Halaman ini diterjemahkan oleh Cloud Translation API.

Microsoft 365 Defender

Dokumen ini menjelaskan cara mengintegrasikan Microsoft 365 Defender dengan Google Security Operations (Google SecOps).

Versi integrasi: 19.0

Kasus penggunaan

Mengintegrasikan Microsoft 365 Defender dengan Google SecOps dapat membantu Anda menyelesaikan kasus penggunaan berikut:

Respons insiden otomatis: gunakan kemampuan Google SecOps untuk mengisolasi endpoint yang terpengaruh secara otomatis dan memulai pemindaian untuk mendeteksi kompromi lebih lanjut.
Penyelidikan dan perbaikan phishing: gunakan kemampuan Google SecOps untuk mengekstrak informasi yang relevan secara otomatis, seperti pengirim, subjek, dan lampiran, serta memperkayanya dengan data intelijen ancaman.
Pengelolaan kerentanan: gunakan kemampuan Google SecOps untuk mengotomatiskan alur kerja pemindaian dan perbaikan kerentanan.
Pelaporan dan audit kepatuhan: gunakan kemampuan Google SecOps untuk mengotomatiskan pengumpulan dan pelaporan data keamanan dari Microsoft 365 Defender, menyederhanakan audit kepatuhan, dan menunjukkan kepatuhan terhadap standar keamanan.
Triase dan prioritas notifikasi: gunakan kemampuan Google SecOps untuk menganalisis notifikasi dari Microsoft 365 Defender dan memprioritaskannya berdasarkan tingkat keparahan dan potensi dampak.
Analisis malware otomatis: gunakan kemampuan Google SecOps untuk otomatis mengirimkan sampel malware yang telah dideteksi oleh Microsoft 365 Defender ke lingkungan sandbox untuk analisis dinamis.

Sebelum memulai

Sebelum mengonfigurasi integrasi di platform Google SecOps, selesaikan langkah-langkah berikut:

Buat aplikasi Microsoft Entra.
Konfigurasi izin API untuk aplikasi Anda.
Buat rahasia klien.

Buat aplikasi Microsoft Entra

Untuk membuat aplikasi Microsoft Entra, selesaikan langkah-langkah berikut:

Login ke portal Azure sebagai administrator pengguna atau administrator sandi.
Pilih Microsoft Entra ID.
Buka App registrations > New registration.
Masukkan nama aplikasi.
Klik Daftar.
Simpan nilai Application (client) ID dan Directory (tenant) ID untuk menggunakannya nanti saat mengonfigurasi parameter integrasi.

Mengonfigurasi izin API

Untuk mengonfigurasi izin API untuk integrasi, selesaikan langkah-langkah berikut:

Di portal Azure, buka Kelola > Izin API > Tambahkan izin.
Di jendela Request API permissions, pilih APIs my organization uses.
Pilih Microsoft Graph > Izin aplikasi.
Pilih izin berikut:
- SecurityAlert.Read.All
- SecurityIncident.ReadWrite.All
Klik Add permissions.
Di jendela Request API permissions, pilih APIs my organization uses.
Pilih Microsoft Threat Protection > Izin aplikasi.
Pilih izin berikut:
- ThreatHunting.Read.All
Klik Add permissions.
Klik Grant admin consent for YOUR_ORGANIZATION_NAME.

Saat dialog Konfirmasi pemberian izin admin muncul, klik Ya.

Membuat rahasia klien

Untuk membuat rahasia klien, selesaikan langkah-langkah berikut:

Buka Certificates and secrets > New client secret.
Berikan deskripsi untuk rahasia klien dan tetapkan tenggat waktu habis masa berlakunya.
Klik Tambahkan.
Simpan nilai rahasia klien (bukan ID rahasia) untuk menggunakannya sebagai nilai parameter Client Secret saat mengonfigurasi integrasi.

Nilai rahasia klien hanya ditampilkan satu kali.

Mengintegrasikan Microsoft 365 Defender dengan Google SecOps

Integrasi Microsoft 365 Defender memerlukan parameter berikut:

Parameter	Deskripsi
`Login API Root`	Wajib Root API login instance Microsoft 365 Defender. Nilai defaultnya adalah `https://login.microsoftonline.com`.
`Graph API Root`	Wajib Root API layanan Microsoft Graph. Nilai defaultnya adalah `https://graph.microsoft.com`.
`API Root`	Wajib Root API instance Microsoft 365 Defender. Nilai defaultnya adalah `https://api.security.microsoft.com`.
`Tenant ID`	Wajib Nilai Microsoft Entra ID (ID tenant) akun Microsoft Entra ID Anda.
`Client ID`	Wajib Nilai ID aplikasi (klien) akun Microsoft Entra ID Anda.
`Client Secret`	Wajib Nilai rahasia klien aplikasi Microsoft Entra ID.
`Verify SSL`	Opsional Jika dipilih, integrasi akan memverifikasi bahwa sertifikat SSL untuk menghubungkan ke server Microsoft 365 Defender valid. Dipilih secara default.

Untuk mengetahui petunjuk tentang cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.

Anda dapat melakukan perubahan di tahap berikutnya jika diperlukan. Setelah mengonfigurasi instance integrasi, Anda dapat menggunakannya dalam playbook. Untuk mengetahui informasi selengkapnya tentang mengonfigurasi dan mendukung beberapa instance, lihat Mendukung beberapa instance.

Tindakan

Untuk mengetahui informasi selengkapnya tentang tindakan, lihat Merespons tindakan tertunda dari meja kerja Anda dan Melakukan tindakan manual.

Menambahkan Komentar ke Insiden

Gunakan tindakan Tambahkan Komentar ke Insiden untuk menambahkan komentar ke insiden di Microsoft 365 Defender.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Add Comment To Incident memerlukan parameter berikut:

Parameter	Deskripsi
`Incident ID`	Wajib ID insiden untuk menambahkan komentar.
`Comment`	Wajib Komentar yang akan ditambahkan ke insiden.

Output tindakan

Tindakan Tambahkan Komentar ke Insiden memberikan output berikut:

Jenis output tindakan	Ketersediaan
Lampiran repositori kasus	Tidak tersedia
Link repositori kasus	Tidak tersedia
Tabel repositori kasus	Tidak tersedia
Tabel pengayaan	Tidak tersedia
Hasil JSON	Tidak tersedia
Pesan output	Tersedia
Hasil skrip	Tersedia

Pesan output

Tindakan Add Comment To Incident dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan

Successfully added comment to incident INCIDENT_ID in Microsoft 365 Defender. Tindakan berhasil.

Pesan output	Deskripsi pesan
`Successfully added comment to incident INCIDENT_ID in Microsoft 365 Defender.`	Tindakan berhasil.
`Error executing action "Add Comment To Incident". Reason: ERROR_REASON`	Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial.

Error executing action "Add Comment To Incident". Reason:
      ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Add Comment To Incident:

Nama hasil skrip	Nilai
`is_success`	`True` atau `False`

Jalankan Kueri Kustom

Gunakan tindakan Jalankan Kueri Kustom untuk menjalankan kueri perburuan kustom di Microsoft 365 Defender.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Execute Custom Query memerlukan parameter berikut:

Parameter Deskripsi

Parameter	Deskripsi
`Query`	Wajib Kueri yang akan dijalankan di Microsoft 365 Defender untuk pemfilteran hasil.
`Max Results To Return`	Opsional Jumlah maksimum hasil yang akan ditampilkan dari kueri. Nilai defaultnya adalah `50`.

Query

Wajib

Kueri yang akan dijalankan di Microsoft 365 Defender untuk pemfilteran hasil.

Max Results To Return

Opsional

Jumlah maksimum hasil yang akan ditampilkan dari kueri.

Nilai defaultnya adalah `50`.

Output tindakan

Tindakan Execute Custom Query memberikan output berikut:

Jenis output tindakan	Ketersediaan
Lampiran repositori kasus	Tidak tersedia
Link repositori kasus	Tidak tersedia
Tabel repositori kasus	Tidak tersedia
Tabel pengayaan	Tidak tersedia
Hasil JSON	Tersedia
Pesan output	Tersedia
Hasil skrip	Tersedia

Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Execute Custom Query:

{"Results": [
    {
        "Timestamp": "2021-04-12T07:25:00Z",
        "AlertId": "fa7a318954-6c4c-eaab-3200-08d8fd82af35",
        "Title": "CC_Sensitive information",
        "Category": "InitialAccess",
        "Severity": "Medium",
        "ServiceSource": "Microsoft Defender for Office 365",
        "DetectionSource": "Microsoft Defender for Office 365",
        "AttackTechniques": ""
    }
]}

Pesan output

Tindakan Execute Custom Query dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan

Pesan output	Deskripsi pesan
`Successfully executed query "QUERY" in Microsoft 365 Defender.` `No data was found for the query "QUERY" in Microsoft 365 Defender.`	Tindakan berhasil.
`Error executing action "Execute Custom Query". Reason: ERROR_REASON`	Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial.

Successfully executed query "QUERY" in Microsoft 365 Defender.

No data was found for the query "QUERY" in Microsoft 365 Defender.

Tindakan berhasil.

Error executing action "Execute Custom Query". Reason:
      ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Jalankan Kueri Kustom:

Nama hasil skrip	Nilai
`is_success`	`True` atau `False`

Jalankan Kueri Entity

Gunakan tindakan Execute Entity Query untuk menjalankan kueri perburuan yang didasarkan pada entity di Microsoft 365 Defender.

Tindakan ini menggunakan filter where yang didasarkan pada entity.

Tindakan ini berjalan di entity Google SecOps berikut:

IP Address
Host
User
Hash
URL

Anda dapat menggunakan tindakan Execute Entity Query untuk mengambil informasi yang terkait dengan entity, seperti mengambil hasil dari tabel dan memfilter hasil berdasarkan entity.

Tidak seperti tindakan Execute Query yang mengharuskan Anda menggunakan pemformatan tertentu, tindakan Execute Entity Query tidak menggunakan input kueri.

Saat menggunakan tindakan Jalankan Kueri untuk mengambil pemberitahuan yang terkait dengan endpoint, format klausa | where sebagai berikut:

AlertInfo | where DeviceName == "Host-1" or IPAddress == "192.0.2.1" | top 100
by Timestamp desc

Untuk mengambil pemberitahuan yang terkait dengan endpoint, tindakan Execute Entity Query mengharuskan Anda mengonfigurasi parameter Table, IP Entity Key, Hostname Entity Key, dan Cross Entity Operator sebagai berikut:

Parameter	Nilai `AlertInfo`
`IP Entity Key`	`IPAddress`
`Hostname Entity Key`	`DeviceName`
`Cross Entity Operator`	`OR`

Untuk memeriksa jumlah endpoint yang terpengaruh oleh hash yang diberikan, tindakan Execute Entity Query mengharuskan Anda memasukkan nilai SHA1 untuk parameter File Hash Entity Key.

Cross Entity Operator hanya memengaruhi kueri saat Anda mengonfigurasi beberapa nilai untuk parameter Entity Keys.

Input tindakan

Tindakan Execute Entity Query memerlukan parameter berikut:

Parameter	Deskripsi
`Table Names`	Wajib Daftar tabel yang dipisahkan koma untuk dikueri di Microsoft 365 Defender.
`Time Frame`	Opsional Jangka waktu untuk hasil kueri. Nilai defaultnya adalah `Last Hour`. Kemungkinan nilainya adalah sebagai berikut: `Last Hour` `Last 6 Hours` `Last 24 Hours` `Last Week` `Last Month` `Custom`
`Start Time`	Opsional Waktu mulai untuk hasil kueri. Jika Anda menetapkan parameter `Time Frame` ke `Custom`, parameter ini wajib diisi.
`End Time`	Opsional Waktu berakhir untuk hasil kueri. Jika Anda tidak menetapkan nilai dan menetapkan parameter `Time Frame` ke `Custom`, tindakan akan menetapkan parameter ini ke nilai waktu saat ini secara default.
`Fields To Return`	Opsional Daftar kolom yang dipisahkan koma untuk disertakan dalam hasil.
`Sort Field`	Opsional Kolom yang akan digunakan untuk mengurutkan hasil. Nilai defaultnya adalah `Timestamp`.
`Sort Order`	Opsional Urutan untuk mengurutkan hasil (menaik atau menurun). Nilai defaultnya adalah `ASC`. Kemungkinan nilainya adalah sebagai berikut: `ASC` `DESC`
`Max Results To Return`	Opsional Jumlah hasil maksimum yang akan ditampilkan. Nilai defaultnya adalah `50`.
`IP Entity Key`	Opsional Kunci yang akan digunakan untuk memfilter menurut entitas `IP Address`.
`Hostname Entity Key`	Opsional Kunci yang akan digunakan untuk memfilter menurut entitas `Hostname`.
`File Hash Entity Key`	Opsional Kunci yang akan digunakan untuk memfilter menurut entitas `File Hash`.
`User Entity Key`	Opsional Kunci yang akan digunakan untuk memfilter menurut entitas `User`.
`URL Entity Key`	Opsional Kunci yang akan digunakan untuk memfilter menurut entitas `URL`.
`Email Address Entity Key`	Opsional Kunci yang akan digunakan untuk memfilter menurut entitas `Email Address`. Tindakan ini menerima entitas `User` yang cocok dengan ekspresi reguler email.
`Stop If Not Enough Entities`	Opsional Jika dipilih, tindakan akan berjalan jika semua jenis entitas yang ditentukan ada. Dipilih secara default.
`Cross Entity Operator`	Wajib Operator logika yang akan digunakan di antara berbagai jenis entity dalam kueri. Nilai defaultnya adalah `OR`. Kemungkinan nilainya adalah sebagai berikut: `OR` `AND`

Output tindakan

Tindakan Execute Entity Query memberikan output berikut:

Jenis output tindakan	Ketersediaan
Lampiran repositori kasus	Tidak tersedia
Link repositori kasus	Tidak tersedia
Tabel repositori kasus	Tidak tersedia
Tabel pengayaan	Tidak tersedia
Hasil JSON	Tersedia
Pesan output	Tersedia
Hasil skrip	Tersedia

Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Execute Entity Query:

 {
        "Timestamp": "2021-04-12T07:25:00Z",
        "AlertId": "fa7a318954-6c4c-eaab-3200-08d8fd82af35",
        "Title": "CC_Sensitive information",
        "Category": "InitialAccess",
        "Severity": "Medium",
        "ServiceSource": "Microsoft Defender for Office 365",
        "DetectionSource": "Microsoft Defender for Office 365",
        "AttackTechniques": ""
  }

Pesan output

Tindakan Execute Entity Query dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan

Pesan output	Deskripsi pesan
`Successfully executed query "QUERY" in Microsoft 365 Defender.` `Action wasn't able to build the query, because not enough entity types were supplied for the specified "ENTITY_KEYS". Please disable the "Stop If Not Enough Entities" parameter or provide at least one entity for each specified ENTITY_KEY.` `No data was found for the query "QUERY" in Microsoft 365 Defender."`	Tindakan berhasil.
`Error executing action "Execute Entity Query". Reason: ERROR_REASON`	Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial.

Successfully executed query "QUERY" in Microsoft 365 Defender.

Action wasn't able to build the query, because not enough entity types were supplied for the specified "ENTITY_KEYS". Please disable the "Stop If Not Enough Entities" parameter or provide at least one entity for each specified ENTITY_KEY.

No data was found for the query "QUERY" in Microsoft 365 Defender."

Tindakan berhasil.

Error executing action "Execute Entity Query". Reason:
      ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Execute Entity Query:

Nama hasil skrip	Nilai
`is_success`	`True` atau `False`

Jalankan Kueri

Gunakan tindakan Execute Query untuk menjalankan kueri perburuan di Microsoft 365 Defender.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Execute Query memerlukan parameter berikut:

Parameter	Deskripsi
`Table Names`	Wajib Daftar nama tabel yang dipisahkan koma untuk dikueri di Microsoft 365 Defender.
`Query`	Opsional Kueri yang akan dieksekusi. Gunakan parameter ini untuk memberikan klausa `\| where`. Filter waktu, pembatasan, dan pengurutan bersifat opsional.
`Time Frame`	Opsional Jangka waktu untuk hasil kueri. Nilai defaultnya adalah `Last Hour`. Kemungkinan nilainya adalah sebagai berikut: `Last Hour` `Last 6 Hours` `Last 24 Hours` `Last Week` `Last Month` `Custom`
`Start Time`	Opsional Waktu mulai untuk hasil kueri dalam format ISO 8601. Jika Anda menetapkan parameter `Time Frame` ke `Custom`, parameter ini wajib diisi.
`End Time`	Opsional Waktu berakhir untuk hasil kueri dalam format ISO 8601. Jika Anda tidak menetapkan nilai dan menetapkan parameter `Time Frame` ke `Custom`, tindakan akan menetapkan parameter ini ke nilai waktu saat ini secara default.
`Fields To Return`	Opsional Daftar kolom yang dipisahkan koma untuk disertakan dalam hasil.
`Sort Field`	Opsional Kolom yang akan digunakan untuk mengurutkan hasil. Nilai defaultnya adalah `Timestamp`.
`Sort Order`	Opsional Urutan untuk mengurutkan hasil (menaik atau menurun). Nilai defaultnya adalah `ASC`. Kemungkinan nilainya adalah sebagai berikut: `ASC` `DESC`
`Max Results To Return`	Opsional Jumlah hasil maksimum yang akan ditampilkan. Nilai defaultnya adalah `50`.

Output tindakan

Tindakan Execute Query memberikan output berikut:

Jenis output tindakan	Ketersediaan
Lampiran repositori kasus	Tidak tersedia
Link repositori kasus	Tidak tersedia
Tabel repositori kasus	Tidak tersedia
Tabel pengayaan	Tidak tersedia
Hasil JSON	Tersedia
Pesan output	Tersedia
Hasil skrip	Tersedia

Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Execute Query:

{"Results": [
    {
        "Timestamp": "2021-04-12T07:25:00Z",
        "AlertId": "fa7a318954-6c4c-eaab-3200-08d8fd82af35",
        "Title": "CC_Sensitive information",
        "Category": "InitialAccess",
        "Severity": "Medium",
        "ServiceSource": "Microsoft Defender for Office 365",
        "DetectionSource": "Microsoft Defender for Office 365",
        "AttackTechniques": ""
    }
]}

Pesan output

Tindakan Execute Query dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan

Pesan output	Deskripsi pesan
`Successfully executed query "QUERY" in Microsoft 365 Defender.` `No data was found for the query "QUERY" in Microsoft 365 Defender."`	Tindakan berhasil.
`Error executing action "Execute Query". Reason: ERROR_REASON`	Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial.

Successfully executed query "QUERY" in Microsoft 365 Defender.

No data was found for the query "QUERY" in Microsoft 365 Defender."

Tindakan berhasil.

Error executing action "Execute Query". Reason:
      ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Jalankan Kueri:

Nama hasil skrip	Nilai
`is_success`	`True` atau `False`

Ping

Gunakan tindakan Ping untuk menguji konektivitas ke Microsoft 365 Defender.

Tindakan tidak berjalan pada entity Google SecOps.

Input tindakan

Tidak ada.

Output tindakan

Tindakan Ping memberikan output berikut:

Jenis output tindakan	Ketersediaan
Lampiran repositori kasus	Tidak tersedia
Link repositori kasus	Tidak tersedia
Tabel repositori kasus	Tidak tersedia
Tabel pengayaan	Tidak tersedia
Hasil JSON	Tidak tersedia
Pesan output	Tersedia
Hasil skrip	Tersedia

Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Ping:

Pesan output

Tindakan Ping dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan

Successfully connected to the Microsoft 365 Defender server with the provided connection parameters! Tindakan berhasil.

Pesan output	Deskripsi pesan
`Successfully connected to the Microsoft 365 Defender server with the provided connection parameters!`	Tindakan berhasil.
`Failed to connect to the Microsoft 365 Defender server! Error is ERROR_REASON`	Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial.

Failed to connect to the Microsoft 365 Defender server! Error is
      ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Ping:

Nama hasil skrip	Nilai
`is_success`	`True` atau `False`

Perbarui Insiden

Gunakan tindakan Perbarui Insiden untuk memperbarui insiden di Microsoft 365 Defender.

Mengikuti batasan API, tindakan ini tidak akan gagal meskipun Anda menetapkan nilai nama pengguna yang tidak valid ke parameter Assign To.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Update Incident memerlukan parameter berikut:

Parameter	Deskripsi
`Incident ID`	Wajib ID insiden yang akan diperbarui di Microsoft 365 Defender.
`Status`	Opsional Status yang akan ditetapkan untuk insiden di Microsoft 365 Defender. Nilai defaultnya adalah `Select One`. Kemungkinan nilainya adalah sebagai berikut: `Select One` `Active` `Resolved`
`Classification`	Opsional Klasifikasi yang akan ditetapkan untuk insiden di Microsoft 365 Defender. Nilai defaultnya adalah `Select One`. Kemungkinan nilainya adalah sebagai berikut: `Select One` `False Positive` `True Positive`
`Determination`	Opsional Keputusan yang akan ditetapkan untuk insiden di Microsoft 365 Defender. Parameter ini hanya berlaku jika nilai parameter `Classification` adalah `True Positive`. Nilai defaultnya adalah `Select One`. Kemungkinan nilainya adalah sebagai berikut: `Select One` `Not Available` `Apt` `Malware` `Security Personnel` `Security Testing` `Unwanted Software` `Other`
`Assign To`	Opsional Pengguna yang akan diberi tugas untuk menangani insiden di Microsoft 365 Defender.

Output tindakan

Tindakan Update Incident memberikan output berikut:

Jenis output tindakan	Ketersediaan
Lampiran repositori kasus	Tidak tersedia
Link repositori kasus	Tidak tersedia
Tabel repositori kasus	Tidak tersedia
Tabel pengayaan	Tidak tersedia
Hasil JSON	Tidak tersedia
Pesan output	Tersedia
Hasil skrip	Tersedia

Pesan output

Tindakan Update Incident dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan

Successfully updated incident INCIDENT_ID in Microsoft 365 Defender. Tindakan berhasil.

Pesan output	Deskripsi pesan
`Successfully updated incident INCIDENT_ID in Microsoft 365 Defender.`	Tindakan berhasil.
`Error executing action "Update Incident". Reason: ERROR_REASON`	Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial.

Error executing action "Update Incident". Reason:
      ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.

Konektor

Untuk mengetahui petunjuk mendetail tentang cara mengonfigurasi konektor di Google SecOps, lihat Menyerap data Anda (konektor).

Microsoft 365 Defender – Konektor Insiden

Gunakan Microsoft 365 Defender – Incidents Connector untuk menarik informasi tentang insiden dan pemberitahuan terkaitnya dari Microsoft 365 Defender.

Daftar dinamis berfungsi dengan nama insiden.

Batasan konektor

Microsoft 365 Defender – Incidents Connector menggunakan permintaan API dengan batas API yang ketat. Untuk menstabilkan konektor, tetapkan parameter Max Incidents To Fetch ke 10 dan parameter Run Every ke 1 minute. Anda masih dapat mencapai batas kecepatan karena endpoint Microsoft Graph API yang digunakan untuk mengambil pemberitahuan hanya mengizinkan 20 permintaan per menit.

Untuk mencegah kehilangan data saat mencapai batas kecepatan, konektor berhenti memproses insiden saat ini dan menunggu selama 90 detik sebelum memproses insiden lainnya. Dalam 90 detik, batas frekuensi akan kembali ke nilai maksimumnya dan konektor akan memproses ulang insiden yang tidak diproses dengan benar dalam iterasi sebelumnya.

Input konektor

Microsoft 365 Defender – Incidents Connector memerlukan parameter berikut:

Insiden yang dialihkan biasanya kosong.

Parameter	Deskripsi
`Product Field Name`	Wajib Nama kolom tempat nama produk disimpan. Nilai defaultnya adalah `event_type`.
`Event Field Name`	Wajib Nama kolom yang digunakan untuk menentukan nama peristiwa (subjenis). Nilai defaultnya adalah `@odata.type`.
`Login API Root`	Wajib Root API login instance Microsoft 365 Defender. Nilai defaultnya adalah `https://login.microsoftonline.com`.
`Graph API Root`	Wajib Root API layanan Microsoft Graph. Nilai defaultnya adalah `https://graph.microsoft.com`.
`API Root`	Wajib Root API instance Microsoft 365 Defender. Nilai defaultnya adalah `https://api.security.microsoft.com`.
`Tenant ID`	Wajib Nilai Microsoft Entra ID (ID tenant) akun Microsoft Entra ID Anda.
`Client ID`	Wajib Nilai ID aplikasi (klien) akun Microsoft Entra ID Anda.
`Client Secret`	Wajib Nilai rahasia klien aplikasi Microsoft Entra ID.
`Verify SSL`	Opsional Jika dipilih, integrasi akan memverifikasi bahwa sertifikat SSL untuk menghubungkan ke server Microsoft 365 Defender valid. Dipilih secara default.
`Lowest Severity To Fetch`	Opsional Tingkat keseriusan terendah insiden yang akan diambil.
`Max Hours Backwards`	Opsional Jumlah jam sebelum iterasi konektor pertama untuk mengambil insiden. Parameter ini berlaku untuk iterasi konektor awal setelah Anda mengaktifkan konektor untuk pertama kali atau nilai penggantian untuk stempel waktu konektor yang telah berakhir. Nilai defaultnya adalah `1`.
`Max Incidents To Fetch`	Opsional Jumlah maksimum insiden yang akan diambil untuk setiap iterasi konektor. Nilai defaultnya adalah `10`.
`Incident Status Filter`	Opsional Daftar status insiden yang dipisahkan koma untuk diproses. Nilai defaultnya adalah `active, inProgress`. Kemungkinan nilainya adalah sebagai berikut: `active` `inProgress` `resolved` `redirected`
`Use whitelist as a blacklist`	Opsional Jika dipilih, konektor akan menggunakan daftar dinamis sebagai daftar blokir. Tidak dipilih secara default.
`Lowest Alert Severity To Fetch`	Opsional Tingkat keparahan terendah dari pemberitahuan yang akan diambil.
`Disable Alert Tracking`	Opsional Jika diaktifkan, konektor akan berhenti melacak update untuk notifikasi. Dinonaktifkan secara default.
`Environment Field Name`	Opsional Nama kolom yang berisi nama lingkungan.
`Environment Regex Pattern`	Opsional Pola ekspresi reguler untuk dijalankan pada nilai yang ditemukan di kolom `Environment Field Name`. Dengan parameter ini, Anda dapat memanipulasi kolom lingkungan menggunakan logika ekspresi reguler. Gunakan nilai default `.*` untuk mengambil nilai `Environment Field Name` mentah yang diperlukan. Jika pola ekspresi reguler adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default.
`PythonProcessTimeout`	Wajib Batas waktu dalam detik untuk proses Python yang menjalankan skrip saat ini. Nilai defaultnya adalah `180`.
`Dynamic List Field`	Opsional Nilai yang digunakan daftar dinamis untuk pemfilteran. Kemungkinan nilainya adalah `Incident Name` dan `Alert Name`. Nilai defaultnya adalah `Incident Name`.
`Alert Detection Source Filter`	Opsional Daftar sumber deteksi pemberitahuan yang dipisahkan koma untuk di-ingest, seperti `antivirus, microsoftDefenderForEndpoint`.
`Alert Service Source Filter`	Opsional Daftar sumber layanan pemberitahuan yang dipisahkan koma untuk diproses, seperti `antivirus, microsoftDefenderForEndpoint`.
`Disable Overflow`	Opsional Jika dipilih, konektor akan mengabaikan mekanisme peluapan Google SecOps selama pembuatan pemberitahuan. Diaktifkan secara default.
`Proxy Server Address`	Opsional Alamat server proxy yang akan digunakan.
`Proxy Username`	Opsional Nama pengguna proxy untuk melakukan autentikasi.
`Proxy Password`	Opsional Sandi proxy untuk mengautentikasi.

Aturan konektor

Konektor mendukung proxy.
Konektor mendukung daftar dinamis dan daftar blokir.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.