Uwierzytelnianie podręczników w usłudze Microsoft Sentinel
Sposób działania usługi Logic Apps musi łączyć się oddzielnie i uwierzytelniać niezależnie z każdym zasobem każdego typu, z którymi współdziała, w tym z samą usługą Microsoft Sentinel. Usługa Logic Apps używa w tym celu wyspecjalizowanych łączników , a każdy typ zasobu ma własny łącznik. W tym dokumencie opisano typy połączeń i uwierzytelniania w łączniku usługi Microsoft Sentinel usługi Logic Apps, których podręczniki mogą używać do interakcji z usługą Microsoft Sentinel w celu uzyskania dostępu do informacji w tabelach obszaru roboczego.
Ten dokument wraz z naszym przewodnikiem dotyczącym używania wyzwalaczy i akcji w podręcznikach jest uzupełnieniem naszej innej dokumentacji podręcznika — Samouczek: używanie podręczników z regułami automatyzacji w usłudze Microsoft Sentinel.
Aby zapoznać się z wprowadzeniem do podręczników, zobacz Automatyzowanie reagowania na zagrożenia za pomocą podręczników w usłudze Microsoft Sentinel.
Pełną specyfikację łącznika usługi Microsoft Sentinel można znaleźć w dokumentacji łącznika usługi Logic Apps.
Uwierzytelnianie
Łącznik usługi Microsoft Sentinel w usłudze Logic Apps oraz jego składnik wyzwalacze i akcje mogą działać w imieniu dowolnej tożsamości, która ma niezbędne uprawnienia (odczyt i/lub zapis) w odpowiednim obszarze roboczym. Łącznik obsługuje wiele typów tożsamości:
Wymagane uprawnienia
| Role/składniki Połączenie or | Wyzwalacze | Akcje "Pobierz" | Zdarzenie aktualizacji, dodawanie komentarza |
|---|---|---|---|
| Czytelnik usługi Microsoft Sentinel | ✓ | ✓ | ✗ |
| Współautor odpowiedzi/usługi Microsoft Sentinel | ✓ | ✓ | ✓ |
Dowiedz się więcej o uprawnieniach w usłudze Microsoft Sentinel.
Uwierzytelnianie przy użyciu tożsamości zarządzanej
Ta metoda uwierzytelniania umożliwia udzielenie uprawnień bezpośrednio do podręcznika (zasobu przepływu pracy aplikacji logiki), dzięki czemu akcje łącznika usługi Microsoft Sentinel podjęte przez podręcznik będą działać w imieniu podręcznika, tak jakby był to niezależny obiekt z własnymi uprawnieniami w usłudze Microsoft Sentinel. Użycie tej metody zmniejsza liczbę tożsamości, którymi trzeba zarządzać.
Uwaga
Aby udzielić tożsamości zarządzanej dostępu do innych zasobów (takich jak obszar roboczy usługi Microsoft Sentinel), zalogowany użytkownik musi mieć rolę z uprawnieniami do zapisywania przypisań ról, takich jak właściciel lub dostęp użytkowników Administracja istrator obszaru roboczego usługi Microsoft Sentinel.
Aby uwierzytelnić się przy użyciu tożsamości zarządzanej:
Włącz tożsamość zarządzaną w zasobie przepływu pracy usługi Logic Apps. Podsumowując:
W menu aplikacji logiki w obszarze Ustawienia wybierz pozycję Tożsamość. Wybierz pozycję System przypisany > przy > zapisywaniu. Gdy platforma Azure wyświetli monit o potwierdzenie, wybierz pozycję Tak.
Aplikacja logiki może teraz używać tożsamości przypisanej przez system, która jest zarejestrowana w identyfikatorze Microsoft Entra ID i jest reprezentowana przez identyfikator obiektu.
Nadaj tej tożsamości dostęp do obszaru roboczego usługi Microsoft Sentinel:
Z menu usługi Microsoft Sentinel wybierz pozycję Ustawienia.
Wybierz kartę Ustawienia obszaru roboczego. Z menu obszaru roboczego wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami).
Na pasku przycisków u góry wybierz pozycję Dodaj , a następnie wybierz pozycję Dodaj przypisanie roli. Jeśli opcja Dodaj przypisanie roli jest wyłączona, nie masz uprawnień do przypisywania ról.
W wyświetlonym nowym panelu przypisz odpowiednią rolę:
Rola Sytuacja Osoba odpowiadająca w usłudze Microsoft Sentinel Podręcznik zawiera kroki aktualizacji zdarzeń lub list obserwowanych Czytelnik usługi Microsoft Sentinel Podręcznik odbiera tylko zdarzenia Dowiedz się więcej o dostępnych rolach w usłudze Microsoft Sentinel.
W obszarze Przypisz dostęp do wybierz pozycję Aplikacja logiki.
Wybierz subskrypcję, do którego należy podręcznik, a następnie wybierz nazwę podręcznika.
Wybierz pozycję Zapisz.
Włącz metodę uwierzytelniania tożsamości zarządzanej w łączniku usługi Logic Apps usługi Microsoft Sentinel:
W projektancie usługi Logic Apps dodaj krok łącznika usługi Logic Apps usługi Microsoft Sentinel. Jeśli łącznik jest już włączony dla istniejącego połączenia, wybierz link Zmień połączenie .
Na wyświetlonej liście połączeń wybierz pozycję Dodaj nowy u dołu.
Utwórz nowe połączenie, wybierając Połączenie przy użyciu tożsamości zarządzanej (wersja zapoznawcza).
Wypełnij nazwę tego połączenia, wybierz pozycję Tożsamość zarządzana przypisana przez system i wybierz pozycję Utwórz.
Uwierzytelnianie jako użytkownik entra firmy Microsoft
Aby nawiązać połączenie, wybierz pozycję Zaloguj. Zostanie wyświetlony monit o podanie informacji o koncie. Po wykonaniu tych czynności postępuj zgodnie z pozostałymi instrukcjami na ekranie, aby utworzyć połączenie.
Uwierzytelnianie jako jednostka usługi (aplikacja Firmy Microsoft Entra)
Jednostki usługi można utworzyć, rejestrując aplikację Firmy Microsoft Entra. Preferowane jest użycie zarejestrowanej aplikacji jako tożsamości łącznika, zamiast używania konta użytkownika, ponieważ lepiej będzie można kontrolować uprawnienia, zarządzać poświadczeniami i włączać pewne ograniczenia dotyczące korzystania z łącznika.
Aby użyć własnej aplikacji z łącznikiem usługi Microsoft Sentinel, wykonaj następujące kroki:
Zarejestruj aplikację przy użyciu identyfikatora Entra firmy Microsoft i utwórz jednostkę usługi. Dowiedz się, jak to zrobić.
Uzyskiwanie poświadczeń (na potrzeby przyszłego uwierzytelniania).
Na stronie zarejestrowanej aplikacji pobierz poświadczenia aplikacji na potrzeby logowania:
- Identyfikator klienta: w obszarze Przegląd
- Klucz tajny klienta: w obszarze Certyfikaty i wpisy tajne.
Udziel uprawnień do obszaru roboczego usługi Microsoft Sentinel.
W tym kroku aplikacja uzyska uprawnienia do pracy z obszarem roboczym usługi Microsoft Sentinel.
W obszarze roboczym usługi Microsoft Sentinel przejdź do pozycji Ustawienia ->Workspace Ustawienia ->Access Control (Zarządzanie dostępem i tożsamościami)
Wybierz pozycję Dodaj przypisanie roli.
Wybierz rolę, którą chcesz przypisać do aplikacji. Aby na przykład umożliwić aplikacji wykonywanie akcji, które spowodują wprowadzenie zmian w obszarze roboczym usługi Sentinel, na przykład zaktualizowanie zdarzenia, wybierz rolę Współautor usługi Microsoft Sentinel. W przypadku akcji, które odczytują tylko dane, wystarczy rola Czytelnik usługi Microsoft Sentinel. Dowiedz się więcej o dostępnych rolach w usłudze Microsoft Sentinel.
Znajdź wymaganą aplikację i zapisz. Domyślnie aplikacje Firmy Microsoft Entra nie są wyświetlane w dostępnych opcjach. Aby znaleźć aplikację, wyszukaj nazwę i wybierz ją.
Uwierzytelnij
W tym kroku używamy poświadczeń aplikacji do uwierzytelniania w łączniku usługi Sentinel w usłudze Logic Apps.
Wybierz Połączenie z jednostką usługi.
Wypełnij wymagane parametry (można znaleźć na stronie zarejestrowanej aplikacji)
- Dzierżawa: w obszarze Przegląd
- Identyfikator klienta: w obszarze Przegląd
- Klucz tajny klienta: w obszarze Certyfikaty i wpisy tajne
Zarządzanie połączeniami interfejsu API
Za każdym razem, gdy uwierzytelnianie jest tworzone po raz pierwszy, tworzony jest nowy zasób platformy Azure typu interfejs API Połączenie ion. Tego samego połączenia interfejsu API można używać we wszystkich akcjach i wyzwalaczach usługi Microsoft Sentinel w tej samej grupie zasobów.
Wszystkie połączenia interfejsu API można znaleźć na stronie połączenia interfejsu API (wyszukaj połączenia interfejsu API w witrynie Azure Portal).
Możesz je również znaleźć, przechodząc do strony Zasoby i filtrując wyświetlanie według typu interfejsu API Połączenie ion. Dzięki temu można wybrać wiele połączeń dla operacji zbiorczych.
Aby zmienić autoryzację istniejącego połączenia, wprowadź zasób połączenia i wybierz pozycję Edytuj połączenie interfejsu API.
Następne kroki
W tym artykule przedstawiono różne metody uwierzytelniania podręcznika opartego na usłudze Logic Apps w usłudze Microsoft Sentinel.
- Dowiedz się więcej o sposobie używania wyzwalaczy i akcji w podręcznikach.