Создание сборников схем Microsoft Sentinel и управление ими

  • Применяется к: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Сборники схем — это коллекции процедур, которые могут выполняться от Microsoft Sentinel в ответ на весь инцидент, на отдельное оповещение или на определенную сущность. Сборник схем может помочь автоматизировать и оркестрировать ответы и может быть присоединен к правилу автоматизации для автоматического запуска при создании определенных оповещений или при создании или обновлении инцидентов. Сборники схем также можно запускать вручную по запросу для конкретных инцидентов, оповещений или сущностей.

В этой статье описывается создание сборников схем Microsoft Sentinel и управление ими. Позже вы можете присоединить эти сборники схем к правилам аналитики или правилам автоматизации или запускать их вручную для определенных инцидентов, оповещений или сущностей.

Примечание.

Сборники схем в Microsoft Sentinel основаны на рабочих процессах, встроенных Azure Logic Apps, что означает, что вы получаете все возможности, возможности настройки и встроенные шаблоны приложений логики. Может взиматься дополнительная плата. Сведения о ценах см. на странице цен на Azure Logic Apps.

Важно!

После 31 марта 2027 г. Microsoft Sentinel больше не будут поддерживаться в портал Azure и будут доступны только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel в портал Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender.

Если вы по-прежнему используете Microsoft Sentinel в портал Azure, рекомендуется начать планирование перехода на портал Defender, чтобы обеспечить плавный переход и в полной мере воспользоваться преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.

Предварительные условия

Создание сборника схем

Чтобы создать сборник схем в Microsoft Sentinel, выполните следующие действия:

  1. На портале Defender или в портал Azure перейдите в рабочую область Microsoft Sentinel. В меню рабочей области в разделе Конфигурация выберите Автоматизация.

  2. В верхнем меню выберите Создать, а затем выберите один из следующих параметров:

    • Если вы создаете сборник схем потребления, выберите один из следующих параметров в зависимости от триггера, который вы хотите использовать, а затем выполните действия для приложения логики потребления:

      • Сборник схем с триггером инцидента
      • Сборник схем с триггером оповещений
      • Сборник схем с триггером сущности

      Это руководство продолжается с сборником схем с триггером сущности.

    • Если вы создаете сборник схем Standard, выберите Пустой сборник схем, а затем выполните действия для типа приложения логики Standard.

    Дополнительные сведения см. в разделах Поддерживаемые типы приложений логики и Поддерживаемые триггеры и действия в сборниках схем Microsoft Sentinel.

Подготовка приложения логики сборника схем

Выберите одну из следующих вкладок, чтобы узнать, как создать приложение логики для сборника схем в зависимости от того, используете ли вы приложение логики для потребления или Standard. Дополнительные сведения см. в разделе Поддерживаемые типы приложений логики.

Совет

Если вашим сборникам схем требуется доступ к защищенным ресурсам, которые находятся в виртуальной сети Azure или подключены к ней, создайте рабочий процесс приложения логики Standard.

Standard рабочие процессы выполняются в Azure Logic Apps с одним клиентом и поддерживают использование частных конечных точек для входящего трафика, чтобы рабочие процессы могли обмениваться данными с виртуальными сетями в частном порядке и безопасно. рабочие процессы Standard также поддерживают интеграцию с виртуальной сетью для исходящего трафика. Дополнительные сведения см. в статье Защита трафика между виртуальными сетями и одним клиентом Azure Logic Apps с помощью частных конечных точек.

После выбора триггера, который включает инцидент, оповещение или триггер сущности, откроется мастер создания сборника схем , например:

Снимок экрана: мастер создания сборника схем и вкладка

Чтобы создать сборник схем, выполните следующие действия.

  1. На вкладке Основные сведения укажите следующие сведения:

    1. В параметрах Подписка и Группа ресурсов выберите нужные значения из соответствующих списков.

      Для параметра Регион задан тот же регион, что и связанная рабочая область Log Analytics.

    2. В поле Имя сборника схем введите имя сборника схем.

    3. Чтобы отслеживать действия этого сборника схем в целях диагностики, выберите Включить журналы диагностика в Log Analytics, а затем выберите рабочую область Log Analytics, если вы еще не выбрали рабочую область.

  2. Выберите Далее: подключения >.

  3. На вкладке Подключения рекомендуется оставить значения по умолчанию, которые настраивают приложение логики для подключения к Microsoft Sentinel с помощью управляемого удостоверения.

    Дополнительные сведения см. в разделе Проверка подлинности сборников схем для Microsoft Sentinel.

  4. Чтобы продолжить, выберите Далее: проверка и создание >.

  5. На вкладке Просмотр и создание просмотрите параметры конфигурации и выберите Создать сборник схем.

    Azure создание и развертывание сборника схем занимает несколько минут. После завершения развертывания сборник схем откроется в конструкторе рабочих процессов потребления для Azure Logic Apps. Выбранный ранее триггер автоматически отображается в качестве первого шага в рабочем процессе, поэтому теперь вы можете продолжить создание рабочего процесса здесь.

    Снимок экрана: конструктор рабочих процессов потребления с выбранным триггером.

  6. В конструкторе выберите триггер Microsoft Sentinel, если он еще не выбран.

  7. На панели Создание подключения выполните следующие действия, чтобы указать необходимые сведения для подключения к Microsoft Sentinel.

    1. Для параметра Проверка подлинности выберите один из следующих методов, которые влияют на последующие параметры подключения:

      Метод Описание
      OAuth Открытая авторизация (OAuth) — это технологический стандарт, позволяющий авторизовать приложение или службу для входа в другое приложение без предоставления личной информации, например паролей. OAuth 2.0 — это отраслевой протокол авторизации, предоставляя ограниченный доступ к защищенным ресурсам. Дополнительные сведения см. в следующих источниках:

      - Что такое OAuth?
      - Авторизация OAuth 2.0 с Microsoft Entra ID
      Субъект-служба Субъект-служба представляет сущность, требующую доступа к ресурсам, защищенным клиентом Microsoft Entra. Дополнительные сведения см. в разделе Объект субъекта-службы.
      Управляемое удостоверение Удостоверение, которое автоматически управляется в Microsoft Entra ID. Приложения могут использовать это удостоверение для доступа к ресурсам, поддерживающим проверку подлинности Microsoft Entra, и для получения маркеров Microsoft Entra без необходимости управлять учетными данными.

      Для оптимальной безопасности корпорация Майкрософт рекомендует по возможности использовать управляемое удостоверение для проверки подлинности. Этот параметр обеспечивает более высокий уровень безопасности и помогает обеспечить безопасность сведений о проверке подлинности, чтобы вам не нужно было управлять этой конфиденциальной информацией. Дополнительные сведения см. в следующих источниках:

      - Что такое управляемые удостоверения для Azure ресурсов?
      - Проверка подлинности доступа и подключений к ресурсам Azure с помощью управляемых удостоверений в Azure Logic Apps.

      Дополнительные сведения см. в разделе Запросы проверки подлинности.

    2. В зависимости от выбранного параметра проверки подлинности укажите необходимые значения параметров для соответствующего параметра.

      Дополнительные сведения об этих параметрах см. в справочнике по соединителю Microsoft Sentinel.

    3. В поле Идентификатор клиента выберите Microsoft Entra идентификатор клиента.

    4. По завершении нажмите кнопку Войти.

  8. Если ранее вы выбрали сборник схем с триггером сущности, выберите тип сущности, которую вы хотите получить в качестве входных данных.

    Снимок экрана: сборник схем рабочих процессов потребления с триггером сущности и доступными типами сущностей, которые можно выбрать для настройки схемы сборника схем.

Запросы проверки подлинности

При добавлении триггера или последующего действия, требующего проверки подлинности, может быть предложено выбрать один из доступных типов проверки подлинности, поддерживаемых соответствующим поставщиком ресурсов. В этом примере триггер Microsoft Sentinel является первой операцией, которую вы добавляете в рабочий процесс. Таким образом, поставщик ресурсов является Microsoft Sentinel, который поддерживает несколько вариантов проверки подлинности. Дополнительные сведения см. в следующей документации:

Добавление действий в сборник схем

Теперь, когда у вас есть рабочий процесс для сборника схем, определите, что происходит при вызове сборника схем. Добавьте действия, логические условия, циклы или условия переключения, выбрав знак "плюс" (+) в конструкторе. Дополнительные сведения см. в разделе Создание рабочего процесса с помощью триггера или действия.

При этом откроется область Добавить действие , где можно просматривать или искать службы, приложения, системы, действия потока управления и многое другое. После ввода условий поиска или выбора нужного ресурса в списке результатов отображаются доступные действия.

В каждом действии при выборе внутри поля вы получаете следующие параметры:

Дополнительные сведения см. в разделе Поддерживаемые триггеры и действия в Microsoft Sentinel сборниках схем.

Динамическое содержимое: сборники схем сущностей без идентификатора инцидента

Сборники схем, созданные с помощью триггера сущности Microsoft Sentinel, часто используют поле Идентификатор ARM инцидента, например, для обновления инцидента после выполнения действий с сущностью. Если такой сборник схем активируется в сценарии, который не подключен к инциденту, например при охоте на угрозы, идентификатор инцидента для заполнения этого поля отсутствует. Вместо этого поле заполняется значением NULL. В результате сборник схем может завершиться сбоем.

Чтобы предотвратить этот сбой, рекомендуется создать условие, которое проверяет значение в поле идентификатора инцидента перед выполнением рабочим процессом других действий. Вы можете назначить другой набор действий, если поле имеет значение NULL, так как сборник схем не запускается из инцидента.

  1. В рабочем процессе перед первым действием, которое ссылается на поле Идентификатор ARM инцидента, выполните следующие общие действия, чтобы добавить действие Условие.

  2. В области Условие в строке условия выберите левое поле Выберите значение , а затем выберите параметр динамического содержимого (значок молнии).

  3. В списке динамического содержимого в разделе Microsoft Sentinel инциденте используйте поле поиска, чтобы найти и выбрать Идентификатор ARM инцидента.

    Совет

    Если выходные данные не отображаются в списке, рядом с именем триггера выберите Дополнительные сведения.

  4. В среднем поле в списке операторов выберите значение не равно.

  5. В правой части поля Выберите значение и выберите параметр редактора выражений (значок функции).

  6. В редакторе введите null и нажмите кнопку Добавить.

По завершении условие будет выглядеть примерно так, как показано в следующем примере:

Снимок экрана: дополнительное условие, добавляемое перед полем Идентификатор ARM инцидента.

Динамическое содержимое: работа с пользовательскими сведениями

В триггере инцидента Microsoft Sentinel выходные данные оповещений — это массив объектов JSON, каждый из которых представляет пользовательские сведения из оповещения. Пользовательские сведения — это пары "ключ—значение", которые позволяют отображать информацию из событий в оповещении, чтобы их можно было представить, отслеживать и анализировать в ходе инцидента.

Это поле в оповещении можно настроить, поэтому его схема зависит от типа отображаемого события. Чтобы создать схему, которая определяет, как анализировать выходные данные пользовательских сведений, предоставьте данные из экземпляра этого события:

  1. В меню рабочей области Microsoft Sentinel в разделе Конфигурация выберите Аналитика.

  2. Выполните действия, чтобы создать или открыть существующее запланированное правило запроса или правило запроса NRT.

  3. На вкладке Задать логику правиларазверните раздел Пользовательские сведения, например:

    Снимок экрана: пользовательские сведения, определенные в правиле аналитики.

    В следующей таблице приведены дополнительные сведения об этих парах "ключ—значение".

    Элемент Расположение Описание
    Ключ Левый столбец Представляет настраиваемые поля, которые вы создаете.
    Значение Правый столбец Представляет поля из данных события, которые заполняют настраиваемые поля.

  4. Чтобы создать схему, укажите следующий пример кода JSON:

    { "FirstCustomField": [ "1", "2" ], "SecondCustomField": [ "a", "b" ] }

    В коде имена ключей отображаются как массивы, а значения — как элементы в массивах. Значения отображаются в качестве фактических значений, а не столбца, содержащего значения.

Чтобы использовать настраиваемые поля для триггеров инцидентов, выполните следующие действия для рабочего процесса:

  1. В конструкторе рабочих процессов в триггере инцидента Microsoft Sentinel добавьте встроенное действие с именем Анализ JSON.

