Улучшение защиты от угроз путем интеграции операций обеспечения безопасности с Microsoft Graph Security — Azure Logic Apps
Область применения: Azure Logic Apps (потребление)
С помощью Azure Logic Apps и соединителя Microsoft Graph Security можно улучшить эффективность обнаружения угроз вашего приложения, защиты от них и реагирования на них, создав автоматизированные рабочие процессы для интеграции продуктов безопасности, служб и партнеров корпорации Майкрософт. Например, можно создать Microsoft Defender для облака сборники схем, которые отслеживают сущности безопасности Microsoft Graph и управляют ими, например оповещениями. Ниже приведены некоторые сценарии, поддерживаемые соединителем Microsoft Graph Security:
Получение оповещений на основе запросов или по идентификатору оповещения. Например, можно получить список с оповещениями высокой степени серьезности.
Обновление оповещений. Например, можно обновить назначения оповещений, добавить комментарии к оповещениям или пометить оповещения с помощью тегов.
Мониторинг создания или изменения оповещений путем создания подписок на оповещения (веб-перехватчики).
Управление подписками на оповещения. Например, можно получить активные подписки, продлить их срок действия или удалить.
Рабочий процесс приложения логики может использовать действия, которые получают ответы от соединителя Microsoft Graph Security и делают эти выходные данные доступными для других действий в рабочем процессе. Вы также можете применять другие действия в рабочем процессе, используя выходные данные из действий соединителя Microsoft Graph Security. Например, при получении предупреждений с высоким уровнем серьезности с помощью соединителя Microsoft Graph Security их можно отправить в сообщении электронной почты с использованием соединителя Outlook.
Дополнительные сведения о безопасности Microsoft Graph см. в статье Обзор API безопасности Microsoft Graph. Если вы не знакомы с приложениями логики, ознакомьтесь со статьей Что такое Azure Logic Apps. Если вам нужны сведения о Power Automate или Power Apps, см. разделы Что такое Power Automate? или Что такое Power Apps?
Необходимые компоненты
Учетная запись и подписка Azure. Если у вас еще нет подписки Azure, зарегистрируйтесь для получения бесплатной учетной записи Azure.
Чтобы использовать соединитель безопасности Microsoft Graph, необходимо явно предоставить согласие администратора клиента Microsoft Entra, которое входит в требования проверки подлинности безопасности Microsoft Graph. Для этого согласия требуется идентификатор и имя приложения соединителя Microsoft Graph Security, которые также можно найти на портале Azure.
Свойство Значение Имя приложения MicrosoftGraphSecurityConnectorИдентификатор приложения c4829704-0edc-4c3d-a347-7c4a67586f3cЧтобы предоставить согласие для соединителя, администратор клиента Microsoft Entra может выполнить следующие действия:
Предоставьте администратору клиента согласие для приложений Microsoft Entra.
Во время первого запуска приложения логики приложение может запросить согласие администратора клиента Microsoft Entra с помощью интерфейса согласия приложения.
Базовые знания создания приложений логики.
Приложение логики, в котором требуется получить доступ к объектам Microsoft Graph Security, например оповещениям. Чтобы использовать триггер Microsoft Graph Security, вам понадобится пустое приложение логики. Для использования действий Microsoft Graph Security требуется приложение логики, запускаемое с помощью триггера, который соответствует вашему сценарию.
Подключение к Microsoft Graph Security
При добавлении триггера или действия, которое подключается к службе или системе, и у вас нет существующего или активного подключения, Azure Logic Apps предложит предоставить сведения о подключении, которые зависят от типа подключения, например:
- Учетные данные учетной записи
- Имя, используемое для подключения
- Имя сервера или системы
- Тип проверки подлинности
- Строка подключения
Войдите на портал Azure и откройте свое приложение логики в конструкторе приложений логики, если оно еще не открыто.
Добавьте триггер и любые другие действия для пустых приложений логики, прежде чем добавить действие Microsoft Graph Security.
–или–
Выполняя настройку в имеющихся приложениях логики и перейдя к последнему шагу, на котором необходимо добавить действие Microsoft Graph Security, щелкните Новый шаг.
–или–
Чтобы добавить действие между шагами, переместите указатель на стрелку между шагами. Щелкните появившийся знак плюса (+), затем выберите Добавить действие.
В поле поиска введите "microsoft graph security" в качестве фильтра. В списке действий выберите необходимое действие.
Войдите, используя учетные данные безопасности Microsoft Graph Security.
Укажите необходимые сведения для выбранного действия и продолжайте создание рабочего процесса приложения логики.
Добавление триггеров
В Azure Logic Apps каждое приложение логики должно запускаться по триггеру, который активируется, когда происходит определенное событие или если выполняются заданные условия. При каждом срабатывании триггера обработчик Logic Apps создает экземпляр приложения логики, запускающий рабочий процесс приложения.
Примечание.
При срабатывании триггер обрабатывает все новые оповещения. Если оповещений нет, запуск триггера пропускается. Следующий опрос триггера происходит на основе интервала повторения, указанного в свойствах триггера.
В этом примере показано, как запустить рабочий процесс приложения логики при отправке новых событий в приложение.
На портале Azure или в Visual Studio создайте пустое приложение логики. Откроется конструктор приложений логики. В этом примере используется портал Azure.
В поле поиска конструктора введите microsoft graph security в качестве фильтра. В списке триггеров выберите триггер On all new alerts (Для всех новых оповещений).
В триггере укажите сведения об оповещениях, которые нужно отслеживать. Чтобы увидеть больше свойств, откройте список Добавить новый параметр и выберите параметр, чтобы добавить это свойство в триггер.
| Свойство | Свойство (JSON) | Обязательное поле | Type | Описание |
|---|---|---|---|---|
| Интервал | interval |
Да | Целое | Положительное целое число, которое описывает, как часто выполняется рабочий процесс с учетом заданной частоты. Ниже приведены минимальные и максимальные интервалы. - Месяц: 1-16 месяцев Например, если интервал равен 6, а значение частоты — "Месяц", то повтор будет происходить каждые 6 месяцев. |
| Периодичность | frequency |
Да | Строка | Единица времени для повторения: Секунда, Минута, Час, День, Неделя или Месяц. |
| Часовой пояс | timeZone |
Нет | Строка | Применяется только при указании времени начала, так как этот триггер не принимает смещение от UTC. Выберите часовой пояс, который необходимо применить. |
| Время начала | startTime |
Нет | Строка | Укажите дату и время начала в этом формате: ГГГГ-ММ-ДДThh:mm:ss при выборе часового пояса -Или- ГГГГ-ММ-DDThh:mm:ssZ, если вы не выбираете часовой пояс Например, если требуется указать 18 сентября 2017 г. в 14:00, то используйте 2017-09-18T14:00:00 и выберите часовой пояс, например "Тихоокеанское время США (зима)". Или укажите 2017-09-18T14:00:00Z без часового пояса. Важно: время начала не может превышать 49 лет в будущем и должно соответствовать спецификациям даты и времени ISO 8601, быть в формате даты и времени UTC, но без Смещения UTC. Если вы не выберите часовой пояс, то необходимо в конце добавить букву Z без пробелов. Эта буква Z ссылается на соответствующее судовое время. В простых расписаниях время начала определяет первый случай выполнения задания, а в сложных расписаниях триггер срабатывает не раньше, чем наступит время начала. Как можно использовать дату и время начала? |
По завершении на панели инструментов конструктора выберите Сохранить.
Теперь продолжайте добавлять действия в приложение логики для задач, которые необходимо выполнить с результатами триггера.
Добавление действий
Ниже приведены более подробные сведения об использовании различных действий, доступных с помощью соединителя Microsoft Graph Security.
Управление оповещениями
Чтобы отфильтровать, отсортировать или получить последние результаты, предоставьте только параметры запроса ODATA, поддерживаемые Microsoft Graph. Не указывайте полный базовый URL-адрес или действие HTTP, например, https://graph.microsoft.com/v1.0/security/alerts, операцию GET или PATCH. Ниже приведен конкретный пример, который показывает параметры для действия Получение оповещений, когда требуется получить список с оповещениями с высокой степенью серьезности.
Filter alerts value as Severity eq 'high'
Дополнительные сведения о запросах, которые можно использовать с этим соединителем, см. в справочной документации по оповещениям Microsoft Graph Security. Чтобы улучшить взаимодействие с этим соединителем, узнайте больше об оповещениях свойств схемы, поддерживаемых соединителем.
| Действие | Description |
|---|---|
| Получение оповещений | Фильтрация оповещений на основе одного или нескольких свойств оповещений, например Provider eq 'Azure Security Center' or 'Palo Alto Networks'. |
| Получение оповещения по идентификатору | Получение определенного оповещения на основе идентификатора. |
| Обновление оповещения | Обновление определенного оповещения на основе его идентификатора. Чтобы убедиться, что вы передаете требуемые и редактируемые свойства в запросе, см. эту статью. Например, чтобы назначить оповещение аналитику по системам безопасности для проведения расследования, можно обновить свойство оповещения Кому назначено. |
Управление подписками на оповещения
Microsoft Graph поддерживает подписки или веб-перехватчики. Чтобы получить, обновить или удалить подписки, введите параметры запроса ODATA, поддерживаемые Microsoft Graph, в конструкцию сущности Microsoft Graph и включите в нее security/alerts, а затем — запрос ODATA. Не следует включать базовый URL-адрес, например https://graph.microsoft.com/v1.0. Вместо этого используйте формат из данного примера:
security/alerts?$filter=status eq 'NewAlert'
| Действие | Description |
|---|---|
| Создание подписок | Создайте подписку, уведомляющую о любых изменениях. В этой подписке можно отфильтровать определенные типы оповещений. Например, можно создать подписку, уведомляющую об оповещениях с высокой степенью серьезности. |
| Получение активных подписок | Получает активные подписки. |
| Обновление подписки | Обновляет подписку, предоставив ее идентификатор. Например, чтобы продлить подписку, можно обновить свойство подписки expirationDateTime. |
| Удаление подписки | Удаляет подписку, предоставив ее идентификатор. |
Управление индикаторами аналитики угроз
Чтобы отфильтровать, отсортировать или получить последние результаты, предоставьте только параметры запроса ODATA, поддерживаемые Microsoft Graph. Не указывайте полный базовый URL-адрес или действие HTTP, например, https://graph.microsoft.com/beta/security/tiIndicators, операцию GET или PATCH. Ниже приведен конкретный пример, который показывает параметры для действия Получение индикаторов, когда вам нужен список с типом угрозы DDoS:
Filter threat intelligence indicator value as threatType eq 'DDoS'
Дополнительные сведения о запросах, которые можно создавать, используя этот соединитель, см. в разделе "Дополнительные параметры запроса" в справочной документации по индикатору аналитики угроз Microsoft Graph Security. Чтобы улучшить взаимодействие с этим соединителем, узнайте больше об индикаторе аналитики угроз для свойств схемы, поддерживаемых соединителем.
| Действие | Description |
|---|---|
| Получение индикаторов аналитики угроз | Получение индикаторов аналитики угроз на основе одного или нескольких свойств индикаторов аналитики угроз, например threatType eq 'MaliciousUrl' or 'DDoS' |
| Получение индикаторов аналитики угроз по идентификатору | Получение конкретного индикатора аналитики угроз по идентификатору. |
| Создание индикатора аналитики угроз | Создание индикатора аналитики угроз путем помещения в коллекцию индикаторов аналитики угроз. Чтобы убедиться, что в запросе передаются необходимые свойства, ознакомьтесь со свойствами, необходимыми для создания индикаторов аналитики угроз. |
| Отправка нескольких индикаторов аналитики угроз | Создание нескольких индикаторов аналитики угроз путем размещения коллекции индикаторов аналитики угроз. Чтобы убедиться, что в запросе передаются необходимые свойства, ознакомьтесь со свойствами, необходимыми для отправки нескольких индикаторов аналитики угроз. |
| Обновление индикатора аналитики угроз | Обновление конкретного индикатора аналитики угроз по идентификатору. Чтобы убедиться, что вы передаете в запросе требуемые и редактируемые свойства, ознакомьтесь с редактируемыми свойствами для индикаторов аналитики угроз. Например, чтобы обновить действие, применяемое при сопоставлении индикатора в инструменте для обеспечения безопасности targetProduct, можно обновить свойство action индикатора аналитики угроз. |
| Обновление нескольких индикаторов аналитики угроз | Обновление нескольких индикаторов аналитики угроз. Чтобы убедиться, что в запросе передаются необходимые свойства, ознакомьтесь со свойствами, необходимыми для обновления нескольких индикаторов аналитики угроз. |
| Удаление индикатора аналитики угроз по идентификатору | Удаление конкретного индикатора аналитики угроз по идентификатору. |
| Удаление нескольких индикаторов аналитики угроз по идентификатору | Удаление нескольких индикаторов аналитики угроз по идентификатору. Чтобы убедиться, что в запросе передаются необходимые свойства, ознакомьтесь со свойствами, необходимыми для удаления нескольких индикаторов аналитики угроз. |
| Удаление нескольких индикаторов аналитики угроз по внешним идентификаторам | Удаление нескольких индикаторов аналитики угроз по внешнему идентификатору. Чтобы убедиться, что в запросе передаются необходимые свойства, ознакомьтесь со свойствами, необходимыми для удаления нескольких индикаторов аналитики угроз по внешнему идентификатору. |
Справочник по соединителям
Дополнительные технические сведения о триггерах, действиях и ограничениях, которые приведены в описании OpenAPI соединителя (прежнее название — Swagger), можно найти на странице справки соединителя.