Активация сборника схем в режиме реального времени

12 мин

Вы можете настроить сборники схем Microsoft Sentinel в Contoso для реагирования на угрозы безопасности.

Знакомство со страницей "Сборники схем"

Вы можете автоматизировать ответы на угрозы на странице Сборники схем. На этой странице можно просмотреть все сборники схем, созданные на основе Azure Logic Apps. Столбец Тип триггера показывает, какие типы соединителей используются в приложении логики.

Для создания сборника схем или включения или отключения существующих сборников схем можно использовать строку заголовка, как показано на следующей схеме.

Screenshot of the header bar.

В строке заголовка доступны следующие параметры:

Используйте параметр Добавить сборник схем для создания сборника.
Используйте параметр Обновить, чтобы обновить экран, например, после создания сборника схем.
Используйте поле времени из раскрывающегося списка, чтобы отфильтровать состояние выполнения сборников схем.
Параметр Включить, Отключитьи Удалить доступны только при выборе одного или нескольких приложений логики.
Используйте документацию по Logic Apps, чтобы ознакомиться со ссылками на официальную документацию Майкрософт и получить дополнительные сведения о Logic Apps.

Contoso хочет использовать автоматизированные действия, чтобы предотвратить доступ подозрительных пользователей к сети. Администратор безопасности может создать сборник схем для реализации этого действия. Чтобы создать сборник схем, выберите Добавить сборник схем. Вы будете перенаправлены на страницу, в которой необходимо создать приложение логики, предоставив входные данные для следующих параметров:

Подписка. Выберите подписку, в которой содержится Microsoft Sentinel.
Группа ресурсов. Вы можете выбрать существующую группу ресурсов или создать новую.
Имя приложения логики. Введите описательное имя для приложения логики.
Location. Выберите то же расположение, в котором находится рабочая область Log Analytics.
Log Analytics. Если включить Log Analytics, вы сможете получать информацию о событиях, происходящих во время выполнения сборника схем.

Указав эти входные данные, выберите параметр Проверка и создание, а затем — Создать.

Logic Apps Designer

Microsoft Sentinel создает приложение логики, а затем направляется на страницу конструктора приложений логики.

Конструктор приложений логики предоставляет панель холста конструирования, которую используют для добавления триггера и действий в рабочий процесс. Например, можно настроить триггер так, чтобы он поступал из соединителя Microsoft Sentinel при создании инцидента безопасности. Страница "Конструктор приложений логики" предоставляет множество предопределенных шаблонов, которые можно использовать. Однако для создания сборника схем следует начать с шаблона Пустое приложение логики, чтобы спроектировать приложение логики с нуля.

Автоматическое действие в сборнике схем инициируется триггером Microsoft Sentinel. Триггер Microsoft Sentinel можно найти в поле поиска на панели холста конструирования, а затем выбрать один из следующих двух доступных триггеров:

при срабатывании ответа на предупреждение Microsoft Sentinel;
После запуска правила создания инцидентов Microsoft Sentinel.

Открытие Microsoft Sentinel Подключение or в первый раз запрашивает вход в клиент с помощью учетной записи пользователя из идентификатора Microsoft Entra или субъекта-службы. Это устанавливает подключение API к идентификатору Microsoft Entra. Подключения API хранят переменные и маркеры, необходимые для доступа к API для подключения, например Идентификатор Microsoft Entra, Office 365 или аналогичные.

Screenshot of sign-in to the Microsoft Entra tenant.

Каждый сборник схем запускается после срабатывания триггера, за которым следуют действия, определяющие автоматический ответ на инцидент в системе безопасности. Вы можете объединить действия из соединителя Microsoft Sentinel с другими действиями из других соединителей Logic Apps.

Например, вы можете добавить триггер из соединителя Microsoft Sentinel при активации инцидента, выполнить действие, идентифицирующее сущности из предупреждения Microsoft Sentinel, а затем еще одно действие, которое отправляет сообщение электронной почты в учетную запись Office 365. Microsoft Sentinel создает каждое действие как новый шаг и определяет действие, которое вы добавляете в приложение логики.

На следующем снимке экрана показан инцидент, активируемый соединителем Microsoft Sentinel, который обнаруживает подозрительную учетную запись и отправляет администратору сообщение электронной почты.

Screenshot of the logic app with actions.

Каждый шаг в структуре рабочего процесса имеет различные поля, которые необходимо заполнить. Например, для действия Сущности. Получение учетных записей необходимо предоставить список сущностей из предупреждения Microsoft Sentinel. Преимуществом использования Azure Logic Apps является то, что вы можете предоставить эти входные данные из списка Динамическое содержимое, который заполняется выходными данными из предыдущего шага. Например, триггер соединителя Microsoft Sentinel При срабатывании ответа на предупреждение Microsoft Sentinel предоставляет динамические свойства, такие как сущности, отображаемое имя предупреждения, которое можно использовать для заполнения входных данных.

Screenshot that displays dynamic content.

Вы также можете добавить управляемую группу действий, которая позволяет приложению логики принимать решения. Управляемая группа действий может включать в себя логические условия, условия switch case или циклы.

Действие условия является оператором if, который позволяет приложению выполнять различные действия на основе обрабатываемых данных. Оно состоит из логического выражения и двух действий. Во время выполнения подсистема выполнения вычисляет выражение и выбирает действие на основании того, равно ли выражение true или false.

Например, Contoso получает большой объем оповещений, многие из них с повторяющимися шаблонами, которые не могут быть обработаны или расследованы. Используя автоматизацию в реальном времени, команды Contoso SecOps могут значительно сократить рабочую нагрузку, полностью автоматизируя ответы подпрограммы на повторяемые предупреждения.

На следующем снимке экрана представлена похожая ситуация, в которой в зависимости от вводимых пользователем данных сборник схем может изменить состояние предупреждения. Действие элемента управления перехватывает введенные пользователем данные и, если выражение вычисляется как истинное утверждение, сборник схем изменяет состояние предупреждения. Если действие элемента управления оценивает выражение как false, сборник схем может выполнять другие действия, такие как отправка сообщения электронной почты, как показано на следующем снимке экрана.

Screenshot that displays the logic app condition.

Выполнив все действия в Конструкторе Logic Apps, сохраните приложение логики, чтобы создать сборник схем в Microsoft Sentinel.

Страница Logic Apps в Microsoft Sentinel

Создаваемые сборники схем отображаются на странице Сборники схем, и их можно изменять. На странице Сборники схем можно выбрать существующий сборник схем, который будет открывать страницу Logic Apps для этого сборника схем в Microsoft Sentinel.

В сборнике схем можно выполнить несколько действий из строки заголовка Logic Apps:

Запуск триггера. Используется, чтобы запустить приложение логики для тестирования сборника схем.
Обновить. Используется, чтобы обновить состояние приложения логики для получения состояния действия.
Изменить. Используется, чтобы изменить сборник схем на странице Конструктор Logic Apps.
Удалить. Используйте для удаления приложения логики, если он не нужен.
Отключить. Используется, чтобы временно отключить приложение логики и предотвратить выполнение действия, даже если триггер активирован.
Обновление схемы. Используется, чтобы обновить схему приложения логики после значительных изменений в логике.
Клонирование. Используется, чтобы создать копию существующего приложения логики, а затем использовать ее в качестве основы для дальнейшего изменения.
Экспорт Используется для экспорта приложения логики в Microsoft Power Automate и Microsoft Power Apps.

В разделе Essentials отображаются описательные сведения о приложении логики. Например, в определении приложения логики отображается количество триггеров и действий, предоставляемых приложением логики.

Для просмотра сводной информации о приложении логики можно использовать раздел Сводка. В этом разделе можно выбрать ссылку приложения логики, чтобы открыть его в конструкторе Logic Apps или проверить журнал триггеров.

В разделе Журнал запусков отображаются предыдущие запуски приложения логики, а также то, были они успешными или нет.

Автоматизация реагирования на инцидент в Microsoft Sentinel

В заключение необходимо присоединить этот сборник схем к правилу аналитики для автоматизации реагирования на инцидент. В разделе Автоматический ответ в правиле аналитики можно выбрать сборник схем, который будет автоматически запускаться при создании предупреждения. Дополнительные сведения о создании правила аналитики см. в модуле "Обнаружение угроз с помощью Аналитики Microsoft Sentinel".

Проверьте свои знания

Что такое динамическое содержимое в приложении логики?

Список динамически выбранных угроз.

Список динамических входных данных для текущего действия.

Список динамических пользователей.

Администратор создает новый сборник схем для получения уведомлений каждый раз, когда пользователь делегирует роль глобального администратора. Какой соединитель должен выбрать администратор в приложении логики?

Соединитель Microsoft Entra.

Соединитель для Office 365.

Соединитель Microsoft Sentinel

Вы должны ответить на все вопросы перед проверкой.