Microsoft Sentinel'de playbook'ların kimliğini doğrulama

  • Makale
  • Şunlara uygulanır:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Logic Apps'in çalışma şekli, Microsoft Sentinel'in kendisi de dahil olmak üzere etkileşim kurduğu her türdeki her kaynağa ayrı olarak bağlanmalı ve bağımsız olarak kimlik doğrulaması yapmak zorunda. Logic Apps bu amaçla özel bağlayıcılar kullanır ve her kaynak türünün kendi bağlayıcısı vardır. Bu belgede, çalışma alanınızın tablolarındaki bilgilere erişebilmek için playbook'ların Microsoft Sentinel ile etkileşim kurmak için kullanabildiği Logic Apps Microsoft Sentinel bağlayıcısında bağlantı ve kimlik doğrulaması türleri açıklanmaktadır.

Bu belge, playbook'larda tetikleyicileri ve eylemleri kullanma kılavuzumuzla birlikte, diğer playbook belgelerimize de yardımcı olur - Öğretici: Playbook'ları Microsoft Sentinel'de otomasyon kurallarıyla kullanma.

Playbook'lara giriş için bkz . Microsoft Sentinel'de playbook'larla tehdit yanıtını otomatikleştirme.

Microsoft Sentinel bağlayıcısının tam belirtimi için Logic Apps bağlayıcısı belgelerine bakın.

Kimlik Doğrulaması

Logic Apps'teki Microsoft Sentinel bağlayıcısı ve bileşen tetikleyicileri ve eylemleri, ilgili çalışma alanında gerekli izinlere (okuma ve/veya yazma) sahip herhangi bir kimlik adına çalışabilir. Bağlayıcı birden çok kimlik türünü destekler:

Gerekli izinler

Roller / Bağlan veya bileşenleri Tetikleyiciler "Get" eylemleri Olayı güncelleştirin,
açıklama ekleme
Microsoft Sentinel Okuyucusu
Microsoft Sentinel Yanıtlayıcı/Katkıda Bulunanı

Microsoft Sentinel'deki izinler hakkında daha fazla bilgi edinin.

Yönetilen kimlikle kimlik doğrulaması

Bu kimlik doğrulama yöntemi doğrudan playbook'a (mantıksal uygulama iş akışı kaynağı) izin vermenize olanak tanır; böylece playbook tarafından yapılan Microsoft Sentinel bağlayıcısı eylemleri, Microsoft Sentinel üzerinde kendi izinlerine sahip bağımsız bir nesneymiş gibi playbook'un adına çalışır. Bu yöntemin kullanılması, yönetmeniz gereken kimlik sayısını düşürür.

Not

Yönetilen bir kimliğe diğer kaynaklara (Microsoft Sentinel çalışma alanınız gibi) erişim vermek için, oturum açmış kullanıcınızın Microsoft Sentinel çalışma alanının Sahip veya Kullanıcı Erişimi Yönetici istratorı gibi rol atamaları yazma izinlerine sahip bir rolü olmalıdır.

Yönetilen kimlikle kimlik doğrulaması yapmak için:

  1. Logic Apps iş akışı kaynağında yönetilen kimliği etkinleştirin. Özetlemek gerekirse:

    • Mantıksal uygulama menüsündeki Ayarlar altında Kimlik'i seçin. Kaydederken Atanan > Sistem'i> seçin. Azure onaylamanızı isterken Evet'i seçin.

    • Mantıksal uygulamanız artık Microsoft Entra Id ile kaydedilen ve bir nesne kimliğiyle temsil edilen sistem tarafından atanan kimliği kullanabilir.

  2. Bu kimliğe Microsoft Sentinel çalışma alanına erişim verin:

    1. Microsoft Sentinel menüsünden Ayarlar'ı seçin.

    2. Çalışma alanı ayarları sekmesini seçin. Çalışma alanı menüsünden Erişim denetimi (IAM) öğesini seçin.

    3. Üstteki düğme çubuğunda Ekle'yi ve ardından Rol ataması ekle'yi seçin. Rol ataması ekle seçeneği devre dışı bırakılırsa rol atama izniniz yoktur.

    4. Görüntülenen yeni panelde uygun rolü atayın:

      Rol Durum
      Microsoft Sentinel Yanıtlayıcısı Playbook'ta olayları veya izleme listelerini güncelleştiren adımlar vardır
      Microsoft Sentinel Okuyucusu Playbook yalnızca olayları alır

      Microsoft Sentinel'deki kullanılabilir roller hakkında daha fazla bilgi edinin.

    5. Erişim ata'nın altında Mantıksal Uygulama'yı seçin.

    6. Playbook'un ait olduğu aboneliği seçin ve playbook adını seçin.

    7. Kaydet'i seçin.

  3. Microsoft Sentinel Logic Apps bağlayıcısında yönetilen kimlik doğrulama yöntemini etkinleştirin:

    1. Logic Apps tasarımcısında bir Microsoft Sentinel Logic Apps bağlayıcısı adımı ekleyin. Bağlayıcı mevcut bir bağlantı için zaten etkinleştirildiyse Bağlantıyı değiştir bağlantısını seçin.

      Bağlantıyı değiştir

    2. Sonuçta elde edilen bağlantı listesinde alttaki Yeni ekle'yi seçin.

    3. Yönetilen kimlikli Bağlan (önizleme) seçerek yeni bir bağlantı oluşturun.

      Yönetilen kimlik seçeneği

    4. Bu bağlantı için bir ad girin, Sistem tarafından atanan yönetilen kimlik'i seçin ve Oluştur'u seçin.

      Yönetilen kimlik ile bağlanma

Microsoft Entra kullanıcısı olarak kimlik doğrulaması

Bağlantı oluşturmak için Oturum aç'ı seçin. Hesap bilgilerinizi sağlamanız istenir. Bunu yaptıktan sonra, bağlantı oluşturmak için ekrandaki diğer yönergeleri izleyin.

Hizmet sorumlusu olarak kimlik doğrulaması (Microsoft Entra uygulaması)

Hizmet sorumluları bir Microsoft Entra uygulaması kaydedilerek oluşturulabilir. İzinleri daha iyi denetleyebilmeniz, kimlik bilgilerini yönetebilmeniz ve bağlayıcı kullanımıyla ilgili belirli sınırlamaları etkinleştirebilmeniz için, kullanıcı hesabı kullanmak yerine bağlayıcının kimliği olarak kayıtlı bir uygulamanın kullanılması tercih edilir.

Microsoft Sentinel bağlayıcısıyla kendi uygulamanızı kullanmak için aşağıdaki adımları uygulayın:

  1. Uygulamayı Microsoft Entra Id ile kaydedin ve bir hizmet sorumlusu oluşturun. Nasıl olduğunu öğrenin.

  2. Kimlik bilgilerini alın (gelecekteki kimlik doğrulaması için).

    Kayıtlı uygulama sayfasında oturum açmak için uygulama kimlik bilgilerini alın:

    • İstemci Kimliği: Genel Bakış altında
    • İstemci gizli dizisi: Sertifikalar ve gizli diziler altında.

  3. Microsoft Sentinel çalışma alanına izinler verin.

    Bu adımda, uygulama Microsoft Sentinel çalışma alanıyla çalışma izni alır.

    1. Microsoft Sentinel çalışma alanında Ayarlar ->Workspace Ayarlar ->Access denetimi (IAM) bölümüne gidin

    2. Rol ataması ekle’yi seçin.

    3. Uygulamaya atamak istediğiniz rolü seçin. Örneğin, uygulamanın Sentinel çalışma alanında bir olayı güncelleştirme gibi değişiklikler yapacak eylemler gerçekleştirmesine izin vermek için Microsoft Sentinel Katkıda Bulunanı rolünü seçin. Yalnızca veri okuyan eylemler için Microsoft Sentinel Okuyucusu rolü yeterlidir. Microsoft Sentinel'deki kullanılabilir roller hakkında daha fazla bilgi edinin.

    4. Gerekli uygulamayı bulun ve kaydedin. Varsayılan olarak, Microsoft Entra uygulamaları kullanılabilir seçeneklerde görüntülenmez. Uygulamanızı bulmak için adı arayın ve seçin.

  4. Kimliği doğrula

    Bu adımda, Logic Apps'teki Sentinel bağlayıcısında kimlik doğrulaması yapmak için uygulama kimlik bilgilerini kullanacağız.

    • Hizmet Sorumlusu ile Bağlan seçin.

      Hizmet sorumlusu seçeneği

    • Gerekli parametreleri doldurun (kayıtlı uygulama sayfasında bulunabilir)

      • Kiracı: Genel Bakış altında
      • İstemci Kimliği: Genel Bakış altında
      • gizli dizi: Sertifikalar ve gizli diziler altında

      Hizmet sorumlusu ile bağlanma

API bağlantılarınızı yönetme

İlk kez bir kimlik doğrulaması oluşturulduğunda API Bağlan ion türünde yeni bir Azure kaynağı oluşturulur. Aynı API bağlantısı, aynı Kaynak Grubundaki tüm Microsoft Sentinel eylemlerinde ve tetikleyicilerinde kullanılabilir.

Tüm API bağlantıları API bağlantıları sayfasında bulunabilir (Azure portalında API bağlantılarını arayın).

Ayrıca, Kaynaklar sayfasına gidip görüntülemeyi API Bağlan ion türüne göre filtreleyerek de bulabilirsiniz. Bu şekilde toplu işlemler için birden çok bağlantı seçebilirsiniz.

Mevcut bir bağlantının yetkilendirmesini değiştirmek için bağlantı kaynağını girin ve API bağlantısını düzenle'yi seçin.

Sonraki adımlar

Bu makalede Logic Apps tabanlı playbook'un microsoft Sentinel'de kimliğini doğrulamanın farklı yöntemlerini öğrendiniz.