Microsoft Azure Sentinel
Integrationsversion: 44.0
In dieser Integration werden eine oder mehrere Open-Source-Komponenten verwendet. Sie können eine gezippte Kopie des vollständigen Quellcodes dieser Integration aus dem Cloud Storage-Bucket herunterladen.
Anwendungsfälle
- Überwachen und prüfen Sie Warnungen, die in Sentinel auf Grundlage von Ereignissen erstellt wurden, die sowohl von lokalen Hosts als auch von cloudbasierten Microsoft-Diensten wie Microsoft 365 und Microsoft 365 Cloud App Security stammen.
- Verwenden Sie Daten, die in Sentinel erfasst und korreliert wurden, um einen bestimmten Vorfall zu untersuchen. Analysten können die in Sentinel erfassten und gespeicherten Daten für Untersuchungen verwenden, z. B. um bestimmte Informationen zu analysieren (z. B. Alertdaten oder Syslog-Logs) oder um Aktivitäten in einem bestimmten Zeitraum oder von bestimmten Hosts abzufragen.
Vorbereitung
Sie benötigen eine Autorisierung in Microsoft Entra ID, um sie zu konfigurieren, bevor Sie Anfragen an die Microsoft Security Insights API senden können. Sie müssen Berechtigungen konfigurieren:
- Erstellen Sie die Microsoft Entra-App.
- Erstellen Sie einen Clientschlüssel.
- Gewähren Sie der registrierten Microsoft Entra-App Zugriff auf den Microsoft Sentinel-Arbeitsbereich.
- Verwenden Sie die Microsoft Entra-Anwendung, um ein Zugriffstoken abzurufen.
Microsoft Entra-App erstellen
Melden Sie sich im Azure-Portal als Nutzeradministrator oder Passwortadministrator an.
Wählen Sie Microsoft Entra ID aus.
Rufen Sie App-Registrierungen > Neue Registrierung auf.
Geben Sie den Namen der App ein.
Wählen Sie den entsprechenden Unterstützten Kontotyp aus.
Klicken Sie auf Registrieren.
Speichern Sie die Werte für Anwendungs-ID (Client) und Verzeichnis-ID (Mandant), um sie später bei der Konfiguration der Integrationsparameter zu verwenden.
Clientschlüssel erstellen
Rufen Sie Zertifikate und Secrets > Neuer Clientschlüssel auf.
Geben Sie eine Beschreibung für einen Clientschlüssel an und legen Sie das Ablaufdatum fest.
Klicken Sie auf Hinzufügen.
Speichern Sie den Wert des Clientschlüssels (nicht die geheime ID), um ihn als Parameterwert für
Client Secretbei der Konfiguration der Integration zu verwenden. Der Wert des Clientgeheimnisses wird nur einmal angezeigt.
Registrierten Microsoft Entra-Identitäten Zugriff auf den Microsoft Sentinel-Arbeitsbereich gewähren
Rufen Sie die Microsoft Sentinel-Übersichtsseite auf.
Klicken Sie auf Einstellungen.
Klicken Sie auf Zugriffssteuerung (IAM).
Klicken Sie im Abschnitt Rollenzuweisung hinzufügen auf Hinzufügen.
Konfigurieren Sie die folgenden Parameter:
Rolle =
Azure Sentinel Contributor.Zugriff zuweisen an =
default, Microsoft Entra ID user group, or service principal.
Geben Sie im Bereich Auswählen eine Suchbedingung ein, um Ihre App zu finden, und fügen Sie eine Rollenzuweisung für Ihre App hinzu.
Rufen Sie die Seite „Microsoft Sentinel-Arbeitsbereiche“ auf. Suchen und konfigurieren Sie die folgenden Parameter:
Azure Resource GroupAzure Sentinel Workspace Name
Microsoft Azure Sentinel in Google SecOps SOAR einbinden
Eine ausführliche Anleitung zum Konfigurieren einer Integration in Google Security Operations finden Sie unter Integrationen konfigurieren.
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Instanzname | String | – | Nein | Name der Instanz, für die Sie die Integration konfigurieren möchten. |
| Beschreibung | String | – | Nein | Beschreibung der Instanz. |
| ID des Azure-Abos | String | – | Ja | Die Microsoft Azure-Abo-ID finden Sie im Azure-Portal unter „Abos“ > „[Ihr Abo]“ > „Abo-ID“. |
| Azure Active Directory-ID | String | – | Ja | Die Microsoft Entra-Mandanten-ID finden Sie unter „Microsoft Entra“ > „App Registration“ > „<Application you configured for your integration> Directory (tenant) ID“. |
| API-Stamm | String | https://management.azure.com | Ja | Management.azure.com-API-Stamm-URL, die für die Integration verwendet werden soll. |
| Azure-Ressourcengruppe | String | – | Ja | Name der Azure-Ressourcengruppe, in der sich Microsoft Sentinel befindet. |
| Name des Azure Sentinel-Arbeitsbereichs | String | – | Ja | Name des Microsoft Sentinel-Arbeitsbereichs, mit dem gearbeitet werden soll. Kann im Azure-Portal > Microsoft Sentinel > Microsoft Sentinel-Arbeitsbereiche aufgerufen werden. |
| Client-ID | String | – | Ja | Client-ID (Anwendungs-ID), die für die App-Registrierung in Microsoft Entra für diese Integration hinzugefügt wurde. |
| Clientschlüssel | Passwort | – | Ja | Ein Secret, das für die Azure Sentinel-App-Registrierung eingegeben wurde. |
| Remote ausführen | Kästchen | Deaktiviert | Nein | Aktivieren Sie das Feld, um die konfigurierte Integration remote auszuführen. Nachdem Sie das Kästchen angekreuzt haben, wird die Option zum Auswählen des Remote-Nutzers (Kundenservicemitarbeiters) angezeigt. |
Aktionen
Ping
Testen Sie die Verbindung zum Microsoft Sentinel-Arbeitsbereich mit den Parametern, die auf der Seite zur Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.
Anwendungsfälle
Die Aktion wird verwendet, um die Verbindung auf der Seite mit der Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ zu testen. Sie kann als manuelle Aktion ausgeführt werden, die nicht in Playbooks verwendet wird.
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabenachricht* | Bei Erfolg: „Successfully connected to the Microsoft Sentinel Workspace with the provided connection parameters!“ (Erfolgreich mit dem Microsoft Sentinel-Arbeitsbereich mit den angegebenen Verbindungsparametern verbunden). Wenn das nicht funktioniert, geben Sie „Failed to connect to the Microsoft Sentinel Workspace!“ aus. Fehler: {0}".format(exception.stacktrace). |
Allgemein |
Vorfälle auflisten
Listet Microsoft Sentinel-Vorfälle basierend auf den angegebenen Suchkriterien auf.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Zeitraum | Ganzzahl | 3 | Nein | Geben Sie einen Zeitraum in Stunden an, für den Vorfälle abgerufen werden sollen. |
| Status | String | Neu, Aktiv, Geschlossen | Nein | Geben Sie die Status der Vorfälle an, nach denen gesucht werden soll. Der Parameter akzeptiert mehrere Werte als durch Kommas getrennten String. |
| Schweregrad | String | Informationell, Niedrig, Mittel, Hoch | Nein | Geben Sie die Schweregrade der Vorfälle an, nach denen gesucht werden soll. Der Parameter akzeptiert mehrere Werte als durch Kommas getrennten String. |
| Anzahl der abzurufenden Vorfälle | Ganzzahl | 200 | Nein | Anzahl der abzurufenden Vorfälle. Standardmäßig werden die letzten 200 Vorfälle zurückgegeben. |
Anwendungsfälle
Mit der Aktion können Microsoft Sentinel-Vorfälle aus dem Google SecOps-Playbook aufgelistet werden.
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"value": [
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases/323032be-5b0d-4661-944f-ff9557597e50",
"name": "323032be-5b0d-4661-944f-ff9557597e50",
"etag": "\"2100e65a-0000-0d00-0000-5de3b1bf0000\"",
"type": "Microsoft.SecurityInsights/Cases",
"properties": {
"title": "Suspicious process injection observed",
"description": "A process abnormally injected code into another process, As a result, unexpected code may be running in the target process memory. Injection is often used to hide malicious code execution within a trusted process. \nAs a result, the target process may exhibit abnormal behaviors such as opening a listening port or connecting to a command and control server.",
"severity": "Medium",
"status": "New",
"labels": ["add_tag"],
"endTimeUtc": "2019-11-29T03:42:05Z",
"startTimeUtc": "2019-11-29T03:42:05Z",
"owner": {
"objectId": null
},
"lastUpdatedTimeUtc": "2019-12-01T12:27:43Z",
"createdTimeUtc": "2019-11-29T07:13:32.0266519Z",
"relatedAlertIds": ["2462474c-b6d9-6937-17ee-c2a62671c2f8"],
"relatedAlertProductNames": ["Microsoft Defender Advanced Threat Protection"],
"caseNumber": 2276,
"totalComments": 0,
"metrics": {
"SecurityAlert": 1
},
"firstAlertTimeGenerated": "2019-11-29T07:13:31.961602Z",
"lastAlertTimeGenerated": "2019-11-29T07:13:31.961602Z"
}
},{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases/c7939be8-32fb-415c-9f7c-c13325d6c48b",
"name": "c7939be8-32fb-415c-9f7c-c13325d6c48b",
"etag": "\"1900f5e2-0000-0d00-0000-5de0c5110000\"",
"type": "Microsoft.SecurityInsights/Cases",
"properties": {
"title": "Suspicious Power Shell command line",
"description": "A suspicious PowerShell activity was observed on the machine. \nThis behavior may indicate that PowerShell was used during installation, exploration, or in some cases in lateral movement activities which are used by attackers to invoke modules, download external payloads, or get more information about the system. Attackers usually use PowerShell to bypass security protection mechanisms by executing their payload in memory without touching the disk and leaving any trace.\r\nOur algorithms found the behaviors of this process to be suspicious due to the following factors:\nSuspicious memory activity\nExecutes suspicious PowerShell commands",
"severity": "Medium",
"status": "New",
"labels": [],
"endTimeUtc": "2019-11-29T03:42:04.9552017Z",
"startTimeUtc": "2019-11-29T03:42:04.9552017Z",
"owner": {
"objectId": null
},
"lastUpdatedTimeUtc": "2019-11-29T07:13:21Z",
"createdTimeUtc": "2019-11-29T07:13:21.6858164Z",
"relatedAlertIds": [
"d053f17e-6153-d171-9f4d-82389442aa35"
],
"relatedAlertProductNames": [
"Microsoft Defender Advanced Threat Protection"
],
"caseNumber": 2275,
"totalComments": 0,
"metrics": {
"SecurityAlert": 1
},
"firstAlertTimeGenerated": "2019-11-29T07:13:21.5885314Z",
"lastAlertTimeGenerated": "2019-11-29T07:13:21.5885314Z"
}
}
],
"nextLink": "https://management.azure.com:443/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases?api-version=2019-01-01-preview&$skipToken=H4sIAAAAAAAEAE1VTVMiSxD8MR45LIstukbsIbvnqxmGcRgR2xsiFqA44soiHt5vf1nzfOwaQUg31fWRlVnVGfvo8p-Jf5jhavBejW1_jQvon5OfP0_G15ffT67H7rLX7fIQXQ4P64vB583efZqXUSo7zGaRvS4-inWzK9Z-V3ze3RSfxfko8ufFdfy7jIpu8Snd8vkXTnx9c9k78XF52T87O-2fJFdXlxCZfMUDItN-zflJ2m9o-EmRx13Efi52cvw9Fnf2LBmvkW0-aBJwK8kUSYPp0R88pm_m9s-5gg2uKx9y9PMMu1yuOqgNaklrOGPfBDtMAu4FfawNZpJ2EDXWChZYGCwl2iBt7EpQovKARD1k3pb6u_Vqt4ELdqy_nw7mhSQ7pN5e6RnGbQQ9PDUYSNpHEnAjaQzUtiM2x71HLoMNoXCVoMZMz4wHg6FkueaXCrZYBHiJWYG3tEuRVke8Dog69ccs9uJ2wNxaJJ55OsASmmDvBB3F7VaQoarQ0XzjyiKOe4gDluo0laO_HN752wa_5a6-Ow3x_R88BYU_yOt7b1B6PPyN-_Ps6fHv8_ez7vLv876R1fFs2fftaLqsFjgPUV9GNevPzqRc4D1EvyXvYGPYN2yHfv9_XnYBt7A77ddgh-fgSin6tM_mEh3sqcFaHrb4HqI7sStrGvcm-RafjTMy7GHl7d262WDR2B-Sl9g27pcMD3gI2TfGsYx_LqMF3kJUSdnjO2QyP-DdR5EMd1gaPB3zT0E_5Uz9PjXsc1TiNtieDDroBdr73AafXMg0tXUTL-Wxr_cdGfUYN5qITzEPvXu51fjOyjDFKkSPks6Ytw1S9e0oJE4ea4xDZsgje9bikdqdd-eS7zA49p_0Sxb-1KdP4nd4CW4pfoVNg0TmM-JD-0GNZXAHGXbw4l0jWY1n40T9rIx7krRXLrwbiZ_ixdAuW9A-Wio-pyZKJT_gYNyH5n0d0ldJOuxnJFLMGMd2xYWjvgbChG5XSWPcWP3Q316GW5SGOEe5fQxJLVXqbkzcl3pnfcjexP3R5w9KvfkgPw3GcLHyc6p-Jh5d1ZElXwUrXDX4IW6hI8SL7ek82JIHuDKq4xWyVrf6X_WZwXueaVc2eBe3Jf8hjufU41yiVOPYPa9UD3oeNvgU6sex7-JKeMN41OWQI-br_lTiKUaN6qqGb_W9UOndq95co_lu4APIx43ml4lVnmMjrsbIMB5lmhvOA94XBhOxrBfVs7gp-45X9RMFjj47o36t0zmVCGXrVVH4T5AxgmAILdDZVOfUTmTl8yM_CNLryj4aFzSfNGgczolf0FkQZ4orpcU4HIZWtVqJc_qSw3elcWDhUATOI-LP_DPBTOvjHDogC4j2joOWqei7rFGdMNv2HVxpiBftaB8RX1bIy2SF2qOnOHLOpWKd4hjEliyWzxolAeMRp0x5gIHmfa15JgbcC6nyICiuxOmpzXdOXPh-oPOSc5D2Y62F9U2UF8OAR84FjRfpPGU_K-0reVBVbqV822nfuU_4Tir2s5R4q3lM27447gX6rwxG4gqlJhQh8uWXuI32nfypHPMrxXW03y-ijPb8nXhfeRjtq9V-sq_s00RxoX2u8xzKD3fQep-Ur2xFrf1ivE_pLLJXk1SSpyga9bsD56KNW9nJN9UBeeR4pa2qFNdE9wd5ETOBmPyhXu7b-i-YpDYV1VL3j2_76cA7r3WQ13eKD_F0MXk58Lj6wtdXxD1S3nP_MQ-397E2vmr3o2e-xIlbhfEP2s_f4mbah1jrJL573a_EdSRc2eTDWnXoW35wL7X17rT-i5YXc8ut1Oqzrzrm3nRfOA0Vp6TlH3kvvrUbNHhWnCOv_c25l6lL8iXlnod6t1i1um9QtHwMzIP99OrHFvTrFBTV1rnyKt4zb8VJ9cX6klYPFR2pJJzydy12q3ik6geqa-ojbeeItbTnHnfUVfXzX2qVoX91CQAA"
}
Fall-Repository
| Ergebnistyp | Wert/ Beschreibung | Typ |
|---|---|---|
| Ausgabenachricht* | Bei Erfolg und wenn Daten abgerufen werden: „Successfully returned Microsoft Sentinel incidents“ (Microsoft Sentinel-Vorfälle wurden erfolgreich zurückgegeben). Wenn nichts gefunden wird, gib „Action was not able to find any incidents“ aus. if error: print "Failed to list Microsoft Sentinel incidents! Fehler: {0}".format(exception.stacktrace). |
Allgemein |
| Tabelle | Tabellentitel:Gefundene Microsoft Sentinel-Vorfälle: Spalten:incident_number, incident_id, title, description, severity, status, labels, assigned to, alert product names, created time, last updated time |
Allgemein |
| Anhänge | List_Incidents.json: Enthält technische JSON-Daten, die von der Aktion zurückgegeben werden. | Allgemein |
JSON Viewer |
JSON-Viewer für das Abfrageergebnis anzeigen | Allgemein |
Vorfallsdetails aktualisieren
Aktualisieren eines Microsoft Sentinel-Vorfalls
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Fallnummer des Vorfalls | Ganzzahl | – | Ja | Geben Sie die Azure Sentinel-Vorgangsnummer an, die aktualisiert werden soll. |
| Titel | String | – | Nein | Geben Sie einen neuen Titel für den Azure Sentinel-Vorfall an. |
| Schweregrad | DDL | Nicht aktualisiert (mögliche Werte: Nicht aktualisiert, Informativ, Niedrig, Mittel, Hoch) |
Nein | Geben Sie einen neuen Schweregrad für den Azure Sentinel-Vorfall an. |
| Beschreibung | String | – | Nein | Geben Sie eine neue Beschreibung für den Azure Sentinel-Vorfall an. |
| Zugewiesen an | String | – | Nein | Geben Sie den Nutzer an, dem der Vorfall zugewiesen werden soll. |
| Status | DDL | Nicht aktualisiert (mögliche Werte: Nicht aktualisiert, Neu, Aktiv, Geschlossen) | Nein | Geben Sie einen neuen Status für den Azure Sentinel-Vorfall an. |
| Grund für Schließen | DDL | Nicht aktualisiert (mögliche Werte: |
Nein | Wenn der Status des Vorfalls auf „Geschlossen“ gesetzt ist, geben Sie einen Grund für das Schließen des Vorfalls an. |
| Schlussbemerkung | String | – | Nein | Optionaler Schließungskommentar für den geschlossenen Azure Sentinel-Vorfall. |
| Anzahl der Wiederholungsversuche | Ganzzahl | 1 | Ja | Geben Sie die Anzahl der Wiederholungsversuche an, die für die Aktion ausgeführt werden sollen, wenn die Aktualisierung des Vorfalls fehlgeschlagen ist. |
| Wiederholungsintervall | Ganzzahl | 20 | Ja | Geben Sie den Zeitraum an, in dem die Aktion zwischen den Wiederholungsversuchen für Vorfallupdates warten soll. |
Anwendungsfälle
Mit der Aktion kann ein Microsoft Sentinel-Vorfall über das Google SecOps-Playbook aktualisiert werden. Sie kann als resultierende Aktion in einem Workflow verwendet werden, der die Analyse eines Microsoft Sentinel-Vorfalls umfasst. Sobald Vorfälle in Google SecOps verarbeitet wurden, können sie aktualisiert werden, um den Fortschritt der Analyse des Vorfalls anzugeben (z. B. „assignedTo“ festlegen, „Status“ auf „inProgress“ setzen usw.).
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
Für Anfrage 2 wird ein JSON-Ergebnis zurückgegeben, das die folgenden aktualisierten Vorfalldetails enthält:
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases/9e5c0afc-b7a6-4eac-8164-9242ad710a66",
"name": "9e5c0afc-b7a6-4eac-8164-9242ad710a66",
"etag": "\"12002b5c-0000-0d00-0000-5dde83730000\"",
"type": "Microsoft.SecurityInsights/Cases",
"properties": {
"title": "Activity from a Tor IP address",
"description": "A failed sign in was detected from a Tor IP addressThe Tor IP address 203.0.113.200 was used by Example User - Test User Spec (user@example.com).",
"severity": "Informational",
"status": "InProgress",
"assignedTo": "test@example.com",
"labels": [],
"closeReason": "Resolved",
"endTimeUtc": "2019-11-27T01:56:03.4651258Z",
"startTimeUtc": "2019-11-27T01:56:03.4651258Z",
"owner": {
"objectId": null,
"email": "test@example.com"
},
"lastUpdatedTimeUtc": "2019-11-27T14:08:51Z",
"createdTimeUtc": "2019-11-27T05:01:11.1139394Z",
"relatedAlertIds": [
"2a96343c-e551-4529-96f1-18d6f734470d"
],
"relatedAlertProductNames": [
"Azure Sentinel"
],
"caseNumber": 2274,
"totalComments": 0,
"metrics": {
"SecurityAlert": 1
},
"firstAlertTimeGenerated": "2019-11-27T05:01:10.2574659Z",
"lastAlertTimeGenerated": "2019-11-27T05:01:10.2574659Z"
}
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabenachricht* | Bei Erfolg: „Microsoft Sentinel-Vorfall {0} wurde aktualisiert.“ ausgeben.format(IncidentID). Wenn der Vorfall nicht anhand der angegebenen Vorfallnummer gefunden werden kann:Gib „Microsoft Sentinel-Vorfall mit der Fallnummer {0} wurde nicht gefunden!“ aus.format(incident_case_number). Bei Fehler:print "Failed to update Microsoft Sentinel incident! Fehler: {0}".format(exception.stacktrace). |
Allgemein |
Vorfall-Labels aktualisieren
Labels für einen bestimmten Microsoft Sentinel-Vorfall aktualisieren
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Fallnummer des Vorfalls | Ganzzahl | 2273 | Ja | Geben Sie die Azure Sentinel-Vorgangsnummer an, die mit neuen Labels aktualisiert werden soll. |
| Labels | String | Malware | Ja | Geben Sie neue Labels an, die an den Vorfall angehängt werden sollen. Der Parameter akzeptiert mehrere Werte als durch Kommas getrennten String. |
| Anzahl der Wiederholungsversuche | Ganzzahl | 1 | Ja | Geben Sie die Anzahl der Wiederholungsversuche an, die für die Aktion ausgeführt werden sollen, wenn die Aktualisierung des Vorfalls fehlgeschlagen ist. |
| Wiederholungsintervall | Ganzzahl | 20 | Ja | Geben Sie an, wie lange zwischen Wiederholungsversuchen für Vorfallupdates gewartet werden soll. |
Anwendungsfälle
Mit der Aktion können Microsoft Sentinel-Vorfallkennzeichnungen über das Google SecOps-Playbook aktualisiert werden. Nutzer können mit dieser Aktion bestimmten Vorfällen bestimmte Tags (Labels) zuweisen, falls erforderlich. Wenn beispielsweise bestimmte Hosts Teil dieses Vorfalls sind, sollte es ein bestimmtes Label geben.
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
Für Anfrage 2 wird ein JSON-Ergebnis zurückgegeben, das aktualisierte Vorfalldetails enthält:
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases/9e5c0afc-b7a6-4eac-8164-9242ad710a66",
"name": "9e5c0afc-b7a6-4eac-8164-9242ad710a66",
"etag": "\"12002b5c-0000-0d00-0000-5dde83730000\"",
"type": "Microsoft.SecurityInsights/Cases",
"properties": {
"title": "Activity from a Tor IP address",
"severity": "Informational",
"status": "InProgress",
"labels": [
"malware",
"trojan"
],
"endTimeUtc": "2019-11-27T01:56:03.4651258Z",
"startTimeUtc": "2019-11-27T01:56:03.4651258Z",
"owner": {
"objectId": null,
},
"lastUpdatedTimeUtc": "2019-11-27T14:08:51Z",
"createdTimeUtc": "2019-11-27T05:01:11.1139394Z",
"relatedAlertIds": [
"2a96343c-e551-4529-96f1-18d6f734470d"
],
"relatedAlertProductNames": [
"Azure Sentinel"
],
"caseNumber": 2274,
"totalComments": 0,
"metrics": {
"SecurityAlert": 1
},
"firstAlertTimeGenerated": "2019-11-27T05:01:10.2574659Z",
"lastAlertTimeGenerated": "2019-11-27T05:01:10.2574659Z"
}
}
Fall-Repository
| Ergebnistyp | Wert/ Beschreibung | Typ |
|---|---|---|
| Ausgabenachricht* | Bei Erfolg: „Microsoft Sentinel-Vorfall {0} wurde mit den folgenden Labels aktualisiert: {1}“.format(IncidentID, [labels_list]).
Wenn der Vorfall nicht anhand der angegebenen Fallnummer gefunden werden kann: „Microsoft Sentinel-Vorfall mit der Fallnummer {0} wurde nicht gefunden!“.format(incident_case_number). Wenn der Nutzer ein Label angegeben hat, das bereits im Vorfall vorhanden ist (isSuccess=False): „Die folgenden Labels wurden den Microsoft Sentinel-Labels für den Vorfall {0} nicht hinzugefügt, da sie bereits vorhanden sind: {1}“.format(IncidentID, [labels_list]) Fehler: „Failed to update Microsoft Sentinel incident labels! Fehler: {0}".format(exception.stacktrace). |
Allgemein |
Statistiken zu Vorfällen abrufen
Azure Sentinel-Vorfallstatistiken abrufen.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Zeitraum | Ganzzahl | 3 | Nein | Geben Sie den Zeitraum an, für den die Statistiken angezeigt werden sollen. |
Anwendungsfälle
Mit der Aktion können Google SecOps Playbook-Berichte für Microsoft Sentinel-Ereignisse angezeigt werden. Diese Aktion ist Teil des Playbooks, in dem ein Nutzer mit dem Microsoft Sentinel-Alarm interagiert, der z. B. erstellt wurde, als eine Warnung verarbeitet und entfernt wurde. Diese Aktion kann implementiert werden, um ein Ergebnis von Microsoft Sentinel-Vorfällen auf der Seite „Lessons Learned“ (Erkenntnisse) anzuzeigen.
Umgekehrt kann es die Schnittstellenmethode eines Nutzers sein, in Google SecOps zu bleiben, anstatt die Windows Sentinel App zu verwenden.
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Aggregations/Cases",
"name": "Cases",
"type": "Microsoft.SecurityInsights/Aggregations",
"kind": "CasesAggregation",
"properties": {
"aggregationBySeverity": {
"totalCriticalSeverity": 1,
"totalHighSeverity": 2,
"totalMediumSeverity": 554,
"totalLowSeverity": 1714,
"totalInformationalSeverity": 1
},
"aggregationByStatus": {
"totalNewStatus": 2268,
"totalInProgressStatus": 4,
"totalResolvedStatus": 1,
"totalDismissedStatus": 0,
"totalTruePositiveStatus": 2,
"totalFalsePositiveStatus": 1
}
}
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabenachricht* | Bei Erfolg und wenn Daten abgerufen werden: Gib „Successfully
returned Microsoft Sentinel incident statistics“ aus. Wenn Fehler: print "Fehler beim Abrufen von Microsoft Sentinel-Vorfallstatistiken! Fehler: {0}".format(exception.stacktrace). |
Allgemein |
| Tabelle 1 | Tabellentitel:Microsoft Sentinel-Vorfallstatistiken nach Schweregrad: Spalten: „Kritisch“ (wird „totalCriticalSeverity“ zugeordnet), „Hoch“ (wird „totalHighSeverity“ zugeordnet), „Mittel“ (wird „totalMediumSeverity“ zugeordnet), „Niedrig“ (wird „totalLowSeverity“ zugeordnet), „Informationen“ (wird „totalInformationalSeverity“ zugeordnet) |
Allgemein |
| Tabelle 2 | Tabellentitel:Microsoft Sentinel-Vorfallstatistiken nach Status: Spalten: „New“ (Neu) (totalNewStatus zugeordnet), „InProgress“ (In Bearbeitung) (totalInProgressStatus zugeordnet), „Resolved“ (Gelöst) (totalResolvedStatus zugeordnet), „Dismissed“ (Abgelehnt) (totalDismissedStatus zugeordnet), „TruePositive“ (Richtig positiv) (totalTruePositiveStatus zugeordnet) FalsePositive(zugeordnet zu totaFalsePositiveStatus) |
Allgemein |
JSON Viewer |
JSON-Viewer für das Abfrageergebnis anzeigen | Allgemein |
Regeln für Benachrichtigungen auflisten
Liste der geplanten Azure Sentinel-Regeln abrufen.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Schweregrad von Benachrichtigungsregeln | String | Informationell, Niedrig, Mittel, Hoch, Kritisch | Nein | Geben Sie die Schweregrade der Benachrichtigungsregeln an, nach denen gesucht werden soll. Der Parameter akzeptiert mehrere Werte als durch Kommas getrennten String. |
| Bestimmte Benachrichtigungsregeltypen abrufen | String | – | Nein | Geben Sie an, welche Benachrichtigungstypen zurückgegeben werden sollen. Der Parameter akzeptiert mehrere Werte als durch Kommas getrennten String. Wenn kein Wert angegeben ist, werden alle möglichen Benachrichtigungstypen zurückgegeben. |
| Taktiken für bestimmte Benachrichtigungsregeln abrufen | String | – | Nein | Geben Sie an, welche Aktion für die Taktik der Benachrichtigungsregel zurückgegeben werden soll. Der Parameter akzeptiert mehrere Werte als durch Kommas getrennten String. Wenn der Wert nicht angegeben ist, werden alle möglichen Benachrichtigungstypen zurückgegeben. |
| Nur aktivierte Benachrichtigungsregeln abrufen? | Kästchen | Deaktiviert | Nein | Geben Sie an, ob bei der Aktion nur aktivierte Benachrichtigungsregeln zurückgegeben werden sollen. |
| Maximale Anzahl zurückzugebender Regeln | Ganzzahl | – | Nein | Gibt an, wie viele geplante Benachrichtigungsregeln von der Aktion zurückgegeben werden sollen, z. B. 50. |
Anwendungsfälle
Mit der Aktion können Microsoft Sentinel-Benachrichtigungsregeln aus dem Google SecOps-Playbook aufgelistet werden. Sie können Benachrichtigungsregeln auflisten, um sicherzustellen, dass Sie für jede Art von Bedrohung und Anomalie, die in Ihrer Umgebung verdächtig ist, eine Benachrichtigungsregel erstellt haben. Wenn Sie feststellen, dass einige Situationen nicht richtig behandelt werden, können Sie eine vorhandene Benachrichtigungsregel sofort aktualisieren oder eine neue erstellen. Die Microsoft Sentinel-Benachrichtigungsregel sorgt dafür, dass Sie sofort benachrichtigt werden, damit Sie die Bedrohungen priorisieren, untersuchen und beheben können.
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"value": [
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/alertRules/4bdce24d-7837-4f02-9f7a-10824f376517",
"name": "4bdce24d-7837-4f02-9f7a-10824f376517",
"etag": "\"00002f05-0000-0d00-0000-5d9db9970000\"",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "MicrosoftSecurityIncidentCreation",
"properties": {
"productFilter": "Azure Active Directory Identity Protection",
"severitiesFilter": null,
"displayNamesFilter": null,
"displayName": "Create incidents based on Azure Active Directory Identity Protection alerts",
"enabled": true,
"description": "Create incidents based on all alerts generated in Azure Active Directory Identity Protection",
"tactics": null,
"alertRuleTemplateName": "532c1811-79ee-4d9f-8d4d-6304c840daa1",
"lastModifiedUtc": "2019-10-09T10:42:31.5264376Z"
}
},
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/alertRules/540f68c9-9397-49c7-8953-8efce08d6e62",
"name": "540f68c9-9397-49c7-8953-8efce08d6e62",
"etag": "\"00003105-0000-0d00-0000-5d9db9ad0000\"",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "MicrosoftSecurityIncidentCreation",
"properties": {
"productFilter": "Azure Security Center",
"severitiesFilter": null,
"displayNamesFilter": null,
"displayName": "Create incidents based on Azure Security Center alerts",
"enabled": true,
"description": "Create incidents based on all alerts generated in Azure Security Center",
"tactics": null,
"alertRuleTemplateName": "90586451-7ba8-4c1e-9904-7d1b7c3cc4d6",
"lastModifiedUtc": "2019-10-09T10:42:53.9014288Z"
}
}
]
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabenachricht* | Bei Erfolg: „Successfully listed Microsoft Sentinel alert rules configured“ (Die konfigurierten Microsoft Sentinel-Benachrichtigungsregeln wurden erfolgreich aufgelistet) ausgeben. Bei Fehler:print "Failed to list Microsoft Sentinel alert rules! Fehler: {0}".format(exception.stacktrace). |
Allgemein |
| Tabelle | Tabellentitel:Gefundene Microsoft Sentinel-Benachrichtigungsregeln: Spalten:AlertID (wird „name“ zugeordnet), Name (wird „displayName“ zugeordnet), Enabled, Description, Tactics, Last Modification Time (wird „lastModificationUtc“ zugeordnet) |
Allgemein |
| Anhänge | List_AlertRules.json: Enthält technische JSON-Daten, die von der Aktion zurückgegeben werden. | Allgemein |
JSON Viewer |
JSON-Viewer für das Abfrageergebnis anzeigen | Allgemein |
Details zur Benachrichtigungsregel abrufen
Details der geplanten Azure Sentinel-Benachrichtigungsregel abrufen.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| AlertRuleID | String | – | Ja | Geben Sie die ID der Benachrichtigungsregel an. |
Anwendungsfälle
Mit der Aktion können Sie Details zu Microsoft Sentinel-Benachrichtigungsregeln aus dem Google SecOps-Playbook abrufen. Wenn Sie beispielsweise feststellen, dass einige Benachrichtigungen häufiger werden und die meisten davon Falschmeldungen sind, oder wenn eine Benachrichtigungsregel zu viele Situationen abdeckt und Sie sie aufteilen möchten, um die Bedrohung leichter zu erkennen, können Sie diese Aktion verwenden, um die Konfiguration der Benachrichtigungsregel besser zu verstehen. Anhand der Ergebnisse der Benachrichtigungsregel können Sie entscheiden, ob Sie sie aktualisieren, löschen oder unverändert lassen möchten.
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/alertRules/8dce4dbd-0ba6-4c93-943a-8da49f7d0aa4",
"name": "8dce4dbd-0ba6-4c93-943a-8da49f7d0aa4",
"etag": "\"0200c767-0000-0d00-0000-5ddf3b160000\"",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "Scheduled",
"properties": {
"severity": "High",
"query": "SecurityEvent\r\n| where Activity startswith \"4625\"\r\n| summarize count() by IpAddress, Computer\r\n| where count_ >3\r\n| extend HostCustomEntity = Computer\r\n| extend IPCustomEntity = IpAddress",
"queryFrequency": "PT1H",
"queryPeriod": "P5D",
"triggerOperator": "GreaterThan",
"triggerThreshold": 0,
"suppressionDuration": "PT5H",
"suppressionEnabled": false,
"displayName": "Multiple failed login attempts from the same IP",
"enabled": false,
"description": "",
"tactics": [
"InitialAccess"
],
"alertRuleTemplateName": null,
"lastModifiedUtc": "2019-11-28T03:12:21.9276927Z"
}
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabenachricht* | Bei Erfolg und wenn Daten abgerufen werden: „Successfully returned Microsoft Sentinel alert rule {0} details“ (Details der Microsoft Sentinel-Benachrichtigungsregel {0} wurden erfolgreich zurückgegeben) ausgeben.format(AlertRuleID). Wenn die Benachrichtigungsregel mit der angegebenen AlertID nicht gefunden werden kann:print
"Microsoft Sentinel-Benachrichtigungsregel mit der ID "{0}" wurde nicht gefunden!".format(AlertRuleID).
Bei Fehler: „Failed to get details about Microsoft Sentinel alert rule!“ ausgeben. Fehler: {0}".format(exception.stacktrace). |
Allgemein |
| Tabelle | Tabellentitel:Microsoft Sentinel-Benachrichtigungsregeldetails: Spalten:AlertID (zugeordnet zu „name“), Name (zugeordnet zu „displayName“), Enabled, Description, Query, Frequency(zugeordnet zu „queryFrequency“), Period of Lookup data(zugeordnet zu „queryPeriod“), Trigger (zugeordnet als Kombination aus „triggerOperator“ und „triggerThreshold“), Tactics, Enable Suppression(zugeordnet als „suppressionEnabled“), Suppression Duration(zugeordnet als „suppressionDuration“), Last Modification Time (zugeordnet zu „lastModificationUtc“) |
Allgemein |
JSON Viewer |
JSON-Viewer für das Abfrageergebnis anzeigen | Allgemein |
Benachrichtigungsregel erstellen
Erstellen Sie eine geplante Benachrichtigungsregel in Azure Sentinel.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Benachrichtigungsregel aktivieren | DDL | – | Ja | Geben Sie an, ob Sie diese Benachrichtigungsregel deaktivieren oder aktivieren möchten. |
| Name | String | – | Ja | Geben Sie den Anzeigenamen der Benachrichtigungsregel an. |
| Schweregrad | DDL | – | Ja | Geben Sie den Schweregrad dieser Benachrichtigungsregel an. |
| Abfrage | String | – | Ja | Geben Sie die Abfrage für diese Benachrichtigungsregel an. |
| Häufigkeit | String | – | Ja | Geben Sie an, wie oft die Abfrage ausgeführt werden soll. Verwenden Sie dazu das folgende Format: PT + Zahl + (M, H, D). Dabei gilt: M – Minuten, H – Stunden, D – Tage. Das Minimum beträgt 5 Minuten, das Maximum 14 Tage. |
| Zeitraum der Lookup-Daten | String | – | Ja | Geben Sie die Uhrzeit der letzten Lookup-Daten im folgenden Format an: P + Zahl + (M, H, D). Dabei gilt: M – Minuten, H – Stunden, D – Tage. Das Minimum beträgt 5 Minuten, das Maximum 14 Tage. |
| Trigger-Operator | DDL | – | Ja | Geben Sie den Triggeroperator für diese Benachrichtigungsregel an. |
| Auslöseschwellenwert | Ganzzahl | – | Ja | Geben Sie den Auslöseschwellenwert für diese Benachrichtigungsregel an. |
| Unterdrückung aktivieren | DDL | – | Ja | Geben Sie an, ob die Ausführung der Abfrage beendet werden soll, nachdem eine Benachrichtigung generiert wurde. |
| Dauer der Unterdrückung | String | – | Ja | Geben Sie an, wie lange die Ausführung der Abfrage nach dem Generieren einer Benachrichtigung gestoppt werden soll. Verwenden Sie dazu das folgende Format: PT + Zahl + (M, H, D). Dabei gilt: M – Minuten, H – Stunden, D – Tage Beispiele: P1M – 1 Minute P10H – 10 Stunden P2D – 2 Tage. Das Minimum beträgt 5 Minuten, das Maximum 14 Tage. |
| Beschreibung | String | – | Nein | Geben Sie die Beschreibung für diese Benachrichtigungsregel an. |
| Taktiken | String | – | Nein | Geben Sie Taktiken für diese Benachrichtigungsregel an. Der Parameter kann mehrere durch Kommas getrennte Werte annehmen. |
Anwendungsfälle
Mit der Aktion können Microsoft Sentinel-Benachrichtigungsregeln aus dem Google SecOps-Playbook erstellt werden. Sie können benutzerdefinierte Benachrichtigungsregeln erstellen, um nach verdächtigen Bedrohungen und Anomalien in Ihrer Umgebung zu suchen. Die Microsoft Sentinel-Benachrichtigungsregel sorgt dafür, dass Sie sofort benachrichtigt werden, damit Sie die Bedrohungen priorisieren, untersuchen und beheben können.
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabenachricht* | Bei Erfolg:Gib „Microsoft Sentinel-Benachrichtigungsregel erfolgreich erstellt!“ aus. Wenn Fehler: „Failed to create Microsoft Sentinel alert rule! Fehler: {0}".format(exception.stacktrace). |
Allgemein |
Benachrichtigungsregel aktualisieren
Aktualisieren Sie die geplante Benachrichtigungsregel für Azure Sentinel.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| AlertRuleID | String | – | Ja | Geben Sie die AlertRuleID der Benachrichtigungsregel an. |
| Name | String | – | Nein | Geben Sie den Anzeigenamen der Benachrichtigungsregel an. |
| Benachrichtigungsregel aktivieren | DDL | – | Nein | Geben Sie an, ob Sie diese Benachrichtigungsregel deaktivieren oder aktivieren möchten. |
| Schweregrad | DDL | – | Nein | Geben Sie den Schweregrad dieser Benachrichtigungsregel an. |
| Abfrage | String | – | Nein | Geben Sie die Abfrage für diese Benachrichtigungsregel an. |
| Häufigkeit | String | – | Nein | Geben Sie an, wie oft die Abfrage ausgeführt werden soll. Verwenden Sie dazu das folgende Format: PT + Zahl + (M, H, D). Dabei gilt: M – Minuten, H – Stunden, D – Tage. Beispiele: PT1M – Abfrage jede Minute ausführen PT10H – Abfrage alle 10 Stunden ausführen PT2D – Abfrage alle 2 Tage ausführen. Das Minimum beträgt 5 Minuten, das Maximum 14 Tage. |
| Zeitraum der Lookup-Daten | String | – | Nein | Geben Sie die Uhrzeit der letzten Lookup-Daten im folgenden Format an: P + Zahl + (M, H, D). Dabei gilt: M – Minuten, H – Stunden, D – Tage. . Beispiele: P1M – 1 Minute P10H – 10 Stunden P2D – 2 Tage. Das Minimum beträgt 5 Minuten, das Maximum 14 Tage. |
| Trigger-Operator | DDL | – | Nein | Geben Sie den Triggeroperator für diese Benachrichtigungsregel an. |
| Auslöseschwellenwert | Ganzzahl | – | Nein | Geben Sie den Auslöseschwellenwert für diese Benachrichtigungsregel an. |
| Unterdrückung aktivieren | DDL | – | Nein | Geben Sie an, ob die Ausführung der Abfrage beendet werden soll, nachdem eine Benachrichtigung generiert wurde. |
| Dauer der Unterdrückung | String | – | Nein | Geben Sie an, wie lange die Ausführung der Abfrage nach dem Generieren einer Benachrichtigung gestoppt werden soll. Verwenden Sie dazu das folgende Format: PT + Zahl + (M, H, D). Dabei gilt: M – Minuten, H – Stunden, D – Tage Beispiele: P1M – 1 Minute P10H – 10 Stunden P2D – 2 Tage. Das Minimum beträgt 5 Minuten, das Maximum 14 Tage. |
| Beschreibung | String | – | Nein | Geben Sie die Beschreibung für diese Benachrichtigungsregel an. |
| Taktiken | String | Keine | Nein | Geben Sie Taktiken für diese Benachrichtigungsregel an. Der Parameter akzeptiert mehrere durch Kommas getrennte Werte. |
Anwendungsfälle
Mit der Aktion können Microsoft Sentinel-Benachrichtigungsregeln über das Google SecOps-Playbook aktualisiert werden. Wenn Sie beispielsweise feststellen, dass einige Benachrichtigungen häufiger werden und die meisten davon Fehlalarme sind, können Sie mit dieser Aktion die Konfiguration der Benachrichtigungsregel an Ihre Anforderungen anpassen. Die Microsoft Sentinel-Benachrichtigungsregel sorgt dafür, dass Sie sofort benachrichtigt werden, damit Sie die Bedrohungen priorisieren, untersuchen und beheben können.
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabenachricht* | Bei Erfolg: „Microsoft Sentinel-Benachrichtigungsregel mit der ID {0} wurde aktualisiert.“ ausgeben.format(AlertRuleID). Wenn keine Warnungsregel mit der angegebenen AlertID gefunden werden kann:Gib „Microsoft Sentinel-Warnungsregel mit der ID {0} wurde nicht gefunden!“ aus.format(AlertRuleID). Bei Fehler: „Failed to update Microsoft Sentinel alert rule! Fehler: {0}".format(exception.stacktrace). |
Allgemein |
Benachrichtigungsregel löschen
Geplante Benachrichtigungsregel in Azure Sentinel löschen
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| AlertRuleID | String | – | Ja | Geben Sie die ID der zu löschenden Benachrichtigungsregel an. |
Anwendungsfälle
Mit der Aktion kann eine Microsoft Sentinel-Benachrichtigungsregel aus Google SecOps gelöscht werden. Wenn eine Benachrichtigungsregel sehr veraltet ist und ihren Zweck nicht mehr erfüllt oder wenn eine Regel nur Falschmeldungen erzeugt, können Sie sie mit dieser Aktion löschen.
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabenachricht* | Bei Erfolg: „Microsoft Sentinel-Benachrichtigungsregel {0} wurde gelöscht.“ ausgeben.format(AlertRuleID). Wenn keine Warnungsregel mit der angegebenen AlertID gefunden werden kann:Gib „Microsoft Sentinel-Warnungsregel mit der ID {0} wurde nicht gefunden!“ aus.format(AlertRuleID). If error: print "Failed to delete Microsoft Sentinel alert rule! Fehler: {0}".format(exception.stacktrace). |
Allgemein |
Benutzerdefinierte Regeln für den Scan auflisten
Rufen Sie die Liste der benutzerdefinierten Hunting-Regeln für Azure Sentinel ab.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Namen der zurückzugebenden Regeln für den Scan | String | – | Nein | Geben Sie Namen für die Hunting-Regeln an, die von der Aktion zurückgegeben werden sollen. Der Parameter akzeptiert mehrere Werte als durch Kommas getrennten String. Wenn der Wert nicht angegeben ist, werden alle möglichen Benachrichtigungstypen zurückgegeben. |
| Spezifische Taktiken für Regeln für den Scan abrufen | String | – | Nein | Geben Sie an, welche Taktikaktion für die Jagdregel zurückgegeben werden soll. Der Parameter akzeptiert mehrere Werte als durch Kommas getrennten String. Wenn der Wert nicht angegeben ist, werden alle möglichen Benachrichtigungstypen zurückgegeben. |
| Maximale Anzahl zurückzugebender Regeln | Ganzzahl | – | Nein | Gibt an, wie viele geplante Benachrichtigungsregeln von der Aktion zurückgegeben werden sollen, z. B. 50. |
Anwendungsfälle
Mit der Aktion können benutzerdefinierte und bevorzugte Hunting-Regeln des Google SecOps-Playbooks für Microsoft Sentinel aufgelistet werden. Damit Sie alle Hunting-Regeln für Daten zu den seltensten, aber sehr kritischen Prozessen, die in Ihrem Netzwerk ausgeführt werden, eingerichtet haben, sollten Sie benutzerdefinierte und bevorzugte Hunting-Regeln erwähnen. Sie können vorhandene Hunting-Regeln sofort aktualisieren und erstellen, wenn Sie feststellen, dass einige Situationen nicht richtig behandelt werden.
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"__metadata": {},
"value": [
{
"id": "subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/savedSearches/0c5bd7e1-0e13-4e7d-9e32-88baf9589192",
"etag": "W/\"datetime'2019-12-02T10%3A14%3A10.5299491Z'\"",
"properties": {
"Category": "Hunting Queries",
"DisplayName": "Hunting Query 1",
"Query": "\r\nlet timeframe = 7d;\r\nAWSCloudTrail\r\n| where TimeGenerated >= ago(timeframe)\r\n| where EventName in~ (\"AttachGroupPolicy\", \"AttachRolePolicy\", \"AttachUserPolicy\", \"CreatePolicy\",\r\n\"DeleteGroupPolicy\", \"DeletePolicy\", \"DeleteRolePolicy\", \"DeleteUserPolicy\", \"DetachGroupPolicy\",\r\n\"PutUserPolicy\", \"PutGroupPolicy\", \"CreatePolicyVersion\", \"DeletePolicyVersion\", \"DetachRolePolicy\", \"CreatePolicy\")\r\n| project TimeGenerated, EventName, EventTypeName, UserIdentityAccountId, UserIdentityPrincipalid, UserAgent, \r\nUserIdentityUserName, SessionMfaAuthenticated, SourceIpAddress, AWSRegion, EventSource, AdditionalEventData, ResponseElements\r\n| extend timestamp = TimeGenerated, IPCustomEntity = SourceIpAddress, AccountCustomEntity = UserIdentityAccountId\r\n",
"Tags": [
{
"Name": "description",
"Value": "1234"
},
{
"Name": "tactics",
"Value": "DefenseEvasion"
},
{
"Name": "createdTimeUtc",
"Value": "12/02/2019 09:21:18"
}
],
"Version": 2
},
"name": "0c5bd7e1-0e13-4e7d-9e32-88baf9589192"
},
{
"id": "subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/savedSearches/30a94796-a573-4e6e-9385-fb96d0aa5ea2",
"etag": "W/\"datetime'2019-12-02T10%3A10%3A18.4761379Z'\"",
"properties": {
"Category": "Hunting Queries",
"DisplayName": "Hunting Query 1",
"Query": "\r\nlet timeframe = 7d;\r\nAWSCloudTrail\r\n| where TimeGenerated >= ago(timeframe)\r\n| where EventName in~ (\"AttachGroupPolicy\", \"AttachRolePolicy\", \"AttachUserPolicy\", \"CreatePolicy\",\r\n\"DeleteGroupPolicy\", \"DeletePolicy\", \"DeleteRolePolicy\", \"DeleteUserPolicy\", \"DetachGroupPolicy\",\r\n\"PutUserPolicy\", \"PutGroupPolicy\", \"CreatePolicyVersion\", \"DeletePolicyVersion\", \"DetachRolePolicy\", \"CreatePolicy\")\r\n| project TimeGenerated, EventName, EventTypeName, UserIdentityAccountId, UserIdentityPrincipalid, UserAgent, \r\nUserIdentityUserName, SessionMfaAuthenticated, SourceIpAddress, AWSRegion, EventSource, AdditionalEventData, ResponseElements\r\n| extend timestamp = TimeGenerated, IPCustomEntity = SourceIpAddress, AccountCustomEntity = UserIdentityAccountId\r\n",
"Tags": [
{
"Name": "description",
"Value": "1234"
},
{
"Name": "tactics",
"Value": "DefenseEvasion"
},
{
"Name": "createdTimeUtc",
"Value": "12/02/2019 09:21:18"
}
],
"Version": 2
},
"name": "30a94796-a573-4e6e-9385-fb96d0aa5ea2"
}
]
}
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabenachricht* | Bei Erfolg:print "Successfully returned Microsoft Sentinel hunting rules". Bei Fehler: „Failed to list Microsoft Sentinel hunting rules! Fehler: {0}".format(exception.stacktrace). |
Allgemein |
| Tabelle | Tabellentitel:Gefundene Microsoft Sentinel-Suchregeln: Spalten:HuntingRuleID(zugeordnet zu „name“), title (zugeordnet zu „displayName“), category, description (zugeordnet zum Parameter „description“ im Tags-Dictionary), tactics(zugeordnet zum Parameter „tactics“ im Tags-Dictionary), query, creation time (zugeordnet zum Parameter „CreatedTimeUtc“ im Tags-Dictionary) |
Allgemein |
| Anhänge | List_HuntingRules.json: Enthält technische JSON-Daten, die von der Aktion zurückgegeben werden. | Allgemein |
JSON Viewer |
JSON-Viewer für das Abfrageergebnis anzeigen | Allgemein |
Details zu benutzerdefinierten Regeln für den Scan abrufen
Details der benutzerdefinierten Azure Sentinel-Suchregel abrufen.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| HuntingRuleID | String | – | Ja | Geben Sie die ID der Hunting-Regel an. |
Anwendungsfälle
Informationen zu standardmäßigen oder bevorzugten Hunting-Regeln für Microsoft Sentinel finden Sie im Google SecOps-Playbook. Verwenden Sie dieses Tool beispielsweise, wenn Sie Details aus Hunting-Regeln sehen, die für die Analyse nicht geeignet sind, oder wenn Sie prüfen möchten, ob Ihre Hunting-Regel richtig konfiguriert ist. Anhand der Ergebnisse entscheiden Sie, ob Sie die Antwort bearbeiten, entfernen oder unverändert lassen.
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"id": "subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/savedSearches/30a94796-a573-4e6e-9385-fb96d0aa5ea2",
"etag": "W/\"datetime'2019-12-02T10%3A14%3A10.5299491Z'\"",
"properties": {
"Category": "Log Management",
"DisplayName": "Multiple Password Reset by user",
"Query": "\nlet timeframe = 7d;\nAWSCloudTrail\n| where TimeGenerated >= ago(timeframe)\n| where EventName in~ (\"AttachGroupPolicy\", \"AttachRolePolicy\", \"AttachUserPolicy\", \"CreatePolicy\",\n\"DeleteGroupPolicy\", \"DeletePolicy\", \"DeleteRolePolicy\", \"DeleteUserPolicy\", \"DetachGroupPolicy\",\n\"PutUserPolicy\", \"PutGroupPolicy\", \"CreatePolicyVersion\", \"DeletePolicyVersion\", \"DetachRolePolicy\", \"CreatePolicy\")\n| project TimeGenerated, EventName, EventTypeName, UserIdentityAccountId, UserIdentityPrincipalid, UserAgent, \nUserIdentityUserName, SessionMfaAuthenticated, SourceIpAddress, AWSRegion, EventSource, AdditionalEventData, ResponseElements\n| extend timestamp = TimeGenerated, IPCustomEntity = SourceIpAddress, AccountCustomEntity = UserIdentityAccountId\n",
"Tags": [
{
"Name": "description",
"Value": "Identity and Access Management (IAM) securely manages access to AWS services and resources."
},
{
"Name": "tactics",
"Value": "DefenseEvasion"
},
{
"Name": "createdTimeUtc",
"Value": "12/02/2019 09:21:18"
}
],
"Version": 2
}
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabenachricht* | Bei Erfolg: „Successfully returned Microsoft Sentinel hunting rule {0} details“.format(HuntingRuleID) ausgeben. Wenn keine Warnungsregel mit der angegebenen AlertID gefunden werden kann:Gib „Microsoft Sentinel-Suchregel mit der ID {0} wurde nicht gefunden!“ aus.format(HuntingRuleID). Bei Fehler: „Failed to get details about Microsoft Sentinel hunting rule!“ (Details zur Microsoft Sentinel-Suchregel konnten nicht abgerufen werden.) Fehler: {0}".format(exception.stacktrace). |
Allgemein |
| Tabelle | Tabellentitel:Microsoft Sentinel-Suchregeldetails: Spalten:HuntingRuleID (zugeordnet zu „Name“), Name (zugeordnet zu „displayName“), Description, Query, Tactic,Creation Time |
Allgemein |
| Anhänge | List_HuntingRules.json: Enthält technische JSON-Daten, die von der Aktion zurückgegeben werden. | Allgemein |
JSON Viewer |
JSON-Viewer für das Abfrageergebnis anzeigen | Allgemein |
Benutzerdefinierte Hunting-Regel erstellen
Benutzerdefinierte Hunting-Regel für Azure Sentinel erstellen.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Abfrage | String | – | Ja | Geben Sie die Abfrage an, die in dieser Hunting-Regel ausgeführt werden soll. |
| Anzeigename | String | – | Ja | Geben Sie einen Anzeigenamen für die Hunting-Regel an. |
| Beschreibung | String | – | Nein | Geben Sie eine Beschreibung für die Hunting-Regel an. |
| Taktiken | String | – | Nein | Geben Sie Taktiken für diese Hunting-Regel an. Der Parameter akzeptiert mehrere durch Kommas getrennte Werte. |
Anwendungsfälle
Mit der Aktion kann eine neue Microsoft Sentinel-Suchregel aus dem Google SecOps-Playbook erstellt werden. Jagdregeln enthalten beispielsweise eine Abfrage, die Daten zu den ungewöhnlichsten Prozessen liefern kann, die in Ihrer Infrastruktur ausgeführt werden. Sie möchten nicht jedes Mal eine Benachrichtigung erhalten, wenn sie ausgeführt werden, da sie völlig harmlos sein können. Sie sollten sich die Abfrage jedoch gelegentlich ansehen, um festzustellen, ob etwas Ungewöhnliches vorliegt. Das bedeutet, dass sie verwendet werden können, um mehr Informationen aus Ihrer Netzwerkumgebung zu erfassen.
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabenachricht* | Bei Erfolg:Gib „Microsoft Sentinel-Suchregel erfolgreich erstellt“ aus. Bei Fehler:print "Failed to create Microsoft Sentinel hunting rule! Fehler: {0}".format(exception.stacktrace). |
Allgemein |
Benutzerdefinierte Hunting-Regel aktualisieren
Benutzerdefinierte Hunting-Regel in Azure Sentinel aktualisieren
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| HuntingRuleID | String | – | Ja | Geben Sie die ID der Hunting-Regel an. |
| Anzeigename | String | – | Nein | Geben Sie einen Anzeigenamen für die Hunting-Regel an. |
| Abfrage | String | – | Nein | Geben Sie die Abfrage an, die in dieser Hunting-Regel ausgeführt werden soll. |
| Beschreibung | String | – | Nein | Geben Sie eine Beschreibung an. |
| Taktiken | String | – | Nein | Geben Sie Taktiken für diese Hunting-Regel an. Der Parameter kann mehrere durch Kommas getrennte Werte annehmen. |
Anwendungsfälle
Mit der Aktion kann eine benutzerdefinierte Microsoft Sentinel-Regel für die Bedrohungssuche aus dem Google SecOps-Playbook aktualisiert werden. Verwenden Sie diese Aktion, wenn Sie beispielsweise der Meinung sind, dass eine Jagdregel sehr veraltet ist, und Sie mehrere Parameter wie eine Abfrage oder Beschreibung aktualisieren möchten. Informationen sind bei der Untersuchung von Vorfällen von entscheidender Bedeutung. Daher sollte jede Hunting-Regel aktualisiert werden, um relevante Informationen anzuzeigen.
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabenachricht* | Bei Erfolg: „Microsoft Sentinel-Suchregel mit der ID {0} wurde aktualisiert.“ ausgeben.format(HuntingRuleID). Wenn keine Hunting-Regel mit der angegebenen HuntingRuleID gefunden werden kann:Gib „Microsoft Sentinel hunting rule with ID "{0}" was not found!“ aus.format(HuntingRuleID). Bei Fehler: „Microsoft Sentinel-Suchregel konnte nicht aktualisiert werden! Fehler: {0}".format(exception.stacktrace). |
Allgemein |
Benutzerdefinierte Hunting-Regel löschen
Löschen Sie eine benutzerdefinierte Azure Sentinel-Regel für die Suche.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| HuntingRuleID | String | – | Ja | Geben Sie die ID der zu löschenden Hunting-Regel an. |
Anwendungsfälle
Mit der Aktion kann eine benutzerdefinierte Microsoft Sentinel-Suchregel aus Google SecOps gelöscht werden. Wenn Sie beispielsweise der Meinung sind, dass eine Hunting-Regel sehr veraltet ist und für die Untersuchung nicht benötigt wird, ist es am besten, sie zu löschen.
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabenachricht* | Bei Erfolg: „Microsoft Sentinel-Suchregel mit der ID {0} wurde gelöscht.“ ausgeben.format(HuntingRuleID). Wenn keine Hunting-Regel mit der angegebenen HuntingRuleID gefunden werden kann:Gib „Microsoft Sentinel hunting rule with ID "{0}" was not found!“ aus.format(HuntingRuleID). Bei Fehler: „Microsoft Sentinel-Suchregel konnte nicht gelöscht werden! Fehler: {0}".format(exception.stacktrace). |
Allgemein |
Benutzerdefinierte Hunting-Regel ausführen
Führen Sie eine benutzerdefinierte oder bevorzugte Microsoft Sentinel-Suchregel aus.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| HuntingRuleID | String | – | Ja | Geben Sie die ID der Hunting-Regel an. |
| Zeitlimit | Ganzzahl | – | Nein | Der Parameter, der verwendet wird, um einen Timeoutwert für den API-Aufruf der Azure Sentinel-Suchregel anzugeben. |
Anwendungsfälle
Mit der Aktion können Microsoft Sentinel-Suchregeln aus dem Google SecOps-Playbook ausgeführt werden. Wenn Sie eine Hunting-Regel-Abfrage ausführen, erhalten Sie Daten zu den ungewöhnlichsten Prozessen, die in Ihrer Infrastruktur ausgeführt werden. Sie möchten nicht jedes Mal eine Benachrichtigung erhalten, wenn sie ausgeführt werden, da sie völlig harmlos sein können. Sie sollten sich die Abfrage jedoch gelegentlich ansehen, um festzustellen, ob etwas Ungewöhnliches vorliegt. Das bedeutet, dass damit mehr Informationen aus Ihrer Netzwerkumgebung gesammelt werden können, was Ermittlern hilft, alle Nuancen eines Vorfalls zu erfassen und weitere Entscheidungen zu treffen.
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"tables": [
{
"name": "PrimaryResult",
"columns": [
{
"name": "timerange",
"type": "datetime"
},
{
"name": "AppDisplayName",
"type": "string"
},
{
"name": "UserPrincipalName",
"type": "string"
},
{
"name": "threeDayWindowLocationCount",
"type": "long"
},
{
"name": "locationList",
"type": "dynamic"
},
{
"name": "timestamp",
"type": "datetime"
},
{
"name": "AccountCustomEntity",
"type": "string"
}
],
"rows": [
[
"2019-11-29T00:00:00Z",
"WindowsDefenderATP Portal",
"user@example.com",
2,
"[\"US/Florida/Miami;\",\"AM/Kotayk'/Abovyan;\"]",
"2019-11-29T00:00:00Z",
"user@example.com"
],
[
"2019-12-02T00:00:00Z",
"WindowsDefenderATP Portal",
"user@example.com",
1,
"[\"US/Florida/Miami;\"]",
"2019-12-02T00:00:00Z",
"user@example.com"
],
[
"2019-11-29T00:00:00Z",
"Azure Portal",
"example@example.com",
1,
"[\"UA/Kyiv Misto/Kyiv;\"]",
"2019-11-29T00:00:00Z",
"example@example.com"
],
[
"2019-12-02T00:00:00Z",
"Azure Portal",
"example@example.com",
2,
"[\"UA/Kyiv Misto/Kyiv;\",\"UA/Kyivs'ka Oblast'/Boryspil';\"]",
"2019-12-02T00:00:00Z",
"example@example.com"
],
[
"2019-11-29T00:00:00Z",
"Azure Portal",
"user@example.com",
1,
"[\"RU/Sverdlovskaya Oblast'/Yekaterinburg;\"]",
"2019-11-29T00:00:00Z",
"user@example.com"
],
[
"2019-12-02T00:00:00Z",
"Azure Portal",
"user@example.com",
1,
"[\"RU/Sverdlovskaya Oblast'/Yekaterinburg;\"]",
"2019-12-02T00:00:00Z",
"user@example.com"
]
]
}
]
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabenachricht* | Bei Erfolg: „Hunting rule executed successfully“ (Hunting-Regel wurde erfolgreich ausgeführt) ausgeben. Wenn keine Hunting-Regel mit der angegebenen HuntingRuleID gefunden werden kann: print "Microsoft Sentinel hunting rule with ID "{0}" was not found!".format(HuntingRuleID) Wenn nichts gefunden wurde:print
"Hunting rule executed successfully, but did not return any results."
if error: print "Hunting rule didn't completed due to error:
{0}".format(exception.stacktrace) Bei Zeitüberschreitung:print
"Hunting rule didn't completed due to timeout: {0}".format(exception.stacktrace)
Wenn die Abfrageergebnisse gekürzt wurden:Gib „Die Ergebnisse der Hunting-Regel haben die Grenzwerte überschritten und wurden gekürzt. Bitte schreiben Sie Ihre Anfrage neu.“ aus. |
Allgemein |
| Tabelle | Tabellentitel:Ergebnisse der Microsoft Sentinel-Suchregel Spalten: Spalten basierend auf dem Abfrageergebnis dynamisch generieren |
Allgemein |
| Anhänge | Run_Hunting_rule_{HuntingRuleID}_response.json: Enthält technische JSON-Daten, die von der Aktion zurückgegeben werden. | Allgemein |
JSON Viewer |
JSON-Viewer für das Abfrageergebnis anzeigen | Allgemein |
KQL-Abfrage ausführen
Führt eine Azure Sentinel-KQL-Abfrage basierend auf den bereitgestellten Aktions-Eingabeparametern aus.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| KQL-Abfrage | String | – | Ja | Eine KQL-Abfrage, die in Azure Sentinel ausgeführt werden soll. Wenn Sie beispielsweise Sicherheitswarnungen in Sentinel abrufen möchten, lautet die Abfrage „SecurityAlert“. Verwenden Sie andere Aktionsparameter (Zeitraum, Limit), um die Abfrageergebnisse zu filtern. Beispiele für KQL-Abfragen finden Sie auf der Sentinel-Webseite „Logs“. |
| Zeitspanne | String | – | Nein | Geben Sie den Zeitraum an, in dem gesucht werden soll. Der Zeitwert sollte ISO 8601-konform sein und kann beispielsweise verwendet werden, um die letzten 10 Stunden oder das zu durchsuchende Zeitintervall anzugeben. Verwenden Sie das folgende Format: PT + Zahl + (M, H, D). Dabei gilt: M – Minuten, H – Stunden, D – Tage. |
| Zeitüberschreitung bei Abfragen | Ganzzahl | 180 | Nein | Timeoutwert für den API-Aufruf der Azure Sentinel-Suchregel. Beachten Sie, dass das Zeitlimit für den Python-Prozess der Google SecOps-Aktion entsprechend angepasst werden sollte, damit die Aktion nicht aufgrund des Zeitlimits für den Python-Prozess vor dem angegebenen Wert beendet wird. |
| Aufzeichnungslimit | Ganzzahl | 100 | Nein | Wie viele Datensätze sollen abgerufen werden? Optionaler Parameter. Wenn er festgelegt ist, wird der KQL-Abfrage „| limit x“ hinzugefügt, wobei „x“ der für das Datensatzlimit festgelegte Wert ist. Kann entfernt werden, wenn „limit“ bereits in der KQL-Abfrage festgelegt ist oder nicht benötigt wird. |
Anwendungsfälle
Erweiterte Anfragen während der Untersuchung des Falls ausführen
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"tables": [
{
"name": "PrimaryResult",
"columns": [
{
"name": "Reason",
"type": "string"
},
{
"name": "StartTimeUtc",
"type": "datetime"
},
{
"name": "EndTimeUtc",
"type": "datetime"
},
{
"name": "count_",
"type": "long"
},
{
"name": "timestamp",
"type": "datetime"
}
],
"rows": [
[
"Incorrect password",
"2019-10-22T06:38:30.837Z",
"2019-10-22T11:57:00.003Z",
28,
"2019-10-22T06:38:30.837Z"
],
[
"Account name does not exist",
"2019-10-21T15:19:33.727Z",
"2019-10-22T06:40:13.51Z",
3,
"2019-10-21T15:19:33.727Z"
]
]
}
]
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabenachricht* | Bei Erfolg: „Query executed successfully“ ausgeben. Wenn nichts gefunden wurde:Gib „Die Abfrage wurde erfolgreich ausgeführt, hat aber keine Ergebnisse zurückgegeben.“ aus. Bei Fehler:print "Query didn't completed due to error: {0}".format(exception.stacktrace). Bei Zeitüberschreitung:print "Query didn't completed due to timeout:
{0}".format(exception.stacktrace). Wenn die Abfrageergebnisse gekürzt wurden:Gib „Die Abfrageergebnisse haben die Grenzwerte überschritten und wurden gekürzt. Bitte formulieren Sie Ihre Anfrage neu.“ aus. |
|
| Tabelle | Tabellentitel:KQL-Abfrageergebnisse Spalten : Spalten werden dynamisch basierend auf dem Abfrageergebnis generiert. |
Allgemein |
| Anhänge | Run_KQL_query_response.json: Enthält technische JSON-Daten, die von der Aktion zurückgegeben werden. | Allgemein |
JSON Viewer |
JSON-Viewer für das Abfrageergebnis anzeigen | Allgemein |
Kommentar zu Vorfall hinzufügen
Fügen Sie einem Azure Sentinel-Vorfall einen Kommentar hinzu.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Vorgangsnummer | Ganzzahl | – | Ja | Geben Sie die Vorfallnummer an, der Sie einen Kommentar hinzufügen möchten. |
| Hinzuzufügender Kommentar | String | – | Ja | Geben Sie den Kommentar an, der dem Vorfall hinzugefügt werden soll. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Incidents/00cfebdc-c677-463f-8355-cb7f23472c06/Comments/f0f31d1a-d32b-4774-a21d-3279240c7c33",
"name": "f0f31d1a-d32b-4774-a21d-3279240c7c33",
"etag": "\"7e000812-0000-0c00-0000-606fc83f0000\"",
"type": "Microsoft.SecurityInsights/Incidents/Comments",
"properties": {
"message": "Some message",
"createdTimeUtc": "2021-04-09T03:21:35.0894288Z",
"lastModifiedTimeUtc": "2021-04-09T03:21:35.0894288Z",
"author": {
"objectId": "f6ce2f43-6f77-4b30-9a4a-de1a069b2560",
"email": null,
"name": "Comment created from external application - log_analytics_rest_api_for_sentinel",
"userPrincipalName": null
}
}
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabenachricht* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.
Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:
|
Allgemein |
Connectors
Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Connector konfigurieren.
Microsoft Azure Sentinel Incidents Connector – eingestellt
In Google SecOps SOAR werden mit dem Microsoft Azure Sentinel Incidents Connector Vorfälle aus dem jeweiligen Microsoft Sentinel-Arbeitsbereich als Benachrichtigungen über die Azure Security Insights API aufgenommen.
Der Connector verwendet ähnliche Funktionen wie die Aktionen List Incidents und Get Incident Details und stellt eine Verbindung zum Azure Security Insights-Endpunkt her, um eine Liste der Vorfälle abzurufen, die in einem bestimmten Zeitraum generiert wurden.
Anwendungsfall für Connector
Mit dem Connector können Sie Microsoft Sentinel-Arbeitsbereiche auf neue Vorfälle überwachen und in den Google SecOps SOAR-Server aufnehmen.
Damit bestimmte Ereignistypen übertragen werden, müssen Sie den Datenconnector zu Microsoft Sentinel hinzufügen. Wenn Sie beispielsweise Sicherheitsereignisse von Windows-Hosts als einen der Datenconnectors hinzufügen möchten, installieren Sie einen Microsoft Sentinel-Agent auf einem Windows-Host und konfigurieren Sie, welche Arten von Ereignissen aufgenommen werden sollen: Sicherheitsereignisse, Firewallereignisse, DNS-Ereignisse oder andere.
Wenn Sie Benachrichtigungen basierend auf bestimmten Bedingungen generieren möchten, definieren Sie Benachrichtigungsregeln mit Regelabfragen. Wenn durch Warnungsregeln Warnungen erstellt werden, werden in Microsoft Sentinel Ereignisse generiert, Datenunfälle gespeichert und Vorfälle auf der Seite „Vorfälle“ im Portal angezeigt.
Wenn Sie Vorfalldaten programmatisch lesen und schreiben möchten, verwenden Sie die Security Insights REST API.
Connector-Parameter
Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:
| Parameter | |
|---|---|
Product Field Name |
Erforderlich
Name des Felds, in dem der Produktname gespeichert ist. Der Standardwert ist |
Event Field Name |
Erforderlich
Name des Felds, in dem der Ereignisname gespeichert ist. Der Standardwert ist |
Environment Field Name |
Optional
Name des Felds, in dem der Name der Umgebung gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, wird die Standardumgebung verwendet. Der Standardwert ist |
Environment Regex Pattern |
Optional
Ein reguläres Ausdrucksmuster, das auf den Wert im Feld Der Standardwert Mit dem Parameter können Sie das Feld „environment“ (Umgebung) mithilfe der Logik für reguläre Ausdrücke bearbeiten. Wenn das Muster des regulären Ausdrucks null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
Azure Subscription ID |
Erforderlich ID des Azure-Abos. |
Azure Active Directory ID |
Erforderlich Microsoft Entra-Mandanten-ID. |
Api Root |
Erforderlich Die management.azure.com-API-Stamm-URL, die für die Integration verwendet werden soll. Der Standardwert ist |
Azure Resource Group |
Erforderlich Name der Azure-Ressourcengruppe, in der sich Microsoft Sentinel befindet. |
Azure Sentinel Workspace Name |
Erforderlich Name des Microsoft Sentinel-Arbeitsbereichs, mit dem gearbeitet werden soll. |
Client ID |
Erforderlich Die Microsoft Entra-Anwendungs-ID (Client-ID), die für diese Integration verwendet wird. |
Client Secret |
Erforderlich Microsoft Entra-Clientschlüsselwert. |
Script Timeout (Seconds) |
Erforderlich Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. Der Standardwert beträgt 180 Sekunden. |
Offset Time In Hours |
Erforderlich
Anzahl der Stunden vor dem aktuellen Zeitpunkt, ab dem Vorfälle abgerufen werden sollen. Der Standardwert ist 24 Stunden. |
Incident Statuses to Fetch |
Erforderlich
Status der abzurufenden Vorfälle. Für diesen Parameter können mehrere Werte als durch Kommas getrennter String angegeben werden. Der Standardwert ist |
Incident Severities to Fetch |
Erforderlich
Schweregrade der abzurufenden Vorfälle. Für diesen Parameter können mehrere Werte als durch Kommas getrennter String angegeben werden. Der Standardwert ist |
Max Incidents per Cycle |
Erforderlich
Anzahl der Vorfälle, die während eines Connector-Laufs verarbeitet werden sollen. Für diesen Parameter können mehrere Werte als durch Kommas getrennter String angegeben werden. Der Standardwert ist 10. |
Proxy Server Address |
Optional
Adresse des zu verwendenden Proxyservers. |
Proxy Server Username |
Optional
Proxy-Nutzername für die Authentifizierung. |
Proxy Server Password |
Optional
Proxy-Passwort für die Authentifizierung. |
Connector-Regeln
Der Connector unterstützt keine Sperrlisten und dynamischen Listen.
Der Connector unterstützt Proxys.
Microsoft Azure Sentinel Incident Connector v2
Der Microsoft Azure Sentinel Incidents Connector v2 ist ein empfohlener Connector für die Verwendung mit Microsoft Sentinel. Zu den wichtigsten Änderungen gehören die Umstellung auf die neuen Endpunkte für Vorfälle in der Microsoft Sentinel API und die Einführung der Logik für die Verarbeitung und das Parsen von Connector-Entitäten. Wenn Sie bestimmte Microsoft Sentinel-Vorfälle filtern und anhand von Vorfallnamen abrufen möchten, verwenden Sie die dynamische Liste.
Es ist möglich, dass in der Microsoft Sentinel-Benutzeroberfläche die Vorfallentitäten angezeigt werden, die API sie aber nicht zurückgibt (die Entitätenliste ist leer). Daher benötigt der Connector mehr Zeit, um solche Vorfälle zu erfassen und sie bei den folgenden Connector-Ausführungen im Backlog abzufragen. Sobald die Informationen zu den Einheiten in der API-Antwort verfügbar sind, werden die Vorfälle vom Connector aufgenommen.
Verarbeitung von geplanten und nicht geplanten Sentinel-Benachrichtigungen
Um ein Problem im Microsoft Azure Sentinel Incidents Connector zu beheben, bei dem fälschlicherweise Entitäten für alle Benachrichtigungen außer den geplanten Azure Sentinel-Benachrichtigungen angezeigt wurden, wird im Microsoft Azure Sentinel Incidents Connector v2 ein zusätzliches Ereignis für jede Entität hinzugefügt.
Wenn der Connector also eine IP-, Konto- oder Hostname-Entität im Google SecOps-Ereignis empfängt, wird für jede gefundene Entität ein zusätzliches Google SecOps-Ereignis hinzugefügt. Das neu erstellte Ereignis kann verwendet werden, um Entitäten zu erstellen und Entitätseigenschaften in Google SecOps SOAR zuzuordnen. Die ursprünglichen Ereignisse bleiben erhalten. Neue Ereignisse werden nur der Google SecOps-Benachrichtigung hinzugefügt. Andere Entitätstypen sind von dieser Logik nicht betroffen und verbleiben im ursprünglichen Ereignis. Es werden keine zusätzlichen Ereignisse für sie erstellt.
Damit zusätzliche Ereignisse erstellt werden können, ruft der Connector die Daten über den Sentinel-API-Endpunkt entity ab. Sowohl geplante als auch NRT-Benachrichtigungen werden standardmäßig mithilfe der KQL-Abfragen für die Loganalyse erfasst, um Benachrichtigungs- und Ereignisdaten abzurufen. Wenn diese Option ausgewählt ist, wird für den Parameter Use the same approach with event creation for all alert types? (Sollte für alle Benachrichtigungstypen derselbe Ansatz für die Ereigniserstellung verwendet werden?) in der Connector-Konfiguration derselbe entitätsbasierte Ansatz für alle Benachrichtigungen verwendet, einschließlich geplanter und nicht geplanter. Wir empfehlen, diese Option mit Vorsicht zu verwenden.
Connector-Parameter
Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:
| Parameter | |
|---|---|
Product Field Name |
Erforderlich
Name des Felds, in dem der Produktname gespeichert ist. Der Standardwert ist |
Event Field Name |
Erforderlich
Name des Felds, in dem der Ereignisname gespeichert ist. Der Standardwert ist |
Environment Field Name |
Optional
Name des Felds, in dem der Name der Umgebung gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, wird die Standardumgebung verwendet. Der Standardwert ist |
Environment Regex Pattern |
Optional
Ein reguläres Ausdrucksmuster, das auf den Wert im Feld Der Standardwert Mit dem Parameter können Sie das Feld „environment“ (Umgebung) mithilfe der Logik für reguläre Ausdrücke bearbeiten. Wenn das Muster des regulären Ausdrucks null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
Azure Subscription ID |
Erforderlich ID des Azure-Abos. |
Azure Active Directory ID |
Erforderlich Microsoft Entra-Mandanten-ID. |
Api Root |
Erforderlich Die API-Stamm-URL, die mit der Integration verwendet werden soll. Der Standardwert ist |
OAUTH2 Login Endpoint Url |
Erforderlich Endpunkt-URL für die OAuth 2.0-Authentifizierung. |
Azure Resource Group |
Erforderlich Name der Azure-Ressourcengruppe, in der sich Microsoft Sentinel befindet. |
Azure Sentinel Workspace Name |
Erforderlich Name des Microsoft Sentinel-Arbeitsbereichs, mit dem gearbeitet werden soll. |
Client ID |
Erforderlich Die Microsoft Entra-Anwendungs-ID (Client-ID), die für diese Integration verwendet wird. |
Client Secret |
Erforderlich Microsoft Entra-Clientschlüsselwert. |
Script Timeout (Seconds) |
Erforderlich Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. Der Standardwert beträgt 180 Sekunden. |
Offset Time In Hours |
Erforderlich
Anzahl der Stunden vor dem aktuellen Zeitpunkt, ab dem Vorfälle abgerufen werden sollen. Der Standardwert ist 24 Stunden. |
Incident Statuses to Fetch |
Erforderlich
Status der abzurufenden Vorfälle. Für diesen Parameter können mehrere Werte als durch Kommas getrennter String angegeben werden. Der Standardwert ist |
Incident Severities to Fetch |
Erforderlich
Schweregrade der abzurufenden Vorfälle. Für diesen Parameter können mehrere Werte als durch Kommas getrennter String angegeben werden. Der Standardwert ist |
Use the same approach with event creation for all alert types?
|
Optional Wenn diese Option aktiviert ist, verwendet der Connector für alle Benachrichtigungstypen denselben Ansatz. Wenn das Kästchen nicht angekreuzt ist, verwendet der Connector einen anderen Ansatz für den geplanten Benachrichtigungstyp von Azure Sentinel und versucht, Ereignisse abzurufen, die die Benachrichtigung ausgelöst haben. Dazu wird die in den Benachrichtigungsdetails angegebene Abfrage ausgeführt. Diese Option ist standardmäßig nicht angeklickt. |
Use whitelist as a blacklist |
Erforderlich
Wenn diese Option aktiviert ist, wird die dynamische Liste als Blockierliste verwendet. Diese Option ist standardmäßig nicht angeklickt. |
Alerts padding period |
Erforderlich
Zeitraum in Minuten, in dem der Connector Benachrichtigungen für Vorfälle abruft. Der Standardwert ist 60 Minuten. |
Proxy Server Address |
Optional
Adresse des zu verwendenden Proxyservers. |
Proxy Server Username |
Optional
Proxy-Nutzername für die Authentifizierung. |
Proxy Server Password |
Optional
Proxy-Passwort für die Authentifizierung. |
Max Backlog Incidents per Cycle |
Erforderlich
Anzahl der Vorfälle, die bei einem Connector-Lauf aus dem Backlog abgerufen werden sollen. Der Standardwert ist 10. |
StartTimeFallback |
Erforderlich
Eine durch Kommas getrennte Liste von Attributen für Vorfälle oder Benachrichtigungen, die in absteigender Reihenfolge als Fallback für das Benachrichtigungsfeld Wenn keines der Fallback-Felder gefunden wird, verwendet der Connector das Attribut Der Standardwert ist |
EndTimeFallback |
Erforderlich
Eine durch Kommas getrennte Liste von Attributen für Vorfälle oder Benachrichtigungen, die in absteigender Reihenfolge als Fallback für das Benachrichtigungsfeld Wenn keines der Fallback-Felder gefunden wird, verwendet der Connector das Attribut Der Standardwert ist |
Enable Fallback Logic Debug? |
Optional
Wenn diese Option aktiviert ist, fügt der Connector Debug-Felder mit den Werten hinzu, die für den Fallback für die erstellten Ereignisse verwendet werden. Diese Option ist standardmäßig nicht angeklickt. |
VendorFieldFallback |
Erforderlich
Durch Kommas getrennte Liste von Attributen für Vorfälle, die in absteigender Reihenfolge als Fallback für das Feld Der Standardwert ist |
ProductFieldFallback |
Erforderlich
Durch Kommas getrennte Liste von Attributen für Vorfälle, die in absteigender Reihenfolge als Fallback für das Feld Der Standardwert ist |
EventFieldFallback |
Erforderlich
Durch Kommas getrennte Liste von Attributen für Vorfälle, die in absteigender Reihenfolge als Fallback für den Parameter Der Standardwert ist |
Max New Incidents per cycle |
Erforderlich
Anzahl der Vorfälle, die in einem Connector-Lauf verarbeitet werden sollen. Der Standardwert ist 10. |
Wait For Scheduled/NRT Alert Object |
Optional
Wenn diese Option aktiviert ist, wartet der Connector, bis ein Objekt für geplante/NRT-Benachrichtigungen verfügbar ist. |
Scheduled Alerts Events Limit to Ingest |
Optional
Maximale Anzahl von Ereignissen, die für eine einzelne geplante Azure Sentinel-Benachrichtigung oder NRT-Benachrichtigung aufgenommen werden sollen. Der Standardwert ist 100. |
Incidents Padding Period (minutes) |
Optional
Zeitraum in Minuten, in dem der Connector Vorfälle abruft und zurückgibt. Diese Vorfälle sind nicht in chronologischer Reihenfolge aufgeführt. |
Create Siemplify Alerts for Sentinel incidents that do not have
entities? |
Optional
Wenn diese Option aktiviert ist, erstellt der Connector Google SecOps-Benachrichtigungen aus Microsoft Sentinel-Vorfällen ohne Entitäten. Andernfalls erstellt der Connector Google SecOps-Benachrichtigungen nur für geplante und NRT-Benachrichtigungen und überspringt alle anderen Microsoft Sentinel-Vorfalltypen. Diese Option ist standardmäßig nicht angeklickt. |
Incident's Alerts Limit to Ingest |
Optional
Maximale Anzahl von Benachrichtigungen, die für jeden Microsoft Sentinel-Vorfall aufgenommen werden sollen. |
Alert Name Template |
Optional
Falls angegeben, verwendet der Connector diesen Wert aus den Vorfalldaten, die in der Microsoft Sentinel API-Antwort zurückgegeben werden, um das Feld Sie können einen Platzhalter im folgenden Format angeben:
Die maximale Länge für das Feld beträgt 256 Zeichen. Wenn kein Wert angegeben wird oder Sie eine ungültige Vorlage angeben, verwendet der Connector den Standardnamen für Benachrichtigungen. |
Rule Generator Template |
Optional
Falls angegeben, verwendet der Connector diesen Wert aus den Vorfalldaten, die in der Microsoft Sentinel API-Antwort zurückgegeben werden, um das Feld Sie können einen Platzhalter im folgenden Format angeben:
Die maximale Länge für das Feld beträgt 256 Zeichen. Wenn kein Wert angegeben wird oder Sie eine ungültige Vorlage angeben, verwendet der Connector den Standardwert für die Regelerstellung. |
Felder „Alert Name“ (Name der Benachrichtigung) und „Rule Generator“ (Regelgenerator) anpassen
Mit dem Connector können Sie die Feldwerte Siemplify Alert Name (Siemplify-Benachrichtigungsname) und Rule Generator (Regelgenerator) mithilfe der Parameter Alert Name Template (Vorlage für Benachrichtigungsname) und Rule Generator Template (Vorlage für Regelgenerator) anpassen. Bei Vorlagen ruft der Connector Informationen aus den von der API zurückgegebenen Microsoft Sentinel-Vorfallsdaten ab.
Im folgenden Beispiel werden die Vorfalldaten so dargestellt, wie sie von der API zurückgegeben werden. So können Sie auf die Felder verweisen, die in der Benachrichtigung verfügbar sind und für Vorlagen verwendet werden können:
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Incidents/d4f632be-0689-93f7-57a6-f27bfabbbad1",
"name": "d4f632be-0689-93f7-57a6-f27bfabbbad1",
"etag": "\"79004534-0000-0d00-0000-63590d610000\"",
"type": "Microsoft.SecurityInsights/Incidents",
"properties": {
"title": "Incident title",
"description": "",
"severity": "Low",
"status": "New",
"owner": {
"objectId": null,
"email": null,
"assignedTo": null,
"userPrincipalName": null
},
"labels": [],
"firstActivityTimeUtc": "2022-10-26T07:00:09.3857965Z",
"lastActivityTimeUtc": "2022-10-26T09:07:02.1083312Z",
"lastModifiedTimeUtc": "2022-10-26T10:35:13.0254798Z",
"createdTimeUtc": "2022-10-26T10:34:55.7454638Z",
"incidentNumber": 380925,
"additionalData": {
"alertsCount": 102,
"bookmarksCount": 0,
"commentsCount": 0,
"alertProductNames": [
"Azure Sentinel"
],
"tactics": [
"InitialAccess",
"Persistence"
]
},
"relatedAnalyticRuleIds": [
"/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/Microsoft.SecurityInsights/alertRules/8a3ca5c5-7875-466e-accd-3bcb2881cdb0"
],
"incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/Microsoft.SecurityInsights/Incidents/d4f632be-0689-93f7-57a6-f27bfabbbad1",
"providerName": "Azure Sentinel",
"providerIncidentId": "380925"
}
}
Connector-Regeln
Der Connector unterstützt die Sperrliste und die dynamische Liste.
Der Connector unterstützt Proxys.
Microsoft Sentinel Incident Tracking Connector
Mit dem Microsoft Sentinel Incident Tracking Connector können Sie mit Microsoft Sentinel-Vorfällen arbeiten und Aktualisierungen der Sentinel-Vorfälle als neue Google SecOps-Benachrichtigungen abrufen. Mit der dynamischen Liste können Sie die abzurufenden Vorfallnamen angeben. Für diesen Connector empfehlen wir, die Gruppierung von Google SecOps-Benachrichtigungen anhand des Parameters SourceGroupIdentifier zu konfigurieren.
Connector-Eingaben
Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:
| Parameter | |
|---|---|
Product Field Name |
Erforderlich
Name des Felds, in dem der Produktname gespeichert ist. Der Standardwert ist |
Event Field Name |
Erforderlich
Name des Felds, in dem der Ereignisname gespeichert ist. Der Standardwert ist |
Environment Field Name |
Optional
Name des Felds, in dem der Name der Umgebung gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, wird die Standardumgebung verwendet. Der Standardwert ist |
Environment Regex Pattern |
Optional
Ein reguläres Ausdrucksmuster, das auf den Wert im Feld Der Standardwert Mit dem Parameter können Sie das Feld „environment“ (Umgebung) mithilfe der Logik für reguläre Ausdrücke bearbeiten. Wenn das Muster des regulären Ausdrucks null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
Azure Subscription ID |
Erforderlich ID des Azure-Abos. |
Entra ID Directory ID |
Erforderlich Microsoft Entra-Mandanten-ID. |
Api Root |
Erforderlich Die API-Stamm-URL, die mit der Integration verwendet werden soll. Der Standardwert ist |
OAUTH2 Login Endpoint Url |
Erforderlich Endpunkt-URL für die OAuth 2.0-Authentifizierung. |
Azure Resource Group |
Erforderlich Name der Azure-Ressourcengruppe, in der sich Microsoft Sentinel befindet. |
Azure Sentinel Workspace Name |
Erforderlich Name des Microsoft Sentinel-Arbeitsbereichs, mit dem gearbeitet werden soll. |
Client ID |
Erforderlich Die Microsoft Entra-Anwendungs-ID (Client-ID), die für diese Integration verwendet wird. |
Client Secret |
Erforderlich Microsoft Entra-Clientschlüsselwert. |
Script Timeout (Seconds) |
Erforderlich Zeitlimit für den Python-Prozess, in dem das aktuelle Script ausgeführt wird. Der Standardwert beträgt 480 Sekunden. |
Verify SSL |
Optional Wenn diese Option ausgewählt ist, wird überprüft, ob das SSL-Zertifikat für die Verbindung zum Microsoft-Server gültig ist. Standardmäßig ausgewählt. |
Max Hours Backwards |
Erforderlich
Die Anzahl der Stunden vor der ersten Connector-Iteration, aus der die Vorfälle abgerufen werden sollen. Dieser Parameter wird nur einmal auf die erste Connector-Iteration angewendet, nachdem Sie den Connector zum ersten Mal aktiviert haben. Der Standardwert ist 24 Stunden. |
Incident Statuses to Fetch |
Erforderlich
Status der abzurufenden Vorfälle. Für diesen Parameter können mehrere Werte als durch Kommas getrennter String angegeben werden. Der Standardwert ist |
Incident Severities to Fetch |
Erforderlich
Schweregrade der abzurufenden Vorfälle. Für diesen Parameter können mehrere Werte als durch Kommas getrennter String angegeben werden. Der Standardwert ist |
Max Incidents per Cycle |
Erforderlich
Die Anzahl der Vorfälle, die während eines Connector-Laufs aus dem Backlog abgerufen werden sollen. Der Standardwert ist 10. |
Use the same approach with event creation for all alert types?
|
Optional Wenn diese Option ausgewählt ist, verwendet der Connector für alle Benachrichtigungstypen denselben Ansatz. Wenn diese Option nicht ausgewählt ist, verwendet der Connector einen anderen Ansatz für den geplanten Microsoft Sentinel-Benachrichtigungstyp und versucht, Ereignisse abzurufen, die die Benachrichtigung ausgelöst haben, indem er die in den Benachrichtigungsdetails angegebene Abfrage ausführt. Diese Option ist standardmäßig nicht ausgewählt. |
Incidents Tags To Ingest |
Optional
Eine durch Kommas getrennte Liste der aufzunehmenden Vorfall-Tags. Der Connector ignoriert Vorfälle, die nicht die Tags aus dieser Liste enthalten. |
Use whitelist as a blacklist |
Erforderlich
Wenn diese Option ausgewählt ist, wird die dynamische Liste als Blockierliste verwendet. Standardmäßig nicht ausgewählt. |
Backlog Expiration Timer |
Erforderlich
Ein Zeitraum in Minuten, in dem der Connector die Vorfälle in einem Backlog behält. Der Standardwert ist 60 Minuten. |
StartTimeFallback |
Erforderlich
Eine durch Kommas getrennte Liste mit Attributen für Vorfälle oder Benachrichtigungen, die in absteigender Reihenfolge als Fallback für das Benachrichtigungsfeld Wenn keines der Fallback-Felder gefunden wird, verwendet der Connector das Attribut Der Standardwert ist |
EndTimeFallback |
Erforderlich
Eine durch Kommas getrennte Liste mit Attributen für Vorfälle oder Benachrichtigungen, die in absteigender Reihenfolge als Fallback für das Benachrichtigungsfeld Wenn keines der Fallback-Felder gefunden wird, verwendet der Connector das Attribut Der Standardwert ist |
Enable Fallback Logic Debug? |
Optional
Wenn diese Option ausgewählt ist, fügt der Connector den erstellten Ereignissen Debug-Felder mit den für den Fallback verwendeten Werten hinzu. Diese Option ist standardmäßig nicht ausgewählt. |
VendorFieldFallback |
Erforderlich
Eine durch Kommas getrennte Liste von Attributen für Vorfälle, die in absteigender Reihenfolge als Fallback für das Feld Der Standardwert ist |
ProductFieldFallback |
Erforderlich
Eine durch Kommas getrennte Liste von Attributen für Vorfälle, die in absteigender Reihenfolge als Fallback für das Feld Der Standardwert ist |
EventFieldFallback |
Erforderlich
Eine durch Kommas getrennte Liste von Attributen für Vorfälle, die in absteigender Reihenfolge als Fallback für den Parameter Der Standardwert ist |
Max Backlog Incidents per cycle |
Erforderlich
Die Anzahl der Vorfälle, die bei einem Connector-Lauf aus dem Rückstand abgerufen werden sollen. Der Standardwert ist 10. |
Disable Overflow |
Optional Wenn diese Option ausgewählt ist, wird durch den Connector ein Ereignisüberlauf deaktiviert. Diese Option ist standardmäßig nicht ausgewählt. |
Total Number of Scheduled Alerts Events Limit to Ingest |
Optional
Die maximale Anzahl von Ereignissen, die für eine einzelne geplante Microsoft Sentinel-Benachrichtigung oder eine NRT-Benachrichtigung erfasst werden können. Der Standardwert ist 100. |
Create Chronicle SOAR Alerts for Sentinel incidents that do not
have entities? |
Optional
Wenn diese Option ausgewählt ist, erstellt der Connector Google SecOps-Benachrichtigungen aus Microsoft Sentinel-Vorfällen ohne Entitäten. Andernfalls erstellt der Connector Google SecOps-Benachrichtigungen nur für geplante und NRT-Benachrichtigungen und überspringt alle anderen Microsoft Sentinel-Vorfalltypen. Diese Option ist standardmäßig nicht ausgewählt. |
Incident's Alerts Limit to Ingest |
Optional
Die maximale Anzahl von Warnungen, die für jeden Microsoft Sentinel-Vorfall aufgenommen werden sollen. |
Incidents Padding Period (minutes) |
Optional
Zeitraum in Minuten vor dem aktuellen Zeitpunkt, in dem der Connector Vorfälle abrufen und zurückgeben soll. Der Connector gibt Vorfälle nicht in chronologischer Reihenfolge zurück. |
Alert Name Template |
Optional
Falls angegeben, verwendet der Connector diesen Wert aus den Vorfalldaten, die in der Microsoft Sentinel API-Antwort zurückgegeben werden, für einen Google SecOps SOAR-Benachrichtigungsnamen. Sie können einen Platzhalter im folgenden Format angeben:
Die maximale Länge für das Feld beträgt 256 Zeichen. Wenn kein Wert angegeben wird oder Sie eine ungültige Vorlage angeben, verwendet der Connector den Standardnamen für Benachrichtigungen. |
Rule Generator Template |
Optional
Falls angegeben, verwendet der Connector diesen Wert aus den Vorfalldaten, die in der Microsoft Sentinel API-Antwort für einen Google SecOps SOAR-Regelgenerator zurückgegeben werden. Sie können einen Platzhalter im folgenden Format angeben:
Die maximale Länge für das Feld beträgt 256 Zeichen. Wenn kein Wert angegeben wird oder Sie eine ungültige Vorlage angeben, verwendet der Connector den Standardwert für die Regelerstellung. |
How many hours to track ingested incident for updates |
Erforderlich
Ein Zeitraum, in dem der Connector die bereits aufgenommenen Sentinel-Vorfälle auf Aktualisierungen wie das Hinzufügen neuer Ereignisse oder Entitäten oder Vorfalldetails überwacht. Der Standardwert ist 24 Stunden. |
Wait For Scheduled/NRT Alert Object |
Optional
Wenn diese Option aktiviert ist, wartet der Connector, bis ein Objekt für geplante/NRT-Benachrichtigungen verfügbar ist. |
Proxy Server Address |
Optional
Adresse des zu verwendenden Proxyservers. |
Proxy Server Username |
Optional
Proxy-Nutzername für die Authentifizierung. |
Proxy Server Password |
Optional
Proxy-Passwort für die Authentifizierung. |
Connector-Regeln
Der Microsoft Sentinel Incident Tracking Connector unterstützt Blocklisten und dynamische Listen.
Jobs
Die Microsoft Sentinel-Integration unterstützt den Job Microsoft Sentinel – Vorfälle synchronisieren.
Microsoft Sentinel – Vorfälle synchronisieren
Mit dem Job Microsoft Sentinel – Sync Incidents können Sie Google SecOps-Benachrichtigungen mit Microsoft Sentinel-Vorfällen synchronisieren. So wird dafür gesorgt, dass Kommentare, Status und Tags zwischen den beiden Systemen synchronisiert werden.
Damit der Job die richtigen Informationen ermitteln kann, muss das Google SecOps-Supportticket das Tag Microsoft Sentinel Incident haben. Wenn eine Benachrichtigung nicht von Microsoft Azure Sentinel Incident Connector v2 stammt, müssen Sie dem Fall einen Incident_ID-Kontextwert hinzufügen, damit der Job die richtigen Informationen findet.
Jobverhalten
Dieser Job besteht aus zwei Hauptteilen: 1. Der Job synchronisiert Warnungsstatus, Kommentare und Tags von Microsoft Sentinel mit Google SecOps. 1. Der Job synchronisiert alle Updates von Google SecOps zurück zu Microsoft Sentinel.
Der Job verarbeitet pro Iteration eine maximale Anzahl von Fällen, um eine stabile Leistung zu gewährleisten. Sie basiert auf dem Zeitpunkt der letzten Änderung eines Falls, um sicherzustellen, dass keine Aktualisierungen verpasst werden.
Wenn eine Benachrichtigung in einem der beiden Systeme geschlossen wird, wird das Schließen durch den Job synchronisiert. Die Statuszuordnung sieht so aus:
Maliciouswird dem Microsoft Sentinel-StatusClosedmit dem GrundTrue Positivezugeordnet.Not Maliciouswird dem Microsoft Sentinel-StatusClosedmit dem GrundFalse Positivezugeordnet.- Jeder andere Schließungswert wird dem Microsoft Sentinel-Status
Closedmit dem GrundUnknownzugeordnet.
Kommentare werden bidirektional synchronisiert. Um eine Synchronisierungsschleife zu verhindern, wird jedem Kommentar ein Präfix vorangestellt.
Tags werden auch mit denselben Präfixen synchronisiert, um ihre Herkunft zu unterscheiden.
Wichtige Hinweise zur API-Ratenbegrenzung
Für diesen Job wird die Microsoft Graph API zum Verwalten von Vorfällen verwendet. Sie hat ein Ratenlimit von 20 Anfragen pro Minute. Um das Risiko zu verringern, dass dieses Limit erreicht wird und sich dies auf andere Komponenten der Integration auswirkt, wird dringend empfohlen, eine separate Microsoft Entra ID-App speziell für diesen Job einzurichten.
Die einzige erforderliche Berechtigung ist SecurityIncident.ReadWrite.All.
Jobparameter
Für den Job Microsoft Sentinel – Sync Incidents sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Environment Name |
Erforderlich. Der Name der Umgebung, aus der Vorfälle synchronisiert werden sollen. Der Standardwert ist |
Azure Active Directory ID |
Erforderlich. Ihre eindeutige Verzeichnis-ID in Azure. Wird auch als Mandanten-ID bezeichnet. |
OAUTH2 Login Endpoint Url |
Erforderlich. Die URL für den OAuth 2.0-Endpunkt, an dem für den Job ein Authentifizierungstoken angefordert wird. Der Standardwert ist |
API Root |
Erforderlich. Die Basis-URL für die Graph API. Der Job hängt bestimmte API-Aufrufe an diese Stamm-URL an, um Daten abzurufen. Der Standardwert ist |
Client ID |
Erforderlich. Die eindeutige ID der in Azure Active Directory registrierten Anwendung. Diese ID wird verwendet, um Ihre Anwendung zu authentifizieren und ihr Zugriff auf Microsoft Sentinel zu gewähren. |
Client Secret |
Erforderlich. Der vertrauliche Schlüssel, der mit dem |
Max Hours Backwards |
Erforderlich. Die Anzahl der Stunden in der Vergangenheit, für die Vorfälle synchronisiert werden sollen. Der Standardwert ist |
Verify SSL |
Erforderlich/Optional. Wenn diese Option ausgewählt ist, wird das SSL-Zertifikat bei der Verbindung zum Microsoft Sentinel-Server validiert. Standardmäßig aktiviert. |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten