Autentisera spelböcker till Microsoft Sentinel

• Gäller för:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel-spelböcker baseras på arbetsflöden som skapats i Azure Logic Apps, en molntjänst som hjälper dig att schemalägga, automatisera och samordna uppgifter och arbetsflöden mellan system i hela företaget.

Azure Logic Apps måste ansluta separat och autentisera sig separat till varje resurs, av varje typ, som den interagerar med, inklusive till Själva Microsoft Sentinel. Logic Apps använder specialiserade anslutningsappar för detta ändamål, där varje resurstyp har en egen anslutningsapp.

Den här artikeln beskriver de typer av anslutningar och autentisering som stöds för Logic Apps Microsoft Sentinel-anslutningsappen. Spelböcker kan använda autentiseringsmetoder som stöds för att interagera med Microsoft Sentinel och komma åt dina Microsoft Sentinel-data.

Förutsättningar

Vi rekommenderar att du läser följande artiklar före den här:

• Automatisera hotsvar med Microsoft Sentinel-spelböcker
• Skapa och hantera Microsoft Sentinel-spelböcker
• Azure Logic Apps för Microsoft Sentinel-spelböcker
• Utlösare och åtgärder som stöds i Microsoft Sentinel-spelböcker

För att ge en hanterad identitet åtkomst till andra resurser, till exempel din Microsoft Sentinel-arbetsyta, måste den inloggade användaren ha en roll med behörighet att skriva rolltilldelningar, till exempel ägare eller administratör för användaråtkomst för Microsoft Sentinel-arbetsytan.

Autentisering

Microsoft Sentinel-anslutningsappen i Logic Apps och dess komponentutlösare och åtgärder kan fungera för alla identiteter som har nödvändiga behörigheter (läs- och/eller skrivbehörighet) på den relevanta arbetsytan. Anslutningsappen stöder flera identitetstyper:

• Hanterad identitet (förhandsversion). Använd till exempel den här metoden för att minska antalet identiteter som du behöver hantera.
• Tjänstens huvudnamn (Microsoft Entra-program). Registrerade program ger en förbättrad möjlighet att kontrollera behörigheter, hantera autentiseringsuppgifter och aktivera vissa begränsningar för användningen av anslutningsappen.
• Microsoft Entra-användare

Behörigheter som krävs

Oavsett autentiseringsmetod krävs följande behörigheter av den autentiserade identiteten för att använda olika komponenter i Microsoft Sentinel-anslutningsappen. "Skrivåtgärder" omfattar åtgärder som att uppdatera incidenter eller lägga till en kommentar.

Roller	Använda utlösare	Använda "Läs"-åtgärder	Använda "Skriv"-åtgärder
Microsoft Sentinel-läsare	✓	✓	-
Deltagare i Microsoft Sentinel-svar /	✓	✓	✓

Mer information finns i Roller och behörigheter i krav för Microsoft Sentinel och Microsoft Sentinel-spelböcker.

Autentisera med en hanterad identitet

Om du autentiserar som en hanterad identitet kan du ge behörighet direkt till spelboken, som är en logic app-arbetsflödesresurs. Microsoft Sentinel-anslutningsåtgärder som vidtas av spelboken fungerar sedan för spelbokens räkning, som om det vore ett oberoende objekt med sina egna behörigheter på Microsoft Sentinel.

Så här autentiserar du med en hanterad identitet:

1. Aktivera hanterad identitet på Logic Apps-arbetsflödesresursen. Mer information finns i Aktivera systemtilldelad identitet i Azure-portalen.

   Logikappen kan nu använda den systemtilldelade identiteten, som är registrerad med Microsoft Entra-ID och representeras av ett objekt-ID.

2. Använd följande steg för att bevilja den identiteten åtkomst till din Microsoft Sentinel-arbetsyta:

   1. På Microsoft Sentinel-menyn väljer du Inställningar.

   2. Välj fliken Inställningar för arbetsyta. Välj Åtkomstkontroll (IAM) på arbetsytans meny.

   3. I knappfältet längst upp väljer du Lägg till och väljer Lägg till rolltilldelning. Om alternativet Lägg till rolltilldelning är inaktiverat har du inte behörighet att tilldela roller.

   4. I den nya panelen som visas tilldelar du lämplig roll:

      • Microsoft Sentinel-svarare: Spelboken innehåller steg som uppdaterar incidenter eller bevakningslistor
      • Microsoft Sentinel-läsare: Spelboken tar bara emot incidenter

   5. Under Tilldela åtkomst till väljer du Logikapp.

   6. Välj den prenumeration som spelboken tillhör och välj sedan spelboksnamnet.

   7. Välj Spara.

   Mer information finns i Ge identitetsåtkomst till resurser.

