Azure Security Center

Integrationsversion: 9.0

Anwendungsfälle

  1. Sicherheitsbenachrichtigungen zur Untersuchung in Google SecOps aufnehmen

  2. Benachrichtigungen aktualisieren

  3. Informationen zur Standardkonformität abrufen

Vorbereitung

Bevor Sie die Integration in der Google SecOps-Plattform konfigurieren, müssen Sie dem Azure-Nutzerkonto die erforderlichen Berechtigungen erteilen und entweder eine Passwortauthentifizierung oder eine OAuth-Authentifizierung konfigurieren.

Berechtigungen konfigurieren

Für diese Integration ist der delegierte Zugriff auf die Azure-Ressourcen erforderlich. Achten Sie darauf, dem Azure-Nutzerkonto, das zum Konfigurieren der Integration verwendet wird, die folgenden erforderlichen Berechtigungen zu gewähren:

  1. Das Nutzerkonto muss ein aktives Mitglied für die folgenden Azure-Rollen sein:

    • Security Reader
    • Security Admin

  2. Weisen Sie dem Nutzer auf der Ebene des Azure-Abos die folgende IAM-Rolle zu: Management Group Reader.

Passwortauthentifizierung konfigurieren

Führen Sie die folgenden Schritte aus, um die Kennwortauthentifizierung für Microsoft Defender for Cloud zu konfigurieren:

  1. Erstellen Sie die Microsoft Entra-App.

  2. Konfigurieren Sie die API-Berechtigungen für Ihre App.

  3. Erstellen Sie einen Clientschlüssel.

  4. Verwenden Sie Ihre Azure-Abo-ID als Wert für den entsprechenden Integrationsparameter.

Microsoft Entra-App erstellen

  1. Melden Sie sich im Azure-Portal als Nutzeradministrator oder Passwortadministrator an.

  2. Wählen Sie Microsoft Entra ID aus.

  3. Rufen Sie App-Registrierungen > Neue Registrierung auf.

  4. Geben Sie den Namen der App ein.

  5. Klicken Sie auf Registrieren.

  6. Speichern Sie die Werte für Anwendungs-ID (Client) und Verzeichnis-ID (Mandant), um sie später bei der Konfiguration der Integrationsparameter zu verwenden.

API-Berechtigungen konfigurieren

  1. Rufen Sie API-Berechtigungen> Berechtigung hinzufügen auf.

  2. Wählen Sie Azure Service Management > Delegated permissions (Azure-Dienstverwaltung > Delegierte Berechtigungen) aus.

  3. Wählen Sie im Bereich Berechtigungen auswählen die folgende Berechtigung aus:

    • user_impersonation

  4. Wählen Sie Microsoft Graph > Delegierte Berechtigungen aus.

  5. Wählen Sie im Abschnitt Berechtigungen auswählen die folgenden Berechtigungen aus:

    • SecurityEvents.Read.All
    • SecurityEvents.ReadWrite.All
    • User.Read

  6. Wählen Sie Microsoft Graph > Anwendungsberechtigungen aus.

  7. Wählen Sie im Abschnitt Berechtigungen auswählen die folgenden Berechtigungen aus:

    • SecurityEvents.Read.All
    • SecurityEvents.ReadWrite.All

  8. Klicken Sie auf Berechtigungen hinzufügen.

  9. Klicken Sie auf Einwilligung des Administrators für YOUR_ORGANIZATION_NAME erteilen.

    Klicken Sie im Dialogfeld Bestätigung der Administratorzustimmung erteilen auf Ja.

Clientschlüssel erstellen

  1. Rufen Sie Zertifikate und Secrets > Neuer Clientschlüssel auf.

  2. Geben Sie eine Beschreibung für einen Clientschlüssel an und legen Sie das Ablaufdatum fest.

  3. Klicken Sie auf Hinzufügen.

  4. Speichern Sie den Wert des Clientschlüssels (nicht die geheime ID), um ihn als Parameterwert für Client Secret bei der Konfiguration der Integration zu verwenden. Der Wert des Clientgeheimnisses wird nur einmal angezeigt.

Integration mit Azure-Abo-ID konfigurieren

  1. Rufen Sie in Microsoft Defender for Cloud den Tab Overview (Übersicht) auf.

  2. Klicken Sie auf Azure-Abos.

  3. Kopieren Sie den Wert der Azure-Abo-ID und geben Sie ihn beim Konfigurieren der Integrationsparameter in den Parameter Subscription ID ein.

OAuth-Authentifizierung konfigurieren

So konfigurieren Sie die OAuth-Authentifizierung für Microsoft Defender for Cloud:

  1. Erstellen Sie die Microsoft Entra-App.

  2. Konfigurieren Sie die API-Berechtigungen für Ihre App.

  3. Erstellen Sie einen Clientschlüssel.

  4. Verwenden Sie Ihre Azure-Abo-ID als Wert für den entsprechenden Integrationsparameter.

Microsoft Entra-App erstellen

So erstellen Sie eine Anwendung und geben sich als der ausgewählte Nutzer aus:

  1. Melden Sie sich im Azure-Portal als Nutzeradministrator oder Passwortadministrator an.

  2. Wählen Sie Microsoft Entra ID aus.

  3. Rufen Sie App-Registrierungen > Neue Registrierung auf.

  4. Geben Sie den Namen der App ein.

  5. Wählen Sie die passenden Unterstützten Kontotypen aus.

  6. Geben Sie für die Weiterleitungs-URL den folgenden Wert an: http://localhost.

  7. Klicken Sie auf Registrieren.

  8. Speichern Sie die Werte für Anwendungs-ID (Client) und Verzeichnis-ID (Mandant), um sie später zum Konfigurieren der Integration zu verwenden.

API-Berechtigungen konfigurieren

  1. Rufen Sie API-Berechtigungen> Berechtigung hinzufügen auf.

  2. Wählen Sie Azure Service Management > Delegated permissions (Azure-Dienstverwaltung > Delegierte Berechtigungen) aus.

  3. Wählen Sie im Bereich Berechtigungen auswählen die folgende Berechtigung aus:

    • user_impersonation

  4. Wählen Sie Microsoft Graph > Delegierte Berechtigungen aus.

  5. Wählen Sie im Abschnitt Berechtigungen auswählen die folgenden Berechtigungen aus:

    • SecurityEvents.Read.All
    • SecurityEvents.ReadWrite.All
    • User.Read

  6. Wählen Sie Microsoft Graph > Anwendungsberechtigungen aus.

  7. Wählen Sie im Abschnitt Berechtigungen auswählen die folgenden Berechtigungen aus:

    • SecurityEvents.Read.All
    • SecurityEvents.ReadWrite.All

  8. Klicken Sie auf Berechtigungen hinzufügen.

  9. Klicken Sie auf Einwilligung des Administrators für YOUR_ORGANIZATION_NAME erteilen.

    Klicken Sie im Dialogfeld Bestätigung der Administratorzustimmung erteilen auf Ja.

Clientschlüssel erstellen

  1. Rufen Sie Zertifikate und Secrets > Neuer Clientschlüssel auf.

  2. Geben Sie eine Beschreibung für einen Clientschlüssel an und legen Sie das Ablaufdatum fest.

  3. Klicken Sie auf Hinzufügen.

  4. Speichern Sie den Wert des Clientschlüssels (nicht die geheime ID), um ihn als Parameterwert für Client Secret bei der Konfiguration der Integration zu verwenden. Der Wert des Clientgeheimnisses wird nur einmal angezeigt.

Integration mit Azure-Abo-ID konfigurieren

  1. Rufen Sie in Microsoft Defender for Cloud den Tab Overview (Übersicht) auf.

  2. Klicken Sie auf Azure-Abos.

  3. Kopieren Sie den Wert der Azure-Abo-ID und geben Sie ihn beim Konfigurieren der Integration in den Parameter Subscription ID ein.

OAuth-Authentifizierung in Google SecOps konfigurieren

Führen Sie die folgenden Schritte aus, um die OAuth-Authentifizierung für Microsoft Defender for Cloud in der Google SecOps-Plattform zu konfigurieren:

  1. Konfigurieren Sie die Integrationsparameter und speichern Sie sie.

  2. Aktualisierungstoken generieren:

    • Optional: Simulieren Sie einen Fall in Google SecOps.

    • Führen Sie die Aktion Get OAuth Authorization Code (OAuth-Autorisierungscode abrufen) manuell aus.

    • Führen Sie die Aktion Generate Token manuell aus.

  3. Geben Sie das abgerufene Aktualisierungstoken als Refresh Token-Parameterwert ein und speichern Sie die Konfiguration.

Integrationsparameter konfigurieren

Konfigurieren Sie in Google SecOps die Integrationsparameter mit den Werten für Client-ID, Clientschlüssel, Mandanten-ID und Abo-ID, die Sie in den vorherigen Schritten abgerufen haben.

Aktualisierungstoken generieren

Zum Generieren eines Aktualisierungstokens sind manuelle Aktionen für alle vorhandenen Fälle erforderlich. Wenn Ihre Google Security Operations-Instanz neu ist und keine vorhandenen Fälle hat, simulieren Sie einen.

Fall simulieren

So simulieren Sie einen Fall in Google SecOps:

  1. Wählen Sie im linken Navigationsbereich Fälle aus.

  2. Klicken Sie auf der Seite „Anfragen“ auf Hinzufügen > „Anfragen simulieren“.

  3. Wählen Sie einen der Standardfälle aus und klicken Sie auf Erstellen. Es spielt keine Rolle, welchen Fall Sie simulieren.

  4. Klicken Sie auf Simulieren.

    Wenn Sie eine andere Umgebung als die Standardumgebung verwenden möchten, wählen Sie die gewünschte Umgebung aus und klicken Sie auf Simulieren.

  5. Klicken Sie auf dem Tab Fälle auf Aktualisieren. Der simulierte Fall wird in der Fallliste angezeigt.

Aktion „OAuth-Autorisierungscode abrufen“ ausführen

Verwenden Sie den simulierten oder einen vorhandenen Google SecOps-Fall, um die Aktion Get OAuth Authorization Code manuell auszuführen.

  1. Wählen Sie auf dem Tab Fälle den simulierten Fall aus, um eine Fallansicht zu öffnen.

  2. Klicken Sie auf Manuelle Aktion.

  3. Geben Sie im Feld „Manuelle Aktion“ Suchen Azure Security Center ein.

  4. Wählen Sie in den Ergebnissen unter der Azure Security Center-Integration die Option OAuth-Autorisierungscode abrufen aus. Mit dieser Aktion wird ein Autorisierungslink zurückgegeben, mit dem Sie sich interaktiv in der Microsoft Entra-App anmelden können.

  5. Geben Sie im Parameterfeld Redirect URL die URL ein, die Sie beim Erstellen der Microsoft Entra-App verwendet haben.

  6. Klicken Sie auf Ausführen.

  7. Nachdem die Aktion ausgeführt wurde, rufen Sie das Fall-Repository Ihres simulierten Falls auf. Klicken Sie im Aktionsdatensatz Azure Security Center_Get OAuth Authorization Code auf Mehr anzeigen und kopieren Sie den Autorisierungslink.

  8. Öffnen Sie ein neues Browserfenster im Inkognitomodus und fügen Sie die generierte Autorisierungs-URL ein. Die Azure-Anmeldeseite wird geöffnet.

  9. Melden Sie sich mit den Nutzeranmeldedaten an, die Sie für die Integration ausgewählt haben. Nach der Anmeldung sollte Ihr Browser mit einem Code in der Adressleiste weitergeleitet werden.

    Ein Beispiel für die resultierende URL mit dem Code sieht so aus:

    http://localhost/?code=0.ATwAylKP1BpbCEeO0Ou5iiakalBV.......nIAA&state=12345&session_state=28084547-3dea-449a-8b4c-c1671342a39d#

  10. Kopieren Sie aus der URL den Zugriffscode, der nach http://localhost/?code= steht. Sie benötigen diesen Zugriffscode, um die Aktion OAuth-Aktualisierungstoken abrufen auszuführen.

Aktion „OAuth-Aktualisierungstoken abrufen“ ausführen

Verwenden Sie den simulierten Google SecOps-Fall, um die Aktion OAuth-Aktualisierungstoken abrufen manuell auszuführen.

  1. Wählen Sie auf dem Tab Fälle den simulierten Fall aus, um eine Fallansicht zu öffnen.

  2. Klicken Sie auf Manuelle Aktion.

  3. Geben Sie im Feld „Manuelle Aktion“ Suchen den Wert Azure Security Center ein.

  4. Wählen Sie in den Ergebnissen unter der Azure Security Center-Integration die Option OAuth-Aktualisierungstoken abrufen aus.

  5. Geben Sie im Parameterfeld Authorization Code den Zugriffscode ein, den Sie nach dem Ausführen der Aktion OAuth-Autorisierungscode abrufen erhalten haben.

  6. Klicken Sie auf Ausführen.

  7. Nachdem die Aktion ausgeführt wurde, rufen Sie das Fall-Repository Ihres simulierten Falls auf. Klicken Sie im Aktionsdatensatz Azure Security Center_Get OAuth Refresh Token auf Mehr anzeigen.

  8. Kopieren Sie den gesamten Wert des generierten Aktualisierungstokens.

Parameter für das Aktualisierungstoken konfigurieren

  1. Rufen Sie das Konfigurationsdialogfeld für die Azure Security Center-Integration auf.

  2. Geben Sie den Wert des Aktualisierungstokens aus dem vorherigen Schritt in das Feld Aktualisierungstoken ein.

  3. Klicken Sie auf Speichern.

Azure Security Center in Google SecOps einbinden

Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Integrationseingaben

Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:

Anzeigename des Parameters Typ Standardwert Ist obligatorisch Beschreibung
Client-ID String Ja Client-ID der Microsoft Entra-Anwendung.
Clientschlüssel Passwort Ja Clientschlüssel der Microsoft Entra-Anwendung.
Nutzername String Nein Nutzername des Microsoft Entra-Kontos.
Passwort Passwort Nein Das Passwort des Microsoft Entra-Kontos.
Abo-ID String Ja

Die ID des Abos, für das Sie Informationen abfragen möchten.

Hinweis: Wenn die Abo-ID auf Integrations- und Aktionsebene angegeben wird, hat die Aktionskonfiguration Vorrang.
Mandanten-ID String Ja Mandanten-ID der Microsoft Entra-Anwendung.
Aktualisierungstoken Passwort Ja Aktualisierungstoken für die OAuth-Autorisierung.
SSL überprüfen Kästchen Deaktiviert Ja Wenn diese Option aktiviert ist, wird überprüft, ob das SSL-Zertifikat für die Verbindung zum Microsoft Defender for Cloud-Server gültig ist.

Aktionen

OAuth-Autorisierungscode abrufen

Generieren Sie einen OAuth-Autorisierungscode, um ein Aktualisierungstoken zu erhalten.

Parameter

Anzeigename des Parameters Typ Standardwert Ist obligatorisch Beschreibung
Weiterleitungs-URL String https://localhost Ja Geben Sie die Weiterleitungs-URL an, die beim Erstellen der Microsoft Entra-App verwendet wurde.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen
is_success is_success=False
is_success is_success=True
Fall-Repository
Ergebnistyp Wert/Beschreibung Type (Entity \ General) (Typ (Entität \ Allgemein))
Ausgabemeldung* Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks beenden: „Authorization code URL in Azure Security Center successfully generated. Kopieren Sie sie und fügen Sie sie in den Browser ein. Kopieren Sie dann den Teil „code“ aus der URL. Dieser Autorisierungscode wird in der Aktion „OAuth-Aktualisierungstoken abrufen“ verwendet. . Allgemein
Link

Name:Autorisierungscode-Link
URL: {generated link}

OAuth-Aktualisierungstoken abrufen

Generieren Sie das Aktualisierungstoken, das für die Konfiguration der Integration erforderlich ist. Der Autorisierungscode kann mit der Aktion OAuth-Autorisierungscode abrufen generiert werden.

Parameter

Anzeigename des Parameters Typ Standardwert Ist obligatorisch Beschreibung
Weiterleitungs-URL String https://localhost Ja Geben Sie die Weiterleitungs-URL an, die beim Erstellen der App verwendet wurde.
Autorisierungscode String Ja Autorisierungscode aus der Aktion „OAuth-Autorisierungscode abrufen“ angeben

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen
is_success is_success=False
is_success is_success=True
JSON-Ergebnis
{
    "token_type": "Bearer",
    "scope": "user_impersonation",
    "expires_in": "3599",
    "ext_expires_in": "3599",
    "expires_on": "1628514482",
    "not_before": "1628510582",
    "resource": "https://management.azure.com",
    "access_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Im5PbzNaRH",
    "refresh_token": "0.ATwAylKP1BpbCEeO0Ou5iiakalBVs4hy5YpMhS4OVguFb9Y8AGw",
    "id_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJub25lIn0.eyJhdWQiOiI4OGIzNTU1MC1"
}
Fall-Repository
Ergebnistyp Wert/Beschreibung Type (Entity \ General) (Typ (Entität \ Allgemein))
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Wenn der Statuscode 200 gemeldet wird (is_success = true): „Successfully generated refresh token in Azure Security Center.“ (Das Aktualisierungstoken wurde erfolgreich in Azure Security Center generiert.)

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, fehlender Verbindung zum Server oder anderen: „Fehler beim Ausführen der Aktion ‚OAuth-Aktualisierungstoken abrufen‘. Grund: {0}''.format(error.Stacktrace)

Wenn kein 200er-Statuscode: „Fehler beim Ausführen der Aktion ‚OAuth-Aktualisierungstoken abrufen‘. Grund: {0}''.format(error_description)

 Allgemein

Zulassungsstandards auflisten

Listet die verfügbaren regulatorischen Standards in Microsoft Defender for Cloud auf.

Parameter

Anzeigename des Parameters Typ Standardwert Ist obligatorisch Beschreibung
Abo-ID String Nein

Geben Sie die ID des Abos an, für das Sie Informationen abfragen möchten.

Hinweis: Wenn die Abo-ID auf Integrations- und Aktionsebene angegeben wird, hat die Aktionskonfiguration Vorrang.
Bundesstaatfilter CSV Fehlgeschlagen Nein

Geben Sie die durch Kommas getrennte Liste der Bundesstaaten an. Beispiel: „Fehlgeschlagen“, „Übersprungen“. Es werden nur Standards mit dem entsprechenden Status zurückgegeben. Wenn Sie beispielsweise „Failed“ (Fehlgeschlagen) angeben, werden nur fehlgeschlagene Standards zurückgegeben.

Mögliche Werte: Passed,Failed,Unsupported,Skipped
Maximale Anzahl zurückzugebender Standards String 50 Nein Geben Sie an, wie viele Standards zurückgegeben werden sollen.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen
is_success is_success=False
is_success is_success=True
JSON-Ergebnis
{
    "value": [
        {
            "id": "/subscriptions/a052d33b-b7c4-4dc7-9e17-5c89ea594669/providers/Microsoft.Security/regulatoryComplianceStandards/Azure-CIS-1.1.0",
            "name": "Azure-CIS-1.1.0",
            "type": "Microsoft.Security/regulatoryComplianceStandards",
            "properties": {
                "state": "Failed",
                "passedControls": 21,
                "failedControls": 3,
                "skippedControls": 0,
                "unsupportedControls": 87
            }
        }
    ]
}
Fall-Repository
Ergebnistyp Wert/Beschreibung Type (Entity \ General) (Typ (Entität \ Allgemein))
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Wenn Statuscode 200 und nach dem Filtern Daten vorhanden sind: „Successfully retrieved regulatory controls for the provided standards in Microsoft Azure Security Center“ (Die behördlichen Kontrollen für die angegebenen Standards wurden in Microsoft Azure Security Center erfolgreich abgerufen)

Wenn Statuscode 200 und nach dem Filtern keine Daten vorhanden sind: „Es wurden keine behördlichen Standards im Microsoft Azure Security Center gefunden.“

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn ein schwerwiegender Fehler oder ein SDK-Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚List Regulatory Standards‘.“ Grund: {0}''.format(error.Stacktrace)

Wenn der Statusfilter ungültige Werte enthält: „Fehler beim Ausführen der Aktion ‚List Regulatory Standards‘.“ Grund: Der Parameter „State Filter“ (Statusfilter) darf nur die folgenden Werte enthalten: „Passed“ (Bestanden), „Failed“ (Fehlgeschlagen), „Skipped“ (Übersprungen), „Unsupported“ (Nicht unterstützt).''

 Allgemein
Tabelle „Fall-Repository“

Name:Regulierungsstandards

Spalte:

  • Name
  • Bundesland
  • Bestandene Kontrollen
  • Fehlgeschlagene Kontrollen
  • Übersprungene Kontrollvariablen
  • Nicht unterstützte Steuerelemente
 Allgemein

Regulierungsstandard-Kontrollen auflisten

Verfügbare Steuerelemente im Zusammenhang mit Standards in Microsoft Defender for Cloud auflisten.

Parameter

Anzeigename des Parameters Typ Standardwert Ist obligatorisch Beschreibung
Abo-ID String Nein

Geben Sie die ID des Abos an, für das Sie Informationen abfragen möchten.

Hinweis: Wenn die Abo-ID auf Integrations- und Aktionsebene angegeben wird, hat die Aktionskonfiguration Vorrang.
Standardnamen CSV Ja Geben Sie eine durch Kommas getrennte Liste von Standardnamen an, für die Sie Details abrufen möchten. Beispiel: Azure-CIS-1.1.0
Bundesstaatfilter CSV Fehlgeschlagen Nein

Geben Sie die durch Kommas getrennte Liste der Bundesstaaten an. Beispiel: „Fehlgeschlagen“, „Übersprungen“. Es werden nur Steuerelemente mit dem entsprechenden Status zurückgegeben. Wenn Sie beispielsweise „Failed“ (Fehlgeschlagen) angeben, werden nur fehlgeschlagene Steuerelemente zurückgegeben.

Mögliche Werte: Passed,Failed,Unsupported,Skipped
Maximale Anzahl zurückzugebender Steuerelemente String 50 Nein Geben Sie an, wie viele Kontrollen pro Standard zurückgegeben werden sollen.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen
is_success is_success=False
is_success is_success=True
JSON-Ergebnis
{
    "results": [
      "Name": "{Standard_name}",
      "Controls":
[
        {
            "id": "/subscriptions/a052d33b-b7c4-4dc7-9e17-5c89ea594669/providers/Microsoft.Security/regulatoryComplianceStandards/Azure-CIS-1.1.0",
            "name": "Azure-CIS-1.1.0",
            "type": "Microsoft.Security/regulatoryComplianceStandards",
            "properties": {
                "state": "Failed",
                "passedControls": 21,
                "failedControls": 3,
                "skippedControls": 0,
                "unsupportedControls": 87
            }
        }
    ]
}
Fall-Repository
Ergebnistyp Wert/Beschreibung Typ (Entität \ Allgemein)
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Wenn Statuscode 200 und nach dem Filtern Daten für mindestens einen Standard vorhanden sind(is_success = true) : „Die behördlichen Kontrollen für die folgenden Standards wurden in Microsoft Azure Security Center abgerufen:\n {0}“.format(standard)

Wenn der Standardtest fehlschlägt(is_success = true): „Action wasn't able to retrieve regulatory controls for the following standards in Microsoft Azure Security Center:\n {0}".format(standard)

Wenn nach dem Filtern (is_success=true) keine Daten für einige Standards gefunden werden: „Für die folgenden Standards wurden im Microsoft Azure Security Center keine behördlichen Kontrollen gefunden:\n {0}“.format(standard)

Wenn für alle Standards basierend auf Filtern keine Daten gefunden werden: „Für die angegebenen Standards wurden keine regulatorischen Kontrollen gefunden.“

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn ein schwerwiegender Fehler oder ein SDK-Fehler wie falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler gemeldet wird: „Fehler beim Ausführen der Aktion ‚Regulierungsstandard-Kontrollen auflisten‘. Grund: {0}''.format(error.Stacktrace)

Wenn der Statusfilter ungültige Werte enthält: „Fehler beim Ausführen der Aktion ‚List Regulatory Standard Controls‘. Grund: Der Parameter „State Filter“ (Statusfilter) darf nur die folgenden Werte enthalten: „Passed“ (Bestanden), „Failed“ (Fehlgeschlagen), „Skipped“ (Übersprungen), „Unsupported“ (Nicht unterstützt).''

 Allgemein
Tabelle „Fall-Repository“

Tabellenname: „Regulatory Controls: {0}“.format(Standard)

Spalte:

  • Name
  • Bundesland
  • Beschreibung
  • Bestandene Prüfungen
  • Nicht bestandene Prüfungen
  • Übersprungene Bewertungen
 Allgemein

Ping

Testen Sie die Verbindung zu Microsoft Defender for Cloud mit Parametern, die auf der Seite für die Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen
is_success is_success=False
is_success is_success=True
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Bei Erfolg: „Successfully connected to the Azure Security Center server with the provided connection parameters!“ (Die Verbindung zum Azure Security Center-Server wurde mit den angegebenen Verbindungsparametern hergestellt.)

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn das nicht funktioniert: „Verbindung zum Azure Security Center-Server konnte nicht hergestellt werden! Fehler: {0}".format(exception.stacktrace)

 Allgemein

Benachrichtigungsstatus aktualisieren

Aktualisieren Sie den Status der Warnung in Microsoft Defender for Cloud.

Parameter

Anzeigename des Parameters Typ Standardwert Ist obligatorisch Beschreibung
Abo-ID String Nein

Geben Sie die ID des Abos an, für das Sie Informationen abfragen möchten.

Hinweis: Wenn die Abo-ID auf Integrations- und Aktionsebene angegeben wird, hat die Aktionskonfiguration Vorrang.
Benachrichtigungs-ID String Ja Geben Sie die ID der Benachrichtigung an, deren Status Sie aktualisieren möchten.
Standort String Ja Geben Sie den Ort der Benachrichtigung an. Beispiel: centralus.
Status DDL

Klären

Mögliche Werte:

  • Schließen
  • Wieder aktivieren
  • Klären
 Ja Geben Sie den Status für die Benachrichtigung an.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen
is_success is_success=False
is_success is_success=True
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Wenn Statuscode 204 (is_success = true) : „Die Benachrichtigung mit der ID {1} wurde in Microsoft Azure Security Center erfolgreich {0}:\n {0}“.format(dismissed/resolved/reactivated, alert_id)

Wenn „errors“ in der Antwort enthalten ist (is_success = false): „Die Aktion konnte keine Benachrichtigung mit der ID {1} im Microsoft Azure Security Center auslösen. Grund: {2}".format(dismiss/resolve/reactivate, alert_id, errors/message)

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn ein schwerwiegender Fehler oder SDK-Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Benachrichtigungsstatus aktualisieren‘. Grund: {0}''.format(error.Stacktrace)

 Allgemein

Connectors

Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Connector konfigurieren.

Azure Security Center – Connector für Sicherheitswarnungen

Sicherheitswarnungen aus Microsoft Defender for Cloud abrufen

Connector-Parameter

Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:

Anzeigename des Parameters Typ Standardwert Ist obligatorisch Beschreibung
Produktfeldname String Produktname Ja Geben Sie den Namen des Quellfelds ein, um den Namen des Produktfelds abzurufen.
Name des Ereignisfelds String resourceType Ja Geben Sie den Namen des Quellfelds ein, um den Namen des Ereignisfelds abzurufen.
Name des Umgebungsfelds String "" Nein

Beschreibt den Namen des Felds, in dem der Umgebungsname gespeichert ist.

Wenn das Feld „environment“ nicht gefunden wird, ist die Umgebung die Standardumgebung.
Regex-Muster für Umgebung String .* Nein

Ein regulärer Ausdruck, der auf den Wert im Feld „Name des Umgebungsfelds“ angewendet wird.

Der Standardwert ist „.*“, um alle Werte zu erfassen und unverändert zurückzugeben.

Damit kann der Nutzer das Feld „environment“ über Regex-Logik bearbeiten.

Wenn das reguläre Ausdrucksmuster null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung.
Zeitlimit für Script (Sekunden) Ganzzahl 180 Ja Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird.
Client-ID String Wahr Client-ID der Microsoft Entra-Anwendung.
Clientschlüssel Passwort Wahr Clientschlüssel der Microsoft Entra-Anwendung.
Nutzername String Wahr Nutzername des Microsoft Entra-Kontos.
Passwort Passwort Wahr Das Passwort des Microsoft Entra-Kontos.
Abo-ID String Wahr Abonnement-ID der Microsoft Entra-Anwendung
Mandanten-ID String Wahr Mandanten-ID der Microsoft Entra-Anwendung.
Niedrigster abzurufender Schweregrad String Niedrig

Der niedrigste Schweregrad, der zum Abrufen von Benachrichtigungen verwendet wird.

Mögliche Werte: Niedrig, Mittel, Hoch
Max. Anzahl der abzurufenden Benachrichtigungen Ganzzahl 50 Nein Die Anzahl der Warnungen, die pro Connector-Iteration verarbeitet werden sollen.
Maximale Stunden zurück Ganzzahl 1 Nein Gibt an, wie viele Stunden in der Vergangenheit Benachrichtigungen abgerufen werden sollen.
Zulassungsliste als Sperrliste verwenden Kästchen Deaktiviert Ja Wenn diese Option aktiviert ist, wird die dynamische Liste als Sperrliste verwendet.
SSL überprüfen Kästchen Deaktiviert Ja Wenn diese Option aktiviert ist, prüfen Sie, ob das SSL-Zertifikat für die Verbindung zum Microsoft Defender for Cloud-Server gültig ist.
Proxyserveradresse String Nein Die Adresse des zu verwendenden Proxyservers.
Proxy-Nutzername String Nein Der Proxy-Nutzername für die Authentifizierung.
Proxy-Passwort Passwort Nein Das Proxy-Passwort für die Authentifizierung.
Aktualisierungstoken Passwort Nein Aktualisierungstoken für die OAuth-Autorisierung.

Connector-Regeln

Proxyunterstützung.

Der Connector unterstützt Proxys.

Jobs

Wenn Sie Jobs in Google Security Operations konfigurieren möchten, rufen Sie Reaktion > Job Scheduler auf.

Job zum Erneuern von Aktualisierungstokens

Ziel des Jobs zur Erneuerung des Aktualisierungstokens ist es, das in der Integration verwendete Aktualisierungstoken regelmäßig zu aktualisieren.

Standardmäßig läuft das Aktualisierungstoken alle 90 Tage ab. Nach Ablauf ist die Integration nicht mehr nutzbar. Es wird empfohlen, diesen Job alle 7 oder 14 Tage auszuführen, damit das Aktualisierungstoken immer auf dem neuesten Stand ist.

Job-Eingaben

Verwenden Sie die folgenden Parameter, um den Job zu konfigurieren:

Parameter
Integrationsumgebungen Optional

Integrationsumgebungen, für die der Job die Aktualisierungstokens aktualisiert.

Für diesen Parameter können mehrere Werte als durch Kommas getrennter String angegeben werden. Setzen Sie einzelne Werte in Anführungszeichen (" ").
Connector-Namen Optional

Connector-Namen, für die die Aktualisierungstokens durch den Job aktualisiert werden.

Für diesen Parameter können mehrere Werte als durch Kommas getrennter String angegeben werden. Setzen Sie einzelne Werte in Anführungszeichen (" ").

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten