Microsoft 365 Defender

Este documento descreve como integrar o Microsoft 365 Defender com o Google Security Operations (Google SecOps).

Versão da integração: 19.0

Exemplos de utilização

A integração do Microsoft 365 Defender com o Google SecOps pode ajudar a resolver os seguintes exemplos de utilização:

• Resposta a incidentes automatizada: use as capacidades do Google SecOps para isolar automaticamente o ponto final afetado e iniciar uma análise para deteção de mais comprometimentos.

• Investigação e remediação de phishing: use as capacidades do Google SecOps para extrair automaticamente informações relevantes, como o remetente, o assunto e os anexos, e enriquecê-las com dados de informações sobre ameaças.

• Gestão de vulnerabilidades: use as capacidades do Google SecOps para automatizar a análise de vulnerabilidades e os fluxos de trabalho de remediação.

• Relatórios e auditorias de conformidade: use as capacidades do Google SecOps para automatizar a recolha e a criação de relatórios de dados de segurança do Microsoft 365 Defender, simplificando as auditorias de conformidade e demonstrando a adesão às normas de segurança.

• Prioritização e triagem de alertas: use as capacidades do Google SecOps para analisar alertas do Microsoft 365 Defender e priorizá-los com base na gravidade e no potencial impacto.

• Análise automatizada de software malicioso: use as capacidades do Google SecOps para enviar automaticamente a amostra de um software malicioso que o Microsoft 365 Defender detetou para um ambiente de sandbox para análise dinâmica.

Antes de começar

Antes de configurar a integração na plataforma Google SecOps, conclua os seguintes passos:

1. Crie a aplicação Microsoft Entra.

2. Configure as autorizações da API para a sua app.

3. Crie um segredo do cliente.

Crie a aplicação Microsoft Entra

Para criar a aplicação Microsoft Entra, conclua os seguintes passos:

1. Inicie sessão no portal do Azure como administrador de utilizadores ou administrador de palavras-passe.

2. Selecione Microsoft Entra ID.

3. Aceda a Registos de apps > Novo registo.

4. Introduza o nome da aplicação.

5. Clique em Registar.

6. Guarde os valores do ID da aplicação (cliente) e do ID do diretório (inquilino) para os usar mais tarde quando configurar os parâmetros de integração.

Configure as autorizações da API

Para configurar as autorizações da API para a integração, conclua os seguintes passos:

1. No portal do Azure, aceda a Gerir > Autorizações de API > Adicionar uma autorização.

2. Na janela Pedir autorizações da API, selecione APIs que a minha organização usa.

3. Selecione Microsoft Graph > Autorizações da aplicação.

4. Selecione as seguintes autorizações:

   • SecurityAlert.Read.All
   • SecurityIncident.ReadWrite.All

5. Clique em Adicionar autorizações.

6. Na janela Pedir autorizações da API, selecione APIs que a minha organização usa.

7. Selecione Microsoft Threat Protection > Autorizações de aplicações.

8. Selecione a seguinte autorização:

   • ThreatHunting.Read.All

9. Clique em Adicionar autorizações.

10. Clique em Conceder consentimento de administrador para YOUR_ORGANIZATION_NAME.

    Quando for apresentada a caixa de diálogo Confirmação de concessão de consentimento do administrador, clique em Sim.

Crie um segredo do cliente

Para criar um segredo do cliente, conclua os seguintes passos:

1. Navegue para Certificados e segredos > Novo segredo do cliente.

2. Forneça uma descrição para um segredo do cliente e defina o respetivo prazo de validade.

3. Clique em Adicionar.

4. Guarde o valor do segredo do cliente (não o ID do segredo) para o usar como o valor do parâmetro Client Secret ao configurar a integração.

   O valor do segredo do cliente só é apresentado uma vez.

Integre o Microsoft 365 Defender com o Google SecOps

A integração do Microsoft 365 Defender requer os seguintes parâmetros:

Para ver instruções sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.

Se necessário, pode fazer alterações numa fase posterior. Depois de configurar uma instância de integração, pode usá-la em manuais de soluções. Para mais informações sobre a configuração e o suporte de várias instâncias, consulte o artigo Suporte de várias instâncias.

Ações

Para mais informações sobre ações, consulte os artigos Responda a ações pendentes a partir do seu espaço de trabalho e Execute uma ação manual.

Adicionar comentário ao incidente

Use a ação Adicionar comentário ao incidente para adicionar um comentário a um incidente no Microsoft 365 Defender.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

A ação Add Comment To Incident requer os seguintes parâmetros:

Resultados da ação

A ação Adicionar comentário ao incidente fornece as seguintes saídas:

Mensagens de saída

A ação Adicionar comentário ao incidente pode devolver as seguintes mensagens de saída:

Resultado do script

A tabela seguinte lista o valor do resultado do script quando usa a ação Add Comment To Incident:

Executar consulta personalizada

Use a ação Executar consulta personalizada para executar uma consulta de deteção personalizada no Microsoft 365 Defender.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

A ação Execute Custom Query requer os seguintes parâmetros:

Resultados da ação

A ação Executar consulta personalizada fornece os seguintes resultados:

Resultado JSON

O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Execute Custom Query:

{"Results": [
    {
        "Timestamp": "2021-04-12T07:25:00Z",
        "AlertId": "fa7a318954-6c4c-eaab-3200-08d8fd82af35",
        "Title": "CC_Sensitive information",
        "Category": "InitialAccess",
        "Severity": "Medium",
        "ServiceSource": "Microsoft Defender for Office 365",
        "DetectionSource": "Microsoft Defender for Office 365",
        "AttackTechniques": ""
    }
]}

Mensagens de saída

A ação Execute Custom Query pode devolver as seguintes mensagens de saída:

Resultado do script

A tabela seguinte lista o valor da saída do resultado do script quando usa a ação Execute Custom Query:

Execute uma consulta de entidade

Use a ação Execute Entity Query para executar uma consulta de deteção baseada em entidades no Microsoft 365 Defender.

Esta ação usa um filtro where baseado em entidades.

Esta ação é executada nas seguintes entidades do Google SecOps:

• IP Address
• Host
• User
• Hash
• URL

Pode usar a ação Execute Entity Query para obter informações relacionadas com entidades, como obter os resultados de uma tabela e filtrar os resultados com base nas entidades.

Ao contrário da ação Execute Query, que requer a utilização de uma formatação específica, a ação Execute Entity Query não usa a entrada de consulta.

Quando usar a ação Execute Query para obter os alertas relacionados com um ponto final, formate a cláusula | where da seguinte forma:

AlertInfo | where DeviceName == "Host-1" or IPAddress == "192.0.2.1" | top 100
by Timestamp desc

Para obter os alertas relacionados com um ponto final, a ação Execute Entity Query requer que configure os parâmetros Table, IP Entity Key, Hostname Entity Key e Cross Entity Operator da seguinte forma:

Para verificar quantos pontos finais os hashes fornecidos afetam, a ação Execute Entity Query requer que introduza o valor SHA1 para o parâmetro File Hash Entity Key.

O Cross Entity Operator só afeta a consulta quando configura vários valores para o parâmetro Entity Keys.

Dados de ações

A ação Execute Entity Query requer os seguintes parâmetros:

Resultados da ação

A ação Execute Entity Query fornece os seguintes resultados:

Resultado JSON

O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Execute Entity Query:

 {
        "Timestamp": "2021-04-12T07:25:00Z",
        "AlertId": "fa7a318954-6c4c-eaab-3200-08d8fd82af35",
        "Title": "CC_Sensitive information",
        "Category": "InitialAccess",
        "Severity": "Medium",
        "ServiceSource": "Microsoft Defender for Office 365",
        "DetectionSource": "Microsoft Defender for Office 365",
        "AttackTechniques": ""
  }

Mensagens de saída

A ação Execute Entity Query pode devolver as seguintes mensagens de saída:

Resultado do script

A tabela seguinte lista o valor do resultado do script quando usa a ação Execute Entity Query:

Executar consulta

Use a ação Execute Query para executar consultas de deteção no Microsoft 365 Defender.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

A ação Execute Query requer os seguintes parâmetros:

Resultados da ação

A ação Executar consulta fornece os seguintes resultados:

Resultado JSON

O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Execute Query:

{"Results": [
    {
        "Timestamp": "2021-04-12T07:25:00Z",
        "AlertId": "fa7a318954-6c4c-eaab-3200-08d8fd82af35",
        "Title": "CC_Sensitive information",
        "Category": "InitialAccess",
        "Severity": "Medium",
        "ServiceSource": "Microsoft Defender for Office 365",
        "DetectionSource": "Microsoft Defender for Office 365",
        "AttackTechniques": ""
    }
]}

Mensagens de saída

A ação Executar consulta pode devolver as seguintes mensagens de saída:

Resultado do script

A tabela seguinte lista o valor da saída do resultado do script quando usa a ação Execute Query:

Tchim-tchim

Use a ação Ping para testar a conetividade ao Microsoft 365 Defender.

A ação não é executada em entidades do Google SecOps.

Dados de ações

Nenhum.

Resultados da ação

A ação Ping fornece os seguintes resultados:

Resultado JSON

O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Ping:

Mensagens de saída

A ação Ping pode devolver as seguintes mensagens de saída:

Resultado do script

A tabela seguinte lista o valor do resultado do script quando usa a ação Ping:

Atualizar incidente

Use a ação Atualizar incidente para atualizar incidentes no Microsoft 365 Defender.

Seguindo as limitações da API, esta ação não falha, mesmo que defina um valor de nome de utilizador inválido para o parâmetro Assign To.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

A ação Atualizar incidente requer os seguintes parâmetros:

Resultados da ação

A ação Atualizar incidente fornece os seguintes resultados:

Mensagens de saída

A ação Atualizar incidente pode devolver as seguintes mensagens de saída:

Conetores

Para ver instruções detalhadas sobre como configurar um conector no Google SecOps, consulte o artigo Carregue os seus dados (conectores).

Microsoft 365 Defender – Conetor de incidentes

Use o Microsoft 365 Defender – Conetor de incidentes para extrair informações sobre incidentes e os respetivos alertas relacionados do Microsoft 365 Defender.

A lista dinâmica funciona com um nome de incidente.

Limitações do conector

O Microsoft 365 Defender – Incidents Connector usa os pedidos de API com limites de API rigorosos. Para estabilizar o conetor, defina o parâmetro Max Incidents To Fetch como 10 e o parâmetro Run Every como 1 minute. Ainda pode atingir o limite de taxa porque o ponto final da API Microsoft Graph usado para obter alertas só permite 20 pedidos por minuto.

Para evitar a perda de dados quando atinge o limite de taxa, o conector para de processar o incidente atual e aguarda 90 segundos antes de processar qualquer outro incidente. Em 90 segundos, o limite de taxa regressa ao valor máximo e o conetor volta a processar o incidente que não foi processado corretamente na iteração anterior.

Entradas do conetor

O Microsoft 365 Defender – Incidents Connector requer os seguintes parâmetros:

Na maioria dos casos, os incidentes redirecionados podem estar vazios.

Regras de conector

• O conetor suporta proxies.
• O conetor suporta as listas dinâmicas e as listas de bloqueio.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.