Создание сборников схем Microsoft Sentinel и управление ими
Сборники схем — это коллекции процедур, которые могут выполняться из Microsoft Sentinel в ответ на весь инцидент, на отдельное оповещение или определенную сущность. Сборник схем может помочь автоматизировать и оркестрировать ответ, и может быть присоединен к правилу автоматизации для автоматического запуска при создании определенных оповещений или при создании или обновлении инцидентов. Сборники схем также можно запускать вручную по запросу по конкретным инцидентам, оповещениям или сущностям.
В этой статье описывается создание сборников схем Microsoft Sentinel и управление ими. Позже эти сборники схем можно подключить к правилам аналитики или правилам автоматизации или запускать их вручную в определенных инцидентах, оповещениях или сущностях.
Примечание.
Сборники схем в Microsoft Sentinel основаны на рабочих процессах, встроенных в Azure Logic Apps, что означает, что вы получаете все возможности, настраиваемость и встроенные шаблоны приложений логики. Дополнительные расходы могут применяться. Сведения о ценах см. на странице цен Azure Logic Apps.
Внимание
Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender. Для предварительной версии Microsoft Sentinel доступен на портале Defender без XDR Microsoft Defender или лицензии E5. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.
Необходимые компоненты
Учетная запись и подписка Azure. Если у вас нет ее, вы можете зарегистрироваться для получения бесплатной учетной записи Azure.
Чтобы создавать сборники схем и управлять ими, вам потребуется доступ к Microsoft Sentinel с одной из следующих ролей Azure:
Приложение логики Роли в Azure Description Потребление Создатель приложений логики Изменение приложений логики и управление ими. Потребление Оператор приложений логики Чтение, включение и отключение приложений логики. Стандартные Стандартный оператор Logic Apps Включение, повторная отправка и отключение рабочих процессов. Стандартные Разработчик Logic Apps уровня "Стандартный" Создание и изменение рабочих процессов. Стандартные Участник Logic Apps уровня "Стандартный" Управление всеми аспектами рабочего процесса. Дополнительные сведения см. в следующей документации:
- Доступ к операциям приложения логики
- Предварительные требования сборника схем Microsoft Sentinel.
Перед созданием сборника схем рекомендуется прочитать сборники схем Azure Logic Apps для Microsoft Sentinel.
Создание сборника схем
Чтобы создать сборник схем в Microsoft Sentinel, сделайте следующее.
В портал Azure или на портале Defender перейдите в рабочую область Microsoft Sentinel. В меню рабочей области в разделе "Конфигурация" выберите "Автоматизация".
В верхнем меню выберите "Создать", а затем выберите один из следующих параметров:
Если вы создаете сборник схем потребления, выберите один из следующих вариантов в зависимости от триггера, который вы хотите использовать, и выполните действия для приложения логики потребления:
- Сборник схем с триггером инцидента
- Сборник схем с триггером генерации оповещений
- Сборник схем с триггером сущности
Это руководство продолжает работу с сборником схем с триггером сущности.
Если вы создаете стандартный сборник схем, выберите пустой сборник схем, а затем выполните действия для типа приложения логики "Стандартный".
Дополнительные сведения см. в статье Поддерживаемые типы приложений логики и поддерживаемые триггеры и действия в сборниках схем Microsoft Sentinel.
Подготовка приложения логики сборника схем
Выберите одну из следующих вкладок, чтобы узнать, как создать приложение логики для сборника схем в зависимости от того, используется ли приложение логики "Потребление" или "Стандартный". Дополнительные сведения см. в разделе "Поддерживаемые типы приложений логики".
Совет
Если сборники схем нуждаются в доступе к защищенным ресурсам, которые находятся внутри или подключены к виртуальной сети Azure, создайте рабочий процесс приложения логики уровня "Стандартный".
Стандартные рабочие процессы выполняются в Azure Logic Apps с одним клиентом и поддерживают использование частных конечных точек для входящего трафика, чтобы рабочие процессы могли безопасно взаимодействовать с виртуальными сетями. Стандартные рабочие процессы также поддерживают интеграцию виртуальной сети для исходящего трафика. Дополнительные сведения см. в статье "Безопасный трафик между виртуальными сетями и однотенантным Azure Logic Apps с помощью частных конечных точек".
После выбора триггера, включающего инцидент, оповещение или триггер сущности, откроется мастер создания сборника схем , например:
Выполните следующие действия, чтобы создать сборник схем:
На вкладке Основные сведения укажите следующую информацию.
Для группы подписок и ресурсов выберите нужные значения из соответствующих списков.
Значение региона имеет тот же регион, что и связанная рабочая область Log Analytics.
В поле "Имя сборника схем" введите имя сборника схем.
Чтобы отслеживать действия этой сборника схем для диагностических целей, выберите "Включить диагностика журналы в Log Analytics", а затем выберите рабочую область Log Analytics, если вы еще не выбрали рабочую область.
Выберите Далее: подключения >.
На вкладке "Подключения" рекомендуется оставить значения по умолчанию, которые настраивают приложение логики для подключения к Microsoft Sentinel с управляемым удостоверением.
Дополнительные сведения см. в сборниках схем проверки подлинности в Microsoft Sentinel.
Чтобы продолжить, нажмите кнопку "Далее: проверка и создание >".
На вкладке "Рецензирование" и " Создать" просмотрите параметры конфигурации и выберите " Создать сборник схем".
Azure занимает несколько минут, чтобы создать и развернуть сборник схем. После завершения развертывания сборник схем откроется в конструкторе рабочих процессов потребления для Azure Logic Apps. Триггер, выбранный ранее, автоматически отображается как первый шаг в рабочем процессе, поэтому теперь можно продолжить создание рабочего процесса.
В конструкторе выберите триггер Microsoft Sentinel, если он еще не выбран.
На панели "Создание подключения" выполните следующие действия, чтобы предоставить необходимые сведения для подключения к Microsoft Sentinel.
Для проверки подлинности выберите из следующих методов, которые влияют на последующие параметры подключения:
Метод Description OAuth Open Authorization (OAuth) — это стандарт технологии, который позволяет авторизовать приложение или службу для входа в другой без предоставления частной информации, например паролей. OAuth 2.0 является отраслевым протоколом для авторизации и предоставляет ограниченный доступ к защищенным ресурсам. Дополнительные сведения см. в следующих ресурсах:
- Что такое OAuth?
- Авторизация OAuth 2.0 с идентификатором Microsoft EntraСубъект-служба Субъект-служба представляет сущность, требующую доступа к ресурсам, защищенным клиентом Microsoft Entra. Дополнительные сведения см. в разделе "Объект субъекта-службы". Управляемое удостоверение Удостоверение, которое автоматически управляется в идентификаторе Microsoft Entra. Приложения могут использовать это удостоверение для доступа к ресурсам, поддерживающим проверку подлинности Microsoft Entra, и получать маркеры Microsoft Entra без необходимости управлять учетными данными.
Для оптимальной безопасности корпорация Майкрософт рекомендует использовать управляемое удостоверение для проверки подлинности по возможности. Этот параметр обеспечивает более высокую безопасность и помогает обеспечить безопасность сведений проверки подлинности, чтобы вам не нужно было управлять этой конфиденциальной информацией. Дополнительные сведения см. в следующих ресурсах:
- Что такое управляемые удостоверения для ресурсов Azure?
- Проверка подлинности доступа и подключений к ресурсам Azure с помощью управляемых удостоверений в Azure Logic Apps.Дополнительные сведения см . в запросах проверки подлинности.
На основе выбранного параметра проверки подлинности укажите необходимые значения параметров для соответствующего параметра.
Дополнительные сведения об этих параметрах см . в справочнике по соединителю Microsoft Sentinel.
Для идентификатора клиента выберите идентификатор клиента Microsoft Entra.
По завершении нажмите кнопку "Войти".
Если вы ранее выбрали сборник схем с триггером сущности, выберите тип сущности, которую вы хотите получить в качестве входных данных.
Запросы проверки подлинности
При добавлении триггера или последующего действия, требующего проверки подлинности, может потребоваться выбрать доступные типы проверки подлинности, поддерживаемые соответствующим поставщиком ресурсов. В этом примере триггер Microsoft Sentinel — это первая операция, которую вы добавляете в рабочий процесс. Таким образом, поставщик ресурсов — Microsoft Sentinel, который поддерживает несколько вариантов проверки подлинности. Дополнительные сведения см. в следующей документации:
- Проверка подлинности сборников схем в Microsoft Sentinel
- Поддерживаемые триггеры и действия в сборниках схем Microsoft Sentinel
Добавление действий в сборник схем
Теперь, когда у вас есть рабочий процесс для сборника схем, определите, что происходит при вызове сборника схем. Добавьте действия, логические условия, циклы или условия переключения, выбрав знак плюса (+) в конструкторе. Дополнительные сведения см. в статье "Создание рабочего процесса с триггером или действием".
Откроется область действий "Добавить" , где можно просматривать или искать службы, приложения, системы, действия потока управления и многое другое. После ввода условий поиска или выбора нужного ресурса в списке результатов отображаются доступные действия.
В каждом действии при выборе внутри поля вы получите следующие параметры:
Динамическое содержимое (значок молнии): выберите из списка доступных выходных данных из предыдущих действий в рабочем процессе, включая триггер Microsoft Sentinel. Например, эти выходные данные могут включать атрибуты оповещения или инцидента, переданного в сборник схем, включая значения и атрибуты всех сопоставленных сущностей и пользовательских сведений в оповещении или инциденте. Вы можете добавить ссылки на текущее действие, выбрав эти выходные данные.
Примеры, демонстрирующие использование динамического содержимого, см. в следующих разделах:
Редактор выражений (значок функции): выберите из большой библиотеки функций, чтобы добавить в рабочий процесс больше логики.
Дополнительные сведения см. в статье "Поддерживаемые триггеры и действия" в сборниках схем Microsoft Sentinel.
Динамическое содержимое: сборники схем сущностей без идентификатора инцидента
Сборники схем, созданные с помощью триггера сущности Microsoft Sentinel, часто используют поле идентификатора ARM инцидента, например для обновления инцидента после принятия действий по сущности. Если такой сборник схем активируется в сценарии, который не подключен к инциденту, например при поиске угроз, не существует идентификатора инцидента для заполнения этого поля. Вместо этого поле заполняется значением NULL. В результате сборник схем может завершиться сбоем.
Чтобы предотвратить этот сбой, рекомендуется создать условие, которое проверяет значение в поле идентификатора инцидента, прежде чем рабочий процесс принимает любые другие действия. Вы можете назначить другой набор действий, которые необходимо предпринять, если поле имеет значение NULL, из-за того, что сборник схем не выполняется из инцидента.
В рабочем процессе перед первым действием, ссылающимся на поле идентификатора ARM инцидента, выполните следующие общие действия, чтобы добавить действие условия.
В области условий в строке условия выберите левое поле "Выбрать значение", а затем выберите параметр динамического содержимого (значок молнии).
В списке динамического содержимого в разделе инцидента Microsoft Sentinel используйте поле поиска, чтобы найти и выбрать идентификатор ARM инцидента.
Совет
Если выходные данные не отображаются в списке, рядом с именем триггера нажмите кнопку "Дополнительные сведения".
В среднем поле из списка операторов выберите значение не равно.
В правой области выбора значения и выберите параметр редактора выражений (значок функции).
В редакторе введите null и нажмите кнопку "Добавить".
По завершении условие выглядит примерно так:
Динамическое содержимое: работа с пользовательскими сведениями
В триггере инцидента Microsoft Sentinel выходные данные пользовательских сведений оповещений — это массив объектов JSON, каждый из которых представляет пользовательскую информацию из оповещения. Пользовательские сведения — это пары "ключ-значение", которые позволяют получать сведения о событиях в оповещении, чтобы они могли быть представлены, отслеживаются и анализируются как часть инцидента.
Это поле в оповещении настраивается, поэтому его схема зависит от типа события, которое отображается. Чтобы создать схему, которая определяет, как проанализировать выходные данные пользовательских сведений, укажите данные из экземпляра этого события:
В меню рабочей области Microsoft Sentinel в разделе "Конфигурация" выберите "Аналитика".
Выполните действия, чтобы создать или открыть существующее правило запланированного запроса или правило запроса NRT.
На вкладке "Задать логику правила" разверните раздел "Пользовательские сведения", например:
В следующей таблице приведены дополнительные сведения об этих парах "ключ-значение".
Товар Расположение Description Ключ Левый столбец Представляет создаваемые настраиваемые поля. Value Правый столбец Представляет поля из данных события, заполняющих настраиваемые поля. Чтобы создать схему, укажите следующий пример кода JSON:
{ "FirstCustomField": [ "1", "2" ], "SecondCustomField": [ "a", "b" ] }
В коде показаны имена ключей в виде массивов и значения в виде элементов в массивах. Значения отображаются как фактические значения, а не столбец, содержащий значения.
Чтобы использовать настраиваемые поля для триггеров инцидентов, выполните следующие действия для рабочего процесса:
В конструкторе рабочих процессов в триггере инцидента Microsoft Sentinel добавьте встроенное действие с именем Parse JSON.
Выберите внутри параметра содержимого действия и выберите параметр списка динамического содержимого (значок молнии).
В списке в разделе триггера инцидента найдите и выберите "Настраиваемые сведения оповещений", например:
Этот выбор автоматически добавляет цикл "Для каждого цикла" вокруг анализа JSON , так как инцидент содержит массив оповещений.
В области сведений о анализе JSON выберите "Использовать пример полезных данных для создания схемы", например:
В поле "Ввод" или вставьте пример полезных данных JSON, укажите пример полезных данных и нажмите кнопку "Готово".
Например, можно найти пример полезных данных, выполнив поиск в Log Analytics для другого экземпляра этого оповещения, а затем скопируйте объект настраиваемых сведений, который можно найти в разделе "Расширенные свойства". Чтобы получить доступ к данным Log Analytics, перейдите на страницу журналов в портал Azure или на странице расширенной охоты на портале Defender.
В следующем примере показан предыдущий пример кода JSON:
По завершении поле схемы теперь содержит созданную схему на основе предоставленного примера. Действие анализа JSON создает настраиваемые поля, которые теперь можно использовать в качестве динамических полей с типом массива в последующих действиях рабочего процесса.
В следующем примере показан массив и его элементы, как в схеме, так и в списке динамического содержимого для последующего действия с именем Compose:
Управление сборниками схем
Перейдите на вкладку "Сборники схем службы автоматизации > ", чтобы просмотреть все сборники схем, к которым у вас есть доступ, отфильтрованные в представлении подписки.
После подключения к порталу Microsoft Defender по умолчанию на вкладке "Активные сборники схем" отображается предопределенный фильтр с подпиской подключенной рабочей области. В портал Azure измените подписки, отображаемые в меню "Каталог + подписка" в заголовке глобальной страницы Azure.
Хотя на вкладке "Активные сборники схем" отображаются все активные сборники схем, доступные в любой выбранной подписке, по умолчанию сборник схем можно использовать только в подписке, к которой она принадлежит, если только вы не предоставляете разрешения Microsoft Sentinel группе ресурсов сборника схем.
На вкладке "Активные сборники схем" отображаются сборники схем со следующими сведениями:
Выберите сборник схем, чтобы открыть страницу Azure Logic Apps, которая содержит дополнительные сведения о сборнике схем. На странице Azure Logic Apps:
- Просмотр журнала всех времен запуска сборника схем
- Просмотр результатов выполнения, включая успехи и сбои и другие сведения
- Если у вас есть соответствующие разрешения, откройте конструктор рабочих процессов в Azure Logic Apps, чтобы изменить сборник схем напрямую.
Связанный контент
После создания сборника схем подключите его к правилам для активации событий в вашей среде или вручную запустите сборники схем для определенных инцидентов, оповещений или сущностей.
Дополнительные сведения см. в разделе: