Azure Logic Apps-Plug-In in Microsoft Security Copilot

Logic Apps ist eine cloudbasierte Plattform, mit der Sie Geschäftsprozesse als Workflows automatisieren können. Sie erstellen und stellen eine Logik-App-Ressource in Microsoft Azure bereit und verwenden dann den Workflow-Designer, um vordefinierte Connectors in der von Ihnen benötigten Reihenfolge anzuordnen.

Wenn Logic Apps in Microsoft Security Copilot integriert ist, können Sie Automatisierungsfunktionen auf Sicherheitsvorgänge erweitern, sodass Sie Untersuchungen einfacher auslösen, Playbooks ausführen und direkt über Security Copilot auf Incidents reagieren können.

Security Copilot Funktionen wie Eingabeaufforderungen und Promptbooks können über den Security Copilot-Connector in Logic Apps gebunden verwendet werden. Sie können Eingabeaufforderungen von Diensten außerhalb Security Copilot übermitteln. Mit dieser Erweiterung können Sie jetzt Logik-App-Workflows als aufgerufene Tools (Skills) oder Funktionen verwenden. Nachdem Sie den Workflow definiert und das Skillsetmanifest generiert haben, können diese Logik-App-basierten Tools aus Security Copilot Eingabeaufforderungen, Promptbooks oder Agents aufgerufen werden.

In diesem Dokument wird erläutert, wie Sie einen ausgehenden Logik-App-Workflow aus Security Copilot mithilfe einer Eingabeaufforderung aufrufen.

Szenarien

Einige Szenarien für ausgehende Logik-Apps sind wie folgt:

• Erstellen Sie einen Sentinel/Jira/ServiceNow-Incident mithilfe einer Eingabeaufforderung in Security Copilot.

• Erstellen Sie ein Promptbook , das einen riskanten Benutzer analysiert, einen Bericht darüber erstellt und dann nach der Bestätigung eine E-Mail mit zwei Optionen sendet:

  • Hinzufügen des Benutzers zur Watchlist in Microsoft Sentinel oder

  • Aktualisieren Sie Microsoft Entra mithilfe einer Vielzahl unterschiedlicher Logik basierend auf den eindeutigen Bedingungen.

Begrifflichkeiten

Ausdruck	Beschreibung
Aktion	Eine Aktion ist ein Vorgang, der eine bestimmte Aufgabe in Ihrem Workflow ausführt. Aktionen werden ausgeführt, nachdem ein Trigger aktiviert oder eine andere Aktion abgeschlossen wurde.
Auslöser	Ein Trigger ist ein Ereignis, das auftritt, wenn eine bestimmte Bedingung erfüllt ist. Trigger werden automatisch aktiviert, wenn eine Bedingung erfüllt ist. Beispielsweise, wenn ein Timer abläuft oder Daten verfügbar werden.
Workflow	Eine Reihe von Vorgängen, die eine Aufgabe, einen Geschäftsprozess oder eine Workload definieren. Jeder Workflow beginnt immer mit einem einzelnen Triggervorgang, nach dem Sie einen oder mehrere Aktionsvorgänge hinzufügen müssen.

Voraussetzungen

1. Der Mandant, den Sie für Security Copilot verwenden, muss derselbe Mandant sein, in dem sich Ihre Logik-App befindet, und Sie müssen Zugriff darauf haben. Andernfalls können Sie die Logik-App nicht aus Security Copilot aufrufen.

2. Bereitgestellte SCUs für Security Copilot.

Schritte zum Aufrufen eines Logik-App-Workflows

In diesem Schnellstarttutorial erfahren Sie, wie Sie einen Logik-App-Workflow mithilfe von Security Copilot auslösen. Sie erstellen eine Logik-App mit einem HTTP-Anforderungstrigger, der ein einzelnes GroupId Argument im JSON-Anforderungstext akzeptiert und den integrierten AAD-Connector zum Auflisten der Eigenschaften dieser Gruppe verwendet.

Schritt 1: Erstellen des Logik-App-Workflows

1. Wechseln Sie zum Azure-Portal, und erstellen Sie eine neue Logik-App-Ressource. Ausführliche Informationen zum Verbrauchsplan und zum Erstellen einer Ressource sowie beispiele finden Sie unter Logic Apps.

2. Wechseln Sie zur neu erstellten Logik-App-Ressource, öffnen Sie den Logik-App-Designer, und erstellen Sie Ihren Workflow.

• Fügen Sie einen HTTP-Anforderungstrigger hinzu.

  

• Skilleingaben werden als Felder der obersten Ebene des HTTP-Anforderungstexts übergeben. Dieser Skill akzeptiert eine Eingabe mit dem Namen GroupId.

• Legen Sie für Request Body JSON Schema den Trigger wie folgt fest:

  
      {
        "properties": {
          "GroupId": {
            "type": "string"
          }
        },
        "type": "object"
      }
  

  

  Hinweis

  Derzeit sind alle Security Copilot Logik-App-Kenntnisse erforderlich, um einen HTTP-Anforderungstrigger zu verwenden. Wir arbeiten auch an einem neuen Security Copilot Trigger für Logic Apps, der noch einfacher zu verwenden ist und die Logik-App automatisch als Skill in Security Copilot registriert.

3. Fügen Sie eine Aktion hinzu Get Group Properties .

   

4. Die Get Group Properties Aktion verwendet einen AAD Object Id einer Gruppe als Parameter. Legen Sie die GroupId Variable aus dem Triggerschritt fest.

   

   

5. Speichern Sie den Workflow. Der abgeschlossene Workflow sollte in etwa wie folgt aussehen.

   

Schritt 2: Erstellen des Skillsetmanifests

Erstellen Sie eine neue Skillsetmanifestdatei skillset.yaml , und geben Sie die folgenden Parameter für Settings für die in Schritt 1 definierte Logik-App an:

SubscriptionId,ResourceGroup,WorkflowName,TriggerName

Sie können eine der beiden Optionen zum Konfigurieren des Manifests auswählen:

• Option 1: Sie können Es Benutzern ermöglichen, die Konfigurationswerte für Einstellungen wie SubscriptionId, , ResourceGroupWorkflowNameund TriggerNameanzugeben. Fügen Sie den SettingsDescriptor im Abschnitt des Manifests hinzu, und verweisen Sie darauf als Variablen im Skills Abschnitt. Sie können werte in der Plattform nach dem Upload angeben.

• Option 2: Sie können diese Konfigurationen für Benutzer in Ihrem Arbeitsbereich hartcodieren, in denen die Werte im Manifest selbst konfiguriert sind.

Option 1: Descriptor Ebene

  
  Descriptor:
    Name: SampleLogicApp
    DisplayName: My Sample Logic App Skillset
    Description: Skills to query AAD group properties
    Settings:
      - Name: SubscriptionId
        Label: SubscriptionId
        Description: Subscription Id
        HintText: The subscription Id 
        SettingType: String
        Required: true
  
      - Name: ResourceGroup
        Label: ResourceGroup
        Description: Resource group 
        HintText: The resource group 
        SettingType: String
        Required: true
  
      - Name: WorkflowName
        Label: WorkflowName
        Description: Workflow Name 
        HintText: The workflow name 
        SettingType: String
        Required: true
  
      - Name: TriggerName
        Label: TriggerName
        Description: Trigger Name
        HintText: The Trigger name 
        SettingType: String
        Required: true
  
  SkillGroups:
    - Format: LogicApp
      Skills:
        - Name: GetAadGroupProperties
          DisplayName: Get AAD Group Properties
          Description: Queries properties of an AAD group by its ObjectId
          Inputs:
            - Name: GroupId
              Description: AAD ObjectId of the group to query
              Required: true
          Settings:
            SubscriptionId: "{{SubscriptionId}}"
            ResourceGroup: "{{ResourceGroup}}"
            WorkflowName: "{{WorkflowName}}"
            TriggerName: "{{TriggerName}}"
  

Option 2: Skill Ebene

  
  Descriptor:
    Name: SampleLogicApp
    DisplayName: My Sample Logic App Skillset
    Description: Skills to query AAD group properties
  
  SkillGroups:
    - Format: LogicApp
      Skills:
        - Name: GetAadGroupProperties
          DisplayName: Get AAD Group Properties
          Description: Queries properties of an AAD group by its ObjectId
          Inputs:
            - Name: GroupId
              Description: AAD ObjectId of the group to query
              Required: true
          Settings:
            SubscriptionId: a5testabc-89df-460e-8cd7-abcdefg
            ResourceGroup: sample-logic-app-skill-rg
            WorkflowName: sample-logic-app-skill
            TriggerName: testTrigger
  

Schritt 3: Hochladen des Skillsetmanifests

Befolgen Sie die Uploadanweisungen, um das Manifest als Plug-In in Security Copilot hochzuladen.

Wenn Sie Einstellungen auf der Descriptor Ebene in Schritt 2 angegeben haben, müssen Sie ihre Einstellungswerte nach dem Hochladen angeben und speichern. Sie können diese Einstellungswerte jederzeit bearbeiten und werden überall dort verwendet, wo Sie sie im Manifest angegeben haben.

Schritt 4: Testen der Logik-App-Funktion über eine Eingabeaufforderung

Abrufen der groupId von Microsoft Azure: Zum Testen des Logik-App-Plug-Ins benötigen Sie .groupId

• Suchen Sie im Azure-PortalMicrosoft Entra ID.

• Navigieren Sie zu Gruppen verwalten > . Wählen Sie ein Object Id aus, das groupId als Eingabe verwendet werden soll.

Wählen Sie Ihren Skill aus:

• Navigieren Sie Security Copilot zur Eingabeaufforderungsleiste.

• Geben Sie ihren Skillnamen oder den Anzeigenamen der Qualifikation ein, um den Skill aufzurufen. Hier ist GetAadGroupPropertieses , die aus Skills.Name der YAML oder die Get AAD Group Propertiesist, die die Skills.DisplayNameist.

  

• Wenn Sie Ihr Manifest mit Option 1 (Deskriptorebene) in Schritt 2 konfiguriert haben, müssen Sie die Einstellungen angeben.

• Navigieren Sie zu Logic Apps , um die Werte für Folgendes abzurufen:

  • SubscriptionId und ResourceGroup Details auf der Seite "Übersicht "
  • WorkflowName ist der Logik-App-Workflow.
  • TriggerName ist testTrigger

• Füllen Sie die erforderlichen Skilleingabeparameter auf. Hier geben Sie die groupIdein.

• Sie können die Eingabeaufforderung "Können Sie die Eigenschaften der AAD-Gruppe groupIdfreigeben?" versuchen.

  Die folgende Abbildung zeigt die Ergebnisse einer Eingabeaufforderungsausführung, wenn ein Logik-App-Workflow ausgelöst wird. Für die Eingabe groupIdwurden drei Eigenschaften abgerufen: GroupId, Nameund Mail aus Entra.

  

• Wählen Sie In Azure Portal anzeigen aus, um den Workflow in Azure anzuzeigen.

• Optional können Sie die Funktion auch über ein Promptbook testen.

YAML-Beispiel zum Erstellen eines Incidents in Sentinel

Im Folgenden sehen Sie ein YAML-Beispiel zum Erstellen eines Incidents in Microsoft Sentinel mithilfe der Eingabeaufforderung. Wenn die Eingabeaufforderung ausgeführt wird, wird der Logik-App-Workflow aufgerufen.

Tipp

Beschreiben Sie, wenn Sie die Beschreibung im Manifest angeben.