Поделиться через


Создание сборников схем Microsoft Sentinel и управление ими

Сборники схем — это коллекции процедур, которые могут выполняться из Microsoft Sentinel в ответ на весь инцидент, на отдельное оповещение или определенную сущность. Сборник схем может помочь автоматизировать и оркестрировать ответ, и может быть присоединен к правилу автоматизации для автоматического запуска при создании определенных оповещений или при создании или обновлении инцидентов. Сборники схем также можно запускать вручную по запросу по конкретным инцидентам, оповещениям или сущностям.

В этой статье описывается создание сборников схем Microsoft Sentinel и управление ими. Позже эти сборники схем можно подключить к правилам аналитики или правилам автоматизации или запускать их вручную в определенных инцидентах, оповещениях или сущностях.

Примечание.

Сборники схем в Microsoft Sentinel основаны на рабочих процессах, встроенных в Azure Logic Apps, что означает, что вы получаете все возможности, настраиваемость и встроенные шаблоны приложений логики. Дополнительные расходы могут применяться. Сведения о ценах см. на странице цен Azure Logic Apps.

Внимание

Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender. Для предварительной версии Microsoft Sentinel доступен на портале Defender без XDR Microsoft Defender или лицензии E5. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Необходимые компоненты

  • Учетная запись и подписка Azure. Если у вас нет ее, вы можете зарегистрироваться для получения бесплатной учетной записи Azure.

  • Чтобы создавать сборники схем и управлять ими, вам потребуется доступ к Microsoft Sentinel с одной из следующих ролей Azure:

    Приложение логики Роли в Azure Description
    Потребление Создатель приложений логики Изменение приложений логики и управление ими.
    Потребление Оператор приложений логики Чтение, включение и отключение приложений логики.
    Стандартные Стандартный оператор Logic Apps Включение, повторная отправка и отключение рабочих процессов.
    Стандартные Разработчик Logic Apps уровня "Стандартный" Создание и изменение рабочих процессов.
    Стандартные Участник Logic Apps уровня "Стандартный" Управление всеми аспектами рабочего процесса.

    Дополнительные сведения см. в следующей документации:

  • Перед созданием сборника схем рекомендуется прочитать сборники схем Azure Logic Apps для Microsoft Sentinel.

Создание сборника схем

Чтобы создать сборник схем в Microsoft Sentinel, сделайте следующее.

  1. В портал Azure или на портале Defender перейдите в рабочую область Microsoft Sentinel. В меню рабочей области в разделе "Конфигурация" выберите "Автоматизация".

  2. В верхнем меню выберите "Создать", а затем выберите один из следующих параметров:

    • Если вы создаете сборник схем потребления, выберите один из следующих вариантов в зависимости от триггера, который вы хотите использовать, и выполните действия для приложения логики потребления:

      • Сборник схем с триггером инцидента
      • Сборник схем с триггером генерации оповещений
      • Сборник схем с триггером сущности

      Это руководство продолжает работу с сборником схем с триггером сущности.

    • Если вы создаете стандартный сборник схем, выберите пустой сборник схем, а затем выполните действия для типа приложения логики "Стандартный".

    Дополнительные сведения см. в статье Поддерживаемые типы приложений логики и поддерживаемые триггеры и действия в сборниках схем Microsoft Sentinel.

Подготовка приложения логики сборника схем

Выберите одну из следующих вкладок, чтобы узнать, как создать приложение логики для сборника схем в зависимости от того, используется ли приложение логики "Потребление" или "Стандартный". Дополнительные сведения см. в разделе "Поддерживаемые типы приложений логики".

Совет

Если сборники схем нуждаются в доступе к защищенным ресурсам, которые находятся внутри или подключены к виртуальной сети Azure, создайте рабочий процесс приложения логики уровня "Стандартный".

Стандартные рабочие процессы выполняются в Azure Logic Apps с одним клиентом и поддерживают использование частных конечных точек для входящего трафика, чтобы рабочие процессы могли безопасно взаимодействовать с виртуальными сетями. Стандартные рабочие процессы также поддерживают интеграцию виртуальной сети для исходящего трафика. Дополнительные сведения см. в статье "Безопасный трафик между виртуальными сетями и однотенантным Azure Logic Apps с помощью частных конечных точек".

После выбора триггера, включающего инцидент, оповещение или триггер сущности, откроется мастер создания сборника схем , например:

Снимок экрана: мастер создания сборника схем и вкладка

Выполните следующие действия, чтобы создать сборник схем:

  1. На вкладке Основные сведения укажите следующую информацию.

    1. Для группы подписок и ресурсов выберите нужные значения из соответствующих списков.

      Значение региона имеет тот же регион, что и связанная рабочая область Log Analytics.

    2. В поле "Имя сборника схем" введите имя сборника схем.

    3. Чтобы отслеживать действия этой сборника схем для диагностических целей, выберите "Включить диагностика журналы в Log Analytics", а затем выберите рабочую область Log Analytics, если вы еще не выбрали рабочую область.

  2. Выберите Далее: подключения >.

  3. На вкладке "Подключения" рекомендуется оставить значения по умолчанию, которые настраивают приложение логики для подключения к Microsoft Sentinel с управляемым удостоверением.

    Дополнительные сведения см. в сборниках схем проверки подлинности в Microsoft Sentinel.

  4. Чтобы продолжить, нажмите кнопку "Далее: проверка и создание >".

  5. На вкладке "Рецензирование" и " Создать" просмотрите параметры конфигурации и выберите " Создать сборник схем".

    Azure занимает несколько минут, чтобы создать и развернуть сборник схем. После завершения развертывания сборник схем откроется в конструкторе рабочих процессов потребления для Azure Logic Apps. Триггер, выбранный ранее, автоматически отображается как первый шаг в рабочем процессе, поэтому теперь можно продолжить создание рабочего процесса.

    Снимок экрана: конструктор рабочих процессов потребления с выбранным триггером.

  6. В конструкторе выберите триггер Microsoft Sentinel, если он еще не выбран.

  7. На панели "Создание подключения" выполните следующие действия, чтобы предоставить необходимые сведения для подключения к Microsoft Sentinel.

    1. Для проверки подлинности выберите из следующих методов, которые влияют на последующие параметры подключения:

      Метод Description
      OAuth Open Authorization (OAuth) — это стандарт технологии, который позволяет авторизовать приложение или службу для входа в другой без предоставления частной информации, например паролей. OAuth 2.0 является отраслевым протоколом для авторизации и предоставляет ограниченный доступ к защищенным ресурсам. Дополнительные сведения см. в следующих ресурсах:

      - Что такое OAuth?
      - Авторизация OAuth 2.0 с идентификатором Microsoft Entra
      Субъект-служба Субъект-служба представляет сущность, требующую доступа к ресурсам, защищенным клиентом Microsoft Entra. Дополнительные сведения см. в разделе "Объект субъекта-службы".
      Управляемое удостоверение Удостоверение, которое автоматически управляется в идентификаторе Microsoft Entra. Приложения могут использовать это удостоверение для доступа к ресурсам, поддерживающим проверку подлинности Microsoft Entra, и получать маркеры Microsoft Entra без необходимости управлять учетными данными.

      Для оптимальной безопасности корпорация Майкрософт рекомендует использовать управляемое удостоверение для проверки подлинности по возможности. Этот параметр обеспечивает более высокую безопасность и помогает обеспечить безопасность сведений проверки подлинности, чтобы вам не нужно было управлять этой конфиденциальной информацией. Дополнительные сведения см. в следующих ресурсах:

      - Что такое управляемые удостоверения для ресурсов Azure?
      - Проверка подлинности доступа и подключений к ресурсам Azure с помощью управляемых удостоверений в Azure Logic Apps.

      Дополнительные сведения см . в запросах проверки подлинности.

    2. На основе выбранного параметра проверки подлинности укажите необходимые значения параметров для соответствующего параметра.

      Дополнительные сведения об этих параметрах см . в справочнике по соединителю Microsoft Sentinel.

    3. Для идентификатора клиента выберите идентификатор клиента Microsoft Entra.

    4. По завершении нажмите кнопку "Войти".

  8. Если вы ранее выбрали сборник схем с триггером сущности, выберите тип сущности, которую вы хотите получить в качестве входных данных.

    Снимок экрана: сборник схем рабочего процесса потребления с триггером сущности и доступными типами сущностей, которые можно выбрать для настройки схемы сборника схем.

