微软团队
本文档将帮助您设置InsightConnect以供MicrosoftTeam使用。
在你开始之前,有一些你需要的东西:
- 有一个现有的用户帐户。如果需要,创建一个新的用户或服务帐户:https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/add-users-azure-active-directory
- 创建具有正确权限的Azure应用程序:https://docs.microsoft.com/en-us/azure/active-directory/develop/howto-create-service-principal-portal
以下两部分分别列出了发送/接收和团队管理的权限。
InsightConnect团队插件使用授权权限通过Microsoft Graph API与团队实例进行对话。这将需要一个有权在您要监视的频道上发送和接收消息的用户帐户,以及一个有权代表该用户行事的应用程序。
下面列出了应用程序权限,必须委托其代表用户进行操作。
用户必须包含在该应用程序将监视的Teams团队或Azure组中。
微软团队服务帐户配置
在配置InsightConnect与Microsoft Teams的服务帐户时,请注意以下要求:
- Azure必须管理密码并直接登录。已知AD联合或单点登录帐户失败。
- 帐户必须禁用多因素身份验证。
权限
这里的权限分为两部分。如果您的工作流只需要发送和接收消息,那么所需的权限是最小的。但是,如果您希望通过应用程序管理您的团队,则需要提高权限,因为应用程序将执行管理任务。
收发
发送/接收所需的最低应用程序权限:
- 闲谈,聊天读写(委托)
- Group.ReadWrite.All(委托)
参考
- 创建消息:https://docs.microsoft.com/en-us/graph/api/user-post-messages?view=graph-rest-1.0&tabs=http
- 读消息:https://docs.microsoft.com/en-us/graph/api/channel-list-messages?view=graph-rest-beta&tabs=http
- 重定向URL:http://localhost/
发送/接收的用户权限
用户只需要成为插件将发送和接收消息的团队的一部分。
团队管理
团队管理所需的最低应用程序权限:
- Directory.ReadWrite.All
- Group.ReadWrite.All
参考
- 创建组:https://docs.microsoft.com/en-us/graph/api/group-post-groups
- 创建团队:https://docs.microsoft.com/en-us/graph/api/team-put-teams
- 添加成员:https://docs.microsoft.com/en-us/graph/api/group-post-members
- 创建通道:https://docs.microsoft.com/en-us/graph/api/channel-post
团队管理的用户权限
该实例中使用的用户还需要具有更高的权限,因为应用程序正在代表他们工作。要为您的用户启用以下操作,请将它们包括在Azure中的指定管理组中。
- 创建启用团队的组:全局管理员—启用团队需要更改组上的属性,这只能由全局管理员完成。
- 所有其他操作:用户管理员—从组中添加和删除用户、创建通道和删除都可以由用户管理员完成
在InsightConnect中配置连接
InsightConnect中的团队插件需要以下信息:
有关应用程序ID和目录ID,请转到Azure中的应用程序注册并查看概述。
对于应用程序秘密,转到左边菜单中的“证书和秘密”。
InsightConnect中的用户名必须是完全限定的。例如<用户> @ <域>
或joey@rapid7.onmicrosoft.com
使用“新客户端秘密”按钮创建一个新的秘密。
注意:客户端密码仅在您首次创建密码时可用。离开此屏幕后,它将被隐藏。一定要把它保存在安全的地方。
从microsoftteams消息中自动提取指标
您可以在InsightConnect中配置您的聊天解决方案,以侦听将启动工作流的消息命令,而不是在不同的工具中不断切换上下文。另外,我们支持Slack和Microsoft Teams中的消息线程,这样您就可以方便地组织您的聊天通信。此外,InsightConnect维护着一个不断增长的库预构建的工作流模板这将触发Slack和Microsoft团队的功能,只需单击一下即可导入这些功能。
我们的微软团队插件自动提取命令和公共网络或安全指标,从您的消息。您可以使用这些变量来配置额外的工作流操作,而不必担心配置潜在的复杂正则表达式或模式匹配步骤。
要将工作流配置为从Microsoft Team消息启动,请使用频道名称更新Microsoft Team触发器(工作流中的第一步),以监视Microsoft Team环境。然后,要运行工作流,请向指定的Microsoft Team频道发送消息。
你的每个微软团队信息遵循相同的格式:(命令)(指标)
. 示例命令可能如下所示:! block-host 1.1.1.1
. 我们自动提取和捕获命令,如block-host
在本例中,在一个名为$first\u word的变量中。
当您的命令后跟一个常用的网络或安全指示符时,我们的聊天机器人会检测指示符的格式,自动提取,并将其存储在输出变量中。
这些是我们捕获和存储的常用网络和安全指标类型:
- IP地址(IPv4和IPv6)
- MD5散列
- SHA1哈希表
- SHA256散列
- MAC地址
- 电子邮件地址
- 域名
- url
您可以稍后在工作流中使用这些输出变量来轻松配置进一步的操作。例如,向denylist添加哈希、使用威胁智能插件丰富URL或域、从用户收件箱中删除电子邮件或阻止IP地址,所有这些都不需要手动从聊天消息中解析这些指标。
附录
InsightConnect测试应用程序设置: