微软团队

本文档将帮助您设置用于MicrosoftTeams的InsightConnect。

在你开始之前，有一些你需要的东西:

1. 有一个现有的用户帐户。如果需要，创建一个新的用户或服务帐户:https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/add-users-azure-active-directory
2. 使用正确的权限创建Azure应用程序:https://docs.microsoft.com/en-us/azure/active-directory/develop/howto-create-service-principal-portal

以下两部分分别列出了发送/接收和团队管理的权限。

InsightConnect Teams Plugin使用授权权限通过Microsoft Graph API与Teams实例对话。这将需要一个被授权在您将要监视的通道上发送和接收消息的用户帐户，以及一个具有代表该用户操作的正确权限的应用程序。

应用程序权限如下所示，必须进行授权才能代表用户执行操作。

用户必须包含在该应用程序将监视的Teams团队或Azure组中。

权限

这里的权限分为两部分。如果您的工作流只需要发送和接收消息，那么所需的权限是最小的。但是，如果您希望通过应用程序管理您的团队，则需要提高权限，因为应用程序将执行管理任务。

发送和接收

发送/接收所需的最小应用程序权限:

• 闲谈，聊天读写(委托)
• Group.ReadWrite.All(委托)

参考

• 创建消息:https://docs.microsoft.com/en-us/graph/api/user-post-messages?view=graph-rest-1.0&tabs=http
• 读消息:https://docs.microsoft.com/en-us/graph/api/channel-list-messages?view=graph-rest-beta&tabs=http
• 重定向URL: http://localhost/

User发送/接收权限

用户只需要成为插件发送和接收消息的团队的一部分。

团队管理

团队管理所需的最低应用程序权限:

• Directory.ReadWrite.All
• Group.ReadWrite.All

参考

• 创建组:https://docs.microsoft.com/en-us/graph/api/group-post-groups
• 创建团队:https://docs.microsoft.com/en-us/graph/api/team-put-teams
• 添加成员:https://docs.microsoft.com/en-us/graph/api/group-post-members
• 创建通道:https://docs.microsoft.com/en-us/graph/api/channel-post

团队管理的用户权限

该实例中使用的用户还需要具有更高的权限，因为应用程序正在代表他们工作。要为您的用户启用以下操作，请将它们包括在Azure中的指定管理组中。

• 创建启用团队的组:全局管理员—启用团队需要更改组上的属性，这只能由全局管理员完成。
• 所有其他操作:用户管理员—从组中添加和删除用户、创建通道和删除都可以由用户管理员完成

在InsightConnect中配置连接

InsightConnect中的Teams插件需要以下信息:

对于应用程序ID和目录ID，请转到Azure中的应用程序注册并查看概述。

对于应用程序秘密，转到左边菜单中的“证书和秘密”。

InsightConnect中的用户名必须是完全限定的。例如<用户> @ <域>或joey@rapid7.onmicrosoft.com

使用“新客户端秘密”按钮创建一个新的秘密。

注意:客户端秘密将仅在您第一次创建秘密时可用。当你离开这个屏幕后，它将被隐藏。一定要把它放在安全的地方。

从microsoftteams消息中自动提取指标

您可以在InsightConnect中配置您的聊天解决方案，以侦听将启动工作流的消息命令，而不是在不同的工具中不断切换上下文。另外，我们支持Slack和Microsoft Teams中的消息线程，这样您就可以方便地组织您的聊天通信。此外，InsightConnect维护着一个不断增长的库预先构建的工作流模板可以触发Slack和微软团队的功能，只需点击一下即可导入。

我们的微软团队插件自动提取命令和公共网络或安全指标，从您的消息。您可以使用这些变量来配置额外的工作流操作，而不必担心配置潜在的复杂正则表达式或模式匹配步骤。

要将工作流配置为从Microsoft Teams消息启动，请使用通道名称更新Microsoft Teams触发器(工作流中的第一步)，以监视Microsoft Teams环境。然后，要运行工作流，请向指定的Microsoft Teams通道发送一条消息。

你的每个微软团队信息遵循相同的格式:(命令)(指标)．命令示例如下:! block-host 1.1.1.1．我们自动提取和捕获命令，比如block-host在本例中，在一个名为$first_word的变量中。

当您的命令后跟一个常用的网络或安全指示符时，我们的聊天机器人会检测指示符的格式，自动提取，并将其存储在输出变量中。

这些是我们捕获和存储的常用网络和安全指标类型:

• IP地址(IPv4和IPv6)
• MD5散列
• SHA1哈希表
• SHA256散列
• MAC地址
• 电子邮件地址
• 域名
• url

您可以稍后在工作流中使用这些输出变量来轻松配置进一步的操作。例如，在拒绝列表中添加散列，用威胁情报插件充实URL或域名，从用户收件箱中删除电子邮件，或阻止IP地址，所有这些都不需要从聊天消息中手动解析这些指示器。

附录

InsightConnect测试应用程序设置:

其他有用的信息

代表用户获取访问权限

• https://docs.microsoft.com/en-us/graph/auth-v2-user

委托权限

• https://docs.microsoft.com/en-us/azure/active-directory/develop/developer-glossary#permissions

参考图权限

• https://docs.microsoft.com/en-us/graph/permissions-reference

用户权限

• https://docs.microsoft.com/en-us/azure/active-directory/users-groups-roles/index
• https://docs.microsoft.com/en-us/azure/active-directory/users-groups-roles/roles-delegate-by-task