你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
通过将安全操作与 Microsoft Graph 安全性和 Azure 逻辑应用集成,提升威胁防护能力
适用于:Azure 逻辑应用(消耗)
借助 Azure 逻辑应用和 Microsoft Graph 安全性连接器,可以创建用于集成 Microsoft 安全产品、服务和合作伙伴的自动工作流,从而提升应用的威胁检测、防护和响应能力。 例如,可以创建用于监视和管理 Microsoft Graph 安全性实体(如警报)的 Microsoft Defender for Cloud playbook。 下面是 Microsoft Graph 安全连接器支持的一些方案:
按查询或警报 ID 获取警报。 例如,可以获取非常严重的警报列表。
更新警报。 例如,可以更新警报分配、向警报添加注释或标记警报。
通过创建警报订阅 (Webhook),监视警报何时创建或更改。
管理警报订阅。 例如,可以获取有效订阅、延长订阅到期时间或删除订阅。
逻辑应用的工作流可使用操作,以从 Microsoft Graph 安全性连接器获取响应,并让输出可用于工作流中的其他操作。 另外,还可以让工作流中的其他操作使用 Microsoft Graph 安全性连接器操作的输出。 例如,如果通过 Microsoft Graph 安全性连接器获取非常严重的警报,可使用 Outlook 连接器在电子邮件中发送这些警报。
若要详细了解 Microsoft Graph 安全性,请参阅 Microsoft Graph 安全性 API 概述。 如果你不熟悉逻辑应用,请查看什么是 Azure 逻辑应用?。 如果正在查找 Power Automate 或 Power Apps,请参阅什么是 Power Automate?或什么是 Power Apps?
先决条件
Azure 帐户和订阅。 如果没有 Azure 订阅,请注册一个免费 Azure 帐户。
若要使用 Microsoft Graph 安全连接器,必须明确授予 Microsoft Entra 租户管理员同意,这是 Microsoft Graph 安全身份验证要求的一部分。 若要授予此同意,必须提供 Microsoft Graph 安全性连接器的应用程序 ID 和名称(也可以在 Azure 门户中查找):
属性 值 应用程序名称 MicrosoftGraphSecurityConnector应用程序 ID c4829704-0edc-4c3d-a347-7c4a67586f3c若要授予连接器的许可,Microsoft Entra 租户管理员可以遵循以下步骤之一:
为 Microsoft Entra 应用程序授予租户管理员同意。
在逻辑应用的首次运行期间,应用可以通过应用程序许可体验请求 Microsoft Entra 租户管理员的同意。
有关如何创建逻辑应用的基本知识
要访问 Microsoft Graph 安全性实体(如警报)的逻辑应用。 若要使用 Microsoft Graph 安全触发器,需要一个空白逻辑应用。 若要使用 Microsoft Graph 安全操作,需要一个逻辑应用,该应用以适合你的方案的适当触发器开头。
连接到 Microsoft Graph 安全性
当你添加连接到服务或系统的触发器或操作时,如果没有现有连接或活动连接,Azure 逻辑应用会提示你提供连接信息,这些信息因连接类型而异,例如:
- 帐户凭据
- 要用于连接的名称
- 服务器或系统的名称
- 要使用的身份验证类型
- 一个连接字符串
登录到 Azure 门户,在逻辑应用设计器中打开逻辑应用(如果尚未打开)。
对于空白逻辑应用,请在添加 Microsoft Graph 安全操作之前添加触发器和任何其他操作。
-或-
对于现有逻辑应用,在要添加 Microsoft Graph 安全操作的最后一步下,选择“ 新建”步骤。
-或-
若要在步骤之间添加操作,请将鼠标指针移到步骤之间的箭头上。 选择显示的加号(+),然后选择“ 添加操作”。
在搜索框中,输入“microsoft graph 安全性”作为筛选器。 从操作列表中选择所需的操作。
使用 Microsoft Graph 安全性凭据登录。
为所选操作提供必要的详细信息,并继续构建逻辑应用的工作流。
添加触发器
在 Azure 逻辑应用中,每个逻辑应用都必须从触发器开始,该触发器在发生特定事件或特定条件得到满足的情况下触发。 每次触发触发器时,逻辑应用引擎都会创建一个逻辑应用实例并开始运行应用的工作流。
注意
触发触发器时,触发器将处理所有新警报。 如果未收到警报,则会跳过触发器运行。 下一次触发器轮询的发生将基于触发器的属性中指定的重复周期间隔。
此示例演示如何在将新警报发送到应用时启动逻辑应用工作流。
在Azure 门户或 Visual Studio 中,创建一个空白逻辑应用,这将打开逻辑应用设计器。 此示例使用 Azure 门户。
在设计器的搜索框中,输入“microsoft graph 安全性”作为筛选器。 从触发器列表中选择此触发器: 在所有新警报上
在触发器中,提供有关要监视的警报的信息。 对于更多属性,请打开 “添加新参数 ”列表,然后选择一个参数以将该属性添加到触发器。
| properties | 属性 (JSON) | 必须 | 类型 | 说明 |
|---|---|---|---|---|
| 时间间隔 | interval |
是 | Integer | 一个正整数,描述工作流基于频率运行的频繁度。 下面是最小和最大间隔: - 月:1-16 个月 例如,如果间隔为 6,频率为“月”,则重复周期为每 6 个月。 |
| 频率 | frequency |
是 | String | 定期计划的时间单位:“秒”、“分钟”、“小时”、“天”、“周”或“月” |
| 时区 | timeZone |
否 | String | 仅当指定启动时间时才适用,因为此触发器不接受 UTC 时差。 选择要应用的时区。 |
| 开始时间 | startTime |
否 | 字符串 | 采用以下格式提供启动日期和时间: 如果选择了时区,则格式为 YYYY-MM-DDThh:mm:ss -或- 如果未选择时区,则格式为 YYYY-MM-DDThh:mm:ssZ 例如,如果希望 2017 年 9 月 18 日下午 2:00,请指定“2017-09-18T14:00:00”并选择时区,例如太平洋标准时间。 或者指定“2017-09-18T14:00:00Z”且不选择时区。 注意: 此开始时间在未来最长为 49 年,并且必须遵循 UTC 日期时间格式的 ISO 8601 日期时间规范,但没有 UTC 时差。 如果未选择时区,必须在末尾添加字母“Z”(无空格)。 这个“Z”指等效的航海时间。 对于简单计划,开始时间指首次运行时间;对于复杂计划,触发器的激发时间不会早于开始时间。 可通过哪些方式使用开始日期和时间? |
完成后,请在设计器工具栏上选择“保存”。
现在请继续向逻辑应用添加一个或多个操作,以便完成需对触发器结果执行的任务。
添加操作
下面更详细地介绍了如何使用各种 Microsoft Graph 安全性连接器操作。
管理警报
若要筛选、排序或获取最新结果,只需提供 Microsoft Graph支持的 ODATA 查询参数。 请勿指定完整的基 URL 或 HTTP 操作,例如 https://graph.microsoft.com/v1.0/security/alerts 或 GET/PATCH 操作。 下面的具体示例展示了在要获取非常严重的警报列表时“获取警报”操作的参数:
Filter alerts value as Severity eq 'high'
若要详细了解可以与此连接器一起使用的查询,请参阅 Microsoft Graph 安全性警报参考文档。 若要使用此连接器增强体验,请详细了解连接器支持的架构属性警报。
| 操作 | 说明 |
|---|---|
| 获取警报 | 获取基于一个或多个 警报属性筛选的警报,例如 Provider eq 'Azure Security Center' or 'Palo Alto Networks'。 |
| 按 ID 获取警报 | 按警报 ID 获取特定警报。 |
| 更新警报 | 按警报 ID 更新特定警报。 若要确保在请求中传递必需的可编辑属性,请参阅可编辑警报属性。 例如,若要向安全分析师分配警报以供调查,可以更新警报的“分配对象”属性。 |
管理警报订阅
Microsoft Graph 支持订阅或 Webhook。 若要获取、更新或删除订阅,请向 Microsoft Graph 实体构造提供 Microsoft Graph 支持的 ODATA 查询参数,并添加后跟 ODATA 查询的 security/alerts。 请勿添加基 URL(例如,https://graph.microsoft.com/v1.0)。 而是改用此示例中的格式:
security/alerts?$filter=status eq 'NewAlert'
| 操作 | 说明 |
|---|---|
| 创建订阅 | 创建订阅,用于通知所发生的任何更改。 可以对此订阅筛选出所需的特定警报类型。 例如,可以创建订阅,用于通知非常严重的警报。 |
| 获取有效订阅 | 获取未过期的订阅。 |
| 更新订阅 | 通过提供订阅 ID 来更新订阅。 例如,若要扩展订阅,可以更新订阅的 expirationDateTime 属性。 |
| 删除订阅 | 通过提供订阅 ID 来删除订阅。 |
管理威胁情报指标
若要筛选、排序或获取最新结果,只需提供 Microsoft Graph支持的 ODATA 查询参数。 请勿指定完整的基 URL 或 HTTP 操作,例如 https://graph.microsoft.com/beta/security/tiIndicators 或 GET/PATCH 操作。 下面是一个特定示例,当需要具有DDoS威胁类型的列表时,显示 Get tiIndicators 操作的参数:
Filter threat intelligence indicator value as threatType eq 'DDoS'
有关可用于此连接器的查询的详细信息,请参阅 Microsoft Graph 安全威胁情报指示器参考文档中的“可选查询参数”。 若要使用此连接器生成增强体验,请详细了解 连接器支持的架构属性威胁智能指示器 。
| 操作 | 说明 |
|---|---|
| 获取威胁情报指示器 | 获取根据一个或多个 tiIndicator 属性筛选的 tiIndicator,例如 threatType eq 'MaliciousUrl' or 'DDoS' |
| 按 ID 获取威胁情报指示器 | 基于 tiIndicator ID 获取特定的 tiIndicator。 |
| 创建威胁情报指示器 | 通过发布到 tiIndicators 集合创建新的 tiIndicator。 若要确保在请求中传递所需属性,请参阅 创建 tiIndicator 所需的属性。 |
| 提交多个威胁情报指示器 | 通过发布 tiIndicators 集合创建多个新的 tiIndicators。 若要确保在请求中传递所需属性,请参阅 提交多个 tiIndicator 所需的属性。 |
| 更新威胁情报指示器 | 基于 tiIndicator ID 更新特定的 tiIndicator。 若要确保在请求中传递必需属性和可编辑属性,请参阅 tiIndicator 的可编辑属性。 例如,若要在 targetProduct 安全工具中匹配指示器时更新要应用的操作,可以更新 tiIndicator 的操作属性。 |
| 更新多个威胁情报指示器 | 更新多个 tiIndicators。 若要确保在请求中传递所需属性,请参阅 更新多个 tiIndicator 所需的属性。 |
| 按 ID 删除威胁情报指示器 | 根据 tiIndicator ID 删除特定的 tiIndicator。 |
| 通过 ID 删除多个威胁情报指示器 | 通过 ID 删除多个 tiIndicator。 若要确保在请求中传递所需属性,请参阅 删除多个 tiIndicator by ID 所需的属性。 |
| 通过外部 ID 删除多个威胁情报指示器 | 通过外部 ID 删除多个 tiIndicator。 若要确保在请求中传递所需属性,请参阅 外部 ID 删除多个 tiIndicator 所需的属性。 |
连接器参考
有关触发器、操作和限制(请参阅连接器的 OpenAPI(以前称为 Swagger)说明)的技术详细信息,请查看连接器的参考页。