Esta página foi traduzida pela API Cloud Translation.

Microsoft 365 Defender

Este documento descreve como integrar o Microsoft 365 Defender ao Google Security Operations (Google SecOps).

Versão da integração: 19.0

Casos de uso

A integração do Microsoft 365 Defender com o Google SecOps pode ajudar você a resolver os seguintes casos de uso:

Resposta a incidentes automatizada:use os recursos do Google SecOps para isolar automaticamente o endpoint afetado e iniciar uma verificação de mais comprometimentos.
Investigação e correção de phishing:use os recursos do Google SecOps para extrair automaticamente informações relevantes, como remetente, assunto e anexos, e enriquecer esses dados com informações de inteligência contra ameaças.
Gerenciamento de vulnerabilidades:use os recursos do Google SecOps para automatizar a verificação de vulnerabilidades e os fluxos de trabalho de correção.
Relatórios e auditorias de compliance:use os recursos do Google SecOps para automatizar a coleta e a geração de relatórios de dados de segurança do Microsoft 365 Defender, simplificando as auditorias de compliance e demonstrando a adesão aos padrões de segurança.
Priorização e triagem de alertas:use os recursos do Google SecOps para analisar alertas do Microsoft 365 Defender e priorizá-los com base na gravidade e no impacto potencial.
Análise automatizada de malware:use os recursos do Google SecOps para enviar automaticamente a amostra de um malware detectado pelo Microsoft 365 Defender a um ambiente de sandbox para análise dinâmica.

Antes de começar

Antes de configurar a integração na plataforma Google SecOps, siga estas etapas:

Crie o aplicativo do Microsoft Entra.
Configure as permissões da API para seu app.
Crie uma chave secreta do cliente.

Criar o aplicativo do Microsoft Entra

Para criar o aplicativo do Microsoft Entra, siga estas etapas:

Faça login no portal do Azure como administrador de usuários ou de senhas.
Selecione Microsoft Entra ID.
Acesse Registros de apps > Novo registro.
Digite o nome do aplicativo.
Clique em Registrar.
Salve os valores de ID do aplicativo (cliente) e ID do diretório (locatário) para usar depois ao configurar os parâmetros de integração.

Configurar as permissões da API

Para configurar as permissões de API da integração, siga estas etapas:

No portal do Azure, acesse Gerenciar > Permissões de API > Adicionar uma permissão.
Na janela Solicitar permissões da API, selecione APIs que minha organização usa.
Selecione Microsoft Graph > Permissões do aplicativo.
Selecione as seguintes permissões:
- SecurityAlert.Read.All
- SecurityIncident.ReadWrite.All
Clique em Adicionar permissões
Na janela Solicitar permissões da API, selecione APIs que minha organização usa.
Selecione Microsoft Threat Protection > Permissões do aplicativo.
Selecione a seguinte permissão:
- ThreatHunting.Read.All
Clique em Adicionar permissões
Clique em Conceder consentimento de administrador para YOUR_ORGANIZATION_NAME.

Quando a caixa de diálogo Confirmação de concessão de consentimento de administrador aparecer, clique em Sim.

Criar uma chave secreta do cliente

Para criar uma chave secreta do cliente, siga estas etapas:

Navegue até Certificados e chaves secretas > Nova chave secreta do cliente.
Descreva uma chave secreta do cliente e defina o prazo de validade dela.
Clique em Adicionar.
Salve o valor da chave secreta do cliente (não o ID secreto) para usá-lo como o valor do parâmetro Client Secret ao configurar a integração.

O valor da chave secreta do cliente é mostrado apenas uma vez.

Integrar o Microsoft 365 Defender ao Google SecOps

A integração do Microsoft 365 Defender requer os seguintes parâmetros:

Parâmetro	Descrição
`Login API Root`	Obrigatório A raiz da API de login da instância do Microsoft 365 Defender. O valor padrão é `https://login.microsoftonline.com`.
`Graph API Root`	Obrigatório A raiz da API do serviço Microsoft Graph. O valor padrão é `https://graph.microsoft.com`.
`API Root`	Obrigatório A raiz da API da instância do Microsoft 365 Defender. O valor padrão é `https://api.security.microsoft.com`.
`Tenant ID`	Obrigatório O valor do Microsoft Entra ID (ID do locatário) da sua conta do Microsoft Entra ID.
`Client ID`	Obrigatório O valor do ID do aplicativo (cliente) da sua conta do Microsoft Entra ID.
`Client Secret`	Obrigatório O valor da chave secreta do cliente do aplicativo Microsoft Entra ID.
`Verify SSL`	Opcional Se selecionada, a integração verifica se o certificado SSL para conexão com o servidor do Microsoft 365 Defender é válido. Essa opção é selecionada por padrão.

Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.

Você pode fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.

Ações

Para mais informações sobre ações, consulte Responder a ações pendentes na sua mesa de trabalho e Realizar uma ação manual.

Adicionar comentário ao incidente

Use a ação Adicionar comentário ao incidente para adicionar um comentário a um incidente no Microsoft 365 Defender.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Adicionar comentário ao incidente exige os seguintes parâmetros:

Parâmetro	Descrição
`Incident ID`	Obrigatório O ID do incidente a que o comentário será adicionado.
`Comment`	Obrigatório O comentário a ser adicionado ao incidente.

Saídas de ação

A ação Adicionar comentário ao incidente fornece as seguintes saídas:

Tipo de saída da ação	Disponibilidade
Anexo do Painel de Casos	Indisponível
Link do Painel de Casos	Indisponível
Tabela do painel de casos	Indisponível
Tabela de enriquecimento	Indisponível
Resultado JSON	Indisponível
Mensagens de saída	Disponível
Resultado do script	Disponível

Mensagens de saída

A ação Adicionar comentário ao incidente pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Successfully added comment to incident INCIDENT_ID in Microsoft 365 Defender. A ação foi concluída.

Mensagem de resposta	Descrição da mensagem
`Successfully added comment to incident INCIDENT_ID in Microsoft 365 Defender.`	A ação foi concluída.
`Error executing action "Add Comment To Incident". Reason: ERROR_REASON`	A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Error executing action "Add Comment To Incident". Reason:
      ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Adicionar comentário ao incidente:

Nome do resultado do script	Valor
`is_success`	`True` ou `False`

Executar consulta personalizada

Use a ação Executar consulta personalizada para executar uma consulta de caça personalizada no Microsoft 365 Defender.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Executar consulta personalizada exige os seguintes parâmetros:

Parâmetro Descrição

Parâmetro	Descrição
`Query`	Obrigatório A consulta a ser executada no Microsoft 365 Defender para filtragem de resultados.
`Max Results To Return`	Opcional O número máximo de resultados a serem retornados da consulta. O valor padrão é "50".

Query

Obrigatório

A consulta a ser executada no Microsoft 365 Defender para filtragem de resultados.

Max Results To Return

Opcional

O número máximo de resultados a serem retornados da consulta.

O valor padrão é "50".

Saídas de ação

A ação Executar consulta personalizada fornece as seguintes saídas:

Tipo de saída da ação	Disponibilidade
Anexo do Painel de Casos	Indisponível
Link do Painel de Casos	Indisponível
Tabela do painel de casos	Indisponível
Tabela de enriquecimento	Indisponível
Resultado JSON	Disponível
Mensagens de saída	Disponível
Resultado do script	Disponível

Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Executar consulta personalizada:

{"Results": [
    {
        "Timestamp": "2021-04-12T07:25:00Z",
        "AlertId": "fa7a318954-6c4c-eaab-3200-08d8fd82af35",
        "Title": "CC_Sensitive information",
        "Category": "InitialAccess",
        "Severity": "Medium",
        "ServiceSource": "Microsoft Defender for Office 365",
        "DetectionSource": "Microsoft Defender for Office 365",
        "AttackTechniques": ""
    }
]}

Mensagens de saída

A ação Executar consulta personalizada pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Mensagem de resposta	Descrição da mensagem
`Successfully executed query "QUERY" in Microsoft 365 Defender.` `No data was found for the query "QUERY" in Microsoft 365 Defender.`	A ação foi concluída.
`Error executing action "Execute Custom Query". Reason: ERROR_REASON`	A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Successfully executed query "QUERY" in Microsoft 365 Defender.

No data was found for the query "QUERY" in Microsoft 365 Defender.

A ação foi concluída.

Error executing action "Execute Custom Query". Reason:
      ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Executar consulta personalizada:

Nome do resultado do script	Valor
`is_success`	`True` ou `False`

Executar consulta de entidade

Use a ação Executar consulta de entidade para executar uma consulta de caça com base em entidades no Microsoft 365 Defender.

Essa ação usa um filtro where baseado em entidades.

Essa ação é executada nas seguintes entidades do Google SecOps:

IP Address
Host
User
Hash
URL

Use a ação Executar consulta de entidade para extrair informações relacionadas a entidades, como os resultados de uma tabela, e filtre-os com base nas entidades.

Ao contrário da ação Executar consulta, que exige o uso de uma formatação específica, a ação Executar consulta de entidade não usa a entrada de consulta.

Ao usar a ação Executar consulta para recuperar os alertas relacionados a um endpoint, formate a cláusula | where da seguinte maneira:

AlertInfo | where DeviceName == "Host-1" or IPAddress == "192.0.2.1" | top 100
by Timestamp desc

Para recuperar os alertas relacionados a um endpoint, a ação Executar consulta de entidade exige que você configure os parâmetros Table, IP Entity Key, Hostname Entity Key e Cross Entity Operator da seguinte maneira:

Parâmetro	Valor de `AlertInfo`
`IP Entity Key`	`IPAddress`
`Hostname Entity Key`	`DeviceName`
`Cross Entity Operator`	`OR`

Para verificar quantos endpoints os hashes fornecidos afetam, a ação Executar consulta de entidade exige que você insira o valor SHA1 para o parâmetro File Hash Entity Key.

O Cross Entity Operator só afeta a consulta quando você configura vários valores para o parâmetro Entity Keys.

Entradas de ação

A ação Executar consulta de entidade exige os seguintes parâmetros:

Parâmetro	Descrição
`Table Names`	Obrigatório Uma lista separada por vírgulas de tabelas para consultar no Microsoft 365 Defender.
`Time Frame`	Opcional O período dos resultados da consulta. O valor padrão é `Last Hour`. Os valores possíveis são: `Last Hour` `Last 6 Hours` `Last 24 Hours` `Last Week` `Last Month` `Custom`
`Start Time`	Opcional O horário de início dos resultados da consulta. Se você definir o parâmetro `Time Frame` como `Custom`, esse parâmetro será obrigatório.
`End Time`	Opcional O horário de término dos resultados da consulta. Se você não definir um valor e definir o parâmetro `Time Frame` como `Custom`, a ação definirá esse parâmetro como o valor de tempo atual por padrão.
`Fields To Return`	Opcional Uma lista de campos separados por vírgulas a serem incluídos nos resultados.
`Sort Field`	Opcional O campo pelo qual os resultados serão classificados. O valor padrão é `Timestamp`.
`Sort Order`	Opcional A ordem para classificar os resultados (crescente ou decrescente). O valor padrão é `ASC`. Os valores possíveis são: `ASC` `DESC`
`Max Results To Return`	Opcional O número máximo de resultados a serem retornados. O valor padrão é `50`.
`IP Entity Key`	Opcional A chave a ser usada para filtrar pela entidade `IP Address`.
`Hostname Entity Key`	Opcional A chave a ser usada para filtrar pela entidade `Hostname`.
`File Hash Entity Key`	Opcional A chave a ser usada para filtrar pela entidade `File Hash`.
`User Entity Key`	Opcional A chave a ser usada para filtrar pela entidade `User`.
`URL Entity Key`	Opcional A chave a ser usada para filtrar pela entidade `URL`.
`Email Address Entity Key`	Opcional A chave a ser usada para filtrar pela entidade `Email Address`. A ação aceita a entidade `User` que corresponde à expressão regular de e-mail.
`Stop If Not Enough Entities`	Opcional Se selecionada, a ação será executada se todos os tipos de entidade especificados estiverem presentes. Essa opção é selecionada por padrão.
`Cross Entity Operator`	Obrigatório O operador lógico a ser usado entre diferentes tipos de entidade na consulta. O valor padrão é `OR`. Os valores possíveis são: `OR` `AND`

Saídas de ação

A ação Executar consulta de entidade fornece as seguintes saídas:

Tipo de saída da ação	Disponibilidade
Anexo do Painel de Casos	Indisponível
Link do Painel de Casos	Indisponível
Tabela do painel de casos	Indisponível
Tabela de enriquecimento	Indisponível
Resultado JSON	Disponível
Mensagens de saída	Disponível
Resultado do script	Disponível

Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Executar consulta de entidade:

 {
        "Timestamp": "2021-04-12T07:25:00Z",
        "AlertId": "fa7a318954-6c4c-eaab-3200-08d8fd82af35",
        "Title": "CC_Sensitive information",
        "Category": "InitialAccess",
        "Severity": "Medium",
        "ServiceSource": "Microsoft Defender for Office 365",
        "DetectionSource": "Microsoft Defender for Office 365",
        "AttackTechniques": ""
  }

Mensagens de saída

A ação Executar consulta de entidade pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Mensagem de resposta	Descrição da mensagem
`Successfully executed query "QUERY" in Microsoft 365 Defender.` `Action wasn't able to build the query, because not enough entity types were supplied for the specified "ENTITY_KEYS". Please disable the "Stop If Not Enough Entities" parameter or provide at least one entity for each specified ENTITY_KEY.` `No data was found for the query "QUERY" in Microsoft 365 Defender."`	A ação foi concluída.
`Error executing action "Execute Entity Query". Reason: ERROR_REASON`	A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Successfully executed query "QUERY" in Microsoft 365 Defender.

Action wasn't able to build the query, because not enough entity types were supplied for the specified "ENTITY_KEYS". Please disable the "Stop If Not Enough Entities" parameter or provide at least one entity for each specified ENTITY_KEY.

No data was found for the query "QUERY" in Microsoft 365 Defender."

A ação foi concluída.

Error executing action "Execute Entity Query". Reason:
      ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Executar consulta de entidade:

Nome do resultado do script	Valor
`is_success`	`True` ou `False`

Executar consulta

Use a ação Executar consulta para executar consultas de busca no Microsoft 365 Defender.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Executar consulta exige os seguintes parâmetros:

Parâmetro	Descrição
`Table Names`	Obrigatório Uma lista separada por vírgulas de nomes de tabelas para consultar no Microsoft 365 Defender.
`Query`	Opcional Uma consulta a ser executada. Use esse parâmetro para fornecer a cláusula `\| where`. O filtro de período, a limitação e a classificação são opcionais.
`Time Frame`	Opcional O período dos resultados da consulta. O valor padrão é `Last Hour`. Os valores possíveis são: `Last Hour` `Last 6 Hours` `Last 24 Hours` `Last Week` `Last Month` `Custom`
`Start Time`	Opcional O horário de início dos resultados da consulta no formato ISO 8601. Se você definir o parâmetro `Time Frame` como `Custom`, esse parâmetro será obrigatório.
`End Time`	Opcional O horário de término dos resultados da consulta no formato ISO 8601. Se você não definir um valor e definir o parâmetro `Time Frame` como `Custom`, a ação definirá esse parâmetro como o valor de tempo atual por padrão.
`Fields To Return`	Opcional Uma lista de campos separados por vírgulas a serem incluídos nos resultados.
`Sort Field`	Opcional O campo pelo qual os resultados serão classificados. O valor padrão é `Timestamp`.
`Sort Order`	Opcional A ordem para classificar os resultados (crescente ou decrescente). O valor padrão é `ASC`. Os valores possíveis são: `ASC` `DESC`
`Max Results To Return`	Opcional O número máximo de resultados a serem retornados. O valor padrão é `50`.

Saídas de ação

A ação Executar consulta fornece as seguintes saídas:

Tipo de saída da ação	Disponibilidade
Anexo do Painel de Casos	Indisponível
Link do Painel de Casos	Indisponível
Tabela do painel de casos	Indisponível
Tabela de enriquecimento	Indisponível
Resultado JSON	Disponível
Mensagens de saída	Disponível
Resultado do script	Disponível

Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Executar consulta:

{"Results": [
    {
        "Timestamp": "2021-04-12T07:25:00Z",
        "AlertId": "fa7a318954-6c4c-eaab-3200-08d8fd82af35",
        "Title": "CC_Sensitive information",
        "Category": "InitialAccess",
        "Severity": "Medium",
        "ServiceSource": "Microsoft Defender for Office 365",
        "DetectionSource": "Microsoft Defender for Office 365",
        "AttackTechniques": ""
    }
]}

Mensagens de saída

A ação Executar consulta pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Mensagem de resposta	Descrição da mensagem
`Successfully executed query "QUERY" in Microsoft 365 Defender.` `No data was found for the query "QUERY" in Microsoft 365 Defender."`	A ação foi concluída.
`Error executing action "Execute Query". Reason: ERROR_REASON`	A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Successfully executed query "QUERY" in Microsoft 365 Defender.

No data was found for the query "QUERY" in Microsoft 365 Defender."

A ação foi concluída.

Error executing action "Execute Query". Reason:
      ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Executar consulta:

Nome do resultado do script	Valor
`is_success`	`True` ou `False`

Ping

Use a ação Ping para testar a conectividade com o Microsoft 365 Defender.

A ação não é executada em entidades do Google SecOps.

Entradas de ação

Nenhuma.

Saídas de ação

A ação Ping fornece as seguintes saídas:

Tipo de saída da ação	Disponibilidade
Anexo do Painel de Casos	Indisponível
Link do Painel de Casos	Indisponível
Tabela do painel de casos	Indisponível
Tabela de enriquecimento	Indisponível
Resultado JSON	Indisponível
Mensagens de saída	Disponível
Resultado do script	Disponível

Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Ping:

Mensagens de saída

A ação Ping pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Successfully connected to the Microsoft 365 Defender server with the provided connection parameters! A ação foi concluída.

Mensagem de resposta	Descrição da mensagem
`Successfully connected to the Microsoft 365 Defender server with the provided connection parameters!`	A ação foi concluída.
`Failed to connect to the Microsoft 365 Defender server! Error is ERROR_REASON`	A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Failed to connect to the Microsoft 365 Defender server! Error is
      ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Ping:

Nome do resultado do script	Valor
`is_success`	`True` ou `False`

Atualizar incidente

Use a ação Atualizar incidente para atualizar incidentes no Microsoft 365 Defender.

Seguindo as limitações da API, essa ação não falha mesmo que você defina um valor de nome de usuário inválido para o parâmetro Assign To.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Atualizar incidente exige os seguintes parâmetros:

Parâmetro	Descrição
`Incident ID`	Obrigatório O ID do incidente a ser atualizado no Microsoft 365 Defender.
`Status`	Opcional O status a ser definido para o incidente no Microsoft 365 Defender. O valor padrão é `Select One`. Os valores possíveis são: `Select One` `Active` `Resolved`
`Classification`	Opcional A classificação a ser definida para o incidente no Microsoft 365 Defender. O valor padrão é `Select One`. Os valores possíveis são: `Select One` `False Positive` `True Positive`
`Determination`	Opcional A determinação a ser definida para o incidente no Microsoft 365 Defender. Esse parâmetro só se aplica se o valor do parâmetro `Classification` for `True Positive`. O valor padrão é `Select One`. Os valores possíveis são: `Select One` `Not Available` `Apt` `Malware` `Security Personnel` `Security Testing` `Unwanted Software` `Other`
`Assign To`	Opcional O usuário a quem o incidente será atribuído no Microsoft 365 Defender.

Saídas de ação

A ação Atualizar incidente fornece as seguintes saídas:

Tipo de saída da ação	Disponibilidade
Anexo do Painel de Casos	Indisponível
Link do Painel de Casos	Indisponível
Tabela do painel de casos	Indisponível
Tabela de enriquecimento	Indisponível
Resultado JSON	Indisponível
Mensagens de saída	Disponível
Resultado do script	Disponível

Mensagens de saída

A ação Atualizar incidente pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Successfully updated incident INCIDENT_ID in Microsoft 365 Defender. A ação foi concluída.

Mensagem de resposta	Descrição da mensagem
`Successfully updated incident INCIDENT_ID in Microsoft 365 Defender.`	A ação foi concluída.
`Error executing action "Update Incident". Reason: ERROR_REASON`	A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Error executing action "Update Incident". Reason:
      ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Conectores

Para instruções detalhadas sobre como configurar um conector no Google SecOps, consulte Ingerir seus dados (conectores).

Conector de incidentes do Microsoft 365 Defender

Use o conector de incidentes do Microsoft 365 Defender para extrair informações sobre incidentes e alertas relacionados do Microsoft 365 Defender.

A lista dinâmica funciona com um nome de incidente.

Limitações do conector

O conector de incidentes do Microsoft 365 Defender usa as solicitações de API com limites estritos. Para estabilizar o conector, defina o parâmetro Max Incidents To Fetch como 10 e o parâmetro Run Every como 1 minute. Você ainda pode atingir o limite de taxa porque o endpoint de API do Microsoft Graph usado para buscar alertas permite apenas 20 solicitações por minuto.

Para evitar a perda de dados ao atingir o limite de taxa, o conector interrompe o processamento do incidente atual e aguarda 90 segundos antes de processar qualquer outro incidente. Em 90 segundos, o limite de taxa retorna ao valor máximo, e o conector reprocessa o incidente que não foi processado corretamente na iteração anterior.

Entradas do conector

O conector de incidentes do Microsoft 365 Defender exige os seguintes parâmetros:

Na maioria dos casos, os incidentes redirecionados podem estar vazios.

Parâmetro	Descrição
`Product Field Name`	Obrigatório O nome do campo em que o nome do produto é armazenado. O valor padrão é `event_type`.
`Event Field Name`	Obrigatório O nome do campo usado para determinar o nome do evento (subtipo). O valor padrão é `@odata.type`.
`Login API Root`	Obrigatório A raiz da API de login da instância do Microsoft 365 Defender. O valor padrão é `https://login.microsoftonline.com`.
`Graph API Root`	Obrigatório A raiz da API do serviço Microsoft Graph. O valor padrão é `https://graph.microsoft.com`.
`API Root`	Obrigatório A raiz da API da instância do Microsoft 365 Defender. O valor padrão é `https://api.security.microsoft.com`.
`Tenant ID`	Obrigatório O valor do Microsoft Entra ID (ID do locatário) da sua conta do Microsoft Entra ID.
`Client ID`	Obrigatório O valor do ID do aplicativo (cliente) da sua conta do Microsoft Entra ID.
`Client Secret`	Obrigatório O valor da chave secreta do cliente do aplicativo Microsoft Entra ID.
`Verify SSL`	Opcional Se selecionada, a integração verifica se o certificado SSL para conexão com o servidor do Microsoft 365 Defender é válido. Essa opção é selecionada por padrão.
`Lowest Severity To Fetch`	Opcional A gravidade mais baixa dos incidentes a serem buscados.
`Max Hours Backwards`	Opcional O número de horas antes da primeira iteração do conector para recuperar incidentes. Esse parâmetro se aplica à iteração inicial do conector depois que você o ativa pela primeira vez ou ao valor de substituição de um carimbo de data/hora expirado do conector. O valor padrão é `1`.
`Max Incidents To Fetch`	Opcional O número máximo de incidentes a serem buscados em cada iteração do conector. O valor padrão é `10`.
`Incident Status Filter`	Opcional Uma lista separada por vírgulas de status de incidentes a serem ingeridos. O valor padrão é `active, inProgress`. Os valores possíveis são: `active` `inProgress` `resolved` `redirected`
`Use whitelist as a blacklist`	Opcional Se selecionado, o conector usa a lista dinâmica como uma lista de bloqueio. Não selecionada por padrão.
`Lowest Alert Severity To Fetch`	Opcional A menor gravidade dos alertas a serem buscados.
`Disable Alert Tracking`	Opcional Se ativado, o conector para de rastrear atualizações de alertas. Essa configuração está desativada por padrão.
`Environment Field Name`	Opcional O nome do campo que contém o nome do ambiente.
`Environment Regex Pattern`	Opcional Um padrão de expressão regular a ser executado no valor encontrado no campo `Environment Field Name`. Com esse parâmetro, é possível manipular o campo "environment" usando a lógica de expressão regular. Use o valor padrão `.*` para extrair o valor `Environment Field Name` bruto necessário. Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão.
`PythonProcessTimeout`	Obrigatório O limite de tempo em segundos para o processo do Python que executa o script atual. O valor padrão é `180`.
`Dynamic List Field`	Opcional O valor que a lista dinâmica usa para filtragem. Os valores possíveis são `Incident Name` e `Alert Name`. O valor padrão é `Incident Name`.
`Alert Detection Source Filter`	Opcional Uma lista separada por vírgulas de fontes de detecção de alertas a serem ingeridas, como `antivirus, microsoftDefenderForEndpoint`.
`Alert Service Source Filter`	Opcional Uma lista separada por vírgulas de fontes de serviço de alerta para ingestão, como `antivirus, microsoftDefenderForEndpoint`.
`Disable Overflow`	Opcional Se selecionado, o conector ignora o mecanismo de estouro do Google SecOps durante a criação de alertas. Ativado por padrão.
`Proxy Server Address`	Opcional O endereço do servidor proxy a ser usado.
`Proxy Username`	Opcional O nome de usuário do proxy para autenticação.
`Proxy Password`	Opcional A senha do proxy para autenticação.

Regras do conector

O conector é compatível com proxies.
O conector é compatível com listas dinâmicas e de bloqueio.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.