SOAR-Inhaltskatalog für Microsoft Azure Sentinel
Microsoft Azure Sentinel bietet eine Vielzahl von Playbooks und Connectors für Sicherheitsorchestrierung, Automatisierung und Reaktion (Security Orchestration, Automation, and Response, SOAR), sodass Sie Microsoft Azure Sentinel problemlos in jedes Produkt oder jeden Dienst in Ihrer Umgebung integrieren können.
Die nachfolgend aufgeführten Integrationen können einige oder alle der folgenden Komponenten umfassen:
| Komponententyp | Zweck | Anwendungsfall und verknüpfte Anweisungen |
|---|---|---|
| Playbookvorlagen | Automatisierter Workflow | Verwenden Sie Playbookvorlagen, um vorgefertigte Playbooks für die automatische Reaktion auf Bedrohungen bereitzustellen. Automatisieren der Bedrohungsabwehr mit Playbooks in Microsoft Sentinel |
| Verwalteter Azure Logic Apps-Connector | Bausteine zum Erstellen von Playbooks | Playbooks verwenden verwaltete Connectors für die Kommunikation mit hunderten von Microsoft- und Nicht-Microsoft-Diensten. Liste der Logic Apps-Connectors und der zugehörigen Dokumentation |
| Benutzerdefinierter Azure Logic Apps-Connector | Bausteine zum Erstellen von Playbooks | Möglicherweise möchten Sie mit Diensten kommunizieren, die nicht als vorgefertigte Connectors verfügbar sind. Benutzerdefinierte Konnektoren adressieren diesen Bedarf, indem Sie einen Konnektor erstellen (und sogar freigeben) und seine eigenen Auslöser und Aktionen definieren können. |
SOAR-Integrationen und deren Komponenten finden Sie an folgenden Orten:
- Microsoft Azure Sentinel-Lösungen
- Microsoft Azure Sentinel-Blatt „Automation“, Registerkarte „Playbookvorlagen“
- Logic Apps-Designer (für verwaltete Logic Apps-Connectors)
- Microsoft Azure Sentinel: GitHub-Repository
Tipp
- Viele SOAR-Integrationen können als Teil einer Microsoft Azure Sentinel-Lösung zusammen mit zugehörigen Datenconnectors, Analyseregeln und Arbeitsmappen bereitgestellt werden. Weitere Informationen finden Sie im Microsoft Sentinel-Lösungskatalog.
- Die Microsoft Azure Sentinel-Community stellt noch weitere Integrationen bereit, die Sie im GitHub-Repository finden.
- Wenn Sie über ein Produkt oder einen Dienst verfügen, das bzw. der nicht aufgelistet ist oder derzeit nicht unterstützt wird, senden Sie eine Featureanforderung.
Mithilfe der folgenden Tools können Sie auch eigene erstellen:- Benutzerdefinierter Logic Apps-Connector
- Azure-Funktionen
- Logic Apps-HTTP-Aufrufe
AbuseIPDB
| Produkt | Integrationskomponenten | Unterstützt von | Szenarien |
|---|---|---|---|
| AbuseIPDB (Als Lösung verfügbar) |
Benutzerdefinierter Logic Apps-Connector Playbooks |
Microsoft | Incidents durch IP-Informationen anreichern, IP an AbuseIPDB melden, Verweigerungsliste an Threat Intelligence |
Atlassian
| Produkt | Integrationskomponenten | Unterstützt von | Szenarien |
|---|---|---|---|
| Jira | Verwalteter Logic Apps-Connector Playbooks |
Microsoft Community |
Synchronisieren von Incidents |
AWS IAM
| Produkt | Integrationskomponenten | Unterstützt von | Szenarien |
|---|---|---|---|
| AWS IAM (Als Lösung verfügbar) |
Benutzerdefinierter Logic Apps-Connector Playbooks |
Microsoft | Benutzertags hinzufügen, Zugriffsschlüssel löschen, Incidents anreichern |
Checkphish von Bolster
| Produkt | Integrationskomponenten | Unterstützt von | Szenarien |
|---|---|---|---|
| Checkphish von Bolster (Als Lösung verfügbar) |
Benutzerdefinierter Logic Apps-Connector Playbooks |
Microsoft | URL-Überprüfungsergebnisse abrufen |
Check Point
| Produkt | Integrationskomponenten | Unterstützt von | Szenarien |
|---|---|---|---|
| Check Point NGFW (Als Lösung verfügbar) |
Benutzerdefinierter Logic Apps-Connector Playbooks |
CheckPoint | |
Cisco
| Produkt | Integrationskomponenten | Unterstützt von | Szenarien |
|---|---|---|---|
| Cisco ASA, Cisco Meraki |
Benutzerdefinierter Logic Apps-Connector Playbooks |
Community | Blockieren von IP-Adressen |
| Cisco FirePower | Benutzerdefinierter Logic Apps-Connector Playbooks |
Community | Blockieren von IP-Adressen und URLs |
| Cisco ISE (Als Lösung verfügbar) |
Benutzerdefinierter Logic Apps-Connector Playbooks |
Microsoft | |
| Cisco Umbrella (Als Lösung verfügbar) |
Benutzerdefinierter Logic Apps-Connector Playbooks |
Microsoft | Blockieren von Domänen, Richtlinienverwaltung, Ziellistenverwaltung, Anreicherung und Untersuchung |
Crowdstrike
| Produkt | Integrationskomponenten | Unterstützt von | Szenarien |
|---|---|---|---|
| Falcon-Endpunktschutz (Als Lösung verfügbar) |
Playbooks | Microsoft | Endpunktanreicherung, Isolieren von Endpunkten |
Elastic Search
| Produkt | Integrationskomponenten | Unterstützt von | Szenarien |
|---|---|---|---|
| Elastic Search (Als Lösung verfügbar) |
Playbooks | Microsoft | Incident anreichern |
F5
| Produkt | Integrationskomponenten | Unterstützt von | Szenarien |
|---|---|---|---|
| Big-IP | Playbooks | Community | Blockieren von IP-Adressen und URLs |
Forcepoint
| Produkt | Integrationskomponenten | Unterstützt von | Szenarien |
|---|---|---|---|
| Forcepoint NGFW | Benutzerdefinierter Logic Apps-Connector Playbooks |
Community | Blockieren von IP-Adressen und URLs |
Fortinet
| Produkt | Integrationskomponenten | Unterstützt von | Szenarien |
|---|---|---|---|
| FortiGate (Als Lösung verfügbar) |
Benutzerdefinierter Logic Apps-Connector Azure Function Playbooks |
Microsoft | Blockieren von IP-Adressen und URLs |
| Fortiweb Cloud (Als Lösung verfügbar) |
Benutzerdefinierter Logic Apps-Connector Azure Function Playbooks |
Microsoft | IP-Adressen und URLs blockieren, Incidentanreicherung |
Freshdesk
| Produkt | Integrationskomponenten | Unterstützt von | Szenarien |
|---|---|---|---|
| Freshdesk | Verwalteter Logic Apps-Connector | Synchronisieren von Incidents | |
GCP IAM
| Produkt | Integrationskomponenten | Unterstützt von | Szenarien |
|---|---|---|---|
| GCP IAM (Als Lösung verfügbar) |
Benutzerdefinierter Logic Apps-Connector Playbooks |
Microsoft | Dienstkonto deaktivieren, Dienstkontoschlüssel deaktivieren, Informationen zum Dienstkonto anreichern |
have i been pwned
| Produkt | Integrationskomponenten | Unterstützt von | Szenarien |
|---|---|---|---|
| have i been pwned | Benutzerdefinierter Logic Apps-Connector Playbooks |
Community | |
HYAS
| Produkt | Integrationskomponenten | Unterstützt von | Szenarien |
|---|---|---|---|
| HYAS Insight (Als Lösung verfügbar) |
Verwalteter Logic Apps-Connector Playbooks |
HYAS | |
IBM
| Produkt | Integrationskomponenten | Unterstützt von | Szenarien |
|---|---|---|---|
| Resilient | Benutzerdefinierter Logic Apps-Connector Playbooks |
Community | Synchronisieren von Incidents |
InsightVM Cloud API
| Produkt | Integrationskomponenten | Unterstützt von | Szenarien |
|---|---|---|---|
| InsightVM Cloud API | Benutzerdefinierter Logic Apps-Connector Playbooks |
Microsoft | Incident mit Ressourceninformationen anreichern, Sicherheitsrisikeninformationen anreichern, VM-Überprüfung ausführen |
Microsoft
| Produkt | Integrationskomponenten | Unterstützt von | Szenarien |
|---|---|---|---|
| Azure DevOps | Verwalteter Logic Apps-Connector Playbooks |
Microsoft Community |
Synchronisieren von Incidents |
| Azure Firewall (Als Lösung verfügbar) |
Benutzerdefinierter Logic Apps-Connector Playbooks |
Microsoft | Blockieren von IP-Adressen |
| Microsoft Entra ID Protection | Verwalteter Logic Apps-Connector Playbooks |
Microsoft Community |
Benutzerergänzung, Benutzerkorrektur |
| Microsoft Entra ID | Verwalteter Logic Apps-Connector Playbooks |
Microsoft Community |
Benutzerergänzung, Benutzerkorrektur |
| Azure Data Explorer | Verwalteter Logic Apps-Connector | Microsoft | Abfragen und Untersuchen |
| Datensammler von Azure Log Analytics | Verwalteter Logic Apps-Connector | Microsoft Community |
Abfragen und Untersuchen |
| Microsoft Defender für den Endpunkt | Verwalteter Logic Apps-Connector Playbooks |
Microsoft Community |
Endpunktanreicherung, Isolieren von Endpunkten |
| Microsoft Defender für IoT | Playbooks | Microsoft | Orchestrierung und Benachrichtigung |
| Microsoft Teams | Verwalteter Logic Apps-Connector Playbooks |
Microsoft Community |
Benachrichtigungen, Zusammenarbeit, Erstellen von Antworten, an denen Menschen beteiligt sind |
Minemeld
| Produkt | Integrationskomponenten | Unterstützt von | Szenarien |
|---|---|---|---|
| Minemeld (Als Lösung verfügbar) |
Benutzerdefinierter Logic Apps-Connector Playbooks |
Microsoft | Indikator erstellen, Incident anreichern |
Neustar IP GEO Point
| Produkt | Integrationskomponenten | Unterstützt von | Szenarien |
|---|---|---|---|
| Neustar IP GEO Point (Als Lösung verfügbar) |
Playbooks | Microsoft | IP Geo-Informationen abrufen |
Okta
| Produkt | Integrationskomponenten | Unterstützt von | Szenarien |
|---|---|---|---|
| Okta | Verwalteter Logic Apps-Connector Playbooks |
Community | Benutzerergänzung, Benutzerkorrektur |
OpenCTI
| Produkt | Integrationskomponenten | Unterstützt von | Szenarien |
|---|---|---|---|
| OpenCTI (Als Lösung verfügbar) |
Benutzerdefinierter Logic Apps-Connector Playbooks |
Microsoft | Indikator erstellen, Incident anreichern, Indikatordatenstrom abrufen, in Sentinel importieren |
Garmisch-Partenkirchen
| Produkt | Integrationskomponenten | Unterstützt von | Szenarien |
|---|---|---|---|
| Palo Alto PAN-OS (Als Lösung verfügbar) |
Benutzerdefinierter Logic Apps-Connector Playbooks |
Community | Blockieren von IP-Adressen und URLs |
| Wildfire | Benutzerdefinierter Logic Apps-Connector Playbooks |
Community | FileHash-Anreicherung und -Antwort |
Proofpoint
| Produkt | Integrationskomponenten | Unterstützt von | Szenarien |
|---|---|---|---|
| Proofpoint TAP (Als Lösung verfügbar) |
Benutzerdefinierter Logic Apps-Connector Playbooks |
Microsoft | Kontoanreicherung |
Qualys VM
| Produkt | Integrationskomponenten | Unterstützt von | Szenarien |
|---|---|---|---|
| Qualys VM (Als Lösung verfügbar) |
Benutzerdefinierter Logic Apps-Connector Playbooks |
Microsoft | Ressourcendetails abrufen, Ressource von CVEID abrufen, Ressource von Open-Port abrufen, VM-Überprüfung starten |
Recorded Future
| Produkt | Integrationskomponenten | Unterstützt von | Szenarien |
|---|---|---|---|
| Recorded Future Intelligence | Verwalteter Logic Apps-Connector Playbooks |
Recorded Future | Entitätsanreicherung |
ReversingLabs
| Produkt | Integrationskomponenten | Unterstützt von | Szenarien |
|---|---|---|---|
| TitaniumCloud File Enrichment (Als Lösung verfügbar) |
Verwalteter Logic Apps-Connector Playbooks |
ReversingLabs | FileHash-Anreicherung |
RiskIQ
| Produkt | Integrationskomponenten | Unterstützt von | Szenarien |
|---|---|---|---|
| RiskIQ Digital Footprint (Als Lösung verfügbar) |
Verwalteter Logic Apps-Connector Playbooks |
RiskIQ | Entitätsanreicherung |
| RiskIQ Passive Total | Verwalteter Logic Apps-Connector Playbooks |
RiskIQ | Entitätsanreicherung |
| RiskIQ Security Intelligence (Als Lösung verfügbar) |
Verwalteter Logic Apps-Connector Playbooks |
RiskIQ | Entitätsanreicherung |
ServiceNow
| Produkt | Integrationskomponenten | Unterstützt von | Szenarien |
|---|---|---|---|
| ServiceNow | Verwalteter Logic Apps-Connector Playbooks |
Microsoft Community |
Synchronisieren von Incidents |
Slack
| Produkt | Integrationskomponenten | Unterstützt von | Szenarien |
|---|---|---|---|
| Puffer | Verwalteter Logic Apps-Connector Playbooks |
Microsoft Community |
Benachrichtigung, Zusammenarbeit |
TheHive
| Produkt | Integrationskomponenten | Unterstützt von | Szenarien |
|---|---|---|---|
| TheHive (Als Lösung verfügbar) |
Benutzerdefinierter Logic Apps-Connector Playbooks |
Microsoft | Warnung erstellen, Fall erstellen, Benutzer sperren |
ThreatX WAF
| Produkt | Integrationskomponenten | Unterstützt von | Szenarien |
|---|---|---|---|
| ThreatX WAF (Als Lösung verfügbar) |
Benutzerdefinierter Logic Apps-Connector Playbooks |
Microsoft | IP/URL blockieren, Incidentanreicherung |
URLhaus
| Produkt | Integrationskomponenten | Unterstützt von | Szenarien |
|---|---|---|---|
| URLhaus (Als Lösung verfügbar) |
Benutzerdefinierter Logic Apps-Connector Playbooks |
Microsoft | Host überprüfen und Incident anreichern, Hash überprüfen und Incident anreichern, URL Überprüfen und Incident anreichern |
Virus Total
| Produkt | Integrationskomponenten | Unterstützt von | Szenarien |
|---|---|---|---|
| Virus Total | Verwalteter Logic Apps-Connector Playbooks |
Microsoft Community |
Entitätsanreicherung |
VMware
| Produkt | Integrationskomponenten | Unterstützt von | Szenarien |
|---|---|---|---|
| Carbon Black Cloud (Als Lösung verfügbar) |
Benutzerdefinierter Logic Apps-Connector Playbooks |
Community | Endpunktanreicherung, Isolieren von Endpunkten |
Zendesk
| Produkt | Integrationskomponenten | Unterstützt von | Szenarien |
|---|---|---|---|
| Zendesk | Verwalteter Logic Apps-Connector Playbooks |
Microsoft Community |
Synchronisieren von Incidents |
Zscaler
| Produkt | Integrationskomponenten | Unterstützt von | Szenarien |
|---|---|---|---|
| Zscaler | Playbooks | Microsoft | URL-Korrektur, Incidentanreicherung |
Nächste Schritte
In diesem Dokument haben Sie Informationen zu Microsoft Azure Sentinel-SOAR-Inhalten erhalten.
- Erfahren Sie mehr über Microsoft Sentinel-Lösungen.
- Finden und Bereitstellen von Microsoft Sentinel-Lösungen