このレポジトリは Microsoft Sentinel の Teams インシデント通知のサンプルテンプレートです。

Microsoft Sentinel のインシデントトリガーを用いて、以下を実現します。

• Microsoft Teams のチャネルにアダプティブカードを用いたインシデント情報のメッセージ作成
• インシデント情報に付与されたコメントを Teams の返信として表示
• インシデント情報に含まれた各種エンティティ情報を HTML 表形式で Teams の返信として表示
• インシデント情報に含まれたエンティティのアカウント情報から、以下の条件については Microsoft Graph 経由で Azure AD の組織情報をルックアップして、ユーザー情報を Teams の返信として表示
  • エンティティ(Account) 内に aadUserId 情報が含まれているケース (ADconnect 等でオンプレADなどを接続している場合)
  • エンティティ(Account) 内に displayName 属性が自社ドメイン (microsoft.com) が含まれている場合

本テンプレートは Microsoft Graph の RESTAPI を用いて Azure AD ユーザー情報取得を行います。 Microsoft Graph を利用するために Azure AD のアプリケーション登録を行い、サービスプリンシパルを取得して下さい。

参考情報）

• Logic Apps から Graph API を実行する https://jpazinteg.github.io/blog/LogicApps/Integration-graphApi/

  • テナント ID、クライアント ID の取得

  • シークレット情報

  • 「API のアクセス許可」の設定に対して、Microsoft Graph の User.Read, User.Read.All を与えて下さい。

Azure 環境への適用については、以下ボタンを押して下さい。

以下必要要件になります。

• Teams チャネル投稿が可能な Azure AD アカウント（ユーザー認証）

デプロイ後、以下設定を行ってください。

• 「API 接続」より、MicrosoftTeams-(プレイブック名) を選択して、承認するより Teams が投稿するユーザー認証を行ってください。
  
• ロジック アプリ デザイナー画面より、Teams コネクタで接続する Teams/Channel ID を設定して下さい。