plug-in do Azure Logic Apps no Microsoft Security Copilot

O Logic Apps é uma plataforma baseada na cloud que lhe permite automatizar processos empresariais como fluxos de trabalho. Pode criar e implementar um recurso da Aplicação Lógica no Microsoft Azure e, em seguida, utilizar o estruturador de fluxos de trabalho para dispor conectores pré-criados na sequência de que precisa.

Quando o Logic Apps está integrado no Microsoft Security Copilot, pode expandir as capacidades de automatização para operações de segurança, facilitando o acionamento de investigações, a execução de manuais de procedimentos e a resposta a incidentes diretamente a partir de Security Copilot.

Security Copilot capacidades, como pedidos e promptbooks, podem ser utilizadas através do conector Security Copilot no Logic Apps de uma forma vinculada. Pode submeter pedidos de serviços fora Security Copilot. Com esta melhoria, pode agora trazer fluxos de trabalho da Aplicação Lógica como ferramentas invocáveis (competências) ou capacidades. Depois de definir o fluxo de trabalho e gerar o manifesto do conjunto de competências, estas ferramentas baseadas na Aplicação Lógica podem ser invocadas a partir de Security Copilot pedidos, promptbooks ou agentes.

Este documento explica como invocar um fluxo de trabalho de aplicação lógica de saída a partir de Security Copilot através de uma linha de comandos.

Cenários

Alguns cenários de aplicação lógica de saída são os seguintes:

Crie um incidente Sentinel/Jira/ServiceNow com o pedido no Security Copilot.
Crie um promptbook que analise um utilizador de risco, reporte-o e, após confirmação, envie um e-mail com duas opções:
- Adicionar o utilizador à lista de observação no Microsoft Sentinel ou
- Atualize Microsoft Entra com uma variedade de lógicas diferentes, com base nas condições exclusivas.

Terminologia

Termo	Descrição
Ação	Uma ação é uma operação que executa uma tarefa específica no fluxo de trabalho. As ações são executadas após a ativação de um acionador ou outra ação ser concluída.
Gatilho	Um acionador é um evento que ocorre quando uma condição específica é cumprida. Os acionadores são ativados automaticamente quando uma condição é cumprida. Por exemplo, quando um temporizador expira ou os dados ficam disponíveis.
Fluxo de trabalho	Uma série de operações que definem uma tarefa, processo de negócio ou carga de trabalho. Cada fluxo de trabalho começa sempre com uma única operação de acionador, após a qual tem de adicionar uma ou mais operações de ação.

Pré-requisitos

O inquilino que utiliza para Security Copilot tem de ser o mesmo inquilino em que se encontra a Aplicação Lógica e tem de ter acesso ao mesmo. Caso contrário, não pode invocar a Aplicação Lógica a partir de Security Copilot.
SCUs aprovisionadas para Security Copilot.

Passos para invocar um fluxo de trabalho da Aplicação Lógica

Este tutorial de início rápido mostra-lhe como acionar um fluxo de trabalho da Aplicação Lógica com Security Copilot. Cria uma Aplicação Lógica que tem um acionador de Pedido HTTP, que utiliza um único GroupId argumento no corpo do pedido JSON e utiliza o conector incorporado do AAD para listar as propriedades desse grupo.

Passo 1: Criar o fluxo de trabalho da Aplicação Lógica

Aceda ao portal do Azure e crie um novo recurso da Aplicação Lógica. Para obter detalhes sobre o plano Consumo e criar um recurso e exemplos, veja Logic Apps.
Aceda ao recurso da Aplicação Lógica recentemente criado, abra o estruturador da Aplicação Lógica e crie o fluxo de trabalho.

Adicione um acionador de Pedido HTTP.
As entradas de competências são transmitidas como campos de nível superior do corpo do pedido HTTP. Esta competência aceita uma entrada com o nome GroupId.
Defina o Request Body JSON Schema para o acionador da seguinte forma:
```
    {
      "properties": {
        "GroupId": {
          "type": "string"
        }
      },
      "type": "object"
    }
```
Observação

Atualmente, todas as competências do Security Copilot Logic App são necessárias para utilizar um acionador de Pedido HTTP. Também estamos a trabalhar num novo acionador de Security Copilot para o Logic Apps que será ainda mais fácil de utilizar e registará automaticamente a Aplicação Lógica como uma competência no Security Copilot.

Adicione uma Get Group Properties ação.
A Get Group Properties ação utiliza um AAD Object Id grupo como parâmetro. Defina-a como a GroupId variável a partir do passo do acionador.
Guarde o fluxo de trabalho. O fluxo de trabalho concluído deve ser semelhante a este.

Passo 2: criar o manifesto do conjunto de competências

Crie um novo ficheiro skillset.yaml de manifesto do conjunto de competências e especifique os seguintes parâmetros para Settings a Aplicação Lógica definida no Passo 1:

SubscriptionId,ResourceGroup,WorkflowName,TriggerName

Pode escolher uma das duas opções para configurar o manifesto:

Opção 1: pode permitir que os utilizadores forneçam os valores de configuração para definições como SubscriptionId, ResourceGroup, WorkflowName, TriggerName. Adicione o Settings na Descriptor secção do manifesto e referencie-os como variáveis na Skills secção . Pode fornecer valores na plataforma após o carregamento.
Opção 2: pode codificar estas configurações para os utilizadores na área de trabalho, onde os valores estão configurados no próprio manifesto.

Opção 1: Descriptor nível

  
  Descriptor:
    Name: SampleLogicApp
    DisplayName: My Sample Logic App Skillset
    Description: Skills to query AAD group properties
    Settings:
      - Name: SubscriptionId
        Label: SubscriptionId
        Description: Subscription Id
        HintText: The subscription Id 
        SettingType: String
        Required: true
  
      - Name: ResourceGroup
        Label: ResourceGroup
        Description: Resource group 
        HintText: The resource group 
        SettingType: String
        Required: true
  
      - Name: WorkflowName
        Label: WorkflowName
        Description: Workflow Name 
        HintText: The workflow name 
        SettingType: String
        Required: true
  
      - Name: TriggerName
        Label: TriggerName
        Description: Trigger Name
        HintText: The Trigger name 
        SettingType: String
        Required: true
  
  SkillGroups:
    - Format: LogicApp
      Skills:
        - Name: GetAadGroupProperties
          DisplayName: Get AAD Group Properties
          Description: Queries properties of an AAD group by its ObjectId
          Inputs:
            - Name: GroupId
              Description: AAD ObjectId of the group to query
              Required: true
          Settings:
            SubscriptionId: "{{SubscriptionId}}"
            ResourceGroup: "{{ResourceGroup}}"
            WorkflowName: "{{WorkflowName}}"
            TriggerName: "{{TriggerName}}"

Opção 2: Skill nível

  
  Descriptor:
    Name: SampleLogicApp
    DisplayName: My Sample Logic App Skillset
    Description: Skills to query AAD group properties
  
  SkillGroups:
    - Format: LogicApp
      Skills:
        - Name: GetAadGroupProperties
          DisplayName: Get AAD Group Properties
          Description: Queries properties of an AAD group by its ObjectId
          Inputs:
            - Name: GroupId
              Description: AAD ObjectId of the group to query
              Required: true
          Settings:
            SubscriptionId: a5testabc-89df-460e-8cd7-abcdefg
            ResourceGroup: sample-logic-app-skill-rg
            WorkflowName: sample-logic-app-skill
            TriggerName: testTrigger

Passo 3: carregar o manifesto do conjunto de competências

Siga as instruções de carregamento para carregar o manifesto como um plug-in para Security Copilot.

Se especificou as definições ao Descriptor nível no Passo 2, tem de fornecer os valores de definição após o carregamento e guardá-los. Pode editar estes valores de definição em qualquer altura e serão utilizados onde quer que os tenha especificado no manifesto.

Passo 4: Testar a capacidade da Aplicação Lógica através de um pedido

Obter groupId do Microsoft Azure: para testar o plug-in da Aplicação Lógica, precisa do groupId.

No portal do Azure, procure Microsoft Entra ID.
Navegue para Gerir > Grupos. Selecione um Object Id para utilizar como o groupId para a entrada.

Selecione a sua competência:

No Security Copilot, navegue para a barra de pedidos.
Escreva o nome da competência ou o nome a apresentar da competência para invocar a competência. Aqui, é GetAadGroupProperties, que é o Skills.Name do YAML ou do Get AAD Group Properties, que é o Skills.DisplayName.
Se tiver configurado o manifesto com a Opção 1 (Nível de descritor) no Passo 2, terá de fornecer as definições.
Navegue para o Logic Apps para obter os valores para:
- SubscriptionIde ResourceGroup detalhes da página Descrição geral
- WorkflowName é o fluxo de trabalho da Aplicação Lógica
- TriggerName é testTrigger
Preencha os parâmetros de entrada de competências necessários. Aqui, introduza o groupId.
Pode experimentar a mensagem "Pode partilhar as propriedades do grupo groupIddo AAD?".

A imagem seguinte mostra os resultados de uma execução de pedidos quando um fluxo de trabalho da Aplicação Lógica é acionado. Para a entrada groupId, foram obtidas três propriedades: GroupId, Namee Mail de Entra.
Selecione Ver no Portal do Azure para ver o fluxo de trabalho no Azure.
Opcionalmente, também pode testar a capacidade através de um promptbook.

YAML de exemplo para criar um incidente no Sentinel

Segue-se um exemplo de YAML para criar um incidente no Microsoft Sentinel através da linha de comandos. Quando o pedido é executado, o fluxo de trabalho da Aplicação Lógica é invocado.

Dica

Seja descritivo quando fornecer a descrição no manifesto.

Last updated on 2025-11-19

Compartilhar via