Cette page a été traduite par l'API Cloud Translation.

Azure Security Center

Version de l'intégration : 9.0

Cas d'utilisation

Ingérez les alertes de sécurité dans Google SecOps pour les examiner.
Mettez à jour les alertes.
Récupérez des informations sur la conformité aux normes.

Prérequis

Avant de configurer l'intégration dans la plate-forme Google SecOps, assurez-vous d'accorder les autorisations requises au compte utilisateur Azure et de configurer une authentification par mot de passe ou une authentification OAuth.

Configurer les autorisations

Cette intégration nécessite un accès délégué aux ressources Azure. Veillez à accorder les autorisations requises suivantes au compte utilisateur Azure utilisé pour configurer l'intégration :

Le compte utilisateur doit être un membre actif pour les rôles Azure suivants :
- Security Reader
- Security Admin
Au niveau de l'abonnement Azure, assurez-vous d'attribuer à l'utilisateur le rôle IAM suivant : Management Group Reader.

Configurer l'authentification par mot de passe

Pour configurer l'authentification par mot de passe pour Microsoft Defender pour le cloud, procédez comme suit :

Créez l'application Microsoft Entra.
Configurez les autorisations de l'API pour votre application.
Créez un code secret du client.
Utilisez votre ID d'abonnement Azure comme valeur pour le paramètre d'intégration correspondant.

Créer une application Microsoft Entra

Connectez-vous au portail Azure en tant qu'administrateur d'utilisateurs ou administrateur de mots de passe.
Sélectionnez Microsoft Entra ID.
Accédez à Inscriptions d'applications > Nouvelle inscription.
Saisissez le nom de l'application.
Cliquez sur S'inscrire.
Enregistrez les valeurs Application (client) ID (ID (client) de l'application) et Directory (tenant) ID (ID (de locataire) de l'annuaire) pour les utiliser ultérieurement lors de la configuration des paramètres d'intégration.

Configurer les autorisations de l'API

Accédez à Autorisations d'API > Ajouter une autorisation.
Sélectionnez Gestion des services Azure > Autorisations déléguées.
Dans la section Sélectionner des autorisations, sélectionnez l'autorisation suivante :
- user_impersonation
Sélectionnez Microsoft Graph> Autorisations déléguées.
Dans la section Sélectionner des autorisations, sélectionnez les autorisations suivantes :
- SecurityEvents.Read.All
- SecurityEvents.ReadWrite.All
- User.Read
Sélectionnez Microsoft Graph > Autorisations de l'application.
Dans la section Sélectionner des autorisations, sélectionnez les autorisations suivantes :
- SecurityEvents.Read.All
- SecurityEvents.ReadWrite.All
Cliquez sur Ajouter des autorisations.
Cliquez sur Accorder le consentement administrateur pour YOUR_ORGANIZATION_NAME.

Lorsque la boîte de dialogue Confirmation de l'accord de l'administrateur s'affiche, cliquez sur Oui.

Créer code secret du client

Accédez à Certificats et codes secrets > Nouveau code secret du client.
Indiquez une description pour un code secret du client et définissez sa date d'expiration.
Cliquez sur Ajouter.
Enregistrez la valeur du code secret du client (et non l'ID du code secret) pour l'utiliser comme valeur du paramètre Client Secret lors de la configuration de l'intégration. La valeur du secret client n'est affichée qu'une seule fois.

Configurer l'intégration avec l'ID d'abonnement Azure

Dans Microsoft Defender pour le cloud, accédez à l'onglet Vue d'ensemble.
Cliquez sur Abonnements Azure.
Copiez la valeur de l'ID d'abonnement Azure et saisissez-la dans le paramètre Subscription ID lors de la configuration des paramètres d'intégration.

Configurer l'authentification OAuth

Pour configurer l'authentification OAuth pour Microsoft Defender for Cloud, procédez comme suit :

Créez l'application Microsoft Entra.
Configurez les autorisations de l'API pour votre application.
Créez un code secret du client.
Utilisez votre ID d'abonnement Azure comme valeur pour le paramètre d'intégration correspondant.

Créer une application Microsoft Entra

Pour créer une application et emprunter l'identité de l'utilisateur choisi, procédez comme suit :

Connectez-vous au portail Azure en tant qu'administrateur d'utilisateurs ou administrateur de mots de passe.
Sélectionnez Microsoft Entra ID.
Accédez à Inscriptions d'applications > Nouvelle inscription.
Saisissez le nom de l'application.
Sélectionnez les types de comptes compatibles.
Pour l'URL de redirection, indiquez la valeur suivante : http://localhost.
Cliquez sur S'inscrire.
Enregistrez les valeurs Application (client) ID (ID (client) de l'application) et Directory (tenant) ID (ID (de locataire) de l'annuaire) pour les utiliser ultérieurement afin de configurer l'intégration.

Configurer les autorisations de l'API

Accédez à Autorisations d'API > Ajouter une autorisation.
Sélectionnez Gestion des services Azure > Autorisations déléguées.
Dans la section Sélectionner des autorisations, sélectionnez l'autorisation suivante :
- user_impersonation
Sélectionnez Microsoft Graph> Autorisations déléguées.
Dans la section Sélectionner des autorisations, sélectionnez les autorisations suivantes :
- SecurityEvents.Read.All
- SecurityEvents.ReadWrite.All
- User.Read
Sélectionnez Microsoft Graph > Autorisations de l'application.
Dans la section Sélectionner des autorisations, sélectionnez les autorisations suivantes :
- SecurityEvents.Read.All
- SecurityEvents.ReadWrite.All
Cliquez sur Ajouter des autorisations.
Cliquez sur Accorder le consentement administrateur pour YOUR_ORGANIZATION_NAME.

Lorsque la boîte de dialogue Confirmation de l'accord de l'administrateur s'affiche, cliquez sur Oui.

Créer code secret du client

Accédez à Certificats et codes secrets > Nouveau code secret du client.
Indiquez une description pour un code secret du client et définissez sa date d'expiration.
Cliquez sur Ajouter.
Enregistrez la valeur du code secret du client (et non l'ID du code secret) pour l'utiliser comme valeur du paramètre Client Secret lors de la configuration de l'intégration. La valeur du secret client n'est affichée qu'une seule fois.

Configurer l'intégration avec l'ID d'abonnement Azure

Dans Microsoft Defender pour le cloud, accédez à l'onglet Vue d'ensemble.
Cliquez sur Abonnements Azure.
Copiez la valeur de l'ID d'abonnement Azure et saisissez-la dans le paramètre Subscription ID lors de la configuration de l'intégration.

Configurer l'authentification OAuth dans Google SecOps

Pour configurer l'authentification OAuth pour Microsoft Defender for Cloud dans la plate-forme Google SecOps, procédez comme suit :

Configurez les paramètres d'intégration et enregistrez-les.
Générez un jeton d'actualisation :
- Facultatif : Simulez une demande dans Google SecOps.
- Exécutez manuellement l'action Get OAuth Authorization Code (Obtenir le code d'autorisation OAuth).
- Exécutez manuellement l'action Generate Token (Générer un jeton).
Saisissez le jeton d'actualisation obtenu comme valeur du paramètre Refresh Token, puis enregistrez la configuration.

Configurer les paramètres d'intégration

Dans Google SecOps, configurez les paramètres d'intégration avec les valeurs d'ID client, de code secret du client, d'ID de locataire et d'ID d'abonnement que vous avez obtenues lors des étapes précédentes.

Générer un jeton d'actualisation

Pour générer un jeton d'actualisation, vous devez effectuer des actions manuelles sur n'importe quelle demande existante. Si votre instance Google Security Operations est nouvelle et ne comporte aucun cas existant, simulez-en un.

Simuler un cas

Pour simuler un cas dans Google SecOps, procédez comme suit :

Dans le panneau de navigation de gauche, sélectionnez Demandes.
Sur la page "Demandes", cliquez sur add > Simuler des demandes.
Sélectionnez l'un des cas par défaut, puis cliquez sur Créer. Le cas que vous choisissez de simuler n'a pas d'importance.
Cliquez sur Simuler.

Si vous disposez d'un environnement autre que celui par défaut et que vous souhaitez l'utiliser, sélectionnez l'environnement approprié, puis cliquez sur Simuler.
Dans l'onglet Demandes, cliquez sur Actualiser. Le cas que vous avez simulé apparaît dans la liste des cas.

Exécuter l'action "Obtenir le code d'autorisation OAuth"

Utilisez le cas Google SecOps que vous avez simulé ou tout autre cas existant pour exécuter manuellement l'action Get OAuth Authorization Code (Obtenir le code d'autorisation OAuth).

Dans l'onglet Demandes, sélectionnez votre demande simulée pour ouvrir une vue de la demande.
Cliquez sur Action manuelle.
Dans le champ Rechercher de l'action manuelle, saisissez Azure Security Center.
Dans les résultats sous l'intégration Azure Security Center, sélectionnez Obtenir le code d'autorisation OAuth. Cette action renvoie un lien d'autorisation utilisé pour se connecter de manière interactive à l'application Microsoft Entra.
Dans le champ du paramètre Redirect URL, saisissez l'URL que vous avez utilisée lors de la création de l'application Microsoft Entra.
Cliquez sur Exécuter.
Une fois l'action exécutée, accédez au mur de cas de votre cas simulé. Dans l'enregistrement de l'action Azure Security Center_Get OAuth Authorization Code, cliquez sur Afficher plus et copiez le lien d'autorisation.
Ouvrez une nouvelle fenêtre de navigateur en mode navigation privée et collez l'URL d'autorisation générée. La page de connexion Azure s'ouvre.
Connectez-vous avec les identifiants utilisateur que vous avez sélectionnés pour l'intégration. Une fois connecté, votre navigateur doit être redirigé avec un code dans la barre d'adresse.

Voici un exemple d'URL obtenue avec le code :
```
http://localhost/?code=0.ATwAylKP1BpbCEeO0Ou5iiakalBV.......nIAA&state=12345&session_state=28084547-3dea-449a-8b4c-c1671342a39d#
```
Dans l'URL, copiez le code d'accès qui suit http://localhost/?code=. Vous avez besoin de ce code d'accès pour exécuter l'action Obtenir un jeton d'actualisation OAuth.

Exécuter l'action "Obtenir le jeton d'actualisation OAuth"

Utilisez le cas Google SecOps que vous avez simulé pour exécuter manuellement l'action Obtenir le jeton d'actualisation OAuth .

Dans l'onglet Demandes, sélectionnez votre demande simulée pour ouvrir une vue de la demande.
Cliquez sur Action manuelle.
Dans le champ Rechercher de l'action manuelle, saisissez Azure Security Center.
Dans les résultats de l'intégration Azure Security Center, sélectionnez Obtenir le jeton d'actualisation OAuth.
Dans le champ du paramètre Authorization Code, saisissez le code d'accès que vous avez obtenu après avoir exécuté l'action Obtenir le code d'autorisation OAuth.
Cliquez sur Exécuter.
Une fois l'action exécutée, accédez au mur de cas de votre cas simulé. Dans l'enregistrement de l'action Azure Security Center_Get OAuth Refresh Token, cliquez sur Afficher plus.
Copiez l'intégralité de la valeur du jeton d'actualisation généré.

Configurer le paramètre "Jeton d'actualisation"

Accédez à la boîte de dialogue de configuration de l'intégration Azure Security Center.
Saisissez la valeur du jeton d'actualisation de l'étape précédente dans le champ Jeton d'actualisation.
Cliquez sur Enregistrer.

Intégrer le centre de sécurité Azure à Google SecOps

Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.

Entrées d'intégration

Utilisez les paramètres suivants pour configurer l'intégration :

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
ID client	Chaîne	N/A	Oui	ID client de l'application Microsoft Entra.
Code secret du client	Mot de passe	N/A	Oui	Code secret du client de l'application Microsoft Entra.
Nom d'utilisateur	Chaîne	N/A	Non	Nom d'utilisateur du compte Microsoft Entra.
Mot de passe	Mot de passe	N/A	Non	Mot de passe du compte Microsoft Entra.
ID d'abonnement	Chaîne	N/A	Oui	ID de l'abonnement pour lequel vous souhaitez interroger des informations. Remarque : Si un ID d'abonnement est fourni au niveau de l'intégration et de l'action, la priorité est accordée à la configuration de l'action.
ID du locataire	Chaîne	N/A	Oui	ID de locataire de l'application Microsoft Entra.
Jeton d'actualisation	Mot de passe	N/A	Oui	Jeton d'actualisation pour l'autorisation OAuth.
Vérifier le protocole SSL	Case à cocher	Décochée	Oui	Si cette option est activée, elle vérifie que le certificat SSL pour la connexion au serveur Microsoft Defender pour le cloud est valide.

Actions

Obtenir un code d'autorisation OAuth

Générez un code d'autorisation OAuth pour obtenir un jeton d'actualisation.

Paramètres

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
URL de redirection	Chaîne	https://localhost	Oui	Spécifiez l'URL de redirection qui a été utilisée lors de la création de l'application Microsoft Entra.

Date d'exécution

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur
is_success	is_success=False
is_success	is_success=True

Mur des cas

Type de résultat	Valeur/Description	Type (Entité \ Général)
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : "URL du code d'autorisation générée avec succès dans Azure Security Center. Veuillez la copier et la coller dans le navigateur. Copiez ensuite la partie "code" de l'URL. Ce code d'autorisation est utilisé dans l'action "Obtenir le jeton d'actualisation OAuth". ".	Général
Lien	Nom : lien du code d'autorisation URL : {lien généré}

Obtenir un jeton d'actualisation OAuth

Générez le jeton d'actualisation nécessaire à la configuration de l'intégration. Le code d'autorisation peut être généré à l'aide de l'action Obtenir le code d'autorisation OAuth.

Paramètres

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
URL de redirection	Chaîne	https://localhost	Oui	Spécifiez l'URL de redirection utilisée lors de la création de l'application.
Code d'autorisation	Chaîne		Oui	Spécifiez le code d'autorisation à partir de l'action "Obtenir le code d'autorisation OAuth".

Date d'exécution

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur
is_success	is_success=False
is_success	is_success=True

Résultat JSON

{
    "token_type": "Bearer",
    "scope": "user_impersonation",
    "expires_in": "3599",
    "ext_expires_in": "3599",
    "expires_on": "1628514482",
    "not_before": "1628510582",
    "resource": "https://management.azure.com",
    "access_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Im5PbzNaRH",
    "refresh_token": "0.ATwAylKP1BpbCEeO0Ou5iiakalBVs4hy5YpMhS4OVguFb9Y8AGw",
    "id_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJub25lIn0.eyJhdWQiOiI4OGIzNTU1MC1"
}

Mur des cas

Type de résultat	Valeur/Description	Type (Entité \ Général)
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si le code d'état 200 est signalé (is_success = true) : "Jeton d'actualisation généré avec succès dans Azure Security Center." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale se produit (par exemple, des identifiants incorrects, aucune connexion au serveur, etc.) : "Error executing action "Get OAuth Refresh Token". Raison : {0}''.format(error.Stacktrace) Si le code d'état n'est pas 200 : "Erreur lors de l'exécution de l'action "Obtenir le jeton d'actualisation OAuth". Motif : {0}''.format(error_description)	Général

Type de résultat

Valeur/Description

Type (Entité \ Général)

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si le code d'état 200 est signalé (is_success = true) : "Jeton d'actualisation généré avec succès dans Azure Security Center."

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale se produit (par exemple, des identifiants incorrects, aucune connexion au serveur, etc.) : "Error executing action "Get OAuth Refresh Token". Raison : {0}''.format(error.Stacktrace)

Si le code d'état n'est pas 200 : "Erreur lors de l'exécution de l'action "Obtenir le jeton d'actualisation OAuth". Motif : {0}''.format(error_description)

Général

Lister les normes réglementaires

Lister les normes réglementaires disponibles dans Microsoft Defender pour le cloud.

Paramètres

Nom à afficher du paramètre

Type

Valeur par défaut

Obligatoire

Description

ID d'abonnement

Chaîne

N/A

Non

Spécifiez l'ID de l'abonnement pour lequel vous souhaitez interroger des informations.

Remarque : Si un ID d'abonnement est fourni au niveau de l'intégration et de l'action, la priorité est accordée à la configuration de l'action.

Filtre par état

CSV

Échec

Non

Spécifiez la liste des états séparés par une virgule. Exemple : "Échec", "Ignoré". Seules les normes dont l'état correspond à celui spécifié seront renvoyées. Par exemple, si vous spécifiez "Échec", l'action ne renverra que les normes ayant échoué.

Valeurs possibles : "Passed" (Réussite), "Failed" (Échec), "Unsupported" (Non pris en charge), "Skipped" (Ignoré)

Nombre maximal de normes à renvoyer

Chaîne

Non

Indiquez le nombre de normes à renvoyer.

Date d'exécution

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur
is_success	is_success=False
is_success	is_success=True

Résultat JSON

{
    "value": [
        {
            "id": "/subscriptions/a052d33b-b7c4-4dc7-9e17-5c89ea594669/providers/Microsoft.Security/regulatoryComplianceStandards/Azure-CIS-1.1.0",
            "name": "Azure-CIS-1.1.0",
            "type": "Microsoft.Security/regulatoryComplianceStandards",
            "properties": {
                "state": "Failed",
                "passedControls": 21,
                "failedControls": 3,
                "skippedControls": 0,
                "unsupportedControls": 87
            }
        }
    ]
}

Mur des cas

Type de résultat	Valeur/Description	Type (Entité \ Général)
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si le code d'état est 200 et que nous avons des données après le filtrage : "Récupération réussie des contrôles réglementaires pour les normes fournies dans Microsoft Azure Security Center" Si le code d'état est 200 et qu'après filtrage, nous n'avons aucune donnée : "Aucune norme réglementaire n'a été trouvée dans Microsoft Azure Security Center" L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale ou une erreur de SDK (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) est signalée : "Erreur lors de l'exécution de l'action "Lister les normes réglementaires". Raison : {0}''.format(error.Stacktrace) Si le filtre d'état contient des valeurs non valides : "Erreur lors de l'exécution de l'action "Lister les normes réglementaires". Motif : Le paramètre "State Filter" (Filtre d'état) ne doit contenir que les valeurs suivantes : "Passed" (Réussi), "Failed" (Échec), "Skipped" (Ignoré) et "Unsupported" (Non pris en charge).""	Général
Tableau du mur des cas	Nom : normes réglementaires Colonne : Nom État Contrôles réussis Contrôles ayant échoué Commandes ignorées Commandes non compatibles	Général

Type de résultat

Valeur/Description

Type (Entité \ Général)

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si le code d'état est 200 et que nous avons des données après le filtrage : "Récupération réussie des contrôles réglementaires pour les normes fournies dans Microsoft Azure Security Center"

Si le code d'état est 200 et qu'après filtrage, nous n'avons aucune donnée : "Aucune norme réglementaire n'a été trouvée dans Microsoft Azure Security Center"

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale ou une erreur de SDK (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) est signalée : "Erreur lors de l'exécution de l'action "Lister les normes réglementaires". Raison : {0}''.format(error.Stacktrace)

Si le filtre d'état contient des valeurs non valides : "Erreur lors de l'exécution de l'action "Lister les normes réglementaires". Motif : Le paramètre "State Filter" (Filtre d'état) ne doit contenir que les valeurs suivantes : "Passed" (Réussi), "Failed" (Échec), "Skipped" (Ignoré) et "Unsupported" (Non pris en charge).""

Général

Tableau du mur des cas

Nom : normes réglementaires

Colonne :

Nom
État
Contrôles réussis
Contrôles ayant échoué
Commandes ignorées
Commandes non compatibles

Général

Lister les contrôles de normes réglementaires

Lister les contrôles disponibles liés aux normes dans Microsoft Defender pour le cloud.

Paramètres

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
ID d'abonnement	Chaîne	N/A	Non	Spécifiez l'ID de l'abonnement pour lequel vous souhaitez interroger des informations. Remarque : Si un ID d'abonnement est fourni au niveau de l'intégration et de l'action, la priorité est accordée à la configuration de l'action.
Noms standards	CSV		Oui	Spécifiez une liste de noms standards séparés par une virgule pour lesquels vous souhaitez récupérer des informations. Exemple : Azure-CIS-1.1.0
Filtre par état	CSV	Échec	Non	Spécifiez la liste des états séparés par une virgule. Exemple : "Échec", "Ignoré". Seuls les contrôles dont l'état correspond seront renvoyés. Par exemple, si vous spécifiez "Échec", l'action ne renverra que les contrôles ayant échoué. Valeurs possibles : "Passed" (Réussite), "Failed" (Échec), "Unsupported" (Non pris en charge), "Skipped" (Ignoré)
Nombre maximal de contrôles à renvoyer	Chaîne	50	Non	Spécifiez le nombre de contrôles à renvoyer par norme.

Date d'exécution

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur
is_success	is_success=False
is_success	is_success=True

Résultat JSON

{
    "results": [
      "Name": "{Standard_name}",
      "Controls":
[
        {
            "id": "/subscriptions/a052d33b-b7c4-4dc7-9e17-5c89ea594669/providers/Microsoft.Security/regulatoryComplianceStandards/Azure-CIS-1.1.0",
            "name": "Azure-CIS-1.1.0",
            "type": "Microsoft.Security/regulatoryComplianceStandards",
            "properties": {
                "state": "Failed",
                "passedControls": 21,
                "failedControls": 3,
                "skippedControls": 0,
                "unsupportedControls": 87
            }
        }
    ]
}

Mur des cas

Type de résultat	Valeur/Description	Type (entité \ général)
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si le code d'état est 200 et que, après filtrage, nous disposons de données pour au moins une norme(is_success = true) : "Récupération réussie des contrôles réglementaires pour les normes suivantes dans Microsoft Azure Security Center :\n {0}".format(standard) Si l'opération échoue pour la norme(is_success = true) : "L'action n'a pas pu récupérer les contrôles réglementaires pour les normes suivantes dans le centre de sécurité Microsoft Azure :\n {0}".format(standard) Si aucune donnée n'est trouvée pour certaines normes après l'application du filtre (is_success=true) : "Aucun contrôle réglementaire n'a été trouvé pour les normes suivantes dans le centre de sécurité Microsoft Azure :\n {0}".format(standard) Si aucune donnée n'est trouvée pour toutes les normes en fonction des filtres : "Aucun contrôle réglementaire n'a été trouvé pour les normes fournies." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale ou une erreur de SDK (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) est signalée : "Erreur lors de l'exécution de l'action "Lister les contrôles des normes réglementaires". Raison : {0}''.format(error.Stacktrace) Si le filtre d'état contient des valeurs non valides : "Erreur lors de l'exécution de l'action "Lister les contrôles des normes réglementaires". Motif : Le paramètre "State Filter" (Filtre d'état) ne doit contenir que les valeurs suivantes : "Passed" (Réussi), "Failed" (Échec), "Skipped" (Ignoré) et "Unsupported" (Non pris en charge).""	Général
Tableau du mur des cas	Nom de la table : "Contrôles réglementaires : {0}".format(Standard) Colonne : Nom État Description Évaluations réussies Évaluations échouées Évaluations ignorées	Général

Type de résultat

Valeur/Description

Type (entité \ général)

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si le code d'état est 200 et que, après filtrage, nous disposons de données pour au moins une norme(is_success = true) : "Récupération réussie des contrôles réglementaires pour les normes suivantes dans Microsoft Azure Security Center :\n {0}".format(standard)

Si l'opération échoue pour la norme(is_success = true) : "L'action n'a pas pu récupérer les contrôles réglementaires pour les normes suivantes dans le centre de sécurité Microsoft Azure :\n {0}".format(standard)

Si aucune donnée n'est trouvée pour certaines normes après l'application du filtre (is_success=true) : "Aucun contrôle réglementaire n'a été trouvé pour les normes suivantes dans le centre de sécurité Microsoft Azure :\n {0}".format(standard)

Si aucune donnée n'est trouvée pour toutes les normes en fonction des filtres : "Aucun contrôle réglementaire n'a été trouvé pour les normes fournies."

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale ou une erreur de SDK (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) est signalée : "Erreur lors de l'exécution de l'action "Lister les contrôles des normes réglementaires". Raison : {0}''.format(error.Stacktrace)

Si le filtre d'état contient des valeurs non valides : "Erreur lors de l'exécution de l'action "Lister les contrôles des normes réglementaires". Motif : Le paramètre "State Filter" (Filtre d'état) ne doit contenir que les valeurs suivantes : "Passed" (Réussi), "Failed" (Échec), "Skipped" (Ignoré) et "Unsupported" (Non pris en charge).""

Général

Tableau du mur des cas

Nom de la table : "Contrôles réglementaires : {0}".format(Standard)

Colonne :

Nom
État
Description
Évaluations réussies
Évaluations échouées
Évaluations ignorées

Général

Ping

Testez la connectivité à Microsoft Defender pour le cloud avec les paramètres fournis sur la page de configuration de l'intégration dans l'onglet Google Security Operations Marketplace.

Date d'exécution

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur
is_success	is_success=False
is_success	is_success=True

Mur des cas

Type de résultat	Valeur / Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit : "Connexion au serveur Azure Security Center établie avec les paramètres de connexion fournis." L'action doit échouer et arrêter l'exécution d'un playbook : Si l'opération échoue : "Échec de la connexion au serveur Azure Security Center. Error is {0}".format(exception.stacktrace)	Général

Type de résultat

Valeur / Description

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si l'opération réussit : "Connexion au serveur Azure Security Center établie avec les paramètres de connexion fournis."

L'action doit échouer et arrêter l'exécution d'un playbook :

Si l'opération échoue : "Échec de la connexion au serveur Azure Security Center. Error is {0}".format(exception.stacktrace)

Général

Modifier l'état d'une alerte

Mettez à jour l'état de l'alerte dans Microsoft Defender pour le cloud.

Paramètres

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
ID d'abonnement	Chaîne	N/A	Non	Spécifiez l'ID de l'abonnement pour lequel vous souhaitez interroger des informations. Remarque : Si un ID d'abonnement est fourni au niveau de l'intégration et de l'action, la priorité est accordée à la configuration de l'action.
ID d'alerte	Chaîne	N/A	Oui	Spécifiez l'ID de l'alerte dont vous souhaitez modifier l'état.
Emplacement	Chaîne	N/A	Oui	Spécifiez l'emplacement de l'alerte. Exemple : centralus.
État	LDD	Résoudre Valeurs possibles : Ignorer Réactiver Résoudre	Oui	Spécifiez l'état de l'alerte.

Date d'exécution

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur
is_success	is_success=False
is_success	is_success=True

Mur des cas

Type de résultat	Valeur / Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si le code d'état est 204 (is_success = true) : "Successfully {0} alert with ID {1} in Microsoft Azure Security Center:\n {0}".format(dismissed/resolved/reactivated, alert_id) Si la réponse contient des erreurs (is_success = false) : "L'action n'a pas pu {0} l'alerte avec l'ID {1} dans Microsoft Azure Security Center. Motif : {2}".format(dismiss/resolve/reactivate, alert_id, errors/message) L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale ou une erreur de SDK (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) est signalée : "Erreur lors de l'exécution de l'action "Mettre à jour l'état de l'alerte". Raison : {0}''.format(error.Stacktrace)	Général

Type de résultat

Valeur / Description

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si le code d'état est 204 (is_success = true) : "Successfully {0} alert with ID {1} in Microsoft Azure Security Center:\n {0}".format(dismissed/resolved/reactivated, alert_id)

Si la réponse contient des erreurs (is_success = false) : "L'action n'a pas pu {0} l'alerte avec l'ID {1} dans Microsoft Azure Security Center. Motif : {2}".format(dismiss/resolve/reactivate, alert_id, errors/message)

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale ou une erreur de SDK (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) est signalée : "Erreur lors de l'exécution de l'action "Mettre à jour l'état de l'alerte". Raison : {0}''.format(error.Stacktrace)

Général

Connecteurs

Pour obtenir des instructions détaillées sur la configuration d'un connecteur dans Google SecOps, consultez Configurer le connecteur.

Connecteur d'alertes de sécurité Azure Security Center

Extrayez les alertes de sécurité de Microsoft Defender for Cloud.

Paramètres du connecteur

Utilisez les paramètres suivants pour configurer le connecteur :

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
Nom du champ de produit	Chaîne	Nom du produit	Oui	Saisissez le nom du champ source pour récupérer le nom du champ produit.
Nom du champ d'événement	Chaîne	resourceType	Oui	Saisissez le nom du champ source pour récupérer le nom du champ d'événement.
Nom du champ "Environnement"	Chaîne	""	Non	Décrit le nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" (environnement) est introuvable, l'environnement est celui par défaut.
Modèle d'expression régulière de l'environnement	Chaîne	.*	Non	Expression régulière à exécuter sur la valeur trouvée dans le champ "Nom du champ d'environnement". La valeur par défaut est ".*" pour tout capturer et renvoyer la valeur inchangée. Permet à l'utilisateur de manipuler le champ "environnement" à l'aide de la logique des expressions régulières. Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, l'environnement par défaut est utilisé comme résultat final.
Délai avant expiration du script (en secondes)	Integer	180	Oui	Délai avant expiration du processus Python exécutant le script actuel.
ID client	Chaîne	N/A	Vrai	ID client de l'application Microsoft Entra.
Code secret du client	Mot de passe	N/A	Vrai	Code secret du client de l'application Microsoft Entra.
Nom d'utilisateur	Chaîne	N/A	Vrai	Nom d'utilisateur du compte Microsoft Entra.
Mot de passe	Mot de passe	N/A	Vrai	Mot de passe du compte Microsoft Entra.
ID d'abonnement	Chaîne	N/A	Vrai	ID d'abonnement de l'application Microsoft Entra
ID du locataire	Chaîne	N/A	Vrai	ID de locataire de l'application Microsoft Entra.
Gravité la plus faible à récupérer	Chaîne	Faible		Gravité la plus faible qui sera utilisée pour récupérer l'alerte. Valeurs possibles : faible, moyenne, élevée
Nombre maximal d'alertes à récupérer	Integer	50	Non	Nombre d'alertes à traiter par itération de connecteur.
Nombre maximal d'heures en arrière	Integer	1	Non	Nombre d'heures en arrière pour récupérer les alertes.
Utiliser la liste blanche comme liste noire	Case à cocher	Décochée	Oui	Si cette option est activée, la liste dynamique sera utilisée comme liste de blocage.
Vérifier le protocole SSL	Case à cocher	Décochée	Oui	Si cette option est activée, vérifiez que le certificat SSL pour la connexion au serveur Microsoft Defender pour le cloud est valide.
Adresse du serveur proxy	Chaîne	N/A	Non	Adresse du serveur proxy à utiliser.
Nom d'utilisateur du proxy	Chaîne	N/A	Non	Nom d'utilisateur du proxy pour l'authentification.
Mot de passe du proxy	Mot de passe	N/A	Non	Mot de passe du proxy pour l'authentification.
Jeton d'actualisation	Mot de passe	N/A	Non	Jeton d'actualisation pour l'autorisation OAuth.

Règles du connecteur

Assistance de proxy

Le connecteur est compatible avec le proxy.

Jobs

Pour configurer des jobs dans Google Security Operations, accédez à Réponse > Planificateur de jobs.

Job de renouvellement du jeton d'actualisation

L'objectif du job de renouvellement du jeton d'actualisation est de mettre à jour régulièrement le jeton d'actualisation utilisé dans l'intégration.

Par défaut, le jeton d'actualisation expire tous les 90 jours, ce qui rend l'intégration inutilisable à l'expiration. Nous vous recommandons d'exécuter ce job tous les 7 ou 14 jours pour vous assurer que le jeton d'actualisation est à jour.

Entrées de tâches

Pour configurer le job, utilisez les paramètres suivants :

Paramètres

Environnements d'intégration

Paramètres
Environnements d'intégration	Optional Environnements d'intégration pour lesquels le job met à jour les jetons d'actualisation. Ce paramètre accepte plusieurs valeurs sous forme de chaîne séparée par une virgule. Placez les valeurs individuelles entre guillemets (`" "`).
Noms des connecteurs	Optional Noms des connecteurs pour lesquels le job met à jour les jetons d'actualisation. Ce paramètre accepte plusieurs valeurs sous forme de chaîne séparée par une virgule. Placez les valeurs individuelles entre guillemets (`" "`).

Optional

Environnements d'intégration pour lesquels le job met à jour les jetons d'actualisation.

Ce paramètre accepte plusieurs valeurs sous forme de chaîne séparée par une virgule. Placez les valeurs individuelles entre guillemets (" ").

Noms des connecteurs

Optional

Noms des connecteurs pour lesquels le job met à jour les jetons d'actualisation.

Ce paramètre accepte plusieurs valeurs sous forme de chaîne séparée par une virgule. Placez les valeurs individuelles entre guillemets (" ").

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.