  2. Выберите внутри параметра Content действия и выберите параметр списка динамического содержимого (значок молнии).

  3. В списке в разделе триггера инцидента найдите и выберите Оповещение настраиваемые сведения, например:

    Снимок экрана: выбранные настраиваемые сведения об оповещении в списке динамического содержимого.

    Этот выбор автоматически добавляет цикл For each для анализа JSON , так как инцидент содержит массив оповещений.

  4. В области Сведений о анализе JSON выберите Использовать пример полезных данных для создания схемы, например:

    Снимок экрана: выбор параметра Использовать пример полезных данных для создания связи схемы.

  5. В поле Ввод или вставка примера полезных данных JSON укажите пример полезных данных и нажмите кнопку Готово.

    Например, вы можете найти пример полезных данных, найдя в Log Analytics другой экземпляр этого оповещения, а затем скопировав объект пользовательских сведений, который можно найти в разделе Расширенные свойства. Чтобы получить доступ к данным Log Analytics, перейдите на страницу Журналы в портал Azure или на страницу Расширенной охоты на портале Defender.

    В следующем примере показан предыдущий пример кода JSON:

    Снимок экрана: пример полезных данных JSON.

    По завершении поле Схема теперь содержит созданную схему на основе предоставленного примера. Действие Синтаксический анализ JSON создает настраиваемые поля, которые теперь можно использовать в качестве динамических полей с типом Array в последующих действиях рабочего процесса.

    В следующем примере показан массив и его элементы как в схеме, так и в списке динамического содержимого для последующего действия с именем Compose:

    Снимок экрана: готовые к использованию динамические поля из схемы.

Управление сборниками схем

Перейдите на вкладку Автоматизация > активных сборников схем , чтобы просмотреть все сборники схем, к которым у вас есть доступ, с фильтрацией по представлению подписки.

После подключения к порталу Microsoft Defender по умолчанию на вкладке Активные сборники схем отображается предопределенный фильтр с подпиской подключенной рабочей области. В портал Azure измените подписки, отображаемые в меню Каталог и подписка в заголовке глобальной страницы Azure.

Хотя на вкладке Активные сборники схем отображаются все активные сборники схем, доступные в выбранных подписках, по умолчанию сборник схем можно использовать только в подписке, к которой он принадлежит, если вы специально не предоставите Microsoft Sentinel разрешения группе ресурсов сборника схем.

На вкладке Активные сборники схем отображаются сборники схем со следующими сведениями:

Столбец Описание
Состояние Указывает, включен или отключен сборник схем.
План Указывает, использует ли сборник схем тип ресурса Standard или Потребление Azure Logic Apps.

Сборники схем типа Standard используют LogicApp/Workflow соглашение об именовании, которое отражает, как сборник схем Standard представляет рабочий процесс, который существует наряду с другими рабочими процессами в одном приложении логики.

Дополнительные сведения см. в разделе Azure Logic Apps для сборников схем Microsoft Sentinel.
Тип триггера Указывает триггер в Azure Logic Apps, который запускает этот сборник схем:

- Microsoft Sentinel инцидент, оповещение или сущность: сборник схем запускается с одним из триггеров Sentinel, включая инцидент, оповещение или сущность.
- Использование действия Microsoft Sentinel. Сборник схем запускается с триггером, не Microsoft Sentinel, но использует действие Microsoft Sentinel
- Прочее. Сборник схем не включает компоненты Microsoft Sentinel
- Не инициализировано: сборник схем создан, но не содержит компонентов, ни активирует никаких действий.

Выберите сборник схем, чтобы открыть его Azure страницу Logic Apps, на которой отображаются дополнительные сведения о сборнике схем. На странице Azure Logic Apps:

  • Просмотр журнала всех попыток запуска сборника схем
  • Просмотр результатов выполнения, включая успехи и сбои, а также другие сведения
  • Если у вас есть соответствующие разрешения, откройте конструктор рабочих процессов в Azure Logic Apps, чтобы изменить сборник схем напрямую.

Связанные материалы

После создания сборника схем подключите его к правилам, которые будут активироваться событиями в вашей среде, или запустите сборники схем вручную для определенных инцидентов, оповещений или сущностей.

Дополнительные сведения см. в разделе:

  • Last updated on