Améliorer la protection contre les menaces en intégrant des opérations de sécurité avec Microsoft Graph Security et Azure Logic Apps

S’applique à : Azure Logic Apps (Consommation)

Avec Azure Logic Apps et le connecteur Microsoft Graph Security, vous pouvez améliorer la façon dont votre application détecte les menaces, y répond et vous protège contre celles-ci en créant des workflows automatisés pour intégrer des partenaires, des services et des produits de sécurité Microsoft. Par exemple, vous pouvez créer des guides opérationnels Microsoft Defender pour le cloud qui supervisent et gèrent des entités de sécurité Microsoft Graph, telles que des alertes. Voici quelques scénarios pris en charge par le connecteur Microsoft Graph Security :

  • Obtenir des alertes basées sur des requêtes ou par ID d’alerte. Par exemple, vous pouvez obtenir une liste qui inclut des alertes d’un niveau de gravité élevé.

  • Mettre à jour des alertes. Par exemple, vous pouvez mettre à jour des affectations d’alerte, ajouter des commentaires aux alertes ou étiqueter des alertes.

  • Superviser quand les alertes sont générées ou modifiées en créant des abonnements d’alerte (webhooks).

  • Gérer vos abonnements d’alerte. Par exemple, vous pouvez obtenir des abonnements actifs, étendre le délai d’expiration pour un abonnement ou supprimer des abonnements.

Le workflow de votre application logique peut utiliser des actions visant à obtenir des réponses du connecteur Microsoft Graph Security et à rendre cette sortie disponible pour d’autres actions de votre workflow. Il est également possible que d’autres actions de votre workflow utilisent la sortie des actions du connecteur Microsoft Graph Security. Par exemple, si vous obtenez des alertes d’un niveau de gravité élevé par le biais du connecteur Microsoft Graph Security, vous pouvez envoyer ces alertes dans un e-mail à l’aide du connecteur Outlook.

Pour en savoir plus sur Microsoft Graph Security, consultez la vue d’ensemble de l’API Microsoft Graph Security. Si vous débutez avec les applications logiques, consultez Qu’est-ce qu’Azure Logic Apps ?. Si vous recherchez Power Automate ou Power Apps, consultez Présentation de Power Automate ou Présentation de Power Apps.

Prérequis

  • Un compte et un abonnement Azure. Si vous n’avez pas d’abonnement Azure, inscrivez-vous pour bénéficier d’un compte Azure gratuit.

  • Pour utiliser le connecteur Microsoft Graph Security, vous devez avoir donné explicitement le consentement de l’administrateur client Microsoft Entra, qui fait partie des exigences d’authentification de sécurité Microsoft Graph. Ce consentement nécessite le nom et l’ID d’application du connecteur Microsoft Graph Security, que vous pouvez également trouver dans le portail Azure :

    Propriété Valeur
    Nom d’application MicrosoftGraphSecurityConnector
    ID de l’application c4829704-0edc-4c3d-a347-7c4a67586f3c

    Pour accorder le consentement pour le connecteur, votre administrateur client Microsoft Entra peut suivre les étapes suivantes :

  • Des connaissances de base en création d’applications logiques

  • Application logique où vous souhaitez accéder aux entités Microsoft Graph Security, telles que des alertes. Pour utiliser un déclencheur Microsoft Graph Security, vous avez besoin d’une application logique vide. Pour utiliser une action Microsoft Graph Security, vous avez besoin d’une application logique qui démarre avec le déclencheur approprié pour votre scénario.

Se connecter à Microsoft Graph Security

Lorsque vous ajoutez un déclencheur ou une action qui se connecte à un service ou à un système et que vous n’avez pas de connexion existante ou active, Azure Logic Apps vous invite à fournir les informations de connexion, qui varient selon le type de connexion, par exemple :

  • Vos informations d’identification de votre compte
  • Un nom à utiliser pour la connexion
  • Le nom pour le serveur ou le système
  • Type d’authentification à utiliser
  • Une chaîne de connexion
  1. Connectez-vous au portail Azure et ouvrez votre application logique dans le concepteur d’application logique, si elle n’est pas déjà ouverte.

  2. Pour les applications logiques vides, ajoutez le déclencheur et toute autre action souhaitée avant d’ajouter une action Microsoft Graph Security.

    -ou-

    Pour les applications logiques existantes, sous la dernière étape où vous souhaitez ajouter une action Microsoft Graph Security, sélectionnez Nouvelle étape.

    -ou-

    Pour ajouter une action entre des étapes, placez votre pointeur au-dessus de la flèche qui les sépare. Sélectionnez le signe plus (+) qui s’affiche, puis sélectionnez Ajouter une action.

  3. Dans la zone de recherche, entrez « microsoft graph security » comme filtre. Dans la liste des actions, sélectionnez l’action souhaitée.

  4. Connectez-vous avec vos informations d’identification Microsoft Graph Security.

  5. Fournissez les informations nécessaires pour votre action sélectionné et continuez à générer le flux de travail de votre application logique.

Ajouter des déclencheurs

Dans Azure Logic Apps, chaque application logique doit démarrer avec un déclencheur, qui s’active lorsqu’un événement spécifique se produit ou lorsqu’une condition particulière est remplie. Chaque fois que le déclencheur s’active, le moteur Logic Apps crée une instance d’application logique et lance l’exécution du flux de travail de votre application.

Remarque

Lorsqu’un déclencheur est activé, il traite toutes les nouvelles alertes. Si aucune alerte n’est reçue, l’exécution du déclencheur est ignorée. La prochaine interrogation de déclencheur est basée sur l’intervalle de récurrence que vous spécifiez dans les propriétés du déclencheur.

Cet exemple montre comment vous pouvez démarrer un flux de travail d’application logique lorsque de nouvelles alertes sont envoyées à votre application.

  1. Dans le portail Azure ou Visual Studio, créez une application logique vide, qui ouvre le Concepteur d’applications logiques. Cet exemple utilise le portail Azure.

  2. Dans la zone de recherche du concepteur, entrez « microsoft graph security » comme filtre. Dans la liste des déclencheurs, sélectionnez ce déclencheur : sur toutes les nouvelles alertes

  3. Dans le déclencheur, fournissez des informations sur les alertes que vous souhaitez surveiller. Pour plus de propriétés, ouvrez la liste Ajouter un nouveau paramètre, puis sélectionnez un paramètre afin d'ajouter cette propriété au déclencheur.

Propriété Propriété (JSON) Requis Type Description
Intervalle interval Oui Entier Nombre entier positif qui décrit la fréquence à laquelle le flux de travail s’exécute en fonction de la fréquence. Voici les intervalles minimum et maximal :

- Mois : 1 à 16 mois
- Jour : 1 à 500 jours
- Heure : 1 à 12 000 heures
- Minute : 1 à 72 000 minutes
- Deuxième : 1-9,999,999 secondes

Par exemple, si l’intervalle est de 6 et que la fréquence soit définie sur « Mois », la périodicité est alors tous les 6 mois.

Fréquence frequency Oui Chaîne L’unité de temps de la périodicité est : Seconde, Minute, Heure, Jour, Semaine ou Mois.
Fuseau horaire timeZone Non Chaîne S’applique uniquement quand vous spécifiez une heure de début, car ce déclencheur n’accepte pas le décalage UTC. Sélectionnez le fuseau horaire à appliquer.
Heure de début startTime Non Chaîne Indiquez une date et une heure de début dans ce format :

AAAA-MM-DDThh :mm :ss si vous sélectionnez un fuseau horaire

-ou-

AAAA-MM-DDThh :mm :ssZ si vous ne sélectionnez pas de fuseau horaire

Par exemple, si vous choisissez le 18 septembre 2017 à 14h00, alors spécifiez « 2017-09-18T14:00:00 » et sélectionnez un fuseau horaire tel que Heure standard du Pacifique. Vous pouvez également spécifier « 2017-09-18T14:00:00Z » sans fuseau horaire.

Remarque : Cette heure de début ne peut pas dépasser 49 ans dans le futur, et doit être conforme à la spécification de date/heure ISO 8601 au format de date/heure UTC, mais sans décalage UTC. Si vous ne sélectionnez pas de fuseau horaire, vous devez ajouter la lettre « Z » à la fin sans espace. Ce « Z » fait référence au temps nautique équivalent.

Pour les planifications simples, l’heure de début est la première occurrence, tandis que pour les planifications complexes, le déclencheur ne s’active pas avant l’heure de début. Comment puis-je utiliser la date et l’heure de début ?

  1. Lorsque c’est chose faite, dans la barre d’outils du concepteur, sélectionnez Enregistrer.

  2. Continuez maintenant à ajouter une ou plusieurs actions à votre application logique pour les tâches à effectuer avec les résultats du déclencheur.

Ajouter des actions

Voici des détails plus spécifiques sur l’utilisation des différentes actions disponibles avec le connecteur Microsoft Graph Security.

Gérer les alertes

Pour filtrer, trier ou obtenir les résultats les plus récents, fournissez uniquement les paramètres de requête ODATA pris en charge par Microsoft Graph. Ne spécifiez pas l’URL de base complète ni l’action HTTP, par exemple https://graph.microsoft.com/v1.0/security/alerts, ni l’opération GET ou PATCH. Voici un exemple spécifique qui montre les paramètres pour une action Obtenir des alertes quand vous voulez une liste avec des alertes d’un niveau de gravité élevé :

Filter alerts value as Severity eq 'high'

Pour plus d’informations sur les requêtes que vous pouvez utiliser avec ce connecteur, consultez la documentation de référence des alertes Microsoft Graph Security. Pour générer des expériences améliorées avec ce connecteur, découvrez plus en détail les alertes des propriétés de schéma prises en charge par le connecteur.

Action Description
Obtenir des alertes Obtenez des alertes filtrées sur une ou plusieurs propriétés d’alerte, par exemple, Provider eq 'Azure Security Center' or 'Palo Alto Networks'.
Obtenir une alerte par ID Obtenez une alerte spécifique basée sur l’ID d’alerte.
Mettre à jour une alerte Mettez à jour une alerte spécifique basée sur l’ID d’alerte. Pour vous assurer que vous passez les propriétés obligatoires et modifiables dans votre demande, consultez les propriétés modifiables pour les alertes. Par exemple, pour affecter une alerte à un analyste de la sécurité afin qu’il puisse enquêter, vous pouvez mettre à jour la propriété Affecté à de l’alerte.

Gérer les abonnements d’alerte

Microsoft Graph prend en charge les abonnements, ou webhooks. Pour obtenir, mettre à jour ou supprimer des abonnements, fournissez les paramètres de requête ODATA pris en charge par Microsoft Graph à la construction d’entité Microsoft Graph et ajoutez security/alerts, puis la requête ODATA. N’incluez pas l’URL de base, par exemple https://graph.microsoft.com/v1.0. Au lieu de cela, utilisez le format dans cet exemple :

security/alerts?$filter=status eq 'NewAlert'

Action Description
Créer des abonnements Créez un abonnement qui vous informe de toutes les modifications. Vous pouvez filtrer cet abonnement selon les types d’alertes spécifiques souhaités. Par exemple, vous pouvez créer un abonnement qui vous informe des alertes d’un niveau de gravité élevé.
Obtenir des abonnements actifs Obtenez les abonnements non expirés.
Mettre à jour un abonnement Mettez à jour un abonnement en indiquant l’ID d’abonnement. Par exemple, pour étendre votre abonnement, vous pouvez mettre à jour la propriété expirationDateTime de l’abonnement.
Supprimer un abonnement Supprimez un abonnement en indiquant l’ID d’abonnement.

Gérer les indicateurs Threat Intelligence

Pour filtrer, trier ou obtenir les résultats les plus récents, fournissez uniquement les paramètres de requête ODATA pris en charge par Microsoft Graph. Ne spécifiez pas l’URL de base complète ni l’action HTTP, par exemple https://graph.microsoft.com/beta/security/tiIndicators, ni l’opération GET ou PATCH. Voici un exemple qui montre les paramètres pour une action Get tiIndicators quand vous voulez obtenir une liste avec le type de menace DDoS :

Filter threat intelligence indicator value as threatType eq 'DDoS'

Pour plus d’informations sur les requêtes utilisables avec ce connecteur, consultez « Paramètres de requête facultatifs » dans la documentation de référence sur les indicateurs Threat Intelligence dans Microsoft Graph Security. Pour créer des expériences améliorées avec ce connecteur, découvrez plus en détail les indicateurs Threat Intelligence des propriétés de schéma que le connecteur prend en charge.

Action Description
Obtenir les indicateurs Threat Intelligence Obtenez les tiIndicators filtrées sur une ou plusieurs propriétés tiIndicator, par exemple, threatType eq 'MaliciousUrl' or 'DDoS'
Obtenir un indicateur Threat Intelligence par ID Obtenez un tiIndicator spécifique en fonction de l’ID de tiIndicator.
Créer un indicateur Threat Intelligence Créez un tiIndicator en publiant dans la collection tiIndicators. Pour être sûr de passer les propriétés obligatoires dans votre requête, reportez-vous à la section sur les propriétés requises pour créer un tiIndicator.
Envoyer plusieurs indicateurs Threat Intelligence Créez plusieurs tiIndicators en publiant dans une collection tiIndicators. Pour être sûr de passer les propriétés obligatoires dans votre requête, reportez-vous à la section sur les propriétés requises pour envoyer plusieurs tiIndicators.
Mettre à jour un indicateur Threat Intelligence Mettez à jour un tiIndicator spécifique en fonction de l’ID de tiIndicator. Pour être sûr de passer les propriétés obligatoires et modifiables dans votre requête, consultez les propriétés modifiables pour les tiIndicators. Par exemple, pour mettre à jour l’action à appliquer si l’indicateur est mis en correspondance à partir de l’outil de sécurité targetProduct, vous pouvez mettre à jour la propriété action du tiIndicator.
Mettre à jour plusieurs indicateurs Threat Intelligence Mettez à jour plusieurs tiIndicators. Pour être sûr de passer les propriétés obligatoires dans votre requête, reportez-vous à la section sur les propriétés requises pour mettre à jour plusieurs tiIndicators.
Supprimer un indicateur Threat Intelligence par ID Supprimez un tiIndicator spécifique en fonction de l’ID de tiIndicator.
Supprimer plusieurs indicateurs Threat Intelligence par ID Supprimez plusieurs tiIndicators en fonction de leur ID. Pour être sûr de passer les propriétés obligatoires dans votre requête, reportez-vous à la section sur les propriétés requises pour supprimer plusieurs tiIndicators par ID.
Supprimer plusieurs indicateurs Threat Intelligence par ID externe Supprimez plusieurs tiIndicators en fonction de leur ID externe. Pour être sûr de passer les propriétés obligatoires dans votre requête, reportez-vous à la section sur les propriétés requises pour supprimer plusieurs tiIndicators par ID externe.

Référence sur les connecteurs

Pour obtenir des détails techniques sur les déclencheurs, les actions et les limites, qui sont décrits par la description OpenAPI du connecteur (anciennement Swagger), consultez la page de référence du connecteur.

Étapes suivantes