Deze browser wordt niet meer ondersteund.
Upgrade naar Microsoft Edge om te profiteren van de nieuwste functies, beveiligingsupdates en technische ondersteuning.
Van toepassing op: Azure Logic Apps (verbruik)
Met Azure Logic Apps en de Microsoft Graph Security-connector kunt u verbeteren hoe uw app bedreigingen detecteert, beveiligt en reageert door geautomatiseerde werkstromen te maken voor het integreren van Microsoft-beveiligingsproducten, -services en -partners. U kunt bijvoorbeeld Microsoft Defender voor Cloud playbooks maken die Microsoft Graph Security-entiteiten bewaken en beheren, zoals waarschuwingen. Hier volgen enkele scenario's die worden ondersteund door de Microsoft Graph Security-connector:
Ontvang waarschuwingen op basis van query's of op waarschuwings-id. U kunt bijvoorbeeld een lijst met waarschuwingen met hoge ernst ophalen.
Waarschuwingen bijwerken. U kunt bijvoorbeeld waarschuwingstoewijzingen bijwerken, opmerkingen toevoegen aan waarschuwingen of waarschuwingen taggen.
Controleren wanneer waarschuwingen worden gemaakt of gewijzigd door waarschuwingsabonnementen (webhooks) te maken.
Beheer uw waarschuwingsabonnementen. U kunt bijvoorbeeld actieve abonnementen krijgen, de verlooptijd voor een abonnement verlengen of abonnementen verwijderen.
De werkstroom van uw logische app kan acties gebruiken die antwoorden krijgen van de Microsoft Graph Security-connector en die uitvoer beschikbaar maken voor andere acties in uw werkstroom. U kunt ook andere acties in uw werkstroom uitvoeren met behulp van de uitvoer van de Microsoft Graph Security-connectoracties. Als u bijvoorbeeld waarschuwingen met hoge urgentie krijgt via de Microsoft Graph Security-connector, kunt u deze waarschuwingen verzenden in een e-mailbericht met behulp van de Outlook-connector.
Zie het overzicht van Microsoft Graph beveiligings-API voor meer informatie over Microsoft Graph Security. Als u geen toegang hebt tot logische apps, bekijkt u Wat is Azure Logic Apps?. Als u op zoek bent naar Power Automate of Power Apps, raadpleegt u Wat is Power Automate? of Wat is Power Apps?
Een Azure-account en -abonnement. Als u nog geen abonnement op Azure hebt, registreer u dan nu voor een gratis Azure-account.
Als u de Microsoft Graph Security-connector wilt gebruiken, moet u expliciet microsoft Entra-tenantbeheerderstoestemming hebben gegeven . Dit maakt deel uit van de microsoft Graph Security Authentication-vereisten. Voor deze toestemming is de toepassings-id en naam van de Microsoft Graph Security-connector vereist, die u ook kunt vinden in Azure Portal:
| Eigenschappen | Weergegeven als |
|---|---|
| Toepassingsnaam | MicrosoftGraphSecurityConnector |
| Toepassings-id | c4829704-0edc-4c3d-a347-7c4a67586f3c |
Als u toestemming wilt verlenen voor de connector, kan uw Microsoft Entra-tenantbeheerder deze stappen volgen:
Ververleent tenantbeheerders toestemming voor Microsoft Entra-toepassingen.
Tijdens de eerste uitvoering van uw logische app kan uw app toestemming vragen van uw Microsoft Entra-tenantbeheerder via de ervaring voor toepassingstoestemming.
Basiskennis over het maken van logische apps
De logische app waar u toegang wilt krijgen tot uw Microsoft Graph Security-entiteiten, zoals waarschuwingen. Als u een Microsoft Graph Security-trigger wilt gebruiken, hebt u een lege logische app nodig. Als u een Microsoft Graph-beveiligingsactie wilt gebruiken, hebt u een logische app nodig die begint met de juiste trigger voor uw scenario.
Wanneer u een trigger of actie toevoegt die verbinding maakt met een service of systeem en u geen bestaande of actieve verbinding hebt, wordt u door Azure Logic Apps gevraagd om de verbindingsgegevens op te geven, die variëren op basis van het verbindingstype, bijvoorbeeld:
Meld u aan bij Azure Portal en open uw logische app in Logic App Designer, als deze nog niet is geopend.