3. Aktivera metoden för hanterad identitetsautentisering i Anslutningsprogrammet för Microsoft Sentinel Logic Apps:

   1. I Logic Apps-designern lägger du till ett Microsoft Sentinel Logic Apps-anslutningssteg. Om anslutningsappen redan är aktiverad för en befintlig anslutning väljer du länken Ändra anslutning . Till exempel:

      

   2. I den resulterande listan över anslutningar väljer du Lägg till ny.

   3. Skapa en ny anslutning genom att välja Anslut med hanterad identitet (förhandsversion). Till exempel:

      

   4. Ange ett namn för den här anslutningen, välj Systemtilldelad hanterad identitet och välj sedan Skapa.

      

   5. Välj Skapa för att slutföra skapandet av anslutningen.

Autentisera som tjänstens huvudnamn (Microsoft Entra-program)

Skapa ett huvudnamn för tjänsten genom att registrera ett Microsoft Entra-program. Vi rekommenderar att du använder ett registrerat program som anslutningsappens identitet i stället för ett användarkonto.

Så här använder du ditt eget program med Microsoft Sentinel-anslutningsappen:

1. Registrera programmet med Microsoft Entra-ID och skapa ett huvudnamn för tjänsten. Mer information finns i Skapa ett Microsoft Entra-program och tjänstens huvudnamn som kan komma åt resurser.

2. Hämta autentiseringsuppgifter för framtida autentisering. På den registrerade programsidan hämtar du programautentiseringsuppgifterna för inloggning:

   • Klient-ID under Översikt
   • Klienthemlighet under Certifikat och hemligheter

3. Bevilja appen behörighet att arbeta med Microsoft Sentinel-arbetsytan:

   1. I Microsoft Sentinel-arbetsytan går du till Inställningar> Arbetsyta Inställningar> Åtkomstkontroll (IAM)

   2. Välj Lägg till rolltilldelning och välj sedan den roll som du vill tilldela till programmet.

      Om du till exempel vill att programmet ska kunna utföra åtgärder som gör ändringar på Microsoft Sentinel-arbetsytan, som att uppdatera en incident, väljer du rollen Microsoft Sentinel-deltagare . För åtgärder som bara läser data räcker rollen Microsoft Sentinel-läsare .

   3. Hitta det program som krävs och spara ändringarna.

      Som standard visas inte Microsoft Entra-program i de tillgängliga alternativen. Du hittar ditt program genom att söka efter namnet och välja det.

4. Använd appautentiseringsuppgifterna för att autentisera till Microsoft Sentinel-anslutningsappen i Logic Apps.

   1. I Logic Apps-designern lägger du till ett Microsoft Sentinel Logic Apps-anslutningssteg.

   2. Om anslutningsappen redan är aktiverad för en befintlig anslutning väljer du länken Ändra anslutning . Till exempel:

      

   3. I den resulterande listan över anslutningar väljer du Lägg till ny och väljer sedan Anslut med Tjänstens huvudnamn. Till exempel:

      

   4. Ange de obligatoriska parametervärdena som är tillgängliga på det registrerade programmets informationssida:

      • Klientorganisation: under Översikt
      • Klient-ID: under Översikt
      • Klienthemlighet: under Certifikat och hemligheter

      Till exempel:

      

   5. Välj Skapa för att slutföra skapandet av anslutningen.

Autentisera som Microsoft Entra-användare

Så här gör du en anslutning som Microsoft Entra-användare:

1. I Logic Apps-designern lägger du till ett Microsoft Sentinel Logic Apps-anslutningssteg. Om anslutningsappen redan är aktiverad för en befintlig anslutning väljer du länken Ändra anslutning . Till exempel:

   

2. I den resulterande listan över anslutningar väljer du Lägg till ny och sedan Logga in.

   

3. Ange dina autentiseringsuppgifter när du uppmanas att göra det och följ sedan de återstående anvisningarna på skärmen för att skapa en anslutning.

Visa och redigera API-anslutningar för spelböcker

API-anslutningar används för att ansluta Azure Logic Apps till andra tjänster, inklusive Microsoft Sentinel. Varje gång en ny autentisering görs för en anslutningsapp i Azure Logic Apps skapas en ny API-anslutningsresurs som innehåller den information som tillhandahålls när du konfigurerar åtkomst till tjänsten. Samma API-anslutning kan användas i alla Microsoft Sentinel-åtgärder och utlösare i samma resursgrupp.

Om du vill visa API-anslutningar gör du något av följande:

• Sök efter API-anslutningar i Azure-portalen. Leta upp API-anslutningen för din spelbok med hjälp av följande data:

  • Visningsnamn: Det egna namn som du ger anslutningen varje gång du skapar en.
  • Status: API-anslutningens status.
  • Resursgrupp: API-anslutningar för Microsoft-spelböcker skapas i resursgruppen för spelboken (Azure Logic Apps).

• I Azure-portalen visar du alla resurser och filtrerar vyn efter Typ = API-anslutningsapp. Med den här metoden kan du välja, tagga och ta bort flera anslutningar samtidigt.

Om du vill ändra auktoriseringen för en befintlig anslutning anger du anslutningsresursen och väljer Redigera API-anslutning.

Relaterat innehåll

Mer information finns i:

• Automatisera hotsvar med spelböcker i Microsoft Sentinel
• Skapa och hantera Microsoft Sentinel-spelböcker
• Automatisera och köra Microsoft Sentinel-spelböcker