Central de segurança do Azure

Versão da integração: 9.0

Casos de uso

  1. Ingerir alertas de segurança no Google SecOps para investigação.

  2. Atualize os alertas.

  3. Recupere informações sobre a conformidade com os padrões.

Pré-requisitos

Antes de configurar a integração na plataforma Google SecOps, conceda as permissões necessárias à conta de usuário do Azure e configure uma autenticação por senha ou OAuth.

Configurar permissões

Essa integração exige acesso delegado aos recursos do Azure. Conceda as seguintes permissões necessárias à conta de usuário do Azure usada para configurar a integração:

  1. A conta de usuário precisa ser um membro ativo para os seguintes papéis do Azure:

    • Security Reader
    • Security Admin

  2. No nível da assinatura do Azure, conceda ao usuário o seguinte papel do IAM: Management Group Reader.

Configurar a autenticação por senha

Para configurar a autenticação por senha no Microsoft Defender para nuvem, siga estas etapas:

  1. Crie o app do Microsoft Entra.

  2. Configure as permissões da API para seu app.

  3. Crie uma chave secreta do cliente.

  4. Use o ID da sua assinatura do Azure como um valor para o parâmetro de integração correspondente.

Criar um app do Microsoft Entra

  1. Faça login no portal do Azure como administrador de usuários ou de senhas.

  2. Selecione Microsoft Entra ID.

  3. Acesse Registros de apps > Novo registro.

  4. Digite o nome do app.

  5. Clique em Registrar.

  6. Salve os valores de ID do aplicativo (cliente) e ID do diretório (locatário) para usar depois ao configurar os parâmetros de integração.

Configurar permissões da API

  1. Acesse Permissões da API > Adicionar uma permissão.

  2. Selecione Gerenciamento de serviços do Azure > Permissões delegadas.

  3. Na seção Selecionar permissões, escolha a seguinte permissão:

    • user_impersonation

  4. Selecione Microsoft Graph > Permissões delegadas.

  5. Na seção Selecionar permissões, selecione as seguintes permissões:

    • SecurityEvents.Read.All
    • SecurityEvents.ReadWrite.All
    • User.Read

  6. Selecione Microsoft Graph > Permissões do aplicativo.

  7. Na seção Selecionar permissões, selecione as seguintes permissões:

    • SecurityEvents.Read.All
    • SecurityEvents.ReadWrite.All

  8. Clique em Adicionar permissões

  9. Clique em Conceder consentimento de administrador para YOUR_ORGANIZATION_NAME.

    Quando a caixa de diálogo Confirmação de concessão de consentimento de administrador aparecer, clique em Sim.

Criar chave secreta do cliente

  1. Navegue até Certificados e chaves secretas > Nova chave secreta do cliente.

  2. Descreva uma chave secreta do cliente e defina o prazo de validade dela.

  3. Clique em Adicionar.

  4. Salve o valor da chave secreta do cliente (não o ID secreto) para usá-lo como o valor do parâmetro Client Secret ao configurar a integração. O valor do segredo do cliente é mostrado apenas uma vez.

Configurar a integração com o ID da assinatura do Azure

  1. No Microsoft Defender for Cloud, acesse a guia Visão geral.

  2. Clique em Assinaturas do Azure.

  3. Copie o valor do ID da assinatura do Azure e insira-o no parâmetro Subscription ID ao configurar os parâmetros de integração.

Configurar a autenticação OAuth

Para configurar a autenticação OAuth no Microsoft Defender para nuvem, siga estas etapas:

  1. Crie o app do Microsoft Entra.

  2. Configure as permissões da API para seu app.

  3. Crie uma chave secreta do cliente.

  4. Use o ID da sua assinatura do Azure como um valor para o parâmetro de integração correspondente.

Criar um app do Microsoft Entra

Para criar um aplicativo e simular o usuário escolhido, siga estas etapas:

  1. Faça login no portal do Azure como administrador de usuários ou de senhas.

  2. Selecione Microsoft Entra ID.

  3. Acesse Registros de apps > Novo registro.

  4. Digite o nome do app.

  5. Selecione os Tipos de contas compatíveis adequados.

  6. Para o URL de redirecionamento, forneça o seguinte valor: http://localhost.

  7. Clique em Registrar.

  8. Salve os valores de ID do aplicativo (cliente) e ID do diretório (locatário) para usar depois na configuração da integração.

Configurar permissões da API

  1. Acesse Permissões da API > Adicionar uma permissão.

  2. Selecione Gerenciamento de serviços do Azure > Permissões delegadas.

  3. Na seção Selecionar permissões, escolha a seguinte permissão:

    • user_impersonation

  4. Selecione Microsoft Graph > Permissões delegadas.

  5. Na seção Selecionar permissões, selecione as seguintes permissões:

    • SecurityEvents.Read.All
    • SecurityEvents.ReadWrite.All
    • User.Read

  6. Selecione Microsoft Graph > Permissões do aplicativo.

  7. Na seção Selecionar permissões, selecione as seguintes permissões:

    • SecurityEvents.Read.All
    • SecurityEvents.ReadWrite.All

  8. Clique em Adicionar permissões

  9. Clique em Conceder consentimento de administrador para YOUR_ORGANIZATION_NAME.

    Quando a caixa de diálogo Confirmação de concessão de consentimento de administrador aparecer, clique em Sim.

Criar chave secreta do cliente

  1. Navegue até Certificados e chaves secretas > Nova chave secreta do cliente.

  2. Descreva uma chave secreta do cliente e defina o prazo de validade dela.

  3. Clique em Adicionar.

  4. Salve o valor da chave secreta do cliente (não o ID secreto) para usá-lo como o valor do parâmetro Client Secret ao configurar a integração. O valor do segredo do cliente é mostrado apenas uma vez.

Configurar a integração com o ID da assinatura do Azure

  1. No Microsoft Defender for Cloud, acesse a guia Visão geral.

  2. Clique em Assinaturas do Azure.

  3. Copie o valor do ID da assinatura do Azure e insira-o no parâmetro Subscription ID ao configurar a integração.

Configurar a autenticação OAuth no Google SecOps

Para configurar a autenticação OAuth no Microsoft Defender for Cloud na plataforma Google SecOps, siga estas etapas:

  1. Configure e salve os parâmetros de integração.

  2. Gere um token de atualização:

    • Opcional: simule um caso no Google SecOps.

    • Execute manualmente a ação Receber código de autorização do OAuth.

    • Execute manualmente a ação Gerar token.

  3. Insira o token de atualização obtido como o valor do parâmetro Refresh Token e salve a configuração.

Configurar parâmetros de integração

No Google SecOps, configure os parâmetros de integração com os valores de ID do cliente, chave secreta do cliente, ID do locatário e ID da assinatura que você obteve nas etapas anteriores.

Gerar token de atualização

Para gerar um token de atualização, é necessário realizar ações manuais em qualquer caso aberto. Se a instância do Google Security Operations for nova e não tiver casos, simule um.

Simular caso

Para simular um caso no Google SecOps, siga estas etapas:

  1. Na navegação à esquerda, selecione Casos.

  2. Na página "Casos", clique em add > Simular casos.

  3. Selecione um dos casos padrão e clique em Criar. Não importa qual caso você escolha simular.

  4. Clique em Simular.

    Se você tiver um ambiente diferente do padrão e quiser usá-lo, selecione o ambiente correto e clique em Simular.

  5. Na guia Casos, clique em Atualizar. O caso simulado aparece na lista de casos.

Executar a ação "Receber código de autorização do OAuth"

Use o caso do Google SecOps que você simulou ou qualquer outro para executar a ação Receber código de autorização do OAuth manualmente.

  1. Na guia Casos, selecione o caso simulado para abrir uma visualização de caso.

  2. Clique em Ação manual.

  3. No campo Pesquisar da ação manual, insira Azure Security Center.

  4. Nos resultados da integração do Azure Security Center, selecione Receber código de autorização do OAuth. Essa ação retorna um link de autorização usado para fazer login interativamente no app do Microsoft Entra.

  5. No campo de parâmetro Redirect URL, insira o URL que você usou ao criar o app do Microsoft Entra.

  6. Clique em Executar.

  7. Depois que a ação for executada, navegue até o mural de casos do caso simulado. No registro da ação Azure Security Center_Get OAuth Authorization Code, clique em Ver mais e copie o link de autorização.

  8. Abra uma nova janela do navegador no modo de navegação anônima e cole o URL de autorização gerado. A página de login do Azure é aberta.

  9. Faça login com as credenciais de usuário selecionadas para a integração. Depois de fazer login, seu navegador será redirecionado com um código na barra de endereço.

    Exemplo do URL resultante com o código:

    http://localhost/?code=0.ATwAylKP1BpbCEeO0Ou5iiakalBV.......nIAA&state=12345&session_state=28084547-3dea-449a-8b4c-c1671342a39d#

  10. No URL, copie a parte do código de acesso que vem depois de http://localhost/?code=. Você precisa desse código de acesso para executar a ação Receber token de atualização do OAuth.

Execute a ação "Get OAuth Refresh Token"

Use o caso do Google SecOps simulado para executar a ação Receber token de atualização do OAuth manualmente.

  1. Na guia Casos, selecione o caso simulado para abrir uma visualização de caso.

  2. Clique em Ação manual.

  3. No campo Pesquisar da ação manual, digite Azure Security Center.

  4. Nos resultados da integração do Azure Security Center, selecione Receber token de atualização do OAuth.

  5. No campo de parâmetro Authorization Code, insira o código de acesso que você recebeu depois de executar a ação Receber código de autorização do OAuth.

  6. Clique em Executar.

  7. Depois que a ação for executada, navegue até o mural de casos do caso simulado. No registro de ação Azure Security Center_Get OAuth Refresh Token, clique em Ver mais.

  8. Copie todo o valor do token de atualização gerado.

Configurar o parâmetro "Refresh Token"

  1. Navegue até a caixa de diálogo de configuração da integração da Central de Segurança do Azure.

  2. Insira o valor do token de atualização da etapa anterior no campo Token de atualização.

  3. Clique em Salvar.

Integrar a Central de Segurança do Azure ao Google SecOps

Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.

Entradas de integração

Use os seguintes parâmetros para configurar a integração:

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
ID do cliente String N/A Sim ID do cliente do aplicativo Microsoft Entra.
Chave secreta do cliente Senha N/A Sim Chave secreta do cliente do aplicativo Microsoft Entra.
Nome de usuário String N/A Não Nome de usuário da conta do Microsoft Entra.
Senha Senha N/A Não Senha da conta do Microsoft Entra.
ID da assinatura String N/A Sim

O ID da assinatura sobre a qual você quer consultar informações.

Observação: se o ID da assinatura for fornecido no nível da integração e da ação, a prioridade será dada à configuração da ação.
Código do locatário String N/A Sim ID do locatário do aplicativo Microsoft Entra.
Token de atualização Senha N/A Sim Token de atualização para a autorização do OAuth.
Verificar SSL Caixa de seleção Desmarcado Sim Se ativada, verifica se o certificado SSL da conexão com o servidor do Microsoft Defender para nuvem é válido.

Ações

Receber código de autorização OAuth

Gere um código de autorização do OAuth para receber um token de atualização.

Parâmetros

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
URL de redirecionamento String https://localhost Sim Especifique o URL de redirecionamento usado quando o app do Microsoft Entra foi criado.

Data de execução

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor
is_success is_success=False
is_success is_success=True
Painel de casos
Tipo de resultado Valor/descrição Tipo (entidade \ geral)
Mensagem de saída* A ação não pode falhar nem interromper a execução de um playbook: "URL do código de autorização gerado com sucesso no Azure Security Center. Copie e cole no navegador. Depois disso, copie a parte "code" do URL. Esse código de autorização é usado na ação "Receber token de atualização do OAuth". ". Geral
Link

Nome:link do código de autorização
URL: {generated link}

Receber token de atualização do OAuth

Gere o token de atualização necessário para a configuração da integração. O código de autorização pode ser gerado usando a ação Receber código de autorização do OAuth.

Parâmetros

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
URL de redirecionamento String https://localhost Sim Especifique o URL de redirecionamento usado quando o app foi criado.
Código de autorização String Sim Especifique o código de autorização da ação "Receber código de autorização do OAuth".

Data de execução

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor
is_success is_success=False
is_success is_success=True
Resultado JSON
{
    "token_type": "Bearer",
    "scope": "user_impersonation",
    "expires_in": "3599",
    "ext_expires_in": "3599",
    "expires_on": "1628514482",
    "not_before": "1628510582",
    "resource": "https://management.azure.com",
    "access_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Im5PbzNaRH",
    "refresh_token": "0.ATwAylKP1BpbCEeO0Ou5iiakalBVs4hy5YpMhS4OVguFb9Y8AGw",
    "id_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJub25lIn0.eyJhdWQiOiI4OGIzNTU1MC1"
}
Painel de casos
Tipo de resultado Valor/descrição Tipo (entidade \ geral)
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

Se o código de status 200 for informado (is_success = true): "Token de atualização gerado com sucesso no Azure Security Center".

A ação precisa falhar e interromper a execução de um playbook:

Se houver um erro fatal, como credenciais incorretas, sem conexão com o servidor, outro: "Erro ao executar a ação "Receber token de atualização do OAuth". Motivo: {0}''.format(error.Stacktrace)

Se o código de status não for 200: "Erro ao executar a ação "Get OAuth Refresh Token". Motivo: {0}''.format(error_description)

 Geral

Listar padrões regulamentares

Liste os padrões regulamentares disponíveis no Microsoft Defender for Cloud.

Parâmetros

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
ID da assinatura String N/A Não

Especifique o ID da assinatura sobre a qual você quer consultar informações.

Observação: se o ID da assinatura for fornecido no nível da integração e da ação, a prioridade será dada à configuração da ação.
Filtro de estado CSV Falha Não

Especifique a lista de estados separada por vírgulas. Exemplo: falha, ignorado. Somente os padrões com o estado correspondente serão retornados. Por exemplo, se você especificar "Falha", a ação vai retornar apenas padrões com falha.

Valores possíveis: Passed,Failed,Unsupported,Skipped
Número máximo de padrões a serem retornados String 50 Não Especifique quantos padrões serão retornados.

Data de execução

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor
is_success is_success=False
is_success is_success=True
Resultado JSON
{
    "value": [
        {
            "id": "/subscriptions/a052d33b-b7c4-4dc7-9e17-5c89ea594669/providers/Microsoft.Security/regulatoryComplianceStandards/Azure-CIS-1.1.0",
            "name": "Azure-CIS-1.1.0",
            "type": "Microsoft.Security/regulatoryComplianceStandards",
            "properties": {
                "state": "Failed",
                "passedControls": 21,
                "failedControls": 3,
                "skippedControls": 0,
                "unsupportedControls": 87
            }
        }
    ]
}
Painel de casos
Tipo de resultado Valor/descrição Tipo (entidade \ geral)
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

Se o código de status for 200 e, após a filtragem, tivermos dados: "Controles regulatórios recuperados com sucesso para os padrões fornecidos na Central de Segurança do Microsoft Azure"

Se o código de status for 200 e, após a filtragem, não houver dados: "Nenhum padrão regulatório foi encontrado no Microsoft Azure Security Center"

A ação precisa falhar e interromper a execução de um playbook:

Se um erro fatal ou do SDK, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "List Regulatory Standards". Motivo: {0}''.format(error.Stacktrace)

Se o filtro de estado contiver valores inválidos: "Erro ao executar a ação "List Regulatory Standards". Motivo: o parâmetro "Filtro de estado" só pode conter os seguintes valores: "Aprovado", "Reprovado", "Ignorado", "Não compatível".""

 Geral
Tabela do painel de casos

Nome:padrões regulamentares

Coluna:

  • Nome
  • Estado
  • Controles aprovados
  • Controles com falha
  • Controles ignorados
  • Controles sem suporte
 Geral

Listar controles de padrões regulamentares

Liste os controles disponíveis relacionados aos padrões no Microsoft Defender para nuvem.

Parâmetros

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
ID da assinatura String N/A Não

Especifique o ID da assinatura sobre a qual você quer consultar informações.

Observação: se o ID da assinatura for fornecido no nível da integração e da ação, a prioridade será dada à configuração da ação.
Nomes padrão CSV Sim Especifique uma lista separada por vírgulas de nomes padrão para os quais você quer recuperar detalhes. Exemplo: Azure-CIS-1.1.0
Filtro de estado CSV Falha Não

Especifique a lista de estados separada por vírgulas. Exemplo: falha, ignorado. Somente controles com o estado correspondente serão retornados. Por exemplo, se você especificar "Failed", a ação vai retornar apenas controles com falha.

Valores possíveis: Passed,Failed,Unsupported,Skipped
Número máximo de controles a serem retornados String 50 Não Especifique quantos controles retornar por padrão.

Data de execução

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor
is_success is_success=False
is_success is_success=True
Resultado JSON
{
    "results": [
      "Name": "{Standard_name}",
      "Controls":
[
        {
            "id": "/subscriptions/a052d33b-b7c4-4dc7-9e17-5c89ea594669/providers/Microsoft.Security/regulatoryComplianceStandards/Azure-CIS-1.1.0",
            "name": "Azure-CIS-1.1.0",
            "type": "Microsoft.Security/regulatoryComplianceStandards",
            "properties": {
                "state": "Failed",
                "passedControls": 21,
                "failedControls": 3,
                "skippedControls": 0,
                "unsupportedControls": 87
            }
        }
    ]
}
Painel de casos
Tipo de resultado Valor/descrição Tipo (entidade \ geral)
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

Se o código de status for 200 e, após a filtragem, tivermos dados para pelo menos um padrão(is_success = true): "Controles regulatórios recuperados com sucesso para os seguintes padrões no Microsoft Azure Security Center:\n {0}".format(standard)

If fail for standard(is_success = true) : "Não foi possível recuperar os controles regulatórios para os seguintes padrões na Central de Segurança do Microsoft Azure:\n {0}".format(standard)

Se nenhum dado for encontrado para alguns padrões após a filtragem (is_success=true): "Nenhum controle regulatório foi encontrado para os seguintes padrões no Microsoft Azure Security Center:\n {0}".format(standard)

Se nenhum dado for encontrado para todos os padrões com base nos filtros: "Nenhum controle regulatório foi encontrado para os padrões fornecidos".

A ação precisa falhar e interromper a execução de um playbook:

Se um erro fatal ou do SDK, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "List Regulatory Standard Controls". Motivo: {0}''.format(error.Stacktrace)

Se o filtro de estado contiver valores inválidos: "Erro ao executar a ação "List Regulatory Standard Controls". Motivo: o parâmetro "Filtro de estado" só pode conter os seguintes valores: "Aprovado", "Reprovado", "Ignorado", "Não compatível".""

 Geral
Tabela do painel de casos

Nome da tabela: "Controles regulatórios: {0}".format(Standard)

Coluna:

  • Nome
  • Estado
  • Descrição
  • Avaliações aprovadas
  • Avaliações reprovadas
  • Avaliações ignoradas
 Geral

Ping

Teste a conectividade com o Microsoft Defender for Cloud usando os parâmetros fornecidos na página de configuração da integração na guia "Marketplace" do Google Security Operations.

Data de execução

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor
is_success is_success=False
is_success is_success=True
Painel de casos
Tipo de resultado Valor / Descrição Tipo
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

Se a conexão for bem-sucedida: "A conexão com o servidor do Azure Security Center foi concluída com os parâmetros fornecidos!"

A ação precisa falhar e interromper a execução de um playbook:

Se não der certo: "Não foi possível se conectar ao servidor da Central de Segurança do Azure. O erro é {0}".format(exception.stacktrace)

 Geral

Atualizar status do alerta

Atualize o status do alerta no Microsoft Defender para Nuvem.

Parâmetros

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
ID da assinatura String N/A Não

Especifique o ID da assinatura sobre a qual você quer consultar informações.

Observação: se o ID da assinatura for fornecido no nível da integração e da ação, a prioridade será dada à configuração da ação.
Código de alerta String N/A Sim Especifique um ID do alerta em que você quer atualizar o status.
Local String N/A Sim Especifique o local do alerta. Exemplo: centralus.
Status DDL

Resolver

Valores possíveis:

  • Dispensar
  • Reativar
  • Resolver
 Sim Especifique o status do alerta.

Data de execução

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor
is_success is_success=False
is_success is_success=True
Painel de casos
Tipo de resultado Valor / Descrição Tipo
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

Se o código de status for 204 (is_success = true): "Alerta {0} com ID {1} no Microsoft Azure Security Center:\n {0}".format(dismissed/resolved/reactivated, alert_id)

Se "errors" na resposta (is_success = false): "Não foi possível {0} o alerta com ID {1} no Microsoft Azure Security Center. Motivo: {2}".format(dismiss/resolve/reactivate, alert_id, errors/message)

A ação precisa falhar e interromper a execução de um playbook:

Se um erro fatal ou de SDK, como credenciais incorretas, falta de conexão com o servidor ou outro problema for informado: "Erro ao executar a ação "Atualizar status do alerta". Motivo: {0}''.format(error.Stacktrace)

 Geral

Conectores

Para instruções detalhadas sobre como configurar um conector no Google SecOps, consulte Configurar o conector.

Azure Security Center: conector de alertas de segurança

Extraia alertas de segurança do Microsoft Defender para Nuvem.

Parâmetros do conector

Use os seguintes parâmetros para configurar o conector:

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
Nome do campo do produto String Nome do produto Sim Insira o nome do campo de origem para recuperar o nome do campo do produto.
Nome do campo do evento String resourceType Sim Insira o nome do campo de origem para recuperar o nome do campo de evento.
Nome do campo de ambiente String "" Não

Descreve o nome do campo em que o nome do ambiente é armazenado.

Se o campo de ambiente não for encontrado, o ambiente será o padrão.
Padrão de regex do ambiente String .* Não

Um padrão de regex a ser executado no valor encontrado no campo "Nome do campo de ambiente".

O padrão é ".*" para capturar tudo e retornar o valor sem alterações.

Usado para permitir que o usuário manipule o campo de ambiente usando a lógica de regex.

Se o padrão de regex for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão.
Tempo limite do script (segundos) Número inteiro 180 Sim Limite de tempo limite para o processo Python que executa o script atual.
ID do cliente String N/A Verdadeiro ID do cliente do aplicativo Microsoft Entra.
Chave secreta do cliente Senha N/A Verdadeiro Chave secreta do cliente do aplicativo Microsoft Entra.
Nome de usuário String N/A Verdadeiro Nome de usuário da conta do Microsoft Entra.
Senha Senha N/A Verdadeiro Senha da conta do Microsoft Entra.
ID da assinatura String N/A Verdadeiro ID da assinatura do aplicativo Microsoft Entra
Código do locatário String N/A Verdadeiro ID do locatário do aplicativo Microsoft Entra.
Menor gravidade a ser buscada String Baixo

A menor gravidade que será usada para buscar o alerta.

Valores possíveis: "Baixa", "Média", "Alta"
Número máximo de alertas a serem buscados Número inteiro 50 Não Quantos alertas processar por iteração de conector.
Máximo de horas para trás Número inteiro 1 Não Quantas horas para trás buscar alertas.
Usar a lista de permissões como uma lista de proibições Caixa de seleção Desmarcado Sim Se ativada, a lista dinâmica será usada como uma lista de bloqueio.
Verificar SSL Caixa de seleção Desmarcado Sim Se ativada, verifique se o certificado SSL da conexão com o servidor do Microsoft Defender para nuvem é válido.
Endereço do servidor proxy String N/A Não O endereço do servidor proxy a ser usado.
Nome de usuário do proxy String N/A Não O nome de usuário do proxy para autenticação.
Senha do proxy Senha N/A Não A senha do proxy para autenticação.
Token de atualização Senha N/A Não Token de atualização para a autorização do OAuth.

Regras do conector

Suporte a proxy

O conector é compatível com proxy.

Jobs

Para configurar jobs no Google Security Operations, acesse Resposta > Agendador de jobs.

Job de renovação do token de atualização

O objetivo do job de renovação do token de atualização é atualizar periodicamente o token de atualização usado na integração.

Por padrão, o token de atualização expira a cada 90 dias, o que torna a integração inutilizável após a expiração. Recomendamos executar esse job a cada 7 ou 14 dias para garantir que o token de atualização esteja atualizado.

Entradas de jobs

Para configurar o job, use os seguintes parâmetros:

Parâmetros
Ambientes de integração Opcional

Ambientes de integração para os quais o job atualiza os tokens de atualização.

Esse parâmetro aceita vários valores como uma string separada por vírgulas. Coloque os valores individuais entre aspas (" ").
Nomes de conectores Opcional

Nomes de conectores para os quais o job atualiza os tokens de atualização.

Esse parâmetro aceita vários valores como uma string separada por vírgulas. Coloque os valores individuais entre aspas (" ").

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.