Azure Security Center

Versi integrasi: 9.0

Kasus penggunaan

  1. Menyerap pemberitahuan keamanan ke Google SecOps untuk diselidiki.

  2. Perbarui pemberitahuan.

  3. Mengambil informasi tentang kepatuhan standar.

Prasyarat

Sebelum mengonfigurasi integrasi di platform Google SecOps, pastikan Anda memberikan izin yang diperlukan ke akun pengguna Azure dan mengonfigurasi autentikasi sandi atau autentikasi OAuth.

Konfigurasikan izin

Integrasi ini memerlukan akses yang didelegasikan ke resource Azure. Pastikan untuk memberikan izin yang diperlukan berikut kepada akun pengguna Azure yang digunakan untuk mengonfigurasi integrasi:

  1. Akun pengguna harus menjadi anggota yang aktif untuk peran Azure berikut:

    • Security Reader
    • Security Admin

  2. Di tingkat langganan Azure, pastikan untuk memberikan peran IAM berikut kepada pengguna: Management Group Reader.

Mengonfigurasi autentikasi sandi

Untuk mengonfigurasi autentikasi sandi untuk Microsoft Defender for Cloud, selesaikan langkah-langkah berikut:

  1. Buat aplikasi Microsoft Entra.

  2. Konfigurasi izin API untuk aplikasi Anda.

  3. Buat rahasia klien.

  4. Gunakan ID langganan Azure Anda sebagai nilai untuk parameter integrasi yang sesuai.

Buat aplikasi Microsoft Entra

  1. Login ke portal Azure sebagai administrator pengguna atau administrator sandi.

  2. Pilih Microsoft Entra ID.

  3. Buka App registrations > New registration.

  4. Masukkan nama aplikasi.

  5. Klik Daftar.

  6. Simpan nilai Application (client) ID dan Directory (tenant) ID untuk digunakan nanti saat mengonfigurasi parameter integrasi.

Mengonfigurasi izin API

  1. Buka API Permissions > Add a permission.

  2. Pilih Azure Service Management > Delegated permissions.

  3. Di bagian Pilih Izin, pilih izin berikut:

    • user_impersonation

  4. Pilih Microsoft Graph > Delegated permissions.

  5. Di bagian Pilih Izin, pilih izin berikut:

    • SecurityEvents.Read.All
    • SecurityEvents.ReadWrite.All
    • User.Read

  6. Pilih Microsoft Graph > Izin aplikasi.

  7. Di bagian Pilih Izin, pilih izin berikut:

    • SecurityEvents.Read.All
    • SecurityEvents.ReadWrite.All

  8. Klik Add permissions.

  9. Klik Grant admin consent for YOUR_ORGANIZATION_NAME.

    Saat dialog Konfirmasi pemberian izin admin muncul, klik Ya.

Buat rahasia klien

  1. Buka Certificates and secrets > New client secret.

  2. Berikan deskripsi untuk rahasia klien dan tetapkan tenggat waktu habis masa berlakunya.

  3. Klik Tambahkan.

  4. Simpan nilai rahasia klien (bukan ID rahasia) untuk menggunakannya sebagai nilai parameter Client Secret saat mengonfigurasi integrasi. Nilai rahasia klien hanya ditampilkan satu kali.

Mengonfigurasi integrasi dengan ID langganan Azure

  1. Di Microsoft Defender untuk Cloud, buka tab Ringkasan.

  2. Klik Langganan Azure.

  3. Salin nilai ID langganan Azure dan masukkan di parameter Subscription ID saat mengonfigurasi parameter integrasi.

Mengonfigurasi autentikasi OAuth

Untuk mengonfigurasi autentikasi OAuth untuk Microsoft Defender for Cloud, selesaikan langkah-langkah berikut:

  1. Buat aplikasi Microsoft Entra.

  2. Konfigurasi izin API untuk aplikasi Anda.

  3. Buat rahasia klien.

  4. Gunakan ID langganan Azure Anda sebagai nilai untuk parameter integrasi yang sesuai.

Buat aplikasi Microsoft Entra

Untuk membuat aplikasi dan meniru identitas pengguna yang dipilih, ikuti langkah-langkah berikut:

  1. Login ke portal Azure sebagai administrator pengguna atau administrator sandi.

  2. Pilih Microsoft Entra ID.

  3. Buka App registrations > New registration.

  4. Masukkan nama aplikasi.

  5. Pilih Jenis akun yang didukung yang sesuai.

  6. Untuk URL pengalihan, berikan nilai berikut: http://localhost.

  7. Klik Daftar.

  8. Simpan nilai Application (client) ID dan Directory (tenant) ID untuk menggunakannya nanti guna mengonfigurasi integrasi.

Mengonfigurasi izin API

  1. Buka API Permissions > Add a permission.

  2. Pilih Azure Service Management > Delegated permissions.

  3. Di bagian Pilih Izin, pilih izin berikut:

    • user_impersonation

  4. Pilih Microsoft Graph > Delegated permissions.

  5. Di bagian Pilih Izin, pilih izin berikut:

    • SecurityEvents.Read.All
    • SecurityEvents.ReadWrite.All
    • User.Read

  6. Pilih Microsoft Graph > Izin aplikasi.

  7. Di bagian Pilih Izin, pilih izin berikut:

    • SecurityEvents.Read.All
    • SecurityEvents.ReadWrite.All

  8. Klik Add permissions.

  9. Klik Grant admin consent for YOUR_ORGANIZATION_NAME.

    Saat dialog Konfirmasi pemberian izin admin muncul, klik Ya.

Buat rahasia klien

  1. Buka Certificates and secrets > New client secret.

  2. Berikan deskripsi untuk rahasia klien dan tetapkan tenggat waktu habis masa berlakunya.

  3. Klik Tambahkan.

  4. Simpan nilai rahasia klien (bukan ID rahasia) untuk menggunakannya sebagai nilai parameter Client Secret saat mengonfigurasi integrasi. Nilai rahasia klien hanya ditampilkan satu kali.

Mengonfigurasi integrasi dengan ID langganan Azure

  1. Di Microsoft Defender untuk Cloud, buka tab Ringkasan.

  2. Klik Langganan Azure.

  3. Salin nilai ID langganan Azure dan masukkan di parameter Subscription ID saat mengonfigurasi integrasi.

Mengonfigurasi autentikasi OAuth di Google SecOps

Untuk mengonfigurasi autentikasi OAuth untuk Microsoft Defender for Cloud di platform Google SecOps, selesaikan langkah-langkah berikut:

  1. Konfigurasi parameter integrasi dan simpan.

  2. Buat token refresh:

    • Opsional: Simulasikan kasus di Google SecOps.

    • Jalankan tindakan Get OAuth Authorization Code secara manual.

    • Jalankan tindakan Generate Token secara manual.

  3. Masukkan refresh token yang diperoleh sebagai nilai parameter Refresh Token dan simpan konfigurasi.

Mengonfigurasi parameter integrasi

Di Google SecOps, konfigurasi parameter integrasi dengan nilai Client ID, Rahasia klien, Tenant ID, dan ID langganan yang telah Anda peroleh di langkah-langkah sebelumnya.

Buat token refresh

Membuat token refresh memerlukan tindakan manual pada kasus yang ada. Jika instance Google Security Operations Anda baru dan tidak memiliki kasus yang ada, simulasikan satu kasus.

Menyimulasikan kasus

Untuk menyimulasikan kasus di Google SecOps, ikuti langkah-langkah berikut:

  1. Di navigasi sebelah kiri, pilih Kasus.

  2. Di halaman Kasus, klik Tambahkan > Simulasikan Kasus.

  3. Pilih salah satu kasus default, lalu klik Buat. Tidak masalah kasus mana yang Anda pilih untuk disimulasikan.

  4. Klik Simulasikan.

    Jika Anda memiliki lingkungan selain default dan ingin menggunakannya, pilih lingkungan yang benar, lalu klik Simulasi.

  5. Di tab Cases, klik Refresh. Kasus yang telah Anda simulasikan akan muncul dalam daftar kasus.

Jalankan tindakan Get OAuth Authorization Code

Gunakan kasus Google SecOps yang telah Anda simulasikan atau kasus yang sudah ada untuk menjalankan tindakan Get OAuth Authorization Code secara manual.

  1. Di tab Kasus, pilih kasus simulasi Anda untuk membuka Tampilan Kasus.

  2. Klik Tindakan Manual.

  3. Di kolom Penelusuran Tindakan Manual, masukkan Azure Security Center.

  4. Di hasil di bagian integrasi Azure Security Center, pilih Get OAuth Authorization Code. Tindakan ini menampilkan link otorisasi yang digunakan untuk login secara interaktif ke aplikasi Microsoft Entra.

  5. Di kolom parameter Redirect URL, masukkan URL yang telah Anda gunakan saat membuat aplikasi Microsoft Entra.

  6. Klik Jalankan.

  7. Setelah tindakan dieksekusi, buka Case Wall kasus simulasi Anda. Dalam rekaman tindakan Azure Security Center_Get OAuth Authorization Code, klik View More dan salin link otorisasi.

  8. Buka jendela browser baru dalam mode samaran dan tempelkan URL otorisasi yang dihasilkan. Halaman login Azure akan terbuka.

  9. Login dengan kredensial pengguna yang Anda pilih untuk integrasi. Setelah login, browser Anda akan dialihkan dengan kode di kolom URL.

    Contoh URL yang dihasilkan dengan kode adalah sebagai berikut:

    http://localhost/?code=0.ATwAylKP1BpbCEeO0Ou5iiakalBV.......nIAA&state=12345&session_state=28084547-3dea-449a-8b4c-c1671342a39d#

  10. Dari URL, salin bagian kode akses yang muncul setelah http://localhost/?code=. Anda memerlukan kode akses ini untuk menjalankan tindakan Get OAuth Refresh Token.

Jalankan tindakan Get OAuth Refresh Token

Gunakan kasus Google SecOps yang telah Anda simulasikan untuk menjalankan tindakan Get OAuth Refresh Token secara manual.

  1. Di tab Kasus, pilih kasus simulasi Anda untuk membuka Tampilan Kasus.

  2. Klik Tindakan Manual.

  3. Di kolom Penelusuran Tindakan Manual, ketik Azure Security Center.

  4. Pada hasil di bagian integrasi Azure Security Center, pilih Get OAuth Refresh Token.

  5. Di kolom parameter Authorization Code, masukkan kode akses yang telah Anda peroleh setelah menjalankan tindakan Get OAuth Authorization Code.

  6. Klik Jalankan.

  7. Setelah tindakan dieksekusi, buka Case Wall kasus simulasi Anda. Di catatan tindakan Azure Security Center_Get OAuth Refresh Token, klik View More.

  8. Salin seluruh nilai token refresh yang dibuat.

Mengonfigurasi parameter Refresh Token

  1. Buka dialog konfigurasi untuk integrasi Azure Security Center.

  2. Masukkan nilai token refresh dari langkah sebelumnya ke dalam kolom Token Refresh.

  3. Klik Simpan.

Mengintegrasikan Azure Security Center dengan Google SecOps

Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.

Input integrasi

Gunakan parameter berikut untuk mengonfigurasi integrasi:

Nama Tampilan Parameter Jenis Nilai Default Wajib Deskripsi
ID Klien String T/A Ya Client ID aplikasi Microsoft Entra.
Rahasia Klien Sandi T/A Ya Rahasia Klien aplikasi Microsoft Entra.
Nama pengguna String T/A Tidak Nama pengguna akun Microsoft Entra.
Sandi Sandi T/A Tidak Sandi akun Microsoft Entra.
ID Langganan String T/A Ya

ID langganan yang informasinya ingin Anda kueri.

Catatan: Jika ID langganan diberikan di tingkat integrasi dan tingkat tindakan, prioritas diberikan pada konfigurasi tindakan.
ID Tenant String T/A Ya ID Tenant aplikasi Microsoft Entra.
Token Refresh Sandi T/A Ya Token refresh untuk otorisasi OAuth.
Verifikasi SSL Kotak centang Tidak dicentang Ya Jika diaktifkan, memverifikasi bahwa sertifikat SSL untuk koneksi ke server Microsoft Defender for Cloud valid.

Tindakan

Mendapatkan Kode Otorisasi OAuth

Buat kode otorisasi OAuth untuk mendapatkan token refresh.

Parameter

Nama Tampilan Parameter Jenis Nilai Default Wajib Deskripsi
URL alihan String https://localhost Ya Tentukan URL pengalihan yang digunakan saat aplikasi Microsoft Entra dibuat.

Dijalankan pada

Tindakan ini tidak dijalankan di entity.

Hasil tindakan

Hasil skrip
Nama Hasil Skrip Opsi Nilai
is_success is_success=False
is_success is_success=True
Repositori kasus
Jenis hasil Nilai/Deskripsi Type (Entity \ General)
Pesan output* Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: "Berhasil membuat URL kode Otorisasi di Azure Security Center. Salin dan tempelkan di browser. Setelah itu, salin bagian "code" dari URL. Kode otorisasi ini digunakan dalam tindakan "Dapatkan Token Refresh OAuth". ". Umum
Link

Nama: URL Link Kode Otorisasi
: {generated link}

Mendapatkan Token Refresh OAuth

Buat token refresh yang diperlukan untuk konfigurasi integrasi. Kode otorisasi dapat dibuat menggunakan tindakan Dapatkan Kode Otorisasi OAuth.

Parameter

Nama Tampilan Parameter Jenis Nilai Default Wajib Deskripsi
URL alihan String https://localhost Ya Tentukan URL pengalihan yang digunakan saat aplikasi dibuat.
Kode Otorisasi String Ya Tentukan kode otorisasi dari tindakan "Dapatkan Kode Otorisasi OAuth"

Dijalankan pada

Tindakan ini tidak dijalankan di entity.

Hasil tindakan

Hasil skrip
Nama Hasil Skrip Opsi Nilai
is_success is_success=False
is_success is_success=True
Hasil JSON
{
    "token_type": "Bearer",
    "scope": "user_impersonation",
    "expires_in": "3599",
    "ext_expires_in": "3599",
    "expires_on": "1628514482",
    "not_before": "1628510582",
    "resource": "https://management.azure.com",
    "access_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Im5PbzNaRH",
    "refresh_token": "0.ATwAylKP1BpbCEeO0Ou5iiakalBVs4hy5YpMhS4OVguFb9Y8AGw",
    "id_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJub25lIn0.eyJhdWQiOiI4OGIzNTU1MC1"
}
Repositori kasus
Jenis hasil Nilai/Deskripsi Type (Entity \ General)
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika kode status 200 dilaporkan (is_success = true): "Successfully generated refresh token in Azure Security Center".

Tindakan akan gagal dan menghentikan eksekusi playbook:

jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau lainnya: "Error saat menjalankan tindakan "Dapatkan Token Penggantian OAuth". Alasan: {0}''.format(error.Stacktrace)

Jika kode status non-200: "Error saat menjalankan tindakan "Dapatkan Token Penggantian OAuth". Alasan: {0}''.format(error_description)

 Umum

Mencantumkan Standar Peraturan

Mencantumkan standar peraturan yang tersedia di Microsoft Defender for Cloud.

Parameter

Nama Tampilan Parameter Jenis Nilai Default Wajib Deskripsi
ID Langganan String T/A Tidak

Tentukan ID langganan yang informasinya ingin Anda kueri.

Catatan: Jika ID langganan diberikan di tingkat integrasi dan tingkat tindakan, prioritas diberikan pada konfigurasi tindakan.
Filter Negara Bagian CSV Gagal Tidak

Tentukan daftar negara bagian yang dipisahkan koma. Contoh: Gagal, Dilewati. Hanya standar dengan status yang cocok yang akan ditampilkan. Misalnya, jika Anda menentukan "Gagal", tindakan hanya akan menampilkan standar yang gagal.

Nilai yang mungkin: Lulus,Gagal,Tidak Didukung,Dilewati
Jumlah Standar Maksimum yang Akan Ditampilkan String 50 Tidak Tentukan jumlah standar yang akan ditampilkan.

Dijalankan pada

Tindakan ini tidak dijalankan di entity.

Hasil tindakan

Hasil skrip
Nama Hasil Skrip Opsi Nilai
is_success is_success=False
is_success is_success=True
Hasil JSON
{
    "value": [
        {
            "id": "/subscriptions/a052d33b-b7c4-4dc7-9e17-5c89ea594669/providers/Microsoft.Security/regulatoryComplianceStandards/Azure-CIS-1.1.0",
            "name": "Azure-CIS-1.1.0",
            "type": "Microsoft.Security/regulatoryComplianceStandards",
            "properties": {
                "state": "Failed",
                "passedControls": 21,
                "failedControls": 3,
                "skippedControls": 0,
                "unsupportedControls": 87
            }
        }
    ]
}
Repositori kasus
Jenis hasil Nilai/Deskripsi Type (Entity \ General)
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika kode status 200 dan setelah memfilter kita memiliki data : "Berhasil mengambil kontrol peraturan untuk standar yang diberikan di Microsoft Azure Security Center"

Jika kode status 200 dan setelah memfilter tidak ada data : "Tidak ada standar peraturan yang ditemukan di Microsoft Azure Security Center"

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, error SDK, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "List Regulatory Standards". Alasan: {0}''.format(error.Stacktrace)

Jika Filter Negara Bagian berisi nilai yang tidak valid: "Error saat menjalankan tindakan "List Regulatory Standards". Alasan: Parameter 'Filter Status' hanya boleh berisi nilai berikut: 'Lulus', 'Gagal', 'Dilewati', 'Tidak Didukung'.''

 Umum
Tabel Repositori Kasus

Nama: Standar Peraturan

Kolom:

  • Nama
  • Negara bagian/Provinsi
  • Kontrol yang Lulus
  • Kontrol yang Gagal
  • Kontrol yang Dilewati
  • Kontrol yang Tidak Didukung
 Umum

Mencantumkan Kontrol Standar Peraturan

Mencantumkan kontrol yang tersedia terkait standar di Microsoft Defender untuk Cloud.

Parameter

Nama Tampilan Parameter Jenis Nilai Default Wajib Deskripsi
ID Langganan String T/A Tidak

Tentukan ID langganan yang informasinya ingin Anda kueri.

Catatan: Jika ID langganan diberikan di tingkat integrasi dan tingkat tindakan, prioritas diberikan pada konfigurasi tindakan.
Nama Standar CSV Ya Tentukan daftar nama standar yang dipisahkan koma yang detailnya ingin Anda ambil. Contoh: Azure-CIS-1.1.0
Filter Negara Bagian CSV Gagal Tidak

Tentukan daftar negara bagian yang dipisahkan koma. Contoh: Gagal, Dilewati. Hanya kontrol dengan status yang cocok yang akan ditampilkan. Misalnya, jika Anda menentukan "Gagal", tindakan hanya akan menampilkan kontrol yang gagal.

Nilai yang mungkin: Lulus,Gagal,Tidak Didukung,Dilewati
Jumlah Kontrol Maksimum yang Akan Ditampilkan String 50 Tidak Tentukan jumlah kontrol yang akan ditampilkan per standar.

Dijalankan pada

Tindakan ini tidak dijalankan di entity.

Hasil tindakan

Hasil skrip
Nama Hasil Skrip Opsi Nilai
is_success is_success=False
is_success is_success=True
Hasil JSON
{
    "results": [
      "Name": "{Standard_name}",
      "Controls":
[
        {
            "id": "/subscriptions/a052d33b-b7c4-4dc7-9e17-5c89ea594669/providers/Microsoft.Security/regulatoryComplianceStandards/Azure-CIS-1.1.0",
            "name": "Azure-CIS-1.1.0",
            "type": "Microsoft.Security/regulatoryComplianceStandards",
            "properties": {
                "state": "Failed",
                "passedControls": 21,
                "failedControls": 3,
                "skippedControls": 0,
                "unsupportedControls": 87
            }
        }
    ]
}
Repositori kasus
Jenis hasil Nilai/Deskripsi Jenis (Entitas \ Umum)
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika kode status 200 dan setelah memfilter, kita memiliki data untuk setidaknya satu standar(is_success = true) : "Successfully retrieved regulatory controls for the following standards in Microsoft Azure Security Center:\n {0}".format(standard)

Jika gagal untuk standar(is_success = true) : "Action wasn't able to retrieve regulatory controls for the following standards in Microsoft Azure Security Center:\n {0}".format(standard)

Jika tidak ada data yang ditemukan untuk beberapa standar setelah filter (is_success=true): "No regulatory controls were found for the following standards in Microsoft Azure Security Center:\n {0}".format(standard)

Jika tidak ada data yang ditemukan untuk semua standar berdasarkan filter: "Tidak ada kontrol peraturan yang ditemukan untuk standar yang diberikan."

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, error SDK, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "List Regulatory Standard Controls". Alasan: {0}''.format(error.Stacktrace)

Jika Filter Status berisi nilai yang tidak valid: "Error saat menjalankan tindakan "List Regulatory Standard Controls". Alasan: Parameter 'Filter Status' hanya boleh berisi nilai berikut: 'Lulus', 'Gagal', 'Dilewati', 'Tidak Didukung'.''

 Umum
Tabel Repositori Kasus

Nama Tabel: "Kontrol Regulasi: {0}".format(Standard)

Kolom:

  • Nama
  • Negara bagian/Provinsi
  • Deskripsi
  • Penilaian yang Lulus
  • Penilaian Gagal
  • Penilaian yang Dilewati
 Umum

Ping

Uji konektivitas ke Microsoft Defender for Cloud dengan parameter yang disediakan di halaman konfigurasi integrasi di tab Google Security Operations Marketplace.

Dijalankan pada

Tindakan ini tidak dijalankan di entity.

Hasil tindakan

Hasil skrip
Nama Hasil Skrip Opsi Nilai
is_success is_success=False
is_success is_success=True
Repositori kasus
Jenis Hasil Nilai / Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil: "Berhasil terhubung ke server Azure Security Center dengan parameter koneksi yang diberikan!"

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika tidak berhasil: "Gagal terhubung ke server Azure Security Center. Error adalah {0}".format(exception.stacktrace)

 Umum

Memperbarui Status Notifikasi

Perbarui status pemberitahuan di Microsoft Defender untuk Cloud.

Parameter

Nama Tampilan Parameter Jenis Nilai Default Wajib Deskripsi
ID Langganan String T/A Tidak

Tentukan ID langganan yang informasinya ingin Anda kueri.

Catatan: Jika ID langganan diberikan di tingkat integrasi dan tingkat tindakan, prioritas diberikan pada konfigurasi tindakan.
ID pemberitahuan String T/A Ya Tentukan ID pemberitahuan, tempat Anda ingin memperbarui status.
Lokasi String T/A Ya Tentukan lokasi pemberitahuan. Contoh: centralus.
Status DDL

Selesaikan

Nilai yang memungkinkan:

  • Tutup
  • Aktifkan kembali
  • Selesaikan
 Ya Tentukan status untuk notifikasi.

Dijalankan pada

Tindakan ini tidak dijalankan di entity.

Hasil tindakan

Hasil skrip
Nama Hasil Skrip Opsi Nilai
is_success is_success=False
is_success is_success=True
Repositori kasus
Jenis Hasil Nilai / Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika kode status 204 (is_success = true) : "Berhasil {0} notifikasi dengan ID {1} di Microsoft Azure Security Center:\n {0}".format(ditutup/diselesaikan/diaktifkan kembali, alert_id)

Jika "errors" dalam respons (is_success = false) : "Tindakan tidak dapat {0} pemberitahuan dengan ID {1} di Microsoft Azure Security Center. Alasan: {2}".format(dismiss/resolve/reactivate, alert_id, errors/message)

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, error SDK, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Perbarui Status Pemberitahuan". Alasan: {0}''.format(error.Stacktrace)

 Umum

Konektor

Untuk mendapatkan petunjuk mendetail tentang cara mengonfigurasi konektor di Google SecOps, lihat Mengonfigurasi konektor.

Azure Security Center - Security Alerts Connector

Tarik notifikasi keamanan dari Microsoft Defender for Cloud.

Parameter konektor

Gunakan parameter berikut untuk mengonfigurasi konektor:

Nama Tampilan Parameter Jenis Nilai Default Wajib Deskripsi
Nama Kolom Produk String Nama Produk Ya Masukkan nama kolom sumber untuk mengambil nama Kolom Produk.
Nama Kolom Peristiwa String resourceType Ya Masukkan nama kolom sumber untuk mengambil nama Kolom Peristiwa.
Nama Kolom Lingkungan String "" Tidak

Mendeskripsikan nama kolom tempat nama lingkungan disimpan.

Jika kolom lingkungan tidak ditemukan, lingkungan yang digunakan adalah lingkungan default.
Pola Regex Lingkungan String .* Tidak

Pola regex untuk dijalankan pada nilai yang ditemukan di kolom "Nama Kolom Lingkungan".

Defaultnya adalah .* untuk mencakup semua dan menampilkan nilai tanpa perubahan.

Digunakan untuk mengizinkan pengguna memanipulasi kolom lingkungan melalui logika regex.

Jika pola regex adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default.
Waktu Tunggu Skrip (Detik) Bilangan bulat 180 Ya Batas waktu untuk proses python yang menjalankan skrip saat ini.
ID Klien String T/A Benar Client ID aplikasi Microsoft Entra.
Rahasia Klien Sandi T/A Benar Rahasia Klien aplikasi Microsoft Entra.
Nama pengguna String T/A Benar Nama pengguna akun Microsoft Entra.
Sandi Sandi T/A Benar Sandi akun Microsoft Entra.
ID Langganan String T/A Benar ID langganan aplikasi Microsoft Entra
ID Tenant String T/A Benar ID Tenant aplikasi Microsoft Entra.
Tingkat Keparahan Terendah yang Akan Diambil String Rendah

Tingkat keparahan terendah yang akan digunakan untuk mengambil Notifikasi.

Nilai yang mungkin: Rendah, Sedang, Tinggi
Jumlah Maksimum Pemberitahuan yang Akan Diambil Bilangan bulat 50 Tidak Jumlah pemberitahuan yang akan diproses per satu iterasi konektor.
Maks. Jam Mundur Bilangan bulat 1 Tidak Berapa jam ke belakang untuk mengambil pemberitahuan.
Menggunakan daftar yang diizinkan sebagai daftar blokir Kotak centang Tidak dicentang Ya Jika diaktifkan, daftar dinamis akan digunakan sebagai daftar yang tidak diizinkan.
Verifikasi SSL Kotak centang Tidak dicentang Ya Jika diaktifkan, pastikan sertifikat SSL untuk koneksi ke server Microsoft Defender for Cloud valid.
Alamat Server Proxy String T/A Tidak Alamat server proxy yang akan digunakan.
Nama Pengguna Proxy String T/A Tidak Nama pengguna proxy untuk melakukan autentikasi.
Sandi Proxy Sandi T/A Tidak Sandi proxy untuk mengautentikasi.
Token Refresh Sandi T/A Tidak Token refresh untuk otorisasi OAuth.

Aturan konektor

Dukungan proxy

Konektor mendukung proxy.

Pekerjaan

Untuk mengonfigurasi tugas di Google Security Operations, buka Respons > Penjadwal Tugas.

Tugas Perpanjangan Token Refresh

Tujuan Tugas Perpanjangan Token Refresh adalah untuk memperbarui token refresh yang digunakan dalam integrasi secara berkala.

Secara default, masa berlaku token refresh berakhir setiap 90 hari, sehingga membuat integrasi tidak dapat digunakan setelah masa berlaku berakhir. Sebaiknya jalankan tugas ini setiap 7 atau 14 hari untuk memastikan token refresh selalu terbaru.

Input tugas

Untuk mengonfigurasi tugas, gunakan parameter berikut:

Parameter
Lingkungan Integrasi Opsional

Lingkungan integrasi yang digunakan tugas untuk memperbarui token refresh.

Parameter ini menerima beberapa nilai sebagai string yang dipisahkan koma. Sertakan setiap nilai dalam tanda kutip (" ").
Nama Konektor Opsional

Nama konektor yang token refresh-nya diperbarui oleh tugas.

Parameter ini menerima beberapa nilai sebagai string yang dipisahkan koma. Sertakan setiap nilai dalam tanda kutip (" ").

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.