Microsoft 365 Defender

이 문서에서는 Microsoft 365 Defender를 Google Security Operations (Google SecOps)와 통합하는 방법을 설명합니다.

통합 버전: 19.0

사용 사례

Microsoft 365 Defender를 Google SecOps와 통합하면 다음 사용 사례를 해결할 수 있습니다.

  • 자동화된 사고 대응: Google SecOps 기능을 사용하여 영향을 받는 엔드포인트를 자동으로 격리하고 추가 침해를 위한 검사를 시작합니다.

  • 피싱 조사 및 해결: Google SecOps 기능을 사용하여 발신자, 제목, 첨부파일과 같은 관련 정보를 자동으로 추출하고 위협 인텔리전스 데이터로 보강합니다.

  • 취약점 관리: Google SecOps 기능을 사용하여 취약점 스캔 및 수정 워크플로를 자동화합니다.

  • 규정 준수 보고 및 감사: Google SecOps 기능을 사용하여 Microsoft 365 Defender의 보안 데이터 수집 및 보고를 자동화하고, 규정 준수 감사를 간소화하고, 보안 표준 준수를 입증합니다.

  • 알림 우선순위 지정 및 분류: Google SecOps 기능을 사용하여 Microsoft 365 Defender의 알림을 분석하고 심각도와 잠재적 영향을 기반으로 우선순위를 지정합니다.

  • 자동 멀웨어 분석: Google SecOps 기능을 사용하여 Microsoft 365 Defender에서 감지한 멀웨어 샘플을 동적 분석을 위해 샌드박스 환경에 자동으로 제출합니다.

시작하기 전에

Google SecOps 플랫폼에서 통합을 구성하기 전에 다음 단계를 완료하세요.

  1. Microsoft Entra 애플리케이션을 만듭니다.

  2. 앱의 API 권한을 구성합니다.

  3. 클라이언트 보안 비밀번호를 만듭니다.

Microsoft Entra 애플리케이션 만들기

Microsoft Entra 애플리케이션을 만들려면 다음 단계를 완료하세요.

  1. 사용자 관리자 또는 비밀번호 관리자로 Azure 포털에 로그인합니다.

  2. Microsoft Entra ID를 선택합니다.

  3. 앱 등록 > 새 등록으로 이동합니다.

  4. 애플리케이션 이름을 입력합니다.

  5. 등록을 클릭합니다.

  6. 통합 매개변수를 구성할 때 나중에 사용할 수 있도록 애플리케이션 (클라이언트) ID디렉터리 (테넌트) ID 값을 저장합니다.

API 권한 구성

통합의 API 권한을 구성하려면 다음 단계를 완료하세요.

  1. Azure 포털에서 관리 > API 권한 > 권한 추가로 이동합니다.

  2. API 권한 요청 창에서 내 조직에서 사용하는 API를 선택합니다.

  3. Microsoft Graph > 애플리케이션 권한을 선택합니다.

  4. 다음 권한을 선택합니다.

    • SecurityAlert.Read.All
    • SecurityIncident.ReadWrite.All

  5. 권한 추가를 클릭합니다.

  6. API 권한 요청 창에서 내 조직에서 사용하는 API를 선택합니다.

  7. Microsoft 위협 방지 > 애플리케이션 권한을 선택합니다.

  8. 다음 권한을 선택합니다.

    • ThreatHunting.Read.All

  9. 권한 추가를 클릭합니다.

  10. YOUR_ORGANIZATION_NAME에 대한 관리자 동의 허용을 클릭합니다.

    관리자 동의 부여 확인 대화상자가 표시되면 를 클릭합니다.

클라이언트 보안 비밀번호 만들기

클라이언트 보안 비밀을 만들려면 다음 단계를 완료하세요.

  1. 인증서 및 보안 비밀 > 새 클라이언트 보안 비밀번호로 이동합니다.

  2. 클라이언트 보안 비밀번호에 대한 설명을 입력하고 만료 기한을 설정합니다.

  3. 추가를 클릭합니다.

  4. 통합을 구성할 때 Client Secret 매개변수 값으로 사용할 수 있도록 클라이언트 보안 비밀번호 (보안 비밀번호 ID 아님) 값을 저장합니다.

    클라이언트 보안 비밀번호 값은 한 번만 표시됩니다.

Microsoft 365 Defender와 Google SecOps 통합

Microsoft 365 Defender 통합에는 다음 매개변수가 필요합니다.

매개변수 설명
Login API Root 필수

Microsoft 365 Defender 인스턴스의 로그인 API 루트입니다.

기본값은 https://login.microsoftonline.com입니다.
Graph API Root 필수

Microsoft Graph 서비스의 API 루트입니다.

기본값은 https://graph.microsoft.com입니다.
API Root 필수

Microsoft 365 Defender 인스턴스의 API 루트입니다.

기본값은 https://api.security.microsoft.com입니다.
Tenant ID 필수

Microsoft Entra ID 계정의 Microsoft Entra ID (테넌트 ID) 값입니다.
Client ID 필수

Microsoft Entra ID 계정의 애플리케이션 (클라이언트) ID 값입니다.
Client Secret 필수

Microsoft Entra ID 애플리케이션의 클라이언트 보안 비밀번호 값입니다.
Verify SSL 선택사항

선택하면 통합에서 Microsoft 365 Defender 서버에 연결하는 데 사용되는 SSL 인증서가 유효한지 확인합니다.

기본적으로 선택되어 있습니다.

Google SecOps에서 통합을 구성하는 방법에 대한 안내는 통합 구성을 참고하세요.

필요한 경우 이후 단계에서 변경할 수 있습니다. 통합 인스턴스를 구성한 후 플레이북에서 사용할 수 있습니다. 여러 인스턴스 구성 및 지원에 대한 자세한 내용은 다중 인스턴스 지원을 참고하세요.

작업

작업에 관한 자세한 내용은 Workdesk의 대기 중인 작업에 응답수동 작업 실행을 참고하세요.

인시던트에 댓글 추가

Add Comment To Incident(인시던트에 댓글 추가) 작업을 사용하여 Microsoft 365 Defender의 인시던트에 댓글을 추가합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

Add Comment To Incident 작업에는 다음 매개변수가 필요합니다.

매개변수 설명
Incident ID 필수

댓글을 추가할 인시던트의 ID입니다.
Comment 필수

인시던트에 추가할 댓글입니다.

작업 출력

Add Comment To Incident(인시던트에 댓글 추가) 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용할 수 없음
케이스 월 링크 사용할 수 없음
케이스 월 테이블 사용할 수 없음
보강 테이블 사용할 수 없음
JSON 결과 사용할 수 없음
출력 메시지 사용 가능
스크립트 결과 사용 가능
출력 메시지

Add Comment To Incident 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명
Successfully added comment to incident INCIDENT_ID in Microsoft 365 Defender. 작업이 완료되었습니다.
Error executing action "Add Comment To Incident". Reason: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.
스크립트 결과

다음 표에는 인시던트에 댓글 추가 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.

스크립트 결과 이름
is_success True 또는 False

맞춤 쿼리 실행

맞춤 쿼리 실행 작업을 사용하여 Microsoft 365 Defender에서 맞춤 헌팅 쿼리를 실행합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

맞춤 쿼리 실행 작업에는 다음 매개변수가 필요합니다.

매개변수 설명
Query 필수

결과 필터링을 위해 Microsoft 365 Defender에서 실행할 쿼리입니다.
Max Results To Return 선택사항

쿼리에서 반환할 최대 결과 수입니다.

기본값은 `50`입니다.

작업 출력

맞춤 쿼리 실행 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용할 수 없음
케이스 월 링크 사용할 수 없음
케이스 월 테이블 사용할 수 없음
보강 테이블 사용할 수 없음
JSON 결과 사용 가능
출력 메시지 사용 가능
스크립트 결과 사용 가능
JSON 결과

다음 예는 맞춤 쿼리 실행 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.

{"Results": [
    {
        "Timestamp": "2021-04-12T07:25:00Z",
        "AlertId": "fa7a318954-6c4c-eaab-3200-08d8fd82af35",
        "Title": "CC_Sensitive information",
        "Category": "InitialAccess",
        "Severity": "Medium",
        "ServiceSource": "Microsoft Defender for Office 365",
        "DetectionSource": "Microsoft Defender for Office 365",
        "AttackTechniques": ""
    }
]}
출력 메시지

맞춤 쿼리 실행 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Successfully executed query "QUERY" in Microsoft 365 Defender.

No data was found for the query "QUERY" in Microsoft 365 Defender.

 작업이 완료되었습니다.
Error executing action "Execute Custom Query". Reason: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.
스크립트 결과

다음 표에는 맞춤 쿼리 실행 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름
is_success True 또는 False

엔티티 쿼리 실행

Execute Entity Query 작업을 사용하여 Microsoft 365 Defender의 항목을 기반으로 하는 헌팅 쿼리를 실행합니다.

이 작업은 항목을 기반으로 하는 where 필터를 사용합니다.

이 작업은 다음 Google SecOps 항목에서 실행됩니다.

  • IP Address
  • Host
  • User
  • Hash
  • URL

엔티티 쿼리 실행 작업을 사용하여 엔티티와 관련된 정보를 검색할 수 있습니다(예: 테이블에서 결과를 검색하고 엔티티를 기반으로 결과를 필터링).

특정 형식을 사용해야 하는 쿼리 실행 작업과 달리 엔티티 쿼리 실행 작업은 쿼리 입력을 사용하지 않습니다.

쿼리 실행 작업을 사용하여 엔드포인트와 관련된 알림을 가져올 때는 | where 절을 다음과 같이 형식화합니다.

AlertInfo | where DeviceName == "Host-1" or IPAddress == "192.0.2.1" | top 100
by Timestamp desc

엔드포인트와 관련된 알림을 가져오려면 엔티티 쿼리 실행 작업에서 다음과 같이 Table, IP Entity Key, Hostname Entity Key, Cross Entity Operator 매개변수를 구성해야 합니다.

매개변수 AlertInfo
IP Entity Key IPAddress
Hostname Entity Key DeviceName
Cross Entity Operator OR

제공된 해시가 영향을 미치는 엔드포인트 수를 확인하려면 Execute Entity Query 작업에서 File Hash Entity Key 매개변수의 SHA1 값을 입력해야 합니다.

Cross Entity OperatorEntity Keys 매개변수에 여러 값을 구성한 경우에만 쿼리에 영향을 미칩니다.

작업 입력

Execute Entity Query 작업에는 다음 매개변수가 필요합니다.

매개변수 설명
Table Names 필수

Microsoft 365 Defender에서 쿼리할 테이블의 쉼표로 구분된 목록입니다.
Time Frame 선택사항

쿼리 결과의 기간입니다.

기본값은 Last Hour입니다.

가능한 값은 다음과 같습니다.

  • Last Hour
  • Last 6 Hours
  • Last 24 Hours
  • Last Week
  • Last Month
  • Custom
Start Time 선택사항

쿼리 결과의 시작 시간입니다.

Time Frame 매개변수를 Custom로 설정하는 경우 이 매개변수는 필수입니다.
End Time 선택사항

쿼리 결과의 종료 시간입니다.

값을 설정하지 않고 Time Frame 매개변수를 Custom로 설정하면 작업에서 이 매개변수를 기본적으로 현재 시간 값으로 설정합니다.
Fields To Return 선택사항

결과에 포함할 필드의 쉼표로 구분된 목록입니다.
Sort Field 선택사항

결과를 정렬할 필드입니다.

기본값은 Timestamp입니다.
Sort Order 선택사항

결과를 정렬할 순서 (오름차순 또는 내림차순)입니다.

기본값은 ASC입니다.

가능한 값은 다음과 같습니다.

  • ASC
  • DESC
Max Results To Return 선택사항

반환할 최대 결과 수입니다.

기본값은 50입니다.
IP Entity Key 선택사항

IP Address 항목을 기준으로 필터링하는 데 사용할 키입니다.
Hostname Entity Key 선택사항

Hostname 항목을 기준으로 필터링하는 데 사용할 키입니다.
File Hash Entity Key 선택사항

File Hash 항목을 기준으로 필터링하는 데 사용할 키입니다.
User Entity Key 선택사항

User 항목을 기준으로 필터링하는 데 사용할 키입니다.
URL Entity Key 선택사항

URL 항목을 기준으로 필터링하는 데 사용할 키입니다.
Email Address Entity Key 선택사항

Email Address 항목을 기준으로 필터링하는 데 사용할 키입니다. 이 작업은 이메일 정규 표현식과 일치하는 User 엔티티를 허용합니다.
Stop If Not Enough Entities 선택사항

선택하면 지정된 모든 항목 유형이 있는 경우 작업이 실행됩니다.

기본적으로 선택되어 있습니다.
Cross Entity Operator 필수

쿼리에서 서로 다른 항목 유형 간에 사용할 논리 연산자입니다.

기본값은 OR입니다.

가능한 값은 다음과 같습니다.

  • OR
  • AND

작업 출력

엔티티 쿼리 실행 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용할 수 없음
케이스 월 링크 사용할 수 없음
케이스 월 테이블 사용할 수 없음
보강 테이블 사용할 수 없음
JSON 결과 사용 가능
출력 메시지 사용 가능
스크립트 결과 사용 가능
JSON 결과

다음 예는 엔티티 쿼리 실행 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.

 {
        "Timestamp": "2021-04-12T07:25:00Z",
        "AlertId": "fa7a318954-6c4c-eaab-3200-08d8fd82af35",
        "Title": "CC_Sensitive information",
        "Category": "InitialAccess",
        "Severity": "Medium",
        "ServiceSource": "Microsoft Defender for Office 365",
        "DetectionSource": "Microsoft Defender for Office 365",
        "AttackTechniques": ""
  }
출력 메시지

Execute Entity Query 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Successfully executed query "QUERY" in Microsoft 365 Defender.

Action wasn't able to build the query, because not enough entity types were supplied for the specified "ENTITY_KEYS". Please disable the "Stop If Not Enough Entities" parameter or provide at least one entity for each specified ENTITY_KEY.

No data was found for the query "QUERY" in Microsoft 365 Defender."

 작업이 완료되었습니다.
Error executing action "Execute Entity Query". Reason: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.
스크립트 결과

다음 표에는 엔티티 쿼리 실행 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.

스크립트 결과 이름
is_success True 또는 False

쿼리 실행

쿼리 실행 작업을 사용하여 Microsoft 365 Defender에서 헌팅 쿼리를 실행합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

쿼리 실행 작업에는 다음 매개변수가 필요합니다.

매개변수 설명
Table Names 필수

Microsoft 365 Defender에서 쿼리할 테이블 이름을 쉼표로 구분한 목록입니다.
Query 선택사항

실행할 쿼리입니다.

이 파라미터를 사용하여 | where 절을 제공합니다. 시간 필터, 제한, 정렬은 선택사항입니다.
Time Frame 선택사항

쿼리 결과의 기간입니다.

기본값은 Last Hour입니다.

가능한 값은 다음과 같습니다.

  • Last Hour
  • Last 6 Hours
  • Last 24 Hours
  • Last Week
  • Last Month
  • Custom
Start Time 선택사항

ISO 8601 형식의 쿼리 결과 시작 시간입니다.

Time Frame 매개변수를 Custom로 설정하는 경우 이 매개변수는 필수입니다.
End Time 선택사항

ISO 8601 형식의 쿼리 결과 종료 시간입니다.

값을 설정하지 않고 Time Frame 매개변수를 Custom로 설정하면 작업에서 기본적으로 이 매개변수를 현재 시간 값으로 설정합니다.
Fields To Return 선택사항

결과에 포함할 필드의 쉼표로 구분된 목록입니다.
Sort Field 선택사항

결과를 정렬할 필드입니다.

기본값은 Timestamp입니다.
Sort Order 선택사항

결과를 정렬할 순서 (오름차순 또는 내림차순)입니다.

기본값은 ASC입니다.

가능한 값은 다음과 같습니다.

  • ASC
  • DESC
Max Results To Return 선택사항

반환할 최대 결과 수입니다.

기본값은 50입니다.

작업 출력

쿼리 실행 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용할 수 없음
케이스 월 링크 사용할 수 없음
케이스 월 테이블 사용할 수 없음
보강 테이블 사용할 수 없음
JSON 결과 사용 가능
출력 메시지 사용 가능
스크립트 결과 사용 가능
JSON 결과

다음 예는 쿼리 실행 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.

{"Results": [
    {
        "Timestamp": "2021-04-12T07:25:00Z",
        "AlertId": "fa7a318954-6c4c-eaab-3200-08d8fd82af35",
        "Title": "CC_Sensitive information",
        "Category": "InitialAccess",
        "Severity": "Medium",
        "ServiceSource": "Microsoft Defender for Office 365",
        "DetectionSource": "Microsoft Defender for Office 365",
        "AttackTechniques": ""
    }
]}
출력 메시지

쿼리 실행 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Successfully executed query "QUERY" in Microsoft 365 Defender.

No data was found for the query "QUERY" in Microsoft 365 Defender."

 작업이 완료되었습니다.
Error executing action "Execute Query". Reason: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.
스크립트 결과

다음 표에는 쿼리 실행 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.

스크립트 결과 이름
is_success True 또는 False

Ping 작업을 사용하여 Microsoft 365 Defender와의 연결을 테스트합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

없음

작업 출력

Ping 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용할 수 없음
케이스 월 링크 사용할 수 없음
케이스 월 테이블 사용할 수 없음
보강 테이블 사용할 수 없음
JSON 결과 사용할 수 없음
출력 메시지 사용 가능
스크립트 결과 사용 가능
JSON 결과

다음 예는 Ping 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.

출력 메시지

Ping 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명
Successfully connected to the Microsoft 365 Defender server with the provided connection parameters! 작업이 완료되었습니다.
Failed to connect to the Microsoft 365 Defender server! Error is ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.
스크립트 결과

다음 표에는 Ping 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름
is_success True 또는 False

사고 업데이트

인시던트 업데이트 작업을 사용하여 Microsoft 365 Defender에서 인시던트를 업데이트합니다.

API 제한에 따라 Assign To 매개변수에 잘못된 사용자 이름 값을 설정해도 이 작업은 실패하지 않습니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

인시던트 업데이트 작업에는 다음 매개변수가 필요합니다.

매개변수 설명
Incident ID 필수

Microsoft 365 Defender에서 업데이트할 인시던트의 ID입니다.
Status 선택사항

Microsoft 365 Defender에서 인시던트에 설정할 상태입니다.

기본값은 Select One입니다.

가능한 값은 다음과 같습니다.

  • Select One
  • Active
  • Resolved
Classification 선택사항

Microsoft 365 Defender에서 인시던트에 설정할 분류입니다.

기본값은 Select One입니다.

가능한 값은 다음과 같습니다.

  • Select One
  • False Positive
  • True Positive
Determination 선택사항

Microsoft 365 Defender에서 인시던트에 설정할 결정입니다.

이 매개변수는 Classification 매개변수 값이 True Positive인 경우에만 적용됩니다.

기본값은 Select One입니다.

가능한 값은 다음과 같습니다.

  • Select One
  • Not Available
  • Apt
  • Malware
  • Security Personnel
  • Security Testing
  • Unwanted Software
  • Other
Assign To 선택사항

Microsoft 365 Defender에서 인시던트를 할당할 사용자입니다.

작업 출력

인시던트 업데이트 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용할 수 없음
케이스 월 링크 사용할 수 없음
케이스 월 테이블 사용할 수 없음
보강 테이블 사용할 수 없음
JSON 결과 사용할 수 없음
출력 메시지 사용 가능
스크립트 결과 사용 가능
출력 메시지

Update Incident 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명
Successfully updated incident INCIDENT_ID in Microsoft 365 Defender. 작업이 완료되었습니다.
Error executing action "Update Incident". Reason: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

커넥터

Google SecOps에서 커넥터를 구성하는 방법에 대한 자세한 내용은 데이터 수집(커넥터)을 참고하세요.

Microsoft 365 Defender - 인시던트 커넥터

Microsoft 365 Defender - 인시던트 커넥터를 사용하여 Microsoft 365 Defender에서 인시던트 및 관련 알림에 관한 정보를 가져옵니다.

동적 목록은 인시던트 이름과 함께 작동합니다.

커넥터 제한사항

Microsoft 365 Defender – 인시던트 커넥터는 엄격한 API 한도가 적용된 API 요청을 사용합니다. 커넥터를 안정화하려면 Max Incidents To Fetch 매개변수를 10로, Run Every 매개변수를 1 minute로 설정합니다. 경고를 가져오는 데 사용되는 Microsoft Graph API 엔드포인트는 분당 20개의 요청만 허용하므로 여전히 비율 제한에 도달할 수 있습니다.

속도 제한에 도달했을 때 데이터 손실을 방지하기 위해 커넥터는 현재 인시던트 처리를 중지하고 다른 인시던트를 처리하기 전에 90초 동안 기다립니다. 90초가 지나면 비율 제한이 최대값으로 돌아가고 커넥터가 이전 반복에서 제대로 처리되지 않은 인시던트를 다시 처리합니다.

커넥터 입력

Microsoft 365 Defender – Incidents Connector에는 다음 매개변수가 필요합니다.

리디렉션된 인시던트는 대부분의 경우 비어 있을 수 있습니다.

매개변수 설명
Product Field Name 필수

제품 이름이 저장된 필드의 이름입니다.

기본값은 event_type입니다.
Event Field Name 필수

이벤트 이름(하위 유형)을 결정하는 데 사용되는 필드 이름입니다.

기본값은 @odata.type입니다.
Login API Root 필수

Microsoft 365 Defender 인스턴스의 로그인 API 루트입니다.

기본값은 https://login.microsoftonline.com입니다.
Graph API Root 필수

Microsoft Graph 서비스의 API 루트입니다.

기본값은 https://graph.microsoft.com입니다.
API Root 필수

Microsoft 365 Defender 인스턴스의 API 루트입니다.

기본값은 https://api.security.microsoft.com입니다.
Tenant ID 필수

Microsoft Entra ID 계정의 Microsoft Entra ID (테넌트 ID) 값입니다.
Client ID 필수

Microsoft Entra ID 계정의 애플리케이션 (클라이언트) ID 값입니다.
Client Secret 필수

Microsoft Entra ID 애플리케이션의 클라이언트 보안 비밀번호 값입니다.
Verify SSL 선택사항

선택하면 통합에서 Microsoft 365 Defender 서버에 연결하는 데 사용되는 SSL 인증서가 유효한지 확인합니다.

기본적으로 선택되어 있습니다.
Lowest Severity To Fetch 선택사항

가져올 문제의 가장 낮은 심각도입니다.
Max Hours Backwards 선택사항

첫 번째 커넥터 반복 전에 인시던트를 가져올 시간(시간)입니다. 이 매개변수는 커넥터를 처음 사용 설정한 후의 초기 커넥터 반복 또는 만료된 커넥터 타임스탬프의 대체 값에 적용됩니다.

기본값은 1입니다.
Max Incidents To Fetch 선택사항

커넥터 반복마다 가져올 최대 인시던트 수입니다.

기본값은 10입니다.
Incident Status Filter 선택사항

수집할 인시던트 상태의 쉼표로 구분된 목록입니다.

기본값은 active, inProgress입니다.

가능한 값은 다음과 같습니다.

  • active
  • inProgress
  • resolved
  • redirected
Use whitelist as a blacklist 선택사항

선택하면 커넥터가 동적 목록을 차단 목록으로 사용합니다.

기본적으로 선택되지 않습니다.
Lowest Alert Severity To Fetch 선택사항

가져올 알림의 가장 낮은 심각도입니다.
Disable Alert Tracking 선택사항

사용 설정하면 커넥터가 알림 업데이트 추적을 중지합니다.

기본적으로 사용 중지됩니다.
Environment Field Name 선택사항

환경 이름이 포함된 필드의 이름입니다.
Environment Regex Pattern 선택사항

Environment Field Name 필드에 있는 값에서 실행할 정규 표현식 패턴입니다. 이 매개변수를 사용하면 정규 표현식 로직을 사용하여 환경 필드를 조작할 수 있습니다.

기본값 .*를 사용하여 필요한 원시 Environment Field Name 값을 가져옵니다.

정규 표현식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다.
PythonProcessTimeout 필수

현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도(초)입니다.

기본값은 180입니다.
Dynamic List Field 선택사항

동적 목록에서 필터링에 사용하는 값입니다.

가능한 값은 Incident NameAlert Name입니다.

기본값은 Incident Name입니다.
Alert Detection Source Filter 선택사항

수집할 알림 감지 소스의 쉼표로 구분된 목록입니다(예: antivirus, microsoftDefenderForEndpoint).
Alert Service Source Filter 선택사항

수집할 알림 서비스 소스의 쉼표로 구분된 목록입니다(예: antivirus, microsoftDefenderForEndpoint).
Disable Overflow 선택사항

선택하면 커넥터가 알림 생성 중에 Google SecOps 오버플로 메커니즘을 무시합니다.

기본적으로 사용 설정됩니다.
Proxy Server Address 선택사항

사용할 프록시 서버의 주소입니다.
Proxy Username 선택사항

인증할 프록시 사용자 이름입니다.
Proxy Password 선택사항

인증할 프록시 비밀번호입니다.

커넥터 규칙

  • 커넥터가 프록시를 지원합니다.
  • 커넥터는 동적 목록과 차단 목록을 지원합니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.