このレポジトリは Microsoft Sentinel の Teams インシデント通知のサンプルテンプレートです。
Microsoft Sentinel のインシデントトリガーを用いて、以下を実現します。
- Microsoft Teams のチャネルにアダプティブカードを用いたインシデント情報のメッセージ作成
- インシデント情報に付与されたコメントを Teams の返信として表示
- インシデント情報に含まれた各種エンティティ情報を HTML 表形式で Teams の返信として表示
- インシデント情報に含まれたエンティティのアカウント情報から、以下の条件については Microsoft Graph 経由で Azure AD の組織情報をルックアップして、ユーザー情報を Teams の返信として表示
- エンティティ(Account) 内に
aadUserId情報が含まれているケース (ADconnect 等でオンプレADなどを接続している場合) - エンティティ(Account) 内に
displayName属性が自社ドメイン (microsoft.com) が含まれている場合
- エンティティ(Account) 内に
本テンプレートは Microsoft Graph の RESTAPI を用いて Azure AD ユーザー情報取得を行います。 Microsoft Graph を利用するために Azure AD のアプリケーション登録を行い、サービスプリンシパルを取得して下さい。
参考情報)
-
Logic Apps から Graph API を実行する https://jpazinteg.github.io/blog/LogicApps/Integration-graphApi/
-
テナント ID、クライアント ID の取得
-
シークレット情報
-
「API のアクセス許可」の設定に対して、Microsoft Graph の
User.Read,User.Read.Allを与えて下さい。
-
Azure 環境への適用については、以下ボタンを押して下さい。
以下必要要件になります。
- Teams チャネル投稿が可能な Azure AD アカウント(ユーザー認証)
デプロイ後、以下設定を行ってください。
- 「API 接続」より、
MicrosoftTeams-(プレイブック名)を選択して、承認するより Teams が投稿するユーザー認証を行ってください。
- ロジック アプリ デザイナー画面より、Teams コネクタで接続する Teams/Channel ID を設定して下さい。
- Azure AD に lookup させる際に自社ドメインかどうかの判定として、UPN のチェックをかけています。
以下箇所を自社の UPN ドメイン情報に変更して下さい。
