Azure-API in Google SecOps einbinden

Integrationsversion: 1.0

In diesem Dokument wird beschrieben, wie Sie die Azure API in Google Security Operations einbinden.

Anwendungsfälle

Bei der Integration der Azure API werden Google SecOps-Funktionen verwendet, um die folgenden Anwendungsfälle zu unterstützen:

Universelle Microsoft 365-Untersuchung: Mit der Funktion für benutzerdefinierte HTTP-Anfragen können Analysten jeden Microsoft Graph-Endpunkt abfragen und so Daten aus Teams, SharePoint und Exchange über eine einzige Schnittstelle erfassen.
Benutzerdefinierte Problembehebung: Führen Sie gezielte POST- oder PATCH-Anfragen aus, um Bedrohungen in Azure-Diensten zu beheben, wenn keine dedizierte „Ein-Klick“-Aktion verfügbar ist. So können Sie schnell auf neu auftretende Sicherheitslücken reagieren.
Automatisierte Datenerfassung: Führen Sie die geplante Erfassung von Sicherheitsereignissen und Audit-Logs aus verschiedenen Azure-Repositories durch, um eine umfassende Übersicht über die Cloud-Umgebung zu erhalten.
Sicherer Umgang mit Malware: Laden Sie verdächtige Dateien sicher herunter und analysieren Sie sie mithilfe der integrierten passwortgeschützten ZIP-Archivierungsfunktion, die die versehentliche Ausführung schädlicher Inhalte verhindert.
Verwaltung der persistenten Authentifizierung: Mit dem Job zur Erneuerung von Aktualisierungstokens können OAuth 2.0-Tokens automatisch rotiert werden. So wird sichergestellt, dass automatisierte Playbooks und Hunting-Jobs einen unterbrechungsfreien, sicheren Zugriff auf Microsoft 365-Dienste haben.

Hinweis

Bevor Sie die Integration in Google SecOps konfigurieren, prüfen Sie, ob Folgendes vorhanden ist:

Microsoft Entra ID-Anwendung: Eine im Microsoft Entra ID-Portal registrierte Anwendung, die die API-Kommunikation ermöglicht.
Client-ID und Clientschlüssel: Gültige Anmeldedaten, die bei der Registrierung Ihrer Anwendung generiert wurden.
Mandanten-ID: Die eindeutige Kennung Ihrer Azure Active Directory-Instanz.
Weiterleitungs-URL: Ein konfigurierter Weiterleitungs-URI, der mit dem in den Integrationsparametern angegebenen URI übereinstimmt.
API-Berechtigungen (Bereiche): Die spezifischen Berechtigungen, die Ihrer Anwendung basierend auf den Azure-Diensten zugewiesen werden, die Sie abfragen möchten.
Aktualisierungstoken: Ein Token, das 90 Tage lang gültig ist und für den dauerhaften delegierten Zugriff erforderlich ist.
Aktualisierungstoken-Erneuerungsjob: Eine wichtige Sicherheitsautomatisierung, die verwendet wird, um Integrationsfehler aufgrund des Ablaufs von Tokens zu verhindern.

Einrichtung der Azure API-Authentifizierung

Die Azure API-Integration unterstützt zwei Arten der Authentifizierung. Die erforderlichen Berechtigungen hängen von den jeweiligen API-Anfragen und Azure-Diensten ab, die Sie abfragen.

Anwendungsberechtigungen: API-Anfragen werden aus der Perspektive der in Microsoft Entra ID konfigurierten Anwendung ausgeführt. Für diese Einrichtung sind nur eine Client-ID und ein Clientschlüssel erforderlich.
Delegierte Berechtigungen: API-Anfragen werden im Namen eines bestimmten Nutzers ausgeführt, für den die Identitätsübernahme konfiguriert ist.

Delegierte Authentifizierung einrichten

Wenn Sie delegierte Berechtigungen verwenden möchten, müssen Sie mit den folgenden Schritten manuell ein anfängliches Aktualisierungstoken generieren:

Geben Sie Client ID, Client Secret, Scope, Redirect URL und Tenant ID in der Integrationskonfiguration an.
Führen Sie die Aktion Get Authorization (Autorisierung abrufen) aus.
Öffnen Sie den von der Aktion generierten Link in einem Browser und kopieren Sie den resultierenden weitergeleiteten Link.
Geben Sie den weitergeleiteten Link als Eingabe für die Aktion Token generieren an.
Kopieren Sie das vom Vorgang zurückgegebene Token und geben Sie es bei der Konfiguration der Integration in Refresh Token ein.

Aktualisierungstoken-Erneuerung konfigurieren

Das ursprüngliche Aktualisierungstoken ist 90 Tage lang gültig. Damit der Dienst nicht unterbrochen wird, konfigurieren Sie den Aktualisierungstoken-Erneuerungsjob so, dass das Aktualisierungstoken für die Integrationsinstanz automatisch aktualisiert wird.

Integrationsparameter

Für die Azure API-Integration sind die folgenden Parameter erforderlich:

Parameter	Beschreibung
`Microsoft Login API Root`	Erforderlich. Der API-Root des Microsoft Identity Platform-Anmeldedienstes, der für die Azure API-Authentifizierung verwendet wird. Der Standardwert ist `https://login.microsoftonline.com`.
`Microsoft Graph API Root`	Erforderlich. Der API-Stamm des Microsoft Graph-Dienstes, der für Azure-API-Vorgänge verwendet wird. Der Standardwert ist `https://graph.microsoft.com`.
`Client ID`	Erforderlich. Die Client-ID für das Azure API-Konto.
`Client Secret`	Erforderlich. Der Clientschlüssel für das Azure-API-Konto.
`Tenant ID`	Erforderlich. Die Mandanten-ID für das Azure API-Konto.
`Refresh Token`	Optional. Das Aktualisierungstoken, das für den delegierten Zugriff auf das Azure API-Konto verwendet wird. Dieses Token ist 90 Tage lang gültig und wird bei der Ersteinrichtung abgerufen.
`Verify SSL`	Optional. Wenn diese Option ausgewählt ist, wird das SSL-Zertifikat bei der Verbindung mit dem Azure API-Server validiert. Standardmäßig aktiviert.
`Redirect URL`	Optional. Der Weiterleitungs-URI, der der Microsoft Entra ID-Anwendung zugeordnet ist. Der Standardwert ist `http://localhost`.
`Test URL`	Erforderlich. Die URL, die zum Validieren der Authentifizierung bei der Azure API mit einer GET-Anfrage verwendet wird.
`Scopes`	Erforderlich. Eine durch Kommas getrennte Liste der Bereiche für die Azure API-Authentifizierung.

Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.

Aktionen

Weitere Informationen zu Aktionen finden Sie unter Ausstehende Aktionen über „Mein Arbeitsbereich“ bearbeiten und Manuelle Aktion ausführen.

HTTP-Anfrage ausführen

Mit der Aktion HTTP-Anfrage ausführen können Sie eine benutzerdefinierte HTTP-API-Anfrage für eine Ziel-URL erstellen und ausführen.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionsverhalten

Diese Aktion unterstützt komplexe Verhaltensweisen wie asynchrones Polling, dynamische Nutzlastgenerierung und Dateiverwaltung.

Asynchrones Polling

Wenn Expected Response Values angegeben wird, wird die Aktion im asynchronen Modus ausgeführt. In diesem Modus fragt die Aktion den Zielendpunkt wiederholt ab, um den Status einer Antwort zu verfolgen (z. B. um auf den Abschluss einer Aufgabe mit langer Ausführungszeit zu warten).

Bei der Aktion wird der Antworttext anhand der im Parameter angegebenen JSON-Bedingungen ausgewertet. Die Ausführung wird fortgesetzt, bis die Bedingungen erfüllt sind oder das Zeitlimit der Aktion erreicht ist.

