Diese Seite wurde von der Cloud Translation API übersetzt.

Microsoft 365 Defender

In diesem Dokument wird beschrieben, wie Sie Microsoft 365 Defender in Google Security Operations (Google SecOps) einbinden.

Integrationsversion: 19.0

Anwendungsfälle

Durch die Integration von Microsoft 365 Defender in Google SecOps können Sie die folgenden Anwendungsfälle abdecken:

Automatisierte Reaktion auf Vorfälle:Mit den Google SecOps-Funktionen können Sie den betroffenen Endpunkt automatisch isolieren und einen Scan nach weiteren Manipulationen starten.
Phishing-Untersuchung und ‑Abhilfe:Mit den Google SecOps-Funktionen können Sie automatisch relevante Informationen wie Absender, Betreff und Anhänge extrahieren und mit Daten zur Bedrohungsanalyse anreichern.
Schwachstellenmanagement:Nutzen Sie die Google SecOps-Funktionen, um das Scannen auf Sicherheitslücken und die Workflows zur Behebung von Sicherheitslücken zu automatisieren.
Complianceberichte und ‑prüfungen:Mit den Google SecOps-Funktionen können Sie das Erfassen und Melden von Sicherheitsdaten aus Microsoft 365 Defender automatisieren, um Complianceprüfungen zu vereinfachen und die Einhaltung von Sicherheitsstandards nachzuweisen.
Priorisierung und Triage von Benachrichtigungen:Mit Google SecOps können Sie Benachrichtigungen von Microsoft 365 Defender analysieren und nach Schweregrad und potenziellen Auswirkungen priorisieren.
Automatisierte Malware-Analyse:Mit den Google SecOps-Funktionen können Sie die Probe einer von Microsoft 365 Defender erkannten Malware automatisch zur dynamischen Analyse an eine Sandbox-Umgebung senden.

Hinweise

Führen Sie die folgenden Schritte aus, bevor Sie die Integration in der Google SecOps-Plattform konfigurieren:

Erstellen Sie die Microsoft Entra-Anwendung.
Konfigurieren Sie die API-Berechtigungen für Ihre App.
Erstellen Sie einen Clientschlüssel.

Microsoft Entra-Anwendung erstellen

Führen Sie die folgenden Schritte aus, um die Microsoft Entra-Anwendung zu erstellen:

Melden Sie sich im Azure-Portal als Nutzeradministrator oder Passwortadministrator an.
Wählen Sie Microsoft Entra ID aus.
Rufen Sie App-Registrierungen > Neue Registrierung auf.
Geben Sie den Namen der Anwendung ein.
Klicken Sie auf Registrieren.
Speichern Sie die Werte für Application (client) ID (Anwendungs-ID (Client)) und Directory (tenant) ID (Verzeichnis-ID (Mandant)), um sie später bei der Konfiguration der Integrationsparameter zu verwenden.

API-Berechtigungen konfigurieren

Führen Sie die folgenden Schritte aus, um die API-Berechtigungen für die Integration zu konfigurieren:

Klicken Sie im Azure-Portal auf Verwalten > API-Berechtigungen > Berechtigung hinzufügen.
Wählen Sie im Fenster API-Berechtigungen anfordern die Option Von meiner Organisation verwendete APIs aus.
Wählen Sie Microsoft Graph > Anwendungsberechtigungen aus.
Wählen Sie die folgenden Berechtigungen aus:
- SecurityAlert.Read.All
- SecurityIncident.ReadWrite.All
Klicken Sie auf Berechtigungen hinzufügen.
Wählen Sie im Fenster API-Berechtigungen anfordern die Option Von meiner Organisation verwendete APIs aus.
Wählen Sie Microsoft Threat Protection > Anwendungsberechtigungen aus.
Wählen Sie die folgende Berechtigung aus:
- ThreatHunting.Read.All
Klicken Sie auf Berechtigungen hinzufügen.
Klicken Sie auf Einwilligung des Administrators für YOUR_ORGANIZATION_NAME erteilen.

Klicken Sie im Dialogfeld Bestätigung der Administratorzustimmung erteilen auf Ja.

Clientschlüssel erstellen

So erstellen Sie einen Clientschlüssel:

Rufen Sie Zertifikate und Secrets > Neuer Clientschlüssel auf.
Geben Sie eine Beschreibung für einen Clientschlüssel an und legen Sie das Ablaufdatum fest.
Klicken Sie auf Hinzufügen.
Speichern Sie den Wert des Clientschlüssels (nicht die geheime ID), um ihn als Parameterwert für Client Secret bei der Konfiguration der Integration zu verwenden.

Der Wert des Clientschlüssels wird nur einmal angezeigt.

Microsoft 365 Defender in Google SecOps einbinden

Für die Microsoft 365 Defender-Integration sind die folgenden Parameter erforderlich:

Parameter	Beschreibung
`Login API Root`	Erforderlich Der Anmelde-API-Stamm der Microsoft 365 Defender-Instanz. Der Standardwert ist `https://login.microsoftonline.com`.
`Graph API Root`	Erforderlich Der API-Stamm des Microsoft Graph-Dienstes. Der Standardwert ist `https://graph.microsoft.com`.
`API Root`	Erforderlich Der API-Stamm der Microsoft 365 Defender-Instanz. Der Standardwert ist `https://api.security.microsoft.com`.
`Tenant ID`	Erforderlich Der Microsoft Entra ID-Wert (Mandanten-ID) Ihres Microsoft Entra ID-Kontos.
`Client ID`	Erforderlich Der Wert der Anwendungs-ID (Client-ID) Ihres Microsoft Entra ID-Kontos.
`Client Secret`	Erforderlich Der Clientschlüsselwert der Microsoft Entra ID-Anwendung.
`Verify SSL`	Optional Wenn diese Option ausgewählt ist, wird überprüft, ob das SSL-Zertifikat für die Verbindung zum Microsoft 365 Defender-Server gültig ist. Standardmäßig ausgewählt.

Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.

Aktionen

Weitere Informationen zu Aktionen finden Sie unter Auf ausstehende Aktionen in Ihrem Arbeitsbereich reagieren und Manuelle Aktion ausführen.

Kommentar zu Vorfall hinzufügen

Mit der Aktion Kommentar zum Vorfall hinzufügen können Sie einem Vorfall in Microsoft 365 Defender einen Kommentar hinzufügen.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Add Comment To Incident sind die folgenden Parameter erforderlich:

Parameter	Beschreibung
`Incident ID`	Erforderlich Die ID des Vorfalls, dem der Kommentar hinzugefügt werden soll.
`Comment`	Erforderlich Der Kommentar, der dem Vorfall hinzugefügt werden soll.

Aktionsausgaben

Die Aktion Kommentar zum Vorfall hinzufügen bietet die folgenden Ausgaben:

Ausgabetyp der Aktion	Verfügbarkeit
Anhang im Fall-Repository	Nicht verfügbar
Link zum Fall‑Repository	Nicht verfügbar
Tabelle „Fall-Repository“	Nicht verfügbar
Anreicherungstabelle	Nicht verfügbar
JSON-Ergebnis	Nicht verfügbar
Ausgabemeldungen	Verfügbar
Scriptergebnis	Verfügbar

Ausgabemeldungen

Die Aktion Add Comment To Incident (Vorfall einen Kommentar hinzufügen) kann die folgenden Ausgabenachrichten zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Successfully added comment to incident INCIDENT_ID in Microsoft 365 Defender. Die Aktion wurde ausgeführt.

Ausgabemeldung	Nachrichtenbeschreibung
`Successfully added comment to incident INCIDENT_ID in Microsoft 365 Defender.`	Die Aktion wurde ausgeführt.
`Error executing action "Add Comment To Incident". Reason: ERROR_REASON`	Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Error executing action "Add Comment To Incident". Reason:
      ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Add Comment To Incident (Vorfall einen Kommentar hinzufügen) verwendet wird:

Name des Scriptergebnisses	Wert
`is_success`	`True` oder `False`

Benutzerdefinierte Abfrage ausführen

Mit der Aktion Benutzerdefinierte Abfrage ausführen können Sie eine benutzerdefinierte Hunting-Abfrage in Microsoft 365 Defender ausführen.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Benutzerdefinierte Abfrage ausführen sind die folgenden Parameter erforderlich:

Parameter Beschreibung

Parameter	Beschreibung
`Query`	Erforderlich Die Abfrage, die in Microsoft 365 Defender zum Filtern von Ergebnissen ausgeführt werden soll.
`Max Results To Return`	Optional Die maximale Anzahl von Ergebnissen, die von der Abfrage zurückgegeben werden sollen. Der Standardwert ist „50“.

Query

Erforderlich

Die Abfrage, die in Microsoft 365 Defender zum Filtern von Ergebnissen ausgeführt werden soll.

Max Results To Return

Optional

Die maximale Anzahl von Ergebnissen, die von der Abfrage zurückgegeben werden sollen.

Der Standardwert ist „50“.

Aktionsausgaben

Die Aktion Benutzerdefinierte Abfrage ausführen bietet die folgenden Ausgaben:

Ausgabetyp der Aktion	Verfügbarkeit
Anhang im Fall-Repository	Nicht verfügbar
Link zum Fall‑Repository	Nicht verfügbar
Tabelle „Fall-Repository“	Nicht verfügbar
Anreicherungstabelle	Nicht verfügbar
JSON-Ergebnis	Verfügbar
Ausgabemeldungen	Verfügbar
Scriptergebnis	Verfügbar

JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Benutzerdefinierte Abfrage ausführen empfangen wird:

{"Results": [
    {
        "Timestamp": "2021-04-12T07:25:00Z",
        "AlertId": "fa7a318954-6c4c-eaab-3200-08d8fd82af35",
        "Title": "CC_Sensitive information",
        "Category": "InitialAccess",
        "Severity": "Medium",
        "ServiceSource": "Microsoft Defender for Office 365",
        "DetectionSource": "Microsoft Defender for Office 365",
        "AttackTechniques": ""
    }
]}

Ausgabemeldungen

Die Aktion Benutzerdefinierte Abfrage ausführen kann die folgenden Ausgabenachrichten zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Ausgabemeldung	Nachrichtenbeschreibung
`Successfully executed query "QUERY" in Microsoft 365 Defender.` `No data was found for the query "QUERY" in Microsoft 365 Defender.`	Die Aktion wurde ausgeführt.
`Error executing action "Execute Custom Query". Reason: ERROR_REASON`	Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Successfully executed query "QUERY" in Microsoft 365 Defender.

No data was found for the query "QUERY" in Microsoft 365 Defender.

Die Aktion wurde ausgeführt.

Error executing action "Execute Custom Query". Reason:
      ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Benutzerdefinierte Abfrage ausführen verwendet wird:

Name des Scriptergebnisses	Wert
`is_success`	`True` oder `False`

Entitätsabfrage ausführen

Verwenden Sie die Aktion Execute Entity Query (Entitätsabfrage ausführen), um eine Hunting-Abfrage auszuführen, die auf Entitäten in Microsoft 365 Defender basiert.

Für diese Aktion wird ein where-Filter verwendet, der auf Entitäten basiert.

Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:

IP Address
Host
User
Hash
URL

Mit der Aktion Execute Entity Query (Entitätsabfrage ausführen) können Sie Informationen zu Entitäten abrufen, z. B. die Ergebnisse aus einer Tabelle abrufen und die Ergebnisse nach Entitäten filtern.

Im Gegensatz zur Aktion Execute Query, für die eine bestimmte Formatierung erforderlich ist, wird bei der Aktion Execute Entity Query die Abfrageeingabe nicht verwendet.

Wenn Sie die Aktion Execute Query verwenden, um die Benachrichtigungen abzurufen, die sich auf einen Endpunkt beziehen, formatieren Sie die | where-Klausel so:

AlertInfo | where DeviceName == "Host-1" or IPAddress == "192.0.2.1" | top 100
by Timestamp desc

Wenn Sie die Benachrichtigungen abrufen möchten, die sich auf einen Endpunkt beziehen, müssen Sie für die Aktion Execute Entity Query (Entitätsabfrage ausführen) die Parameter Table, IP Entity Key, Hostname Entity Key und Cross Entity Operator so konfigurieren:

Parameter	`AlertInfo` Wert
`IP Entity Key`	`IPAddress`
`Hostname Entity Key`	`DeviceName`
`Cross Entity Operator`	`OR`

Wenn Sie prüfen möchten, wie viele Endpunkte von den angegebenen Hashes betroffen sind, müssen Sie für die Aktion Execute Entity Query den SHA1-Wert für den Parameter File Hash Entity Key eingeben.

Der Cross Entity Operator-Parameter wirkt sich nur auf die Abfrage aus, wenn Sie mehrere Werte für den Parameter Entity Keys konfigurieren.

Aktionseingaben

Für die Aktion Execute Entity Query sind die folgenden Parameter erforderlich:

Parameter	Beschreibung
`Table Names`	Erforderlich Eine durch Kommas getrennte Liste der Tabellen, die in Microsoft 365 Defender abgefragt werden sollen.
`Time Frame`	Optional Der Zeitraum für die Abfrageergebnisse. Der Standardwert ist `Last Hour`. Folgende Werte sind möglich: `Last Hour` `Last 6 Hours` `Last 24 Hours` `Last Week` `Last Month` `Custom`
`Start Time`	Optional Die Startzeit für die Abfrageergebnisse. Wenn Sie den Parameter `Time Frame` auf `Custom` festlegen, ist dieser Parameter erforderlich.
`End Time`	Optional Die Endzeit für die Abfrageergebnisse. Wenn Sie keinen Wert festlegen und den Parameter `Time Frame` auf `Custom` setzen, wird dieser Parameter von der Aktion standardmäßig auf den aktuellen Zeitwert gesetzt.
`Fields To Return`	Optional Eine durch Kommas getrennte Liste der Felder, die in die Ergebnisse aufgenommen werden sollen.
`Sort Field`	Optional Das Feld, nach dem die Ergebnisse sortiert werden sollen. Der Standardwert ist `Timestamp`.
`Sort Order`	Optional Die Reihenfolge, in der die Ergebnisse sortiert werden (aufsteigend oder absteigend). Der Standardwert ist `ASC`. Folgende Werte sind möglich: `ASC` `DESC`
`Max Results To Return`	Optional Die maximale Anzahl von zurückzugebenden Ergebnissen. Der Standardwert ist `50`.
`IP Entity Key`	Optional Der Schlüssel, der zum Filtern nach der `IP Address`-Entität verwendet werden soll.
`Hostname Entity Key`	Optional Der Schlüssel, der zum Filtern nach der `Hostname`-Entität verwendet werden soll.
`File Hash Entity Key`	Optional Der Schlüssel, der zum Filtern nach der `File Hash`-Entität verwendet werden soll.
`User Entity Key`	Optional Der Schlüssel, der zum Filtern nach der `User`-Entität verwendet werden soll.
`URL Entity Key`	Optional Der Schlüssel, der zum Filtern nach der `URL`-Entität verwendet werden soll.
`Email Address Entity Key`	Optional Der Schlüssel, der zum Filtern nach der `Email Address`-Entität verwendet werden soll. Die Aktion akzeptiert die `User`-Entität, die dem regulären Ausdruck für E-Mail-Adressen entspricht.
`Stop If Not Enough Entities`	Optional Wenn diese Option ausgewählt ist, wird die Aktion ausgeführt, wenn alle angegebenen Entitätstypen vorhanden sind. Standardmäßig ausgewählt.
`Cross Entity Operator`	Erforderlich Der logische Operator, der zwischen verschiedenen Entitätstypen in der Abfrage verwendet werden soll. Der Standardwert ist `OR`. Folgende Werte sind möglich: `OR` `AND`

Aktionsausgaben

Die Aktion Entitätsabfrage ausführen bietet die folgenden Ausgaben:

Ausgabetyp der Aktion	Verfügbarkeit
Anhang im Fall-Repository	Nicht verfügbar
Link zum Fall‑Repository	Nicht verfügbar
Tabelle „Fall-Repository“	Nicht verfügbar
Anreicherungstabelle	Nicht verfügbar
JSON-Ergebnis	Verfügbar
Ausgabemeldungen	Verfügbar
Scriptergebnis	Verfügbar

JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Execute Entity Query (Entitätsabfrage ausführen) empfangen wird:

 {
        "Timestamp": "2021-04-12T07:25:00Z",
        "AlertId": "fa7a318954-6c4c-eaab-3200-08d8fd82af35",
        "Title": "CC_Sensitive information",
        "Category": "InitialAccess",
        "Severity": "Medium",
        "ServiceSource": "Microsoft Defender for Office 365",
        "DetectionSource": "Microsoft Defender for Office 365",
        "AttackTechniques": ""
  }

Ausgabemeldungen

Die Aktion Execute Entity Query (Entitätsabfrage ausführen) kann die folgenden Ausgabemeldungen zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Ausgabemeldung	Nachrichtenbeschreibung
`Successfully executed query "QUERY" in Microsoft 365 Defender.` `Action wasn't able to build the query, because not enough entity types were supplied for the specified "ENTITY_KEYS". Please disable the "Stop If Not Enough Entities" parameter or provide at least one entity for each specified ENTITY_KEY.` `No data was found for the query "QUERY" in Microsoft 365 Defender."`	Die Aktion wurde ausgeführt.
`Error executing action "Execute Entity Query". Reason: ERROR_REASON`	Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Successfully executed query "QUERY" in Microsoft 365 Defender.

Action wasn't able to build the query, because not enough entity types were supplied for the specified "ENTITY_KEYS". Please disable the "Stop If Not Enough Entities" parameter or provide at least one entity for each specified ENTITY_KEY.

No data was found for the query "QUERY" in Microsoft 365 Defender."

Die Aktion wurde ausgeführt.

Error executing action "Execute Entity Query". Reason:
      ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Execute Entity Query (Entitätsabfrage ausführen) verwendet wird:

Name des Scriptergebnisses	Wert
`is_success`	`True` oder `False`

Abfrage ausführen

Verwenden Sie die Aktion Abfrage ausführen, um Hunting-Abfragen in Microsoft 365 Defender auszuführen.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Abfrage ausführen sind die folgenden Parameter erforderlich:

Parameter	Beschreibung
`Table Names`	Erforderlich Eine durch Kommas getrennte Liste von Tabellennamen, die in Microsoft 365 Defender abgefragt werden sollen.
`Query`	Optional Eine auszuführende Abfrage. Mit diesem Parameter können Sie die `\| where`-Klausel angeben. Zeitfilter, Begrenzung und Sortierung sind optional.
`Time Frame`	Optional Der Zeitraum für die Abfrageergebnisse. Der Standardwert ist `Last Hour`. Folgende Werte sind möglich: `Last Hour` `Last 6 Hours` `Last 24 Hours` `Last Week` `Last Month` `Custom`
`Start Time`	Optional Die Startzeit für die Abfrageergebnisse im ISO 8601-Format. Wenn Sie den Parameter `Time Frame` auf `Custom` festlegen, ist dieser Parameter erforderlich.
`End Time`	Optional Die Endzeit für die Abfrageergebnisse im ISO 8601-Format. Wenn Sie keinen Wert festlegen und den Parameter `Time Frame` auf `Custom` setzen, wird dieser Parameter standardmäßig auf den aktuellen Zeitwert gesetzt.
`Fields To Return`	Optional Eine durch Kommas getrennte Liste der Felder, die in die Ergebnisse aufgenommen werden sollen.
`Sort Field`	Optional Das Feld, nach dem die Ergebnisse sortiert werden sollen. Der Standardwert ist `Timestamp`.
`Sort Order`	Optional Die Reihenfolge, in der die Ergebnisse sortiert werden (aufsteigend oder absteigend). Der Standardwert ist `ASC`. Folgende Werte sind möglich: `ASC` `DESC`
`Max Results To Return`	Optional Die maximale Anzahl von zurückzugebenden Ergebnissen. Der Standardwert ist `50`.

Aktionsausgaben

Die Aktion Abfrage ausführen liefert die folgenden Ausgaben:

Ausgabetyp der Aktion	Verfügbarkeit
Anhang im Fall-Repository	Nicht verfügbar
Link zum Fall‑Repository	Nicht verfügbar
Tabelle „Fall-Repository“	Nicht verfügbar
Anreicherungstabelle	Nicht verfügbar
JSON-Ergebnis	Verfügbar
Ausgabemeldungen	Verfügbar
Scriptergebnis	Verfügbar

JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Abfrage ausführen empfangen wird:

{"Results": [
    {
        "Timestamp": "2021-04-12T07:25:00Z",
        "AlertId": "fa7a318954-6c4c-eaab-3200-08d8fd82af35",
        "Title": "CC_Sensitive information",
        "Category": "InitialAccess",
        "Severity": "Medium",
        "ServiceSource": "Microsoft Defender for Office 365",
        "DetectionSource": "Microsoft Defender for Office 365",
        "AttackTechniques": ""
    }
]}

Ausgabemeldungen

Die Aktion Execute Query (Abfrage ausführen) kann die folgenden Ausgabemeldungen zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Ausgabemeldung	Nachrichtenbeschreibung
`Successfully executed query "QUERY" in Microsoft 365 Defender.` `No data was found for the query "QUERY" in Microsoft 365 Defender."`	Die Aktion wurde ausgeführt.
`Error executing action "Execute Query". Reason: ERROR_REASON`	Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Successfully executed query "QUERY" in Microsoft 365 Defender.

No data was found for the query "QUERY" in Microsoft 365 Defender."

Die Aktion wurde ausgeführt.

Error executing action "Execute Query". Reason:
      ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Abfrage ausführen verwendet wird:

Name des Scriptergebnisses	Wert
`is_success`	`True` oder `False`

Ping

Verwenden Sie die Aktion Ping, um die Verbindung zu Microsoft 365 Defender zu testen.

Die Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Keine.

Aktionsausgaben

Die Aktion Ping bietet die folgenden Ausgaben:

Ausgabetyp der Aktion	Verfügbarkeit
Anhang im Fall-Repository	Nicht verfügbar
Link zum Fall‑Repository	Nicht verfügbar
Tabelle „Fall-Repository“	Nicht verfügbar
Anreicherungstabelle	Nicht verfügbar
JSON-Ergebnis	Nicht verfügbar
Ausgabemeldungen	Verfügbar
Scriptergebnis	Verfügbar

JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ausgabe, die bei Verwendung der Aktion Ping empfangen wird:

Ausgabemeldungen

Die Aktion Ping kann die folgenden Ausgabenachrichten zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Successfully connected to the Microsoft 365 Defender server with the provided connection parameters! Die Aktion wurde ausgeführt.

Ausgabemeldung	Nachrichtenbeschreibung
`Successfully connected to the Microsoft 365 Defender server with the provided connection parameters!`	Die Aktion wurde ausgeführt.
`Failed to connect to the Microsoft 365 Defender server! Error is ERROR_REASON`	Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Failed to connect to the Microsoft 365 Defender server! Error is
      ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Ping aufgeführt:

Name des Scriptergebnisses	Wert
`is_success`	`True` oder `False`

Vorfall aktualisieren

Verwenden Sie die Aktion Vorfall aktualisieren, um Vorfälle in Microsoft 365 Defender zu aktualisieren.

Gemäß den API-Einschränkungen schlägt diese Aktion nicht fehl, auch wenn Sie für den Parameter Assign To einen ungültigen Nutzernamenwert festlegen.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Vorfall aktualisieren sind die folgenden Parameter erforderlich:

Parameter	Beschreibung
`Incident ID`	Erforderlich Die ID des Vorfalls, der in Microsoft 365 Defender aktualisiert werden soll.
`Status`	Optional Der Status, der für den Vorfall in Microsoft 365 Defender festgelegt werden soll. Der Standardwert ist `Select One`. Folgende Werte sind möglich: `Select One` `Active` `Resolved`
`Classification`	Optional Die Klassifizierung, die für den Vorfall in Microsoft 365 Defender festgelegt werden soll. Der Standardwert ist `Select One`. Folgende Werte sind möglich: `Select One` `False Positive` `True Positive`
`Determination`	Optional Die Entscheidung, die für den Vorfall in Microsoft 365 Defender festgelegt werden soll. Dieser Parameter gilt nur, wenn der Wert des Parameters `Classification` `True Positive` ist. Der Standardwert ist `Select One`. Folgende Werte sind möglich: `Select One` `Not Available` `Apt` `Malware` `Security Personnel` `Security Testing` `Unwanted Software` `Other`
`Assign To`	Optional Der Nutzer, dem der Vorfall in Microsoft 365 Defender zugewiesen werden soll.

Aktionsausgaben

Die Aktion Update Incident (Vorfälle aktualisieren) bietet die folgenden Ausgaben:

Ausgabetyp der Aktion	Verfügbarkeit
Anhang im Fall-Repository	Nicht verfügbar
Link zum Fall‑Repository	Nicht verfügbar
Tabelle „Fall-Repository“	Nicht verfügbar
Anreicherungstabelle	Nicht verfügbar
JSON-Ergebnis	Nicht verfügbar
Ausgabemeldungen	Verfügbar
Scriptergebnis	Verfügbar

Ausgabemeldungen

Die Aktion Update Incident (Vorfall aktualisieren) kann die folgenden Ausgabemeldungen zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Successfully updated incident INCIDENT_ID in Microsoft 365 Defender. Die Aktion wurde ausgeführt.

Ausgabemeldung	Nachrichtenbeschreibung
`Successfully updated incident INCIDENT_ID in Microsoft 365 Defender.`	Die Aktion wurde ausgeführt.
`Error executing action "Update Incident". Reason: ERROR_REASON`	Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Error executing action "Update Incident". Reason:
      ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Connectors

Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Daten aufnehmen (Connectors).

Microsoft 365 Defender – Incidents Connector

Mit dem Microsoft 365 Defender – Incidents Connector können Sie Informationen zu Vorfällen und den zugehörigen Benachrichtigungen aus Microsoft 365 Defender abrufen.

Die dynamische Liste funktioniert mit einem Vorfallnamen.

Einschränkungen des Connectors

Der Microsoft 365 Defender – Incidents Connector verwendet die API-Anfragen mit strengen API-Limits. Um den Connector zu stabilisieren, setzen Sie den Parameter Max Incidents To Fetch auf 10 und den Parameter Run Every auf 1 minute. Das Ratenlimit kann trotzdem erreicht werden, da der Microsoft Graph-API-Endpunkt, der zum Abrufen von Benachrichtigungen verwendet wird, nur 20 Anfragen pro Minute zulässt.

Um Datenverlust zu vermeiden, wenn das Ratenlimit erreicht wird, beendet der Connector die Verarbeitung des aktuellen Vorfalls und wartet 90 Sekunden, bevor er einen anderen Vorfall verarbeitet. Nach 90 Sekunden wird das Ratenlimit auf den Maximalwert zurückgesetzt und der Connector verarbeitet den Vorfall noch einmal, der in der vorherigen Iteration nicht richtig verarbeitet wurde.

Connector-Eingaben

Für den Microsoft 365 Defender – Incidents Connector sind die folgenden Parameter erforderlich:

Weitergeleitete Vorfälle können in den meisten Fällen leer sein.

Parameter	Beschreibung
`Product Field Name`	Erforderlich Der Name des Felds, in dem der Produktname gespeichert ist. Der Standardwert ist `event_type`.
`Event Field Name`	Erforderlich Der Feldname, der zum Bestimmen des Ereignisnamens (Untertyp) verwendet wird. Der Standardwert ist `@odata.type`.
`Login API Root`	Erforderlich Der Anmelde-API-Stamm der Microsoft 365 Defender-Instanz. Der Standardwert ist `https://login.microsoftonline.com`.
`Graph API Root`	Erforderlich Der API-Stamm des Microsoft Graph-Dienstes. Der Standardwert ist `https://graph.microsoft.com`.
`API Root`	Erforderlich Der API-Stamm der Microsoft 365 Defender-Instanz. Der Standardwert ist `https://api.security.microsoft.com`.
`Tenant ID`	Erforderlich Der Microsoft Entra ID-Wert (Mandanten-ID) Ihres Microsoft Entra ID-Kontos.
`Client ID`	Erforderlich Der Wert der Anwendungs-ID (Client-ID) Ihres Microsoft Entra ID-Kontos.
`Client Secret`	Erforderlich Der Clientschlüsselwert der Microsoft Entra ID-Anwendung.
`Verify SSL`	Optional Wenn diese Option ausgewählt ist, wird überprüft, ob das SSL-Zertifikat für die Verbindung zum Microsoft 365 Defender-Server gültig ist. Standardmäßig ausgewählt.
`Lowest Severity To Fetch`	Optional Der niedrigste Schweregrad der abzurufenden Vorfälle.
`Max Hours Backwards`	Optional Die Anzahl der Stunden vor der ersten Connector-Iteration, ab der Vorfälle abgerufen werden sollen. Dieser Parameter gilt für den ersten Connector-Durchlauf, nachdem Sie den Connector zum ersten Mal aktiviert haben, oder für den Fallback-Wert für einen abgelaufenen Connector-Zeitstempel. Der Standardwert ist `1`.
`Max Incidents To Fetch`	Optional Die maximale Anzahl von Vorfällen, die für jede Connector-Iteration abgerufen werden sollen. Der Standardwert ist `10`.
`Incident Status Filter`	Optional Eine durch Kommas getrennte Liste der aufzunehmenden Vorfallstatus. Der Standardwert ist `active, inProgress`. Folgende Werte sind möglich: `active` `inProgress` `resolved` `redirected`
`Use whitelist as a blacklist`	Optional Wenn diese Option ausgewählt ist, verwendet der Connector die dynamische Liste als Blockierliste. Diese Option ist standardmäßig nicht ausgewählt.
`Lowest Alert Severity To Fetch`	Optional Der niedrigste Schweregrad von Benachrichtigungen, die abgerufen werden sollen.
`Disable Alert Tracking`	Optional Wenn diese Option aktiviert ist, werden keine Aktualisierungen für Benachrichtigungen mehr erfasst. Standardmäßig deaktiviert.
`Environment Field Name`	Optional Der Name des Felds, das den Umgebungsnamen enthält.
`Environment Regex Pattern`	Optional Ein reguläres Ausdrucksmuster, das auf den Wert im Feld `Environment Field Name` angewendet wird. Mit diesem Parameter können Sie das Feld „environment“ mithilfe der Logik für reguläre Ausdrücke bearbeiten. Verwenden Sie den Standardwert `.*`, um den erforderlichen Rohwert `Environment Field Name` abzurufen. Wenn das Muster des regulären Ausdrucks null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung.
`PythonProcessTimeout`	Erforderlich Das Zeitlimit in Sekunden für den Python-Prozess, in dem das aktuelle Script ausgeführt wird. Der Standardwert ist `180`.
`Dynamic List Field`	Optional Der Wert, der von der dynamischen Liste zum Filtern verwendet wird. Die möglichen Werte sind `Incident Name` und `Alert Name`. Der Standardwert ist `Incident Name`.
`Alert Detection Source Filter`	Optional Eine durch Kommas getrennte Liste der Quellen für die Benachrichtigungserkennung, die aufgenommen werden sollen, z. B. `antivirus, microsoftDefenderForEndpoint`.
`Alert Service Source Filter`	Optional Eine durch Kommas getrennte Liste von Quellen für Benachrichtigungsdienste, die aufgenommen werden sollen, z. B. `antivirus, microsoftDefenderForEndpoint`.
`Disable Overflow`	Optional Wenn diese Option ausgewählt ist, ignoriert der Connector den Google SecOps-Überlaufmechanismus beim Erstellen von Benachrichtigungen. Standardmäßig aktiviert.
`Proxy Server Address`	Optional Die Adresse des zu verwendenden Proxyservers.
`Proxy Username`	Optional Der Proxy-Nutzername für die Authentifizierung.
`Proxy Password`	Optional Das Proxy-Passwort für die Authentifizierung.

Connector-Regeln

Der Connector unterstützt Proxys.
Der Connector unterstützt dynamische Listen und Sperrlisten.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten