Melhore a proteção contra ameaças integrando as operações de segurança com a Segurança do Microsoft Graph e os Aplicativos Lógicos do Azure
Aplica-se a: Aplicativos Lógicos do Azure (Consumo)
Com os Aplicativos Lógicos do Azure e o conector da Segurança do Microsoft Graph, você pode melhorar o modo como seu aplicativo detecta, protege e responde às ameaças criando fluxos de trabalho automatizados para a integração de parceiros, serviços e produtos de segurança Microsoft. Por exemplo, é possível criar guias estratégicos do Microsoft Defender para nuvem que monitoram e gerenciam as entidades do Microsoft Graph Security, como alertas. Aqui estão alguns cenários compatíveis com o conector da Segurança do Microsoft Graph:
Obtenha alertas com base em consultas ou pela ID do alerta. Por exemplo, você pode obter uma lista que inclui alertas de severidade alta.
Atualize os alertas. Por exemplo, você pode atualizar atribuições de alertas, adicionar comentários a alertas ou marcar alertas.
Monitore quando os alertas são criados ou alterados, criando Assinaturas de alertas (webhooks).
Gerencie suas assinaturas de alertas. Por exemplo, você pode obter assinaturas ativas, estender o tempo de expiração para uma assinatura ou excluir assinaturas.
O fluxo de trabalho do aplicativo lógico pode usar ações que obtêm as respostas do conector da Segurança do Microsoft Graph e disponibilizam essa saída para outras ações no fluxo de trabalho. Você também pode fazer com que outras ações no fluxo de trabalho usem a saída das ações de conector da Segurança do Microsoft Graph. Por exemplo, se receber alertas de severidade alta por meio do conector da Segurança do Microsoft Graph, você poderá enviar os alertas em uma mensagem de email usando o conector do Outlook.
Para saber mais sobre a Segurança do Microsoft Graph, confira a Visão geral da API de Segurança do Microsoft Graph. Se ainda não estiver familiarizado com aplicativos lógicos, leia O que é o Aplicativo Lógico do Azure?. Se você estiver procurando o Power Automate ou o Power Apps, consulte O que é o Power Automate? ou O que é o Power Apps?
Pré-requisitos
Uma conta e uma assinatura do Azure. Se você não tiver uma assinatura do Azure, inscreva-se em uma conta gratuita do Azure.
Para usar o conector de segurança do Microsoft Graph, você deve ter dado explicitamente o consentimento do administrador de locatário do Microsoft Entra, que faz parte dos requisitos de autenticação de segurança do Microsoft Graph. Esse consentimento requer o nome e a ID do aplicativo do conector da Segurança do Microsoft Graph, que você também pode encontrar no portal do Azure:
Propriedade Valor Nome do Aplicativo MicrosoftGraphSecurityConnectorID do Aplicativo c4829704-0edc-4c3d-a347-7c4a67586f3cPara conceder consentimento para o conector, o administrador de locatário do Microsoft Entra pode seguir estas etapas:
Conceda consentimento de administrador de locatário para aplicativos do Microsoft Entra.
Durante a primeira execução do aplicativo lógico, ele pode solicitar o consentimento do administrador do locatário do Microsoft Entra por meio da experiência de consentimento do aplicativo.
Conhecimento básico sobre como criar aplicativos lógicos
O aplicativo lógico no qual você deseja acessar suas entidades de Segurança do Microsoft Graph, tais como alertas. Para usar um gatilho de Segurança do Microsoft Graph, você precisa de um aplicativo lógico em branco. Para usar uma ação da Segurança do Microsoft Graph, você precisa de um aplicativo lógico que comece com o gatilho apropriado para o seu cenário.
Conectar à Segurança do Microsoft Graph
Quando você adiciona um gatilho ou uma ação que conecta um serviço ou um sistema e não tem uma conexão existente ou ativa, os Aplicativos Lógicos do Azure solicitam que forneça as informações de conexão, que variam de acordo com o tipo, por exemplo:
- Suas credenciais de conta
- Um nome a ser usado para a conexão
- O nome do sistema ou do servidor
- O tipo de autenticação a ser usado
- Uma cadeia de conexão
Entre no portal do Azure e abra seu aplicativo lógico no Designer de Aplicativo Lógico, se ele ainda não estiver aberto.
Para aplicativos lógicos em branco, adicione o gatilho e quaisquer outras ações que você desejar antes de adicionar uma ação da Segurança do Microsoft Graph.
-ou-
Para aplicativos lógicos existentes, na última etapa em que deseja adicionar uma ação da Segurança do Microsoft Graph, selecione Nova etapa.
-ou-
Para adicionar uma ação entre as etapas, mova o ponteiro sobre a seta entre as etapas. Selecione o sinal de mais (+) que aparece e, em seguida, selecione Adicionar uma ação.
Na caixa de pesquisa, insira "segurança do microsoft graph" como o filtro. Na lista de ações, selecione a ação desejada.
Entre com suas credenciais da Segurança do Microsoft Graph.
Forneça os detalhes necessários para a ação selecionada e continue criando o fluxo de trabalho do aplicativo lógico.
Adicionar gatilhos
Nos Aplicativos Lógicos do Azure, cada aplicativo lógico deve começar com um gatilho, que é disparado quando um evento específico ocorre ou quando uma condição específica é atendida. Cada vez que o gatilho é acionado, o mecanismo de Aplicativos Lógicos cria uma instância de aplicativo lógico e inicia a execução do fluxo de trabalho do aplicativo.
Observação
Quando um gatilho é acionado, ele processa todos os novos alertas. Se nenhum alerta for recebido, a execução de gatilho será ignorada. A próxima pesquisa de gatilhos acontecerá com base no intervalo de recorrência que você especificar nas propriedades do gatilho.
Este exemplo mostra como é possível iniciar um fluxo de trabalho de aplicativo lógico quando novos alertas são enviados para o aplicativo.
No portal do Azure ou no Visual Studio, crie um aplicativo lógico em branco, o que abrirá o Designer do Aplicativo Lógico. Este exemplo usa o portal do Azure.
No designer, na caixa de pesquisa, insira "segurança do microsoft graph" como o filtro. Na lista de gatilhos, selecione este gatilho: Em todos os novos alertas
No gatilho, forneça informações sobre os alertas que deseja monitorar. Para obter mais propriedades, abra a lista Adicionar novo parâmetro e selecione um parâmetro para adicionar essa propriedade ao gatilho.
| Propriedade | Propriedade (JSON) | Obrigatório | Type | Descrição |
|---|---|---|---|---|
| Intervalo | interval |
Sim | Inteiro | Um inteiro positivo que descreve a frequência na qual o fluxo de trabalho é executado com base na frequência. Aqui estão os intervalos mínimo e máximo: - Mês: 1-16 meses Por exemplo, se o intervalo for 6 e a frequência for "Mês", a recorrência será a cada 6 meses. |
| Frequência | frequency |
Sim | String | A unidade de tempo para a recorrência: Segundo, Minuto, Hora, Dia, Semana ou Mês |
| Fuso horário | timeZone |
Não | String | Aplica-se somente quando você especifica uma hora de início, porque o gatilho não aceita diferença UTC. Selecione o fuso horário que você deseja aplicar. |
| Hora de início | startTime |
Não | String | Forneça uma data e hora de início neste formato: YYYY-MM-DDThh:mm:ss se você selecionar um fuso horário -ou- YYYY-MM-DDThh:mm:ssZ se você não selecionar um fuso horário Por exemplo, se você quiser 18 de setembro de 2017 às 14h, especifique "2017-09-18T14:00:00" e selecione um fuso horário, como Horário Padrão do Pacífico. Ou, especifique "2017-09-18T14:00:00Z" sem um fuso horário. Observação: Esta hora de início tem um máximo de 49 anos no futuro e deve seguir a especificação de data e hora ISO 8601 no formato de data e hora UTC, mas sem uma diferença UTC . Se você não selecionar um fuso horário, será necessário adicionar a letra "Z" no final sem espaços. Essa letra "Z" refere-se ao equivalente em hora náutica. Para agendamentos simples, a hora de início é a primeira ocorrência, enquanto que, para agendamentos complexos, o gatilho não é disparado antes da hora de início. Quais são as maneiras que posso usar a data e hora de início? |
Quando terminar, selecione Salvar na barra de ferramentas do designer.
Agora, continue a adicionar uma ou mais ações ao aplicativo lógico para as tarefas que você deseja executar com os resultados do gatilho.
Adicionar ações
Aqui estão detalhes mais específicos sobre como usar as diversas ações disponíveis com o conector da Segurança do Microsoft Graph.
Gerenciar alertas
Para filtrar, classificar ou obter os resultados mais recentes, forneça somente os parâmetros de consulta ODATA compatíveis com o Microsoft Graph. Não especifique a URL base completa ou a ação HTTP, por exemplo, https://graph.microsoft.com/v1.0/security/alerts, ou a operação GET ou PATCH. Aqui está um exemplo específico que mostra os parâmetros para uma ação Obter alertas quando você quer uma lista com os alertas de severidade alta:
Filter alerts value as Severity eq 'high'
Para obter mais informações sobre as consultas que você pode usar com esse conector, confira a documentação de referência de alertas da Segurança do Microsoft Graph. Para criar experiências aprimoradas com esse conector, saiba mais sobre os alertas de propriedades de esquema compatíveis com o conector.
| Ação | Descrição |
|---|---|
| Obter alertas | Obter alertas filtrados com base em uma ou mais propriedades de alerta, por exemplo, Provider eq 'Azure Security Center' or 'Palo Alto Networks'. |
| Obter alerta por ID | Obter um alerta específico com base na ID do alerta. |
| Atualizar alerta | Atualizar um alerta específico com base na ID do alerta. Para assegurar que você passe as propriedades necessárias e editáveis na sua solicitação, confira as propriedades editáveis para alertas. Por exemplo, para atribuir um alerta para um analista de segurança para que ele possa investigar, você pode atualizar a propriedade Atribuído a do alerta. |
Gerenciar assinaturas de alertas
O Microsoft Graph dá suporte a inscrições ou webhooks. Para obter, atualizar ou excluir assinaturas, forneça os parâmetros de consulta ODATA compatíveis com o Microsoft Graph para o constructo da entidade do Microsoft Graph e inclua security/alerts, seguido da consulta ODATA. Não inclua a URL base, por exemplo, https://graph.microsoft.com/v1.0. Em vez disso, use o formato neste exemplo:
security/alerts?$filter=status eq 'NewAlert'
| Ação | Descrição |
|---|---|
| Criar assinaturas | Crie uma assinatura que notifique você sobre quaisquer alterações. Você pode filtrar essa assinatura para os tipos de alertas específicos que você deseja. Por exemplo, você pode criar uma assinatura que notifica você sobre alertas de severidade alta. |
| Obter assinaturas ativas | Obtenha assinaturas não expiradas. |
| Atualizar assinatura | Atualize uma assinatura fornecendo a respectiva ID. Por exemplo, para estender sua assinatura, você pode atualizar a respectiva propriedade expirationDateTime. |
| Excluir assinatura | Exclua uma assinatura fornecendo a ID da assinatura. |
Gerenciar indicadores de inteligência contra ameaças
Para filtrar, classificar ou obter os resultados mais recentes, forneça somente os parâmetros de consulta ODATA compatíveis com o Microsoft Graph. Não especifique a URL base completa ou a ação HTTP, por exemplo, https://graph.microsoft.com/beta/security/tiIndicators, ou a operação GET ou PATCH. Aqui está um exemplo específico que mostra os parâmetros para uma ação Obter tiIndicators quando você quer uma lista com o tipo de ameaça DDoS:
Filter threat intelligence indicator value as threatType eq 'DDoS'
Para obter mais informações sobre as consultas que você pode usar com esse conector, confira a “Parâmetros de consulta opcionais” na documentação de referência do indicador de inteligência contra ameaças da Segurança do Microsoft Graph. Para criar experiências aprimoradas com esse conector, saiba mais sobre os indicador de inteligência contra ameaças de propriedades de esquema compatíveis com o conector.
| Ação | Descrição |
|---|---|
| Obter indicadores de inteligência contra ameaças | Obtenha tiIndicators filtrados com base em uma ou mais propriedades de tiIndicators, por exemplo, threatType eq 'MaliciousUrl' or 'DDoS' |
| Obter indicador de inteligência contra ameaças por ID | Obtenha um tiIndicator específico com base na ID do tiIndicator. |
| Criar indicador de inteligência contra ameaças | Crie um tiIndicator postando na coleção tiIndicators. Para garantir que você passe as propriedades necessárias em sua solicitação, consulte as propriedades necessárias para criar tiIndicator. |
| Enviar vários indicadores de inteligência contra ameaças | Crie vários novos tiIndicators publicando uma coleção de tiIndicators. Para garantir que você passe as propriedades necessárias em sua solicitação, consulte as propriedades necessárias para enviar vários tiIndicators. |
| Atualizar o indicador de inteligência contra ameaças | Atualize um tiIndicator específico com base na ID do tiIndicator. Para assegurar que você passe as propriedades necessárias e editáveis na sua solicitação, confira as propriedades editáveis para tiIndicator. Por exemplo, para atualizar a ação a ser aplicada se o indicador for correspondido de dentro da ferramenta de segurança do targetProduct, você poderá atualizar a propriedade ação do tiIndicator. |
| Atualizar vários indicadores de inteligência contra ameaças | Atualize vários tiIndicators. Para garantir que você passe as propriedades necessárias em sua solicitação, consulte as propriedades necessárias para atualizar vários tiIndicators. |
| Excluir o indicador de inteligência contra ameaças por ID | Exclua um tiIndicator específico com base na ID do tiIndicator. |
| Excluir vários indicadores de inteligência contra ameaças por IDs | Exclua vários tiIndicators por suas IDs. Para garantir que você passe as propriedades necessárias em sua solicitação, consulte as propriedades necessárias para excluir vários tiIndicators pelas IDs. |
| Excluir vários indicadores de inteligência contra ameaças por IDs externas | Exclua vários tiIndicators por suas IDs externas. Para garantir que você passe as propriedades necessárias em sua solicitação, consulte as propriedades necessárias para excluir vários tiIndicators pelas IDs externas. |
Referência do conector
Para obter detalhes técnicos sobre gatilhos, ações e limites, que são explicados na descrição da OpenAPI do conector (anteriormente conhecido como Swagger), revise a página de referência do conector.