Voor lege logische apps voegt u de trigger en eventuele andere acties toe die u wilt uitvoeren voordat u een Microsoft Graph Security-actie toevoegt.
– of –
Voor bestaande logische apps selecteert u onder de laatste stap waar u een Microsoft Graph Security-actie wilt toevoegen de optie Nieuwe stap.
– of –
Als u een actie tussen stappen wilt toevoegen, verplaatst u de aanwijzer over de pijl tussen stappen. Selecteer het plusteken (+) dat wordt weergegeven en selecteer Een actie toevoegen.
Voer in het zoekvak 'microsoft graph security' in als uw filter. Selecteer in de lijst met acties de gewenste actie.
Meld u aan met uw Microsoft Graph Security-referenties.
Geef de benodigde details op voor de geselecteerde actie en ga verder met het bouwen van de werkstroom van uw logische app.
In Azure Logic Apps moet elke logische app beginnen met een trigger, die wordt geactiveerd wanneer aan een specifieke gebeurtenis wordt voldaan of wanneer aan een specifieke voorwaarde wordt voldaan. Telkens wanneer de trigger wordt geactiveerd, maakt de Logic Apps-engine een exemplaar van een logische app en wordt de werkstroom van uw app uitgevoerd.
Notitie
Wanneer een trigger wordt geactiveerd, verwerkt de trigger alle nieuwe waarschuwingen. Als er geen waarschuwingen worden ontvangen, wordt de triggeruitvoering overgeslagen. De volgende trigger poll vindt plaats op basis van het terugkeerinterval dat u opgeeft in de eigenschappen van de trigger.
In dit voorbeeld ziet u hoe u een werkstroom voor een logische app kunt starten wanneer er nieuwe waarschuwingen naar uw app worden verzonden.
Maak in Azure Portal een lege logische app, waarmee de ontwerper van logische apps wordt geopend. In dit voorbeeld wordt Azure Portal gebruikt.
Voer in het zoekvak in het zoekvak 'microsoft graph security' in als uw filter. Selecteer deze trigger in de lijst met triggers: Bij alle nieuwe waarschuwingen
Geef in de trigger informatie op over de waarschuwingen die u wilt bewaken. Voor meer eigenschappen opent u de lijst Nieuwe parameters toevoegen en selecteert u een parameter om die eigenschap toe te voegen aan de trigger.
| Eigenschappen | Eigenschap (JSON) | Vereist | Type | Description |
|---|---|---|---|---|
| Interval | interval |
Ja | Geheel getal | Een positief geheel getal dat beschrijft hoe vaak de werkstroom wordt uitgevoerd op basis van de frequentie. Dit zijn de minimum- en maximumintervallen: - Maand: 1-16 maanden Als het interval bijvoorbeeld 6 is en de frequentie 'Maand' is, is het terugkeerpatroon om de 6 maanden. |
| Frequentie | frequency |
Ja | String | De tijdseenheid voor het terugkeerpatroon: Seconde, Minuut, Uur, Dag, Week of Maand |
| Tijdzone | timeZone |
Nee | String | Is alleen van toepassing wanneer u een begintijd opgeeft omdat deze trigger geen UTC-offset accepteert. Selecteer de tijdzone die u wilt toepassen. |
| Begintijd | startTime |
Nee | String | Geef een begindatum en -tijd op in deze notatie: JJJJ-MM-DDThh:mm:ss als u een tijdzone selecteert -of- JJJJ-MM-DDThh:mm:ssZ als u geen tijdzone selecteert Als u bijvoorbeeld 18 september 2017 om 18:00 uur wilt, geeft u '2017-09-18T14:00:00' op en selecteert u een tijdzone zoals Pacific Standard Time. Of geef '2017-09-18T14:00:00Z' op zonder een tijdzone. Opmerking: Deze begintijd heeft maximaal 49 jaar in de toekomst en moet de ISO 8601-datum/tijdspecificatie in UTC-datum/tijdnotatie volgen, maar zonder utc-offset. Als u geen tijdzone selecteert, moet u de letter Z aan het einde zonder spaties toevoegen. Deze "Z" verwijst naar de equivalente zeetijd. Voor eenvoudige planningen is de begintijd de eerste keer, terwijl de trigger voor complexe schema's niet eerder wordt geactiveerd dan de begintijd. Wat zijn de manieren waarop ik de begindatum en -tijd kan gebruiken? |
Als u klaar bent, selecteert u Opslaan op de werkbalk in de ontwerper.
Ga nu door met het toevoegen van een of meer acties aan uw logische app voor de taken die u wilt uitvoeren met de triggerresultaten.
Hier vindt u meer specifieke informatie over het gebruik van de verschillende acties die beschikbaar zijn met de Microsoft Graph Security-connector.
Als u de meest recente resultaten wilt filteren, sorteren of ophalen, geeft u alleen de ODATA-queryparameters op die worden ondersteund door Microsoft Graph.
Geef niet de volledige basis-URL of de HTTP-actie op https://graph.microsoft.com/v1.0/security/alerts, bijvoorbeeld of de GET of PATCH bewerking. Hier volgt een specifiek voorbeeld met de parameters voor een actie Waarschuwingen ophalen wanneer u een lijst met waarschuwingen met hoge urgentie wilt weergeven:
Filter alerts value as Severity eq 'high'
Zie de referentiedocumentatie voor Microsoft Graph Security-waarschuwingen voor meer informatie over de query's die u met deze connector kunt gebruiken. Als u verbeterde ervaringen met deze connector wilt bouwen, vindt u meer informatie over de schema-eigenschappenwaarschuwingen die door de connector worden ondersteund.
| Actie | Beschrijving |
|---|---|
| Waarschuwingen ophalen | Waarschuwingen ophalen die zijn gefilterd op basis van een of meer waarschuwingseigenschappen, bijvoorbeeld Provider eq 'Azure Security Center' or 'Palo Alto Networks'. |
| Waarschuwing ophalen op id | Een specifieke waarschuwing ophalen op basis van de waarschuwings-id. |
| Waarschuwing bijwerken | Werk een specifieke waarschuwing bij op basis van de waarschuwings-id. Zie de bewerkbare eigenschappen voor waarschuwingen om ervoor te zorgen dat u de vereiste en bewerkbare eigenschappen in uw aanvraag doorgeeft. Als u bijvoorbeeld een waarschuwing wilt toewijzen aan een beveiligingsanalist zodat deze kan onderzoeken, kunt u de eigenschap Toegewezen aan de waarschuwing bijwerken. |
Microsoft Graph ondersteunt abonnementen of webhooks. Als u abonnementen wilt ophalen, bijwerken of verwijderen, geeft u de ODATA-queryparameters op die door Microsoft Graph worden ondersteund in de Microsoft Graph-entiteitsconstructie en neemt u security/alerts deze op, gevolgd door de ODATA-query.
Neem bijvoorbeeld de basis-URL https://graph.microsoft.com/v1.0niet op. Gebruik in plaats daarvan de indeling in dit voorbeeld:
security/alerts?$filter=status eq 'NewAlert'
| Actie | Beschrijving |
|---|---|
| Abonnementen maken | Maak een abonnement dat u op de hoogte stelt van eventuele wijzigingen. U kunt dit abonnement filteren op de specifieke waarschuwingstypen die u wilt. U kunt bijvoorbeeld een abonnement maken dat u op de hoogte stelt van waarschuwingen met hoge ernst. |
| Actieve abonnementen ophalen | Niet-verlopen abonnementen ophalen. |
| Abonnement bijwerken |
Werk een abonnement bij door de abonnements-id op te geven. Als u bijvoorbeeld uw abonnement wilt verlengen, kunt u de eigenschap van expirationDateTime het abonnement bijwerken. |
| Abonnement verwijderen | Verwijder een abonnement door de abonnements-id op te geven. |
Als u de meest recente resultaten wilt filteren, sorteren of ophalen, geeft u alleen de ODATA-queryparameters op die worden ondersteund door Microsoft Graph.
Geef niet de volledige basis-URL of de HTTP-actie op https://graph.microsoft.com/beta/security/tiIndicators, bijvoorbeeld of de GET of PATCH bewerking. Hier volgt een specifiek voorbeeld waarin de parameters voor een get tiIndicators-actie worden weergegeven wanneer u een lijst wilt met het DDoS bedreigingstype:
Filter threat intelligence indicator value as threatType eq 'DDoS'
Zie 'Optionele queryparameters' in de referentiedocumentatie voor bedreigingsinformatie van Microsoft Graph Security voor meer informatie over de query's die u met deze connector kunt gebruiken. Als u verbeterde ervaringen met deze connector wilt bouwen, vindt u meer informatie over de bedreigingsinformatieindicator voor schema-eigenschappen die door de connector worden ondersteund.
| Actie | Beschrijving |
|---|---|
| Bedreigingsinformatieindicatoren ophalen | Get tiIndicators gefilterd op basis van een of meer tiIndicator-eigenschappen, bijvoorbeeld threatType eq 'MaliciousUrl' or 'DDoS' |
| Bedreigingsinformatieindicator ophalen op id | Een specifieke tiIndicator ophalen op basis van de tiIndicator-id. |
| Bedreigingsinformatieindicator maken | Maak een nieuwe tiIndicator door deze te posten in de verzameling tiIndicators. Raadpleeg de vereiste eigenschappen voor het maken van tiIndicator om ervoor te zorgen dat u de vereiste eigenschappen in uw aanvraag doorgeeft. |
| Meerdere bedreigingsinformatie-indicatoren verzenden | Maak meerdere nieuwe tiIndicators door een tiIndicators-verzameling te plaatsen. Als u ervoor wilt zorgen dat u de vereiste eigenschappen in uw aanvraag doorgeeft, raadpleegt u de vereiste eigenschappen voor het verzenden van meerdere tiIndicators. |
| Bedreigingsinformatieindicator bijwerken | Werk een specifieke tiIndicator bij op basis van de tiIndicator-id. Zie de bewerkbare eigenschappen voor tiIndicator om ervoor te zorgen dat u de vereiste en bewerkbare eigenschappen in uw aanvraag doorgeeft. Als u bijvoorbeeld de actie wilt bijwerken die moet worden toegepast als de indicator overeenkomt vanuit het targetProduct-beveiligingshulpprogramma, kunt u de actie-eigenschap van tiIndicator bijwerken. |
| Meerdere bedreigingsinformatie-indicatoren bijwerken | Werk meerdere tiIndicators bij. Raadpleeg de vereiste eigenschappen voor het bijwerken van meerdere tiIndicators om ervoor te zorgen dat u de vereiste eigenschappen in uw aanvraag doorgeeft. |
| Bedreigingsinformatie-indicator verwijderen op id | Een specifieke tiIndicator verwijderen op basis van de tiIndicator-id. |
| Meerdere bedreigingsinformatie-indicatoren verwijderen op id's | Verwijder meerdere tiIndicators op basis van hun id's. Als u ervoor wilt zorgen dat u de vereiste eigenschappen in uw aanvraag doorgeeft, raadpleegt u de vereiste eigenschappen voor het verwijderen van meerdere tiIndicators per id. |
| Meerdere bedreigingsinformatie-indicatoren verwijderen op externe id's | Verwijder meerdere tiIndicators door de externe id's. Als u ervoor wilt zorgen dat u de vereiste eigenschappen in uw aanvraag doorgeeft, raadpleegt u de vereiste eigenschappen voor het verwijderen van meerdere tiIndicators door externe id's. |
Raadpleeg de referentiepagina van de connector voor technische details over triggers, acties en limieten, die worden beschreven door de OpenAPI-beschrijving (voorheen Swagger) van de connector.
Training
Leertraject
Beveiligingsbewerkingen beheren in Azure - Training
Meer informatie over het configureren van beveiligingsbeleid en het beheren van beveiligingswaarschuwingen met de hulpprogramma's en services in Azure.
Certificering
Microsoft Gecertificeerd: Beveiligingsoperatiesanalist Associate - Certifications
Bedreigingen onderzoeken, zoeken en beperken met Behulp van Microsoft Sentinel, Microsoft Defender voor Cloud en Microsoft 365 Defender.
Documentatie
Security solution integrations using the Microsoft Graph Security API - Microsoft Graph
Use these options to connect with the Microsoft Graph Security API and work with data in a unified format across supported Microsoft and partner security providers.
Use the Microsoft Graph security API - Microsoft Graph v1.0
The Microsoft Graph security API provides a unified interface and schema to integrate with security solutions from Microsoft and ecosystem partners.
security: runHuntingQuery - Microsoft Graph beta
Run the hunting query API.