Condividi tramite

plug-in app per la logica Azure in Microsoft Security Copilot

App per la logica è una piattaforma basata sul cloud che consente di automatizzare i processi aziendali come flussi di lavoro. Creare e distribuire una risorsa app per la logica in Microsoft Azure, quindi usare progettazione flussi di lavoro per disporre i connettori predefiniti nella sequenza necessaria.

Quando App per la logica è integrata con Microsoft Security Copilot, è possibile estendere le funzionalità di automazione alle operazioni di sicurezza, semplificando l'avvio di indagini, l'esecuzione di playbook e la risposta agli eventi imprevisti direttamente da Security Copilot.

Security Copilot funzionalità, ad esempio prompt e promptbook, possono essere usate tramite il connettore Security Copilot in App per la logica in modo associato. È possibile inviare richieste da servizi esterni Security Copilot. Con questo miglioramento, è ora possibile portare i flussi di lavoro dell'app per la logica come strumenti (competenze) o funzionalità richiamabili. Dopo aver definito il flusso di lavoro e aver generato il manifesto del set di competenze, questi strumenti basati su app per la logica possono essere richiamati da Security Copilot prompt, promptbook o agenti.

Questo documento illustra come richiamare un flusso di lavoro dell'app per la logica in uscita da Security Copilot usando un prompt.

Scenari

Di seguito sono riportati alcuni scenari di app per la logica in uscita:

  • Creare un evento imprevisto Sentinel/Jira/ServiceNow usando la richiesta in Security Copilot.

  • Creare un promptbook che analizzi un utente rischioso, ne riporti i report e quindi al momento della conferma invia un messaggio di posta elettronica con due opzioni:

    • Aggiungere l'utente all'elenco di controllo in Microsoft Sentinel o

    • Aggiornare Microsoft Entra usando una vasta gamma di logica diversa, in base alle condizioni univoche.

Terminologia

Termine Descrizione
Azione Un'azione è un'operazione che esegue un'attività specifica nel flusso di lavoro. Le azioni vengono eseguite dopo l'attivazione di un trigger o il completamento di un'altra azione.
Attivazione Un trigger è un evento che si verifica quando viene soddisfatta una condizione specifica. I trigger vengono attivati automaticamente quando viene soddisfatta una condizione. Ad esempio, quando un timer scade o i dati diventano disponibili.
Flusso di lavoro Una serie di operazioni che definiscono un'attività, un processo aziendale o un carico di lavoro. Ogni flusso di lavoro inizia sempre con una singola operazione di trigger, dopo la quale è necessario aggiungere una o più operazioni di azione.

Prerequisiti

  1. Il tenant usato per Security Copilot deve essere lo stesso tenant in cui si trova l'app per la logica ed è necessario accedervi. In caso contrario, non è possibile richiamare l'app per la logica da Security Copilot.

  2. SKU di cui è stato effettuato il provisioning per Security Copilot.

Passaggi per richiamare un flusso di lavoro dell'app per la logica

Questa esercitazione introduttiva illustra come attivare un flusso di lavoro dell'app per la logica usando Security Copilot. Si crea un'app per la logica con un trigger di richiesta HTTP, che accetta un singolo GroupId argomento nel corpo della richiesta JSON e usa il connettore AAD predefinito per elencare le proprietà di tale gruppo.

Passaggio 1: Creare il flusso di lavoro dell'app per la logica

  1. Passare alla portale di Azure e creare una nuova risorsa app per la logica. Per informazioni dettagliate sul piano a consumo e sulla creazione di una risorsa ed esempi, vedere App per la logica.

  2. Passare alla risorsa app per la logica appena creata, aprire la finestra di progettazione dell'app per la logica e creare il flusso di lavoro.

  • Aggiungere un trigger di richiesta HTTP.

    Immagine per mostrare l'aggiunta di un trigger di richiesta nella schermata della finestra di progettazione

  • Gli input di competenza vengono passati come campi di primo livello del corpo della richiesta HTTP. Questa competenza accetta un input denominato GroupId.

  • Impostare per Request Body JSON Schema il trigger come indicato di seguito:

    
    {
      "properties": {
        "GroupId": {
          "type": "string"
        }
      },
      "type": "object"
    }

    Immagine per mostrare l'aggiunta del payload JSON della richiesta

    Nota

    Attualmente, tutte le competenze Security Copilot app per la logica sono necessarie per usare un trigger di richiesta HTTP. Stiamo anche lavorando a un nuovo trigger di Security Copilot per app per la logica che sarà ancora più facile da usare e registrerà automaticamente l'app per la logica come competenza in Security Copilot.

  1. Aggiungere un'azione Get Group Properties .

    Immagine per mostrare l'aggiunta di un'azione

  2. L'azione Get Group Properties accetta un AAD Object Id oggetto di un gruppo come parametro. Impostare che sia la GroupId variabile del passaggio del trigger.

    Immagine per mostrare l'aggiunta di un ID oggetto da Entra

    Immagine per mostrare l'aggiunta di un parametro di input groupId

  3. Salvare il flusso di lavoro. Il flusso di lavoro completato deve essere simile a questo.

    Immagine per mostrare il flusso di lavoro dell'app per la logica completato

Passaggio 2: Creare il manifesto del set di competenze

Creare un nuovo file skillset.yaml manifesto del set di competenze e specificare i parametri seguenti per l'app per Settings la logica definita nel passaggio 1:

SubscriptionId,ResourceGroup,WorkflowName,TriggerName

È possibile scegliere una delle due opzioni per configurare il manifesto:

  • Opzione 1: è possibile abilitare gli utenti per fornire i valori di configurazione per impostazioni come SubscriptionId, , ResourceGroupWorkflowName, , TriggerName. Settings Aggiungere nella Descriptor sezione del manifesto e farvi riferimento come variabili nella Skills sezione . È possibile fornire valori nella piattaforma dopo il caricamento.

  • Opzione 2: è possibile hardcoded queste configurazioni per gli utenti nell'area di lavoro, in cui i valori sono configurati nel manifesto stesso.

Opzione 1: Descriptor livello

  
  Descriptor:
    Name: SampleLogicApp
    DisplayName: My Sample Logic App Skillset
    Description: Skills to query AAD group properties
    Settings:
      - Name: SubscriptionId
        Label: SubscriptionId
        Description: Subscription Id
        HintText: The subscription Id 
        SettingType: String
        Required: true
  
      - Name: ResourceGroup
        Label: ResourceGroup
        Description: Resource group 
        HintText: The resource group 
        SettingType: String
        Required: true
  
      - Name: WorkflowName
        Label: WorkflowName
        Description: Workflow Name 
        HintText: The workflow name 
        SettingType: String
        Required: true
  
      - Name: TriggerName
        Label: TriggerName
        Description: Trigger Name
        HintText: The Trigger name 
        SettingType: String
        Required: true
  
  SkillGroups:
    - Format: LogicApp
      Skills:
        - Name: GetAadGroupProperties
          DisplayName: Get AAD Group Properties
          Description: Queries properties of an AAD group by its ObjectId
          Inputs:
            - Name: GroupId
              Description: AAD ObjectId of the group to query
              Required: true
          Settings:
            SubscriptionId: "{{SubscriptionId}}"
            ResourceGroup: "{{ResourceGroup}}"
            WorkflowName: "{{WorkflowName}}"
            TriggerName: "{{TriggerName}}"

Opzione 2: Skill livello

  
  Descriptor:
    Name: SampleLogicApp
    DisplayName: My Sample Logic App Skillset
    Description: Skills to query AAD group properties
  
  SkillGroups:
    - Format: LogicApp
      Skills:
        - Name: GetAadGroupProperties
          DisplayName: Get AAD Group Properties
          Description: Queries properties of an AAD group by its ObjectId
          Inputs:
            - Name: GroupId
              Description: AAD ObjectId of the group to query
              Required: true
          Settings:
            SubscriptionId: a5testabc-89df-460e-8cd7-abcdefg
            ResourceGroup: sample-logic-app-skill-rg
            WorkflowName: sample-logic-app-skill
            TriggerName: testTrigger

Passaggio 3: Caricare il manifesto del set di competenze

Seguire le istruzioni di caricamento per caricare il manifesto come plug-in per Security Copilot.

Se sono state specificate impostazioni al Descriptor livello nel passaggio 2, è necessario specificare i valori delle impostazioni dopo il caricamento e il salvataggio. È possibile modificare questi valori di impostazione in qualsiasi momento e verranno usati ovunque siano stati specificati nel manifesto.

Passaggio 4: Testare la funzionalità dell'app per la logica tramite un prompt

Ottenere groupId da Microsoft Azure: per testare il plug-in app per la logica, è necessario groupId.

  • Nel portale di Azure cercare Microsoft Entra ID.

  • Passare a Gestisci > gruppi. Selezionare un oggetto Object Id da usare come per groupId l'input.

Selezionare la competenza:

  • In Security Copilot passare alla barra dei prompt.

  • Digitare il nome della competenza o il nome visualizzato della competenza per richiamare la competenza. In questo caso, è GetAadGroupProperties, che è l'oggetto Skills.Name da YAML o , Get AAD Group Propertiesche è l'oggetto Skills.DisplayName.

    Immagine che mostra come richiamare la competenza

  • Se il manifesto è stato configurato usando l'opzione 1 (livello descrittore) nel passaggio 2, è necessario specificare le impostazioni.

  • Passare ad App per la logica per ottenere i valori per:

    • SubscriptionIde ResourceGroup dettagli dalla pagina Panoramica
    • WorkflowName è il flusso di lavoro dell'app per la logica
    • TriggerName è testTrigger

  • Popolare i parametri di input della competenza necessari. Immettere qui l'oggetto groupId.

  • È possibile provare la richiesta "È possibile condividere le proprietà del gruppo groupIdAAD?".

    L'immagine seguente mostra i risultati dell'esecuzione di una richiesta quando viene attivato un flusso di lavoro dell'app per la logica. Per l'input groupIdsono state recuperate tre proprietà: GroupId, Namee Mail da Entra.

    Immagine per mostrare i risultati dell'esecuzione di un prompt

  • Selezionare Visualizza nel portale di Azure per visualizzare il flusso di lavoro in Azure.

  • Facoltativamente, è possibile testare la funzionalità anche tramite un promptbook.

Esempio di YAML per la creazione di un evento imprevisto in Sentinel

Di seguito è riportato un esempio YAML per la creazione di un evento imprevisto in Microsoft Sentinel tramite il prompt. Quando viene eseguita la richiesta, viene richiamato il flusso di lavoro dell'app per la logica.

Immagine per mostrare la creazione di YAML dell'evento imprevisto

Consiglio

Essere descrittivo quando si specifica la descrizione nel manifesto.

  • Last updated on