Se usó la API de Cloud Translation para traducir esta página.

Microsoft 365 Defender

En este documento, se describe cómo integrar Microsoft 365 Defender con Google Security Operations (Google SecOps).

Versión de la integración: 19.0

Casos de uso

La integración de Microsoft 365 Defender con Google SecOps puede ayudarte a resolver los siguientes casos de uso:

Respuesta ante incidentes automatizada: Usa las capacidades de Google SecOps para aislar automáticamente el endpoint afectado y, luego, iniciar un análisis en busca de más vulneraciones.
Investigación y corrección de phishing: Usa las capacidades de Google SecOps para extraer automáticamente información pertinente, como el remitente, el asunto y los archivos adjuntos, y enriquecerla con datos de inteligencia sobre amenazas.
Administración de vulnerabilidades: Usa las capacidades de Google SecOps para automatizar los flujos de trabajo de análisis y corrección de vulnerabilidades.
Informes y auditorías de cumplimiento: Usa las capacidades de Google SecOps para automatizar la recopilación y la generación de informes de datos de seguridad de Microsoft 365 Defender, lo que simplifica las auditorías de cumplimiento y demuestra el cumplimiento de los estándares de seguridad.
Priorización y clasificación de alertas: Usa las capacidades de Google SecOps para analizar las alertas de Microsoft 365 Defender y priorizarlas según la gravedad y el impacto potencial.
Análisis automatizado de software malicioso: Usa las capacidades de Google SecOps para enviar automáticamente la muestra de software malicioso que Microsoft 365 Defender detectó a un entorno de zona de pruebas para el análisis dinámico.

Antes de comenzar

Antes de configurar la integración en la plataforma de SecOps de Google, completa los siguientes pasos:

Crea la aplicación de Microsoft Entra.
Configura los permisos de la API para tu app.
Crea un secreto del cliente.

Crea la aplicación de Microsoft Entra

Para crear la aplicación de Microsoft Entra, completa los siguientes pasos:

Accede al portal de Azure como administrador de usuarios o administrador de contraseñas.
Selecciona Microsoft Entra ID.
Ve a Registros de aplicaciones > Nuevo registro.
Ingresa el nombre de la aplicación.
Haz clic en Registrar.
Guarda los valores de ID de la aplicación (cliente) y ID del directorio (inquilino) para usarlos más adelante cuando configures los parámetros de integración.

Configura los permisos de la API

Para configurar los permisos de la API para la integración, completa los siguientes pasos:

En el portal de Azure, ve a Administrar > Permisos de API >Agregar un permiso.
En la ventana Solicitar permisos de API, selecciona APIs my organization uses.
Selecciona Microsoft Graph > Permisos de aplicación.
Selecciona los siguientes permisos:
- SecurityAlert.Read.All
- SecurityIncident.ReadWrite.All
Haz clic en Agregar permisos.
En la ventana Solicitar permisos de API, selecciona APIs my organization uses.
Selecciona Microsoft Threat Protection > Permisos de aplicación.
Selecciona el siguiente permiso:
- ThreatHunting.Read.All
Haz clic en Agregar permisos.
Haz clic en Otorgar consentimiento del administrador para YOUR_ORGANIZATION_NAME.

Cuando aparezca el diálogo Confirmación de consentimiento del administrador, haz clic en Sí.

Crea un secreto del cliente

Para crear un secreto del cliente, completa los siguientes pasos:

Navega a Certificados y secretos > Nuevo secreto del cliente.
Proporciona una descripción para un secreto del cliente y establece su fecha límite de vencimiento.
Haz clic en Agregar.
Guarda el valor del secreto del cliente (no el ID del secreto) para usarlo como el valor del parámetro Client Secret cuando configures la integración.

El valor del secreto del cliente solo se muestra una vez.

Integra Microsoft 365 Defender con Google SecOps

La integración de Microsoft 365 Defender requiere los siguientes parámetros:

Parámetro	Descripción
`Login API Root`	Obligatorio Es la raíz de la API de acceso de la instancia de Microsoft 365 Defender. El valor predeterminado es `https://login.microsoftonline.com`.
`Graph API Root`	Obligatorio Es la raíz de la API del servicio de Microsoft Graph. El valor predeterminado es `https://graph.microsoft.com`.
`API Root`	Obligatorio Es la raíz de la API de la instancia de Microsoft 365 Defender. El valor predeterminado es `https://api.security.microsoft.com`.
`Tenant ID`	Obligatorio Es el valor del ID de Microsoft Entra (ID de usuario) de tu cuenta de Microsoft Entra ID.
`Client ID`	Obligatorio Es el valor del ID de la aplicación (cliente) de tu cuenta de Microsoft Entra ID.
`Client Secret`	Obligatorio Es el valor del secreto del cliente de la aplicación de Microsoft Entra ID.
`Verify SSL`	Optional Si se selecciona esta opción, la integración verifica que el certificado SSL para conectarse al servidor de Microsoft 365 Defender sea válido. Esta opción se selecciona de forma predeterminada.

Si deseas obtener instrucciones para configurar una integración en Google SecOps, consulta Configura integraciones.

Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en las guías. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Compatibilidad con varias instancias.

Acciones

Para obtener más información sobre las acciones, consulta Cómo responder a las acciones pendientes desde tu estación de trabajo y Cómo realizar una acción manual.

Agregar comentario al incidente

Usa la acción Add Comment To Incident para agregar un comentario a un incidente en Microsoft 365 Defender.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Add Comment To Incident requiere los siguientes parámetros:

Parámetro	Descripción
`Incident ID`	Obligatorio ID del incidente al que se agregará el comentario.
`Comment`	Obligatorio Es el comentario que se agregará al incidente.

Resultados de la acción

La acción Add Comment To Incident proporciona los siguientes resultados:

Tipo de salida de la acción	Disponibilidad
Adjunto del muro de casos	No disponible
Vínculo al muro de casos	No disponible
Tabla del muro de casos	No disponible
Tabla de enriquecimiento	No disponible
Resultado de JSON	No disponible
Mensajes de salida	Disponible
Resultado de secuencia de comandos	Disponible

Mensajes de salida

La acción Add Comment To Incident puede devolver los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

Successfully added comment to incident INCIDENT_ID in Microsoft 365 Defender. La acción se completó correctamente.

Mensaje de salida	Descripción del mensaje
`Successfully added comment to incident INCIDENT_ID in Microsoft 365 Defender.`	La acción se completó correctamente.
`Error executing action "Add Comment To Incident". Reason: ERROR_REASON`	No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Error executing action "Add Comment To Incident". Reason:
      ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Add Comment To Incident:

Nombre del resultado de la secuencia de comandos	Valor
`is_success`	`True` o `False`

Ejecutar consulta personalizada

Usa la acción Ejecutar consulta personalizada para ejecutar una consulta de búsqueda personalizada en Microsoft 365 Defender.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Ejecutar consulta personalizada requiere los siguientes parámetros:

Parámetro Descripción

Parámetro	Descripción
`Query`	Obligatorio Es la consulta que se ejecutará en Microsoft 365 Defender para filtrar los resultados.
`Max Results To Return`	Optional Es la cantidad máxima de resultados que se devolverán de la búsqueda. El valor predeterminado es "50".

Query

Obligatorio

Es la consulta que se ejecutará en Microsoft 365 Defender para filtrar los resultados.

Max Results To Return

Optional

Es la cantidad máxima de resultados que se devolverán de la búsqueda.

El valor predeterminado es "50".

Resultados de la acción

La acción Ejecutar consulta personalizada proporciona los siguientes resultados:

Tipo de salida de la acción	Disponibilidad
Adjunto del muro de casos	No disponible
Vínculo al muro de casos	No disponible
Tabla del muro de casos	No disponible
Tabla de enriquecimiento	No disponible
Resultado de JSON	Disponible
Mensajes de salida	Disponible
Resultado de secuencia de comandos	Disponible

Resultado de JSON

En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Ejecutar consulta personalizada:

{"Results": [
    {
        "Timestamp": "2021-04-12T07:25:00Z",
        "AlertId": "fa7a318954-6c4c-eaab-3200-08d8fd82af35",
        "Title": "CC_Sensitive information",
        "Category": "InitialAccess",
        "Severity": "Medium",
        "ServiceSource": "Microsoft Defender for Office 365",
        "DetectionSource": "Microsoft Defender for Office 365",
        "AttackTechniques": ""
    }
]}

Mensajes de salida

La acción Ejecutar consulta personalizada puede devolver los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

Mensaje de salida	Descripción del mensaje
`Successfully executed query "QUERY" in Microsoft 365 Defender.` `No data was found for the query "QUERY" in Microsoft 365 Defender.`	La acción se completó correctamente.
`Error executing action "Execute Custom Query". Reason: ERROR_REASON`	No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Successfully executed query "QUERY" in Microsoft 365 Defender.

No data was found for the query "QUERY" in Microsoft 365 Defender.

La acción se completó correctamente.

Error executing action "Execute Custom Query". Reason:
      ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Resultado de secuencia de comandos

En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Ejecutar consulta personalizada:

Nombre del resultado de la secuencia de comandos	Valor
`is_success`	`True` o `False`

Ejecuta la consulta de entidad

Usa la acción Ejecutar consulta de entidad para ejecutar una consulta de búsqueda basada en entidades de Microsoft 365 Defender.

Esta acción usa un filtro where basado en entidades.

Esta acción se ejecuta en las siguientes entidades de Google SecOps:

IP Address
Host
User
Hash
URL

Puedes usar la acción Ejecutar consulta de entidad para recuperar información relacionada con entidades, como recuperar los resultados de una tabla y filtrarlos según las entidades.

A diferencia de la acción Ejecutar consulta, que requiere que uses un formato específico, la acción Ejecutar consulta de entidad no usa la entrada de consulta.

Cuando uses la acción Ejecutar consulta para recuperar las alertas relacionadas con un extremo, formatea la cláusula | where de la siguiente manera:

AlertInfo | where DeviceName == "Host-1" or IPAddress == "192.0.2.1" | top 100
by Timestamp desc

Para recuperar las alertas relacionadas con un extremo, la acción Ejecutar consulta de entidad requiere que configures los parámetros Table, IP Entity Key, Hostname Entity Key y Cross Entity Operator de la siguiente manera:

Parámetro	Valor `AlertInfo`
`IP Entity Key`	`IPAddress`
`Hostname Entity Key`	`DeviceName`
`Cross Entity Operator`	`OR`

Para verificar cuántos extremos se ven afectados por los hashes proporcionados, la acción Execute Entity Query requiere que ingreses el valor SHA1 para el parámetro File Hash Entity Key.

El parámetro Cross Entity Operator solo afecta la búsqueda cuando configuras varios valores para el parámetro Entity Keys.

Entradas de acción

La acción Ejecutar consulta de entidad requiere los siguientes parámetros:

Parámetro	Descripción
`Table Names`	Obligatorio Es una lista separada por comas de las tablas que se consultarán en Microsoft 365 Defender.
`Time Frame`	Optional Es el período para los resultados de la búsqueda. El valor predeterminado es `Last Hour`. Los valores posibles son los siguientes: `Last Hour` `Last 6 Hours` `Last 24 Hours` `Last Week` `Last Month` `Custom`
`Start Time`	Optional Es la hora de inicio de los resultados de la búsqueda. Este parámetro es obligatorio si configuras el parámetro `Time Frame` como `Custom`.
`End Time`	Optional Es la hora de finalización de los resultados de la búsqueda. Si no estableces un valor y configuras el parámetro `Time Frame` en `Custom`, la acción establecerá este parámetro en el valor de hora actual de forma predeterminada.
`Fields To Return`	Optional Es una lista de campos separados por comas que se incluirán en los resultados.
`Sort Field`	Optional Campo por el que se ordenarán los resultados. El valor predeterminado es `Timestamp`.
`Sort Order`	Optional Orden en que se deben ordenar los resultados (ascendente o descendente). El valor predeterminado es `ASC`. Los valores posibles son los siguientes: `ASC` `DESC`
`Max Results To Return`	Optional La cantidad máxima de resultados que se mostrarán. El valor predeterminado es `50`.
`IP Entity Key`	Optional Es la clave que se usará para filtrar por la entidad `IP Address`.
`Hostname Entity Key`	Optional Es la clave que se usará para filtrar por la entidad `Hostname`.
`File Hash Entity Key`	Optional Es la clave que se usará para filtrar por la entidad `File Hash`.
`User Entity Key`	Optional Es la clave que se usará para filtrar por la entidad `User`.
`URL Entity Key`	Optional Es la clave que se usará para filtrar por la entidad `URL`.
`Email Address Entity Key`	Optional Es la clave que se usará para filtrar por la entidad `Email Address`. La acción acepta la entidad `User` que coincide con la expresión regular del correo electrónico.
`Stop If Not Enough Entities`	Optional Si se selecciona, la acción se ejecutará si están presentes todos los tipos de entidades especificados. Esta opción se selecciona de forma predeterminada.
`Cross Entity Operator`	Obligatorio Es el operador lógico que se usará entre los diferentes tipos de entidades en la consulta. El valor predeterminado es `OR`. Los valores posibles son los siguientes: `OR` `AND`

Resultados de la acción

La acción Ejecutar consulta de entidad proporciona los siguientes resultados:

Tipo de salida de la acción	Disponibilidad
Adjunto del muro de casos	No disponible
Vínculo al muro de casos	No disponible
Tabla del muro de casos	No disponible
Tabla de enriquecimiento	No disponible
Resultado de JSON	Disponible
Mensajes de salida	Disponible
Resultado de secuencia de comandos	Disponible

Resultado de JSON

En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Ejecutar consulta de entidad:

 {
        "Timestamp": "2021-04-12T07:25:00Z",
        "AlertId": "fa7a318954-6c4c-eaab-3200-08d8fd82af35",
        "Title": "CC_Sensitive information",
        "Category": "InitialAccess",
        "Severity": "Medium",
        "ServiceSource": "Microsoft Defender for Office 365",
        "DetectionSource": "Microsoft Defender for Office 365",
        "AttackTechniques": ""
  }

Mensajes de salida

La acción Ejecutar consulta de entidad puede devolver los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

Mensaje de salida	Descripción del mensaje
`Successfully executed query "QUERY" in Microsoft 365 Defender.` `Action wasn't able to build the query, because not enough entity types were supplied for the specified "ENTITY_KEYS". Please disable the "Stop If Not Enough Entities" parameter or provide at least one entity for each specified ENTITY_KEY.` `No data was found for the query "QUERY" in Microsoft 365 Defender."`	La acción se completó correctamente.
`Error executing action "Execute Entity Query". Reason: ERROR_REASON`	No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Successfully executed query "QUERY" in Microsoft 365 Defender.

Action wasn't able to build the query, because not enough entity types were supplied for the specified "ENTITY_KEYS". Please disable the "Stop If Not Enough Entities" parameter or provide at least one entity for each specified ENTITY_KEY.

No data was found for the query "QUERY" in Microsoft 365 Defender."

La acción se completó correctamente.

Error executing action "Execute Entity Query". Reason:
      ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Resultado de secuencia de comandos

En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Ejecutar consulta de entidad:

Nombre del resultado de la secuencia de comandos	Valor
`is_success`	`True` o `False`

Ejecutar consulta

Usa la acción Ejecutar consulta para ejecutar consultas de búsqueda de amenazas en Microsoft 365 Defender.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Ejecutar consulta requiere los siguientes parámetros:

Parámetro	Descripción
`Table Names`	Obligatorio Lista separada por comas de los nombres de las tablas en las que se realizará la búsqueda en Microsoft 365 Defender.
`Query`	Optional Es una consulta que se ejecutará. Usa este parámetro para proporcionar la cláusula `\| where`. El filtro de tiempo, la limitación y el ordenamiento son opcionales.
`Time Frame`	Optional Es el período para los resultados de la búsqueda. El valor predeterminado es `Last Hour`. Los valores posibles son los siguientes: `Last Hour` `Last 6 Hours` `Last 24 Hours` `Last Week` `Last Month` `Custom`
`Start Time`	Optional Es la hora de inicio de los resultados de la búsqueda en formato ISO 8601. Este parámetro es obligatorio si configuras el parámetro `Time Frame` como `Custom`.
`End Time`	Optional Es la hora de finalización de los resultados de la búsqueda en formato ISO 8601. Si no estableces un valor y configuras el parámetro `Time Frame` en `Custom`, la acción establecerá este parámetro en el valor de hora actual de forma predeterminada.
`Fields To Return`	Optional Es una lista de campos separados por comas que se incluirán en los resultados.
`Sort Field`	Optional Campo por el que se ordenarán los resultados. El valor predeterminado es `Timestamp`.
`Sort Order`	Optional Orden en que se deben ordenar los resultados (ascendente o descendente). El valor predeterminado es `ASC`. Los valores posibles son los siguientes: `ASC` `DESC`
`Max Results To Return`	Optional La cantidad máxima de resultados que se mostrarán. El valor predeterminado es `50`.

Resultados de la acción

La acción Ejecutar consulta proporciona los siguientes resultados:

Tipo de salida de la acción	Disponibilidad
Adjunto del muro de casos	No disponible
Vínculo al muro de casos	No disponible
Tabla del muro de casos	No disponible
Tabla de enriquecimiento	No disponible
Resultado de JSON	Disponible
Mensajes de salida	Disponible
Resultado de secuencia de comandos	Disponible

Resultado de JSON

En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Ejecutar consulta:

{"Results": [
    {
        "Timestamp": "2021-04-12T07:25:00Z",
        "AlertId": "fa7a318954-6c4c-eaab-3200-08d8fd82af35",
        "Title": "CC_Sensitive information",
        "Category": "InitialAccess",
        "Severity": "Medium",
        "ServiceSource": "Microsoft Defender for Office 365",
        "DetectionSource": "Microsoft Defender for Office 365",
        "AttackTechniques": ""
    }
]}

Mensajes de salida

La acción Ejecutar consulta puede devolver los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

Mensaje de salida	Descripción del mensaje
`Successfully executed query "QUERY" in Microsoft 365 Defender.` `No data was found for the query "QUERY" in Microsoft 365 Defender."`	La acción se completó correctamente.
`Error executing action "Execute Query". Reason: ERROR_REASON`	No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Successfully executed query "QUERY" in Microsoft 365 Defender.

No data was found for the query "QUERY" in Microsoft 365 Defender."

La acción se completó correctamente.

Error executing action "Execute Query". Reason:
      ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Resultado de secuencia de comandos

En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Ejecutar consulta:

Nombre del resultado de la secuencia de comandos	Valor
`is_success`	`True` o `False`

Ping

Usa la acción Ping para probar la conectividad a Microsoft 365 Defender.

La acción no se ejecuta en las entidades de SecOps de Google.

Entradas de acción

Ninguno

Resultados de la acción

La acción Ping proporciona los siguientes resultados:

Tipo de salida de la acción	Disponibilidad
Adjunto del muro de casos	No disponible
Vínculo al muro de casos	No disponible
Tabla del muro de casos	No disponible
Tabla de enriquecimiento	No disponible
Resultado de JSON	No disponible
Mensajes de salida	Disponible
Resultado de secuencia de comandos	Disponible

Resultado de JSON

En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Ping:

Mensajes de salida

La acción Ping puede devolver los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

Successfully connected to the Microsoft 365 Defender server with the provided connection parameters! La acción se completó correctamente.

Mensaje de salida	Descripción del mensaje
`Successfully connected to the Microsoft 365 Defender server with the provided connection parameters!`	La acción se completó correctamente.
`Failed to connect to the Microsoft 365 Defender server! Error is ERROR_REASON`	No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Failed to connect to the Microsoft 365 Defender server! Error is
      ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Ping:

Nombre del resultado de la secuencia de comandos	Valor
`is_success`	`True` o `False`

Actualizar incidente

Usa la acción Update Incident para actualizar incidentes en Microsoft 365 Defender.

Según las limitaciones de la API, esta acción no falla incluso si estableces un valor de nombre de usuario no válido para el parámetro Assign To.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Update Incident requiere los siguientes parámetros:

Parámetro	Descripción
`Incident ID`	Obligatorio Es el ID del incidente que se actualizará en Microsoft 365 Defender.
`Status`	Optional Es el estado que se establecerá para el incidente en Microsoft 365 Defender. El valor predeterminado es `Select One`. Los valores posibles son los siguientes: `Select One` `Active` `Resolved`
`Classification`	Optional Es la clasificación que se establecerá para el incidente en Microsoft 365 Defender. El valor predeterminado es `Select One`. Los valores posibles son los siguientes: `Select One` `False Positive` `True Positive`
`Determination`	Optional Es la determinación que se establecerá para el incidente en Microsoft 365 Defender. Este parámetro solo se aplica si el valor del parámetro `Classification` es `True Positive`. El valor predeterminado es `Select One`. Los valores posibles son los siguientes: `Select One` `Not Available` `Apt` `Malware` `Security Personnel` `Security Testing` `Unwanted Software` `Other`
`Assign To`	Optional Es el usuario al que se le asignará el incidente en Microsoft 365 Defender.

Resultados de la acción

La acción Update Incident proporciona los siguientes resultados:

Tipo de salida de la acción	Disponibilidad
Adjunto del muro de casos	No disponible
Vínculo al muro de casos	No disponible
Tabla del muro de casos	No disponible
Tabla de enriquecimiento	No disponible
Resultado de JSON	No disponible
Mensajes de salida	Disponible
Resultado de secuencia de comandos	Disponible

Mensajes de salida

La acción Update Incident puede devolver los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

Successfully updated incident INCIDENT_ID in Microsoft 365 Defender. La acción se completó correctamente.

Mensaje de salida	Descripción del mensaje
`Successfully updated incident INCIDENT_ID in Microsoft 365 Defender.`	La acción se completó correctamente.
`Error executing action "Update Incident". Reason: ERROR_REASON`	No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Error executing action "Update Incident". Reason:
      ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Conectores

Si quieres obtener instrucciones detalladas para configurar un conector en Google SecOps, consulta Ingiere tus datos (conectores).

Microsoft 365 Defender: conector de incidentes

Usa el conector de incidentes de Microsoft 365 Defender para extraer información sobre los incidentes y sus alertas relacionadas de Microsoft 365 Defender.

La lista dinámica funciona con un nombre de incidente.

Limitaciones del conector

El conector de incidentes de Microsoft 365 Defender usa las solicitudes a la API con límites estrictos. Para estabilizar el conector, establece el parámetro Max Incidents To Fetch en 10 y el parámetro Run Every en 1 minute. Aun así, puedes alcanzar el límite de frecuencia, ya que el extremo de API de Microsoft Graph que se usa para recuperar alertas solo permite 20 solicitudes por minuto.

Para evitar la pérdida de datos cuando se alcanza el límite de frecuencia, el conector detiene el procesamiento del incidente actual y espera 90 segundos antes de procesar cualquier otro incidente. En 90 segundos, el límite de frecuencia vuelve a su valor máximo y el conector vuelve a procesar el incidente que no se procesó correctamente en la iteración anterior.

Entradas del conector

El conector de incidentes de Microsoft 365 Defender requiere los siguientes parámetros:

En la mayoría de los casos, los incidentes redireccionados pueden estar vacíos.

Parámetro	Descripción
`Product Field Name`	Obligatorio Es el nombre del campo en el que se almacena el nombre del producto. El valor predeterminado es `event_type`.
`Event Field Name`	Obligatorio Es el nombre del campo que se usa para determinar el nombre del evento (subtipo). El valor predeterminado es `@odata.type`.
`Login API Root`	Obligatorio Es la raíz de la API de acceso de la instancia de Microsoft 365 Defender. El valor predeterminado es `https://login.microsoftonline.com`.
`Graph API Root`	Obligatorio Es la raíz de la API del servicio de Microsoft Graph. El valor predeterminado es `https://graph.microsoft.com`.
`API Root`	Obligatorio Es la raíz de la API de la instancia de Microsoft 365 Defender. El valor predeterminado es `https://api.security.microsoft.com`.
`Tenant ID`	Obligatorio Es el valor del ID de Microsoft Entra (ID de usuario) de tu cuenta de Microsoft Entra ID.
`Client ID`	Obligatorio Es el valor del ID de la aplicación (cliente) de tu cuenta de Microsoft Entra ID.
`Client Secret`	Obligatorio Es el valor del secreto del cliente de la aplicación de Microsoft Entra ID.
`Verify SSL`	Optional Si se selecciona esta opción, la integración verifica que el certificado SSL para conectarse al servidor de Microsoft 365 Defender sea válido. Esta opción se selecciona de forma predeterminada.
`Lowest Severity To Fetch`	Optional Es la gravedad más baja de los incidentes que se recuperarán.
`Max Hours Backwards`	Optional Cantidad de horas previas a la primera iteración del conector desde las que se recuperan los incidentes. Este parámetro se aplica a la iteración inicial del conector después de que lo habilitas por primera vez o al valor de resguardo para una marca de tiempo del conector vencida. El valor predeterminado es `1`.
`Max Incidents To Fetch`	Optional Es la cantidad máxima de incidentes que se recuperarán en cada iteración del conector. El valor predeterminado es `10`.
`Incident Status Filter`	Optional Es una lista separada por comas de los estados de los incidentes que se deben transferir. El valor predeterminado es `active, inProgress`. Los valores posibles son los siguientes: `active` `inProgress` `resolved` `redirected`
`Use whitelist as a blacklist`	Optional Si se selecciona esta opción, el conector usa la lista dinámica como lista de bloqueo. No está seleccionada de forma predeterminada.
`Lowest Alert Severity To Fetch`	Optional Es la gravedad más baja de las alertas que se recuperarán.
`Disable Alert Tracking`	Optional Si está habilitado, el conector deja de hacer un seguimiento de las actualizaciones de las alertas. Está inhabilitado de forma predeterminada.
`Environment Field Name`	Optional Nombre del campo que contiene el nombre del entorno.
`Environment Regex Pattern`	Optional Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo `Environment Field Name`. Este parámetro te permite manipular el campo del entorno con la lógica de expresiones regulares. Usa el valor predeterminado `.*` para recuperar el valor `Environment Field Name` sin procesar requerido. Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado.
`PythonProcessTimeout`	Obligatorio Es el límite de tiempo de espera en segundos para el proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es `180`.
`Dynamic List Field`	Optional Es el valor que usa la lista dinámica para filtrar. Los valores posibles son `Incident Name` y `Alert Name`. El valor predeterminado es `Incident Name`.
`Alert Detection Source Filter`	Optional Es una lista separada por comas de las fuentes de detección de alertas que se deben transferir, como `antivirus, microsoftDefenderForEndpoint`.
`Alert Service Source Filter`	Optional Es una lista separada por comas de las fuentes de servicios de alertas que se deben transferir, como `antivirus, microsoftDefenderForEndpoint`.
`Disable Overflow`	Optional Si se selecciona, el conector ignora el mecanismo de desbordamiento de Google SecOps durante la creación de alertas. Habilitados de forma predeterminada.
`Proxy Server Address`	Optional Es la dirección del servidor proxy que se usará.
`Proxy Username`	Optional Nombre de usuario del proxy con el que se realizará la autenticación.
`Proxy Password`	Optional Contraseña del proxy para la autenticación.

Reglas del conector

El conector admite proxies.
El conector admite listas dinámicas y listas de bloqueo.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.