Logic Apps는 비즈니스 프로세스를 워크플로로 자동화할 수 있는 클라우드 기반 플랫폼입니다. Microsoft Azure 논리 앱 리소스를 만들고 배포한 다음 워크플로 디자이너를 사용하여 필요한 순서대로 미리 빌드된 커넥터를 정렬합니다.
Logic Apps가 Microsoft Security Copilot 통합되면 자동화 기능을 보안 작업으로 확장하여 조사를 트리거하고 플레이북을 실행하며 Security Copilot 직접 인시던트에 쉽게 대응할 수 있습니다.
프롬프트 및 프롬프트북과 같은 Security Copilot 기능은 Logic Apps의 Security Copilot 커넥터를 통해 인바운드 방식으로 사용할 수 있습니다. Security Copilot 외부 서비스에서 프롬프트를 제출할 수 있습니다. 이 향상된 기능을 통해 이제 논리 앱 워크플로를 호출 가능한 도구(기술) 또는 기능으로 가져올 수 있습니다. 워크플로를 정의하고 기술 세트 매니페스트를 생성한 후 이러한 논리 앱 기반 도구는 Security Copilot 프롬프트, 프롬프트북 또는 에이전트 내에서 호출할 수 있습니다.
이 문서에서는 프롬프트를 사용하여 Security Copilot 아웃바운드 논리 앱 워크플로를 호출하는 방법을 설명합니다.
시나리오
몇 가지 아웃바운드 논리 앱 시나리오는 다음과 같습니다.
Security Copilot 프롬프트를 사용하여 Sentinel/Jira/ServiceNow 인시던트 만들기
위험한 사용자를 분석하고 보고하는 프롬프트북 을 만든 다음 확인 시 다음 두 가지 옵션으로 이메일을 보냅니다.
Microsoft Sentinel 관심 목록에 사용자를 추가하거나
고유한 조건에 따라 다양한 논리를 사용하여 Microsoft Entra 업데이트합니다.
용어
| 용어 | 설명 |
|---|---|
| 작업 | 작업은 워크플로에서 특정 작업을 실행하는 작업입니다. 트리거가 활성화되거나 다른 작업이 완료된 후 작업이 실행됩니다. |
| 트리거 | 트리거는 특정 조건이 충족되면 발생하는 이벤트입니다. 조건이 충족되면 트리거가 자동으로 활성화됩니다. 예를 들어 타이머가 만료되거나 데이터를 사용할 수 있게 되는 경우입니다. |
| 워크플로 | 작업, 비즈니스 프로세스 또는 워크로드를 정의하는 일련의 작업입니다. 각 워크플로는 항상 단일 트리거 작업으로 시작되며, 그 후에는 하나 이상의 작업 작업을 추가해야 합니다. |
필수 구성 요소
Security Copilot 사용하는 테넌트는 논리 앱이 있는 테넌트와 동일해야 하며 액세스 권한이 있어야 합니다. 그렇지 않으면 Security Copilot 논리 앱을 호출할 수 없습니다.
Security Copilot 대한 프로비전된 SCU입니다.
논리 앱 워크플로를 호출하는 단계
이 빠른 시작 자습서에서는 Security Copilot 사용하여 논리 앱 워크플로를 트리거하는 방법을 보여 줍니다. JSON 요청 본문에서 단일 GroupId 인수를 사용하고 기본 제공 AAD 커넥터를 사용하여 해당 그룹의 속성을 나열하는 HTTP 요청 트리거가 있는 논리 앱을 만듭니다.
1단계: 논리 앱 워크플로 만들기
Azure Portal 이동하여 새 Logic App 리소스를 만듭니다. 소비 계획 및 리소스 및 샘플 만들기에 대한 자세한 내용은 Logic Apps를 참조하세요.
새로 만든 Logic App 리소스로 이동하여 Logic App 디자이너를 열고 워크플로를 만듭니다.
HTTP 요청 트리거를 추가합니다.
기술 입력은 HTTP 요청 본문의 최상위 필드로 전달됩니다. 이 기술은 라는
GroupId입력을 허용합니다.Request Body JSON Schema다음과 같이 트리거에 대해 를 설정합니다.{ "properties": { "GroupId": { "type": "string" } }, "type": "object" }
참고
현재 HTTP 요청 트리거를 사용하려면 모든 Security Copilot Logic App 기술이 필요합니다. 또한 더 쉽게 사용할 수 있고 논리 앱을 Security Copilot 기술로 자동으로 등록하는 Logic Apps에 대한 새로운 Security Copilot 트리거를 사용하고 있습니다.
작업을 추가합니다
Get Group Properties.
작업은
Get Group Properties그룹의 를AAD Object Id매개 변수로 사용합니다. 트리거 단계의 변수로GroupId설정합니다.
워크플로를 저장합니다. 완료된 워크플로는 이와 유사해야 합니다.
2단계: 기술 세트 매니페스트 만들기
새 기술 세트 매니페스트 파일을 skillset.yaml 만들고 1단계에 정의된 논리 앱에 대해 Settings 다음 매개 변수를 지정합니다.
SubscriptionId,ResourceGroup,WorkflowName,TriggerName
매니페스트를 구성하기 위한 두 가지 옵션 중 하나를 선택할 수 있습니다.
옵션 1: 사용자가 , ,
ResourceGroup,WorkflowNameTriggerName등의SubscriptionId설정에 대한 구성 값을 제공할 수 있습니다.Settings매니페스트의 섹션에Descriptor를 추가하고 섹션에서 변수로 참조합니다Skills. 업로드 후 플랫폼에서 값을 제공할 수 있습니다.옵션 2: 매니페스트 자체에서 값이 구성된 작업 영역의 사용자에 대해 이러한 구성을 하드 코딩할 수 있습니다.
옵션 1: Descriptor 수준
Descriptor:
Name: SampleLogicApp
DisplayName: My Sample Logic App Skillset
Description: Skills to query AAD group properties
Settings:
- Name: SubscriptionId
Label: SubscriptionId
Description: Subscription Id
HintText: The subscription Id
SettingType: String
Required: true
- Name: ResourceGroup
Label: ResourceGroup
Description: Resource group
HintText: The resource group
SettingType: String
Required: true
- Name: WorkflowName
Label: WorkflowName
Description: Workflow Name
HintText: The workflow name
SettingType: String
Required: true
- Name: TriggerName
Label: TriggerName
Description: Trigger Name
HintText: The Trigger name
SettingType: String
Required: true
SkillGroups:
- Format: LogicApp
Skills:
- Name: GetAadGroupProperties
DisplayName: Get AAD Group Properties
Description: Queries properties of an AAD group by its ObjectId
Inputs:
- Name: GroupId
Description: AAD ObjectId of the group to query
Required: true
Settings:
SubscriptionId: "{{SubscriptionId}}"
ResourceGroup: "{{ResourceGroup}}"
WorkflowName: "{{WorkflowName}}"
TriggerName: "{{TriggerName}}"
옵션 2: Skill 수준
Descriptor:
Name: SampleLogicApp
DisplayName: My Sample Logic App Skillset
Description: Skills to query AAD group properties
SkillGroups:
- Format: LogicApp
Skills:
- Name: GetAadGroupProperties
DisplayName: Get AAD Group Properties
Description: Queries properties of an AAD group by its ObjectId
Inputs:
- Name: GroupId
Description: AAD ObjectId of the group to query
Required: true
Settings:
SubscriptionId: a5testabc-89df-460e-8cd7-abcdefg
ResourceGroup: sample-logic-app-skill-rg
WorkflowName: sample-logic-app-skill
TriggerName: testTrigger
3단계: 기술 세트 매니페스트 업로드
업로드 지침에 따라 매니페스트를 플러그 인으로 업로드하여 Security Copilot.
2단계의 Descriptor 수준에서 설정을 지정한 경우 업로드하고 저장한 후 설정 값을 제공해야 합니다. 이러한 설정 값은 언제든지 편집할 수 있으며 매니페스트에서 지정한 위치마다 사용됩니다.
4단계: 프롬프트를 통해 논리 앱 기능 테스트
Microsoft Azure groupId 가져오기: 논리 앱 플러그 인을 테스트하려면 이 groupId필요합니다.
Azure 포털에서 Microsoft Entra ID 검색합니다.
그룹 관리 > 로 이동합니다. 입력의
Object Id로groupId사용할 을 선택합니다.
기술 선택:
Security Copilot 프롬프트 표시줄로 이동합니다.
기술 이름 또는 기술 표시 이름을 입력하여 기술을 호출합니다. 여기서는
GetAadGroupPropertiesSkills.NameYAML 또는Get AAD Group Properties의 인 입니다Skills.DisplayName.
2단계에서 옵션 1(설명자 수준)을 사용하여 매니페스트를 구성한 경우 설정을 제공해야 합니다.
Logic Apps로 이동하여 다음의 값을 가져옵니다.
-
SubscriptionId개요 페이지의 및ResourceGroup세부 정보 -
WorkflowName는 논리 앱 워크플로입니다. -
TriggerName가 입니다.testTrigger
-
필요한 기술 입력 매개 변수를 채웁다. 여기서 을 입력합니다
groupId."AAD 그룹의
groupId속성을 공유할 수 있나요?"라는 프롬프트를 사용해 볼 수 있습니다.다음 이미지는 Logic App 워크플로가 트리거될 때 프롬프트 실행의 결과를 보여 줍니다. 입력
groupId의 경우 Entra에서 ,Name및Mail의 세 가지 속성이 검색되었습니다GroupId.
Azure 포털에서 보기를 선택하여 Azure 워크플로를 확인합니다.
필요에 따라 프롬프트북을 통해 기능을 테스트할 수도 있습니다.
Sentinel 인시던트를 만들기 위한 샘플 YAML
다음은 프롬프트를 사용하여 Microsoft Sentinel 인시던트를 만드는 YAML 예제입니다. 프롬프트가 실행되면 Logic App 워크플로가 호출됩니다.
팁
매니페스트에 설명을 제공할 때 설명합니다.