Запросы проверки подлинности

При добавлении триггера или последующего действия, требующего проверки подлинности, может потребоваться выбрать доступные типы проверки подлинности, поддерживаемые соответствующим поставщиком ресурсов. В этом примере триггер Microsoft Sentinel — это первая операция, которую вы добавляете в рабочий процесс. Таким образом, поставщик ресурсов — Microsoft Sentinel, который поддерживает несколько вариантов проверки подлинности. Дополнительные сведения см. в следующей документации:

Добавление действий в сборник схем

Теперь, когда у вас есть рабочий процесс для сборника схем, определите, что происходит при вызове сборника схем. Добавьте действия, логические условия, циклы или условия переключения, выбрав знак плюса (+) в конструкторе. Дополнительные сведения см. в статье "Создание рабочего процесса с триггером или действием".

Откроется область действий "Добавить" , где можно просматривать или искать службы, приложения, системы, действия потока управления и многое другое. После ввода условий поиска или выбора нужного ресурса в списке результатов отображаются доступные действия.

В каждом действии при выборе внутри поля вы получите следующие параметры:

Дополнительные сведения см. в статье "Поддерживаемые триггеры и действия" в сборниках схем Microsoft Sentinel.

Динамическое содержимое: сборники схем сущностей без идентификатора инцидента

Сборники схем, созданные с помощью триггера сущности Microsoft Sentinel, часто используют поле идентификатора ARM инцидента, например для обновления инцидента после принятия действий по сущности. Если такой сборник схем активируется в сценарии, который не подключен к инциденту, например при поиске угроз, не существует идентификатора инцидента для заполнения этого поля. Вместо этого поле заполняется значением NULL. В результате сборник схем может завершиться сбоем.

Чтобы предотвратить этот сбой, рекомендуется создать условие, которое проверяет значение в поле идентификатора инцидента, прежде чем рабочий процесс принимает любые другие действия. Вы можете назначить другой набор действий, которые необходимо предпринять, если поле имеет значение NULL, из-за того, что сборник схем не выполняется из инцидента.

  1. В рабочем процессе перед первым действием, ссылающимся на поле идентификатора ARM инцидента, выполните следующие общие действия, чтобы добавить действие условия.

  2. В области условий в строке условия выберите левое поле "Выбрать значение", а затем выберите параметр динамического содержимого (значок молнии).

  3. В списке динамического содержимого в разделе инцидента Microsoft Sentinel используйте поле поиска, чтобы найти и выбрать идентификатор ARM инцидента.

    Совет

    Если выходные данные не отображаются в списке, рядом с именем триггера нажмите кнопку "Дополнительные сведения".

  4. В среднем поле из списка операторов выберите значение не равно.

  5. В правой области выбора значения и выберите параметр редактора выражений (значок функции).

  6. В редакторе введите null и нажмите кнопку "Добавить".

По завершении условие выглядит примерно так:

Снимок экрана: дополнительное условие для добавления перед полем идентификатора ARM инцидента.

Динамическое содержимое: работа с пользовательскими сведениями

В триггере инцидента Microsoft Sentinel выходные данные пользовательских сведений оповещений — это массив объектов JSON, каждый из которых представляет пользовательскую информацию из оповещения. Пользовательские сведения — это пары "ключ-значение", которые позволяют получать сведения о событиях в оповещении, чтобы они могли быть представлены, отслеживаются и анализируются как часть инцидента.

Это поле в оповещении настраивается, поэтому его схема зависит от типа события, которое отображается. Чтобы создать схему, которая определяет, как проанализировать выходные данные пользовательских сведений, укажите данные из экземпляра этого события:

  1. В меню рабочей области Microsoft Sentinel в разделе "Конфигурация" выберите "Аналитика".

  2. Выполните действия, чтобы создать или открыть существующее правило запланированного запроса или правило запроса NRT.

  3. На вкладке "Задать логику правила" разверните раздел "Пользовательские сведения", например:

    Снимок экрана: пользовательские сведения, определенные в правиле аналитики.

    В следующей таблице приведены дополнительные сведения об этих парах "ключ-значение".

    Товар Расположение Description
    Ключ Левый столбец Представляет создаваемые настраиваемые поля.
    Value Правый столбец Представляет поля из данных события, заполняющих настраиваемые поля.
  4. Чтобы создать схему, укажите следующий пример кода JSON:

    { "FirstCustomField": [ "1", "2" ], "SecondCustomField": [ "a", "b" ] }
    

    В коде показаны имена ключей в виде массивов и значения в виде элементов в массивах. Значения отображаются как фактические значения, а не столбец, содержащий значения.

Чтобы использовать настраиваемые поля для триггеров инцидентов, выполните следующие действия для рабочего процесса:

  1. В конструкторе рабочих процессов в триггере инцидента Microsoft Sentinel добавьте встроенное действие с именем Parse JSON.

  2. Выберите внутри параметра содержимого действия и выберите параметр списка динамического содержимого (значок молнии).

  3. В списке в разделе триггера инцидента найдите и выберите "Настраиваемые сведения оповещений", например:

    Снимок экрана: выбор настраиваемых сведений оповещений в списке динамического содержимого.

    Этот выбор автоматически добавляет цикл "Для каждого цикла" вокруг анализа JSON , так как инцидент содержит массив оповещений.

  4. В области сведений о анализе JSON выберите "Использовать пример полезных данных для создания схемы", например:

    Снимок экрана: выборка примера полезных данных для создания ссылки схемы.

  5. В поле "Ввод" или вставьте пример полезных данных JSON, укажите пример полезных данных и нажмите кнопку "Готово".

    Например, можно найти пример полезных данных, выполнив поиск в Log Analytics для другого экземпляра этого оповещения, а затем скопируйте объект настраиваемых сведений, который можно найти в разделе "Расширенные свойства". Чтобы получить доступ к данным Log Analytics, перейдите на страницу журналов в портал Azure или на странице расширенной охоты на портале Defender.

    В следующем примере показан предыдущий пример кода JSON:

    Снимок экрана: пример полезных данных JSON.

    По завершении поле схемы теперь содержит созданную схему на основе предоставленного примера. Действие анализа JSON создает настраиваемые поля, которые теперь можно использовать в качестве динамических полей с типом массива в последующих действиях рабочего процесса.

    В следующем примере показан массив и его элементы, как в схеме, так и в списке динамического содержимого для последующего действия с именем Compose:

    Снимок экрана: готово к использованию динамических полей из схемы.

Управление сборниками схем

Перейдите на вкладку "Сборники схем службы автоматизации > ", чтобы просмотреть все сборники схем, к которым у вас есть доступ, отфильтрованные в представлении подписки.

После подключения к порталу Microsoft Defender по умолчанию на вкладке "Активные сборники схем" отображается предопределенный фильтр с подпиской подключенной рабочей области. В портал Azure измените подписки, отображаемые в меню "Каталог + подписка" в заголовке глобальной страницы Azure.

Хотя на вкладке "Активные сборники схем" отображаются все активные сборники схем, доступные в любой выбранной подписке, по умолчанию сборник схем можно использовать только в подписке, к которой она принадлежит, если только вы не предоставляете разрешения Microsoft Sentinel группе ресурсов сборника схем.

На вкладке "Активные сборники схем" отображаются сборники схем со следующими сведениями:

Имя столбца Description
Состояние Указывает, включена ли или отключена сборник схем.
План Указывает, использует ли сборник схем тип ресурса Azure Logic Apps уровня "Стандартный" или "Потребление".

Сборники схем стандартного типа используют LogicApp/Workflow соглашение об именовании, которое отражает, как стандартный сборник схем представляет рабочий процесс, который существует вместе с другими рабочими процессами в одном приложении логики.

Дополнительные сведения см. в сборниках схем Microsoft Sentinel в Azure Logic Apps.
Тип триггера Указывает триггер в Azure Logic Apps, который запускает этот сборник схем:

- Инцидент Microsoft Sentinel/Alert/Entity: сборник схем запускается с одним из триггеров Sentinel, включая инциденты, оповещения или сущность
- Использование действия Microsoft Sentinel: сборник схем запускается с триггера, отличного от Microsoft Sentinel, но использует действие Microsoft Sentinel
- Другие: сборник схем не включает какие-либо компоненты Microsoft Sentinel
- Не инициализирован: сборник схем был создан, но не содержит компонентов, ни активирует никаких действий.

Выберите сборник схем, чтобы открыть страницу Azure Logic Apps, которая содержит дополнительные сведения о сборнике схем. На странице Azure Logic Apps:

  • Просмотр журнала всех времен запуска сборника схем
  • Просмотр результатов выполнения, включая успехи и сбои и другие сведения
  • Если у вас есть соответствующие разрешения, откройте конструктор рабочих процессов в Azure Logic Apps, чтобы изменить сборник схем напрямую.

После создания сборника схем подключите его к правилам для активации событий в вашей среде или вручную запустите сборники схем для определенных инцидентов, оповещений или сущностей.

Дополнительные сведения см. в разделе: