Manter o microsoft 365 compatível continuamente com a Ferramenta de Automação de Conformidade de Aplicativo para o Microsoft 365

Artigo
12/12/2023

A ACAT (Ferramenta de Automação de Conformidade de Aplicativo) do Microsoft 365 simplifica os controles essenciais para a Certificação microsoft 365. Mantenha a conformidade contínua para seu aplicativo Microsoft 365 usando a ACAT. Mantenha-se atualizado sobre falhas de conformidade por meio de notificações e integre perfeitamente o ACAT ao pipeline de Integração Contínua/Implantação Contínua.

Observação

O ACAT está atualmente em versão prévia pública e dá suporte apenas a aplicativos criados no Azure. As atualizações futuras incluirão funcionalidade para aplicativos criados em serviços de nuvem não hospedados pela Microsoft. Para obter qualquer comentário sobre a visualização pública da ACAT, conclua este formulário. Um especialista em equipe de produtos da ACAT acompanhará você o mais rápido possível.

Obter a avaliação de controle mais recente do seu relatório de conformidade por meio de notificações

Depois de criar um relatório de conformidade para seu aplicativo ou ambiente do Microsoft 365, o ACAT coleta automaticamente dados de conformidade e realiza avaliações diárias de controle. Além disso, você pode receber notificações para quaisquer alterações nas configurações ou avaliações do relatório.

Obter notificações com webhook

Crie um webhook para receber notificações da ACAT.

Vá para Relatórios à esquerda.
Abra o relatório para o qual você gostaria de receber notificações.
Selecione Notificações na barra de ferramentas.
Selecione Criar notificação e escolha Webhook
- Nome do Webhook: este é o identificador exclusivo do webhook neste relatório.
- URL de carga: a URL de carga é a URL do servidor que recebe solicitações POST do webhook da ACAT.
- Tipo de conteúdo: atualmente, o ACAT dá suporte apenas ao tipo de conteúdo de aplicativo/json, que fornece a carga JSON diretamente como o corpo da solicitação POST.
- Segredo: a configuração de um segredo webhook permite garantir que as solicitações POST enviadas para a URL de carga sejam da ACAT. Quando o segredo é definido, o ACAT o usa para criar uma assinatura de hash com cada carga. Essa assinatura de hash é incluída com os cabeçalhos de cada solicitação como x-acat-signature-256.
- Verificação SSL: a verificação SSL só seria exibida quando sua URL de carga for um site seguro (HTTPS) e ajuda a garantir que as cargas sejam entregues na URL de carga com segurança. Recomendamos manter a verificação Habilitar SSL selecionada.
- Eventos de gatilho: assine eventos ACAT para obter notificações.
Configuração para receber notificações por meio do webhook.

Dica

Saiba mais sobre o conteúdo do webhook.

Obter avaliação rápida de conformidade no pipeline de Integração Contínua/Implantação Contínua

Além do uso regular do portal e do recebimento de notificações atualizadas, o ACAT pode executar uma avaliação rápida de conformidade no pipeline de CI/CD (Integração Contínua/Implantação Contínua). Garantindo a conformidade contínua do seu aplicativo Microsoft 365.

No ACAT, as avaliações de controle são avaliações de conformidade estruturadas categorizadas de acordo com domínios de segurança de certificação do Microsoft 365, famílias de controle e controles individuais. Para iniciar uma avaliação de controle dentro dos dados brutos de conformidade da ACAT, é necessário coletar. No entanto, algumas dessas informações brutas de conformidade podem não estar prontamente acessíveis de uma perspectiva técnica. Para enfrentar esse desafio, a ACAT apresenta um conceito conhecido como "avaliação rápida de conformidade". Esse recurso foi projetado para fornecer uma avaliação rápida do status de conformidade, permitindo a coleta imediata de dados de conformidade brutos essenciais.

A implementação da avaliação rápida de conformidade serve a duas finalidades:

Insights oportunos: facilita a compreensão em tempo real de sua postura de conformidade, dando visabilidade à adesão de um aplicativo aos padrões de segurança e às práticas recomendadas.
Integração contínua: a avaliação rápida de conformidade pode integrar-se perfeitamente ao pipeline de CI/CD, garantindo que seus aplicativos permaneçam robustos e alinhados aos requisitos de conformidade.

Integração com pipeline de CI/CD por GitHub Actions

Avaliações rápidas de conformidade estão disponíveis no pipeline de CI/CD usando a avaliação rápida de certificação do Microsoft 365 GitHub Action. Há dois usos postáveis para este GitHub Action:

Aproveite a implantação mais recente no pipeline de CI/CD como o estado definitivo do aplicativo: o ACAT realiza avaliações rápidas de conformidade com base na implantação mais recente no pipeline. Além disso, você tem a opção de solicitar a ACAT para atualizar um relatório de conformidade correspondente com base nessa implantação, concedendo a você avaliações de controle abrangentes com atualizações diárias.
Confie em um relatório de conformidade existente como referência para o aplicativo.** A ACAT utiliza os recursos definidos em um relatório de conformidade existente para executar a avaliação rápida de conformidade.

Integração com pipeline de CI/CD por meio da API REST da ACAT

Obtenha avaliações rápidas de conformidade no pipeline de CI/CD por meio da API REST da ACAT.

Conecte-se aos recursos do Azure com a Autenticação da Entidade de Serviço. Siga este guia para saber como criar uma entidade de serviço que possa acessar recursos. Depois que a entidade de serviço for criada, siga as diretrizes da ferramenta de pipeline para armazenar as credenciais. Por exemplo, conecte-se ao Microsoft Azure com uma conexão de serviço ARM.

Obtenha a lista de recursos que você gostaria de usar para a avaliação rápida de conformidade.

Use a implantação mais recente no pipeline de CI/CD. Examine Azure PowerShell – Get-AzResourceGroupDeploymentOperation para obter recursos da implantação.

$resourceGroupName
$deploymentName

$resourceIds = @()
Get-AzResourceGroupDeploymentOperation `
    -ResourceGroupName $resourceGroupName `
    -Name $deploymentName `
| ForEach-Object {
    if (![String]::IsNullOrEmpty($_.TargetResource)) {
        $resourceIds += $_.TargetResource
    }
}

Para adquirir recursos com base na política de gerenciamento de recursos de nuvem (por exemplo, recursos com marcas específicas, recursos em grupos de recursos específicos etc.), examine o Azure PowerShell – Get-AzResource.

# Get resources with same tag
$key = "<key-of-your-tag>"
$value = "<value-of-your-tag>"

$resourceIds = (Get-AzResource -TagName $key -TagValue $value).ResourceId

Para usar um relatório de conformidade existente da ACAT, clique em Relatório de API REST da ACAT – Obter os recursos da definição do relatório.

try {
    $token = "<your-Azure-credentials>"
    $reportName = "<report-name>"
    $apiVersion = "2023-02-15-preview"

    $header = @{}
    $header["Authorization"] = $token
    $header["x-ms-aad-user-token"] = $token
    $header["accept"] = "application/json"

    $uri = "https://management.azure.com/providers/Microsoft.AppComplianceAutomation/reports/" + $reportName + "?api-version=" + $apiVersion
    $response = Invoke-WebRequest $uri `
        -Method GET `
        -Headers $header `
        -ContentType "application/json" `
        -Verbose `
        -UseBasicParsing

    $resourceIds = @()
    if ($response.StatusCode -ne 200) {
        Write-Host "Failed to get resources from compliance report: $response"
        return 
    }

    $resources = $response.Content | ConvertFrom-Json
    $resourceIds = $resources.properties.resources.resourceId
}
catch {
    Write-Output "Failed to get resources from compliance report with exception: $_"
}

Use a API triggerEvaluation para obter uma avaliação rápida de conformidade para os recursos determinados.

try {
    $token = "<your-Azure-credentials>"
    $resourceIds = "<resource-ids-from-previous-step>"
    $apiVersion = "2023-02-15-preview"

    $header = @{}
    $header["Authorization"] = $token
    $header["x-ms-aad-user-token"] = $token
    $header["accept"] = "application/json"

    $body = @{resourceIds = $resourceIds }

    $uri = "https://management.azure.com/providers/Microsoft.AppComplianceAutomation/triggerEvaluation?api-version=$apiVersion"
    $response = Invoke-WebRequest $uri `
        -Method POST `
        -Headers $header `
        -ContentType "application/json" `
        -Body (ConvertTo-Json $body -Depth 8) `
        -Verbose `
        -UseBasicParsing
    
    # The triggerEvaluation API is asynchronous. Therefore, you need to pull the status to check whether it is completed. 
    # StatusCode 200: OK. The response indicates the quick compliance evaluation for given resource ids is completed.
    # StatusCode 202: Accepted. The response indicates the quick compliance evaluation for given resource ids is triggered and performing in backend. 
    if ($response.StatusCode -eq 200) {
        $result = $response.Content | ConvertFrom-Json
        Write-Host "Successfully get evaluation result:$result"
        return $result
    }
    elseif ($response.StatusCode -eq 202) {
        $retry_url = $response.Headers["Location"]

        do {
            Start-Sleep 10
            Write-Host "retry_url: $retry_url"
            $opResponse = Invoke-WebRequest `
                -Uri $retry_url `
                -ContentType "application/json" `
                -Verbose `
                -Method GET `
                -Headers $header `
                -UseBasicParsing

            if ($opResponse.StatusCode -eq 200) {
                $opResult = $opResponse.Content | ConvertFrom-Json
                Write-Host "Successfully get evaluation result: $opResult"
                return $opResult
            }
            elseif ($opResponse.StatusCode -eq 202) {
                continue
            }
            else {
                Write-Host "Failed to get evaluation result"
                break
            }
        } while ($true)
    }
    else {
        Write-Host "Failed to get compliance evaluation with triggerEvaluation API: $response"
    }
}
catch {
    Write-Output "Failed to get quick compliance assessment with exception: $_"
}

Obtenha a avaliação rápida de conformidade do resultado da API triggerEvaluation.

Referência

Cargas do Webhook

Para as cargas de webhook do ACAT para cada evento, elas contêm algumas propriedades comuns.

Chave

Obrigatório?

Tipo

Descrição

EventDesc

Sim

Cadeia de caracteres

Evento específico que dispara a notificação.

Mensagem

Sim

String

O conteúdo da notificação. Ele geralmente contém o nome do relatório como o identificador exclusivo e o carimbo de data/hora quando esse evento acontece.

Detalhes

Não

Cadeia de caracteres

Este é o conteúdo de formato JSON que contém os detalhes desta notificação. Tomando a falha das avaliações de controle como exemplo, os detalhes incluem todas as responsabilidades do cliente com falha para cada controle e recursos afetados.

Gatilho da API REST da ACATEvaluation

Nome da API: triggerEvaluation

Serviço: Automação de Conformidade de Aplicativo
Versão da API: 2023-02-15-preview

Obtenha uma avaliação rápida de conformidade para determinados recursos.

POST https://management.azure.com/providers/Microsoft.AppComplianceAutomation/triggerEvaluation?api-version=2023-02-15-preview

Parâmetros de URI

Nome

Obrigatório

Tipo

Descrição

api-version

consulta

True

string

A versão da API a ser usada para essa operação. Você pode usar "2023-02-15-preview"

Cabeçalho de Solicitação

Nome

Obrigatório

Tipo

Descrição

Authorization

head

True

string

Portador + " " + Token de Acesso

x-ms-aad-user-token

head

True

string

Portador + " " + Token de Acesso

Content-Type

head

True

string

valor: "application/json"

Corpo da Solicitação

Nome

Obrigatório

Tipo

Descrição

resourceIds

Verdadeiro

matriz de cadeia de caracteres

Lista de IDs de recursos a serem avaliadas

Cabeçalho de respostas

Nome

Tipo

Descrição

200 OK

TriggerEvaluationResponse

A resposta indica que a avaliação rápida de conformidade para determinadas IDs de recurso está concluída.

202 Aceito

A resposta indica que a avaliação rápida de conformidade para determinadas IDs de recurso é disparada e executada no back-end.

Outros códigos de status

Errorresponse

Resposta de erro.

TriggerEvaluationResponse

Nome

Tipo

Descrição

triggerTime

cadeia de caracteres

A hora em que a avaliação é disparada.

evaluationEndTime

cadeia de caracteres

A hora em que a avaliação é encerrada.

resourceIds

string[]

Lista de IDs de recursos a serem avaliadas

QuickAssessments

QuickAssessment[]

Lista de avaliações rápidas

QuickAssessment

Nome

Tipo

Descrição

resourceId

cadeia de caracteres

ID do recurso

responsibilityId

cadeia de caracteres

ID de responsabilidade

Timestamp

string

O carimbo de data/hora da criação de recursos (UTC).

resourceStatus

ResourceStatus

Avaliação rápida status.

displayName

string

Nome de exibição de avaliação rápida.

description

string

Descrição de avaliações rápidas.

remediationLink

cadeia de caracteres

Vincule-se às etapas de correção para esta avaliação rápida.

Compartilhar via

Manter o microsoft 365 compatível continuamente com a Ferramenta de Automação de Conformidade de Aplicativo para o Microsoft 365

Obter a avaliação de controle mais recente do seu relatório de conformidade por meio de notificações

Obter notificações com webhook

Obter avaliação rápida de conformidade no pipeline de Integração Contínua/Implantação Contínua

Integração com pipeline de CI/CD por GitHub Actions

Integração com pipeline de CI/CD por meio da API REST da ACAT

Referência

Cargas do Webhook

Gatilho da API REST da ACATEvaluation

Nome da API: triggerEvaluation

Parâmetros de URI

Cabeçalho de Solicitação

Corpo da Solicitação

Cabeçalho de respostas

TriggerEvaluationResponse

QuickAssessment

Recursos adicionais