微软团队

本文档将帮助您设置InsightConnect以供MicrosoftTeam使用。

在你开始之前,有一些你需要的东西:

  1. 有一个现有的用户帐户。如果需要,创建一个新的用户或服务帐户:https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/add-users-azure-active-directory
  2. 创建具有正确权限的Azure应用程序:https://docs.microsoft.com/en-us/azure/active-directory/develop/howto-create-service-principal-portal

以下两部分分别列出了发送/接收和团队管理的权限。

InsightConnect团队插件使用授权权限通过Microsoft Graph API与团队实例进行对话。这将需要一个有权在您要监视的频道上发送和接收消息的用户帐户,以及一个有权代表该用户行事的应用程序。

下面列出了应用程序权限,必须委托其代表用户进行操作。

用户必须包含在该应用程序将监视的Teams团队或Azure组中。

微软团队服务帐户配置

在配置InsightConnect与Microsoft Teams的服务帐户时,请注意以下要求:

  1. Azure必须管理密码并直接登录。已知AD联合或单点登录帐户失败。
  2. 帐户必须禁用多因素身份验证。

权限

这里的权限分为两部分。如果您的工作流只需要发送和接收消息,那么所需的权限是最小的。但是,如果您希望通过应用程序管理您的团队,则需要提高权限,因为应用程序将执行管理任务。

收发

发送/接收所需的最低应用程序权限:

  • 闲谈,聊天读写(委托)
  • Group.ReadWrite.All(委托)

参考

发送/接收的用户权限

用户只需要成为插件将发送和接收消息的团队的一部分。

团队管理

团队管理所需的最低应用程序权限:

  • Directory.ReadWrite.All
  • Group.ReadWrite.All

参考

团队管理的用户权限

该实例中使用的用户还需要具有更高的权限,因为应用程序正在代表他们工作。要为您的用户启用以下操作,请将它们包括在Azure中的指定管理组中。

  • 创建启用团队的组:全局管理员—启用团队需要更改组上的属性,这只能由全局管理员完成。
  • 所有其他操作:用户管理员—从组中添加和删除用户、创建通道和删除都可以由用户管理员完成

在InsightConnect中配置连接

InsightConnect中的团队插件需要以下信息:

连接配置

有关应用程序ID和目录ID,请转到Azure中的应用程序注册并查看概述。

应用程序ID和目录ID

对于应用程序秘密,转到左边菜单中的“证书和秘密”。

InsightConnect中的用户名必须是完全限定的。例如<用户> @ <域>joey@rapid7.onmicrosoft.com

应用程序机密

使用“新客户端秘密”按钮创建一个新的秘密。

新客户的秘密

注意:客户端密码仅在您首次创建密码时可用。离开此屏幕后,它将被隐藏。一定要把它保存在安全的地方。

从microsoftteams消息中自动提取指标

您可以在InsightConnect中配置您的聊天解决方案,以侦听将启动工作流的消息命令,而不是在不同的工具中不断切换上下文。另外,我们支持Slack和Microsoft Teams中的消息线程,这样您就可以方便地组织您的聊天通信。此外,InsightConnect维护着一个不断增长的库预构建的工作流模板这将触发Slack和Microsoft团队的功能,只需单击一下即可导入这些功能。

我们的微软团队插件自动提取命令和公共网络或安全指标,从您的消息。您可以使用这些变量来配置额外的工作流操作,而不必担心配置潜在的复杂正则表达式或模式匹配步骤。

要将工作流配置为从Microsoft Team消息启动,请使用频道名称更新Microsoft Team触发器(工作流中的第一步),以监视Microsoft Team环境。然后,要运行工作流,请向指定的Microsoft Team频道发送消息。

你的每个微软团队信息遵循相同的格式:(命令)(指标). 示例命令可能如下所示:! block-host 1.1.1.1. 我们自动提取和捕获命令,如block-host在本例中,在一个名为$first\u word的变量中。

当您的命令后跟一个常用的网络或安全指示符时,我们的聊天机器人会检测指示符的格式,自动提取,并将其存储在输出变量中。

这些是我们捕获和存储的常用网络和安全指标类型:

  • IP地址(IPv4和IPv6)
  • MD5散列
  • SHA1哈希表
  • SHA256散列
  • MAC地址
  • 电子邮件地址
  • 域名
  • url

工件卡显示指示器变量的内容,这些变量是从包含多个指示器的消息中解析出来的

您可以稍后在工作流中使用这些输出变量来轻松配置进一步的操作。例如,向denylist添加哈希、使用威胁智能插件丰富URL或域、从用户收件箱中删除电子邮件或阻止IP地址,所有这些都不需要手动从聊天消息中解析这些指标。

附录

InsightConnect测试应用程序设置:

测试应用程序设置

其他有用的信息

代表用户获取访问权限

委托权限

参考图权限

用户权限