagania wstępne podręcznika usługi Microsoft Sentinel).
Uwierzytelnianie przy użyciu tożsamości zarządzanej
Uwierzytelnianie jako tożsamość zarządzana umożliwia nadanie uprawnień bezpośrednio podręcznikowi, który jest zasobem przepływu pracy aplikacji logiki. Akcje łącznika usługi Microsoft Sentinel podejmowane przez podręcznik działają następnie w imieniu podręcznika, tak jakby był to niezależny obiekt z własnymi uprawnieniami do usługi Microsoft Sentinel.
Aby uwierzytelnić się przy użyciu tożsamości zarządzanej:
Włącz tożsamość zarządzaną w zasobie przepływu pracy usługi Logic Apps. Aby uzyskać więcej informacji, zobacz Włączanie tożsamości przypisanej przez system w witrynie Azure Portal.
Aplikacja logiki może teraz używać tożsamości przypisanej przez system, która jest zarejestrowana w identyfikatorze Microsoft Entra ID i jest reprezentowana przez identyfikator obiektu.
Wykonaj następujące kroki, aby udzielić tej tożsamości z dostępem do obszaru roboczego usługi Microsoft Sentinel:
Z menu usługi Microsoft Sentinel wybierz pozycję Ustawienia.
Wybierz kartę Ustawienia obszaru roboczego. Z menu obszaru roboczego wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami).
Na pasku przycisków u góry wybierz pozycję Dodaj , a następnie wybierz pozycję Dodaj przypisanie roli. Jeśli opcja Dodaj przypisanie roli jest wyłączona, nie masz uprawnień do przypisywania ról.
W wyświetlonym nowym panelu przypisz odpowiednią rolę:
- Osoba odpowiadająca w usłudze Microsoft Sentinel: Podręcznik zawiera kroki aktualizacji zdarzeń lub list obserwowanych
- Czytelnik usługi Microsoft Sentinel: podręcznik odbiera tylko zdarzenia
W obszarze Przypisz dostęp do wybierz pozycję Aplikacja logiki.
Wybierz subskrypcję, do którego należy podręcznik, a następnie wybierz nazwę podręcznika.
Wybierz pozycję Zapisz.
Aby uzyskać więcej informacji, zobacz Przyznawanie tożsamości dostępu do zasobów.
Włącz metodę uwierzytelniania tożsamości zarządzanej w łączniku usługi Logic Apps usługi Microsoft Sentinel:
W projektancie usługi Logic Apps dodaj krok łącznika usługi Logic Apps usługi Microsoft Sentinel. Jeśli łącznik jest już włączony dla istniejącego połączenia, wybierz link Zmień połączenie . Na przykład:
Na wyświetlonej liście połączeń wybierz pozycję Dodaj nową.
Utwórz nowe połączenie, wybierając Połączenie przy użyciu tożsamości zarządzanej (wersja zapoznawcza). Na przykład:
Wprowadź nazwę tego połączenia, wybierz pozycję Tożsamość zarządzana przypisana przez system, a następnie wybierz pozycję Utwórz.
Wybierz pozycję Utwórz , aby zakończyć tworzenie połączenia.
Uwierzytelnianie jako jednostka usługi (aplikacja Firmy Microsoft Entra)
Utwórz jednostkę usługi, rejestrując aplikację Firmy Microsoft Entra. Zalecamy użycie zarejestrowanej aplikacji jako tożsamości łącznika zamiast konta użytkownika.
Aby użyć własnej aplikacji z łącznikiem usługi Microsoft Sentinel:
Zarejestruj aplikację przy użyciu identyfikatora Entra firmy Microsoft i utwórz jednostkę usługi. Aby uzyskać więcej informacji, zobacz Create a Microsoft Entra application and service principal that can access resources (Tworzenie aplikacji i jednostki usługi Firmy Microsoft, która może uzyskiwać dostęp do zasobów).
Uzyskiwanie poświadczeń na potrzeby przyszłego uwierzytelniania. Na stronie zarejestrowanej aplikacji pobierz poświadczenia aplikacji na potrzeby logowania:
- Identyfikator klienta w obszarze Przegląd
- Klucz tajny klienta w obszarze Certyfikaty i wpisy tajne
Udziel aplikacji z uprawnieniami do pracy z obszarem roboczym usługi Microsoft Sentinel:
W obszarze roboczym usługi Microsoft Sentinel przejdź do pozycji Ustawienia> Workspace Ustawienia> Access Control (IAM)
Wybierz pozycję Dodaj przypisanie roli, a następnie wybierz rolę, którą chcesz przypisać do aplikacji.
Aby na przykład zezwolić aplikacji na wykonywanie akcji, które wprowadzają zmiany w obszarze roboczym usługi Microsoft Sentinel, na przykład aktualizowanie zdarzenia, wybierz rolę Współautor usługi Microsoft Sentinel. W przypadku akcji, które odczytują tylko dane, wystarczy rola Czytelnik usługi Microsoft Sentinel.
Znajdź wymaganą aplikację i zapisz zmiany.
Domyślnie aplikacje Firmy Microsoft Entra nie są wyświetlane w dostępnych opcjach. Aby znaleźć aplikację, wyszukaj nazwę i wybierz ją.
Użyj poświadczeń aplikacji, aby uwierzytelnić się w łączniku usługi Microsoft Sentinel w usłudze Logic Apps.
W projektancie usługi Logic Apps dodaj krok łącznika usługi Logic Apps usługi Microsoft Sentinel.
Jeśli łącznik jest już włączony dla istniejącego połączenia, wybierz link Zmień połączenie . Na przykład:
Na wyświetlonej liście połączeń wybierz pozycję Dodaj nową, a następnie wybierz pozycję Połączenie z jednostką usługi. Na przykład:
Wprowadź wymagane wartości parametrów, które są dostępne na stronie szczegółów zarejestrowanej aplikacji:
- Dzierżawa: w obszarze Przegląd
- Identyfikator klienta: w obszarze Przegląd
- Klucz tajny klienta: w obszarze Certyfikaty i wpisy tajne
Na przykład:
Wybierz pozycję Utwórz , aby zakończyć tworzenie połączenia.
Uwierzytelnianie jako użytkownik entra firmy Microsoft
Aby nawiązać połączenie jako użytkownik entra firmy Microsoft:
W projektancie usługi Logic Apps dodaj krok łącznika usługi Logic Apps usługi Microsoft Sentinel. Jeśli łącznik jest już włączony dla istniejącego połączenia, wybierz link Zmień połączenie . Na przykład:
Na wyświetlonej liście połączeń wybierz pozycję Dodaj nową, a następnie wybierz pozycję Zaloguj.
Wprowadź poświadczenia po wyświetleniu monitu, a następnie postępuj zgodnie z pozostałymi instrukcjami na ekranie, aby utworzyć połączenie.
Wyświetlanie i edytowanie połączeń interfejsu API podręcznika
Połączenia interfejsu API są używane do łączenia usługi Azure Logic Apps z innymi usługami, w tym z usługą Microsoft Sentinel. Przy każdym utworzeniu nowego uwierzytelniania dla łącznika w usłudze Azure Logic Apps tworzony jest nowy zasób połączenia interfejsu API zawierający szczegółowe informacje podane podczas konfigurowania dostępu do usługi. Tego samego połączenia interfejsu API można używać we wszystkich akcjach i wyzwalaczach usługi Microsoft Sentinel w tej samej grupie zasobów.
Aby wyświetlić połączenia interfejsu API, wykonaj jedną z następujących czynności:
W witrynie Azure Portal wyszukaj połączenia interfejsu API. Znajdź połączenie interfejsu API dla podręcznika przy użyciu następujących danych:
- Nazwa wyświetlana: przyjazna nazwa, którą można nadać połączeniu za każdym razem, gdy go utworzysz.
- Stan: stan połączenia interfejsu API.
- Grupa zasobów: połączenia interfejsu API dla podręczników firmy Microsoft są tworzone w grupie zasobów elementu playbook (Azure Logic Apps).
W witrynie Azure Portal wyświetl wszystkie zasoby i przefiltruj widok według łącznika interfejsu API typu = . Ta metoda umożliwia wybranie, tagowanie i usuwanie wielu połączeń jednocześnie.
Aby zmienić autoryzację istniejącego połączenia, wprowadź zasób połączenia, a następnie wybierz pozycję Edytuj połączenie interfejsu API.
Powiązana zawartość
Aby uzyskać więcej informacji, zobacz: