Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Si applica a: App per la logica di Azure (A consumo)
Con le app per la logica di Azure e il connettore di Microsoft Graph Security è possibile migliorare le modalità di rilevamento, protezione e risposta alle minacce mediante la creazione di flussi di lavoro automatizzati per l'integrazione di prodotti, servizi e partner Microsoft per la sicurezza. Ad esempio, è possibile creare Microsoft Defender per il cloud playbook che monitorano e gestiscono le entità di Microsoft Graph Security, ad esempio gli avvisi. Ecco alcuni scenari supportati dal connettore Microsoft Graph Security:
Ottenere avvisi in base a query o all'ID avviso. È ad esempio possibile ottenere un elenco degli avvisi con gravità alta.
Aggiornare gli avvisi. È ad esempio possibile aggiornare le assegnazioni degli avvisi, aggiungere commenti agli avvisi o contrassegnarli.
Monitorare la creazione o la modifica degli avvisi creando sottoscrizioni per gli avvisi (webhook).
Gestire le sottoscrizioni per gli avvisi. È ad esempio possibile ottenere le sottoscrizioni attive, estendere la scadenza per una sottoscrizione o eliminare le sottoscrizioni.
Il flusso di lavoro dell'app per la logica può usare azioni per ottenere risposte dal connettore di Microsoft Graph Security e rendere disponibile l'output per altre azioni nel flusso di lavoro. L'output delle azioni del connettore di Microsoft Graph Security può anche essere usato da altre azioni nel flusso di lavoro. Se ad esempio si ricevono avvisi con gravità alta tramite il connettore di Microsoft Graph Security, è possibile inviare tali avvisi in un messaggio di posta elettronica mediante il connettore di Outlook.
Per altre informazioni su Microsoft Graph Security, vedere Microsoft Graph Security API overview (Panoramica dell'API di Microsoft Graph Security). Se non si ha familiarità con le app per la logica, consultare Informazioni su App per la logica di Azure. Se si sta cercando Power Automate o Power Apps, vedere Che cos'è Power Automate ? o Che cos'è Power Apps?
Prerequisiti
Account e sottoscrizione di Azure. Se non si ha una sottoscrizione di Azure, iscriversi per creare un account Azure gratuito.
Per usare il connettore Microsoft Graph Security, è necessario disporre del consenso dell'amministratore tenant di Microsoft Entra in modo esplicito, che fa parte dei requisiti di autenticazione di Microsoft Graph Security. Questo consenso richiede l'ID applicazione e il nome del connettore di Microsoft Graph Security, che è anche possibile trovare nel portale di Azure:
Proprietà valore Nome dell'applicazione MicrosoftGraphSecurityConnectorID applicazione c4829704-0edc-4c3d-a347-7c4a67586f3cPer concedere il consenso per il connettore, l'amministratore tenant di Microsoft Entra può seguire questa procedura:
Concedere il consenso dell'amministratore tenant per le applicazioni Microsoft Entra.
Durante la prima esecuzione dell'app per la logica, l'app può richiedere il consenso all'amministratore tenant di Microsoft Entra tramite l'esperienza di consenso dell'applicazione.
Conoscenza di base di come creare le app per la logica
L'app per la logica in cui si vuole accedere alle entità di Microsoft Graph Security, ad esempio gli avvisi. Per usare un trigger di Microsoft Graph Security, è necessaria un'app per la logica vuota. Per usare un'azione di Microsoft Graph Security, è necessaria un'app per la logica che inizia con il trigger appropriato per lo scenario.
Connettersi a Microsoft Graph Security
Quando si aggiunge un trigger o un'azione che si connette a un servizio o a un sistema e non si dispone di una connessione esistente o attiva, App per la logica di Azure richiede di fornire le informazioni di connessione, che variano in base al tipo di connessione, ad esempio:
- Credenziali dell'account
- Un nome da usare per la connessione
- Il nome del server o del sistema
- Tipo di autenticazione da usare
- Una stringa di connessione
Accedere al portale di Azure e aprire l'app per la logica in Progettazione app per la logica, se non è già aperta.
Per le app per la logica vuote, aggiungere il trigger e tutte le altre azioni desiderate prima di aggiungere un'azione di Microsoft Graph Security.
oppure
Per le app per la logica esistenti, nell'ultimo passaggio in cui si vuole aggiungere un'azione microsoft Graph Security selezionare Nuovo passaggio.
oppure
Per aggiungere un'azione tra i passaggi, spostare il puntatore del mouse sulla freccia tra i passaggi. Selezionare il segno più (+) visualizzato e selezionare Aggiungi un'azione.
Nella casella di ricerca immettere "microsoft graph security" come filtro. Nell'elenco delle azioni, scegliere l'azione desiderata.
Accedere con le credenziali di Microsoft Graph Security.
Specificare i dettagli necessari per l'azione selezionata e continuare a creare il flusso di lavoro dell'app per la logica.
Aggiungi trigger
In App per la logica di Azure, ogni app per la logica deve essere avviata con un trigger, che viene attivato quando si verifica un determinato evento o quando viene soddisfatta una condizione specifica. Ogni volta che il trigger viene attivato, il motore di App per la logica crea un'istanza dell'app per la logica e avvia l'esecuzione del flusso di lavoro dell'app.
Nota
Quando viene attivato un trigger, il trigger elabora tutti i nuovi avvisi. Se non vengono ricevuti avvisi, l'esecuzione del trigger viene ignorata. Il polling successivo si baserà sull'intervallo di ricorrenza specificato nelle proprietà del trigger.
Questo esempio mostra come avviare un flusso di lavoro dell'app per la logica quando vengono inviati nuovi avvisi all'app.
Nel portale di Azure creare un'app per la logica vuota, che apre la Progettazione app per la logica. Questo esempio usa il portale di Azure.
Nella casella di ricerca della finestra di progettazione immettere "microsoft graph security" come filtro. Nell'elenco dei trigger selezionare questo trigger: In tutti i nuovi avvisi
Nel trigger specificare informazioni sugli avvisi da monitorare. Per altre proprietà, aprire l'elenco Aggiungi nuovo parametro e selezionare un parametro per aggiungere tale proprietà al trigger.
| Proprietà | Proprietà (JSON) | Richiesto | Type | Descrizione |
|---|---|---|---|---|
| Intervallo | interval |
Sì | Intero | Numero intero positivo che indica l'intervallo con cui viene eseguito il flusso di lavoro in base alla frequenza. Di seguito sono riportati gli intervalli minimo e massimo: - Mese: 1-16 mesi Ad esempio, se l'intervallo è 6 e la frequenza è "Mese", la ricorrenza è ogni 6 mesi. |
| Frequenza | frequency |
Sì | String | L'unità di tempo per la ricorrenza: Secondo, Minuto, Ora, Giorno, Settimana o Mese |
| Fuso orario | timeZone |
No | String | Valido solo quando si specifica un'ora di inizio, perché il trigger non accetta la differenza dall'ora UTC. Selezionare il fuso orario che si desidera applicare. |
| Ora di inizio | startTime |
No | String | Specificare una data e un'ora di inizio in questo formato: AAAA-MM-GGThh:mm:ss se si seleziona un fuso orario -o- AAAA-MM-GGThh:mm:ssZ se non si seleziona un fuso orario Ad esempio, se si desidera che il 18 settembre 2017 alle 2:00, specificare "2017-09-18T14:00:00" e selezionare un fuso orario, ad esempio l'ora solare del Pacifico. In alternativa, specificare "2017-09-18T14:00:00Z" senza un fuso orario. Nota: questa ora di inizio ha un massimo di 49 anni in futuro e deve seguire la specifica dell'ora di data ISO 8601 in formato ora UTC, ma senza un offset UTC. Se non si seleziona un fuso orario, è necessario aggiungere la lettera "Z" alla fine, senza spazi. La lettera "Z" fa riferimento all'ora nautica equivalente. Per le pianificazioni semplici, l'ora di inizio è la prima occorrenza, mentre per le pianificazioni complesse il trigger non viene attivato prima dell'ora di inizio. In quali modi posso usare la data e l'ora di inizio? |
Al termine, nella barra degli strumenti di progettazione, seleziona Salva.
Continuare ad aggiungere una o più azioni all'app per la logica per le attività da eseguire con i risultati del trigger.
Aggiunta di azioni
Di seguito sono riportate informazioni più dettagliate sull'uso delle varie azioni disponibili con il connettore di Microsoft Graph Security.
Gestire gli avvisi
Per filtrare, ordinare oppure ottenere i risultati più recenti, fornire solo i parametri di query ODATA supportati da Microsoft Graph.
Non specificare l'URL di base completo o l'azione HTTP, ad esempio https://graph.microsoft.com/v1.0/security/alerts o l'operazione GET o PATCH. Ecco un esempio specifico che illustra i parametri per un'azione Ottieni avvisi quando si vuole un elenco degli avvisi con gravità alta:
Filter alerts value as Severity eq 'high'
Per altre informazioni sulle query che è possibile usare con questo connettore, vedere la documentazione di riferimento sugli avvisi di Microsoft Graph Security. Per creare esperienze ottimizzate con questo connettore, consultare altre informazioni sugli avvisi delle proprietà dello schema supportati dal connettore.
| Azione | Descrizione |
|---|---|
| Ottieni avvisi | Ottenere avvisi filtrati in base a una o più proprietà di avviso, Provider eq 'Azure Security Center' or 'Palo Alto Networks'ad esempio . |
| Get alert by ID (Ottieni avviso in base all'ID) | Ottenere un avviso specifico in base all'ID dell'avviso. |
| Aggiorna avviso | Aggiornare un avviso specifico in base all'ID dell'avviso. Per assicurarsi di passare le proprietà obbligatorie e modificabili nella richiesta, vedere le proprietà modificabili per gli avvisi. Ad esempio, per assegnare un avviso a un analista della sicurezza in modo che possa svolgere indagini, è possibile aggiornare la proprietà Assegnato a dell'avviso. |
Gestire le sottoscrizioni per gli avvisi
Microsoft Graph supporta le sottoscrizioni, o webhook. Per ottenere, aggiornare o eliminare le sottoscrizioni, fornire i parametri di query ODATA supportati da Microsoft Graph al costrutto dell'entità di Microsoft Graph e includere security/alerts seguito dalla query ODATA.
Non includere l'URL di base, ad esempio https://graph.microsoft.com/v1.0. Usare il formato illustrato in questo esempio:
security/alerts?$filter=status eq 'NewAlert'
| Azione | Descrizione |
|---|---|
| Crea sottoscrizioni | Creare una sottoscrizione per ricevere notifiche in caso di modifiche. È possibile filtrare la sottoscrizione in base agli specifici tipi di avviso a cui si è interessati. È ad esempio creare una sottoscrizione che invia una notifica in caso di avvisi con gravità alta. |
| Get active subscriptions (Ottieni sottoscrizioni attive) | Ottenere le sottoscrizioni non scadute. |
| Aggiorna sottoscrizione |
Aggiornare una sottoscrizione specificando l'ID sottoscrizione. Ad esempio, per estendere la sottoscrizione, è possibile aggiornare la proprietà expirationDateTime della sottoscrizione. |
| Elimina sottoscrizione | Eliminare una sottoscrizione specificando l'ID sottoscrizione. |
Gestire gli indicatori di intelligence per le minacce
Per filtrare, ordinare oppure ottenere i risultati più recenti, fornire solo i parametri di query ODATA supportati da Microsoft Graph.
Non specificare l'URL di base completo o l'azione HTTP, ad esempio https://graph.microsoft.com/beta/security/tiIndicators o l'operazione GET o PATCH. Ecco un esempio specifico che mostra i parametri per un'azione Get tiIndicators quando si vuole un elenco con il DDoS tipo di minaccia:
Filter threat intelligence indicator value as threatType eq 'DDoS'
Per altre informazioni sulle query che è possibile usare con questo connettore, vedere "Parametri di query facoltativi" nella documentazione di riferimento sull'indicatore di intelligence per le minacce di Microsoft Graph Security. Per creare esperienze avanzate con questo connettore, vedere altre informazioni sull'indicatore di intelligence sulle minacce delle proprietà dello schema supportato dal connettore.
| Azione | Descrizione |
|---|---|
| Ottenere indicatori di intelligence sulle minacce | Ottenere i tiIndicator filtrati in base a una o più proprietà tiIndicator, ad esempio threatType eq 'MaliciousUrl' or 'DDoS' |
| Ottenere l'indicatore di intelligence per le minacce in base all'ID | Ottenere un tiIndicator specifico in base all'ID tiIndicator. |
| Creare un indicatore di intelligence per le minacce | Creare un nuovo tiIndicator pubblicando nella raccolta tiIndicators. Per assicurarsi di passare le proprietà necessarie nella richiesta, fare riferimento alle proprietà necessarie per la creazione di tiIndicator. |
| Inviare più indicatori di intelligence sulle minacce | Creare più nuovi tiIndicator pubblicando una raccolta tiIndicators. Per assicurarsi di passare le proprietà necessarie nella richiesta, fare riferimento alle proprietà necessarie per l'invio di più tiIndicator. |
| Aggiornare l'indicatore di intelligence per le minacce | Aggiornare un tiIndicator specifico in base all'ID tiIndicator. Per assicurarsi di passare le proprietà necessarie e modificabili nella richiesta, vedere le proprietà modificabili per tiIndicator. Ad esempio, per aggiornare l'azione da applicare se l'indicatore viene confrontato dall'interno dello strumento di sicurezza targetProduct, è possibile aggiornare la proprietà azione di tiIndicator. |
| Aggiornare più indicatori di intelligence per le minacce | Aggiornare più tiIndicator. Per assicurarsi di passare le proprietà necessarie nella richiesta, fare riferimento alle proprietà necessarie per l'aggiornamento di più tiIndicator. |
| Eliminare l'indicatore di Intelligence per le minacce in base all'ID | Eliminare un tiIndicator specifico in base all'ID tiIndicator. |
| Eliminare più indicatori di intelligence per le minacce in base agli ID | Eliminare più tiIndicator in base ai relativi ID. Per assicurarsi di passare le proprietà necessarie nella richiesta, fare riferimento alle proprietà necessarie per eliminare più tiIndicator per ID. |
| Eliminare più indicatori di intelligence per le minacce da ID esterni | Eliminare più tiIndicator in base agli ID esterni. Per assicurarsi di passare le proprietà necessarie nella richiesta, fare riferimento alle proprietà necessarie per eliminare più tiIndicator da ID esterni. |
Informazioni di riferimento sui connettori
Per informazioni tecniche su trigger, azioni e limiti, illustrati dalla descrizione OpenAPI (in precedenza Swagger) del connettore, esaminare la pagina di riferimento del connettore.