cyb3rmik3/defender-xdr-daily-brief-in-teams

一份由 Microsoft Defender XDR 提供并通过 Azure Logic Apps 传送到 Microsoft Teams 频道的自动化每日安全简报。它运行计划的 Advanced Hunting 查询 (KQL)，并在单个 Adaptive Card 中呈现关键安全信号。 ## 这是什么 🧩 一个 Logic App 自动化工具，能够： - 通过 Microsoft Graph Security API 执行每日 KQL 查询 - 聚合跨 Defender 工作负载的信号 - 向 Teams 发布包含关键指标和深度链接的 Adaptive Card ## 核心组件： - Azure Logic Apps - Managed Identity (Graph API) - Teams 连接器 - Defender XDR Advanced Hunting ## 🛡️ 如何发挥作用 - 快速可见性 – 提供过去 24 小时安全态势的快照 - 加快分诊速度 – 突出显示高优先级警报、威胁和缺口 - 保持一致性 – 强制执行每日 SecOps 例行任务 - 跨域视图 – 涵盖 Endpoint、Email、Identity 和 Cloud Apps ## 📊 每日信号 - 🚨 警报与 AIR 修复 - 📧 网络钓鱼与恶意软件活动 - 🖥️ 设备健康状况与防病毒 (AV) 状态 - 🧨 关键漏洞 - ☁️ 新发现的应用 - 🔑 特权身份 ## ⚙️ 关键要求 - Defender XDR 数据可用 (MDE, MDO, MDI 等) - 具备以下权限的 Managed Identity：*ThreatHunting.Read.All* (Microsoft Graph) - 已授权的 Teams API 连接 ## 🚀 部署 - 通过 Azure Portal 部署[模板](https://github.com/cyb3rmik3/defender-xdr-daily-brief-in-teams/blob/main/DefenderXDR-DailyBrief-Teams.json) - 授权 Teams 连接 - 为 Managed Identity 分配 Graph 权限 - 触发 Logic App 以验证 Teams 中的输出 （完整步骤请参阅[部署指南](https://github.com/cyb3rmik3/defender-xdr-daily-brief-in-teams/blob/main/deployment-guide.md)） ## 🔄 自定义 - 添加/修改 KQL 查询 - 调整计划或时间窗口 - 扩展 Adaptive Card 内容 - 与其他工作流集成（例如：工单系统、警报）

标签：Azure Logic Apps, GPT, KQL, Microsoft Defender XDR, Microsoft Graph API, Microsoft Teams, SecOps自动化, SIEM/SOAR, 云端安全, 威胁 hunting, 安全态势感知, 每日安全简报, 漏洞管理, 终端安全, 自动化报告, 自适应卡片, 警报聚合, 设备健康度, 身份安全, 钓鱼监测, 高级搜寻