微软团队

本文档将帮助您设置InsightConnect以供MicrosoftTeam使用。

在你开始之前，有一些你需要的东西:

1. 有一个现有的用户帐户。如果需要，创建一个新的用户或服务帐户:https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/add-users-azure-active-directory
2. 创建具有正确权限的Azure应用程序：https://docs.microsoft.com/en-us/azure/active-directory/develop/howto-create-service-principal-portal

以下两部分分别列出了发送/接收和团队管理的权限。

InsightConnect团队插件使用授权权限通过Microsoft Graph API与团队实例进行对话。这将需要一个有权在您要监视的频道上发送和接收消息的用户帐户，以及一个有权代表该用户行事的应用程序。

下面列出了应用程序权限，必须委托其代表用户进行操作。

用户必须包含在该应用程序将监视的Teams团队或Azure组中。

权限

这里的权限分为两部分。如果您的工作流只需要发送和接收消息，那么所需的权限是最小的。但是，如果您希望通过应用程序管理您的团队，则需要提高权限，因为应用程序将执行管理任务。

收发

发送/接收所需的最低应用程序权限：

• 闲谈，聊天读写(委托)
• Group.ReadWrite.All（委托）

参考

• 创建消息:https://docs.microsoft.com/en-us/graph/api/user-post-messages?view=graph-rest-1.0&tabs=http
• 读消息:https://docs.microsoft.com/en-us/graph/api/channel-list-messages?view=graph-rest-beta&tabs=http
• 重定向URL:http://localhost/

发送/接收的用户权限

用户只需要成为插件将发送和接收消息的团队的一部分。

团队管理

团队管理所需的最低应用程序权限:

• Directory.ReadWrite.All
• Group.ReadWrite.All

参考

• 创建组:https://docs.microsoft.com/en-us/graph/api/group-post-groups
• 创建团队:https://docs.microsoft.com/en-us/graph/api/team-put-teams
• 添加成员:https://docs.microsoft.com/en-us/graph/api/group-post-members
• 创建通道:https://docs.microsoft.com/en-us/graph/api/channel-post

团队管理的用户权限

该实例中使用的用户还需要具有更高的权限，因为应用程序正在代表他们工作。要为您的用户启用以下操作，请将它们包括在Azure中的指定管理组中。

• 创建启用团队的组:全局管理员—启用团队需要更改组上的属性，这只能由全局管理员完成。
• 所有其他操作:用户管理员—从组中添加和删除用户、创建通道和删除都可以由用户管理员完成

在InsightConnect中配置连接

InsightConnect中的团队插件需要以下信息：

有关应用程序ID和目录ID，请转到Azure中的应用程序注册并查看概述。

对于应用程序秘密，转到左边菜单中的“证书和秘密”。

InsightConnect中的用户名必须是完全限定的。例如<用户> @ <域>或joey@rapid7.onmicrosoft.com

使用“新客户端秘密”按钮创建一个新的秘密。

注意：客户端密码仅在您首次创建密码时可用。离开此屏幕后，它将被隐藏。一定要把它保存在安全的地方。

从microsoftteams消息中自动提取指标

您可以在InsightConnect中配置您的聊天解决方案，以侦听将启动工作流的消息命令，而不是在不同的工具中不断切换上下文。另外，我们支持Slack和Microsoft Teams中的消息线程，这样您就可以方便地组织您的聊天通信。此外，InsightConnect维护着一个不断增长的库预构建的工作流模板这将触发Slack和Microsoft团队的功能，只需单击一下即可导入这些功能。

我们的微软团队插件自动提取命令和公共网络或安全指标，从您的消息。您可以使用这些变量来配置额外的工作流操作，而不必担心配置潜在的复杂正则表达式或模式匹配步骤。

要将工作流配置为从Microsoft Team消息启动，请使用频道名称更新Microsoft Team触发器（工作流中的第一步），以监视Microsoft Team环境。然后，要运行工作流，请向指定的Microsoft Team频道发送消息。

你的每个微软团队信息遵循相同的格式:(命令)(指标). 示例命令可能如下所示：! block-host 1.1.1.1. 我们自动提取和捕获命令，如block-host在本例中，在一个名为$first\u word的变量中。

当您的命令后跟一个常用的网络或安全指示符时，我们的聊天机器人会检测指示符的格式，自动提取，并将其存储在输出变量中。

这些是我们捕获和存储的常用网络和安全指标类型:

• IP地址(IPv4和IPv6)
• MD5散列
• SHA1哈希表
• SHA256散列
• MAC地址
• 电子邮件地址
• 域名
• url

您可以稍后在工作流中使用这些输出变量来轻松配置进一步的操作。例如，向denylist添加哈希、使用威胁智能插件丰富URL或域、从用户收件箱中删除电子邮件或阻止IP地址，所有这些都不需要手动从聊天消息中解析这些指标。

附录

InsightConnect测试应用程序设置：

其他有用的信息

代表用户获取访问权限

• https://docs.microsoft.com/en-us/graph/auth-v2-user

委托权限

• https://docs.microsoft.com/en-us/azure/active-directory/develop/developer-glossary#permissions

参考图权限

• https://docs.microsoft.com/en-us/graph/permissions-reference

用户权限

• https://docs.microsoft.com/en-us/azure/active-directory/users-groups-roles/index
• https://docs.microsoft.com/en-us/azure/active-directory/users-groups-roles/roles-delegate-by-task