Bedingungslogik

Die Aktion unterstützt die folgende Logik zum Erfassen von Antwortstatus:

Abgleich mit einem einzelnen Feld: Die Aktion wartet, bis ein bestimmtes Feld einen einzelnen Wert erreicht.
```
{
  "state": "finished"
}
```
Mehrere Werte (ODER-Logik): Die Ausführung der Aktion wird beendet, wenn ein Feld mit einem beliebigen Wert in einer bereitgestellten Liste übereinstimmt. Das ist nützlich, um sowohl bei „success“- als auch bei „error“-Zuständen zu stoppen und so unnötiges Polling zu vermeiden.
```
{
  "state": ["finished", "error"]
}
```
Mehrere Felder (UND-Logik): Die Aktion wartet, bis alle angegebenen Felder gleichzeitig mit den entsprechenden Werten übereinstimmen.
```
{
  "state": "finished",
  "percentage": "100"
}
```
Kombinierte Logik: Sie können mehrere Bedingungen im JSON-Objekt kombinieren.
```
{
  "state": ["finished", "error"],
  "percentage": "10"
}
```

JSON-Parsing-Verhalten

Bei der Auswertung von Bedingungen gelten für die Aktion folgende Regeln:

Globale Suche: Bei dieser Aktion wird das gesamte JSON-Antwortobjekt nach den angegebenen Schlüsseln durchsucht. Geben Sie den Schlüsselnamen genau so an, wie er im JSON-Dokument steht, ohne Namen übergeordneter Objekte voranzustellen oder Präfixe zu verwenden (z. B. "state" statt "data_state" oder "data-state").
Mehrere identische Schlüssel: Wenn die Antwort mehrere Schlüssel mit demselben Namen auf verschiedenen Ebenen der JSON-Hierarchie enthält, wird die erwartete Ausgabe nur erreicht, wenn alle übereinstimmenden Schlüsselnamen den identischen erwarteten Wert erfüllen.

Wenn Sie beispielsweise in der JSON-Antwort nach dem Status finished suchen und andere Status ignorieren möchten, setzen Sie alle state-Schlüssel in Expected Response Values auf finished:
```
{
"data": {
  "state": "finished"
  },
  "state": "finished"
}
```

Nutzlast für den Body erstellen

Die Aktion erstellt den Anfragetext basierend auf dem Header Content-Type, der in Headers angegeben ist.

Dies ist die Body Payload-Eingabe, die für die folgenden Konstruktionsbeispiele verwendet wird:

{
  "Id": "123123",
  "sorting": "asc"
}

application/x-www-form-urlencoded: Die Aktion generiert die Nutzlast als Id=123123&sorting=asc.
application/json: Die Aktion generiert die folgende JSON-Nutzlast:
```
{
  "Id": "123123",
  "sorting": "asc"
}
```

XML: Wenn für das Drittanbieterprodukt XML erforderlich ist, geben Sie eine XML-formatierte Eingabe direkt in Body Payload an:

<?xml version="1.0" encoding="utf-8"?>
<soap:Envelope xmlns:soap="[http://schemas.xmlsoap.org/soap/envelope/](http://schemas.xmlsoap.org/soap/envelope/)">
<soap:Body>
  <NumberToWords xmlns="[http://www.dataaccess.com/webservicesserver/](http://www.dataaccess.com/webservicesserver/)">
    <ubiNum>500</ubiNum>
  </NumberToWords>
</soap:Body>
</soap:Envelope>

Dateiverwaltung

Die Aktion unterstützt die folgenden Workflows zum Verwalten von Dateien:

Dateien herunterladen:
- Wenn Sie möchten, dass Dateidaten als Teil des JSON-Ergebnisses im Base64-Format zurückgegeben werden, wählen Sie Base64 Output aus.
- Wenn Sie eine Datei direkt als ZIP-Archiv in der Fallwand speichern möchten, wählen Sie Save To Case Wall aus.

Dateien hochladen: Wenn Sie eine Datei hochladen möchten, wandeln Sie sie in einen Base64-codierten String um und fügen Sie sie als Teil des Body Payload-Werts ein.

Das folgende Beispiel zeigt eine Bilddatei, die in einen base64-codierten String umgewandelt wurde:

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

Sicherheit: Wählen Sie für vertrauliche Dateien (z. B. Malware) Password Protect Zip aus. Dadurch wird das mit Save To Case Wall erstellte gespeicherte ZIP-Archiv automatisch mit dem Passwort infected verschlüsselt.

Playbook-Blockkonfiguration

Die folgende Konfiguration zeigt, wie Sie die Aktion HTTP-Anfrage ausführen in einem Playbook-Block verwenden. Anhand dieses Beispiels können Sie nachvollziehen, wie Platzhalter und Eingabepräfixe angewendet werden.

Wenn Sie Blockeingaben als Platzhalter verwenden, müssen Sie das Präfix Input. angeben, z. B. [Input.comment].

Methode: PUT

URL-Pfad:

https://{API_URL}/[Input.table_name]/[Input.sys_id]

Header:

{
  "Content-type": "application/json; charset=utf-8",
  "Accept": "application/json",
  "User-Agent": "GoogleSecops"
}

Nutzlast des Textkörpers:
```
{
  "work_notes": "[Input.comment]"
}
```

Aktionseingaben

Für die Aktion HTTP-Anfrage ausführen sind die folgenden Parameter erforderlich:

Parameter	Beschreibung
`Method`	Optional. Die für die Anfrage verwendete HTTP-Methode (Verb). Folgende Werte sind möglich: `GET` `POST` `PUT` `PATCH` `DELETE` `HEAD` `OPTIONS` Der Standardwert ist `GET`.
`URL Path`	Erforderlich. Der API-Endpunkt, an dem die Anfrage ausgeführt wird. Dieser Pfad kann optional Suchparameter enthalten.
`URL Params`	Optional. Die Abfrageparameter für die URL, die als JSON-Objekt bereitgestellt werden. Dies ist die empfohlene Eingabemethode für diesen Parameter, da sie an alle Abfrageparameter angehängt werden, die bereits in `URL Path` definiert sind.
`Headers`	Optional. Die Header für die HTTP-Anfrage, die als JSON-Objekt bereitgestellt werden. Mit Headern werden Aspekte wie die Authentifizierung gesteuert und das Format von `Body Payload` (mit `Content-Type`) definiert.
`Cookie`	Optional. Die im HTTP-Header `Cookie` enthaltenen Cookies, die als JSON-Objekt bereitgestellt werden. Mit diesem Parameter werden alle in `Headers` angegebenen Cookie-Werte überschrieben.
`Body Payload`	Optional. Die Inhalt-Nutzlast für die HTTP-Anfrage, die als JSON-Objekt bereitgestellt wird. Das Format der Anfrage (JSON oder form-urlencoded) wird durch den in `Headers` festgelegten `Content-Type` bestimmt.
`Expected Response Values`	Optional. Das JSON-Objekt mit den Feld-Wert-Paaren, die den erforderlichen Status des Antworttexts definieren. Hinweis:Wenn Sie einen Wert für diesen Parameter angeben, wird das asynchrone Polling-Verhalten ausgelöst. Ausführliche Informationen zu Formatierungsbedingungen und logischen Operatoren finden Sie unter Aktionsverhalten.
`Save To Case Wall`	Optional. Wenn diese Option ausgewählt ist, werden die Antwortdaten als Datei gespeichert und an die Fallwand angehängt. Die Datei wird mit der Erweiterung `.zip` archiviert. Diese ZIP-Datei ist nicht passwortgeschützt, sofern `Password Protect Zip` nicht aktiviert ist.
`Password Protect Zip`	Optional. Wenn diese Option ausgewählt ist, wird das heruntergeladene ZIP-Archiv (das mit `Save To Case Wall` erstellt wurde) mit einem Passwort (z. B. `infected`) verschlüsselt. Verwenden Sie diese Option, wenn Sie es mit verdächtigen oder potenziell schädlichen Dateien zu tun haben, um eine versehentliche Ausführung zu verhindern. Standardmäßig aktiviert.
`Follow Redirects`	Optional. Wenn diese Option ausgewählt ist, folgt die Aktion automatisch allen HTTP-Weiterleitungsantworten (z. B. Statuscodes 301 oder 302) zur endgültigen Ziel-URL. Standardmäßig aktiviert.
`Fail on 4xx/5xx`	Optional. Wenn diese Option ausgewählt ist, schlägt der Schritt explizit fehl, wenn die HTTP-Antwort einen Clientfehler (4xx) oder Serverfehler (5xx) zurückgibt. Standardmäßig aktiviert.
`Base64 Output`	Optional. Wenn diese Option ausgewählt ist, wird der HTTP-Antworttext in einen Base64-codierten String konvertiert. Dies ist nützlich, um heruntergeladene Dateien zu verarbeiten oder zu speichern. Der codierte String darf nicht größer als 15 MB sein.
`Fields To Return`	Erforderlich. Eine durch Kommas getrennte Liste von Feldern, die von der Aktion in der Ausgabe zurückgegeben werden. Folgende Werte sind möglich: `response_data` `redirects` `response_code` `response_cookies` `response_headers` `apparent_encoding` Der Standardwert ist `response_data,redirects,response_code,response_cookies,response_headers,apparent_encoding`.
`Request Timeout`	Erforderlich. Die maximale Zeit in Sekunden, die die Aktion darauf wartet, dass der Server Daten sendet, bevor die Anfrage abgebrochen wird. Der Standardwert ist `120`.

Aktionsausgaben

Die Aktion HTTP-Anfrage ausführen bietet die folgenden Ausgaben:

Ausgabetyp der Aktion	Verfügbarkeit
Anhang im Fall‑Repository	Nicht verfügbar
Link zum Fall-Repository	Nicht verfügbar
Tabelle „Fall-Repository“	Nicht verfügbar
Anreicherungstabelle	Nicht verfügbar
JSON-Ergebnis	Verfügbar
Ausgabenachrichten	Verfügbar
Scriptergebnis.	Verfügbar

JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion HTTP-Anfrage ausführen empfangen wird:

{
   "response_data": {
       "data": {
           "relationships": {
               "comment": [
                   {
                       "name": "example_resource_name",
                       "description": "Description of the object to which the comment belongs."
                   },
                   {
                       "name": "example_user_role",
                       "description": "Description of the user role associated with the comment."
                   }
               ]
           }
       }
   },
   "redirects": [],
   "response_code": 200,
   "cookies": {},
   "response_headers": {
       "Content-Type": "application/json",
       "X-Cloud-Trace-Context": "REDACTED_TRACE_ID",
       "Date": "REDACTED_DATE_TIME",
       "Server": "REDACTED_SERVER_NAME",
       "Content-Length": "REDACTED_VALUE"
   },
   "apparent_encoding": "ascii"
}

Ausgabenachrichten

Die Aktion HTTP-Anfrage ausführen kann die folgenden Ausgabemeldungen zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Ausgabemeldung	Nachrichtenbeschreibung
`Successfully executed API request.` `Successfully executed API request, but the status code 4xx_OR_5xx was returned. Please check the request or try again later.`	Die Aktion wurde erfolgreich ausgeführt.
`Failed to execute API request. Error: ERROR_REASON`	Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Successfully executed API request.

Successfully executed API request, but the status code 4xx_OR_5xx was returned. Please check the request or try again later.

Die Aktion wurde erfolgreich ausgeführt.

Failed to execute API request. Error:
      ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion HTTP-Anfrage ausführen verwendet wird:

Name des Scriptergebnisses	Wert
`is_success`	`true` oder `false`

Autorisierung abrufen

Verwenden Sie die Aktion Get Authorization (Autorisierung abrufen), um den OAuth-Ablauf zu starten und einen Link abzurufen, der den erforderlichen Zugriffscode für die delegierte Authentifizierung enthält.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Get Authorization sind die folgenden Parameter erforderlich:

Parameter Beschreibung

Parameter	Beschreibung
`Oauth Scopes`	Erforderlich. Eine durch Kommas getrennte Liste von Berechtigungen (Bereichen), die die Zugriffsebene für die Zugriffs- und Aktualisierungstokens definieren. Der Standardwert ist `user.read, offline_access`.

Oauth Scopes

Erforderlich.

Eine durch Kommas getrennte Liste von Berechtigungen (Bereichen), die die Zugriffsebene für die Zugriffs- und Aktualisierungstokens definieren.

Der Standardwert ist user.read, offline_access.

Aktionsausgaben

Die Aktion Get Authorization (Autorisierung abrufen) bietet die folgenden Ausgaben:

Ausgabetyp der Aktion	Verfügbarkeit
Anhang im Fall‑Repository	Nicht verfügbar
Link zum Fall-Repository	Nicht verfügbar
Tabelle „Fall-Repository“	Nicht verfügbar
Anreicherungstabelle	Nicht verfügbar
JSON-Ergebnis	Nicht verfügbar
Ausgabenachrichten	Verfügbar
Scriptergebnis.	Verfügbar

Ausgabenachrichten

Die Aktion Get Authorization (Autorisierung abrufen) kann die folgenden Ausgabenachrichten zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Ausgabemeldung	Nachrichtenbeschreibung
`Authorization URL generated successfully. To obtain a URL with access code,Please navigate to the link below as the user that you want to run the integration with., to get a URL with access code. Provide the URL with the access code should be provided next in the Generate Token action.`	Die Aktion wurde erfolgreich ausgeführt.
`Failed to generate the authorization URL! Error is ERROR_REASON`	Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Authorization URL generated successfully. To obtain a URL with access code,Please navigate to the link below as the user that you want to run the integration with., to get a URL with access code. Provide the URL with the access code should be provided next in the Generate Token action.

Die Aktion wurde erfolgreich ausgeführt.

Failed to generate the authorization URL! Error is
      ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Get Authorization verwendet wird:

Name des Scriptergebnisses	Wert
`is_success`	`true` oder `false`

Token generieren

Verwenden Sie die Aktion Token generieren, um ein dauerhaftes Aktualisierungstoken zu erhalten, das für die delegierte Authentifizierung erforderlich ist.

Dieses Token wird mit der Autorisierungs-URL generiert, die über die Aktion Get Authorization (Autorisierung abrufen) empfangen wurde.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Token generieren sind die folgenden Parameter erforderlich:

Parameter Beschreibung

Parameter	Beschreibung
`Authorization URL`	Erforderlich. Die vollständige weitergeleitete URL mit dem Autorisierungscode, der von der Aktion Autorisierung abrufen empfangen wurde. Mit dieser URL wird das Aktualisierungstoken angefordert und generiert.

Authorization URL

Erforderlich.

Die vollständige weitergeleitete URL mit dem Autorisierungscode, der von der Aktion Autorisierung abrufen empfangen wurde. Mit dieser URL wird das Aktualisierungstoken angefordert und generiert.

Aktionsausgaben

Die Aktion Token generieren liefert die folgenden Ausgaben:

Ausgabetyp der Aktion	Verfügbarkeit
Anhang im Fall‑Repository	Nicht verfügbar
Link zum Fall-Repository	Nicht verfügbar
Tabelle „Fall-Repository“	Nicht verfügbar
Anreicherungstabelle	Nicht verfügbar
JSON-Ergebnis	Nicht verfügbar
Ausgabenachrichten	Verfügbar
Scriptergebnis.	Verfügbar

Ausgabenachrichten

Die Aktion Generate Token (Token generieren) kann die folgenden Ausgabenachrichten zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Ausgabemeldung	Nachrichtenbeschreibung
`Successfully fetched the refresh token: TOKEN_VALUE. Enter this token in the integration configuration to enable the integration to authenticate with delegated permissions on behalf of the user that performed the configuration steps. Note: We strongly recommend you configure the "Refresh Token Renewal Job" after you generate the initial refresh token so the job automatically renews and keeps the token valid.`	Die Aktion wurde erfolgreich ausgeführt.
`Failed to get the refresh token! Error is ERROR_REASON`	Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Successfully fetched the refresh token: TOKEN_VALUE. Enter this token in the integration configuration to enable the integration to authenticate with delegated permissions on behalf of the user that performed the configuration steps. Note: We strongly recommend you configure the "Refresh Token Renewal Job" after you generate the initial refresh token so the job automatically renews and keeps the token valid.

Die Aktion wurde erfolgreich ausgeführt.

Failed to get the refresh token! Error is
      ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Token generieren verwendet wird:

Name des Scriptergebnisses	Wert
`is_success`	`true` oder `false`

Ping

Verwenden Sie die Aktion Ping, um die Verbindung zur Azure API zu testen.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Keine.

Aktionsausgaben

Die Aktion Ping bietet die folgenden Ausgaben:

Ausgabetyp der Aktion	Verfügbarkeit
Anhang im Fall‑Repository	Nicht verfügbar
Link zum Fall-Repository	Nicht verfügbar
Tabelle „Fall-Repository“	Nicht verfügbar
Anreicherungstabelle	Nicht verfügbar
JSON-Ergebnis	Verfügbar
Ausgabenachrichten	Verfügbar
Scriptergebnis.	Verfügbar

JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Ping empfangen wird:

{
    "endpoint": "https://api.example-cloud-provider.com/v1.0/health"
}

Ausgabenachrichten

Die Aktion Ping kann die folgenden Ausgabenachrichten zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Ausgabemeldung	Nachrichtenbeschreibung
`Successfully tested connectivity.`	Die Aktion wurde erfolgreich ausgeführt.
`Failed to test connectivity. ERROR_REASON`	Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Successfully tested connectivity.

Die Aktion wurde erfolgreich ausgeführt.

Failed to test connectivity.
      ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Ping aufgeführt:

Name des Scriptergebnisses	Wert
`is_success`	`true` oder `false`

Jobs

Weitere Informationen zu Jobs finden Sie unter Neuen Job konfigurieren und Erweiterte Planung.

Job zum Erneuern des Aktualisierungstokens

Verwenden Sie den Job zum Erneuern von Aktualisierungstokens, um das für die Integration konfigurierte Aktualisierungstoken regelmäßig zu aktualisieren.

Standardmäßig läuft das Aktualisierungstoken alle 90 Tage ab. Wir empfehlen, diesen Job so zu konfigurieren, dass er automatisch alle 7 oder 14 Tage ausgeführt wird, damit das Aktualisierungstoken immer auf dem neuesten Stand ist.

Jobparameter

Für den Refresh Token Renewal Job sind die folgenden Parameter erforderlich:

Parameter Beschreibung

Parameter	Beschreibung
`Integration Environments`	Optional. Eine durch Kommas getrennte Liste der Namen von Integrationsumgebungen, für die der Job Aktualisierungstokens aktualisiert. Jeder Umgebungsname muss in doppelte Anführungszeichen gesetzt werden.

Integration Environments

Optional.

Eine durch Kommas getrennte Liste der Namen von Integrationsumgebungen, für die der Job Aktualisierungstokens aktualisiert.

Jeder Umgebungsname muss in doppelte Anführungszeichen gesetzt werden.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten