Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive i trigger e le azioni supportati dal connettore Logic Apps di Microsoft Sentinel. Usare i trigger e le azioni elencati nei playbook di Microsoft Sentinel per interagire con i dati di Microsoft Sentinel.
Importante
La funzionalità annotata è attualmente disponibile in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altre condizioni legali applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.
Prerequisiti
Prima di iniziare, assicurarsi di disporre delle autorizzazioni di Azure seguenti necessarie per usare i componenti del connettore di Microsoft Sentinel:
| Ruolo | Usare i trigger | Ottenere le azioni disponibili | Aggiorna incidente aggiungere un commento |
|---|---|---|---|
| Lettore di Microsoft Sentinel | ✓ | ✓ | - |
| Collaboratore/ di Microsoft Sentinel | ✓ | ✓ | ✓ |
Per altre informazioni, vedere Ruoli e autorizzazioni in Microsoft Sentinel e prerequisiti per l'uso dei playbook di Microsoft Sentinel.
Trigger di Microsoft Sentinel supportati
Il connettore Microsoft Sentinel e quindi i playbook di Microsoft Sentinel supportano i trigger seguenti:
Evento imprevisto di Microsoft Sentinel. Consigliato per la maggior parte degli scenari di automazione degli eventi imprevisti.
Il playbook riceve gli oggetti di incidenti, comprese le entità e gli avvisi. Questo trigger consente di collegare un playbook a una regola di automazione che può essere attivata ogni volta che viene creato o aggiornato un evento imprevisto in Microsoft Sentinel, applicando tutti i vantaggi delle regole di automazione all'evento imprevisto.
Avviso di Microsoft Sentinel (anteprima). Consigliato per i playbook che devono essere eseguiti manualmente sugli avvisi o per le regole di analisi pianificate che non generano eventi imprevisti per i relativi avvisi.
- Questo trigger non può essere usato per automatizzare le risposte agli avvisi generati dalle regole di analisi della sicurezza Microsoft .
- I playbook che usano questo trigger non possono essere chiamati dalle regole di automazione.
Entità di Microsoft Sentinel. Consigliato per i playbook che devono essere eseguiti manualmente su entità specifiche in un contesto di indagine o caccia alle minacce. I playbook che usano questo trigger non possono essere chiamati dalle regole di automazione.
Gli schemi usati da questi flussi non sono identici. È consigliabile usare il flusso di trigger degli eventi imprevisti di Microsoft Sentinel per la maggior parte degli scenari.
Campi dinamici degli eventi imprevisti
L'oggetto Evento imprevisto ricevuto dall'evento imprevisto di Microsoft Sentinel include i campi dinamici seguenti:
| Nome del campo | Descrizione |
|---|---|
| Proprietà degli incidenti | Visualizzato come Incidente: <campo nome> |
| Avvisi | Matrice delle proprietà di avviso seguenti, visualizzate come Avviso: <nome> campo. Poiché ogni incidente può includere più avvisi, la selezione di una proprietà di avviso genera automaticamente un ciclo per ciascuno per coprire tutte le avvisi nell'incidente. |
| Entità | Matrice di tutte le entità dell'avviso |
| Campi delle informazioni sull'area di lavoro | Informazioni dettagliate sull'area di lavoro di Microsoft Sentinel in cui è stato creato l'evento imprevisto, tra cui: - ID sottoscrizione - Nome dell'area di lavoro - ID area di lavoro - Nome gruppo di risorse |
Problemi noti e limitazioni
La ridenominazione di un trigger in un'app per la logica non è attualmente supportata. La modifica del nome del trigger interrompe le integrazioni con i flussi di lavoro di automazione e Microsoft Sentinel, perché questi servizi si basano sul nome del trigger originale per la connettività.
Azioni supportate di Microsoft Sentinel
Il connettore Microsoft Sentinel e quindi i playbook di Microsoft Sentinel supportano le azioni seguenti:
| Azione | Scenari di utilizzo |
|---|---|
| Avviso - Incidente | Nei playbook che iniziano con l'attivazione di avviso. Utile per ottenere le proprietà dell'incidente o recuperare l'ID ARM dell'incidente da usare con Aggiorna incidente o Aggiungi commento all'incidente. |
| Ottieni Incidente | Quando si attiva un playbook da un'origine esterna o con un trigger non Sentinel. Identificare con un ID ARM di incidente. Recupera le proprietà e i commenti degli eventi imprevisti. |
| Aggiorna Incidente | Per modificare lo stato di un evento imprevisto, ad esempio quando si chiude l'evento imprevisto, assegnare un proprietario, aggiungere o rimuovere un tag oppure modificare la gravità, il titolo o la descrizione. |
| Aggiungere commenti agli incidenti | Per arricchire l'incidente con informazioni raccolte da fonti esterne; per verificare le azioni intraprese dal playbook sugli enti; per fornire informazioni aggiuntive utili per l'indagine sull'incidente. |
| Entità - Ottenere <il tipo di entità> | Nei playbook che funzionano su un tipo di entità specifico (IP, Account, Host, **URL o FileHash) noto in fase di creazione del playbook ed è necessario essere in grado di analizzarlo e lavorare sui relativi campi univoci. |
Suggerimento
Le azioni Aggiorna evento imprevisto e Aggiungi un commento all'evento imprevisto richiedono l'ID ARM dell'evento imprevisto.
Usare l'azione Avviso - Ottieni evento imprevisto in anticipo per ottenere l'ID ARM dell'evento imprevisto.
Tipi di entità supportati
Il campo dinamico Entities è una matrice di oggetti JSON, ognuno dei quali rappresenta un'entità. Ogni tipo di entità ha uno schema specifico, a seconda delle relative proprietà univoce.
L'azione "Entities - Get <entity type>" consente di:
- Filtrare la matrice di entità in base al tipo richiesto.
- Analizzare i campi specifici di questo tipo, in modo che possano essere usati come campi dinamici in altre azioni.
L'input è il campo dinamico Entities .
La risposta è una matrice di entità, in cui le proprietà speciali vengono analizzate e possono essere usate direttamente in un ciclo For each .
I tipi di entità attualmente supportati includono:
L'immagine seguente mostra un esempio di azioni disponibili per le entità:
Per altri tipi di entità, è possibile ottenere funzionalità simili usando le azioni predefinite di App per la logica:
Filtrare la matrice di entità in base al tipo richiesto usando La matrice di filtri.
Analizzare i campi specifici di questo tipo, in modo che possano essere usati come campi dinamici in altre azioni usando Analizza JSON.
Contenuti correlati
Per altre informazioni, vedere: