Azure Security Center

Versione integrazione: 9.0

Casi d'uso

  1. Importa gli avvisi di sicurezza in Google SecOps per l'indagine.

  2. Aggiorna gli avvisi.

  3. Recupera informazioni sulla conformità agli standard.

Prerequisiti

Prima di configurare l'integrazione nella piattaforma Google SecOps, assicurati di concedere le autorizzazioni richieste all'account utente Azure e di configurare un'autenticazione con password o un'autenticazione OAuth.

Configura autorizzazioni

Questa integrazione richiede l'accesso delegato alle risorse Azure. Assicurati di concedere le seguenti autorizzazioni richieste all'account utente Azure utilizzato per configurare l'integrazione:

  1. L'account utente deve essere un membro attivo per i seguenti ruoli Azure:

    • Security Reader
    • Security Admin

  2. A livello di abbonamento Azure, assicurati di concedere all'utente il seguente ruolo IAM: Management Group Reader.

Configurare l'autenticazione tramite password

Per configurare l'autenticazione con password per Microsoft Defender for Cloud, completa i seguenti passaggi:

  1. Crea l'app Microsoft Entra.

  2. Configura le autorizzazioni API per la tua app.

  3. Crea un client secret.

  4. Utilizza l'ID abbonamento Azure come valore per il parametro di integrazione corrispondente.

Crea l'app Microsoft Entra

  1. Accedi al portale Azure come amministratore utenti o amministratore password.

  2. Seleziona Microsoft Entra ID.

  3. Vai a Registrazioni app > Nuova registrazione.

  4. Inserisci il nome dell'app.

  5. Fai clic su Register (Registrati).

  6. Salva i valori ID applicazione (client) e ID directory (tenant) per utilizzarli in un secondo momento durante la configurazione dei parametri di integrazione.

Configura le autorizzazioni API

  1. Vai ad Autorizzazioni API > Aggiungi un'autorizzazione.

  2. Seleziona Azure Service Management > Autorizzazioni delegate.

  3. Nella sezione Seleziona autorizzazioni, seleziona la seguente autorizzazione:

    • user_impersonation

  4. Seleziona Microsoft Graph > Autorizzazioni delegate.

  5. Nella sezione Seleziona autorizzazioni, seleziona le seguenti autorizzazioni:

    • SecurityEvents.Read.All
    • SecurityEvents.ReadWrite.All
    • User.Read

  6. Seleziona Microsoft Graph > Autorizzazioni applicazione.

  7. Nella sezione Seleziona autorizzazioni, seleziona le seguenti autorizzazioni:

    • SecurityEvents.Read.All
    • SecurityEvents.ReadWrite.All

  8. Fai clic su Aggiungi autorizzazioni.

  9. Fai clic su Concedi il consenso amministratore per YOUR_ORGANIZATION_NAME.

    Quando viene visualizzata la finestra di dialogo Conferma consenso amministratore, fai clic su .

Crea client secret

  1. Vai a Certificati e secret > Nuovo client secret.

  2. Fornisci una descrizione per un client secret e imposta la relativa scadenza.

  3. Fai clic su Aggiungi.

  4. Salva il valore del client secret (non l'ID secret) per utilizzarlo come valore parametro Client Secret durante la configurazione dell'integrazione. Il valore del segreto del client viene visualizzato una sola volta.

Configura l'integrazione con l'ID abbonamento Azure

  1. In Microsoft Defender for Cloud, vai alla scheda Panoramica.

  2. Fai clic su Abbonamenti Azure.

  3. Copia il valore dell'ID abbonamento Azure e inseriscilo nel parametro Subscription ID durante la configurazione dei parametri di integrazione.

Configura l'autenticazione OAuth

Per configurare l'autenticazione OAuth per Microsoft Defender for Cloud, completa i seguenti passaggi:

  1. Crea l'app Microsoft Entra.

  2. Configura le autorizzazioni API per la tua app.

  3. Crea un client secret.

  4. Utilizza l'ID abbonamento Azure come valore per il parametro di integrazione corrispondente.

Crea l'app Microsoft Entra

Per creare un'applicazione e rappresentare l'utente scelto, segui questi passaggi:

  1. Accedi al portale Azure come amministratore utenti o amministratore password.

  2. Seleziona Microsoft Entra ID.

  3. Vai a Registrazioni app > Nuova registrazione.

  4. Inserisci il nome dell'app.

  5. Seleziona i tipi di account supportati adatti.

  6. Per l'URL di reindirizzamento, fornisci il seguente valore: http://localhost.

  7. Fai clic su Register (Registrati).

  8. Salva i valori ID applicazione (client) e ID directory (tenant) per utilizzarli in un secondo momento per configurare l'integrazione.

Configura le autorizzazioni API

  1. Vai ad Autorizzazioni API > Aggiungi un'autorizzazione.

  2. Seleziona Azure Service Management > Autorizzazioni delegate.

  3. Nella sezione Seleziona autorizzazioni, seleziona la seguente autorizzazione:

    • user_impersonation

  4. Seleziona Microsoft Graph > Autorizzazioni delegate.

  5. Nella sezione Seleziona autorizzazioni, seleziona le seguenti autorizzazioni:

    • SecurityEvents.Read.All
    • SecurityEvents.ReadWrite.All
    • User.Read

  6. Seleziona Microsoft Graph > Autorizzazioni applicazione.

  7. Nella sezione Seleziona autorizzazioni, seleziona le seguenti autorizzazioni:

    • SecurityEvents.Read.All
    • SecurityEvents.ReadWrite.All

  8. Fai clic su Aggiungi autorizzazioni.

  9. Fai clic su Concedi il consenso amministratore per YOUR_ORGANIZATION_NAME.

    Quando viene visualizzata la finestra di dialogo Conferma consenso amministratore, fai clic su .

Crea client secret

  1. Vai a Certificati e secret > Nuovo client secret.

  2. Fornisci una descrizione per un client secret e imposta la relativa scadenza.

  3. Fai clic su Aggiungi.

  4. Salva il valore del client secret (non l'ID secret) per utilizzarlo come valore parametro Client Secret durante la configurazione dell'integrazione. Il valore del segreto del client viene visualizzato una sola volta.

Configura l'integrazione con l'ID abbonamento Azure

  1. In Microsoft Defender for Cloud, vai alla scheda Panoramica.

  2. Fai clic su Abbonamenti Azure.

  3. Copia il valore dell'ID abbonamento Azure e inseriscilo nel parametro Subscription ID durante la configurazione dell'integrazione.

Configura l'autenticazione OAuth in Google SecOps

Per configurare l'autenticazione OAuth per Microsoft Defender for Cloud nella piattaforma Google SecOps, completa i seguenti passaggi:

  1. Configura i parametri di integrazione e salvali.

  2. Genera un token di aggiornamento:

    • (Facoltativo) Simula un caso in Google SecOps.

    • Esegui manualmente l'azione Recupera codice di autorizzazione OAuth.

    • Esegui manualmente l'azione Genera token.

  3. Inserisci il token di aggiornamento ottenuto come valore parametro Refresh Token e salva la configurazione.

Configurare i parametri di integrazione

In Google SecOps, configura i parametri di integrazione con i valori di ID client, client secret, ID tenant e ID abbonamento che hai ottenuto nei passaggi precedenti.

Genera token di aggiornamento

La generazione di un token di aggiornamento richiede l'esecuzione di azioni manuali su qualsiasi richiesta esistente. Se la tua istanza Google Security Operations è nuova e non ha casi esistenti, simula un caso.

Simula richiesta

Per simulare un caso in Google SecOps:

  1. Nel menu di navigazione a sinistra, seleziona Richieste.

  2. Nella pagina Richieste, fai clic su Aggiungi > Simula richieste.

  3. Seleziona uno dei casi predefiniti e fai clic su Crea. Non importa quale scenario scegli di simulare.

  4. Fai clic su Simula.

    Se hai un ambiente diverso da quello predefinito e vuoi utilizzarlo, seleziona l'ambiente corretto e fai clic su Simula.

  5. Nella scheda Richieste, fai clic su Aggiorna. La richiesta che hai simulato viene visualizzata nell'elenco delle richieste.

Esegui l'azione Recupera codice di autorizzazione OAuth

Utilizza lo scenario Google SecOps che hai simulato o uno esistente per eseguire manualmente l'azione Ottieni codice di autorizzazione OAuth.

  1. Nella scheda Richieste, seleziona la richiesta simulata per aprire una visualizzazione della richiesta.

  2. Fai clic su Azione manuale.

  3. Nel campo Cerca dell'azione manuale, inserisci Azure Security Center.

  4. Nei risultati dell'integrazione di Azure Security Center, seleziona Ottieni codice di autorizzazione OAuth. Questa azione restituisce un link di autorizzazione utilizzato per accedere in modo interattivo all'app Microsoft Entra.

  5. Nel campo del parametro Redirect URL, inserisci l'URL che hai utilizzato quando hai creato l'app Microsoft Entra.

  6. Fai clic su Esegui.

  7. Dopo l'esecuzione dell'azione, vai alla bacheca richieste della richiesta simulata. Nel record dell'azione Azure Security Center_Get OAuth Authorization Code, fai clic su Visualizza altro e copia il link di autorizzazione.

  8. Apri una nuova finestra del browser in modalità di navigazione in incognito e incolla l'URL di autorizzazione generato. Si apre la pagina di accesso di Azure.

  9. Accedi con le credenziali utente selezionate per l'integrazione. Dopo aver eseguito l'accesso, il browser dovrebbe essere reindirizzato con un codice nella barra degli indirizzi.

    Ecco un esempio dell'URL risultante con il codice:

    http://localhost/?code=0.ATwAylKP1BpbCEeO0Ou5iiakalBV.......nIAA&state=12345&session_state=28084547-3dea-449a-8b4c-c1671342a39d#

  10. Dall'URL, copia la parte del codice di accesso che segue http://localhost/?code=. Hai bisogno di questo codice di accesso per eseguire l'azione Ottieni token di aggiornamento OAuth.

Esegui l'azione Get OAuth Refresh Token

Utilizza lo scenario Google SecOps che hai simulato per eseguire manualmente l'azione Ottieni token di aggiornamento OAuth .

  1. Nella scheda Richieste, seleziona la richiesta simulata per aprire una visualizzazione della richiesta.

  2. Fai clic su Azione manuale.

  3. Nel campo Cerca dell'azione manuale, digita Azure Security Center.

  4. Nei risultati dell'integrazione di Azure Security Center, seleziona Ottieni token di aggiornamento OAuth.

  5. Nel campo del parametro Authorization Code, inserisci il codice di accesso che hai ottenuto dopo aver eseguito l'azione Recupera codice di autorizzazione OAuth.

  6. Fai clic su Esegui.

  7. Dopo l'esecuzione dell'azione, vai alla bacheca richieste della richiesta simulata. Nel record dell'azione Azure Security Center_Get OAuth Refresh Token, fai clic su Visualizza altro.

  8. Copia l'intero valore del token di aggiornamento generato.

Configurare il parametro Token di aggiornamento

  1. Vai alla finestra di dialogo di configurazione per l'integrazione di Azure Security Center.

  2. Inserisci il valore del token di aggiornamento del passaggio precedente nel campo Token di aggiornamento.

  3. Fai clic su Salva.

Integrare Azure Security Center con Google SecOps

Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.

Input di integrazione

Utilizza i seguenti parametri per configurare l'integrazione:

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
ID client Stringa N/D ID client dell'applicazione Microsoft Entra.
Client secret Password N/D Client secret dell'applicazione Microsoft Entra.
Nome utente Stringa N/D No Nome utente dell'account Microsoft Entra.
Password Password N/D No Password dell'account Microsoft Entra.
ID abbonamento Stringa N/D

L'ID dell'abbonamento per il quale vuoi eseguire una query per ottenere informazioni.

Nota: se l'ID abbonamento viene fornito a livello di integrazione e di azione, viene data la priorità alla configurazione dell'azione.
ID tenant Stringa N/D ID tenant dell'applicazione Microsoft Entra.
Aggiorna token Password N/D Token di aggiornamento per l'autorizzazione OAuth.
Verifica SSL Casella di controllo Deselezionata Se abilitata, verifica che il certificato SSL per la connessione al server Microsoft Defender for Cloud sia valido.

Azioni

Recuperare il codice di autorizzazione OAuth

Genera un codice di autorizzazione OAuth per ottenere un token di aggiornamento.

Parametri

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
URL di reindirizzamento Stringa https://localhost Specifica l'URL di reindirizzamento utilizzato durante la creazione dell'app Microsoft Entra.

Pubblica su

Questa azione non viene eseguita sulle entità.

Risultati dell'azione

Risultato dello script
Nome risultato script Opzioni di valore
is_success is_success=False
is_success is_success=True
Bacheca casi
Tipo di risultato Valore/Descrizione Type (Entity \ General)
Messaggio di output* L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: "Successfully generated Authorization code URL in Azure Security Center. Copia e incollalo nel browser. Dopodiché, copia la parte "code" dell'URL. Questo codice di autorizzazione viene utilizzato nell'azione "Ottieni token di aggiornamento OAuth". . Generale
Link

Nome: Link al codice di autorizzazione
URL: {generated link}

Recupera token di aggiornamento OAuth

Genera il token di aggiornamento necessario per la configurazione dell'integrazione. Il codice di autorizzazione può essere generato utilizzando l'azione Ottieni codice di autorizzazione OAuth.

Parametri

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
URL di reindirizzamento Stringa https://localhost Specifica l'URL di reindirizzamento utilizzato durante la creazione dell'app.
Codice di autorizzazione Stringa Specifica il codice di autorizzazione dall'azione "Recupera codice di autorizzazione OAuth".

Pubblica su

Questa azione non viene eseguita sulle entità.

Risultati dell'azione

Risultato dello script
Nome risultato script Opzioni di valore
is_success is_success=False
is_success is_success=True
Risultato JSON
{
    "token_type": "Bearer",
    "scope": "user_impersonation",
    "expires_in": "3599",
    "ext_expires_in": "3599",
    "expires_on": "1628514482",
    "not_before": "1628510582",
    "resource": "https://management.azure.com",
    "access_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Im5PbzNaRH",
    "refresh_token": "0.ATwAylKP1BpbCEeO0Ou5iiakalBVs4hy5YpMhS4OVguFb9Y8AGw",
    "id_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJub25lIn0.eyJhdWQiOiI4OGIzNTU1MC1"
}
Bacheca casi
Tipo di risultato Valore/Descrizione Type (Entity \ General)
Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:

Se viene segnalato il codice di stato 200 (is_success = true): "Token di aggiornamento generato correttamente in Azure Security Center".

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:

if fatal error, like wrong credentials, no connection to server, other: "Error executing action "Get OAuth Refresh Token". Motivo: {0}''.format(error.Stacktrace)

Se il codice di stato non è 200: "Errore durante l'esecuzione dell'azione "Ottieni token di aggiornamento OAuth". Motivo: {0}''.format(error_description)

 Generale

Elenco degli standard normativi

Elenca gli standard normativi disponibili in Microsoft Defender for Cloud.

Parametri

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
ID abbonamento Stringa N/D No

Specifica l'ID dell'abbonamento per il quale vuoi eseguire una query sulle informazioni.

Nota: se l'ID abbonamento viene fornito a livello di integrazione e di azione, viene data la priorità alla configurazione dell'azione.
Filtro stato CSV Non riuscito No

Specifica l'elenco degli stati separati da virgole. Esempio: Esecuzione non riuscita, Ignorato. Verranno restituiti solo gli standard con lo stato corrispondente. Ad esempio, se specifichi "Non riuscito", l'azione restituirà solo gli standard non riusciti.

Valori possibili: Passed,Failed,Unsupported,Skipped
Numero massimo di standard da restituire Stringa 50 No Specifica il numero di standard da restituire.

Pubblica su

Questa azione non viene eseguita sulle entità.

Risultati dell'azione

Risultato dello script
Nome risultato script Opzioni di valore
is_success is_success=False
is_success is_success=True
Risultato JSON
{
    "value": [
        {
            "id": "/subscriptions/a052d33b-b7c4-4dc7-9e17-5c89ea594669/providers/Microsoft.Security/regulatoryComplianceStandards/Azure-CIS-1.1.0",
            "name": "Azure-CIS-1.1.0",
            "type": "Microsoft.Security/regulatoryComplianceStandards",
            "properties": {
                "state": "Failed",
                "passedControls": 21,
                "failedControls": 3,
                "skippedControls": 0,
                "unsupportedControls": 87
            }
        }
    ]
}
Bacheca casi
Tipo di risultato Valore/Descrizione Type (Entity \ General)
Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:

Se il codice di stato è 200 e dopo il filtraggio abbiamo dati : "Successfully retrieved regulatory controls for the provided standards in Microsoft Azure Security Center" (Controlli normativi recuperati correttamente per gli standard forniti in Microsoft Azure Security Center)

Se il codice di stato è 200 e dopo il filtraggio non abbiamo dati : "Non sono stati trovati standard normativi in Microsoft Azure Security Center"

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:

Se viene segnalato un errore irreversibile, un errore SDK, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Elenca standard normativi". Motivo: {0}''.format(error.Stacktrace)

Se il filtro Stato contiene valori non validi: "Errore durante l'esecuzione dell'azione "Elenca standard normativi". Motivo: il parametro "Filtro stato" deve contenere solo i seguenti valori: "Superato", "Non superato", "Ignorato", "Non supportato".''

 Generale
Tabella Bacheca casi

Nome: Standard normativi

Colonna:

  • Nome
  • Stato
  • Controlli superati
  • Controlli non riusciti
  • Controlli ignorati
  • Controlli non supportati
 Generale

Elenca controlli standard normativi

Elenca i controlli disponibili relativi agli standard in Microsoft Defender for Cloud.

Parametri

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
ID abbonamento Stringa N/D No

Specifica l'ID dell'abbonamento per il quale vuoi eseguire una query sulle informazioni.

Nota: se l'ID abbonamento viene fornito a livello di integrazione e di azione, viene data la priorità alla configurazione dell'azione.
Nomi standard CSV Specifica un elenco separato da virgole di nomi di standard per i quali vuoi recuperare i dettagli. Esempio: Azure-CIS-1.1.0
Filtro stato CSV Non riuscito No

Specifica l'elenco degli stati separati da virgole. Esempio: Esecuzione non riuscita, Ignorato. Verranno restituiti solo i controlli con lo stato corrispondente. Ad esempio, se specifichi "Non riuscito", l'azione restituirà solo i controlli non riusciti.

Valori possibili: Passed,Failed,Unsupported,Skipped
Numero massimo di controlli da restituire Stringa 50 No Specifica il numero di controlli da restituire per standard.

Pubblica su

Questa azione non viene eseguita sulle entità.

Risultati dell'azione

Risultato dello script
Nome risultato script Opzioni di valore
is_success is_success=False
is_success is_success=True
Risultato JSON
{
    "results": [
      "Name": "{Standard_name}",
      "Controls":
[
        {
            "id": "/subscriptions/a052d33b-b7c4-4dc7-9e17-5c89ea594669/providers/Microsoft.Security/regulatoryComplianceStandards/Azure-CIS-1.1.0",
            "name": "Azure-CIS-1.1.0",
            "type": "Microsoft.Security/regulatoryComplianceStandards",
            "properties": {
                "state": "Failed",
                "passedControls": 21,
                "failedControls": 3,
                "skippedControls": 0,
                "unsupportedControls": 87
            }
        }
    ]
}
Bacheca casi
Tipo di risultato Valore/Descrizione Tipo (entità/generale)
Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:

Se il codice di stato è 200 e dopo il filtraggio abbiamo dati per almeno uno standard(is_success = true) : "Controlli normativi recuperati correttamente per i seguenti standard in Microsoft Azure Security Center:\n {0}".format(standard)

If fail for standard(is_success = true) : "Action wasn't able to retrieve regulatory controls for the following standards in Microsoft Azure Security Center:\n {0}".format(standard)

Se dopo il filtro non vengono trovati dati per alcuni standard (is_success=true): "Non sono stati trovati controlli normativi per i seguenti standard in Microsoft Azure Security Center:\n {0}".format(standard)

Se non vengono trovati dati per tutti gli standard in base ai filtri: "Non sono stati trovati controlli normativi per gli standard forniti".

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:

Se viene segnalato un errore irreversibile, un errore SDK, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Elenca controlli standard normativi". Motivo: {0}''.format(error.Stacktrace)

Se il filtro Stato contiene valori non validi: "Errore durante l'esecuzione dell'azione "Elenca controlli standard normativi". Motivo: il parametro "Filtro stato" deve contenere solo i seguenti valori: "Superato", "Non superato", "Ignorato", "Non supportato".''

 Generale
Tabella Bacheca casi

Nome tabella: "Controlli normativi: {0}".format(Standard)

Colonna:

  • Nome
  • Stato
  • Descrizione
  • Test superati
  • Test non superati
  • Valutazioni ignorate
 Generale

Dindin

Testa la connettività a Microsoft Defender for Cloud con i parametri forniti nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace.

Pubblica su

Questa azione non viene eseguita sulle entità.

Risultati dell'azione

Risultato dello script
Nome risultato script Opzioni di valore
is_success is_success=False
is_success is_success=True
Bacheca casi
Tipo di risultato Valore / Descrizione Tipo
Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:

Se l'operazione va a buon fine: "Connessione al server di Azure Security Center riuscita con i parametri di connessione forniti."

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:

Se l'operazione non va a buon fine: "Impossibile connettersi al server del Centro sicurezza di Azure. Error is {0}".format(exception.stacktrace)

 Generale

Aggiorna stato avviso

Aggiorna lo stato dell'avviso in Microsoft Defender for Cloud.

Parametri

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
ID abbonamento Stringa N/D No

Specifica l'ID dell'abbonamento per il quale vuoi eseguire una query sulle informazioni.

Nota: se l'ID abbonamento viene fornito a livello di integrazione e di azione, viene data la priorità alla configurazione dell'azione.
ID avviso Stringa N/D Specifica un ID dell'avviso di cui vuoi aggiornare lo stato.
Località Stringa N/D Specifica la posizione dell'avviso. Esempio: centralus.
Stato DDL

Risolvi

Valori possibili:

  • Ignora
  • Riattiva
  • Risolvi
 Specifica lo stato dell'avviso.

Pubblica su

Questa azione non viene eseguita sulle entità.

Risultati dell'azione

Risultato dello script
Nome risultato script Opzioni di valore
is_success is_success=False
is_success is_success=True
Bacheca casi
Tipo di risultato Valore / Descrizione Tipo
Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:

Se il codice di stato è 204 (is_success = true) : "Successfully {0} alert with ID {1} in Microsoft Azure Security Center:\n {0}".format(dismissed/resolved/reactivated, alert_id)

Se nella risposta sono presenti "errori" (is_success = false) : "L'azione non è riuscita a {0} l'avviso con ID {1} in Microsoft Azure Security Center. Motivo: {2}".format(dismiss/resolve/reactivate, alert_id, errors/message)

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:

Se viene segnalato un errore irreversibile, un errore SDK, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Aggiorna stato avviso". Motivo: {0}''.format(error.Stacktrace)

 Generale

Connettori

Per istruzioni dettagliate su come configurare un connettore in Google SecOps, vedi Configurazione del connettore.

Azure Security Center - Security Alerts Connector

Estrai gli avvisi di sicurezza da Microsoft Defender for Cloud.

Parametri del connettore

Utilizza i seguenti parametri per configurare il connettore:

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
Nome campo prodotto Stringa Nome prodotto Inserisci il nome del campo di origine per recuperare il nome del campo prodotto.
Nome campo evento Stringa resourceType Inserisci il nome del campo di origine per recuperare il nome del campo evento.
Nome campo ambiente Stringa "" No

Descrive il nome del campo in cui è memorizzato il nome dell'ambiente.

Se il campo dell'ambiente non viene trovato, l'ambiente è quello predefinito.
Pattern regex ambiente Stringa .* No

Un pattern regex da eseguire sul valore trovato nel campo "Nome campo ambiente".

Il valore predefinito è .* per acquisire tutto e restituire il valore invariato.

Utilizzato per consentire all'utente di manipolare il campo dell'ambiente tramite la logica delle espressioni regolari.

Se il pattern regex è null o vuoto oppure il valore dell'ambiente è null, il risultato finale dell'ambiente è l'ambiente predefinito.
Timeout dello script (secondi) Numero intero 180 Limite di timeout per il processo Python che esegue lo script corrente.
ID client Stringa N/D Vero ID client dell'applicazione Microsoft Entra.
Client secret Password N/D Vero Client secret dell'applicazione Microsoft Entra.
Nome utente Stringa N/D Vero Nome utente dell'account Microsoft Entra.
Password Password N/D Vero Password dell'account Microsoft Entra.
ID abbonamento Stringa N/D Vero ID abbonamento dell'applicazione Microsoft Entra
ID tenant Stringa N/D Vero ID tenant dell'applicazione Microsoft Entra.
Gravità minima da recuperare Stringa Bassa

La gravità minima che verrà utilizzata per recuperare l'avviso.

Valori possibili: Basso, Medio, Alto
Numero massimo di avvisi da recuperare Numero intero 50 No Numero di avvisi da elaborare per ogni iterazione del connettore.
Ore massime indietro Numero intero 1 No Numero di ore a ritroso per recuperare gli avvisi.
Utilizzare la lista consentita come lista nera Casella di controllo Deselezionata Se attivato, l'elenco dinamico verrà utilizzato come lista bloccata.
Verifica SSL Casella di controllo Deselezionata Se abilitato, verifica che il certificato SSL per la connessione al server Microsoft Defender for Cloud sia valido.
Indirizzo del server proxy Stringa N/D No L'indirizzo del server proxy da utilizzare.
Nome utente proxy Stringa N/D No Il nome utente del proxy con cui eseguire l'autenticazione.
Password proxy Password N/D No La password del proxy per l'autenticazione.
Aggiorna token Password N/D No Token di aggiornamento per l'autorizzazione OAuth.

Regole del connettore

Supporto del proxy

Il connettore supporta il proxy.

Job

Per configurare i job in Google Security Operations, vai a Risposta > Pianificatore job.

Job di rinnovo del token di aggiornamento

Lo scopo del job di rinnovo del token di aggiornamento è aggiornare periodicamente il token di aggiornamento utilizzato nell'integrazione.

Per impostazione predefinita, il token di aggiornamento scade ogni 90 giorni, rendendo l'integrazione inutilizzabile alla scadenza. Ti consigliamo di eseguire questo job ogni 7 o 14 giorni per assicurarti che il token di aggiornamento sia aggiornato.

Input del job

Per configurare il job, utilizza i seguenti parametri:

Parametri
Ambienti di integrazione Optional

Ambienti di integrazione per i quali il job aggiorna i token di aggiornamento.

Questo parametro accetta più valori come stringa separata da virgole. Racchiudi i singoli valori tra virgolette (" ").
Nomi dei connettori Optional

Nomi dei connettori per i quali il job aggiorna i token di aggiornamento.

Questo parametro accetta più valori come stringa separata da virgole. Racchiudi i singoli valori tra virgolette (" ").

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.