简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。
Microsoft Teams 的工作负载安全 Webhook 示例
贡献者
建议更改
PDF
Webhook 允许用户使用自定义的 webhook 通道向各种应用程序发送警报通知。本页提供了为 Teams 设置 webhook 的示例。
|
本页引用第三方说明,可能会有变更。请参阅"团队文档"以获取最新信息。 |
团队设置:
-
在 Teams 中,选择 kebab,然后搜索 Incoming Webhook。
-
选择*添加到团队>选择团队>设置连接器*。
-
复制 Webhook URL。您需要将其粘贴到 Workload Security webhook 配置中。
创建工作负载安全团队 Webhook:
-
导航到“管理”>“通知”,然后选择“工作负载安全 Webhooks”选项卡。选择 + Webhook 来创建一个新的 webhook。
-
为 webhook 赋予一个有意义的名称。
-
在“模板类型”下拉菜单中,选择“团队”。
-
将上面的 URL 粘贴到 URL 字段中。
使用 Adaptive Card 模板创建 Teams 通知的步骤
-
将邮件正文替换为以下模板:
{ "type": "message", "attachments": [ { "contentType": "application/vnd.microsoft.card.adaptive", "content": { "$schema": "http://adaptivecards.io/schemas/adaptive-card.json", "type": "AdaptiveCard", "version": "1.2", "body": [ { "type": "TextBlock", "text": "%%severity%% Alert: %%synopsis%%", "wrap": true, "weight": "Bolder", "size": "Large" }, { "type": "TextBlock", "text": "%%detected%%", "wrap": true, "isSubtle": true, "spacing": "Small" }, { "type": "FactSet", "facts": [ { "title": "User", "value": "%%userName%%" }, { "title": "Attack/Abnormal Behavior", "value": "%%type%%" }, { "title": "Action taken", "value": "%%actionTaken%%" }, { "title": "Files encrypted", "value": "%%filesEncrypted%%" }, { "title": "Encrypted files suffix", "value": "%%encryptedFilesSuffix%%" }, { "title": "Files deleted", "value": "%%filesDeleted%%" }, { "title": "Activity Change Rate", "value": "%%changePercentage%%" }, { "title": "Severity", "value": "%%severity%%" }, { "title": "Status", "value": "%%status%%" }, { "title": "Notes", "value": "%%note%%" } ] } ], "actions": [ { "type": "Action.OpenUrl", "title": "View Details", "url": "https://%%cloudInsightsHostname%%/%%alertDetailsPageUrl%%" } ] } } ] } -
如果使用 Power Automate Flows,URL 中的查询参数将采用编码格式。输入前必须解码 URL。
-
单击"测试 Webhook"以确保没有错误。
-
保存 webhook。
通过 Webhook 发送通知
要通过 webhook 通知事件,请导航至_工作负载安全 > 策略_。选择“+攻击策略”或“+警告策略”。
-
输入一个有意义的策略名称。
-
选择所需的攻击类型、应附加策略的设备以及所需的操作。
-
在“Webhooks Notifications”下拉菜单下,选择所需的 Teams webhook。保存策略。
注意:还可以通过编辑将 Webhook 附加到现有策略。
