Microsoft Azure Sentinel
Versión de integración: 44.0
Esta integración usa uno o más componentes de código abierto. Puedes descargar una copia comprimida del código fuente completo de esta integración desde el bucket de Cloud Storage.
Casos de uso
- Supervisa e inspecciona las alertas creadas en Sentinel en función de los eventos que fluyen desde los hosts locales y los servicios de Microsoft basados en la nube, como Microsoft 365 y Microsoft 365 Cloud App Security.
- Usar los datos recopilados y correlacionados en Sentinel para enriquecer la investigación de un incidente en particular Los analistas pueden usar los datos recopilados y almacenados en Sentinel en las investigaciones, por ejemplo, para "profundizar" en información específica (inspeccionar los datos de las alertas, por ejemplo, inspeccionar los registros de Syslog) o consultar la actividad en un período específico o desde hosts particulares.
Requisitos previos
Primero, debes obtener autorización en Microsoft Entra ID para configurarlo y, luego, ejecutar solicitudes en la API de Microsoft Security Insights. Deberás configurar los permisos de la siguiente manera:
- Crea la app de Microsoft Entra.
- Crea un secreto del cliente.
- Otorga a la app registrada de Microsoft Entra acceso al espacio de trabajo de Microsoft Sentinel.
- Usa la aplicación de Microsoft Entra para obtener un token de acceso.
Crea una app de Microsoft Entra
Accede al portal de Azure como administrador de usuarios o administrador de contraseñas.
Selecciona Microsoft Entra ID.
Ve a Registros de aplicaciones > Nuevo registro.
Ingresa el nombre de la app.
Selecciona el Tipo de cuenta compatible aplicable.
Haz clic en Registrar.
Guarda los valores de ID de la aplicación (cliente) y ID del directorio (inquilino) para usarlos más adelante cuando configures los parámetros de integración.
Crea un secreto del cliente
Navega a Certificados y secretos > Nuevo secreto del cliente.
Proporciona una descripción para un secreto del cliente y establece su fecha límite de vencimiento.
Haz clic en Agregar.
Guarda el valor del secreto del cliente (no el ID del secreto) para usarlo como el valor del parámetro
Client Secretcuando configures la integración. El valor del secreto del cliente solo se muestra una vez.
Otorga acceso registrado a Microsoft Entra al espacio de trabajo de Microsoft Sentinel
Ve a la página Resumen de Microsoft Sentinel.
Haz clic en Configuración.
Haz clic en Control de acceso (IAM).
En la sección Agregar una asignación de rol, haz clic en Agregar.
Configura los siguientes parámetros:
Role =
Azure Sentinel Contributor.Asignar acceso a =
default, Microsoft Entra ID user group, or service principal.
En la sección Seleccionar, proporciona una condición de búsqueda para encontrar tu app y agregar una asignación de rol para ella.
Ve a la página de espacios de trabajo de Microsoft Sentinel. Busca y configura los siguientes parámetros:
Azure Resource GroupAzure Sentinel Workspace Name
Integra Microsoft Azure Sentinel con SOAR de Google SecOps
Si quieres obtener instrucciones detalladas para configurar una integración en Google Security Operations, consulta Configura integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre de la instancia | String | N/A | No | Nombre de la instancia para la que deseas configurar la integración. |
| Descripción | String | N/A | No | Es la descripción de la instancia. |
| ID de la suscripción a Azure | String | N/A | Sí | ID de suscripción de Microsoft Azure. Se puede ver en Azure Portal > Suscripciones > ID de suscripción de <Tu suscripción>. |
| ID de Azure Active Directory | String | N/A | Sí | El ID del usuario de Microsoft Entra se puede ver en Microsoft Entra > Registro de la app > ID de directorio (usuario) de <la aplicación que configuraste para tu integración>. |
| Raíz de la API | String | https://management.azure.com | Sí | Es la URL raíz de la API de management.azure.com que se usará con la integración. |
| Grupo de recursos de Azure | String | N/A | Sí | Nombre del grupo de recursos de Azure en el que se encuentra Microsoft Sentinel. |
| Nombre del área de trabajo de Azure Sentinel | String | N/A | Sí | Nombre del espacio de trabajo de Microsoft Sentinel con el que se trabajará. Se puede ver en el portal de Azure > Microsoft Sentinel > Espacios de trabajo de Microsoft Sentinel. |
| ID de cliente | String | N/A | Sí | Es el ID de cliente (aplicación) que se agregó para el registro de la app en Microsoft Entra para esta integración. |
| Secreto del cliente | Contraseña | N/A | Sí | Es un secreto que se ingresó para el registro de la app de Azure Sentinel. |
| Ejecutar de forma remota | Casilla de verificación | Desmarcado | No | Marca la casilla para ejecutar la integración configurada de forma remota. Una vez que se marca, aparece la opción para seleccionar al usuario remoto (agente). |
Acciones
Ping
Prueba la conectividad con el espacio de trabajo de Microsoft Sentinel con los parámetros proporcionados en la página de configuración de la integración en la pestaña Google Security Operations Marketplace.
Casos de uso
La acción se usa para probar la conectividad en la página de configuración de la integración en la pestaña Google Security Operations Marketplace y se puede ejecutar como una acción manual, que no se usa en los playbooks.
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Si la conexión se realiza correctamente, se imprimirá el mensaje "Successfully connected to the Microsoft Sentinel Workspace with the provided connection parameters!". Si no se realiza correctamente, imprime "No se pudo conectar al espacio de trabajo de Microsoft Sentinel". El error es {0}".format(exception.stacktrace). |
General |
Enumera incidentes
Enumera los incidentes de Microsoft Sentinel según los criterios de búsqueda proporcionados.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Período | Número entero | 3 | No | Especifica un período en horas para recuperar incidentes. |
| Estado | String | Nuevas, Activas y Cerradas | No | Especifica los estados de los incidentes que se buscarán. El parámetro acepta varios valores como una cadena separada por comas. |
| Gravedad | String | Informativo, Bajo, Medio, Alto | No | Especifica la gravedad de los incidentes que se deben buscar. El parámetro acepta varios valores como una cadena separada por comas. |
| Cuántos incidentes se recuperarán | Número entero | 200 | No | Cantidad de incidentes que se recuperarán. De forma predeterminada, se devuelven los 200 incidentes más recientes. |
Casos de uso
La acción se puede usar para enumerar los incidentes de Microsoft Sentinel desde el manual de estrategias de SecOps de Google.
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"value": [
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases/323032be-5b0d-4661-944f-ff9557597e50",
"name": "323032be-5b0d-4661-944f-ff9557597e50",
"etag": "\"2100e65a-0000-0d00-0000-5de3b1bf0000\"",
"type": "Microsoft.SecurityInsights/Cases",
"properties": {
"title": "Suspicious process injection observed",
"description": "A process abnormally injected code into another process, As a result, unexpected code may be running in the target process memory. Injection is often used to hide malicious code execution within a trusted process. \nAs a result, the target process may exhibit abnormal behaviors such as opening a listening port or connecting to a command and control server.",
"severity": "Medium",
"status": "New",
"labels": ["add_tag"],
"endTimeUtc": "2019-11-29T03:42:05Z",
"startTimeUtc": "2019-11-29T03:42:05Z",
"owner": {
"objectId": null
},
"lastUpdatedTimeUtc": "2019-12-01T12:27:43Z",
"createdTimeUtc": "2019-11-29T07:13:32.0266519Z",
"relatedAlertIds": ["2462474c-b6d9-6937-17ee-c2a62671c2f8"],
"relatedAlertProductNames": ["Microsoft Defender Advanced Threat Protection"],
"caseNumber": 2276,
"totalComments": 0,
"metrics": {
"SecurityAlert": 1
},
"firstAlertTimeGenerated": "2019-11-29T07:13:31.961602Z",
"lastAlertTimeGenerated": "2019-11-29T07:13:31.961602Z"
}
},{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases/c7939be8-32fb-415c-9f7c-c13325d6c48b",
"name": "c7939be8-32fb-415c-9f7c-c13325d6c48b",
"etag": "\"1900f5e2-0000-0d00-0000-5de0c5110000\"",
"type": "Microsoft.SecurityInsights/Cases",
"properties": {
"title": "Suspicious Power Shell command line",
"description": "A suspicious PowerShell activity was observed on the machine. \nThis behavior may indicate that PowerShell was used during installation, exploration, or in some cases in lateral movement activities which are used by attackers to invoke modules, download external payloads, or get more information about the system. Attackers usually use PowerShell to bypass security protection mechanisms by executing their payload in memory without touching the disk and leaving any trace.\r\nOur algorithms found the behaviors of this process to be suspicious due to the following factors:\nSuspicious memory activity\nExecutes suspicious PowerShell commands",
"severity": "Medium",
"status": "New",
"labels": [],
"endTimeUtc": "2019-11-29T03:42:04.9552017Z",
"startTimeUtc": "2019-11-29T03:42:04.9552017Z",
"owner": {
"objectId": null
},
"lastUpdatedTimeUtc": "2019-11-29T07:13:21Z",
"createdTimeUtc": "2019-11-29T07:13:21.6858164Z",
"relatedAlertIds": [
"d053f17e-6153-d171-9f4d-82389442aa35"
],
"relatedAlertProductNames": [
"Microsoft Defender Advanced Threat Protection"
],
"caseNumber": 2275,
"totalComments": 0,
"metrics": {
"SecurityAlert": 1
},
"firstAlertTimeGenerated": "2019-11-29T07:13:21.5885314Z",
"lastAlertTimeGenerated": "2019-11-29T07:13:21.5885314Z"
}
}
],
"nextLink": "https://management.azure.com:443/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases?api-version=2019-01-01-preview&$skipToken=H4sIAAAAAAAEAE1VTVMiSxD8MR45LIstukbsIbvnqxmGcRgR2xsiFqA44soiHt5vf1nzfOwaQUg31fWRlVnVGfvo8p-Jf5jhavBejW1_jQvon5OfP0_G15ffT67H7rLX7fIQXQ4P64vB583efZqXUSo7zGaRvS4-inWzK9Z-V3ze3RSfxfko8ufFdfy7jIpu8Snd8vkXTnx9c9k78XF52T87O-2fJFdXlxCZfMUDItN-zflJ2m9o-EmRx13Efi52cvw9Fnf2LBmvkW0-aBJwK8kUSYPp0R88pm_m9s-5gg2uKx9y9PMMu1yuOqgNaklrOGPfBDtMAu4FfawNZpJ2EDXWChZYGCwl2iBt7EpQovKARD1k3pb6u_Vqt4ELdqy_nw7mhSQ7pN5e6RnGbQQ9PDUYSNpHEnAjaQzUtiM2x71HLoMNoXCVoMZMz4wHg6FkueaXCrZYBHiJWYG3tEuRVke8Dog69ccs9uJ2wNxaJJ55OsASmmDvBB3F7VaQoarQ0XzjyiKOe4gDluo0laO_HN752wa_5a6-Ow3x_R88BYU_yOt7b1B6PPyN-_Ps6fHv8_ez7vLv876R1fFs2fftaLqsFjgPUV9GNevPzqRc4D1EvyXvYGPYN2yHfv9_XnYBt7A77ddgh-fgSin6tM_mEh3sqcFaHrb4HqI7sStrGvcm-RafjTMy7GHl7d262WDR2B-Sl9g27pcMD3gI2TfGsYx_LqMF3kJUSdnjO2QyP-DdR5EMd1gaPB3zT0E_5Uz9PjXsc1TiNtieDDroBdr73AafXMg0tXUTL-Wxr_cdGfUYN5qITzEPvXu51fjOyjDFKkSPks6Ytw1S9e0oJE4ea4xDZsgje9bikdqdd-eS7zA49p_0Sxb-1KdP4nd4CW4pfoVNg0TmM-JD-0GNZXAHGXbw4l0jWY1n40T9rIx7krRXLrwbiZ_ixdAuW9A-Wio-pyZKJT_gYNyH5n0d0ldJOuxnJFLMGMd2xYWjvgbChG5XSWPcWP3Q316GW5SGOEe5fQxJLVXqbkzcl3pnfcjexP3R5w9KvfkgPw3GcLHyc6p-Jh5d1ZElXwUrXDX4IW6hI8SL7ek82JIHuDKq4xWyVrf6X_WZwXueaVc2eBe3Jf8hjufU41yiVOPYPa9UD3oeNvgU6sex7-JKeMN41OWQI-br_lTiKUaN6qqGb_W9UOndq95co_lu4APIx43ml4lVnmMjrsbIMB5lmhvOA94XBhOxrBfVs7gp-45X9RMFjj47o36t0zmVCGXrVVH4T5AxgmAILdDZVOfUTmTl8yM_CNLryj4aFzSfNGgczolf0FkQZ4orpcU4HIZWtVqJc_qSw3elcWDhUATOI-LP_DPBTOvjHDogC4j2joOWqei7rFGdMNv2HVxpiBftaB8RX1bIy2SF2qOnOHLOpWKd4hjEliyWzxolAeMRp0x5gIHmfa15JgbcC6nyICiuxOmpzXdOXPh-oPOSc5D2Y62F9U2UF8OAR84FjRfpPGU_K-0reVBVbqV822nfuU_4Tir2s5R4q3lM27447gX6rwxG4gqlJhQh8uWXuI32nfypHPMrxXW03y-ijPb8nXhfeRjtq9V-sq_s00RxoX2u8xzKD3fQep-Ur2xFrf1ivE_pLLJXk1SSpyga9bsD56KNW9nJN9UBeeR4pa2qFNdE9wd5ETOBmPyhXu7b-i-YpDYV1VL3j2_76cA7r3WQ13eKD_F0MXk58Lj6wtdXxD1S3nP_MQ-397E2vmr3o2e-xIlbhfEP2s_f4mbah1jrJL573a_EdSRc2eTDWnXoW35wL7X17rT-i5YXc8ut1Oqzrzrm3nRfOA0Vp6TlH3kvvrUbNHhWnCOv_c25l6lL8iXlnod6t1i1um9QtHwMzIP99OrHFvTrFBTV1rnyKt4zb8VJ9cX6klYPFR2pJJzydy12q3ik6geqa-ojbeeItbTnHnfUVfXzX2qVoX91CQAA"
}
Muro de casos
| Tipo de resultado | Valor/ Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Si la operación se realiza correctamente y se obtienen datos, se imprime el mensaje "Se devolvieron correctamente los incidentes de Microsoft Sentinel". Si no se encuentra nada, imprime "Action was not able to find any incidents". if error: print "Failed to list Microsoft Sentinel incidents! El error es {0}".format(exception.stacktrace). |
General |
| Tabla | Título de la tabla: Incidentes encontrados en Microsoft Sentinel: Columnas: incident_number, incident_id, title, description, severity, status, labels, assigned to, alert product names, created time, last updated time |
General |
| Archivos adjuntos | List_Incidents.json: Contiene los datos JSON técnicos que devuelve la acción. | General |
Visor de JSON |
Muestra el visualizador de JSON para el resultado de la búsqueda. | General |
Actualizar detalles del incidente
Actualiza un incidente de Microsoft Sentinel.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Número de caso del incidente | Número entero | N/A | Sí | Especifica el número de incidente de Azure Sentinel que se actualizará. |
| Título | String | N/A | No | Especifica un título nuevo para el incidente de Azure Sentinel. |
| Gravedad | DDL | No actualizado (valores posibles: No actualizado, Informativo, Bajo, Medio, Alto) |
No | Especifica la nueva gravedad del incidente de Azure Sentinel. |
| Descripción | String | N/A | No | Especifica una nueva descripción para el incidente de Azure Sentinel. |
| Asignado a | String | N/A | No | Especifica el usuario al que se le asignará el incidente. |
| Estado | DDL | No actualizado (valores posibles: No actualizado, Nuevo, Activo, Cerrado) | No | Especifica el nuevo estado del incidente de Azure Sentinel. |
| Motivo del cierre | DDL | No actualizado (valores posibles: |
No | Si el estado del incidente se establece como Cerrado, proporciona un motivo de cierre para el incidente. |
| Cierre del comentario | String | N/A | No | Comentario de cierre opcional para proporcionar el incidente cerrado de Azure Sentinel. |
| Cantidad de reintentos | Número entero | 1 | Sí | Especifica la cantidad de reintentos que debe realizar la acción si no se pudo actualizar el incidente. |
| Reintentar cada | Número entero | 20 | Sí | Especifica el período durante el que la acción debe esperar entre los reintentos de actualización del incidente. |
Casos de uso
La acción se puede usar para actualizar un incidente de Microsoft Sentinel desde el manual de estrategias de SecOps de Google. Se puede usar como acción resultante en un flujo de trabajo que implica el análisis de un incidente de Microsoft Sentinel. Una vez que se procesan los incidentes en Google SecOps, se pueden actualizar para indicar el progreso del análisis del incidente (p. ej., establecer assignedTo, establecer el estado como inProgress, etc.).
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
Se devuelve el resultado JSON para la solicitud 2, que contiene los siguientes detalles actualizados del incidente:
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases/9e5c0afc-b7a6-4eac-8164-9242ad710a66",
"name": "9e5c0afc-b7a6-4eac-8164-9242ad710a66",
"etag": "\"12002b5c-0000-0d00-0000-5dde83730000\"",
"type": "Microsoft.SecurityInsights/Cases",
"properties": {
"title": "Activity from a Tor IP address",
"description": "A failed sign in was detected from a Tor IP addressThe Tor IP address 203.0.113.200 was used by Example User - Test User Spec (user@example.com).",
"severity": "Informational",
"status": "InProgress",
"assignedTo": "test@example.com",
"labels": [],
"closeReason": "Resolved",
"endTimeUtc": "2019-11-27T01:56:03.4651258Z",
"startTimeUtc": "2019-11-27T01:56:03.4651258Z",
"owner": {
"objectId": null,
"email": "test@example.com"
},
"lastUpdatedTimeUtc": "2019-11-27T14:08:51Z",
"createdTimeUtc": "2019-11-27T05:01:11.1139394Z",
"relatedAlertIds": [
"2a96343c-e551-4529-96f1-18d6f734470d"
],
"relatedAlertProductNames": [
"Azure Sentinel"
],
"caseNumber": 2274,
"totalComments": 0,
"metrics": {
"SecurityAlert": 1
},
"firstAlertTimeGenerated": "2019-11-27T05:01:10.2574659Z",
"lastAlertTimeGenerated": "2019-11-27T05:01:10.2574659Z"
}
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Si la operación se realiza correctamente: Imprime "Se actualizó correctamente el incidente {0} de Microsoft Sentinel".format(IncidentID). Si no se puede encontrar el incidente con el número de caso proporcionado: Imprime "No se encontró el incidente de Microsoft Sentinel con el número de caso {0}".format(incident_case_number). Si hay un error, imprime "No se pudo actualizar el incidente de Microsoft Sentinel". El error es {0}".format(exception.stacktrace). |
General |
Actualiza las etiquetas de incidentes
Actualiza las etiquetas de un incidente específico de Microsoft Sentinel.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Número de caso del incidente | Número entero | 2273 | Sí | Especifica el número de incidente de Azure Sentinel que se actualizará con etiquetas nuevas. |
| Etiquetas | String | malware | Sí | Especifica las etiquetas nuevas que se deben agregar al incidente. El parámetro acepta varios valores como una cadena separada por comas. |
| Cantidad de reintentos | Número entero | 1 | Sí | Especifica la cantidad de reintentos que debe realizar la acción si no se pudo actualizar el incidente. |
| Reintentar cada | Número entero | 20 | Sí | Especifica el período de espera de la acción entre los reintentos de actualización del incidente. |
Casos de uso
La acción se puede usar para actualizar las etiquetas de incidentes de Microsoft Sentinel desde el manual de estrategias de SecOps de Google. El usuario puede usar esta acción para asignar etiquetas específicas a incidentes específicos si es necesario. Por ejemplo, si hay hosts específicos que forman parte de este incidente, debe haber una etiqueta específica.
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
Se muestra el resultado en formato JSON para la solicitud 2, que contiene detalles actualizados del incidente:
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases/9e5c0afc-b7a6-4eac-8164-9242ad710a66",
"name": "9e5c0afc-b7a6-4eac-8164-9242ad710a66",
"etag": "\"12002b5c-0000-0d00-0000-5dde83730000\"",
"type": "Microsoft.SecurityInsights/Cases",
"properties": {
"title": "Activity from a Tor IP address",
"severity": "Informational",
"status": "InProgress",
"labels": [
"malware",
"trojan"
],
"endTimeUtc": "2019-11-27T01:56:03.4651258Z",
"startTimeUtc": "2019-11-27T01:56:03.4651258Z",
"owner": {
"objectId": null,
},
"lastUpdatedTimeUtc": "2019-11-27T14:08:51Z",
"createdTimeUtc": "2019-11-27T05:01:11.1139394Z",
"relatedAlertIds": [
"2a96343c-e551-4529-96f1-18d6f734470d"
],
"relatedAlertProductNames": [
"Azure Sentinel"
],
"caseNumber": 2274,
"totalComments": 0,
"metrics": {
"SecurityAlert": 1
},
"firstAlertTimeGenerated": "2019-11-27T05:01:10.2574659Z",
"lastAlertTimeGenerated": "2019-11-27T05:01:10.2574659Z"
}
}
Muro de casos
| Tipo de resultado | Valor/ Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Si la operación se realiza correctamente: "Se actualizó correctamente el incidente {0} de Microsoft Sentinel con las siguientes etiquetas: {1}".format(IncidentID, [labels_list]).
Si no se puede encontrar el incidente con el número de caso proporcionado: "No se encontró el incidente de Microsoft Sentinel con el número de caso {0}".format(incident_case_number). Si el usuario proporcionó una etiqueta que ya existe en el incidente (isSuccess=False): "Las siguientes etiquetas no se agregaron a las etiquetas de Microsoft Sentinel para el incidente {0} porque ya existen: {1}".format(IncidentID, [labels_list]) Si se produce un error, se mostrará el mensaje "No se pudieron actualizar las etiquetas del incidente de Microsoft Sentinel". El error es {0}".format(exception.stacktrace). |
General |
Obtener estadísticas de incidentes
Obtiene estadísticas de incidentes de Azure Sentinel.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Período | Número entero | 3 | No | Especifica el período para el que se mostrarán las estadísticas. |
Casos de uso
La acción se puede usar para mostrar informes del Manual de Google SecOps para eventos de Microsoft Sentinel. Esta acción formará parte del playbook en el que un usuario interactúa con la alarma de Microsoft Sentinel creada cuando, por ejemplo, se procesó y quitó una advertencia. Esta acción se podría implementar para ver el resultado de los incidentes de Microsoft Sentinel en la página "Lecciones aprendidas".
Por el contrario, puede ser el método de interfaz de un usuario, en lugar de usar la app de Windows Sentinel, para permanecer en Google SecOps.
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Aggregations/Cases",
"name": "Cases",
"type": "Microsoft.SecurityInsights/Aggregations",
"kind": "CasesAggregation",
"properties": {
"aggregationBySeverity": {
"totalCriticalSeverity": 1,
"totalHighSeverity": 2,
"totalMediumSeverity": 554,
"totalLowSeverity": 1714,
"totalInformationalSeverity": 1
},
"aggregationByStatus": {
"totalNewStatus": 2268,
"totalInProgressStatus": 4,
"totalResolvedStatus": 1,
"totalDismissedStatus": 0,
"totalTruePositiveStatus": 2,
"totalFalsePositiveStatus": 1
}
}
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Si se ejecuta correctamente y obtiene datos: Imprime "Successfully returned Microsoft Sentinel incident statistics". Si hay un error, haz lo siguiente: Imprime "No se pudieron obtener las estadísticas de incidentes de Microsoft Sentinel". El error es {0}".format(exception.stacktrace). |
General |
| Tabla núm. 1 | Título de la tabla: Estadísticas de incidentes de Microsoft Sentinel por gravedad: Columnas: Crítica (se asigna a totalCriticalSeverity), Alta (se asigna a totalHighSeverity), Media (se asigna a totalMediumSeverity), Baja(se asigna a totalLowSeverity) e Informativa(se asigna a totalInformationalSeverity) |
General |
| Mesa núm. 2 | Título de la tabla: Estadísticas de incidentes de Microsoft Sentinel por estado: Columnas: New(se asigna a totalNewStatus), InProgress(se asigna a totalInProgressStatus), Resolved(se asigna a totalResolvedStatus), Dismissed(se asigna a totalDismissedStatus) y TruePositive(se asigna a totalTruePositiveStatus) FalsePositive(se asigna a totaFalsePositiveStatus) |
General |
Visor de JSON |
Muestra el visualizador de JSON para el resultado de la búsqueda. | General |
Enumera las reglas de alertas
Obtiene la lista de reglas programadas de Azure Sentinel.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Gravedad de la regla de alerta | String | Informativo, Bajo, Medio, Alto, Crítico | No | Especifica las gravedades de las reglas de alerta que se deben buscar. El parámetro acepta varios valores como una cadena separada por comas. |
| Recupera tipos de reglas de alertas específicas | String | N/A | No | Especifica qué tipos de alertas debe devolver la acción. El parámetro acepta varios valores como una cadena separada por comas. Si no se proporciona un valor, se devuelven todos los tipos de alertas posibles. |
| Recupera tácticas de reglas de alertas específicas | String | N/A | No | Especifica qué acción de tácticas de reglas de alerta debe devolver. El parámetro acepta varios valores como una cadena separada por comas. Si no se proporciona el valor, se devuelven todos los tipos de alertas posibles. |
| ¿Solo se recuperan las reglas de alerta habilitadas? | Casilla de verificación | Desmarcado | No | Especifica si la acción debe devolver solo las reglas de alerta habilitadas. |
| Cantidad máxima de reglas que se devolverán | Número entero | N/A | No | Cantidad de reglas de alertas programadas que debe devolver la acción; por ejemplo, 50. |
Casos de uso
La acción se puede usar para enumerar las reglas de alertas de Microsoft Sentinel desde el manual de estrategias de SecOps de Google. Puedes enumerar las reglas de alertas para asegurarte de que preparaste una regla de alerta para cada tipo de amenaza y anomalía sospechosa en tu entorno. Si ves que algunas situaciones no se manejan correctamente, puedes actualizar de inmediato las reglas de alerta existentes o crear una nueva. La regla de alerta de Microsoft Sentinel garantiza que recibas una notificación de inmediato para que puedas priorizar, investigar y corregir las amenazas.
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"value": [
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/alertRules/4bdce24d-7837-4f02-9f7a-10824f376517",
"name": "4bdce24d-7837-4f02-9f7a-10824f376517",
"etag": "\"00002f05-0000-0d00-0000-5d9db9970000\"",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "MicrosoftSecurityIncidentCreation",
"properties": {
"productFilter": "Azure Active Directory Identity Protection",
"severitiesFilter": null,
"displayNamesFilter": null,
"displayName": "Create incidents based on Azure Active Directory Identity Protection alerts",
"enabled": true,
"description": "Create incidents based on all alerts generated in Azure Active Directory Identity Protection",
"tactics": null,
"alertRuleTemplateName": "532c1811-79ee-4d9f-8d4d-6304c840daa1",
"lastModifiedUtc": "2019-10-09T10:42:31.5264376Z"
}
},
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/alertRules/540f68c9-9397-49c7-8953-8efce08d6e62",
"name": "540f68c9-9397-49c7-8953-8efce08d6e62",
"etag": "\"00003105-0000-0d00-0000-5d9db9ad0000\"",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "MicrosoftSecurityIncidentCreation",
"properties": {
"productFilter": "Azure Security Center",
"severitiesFilter": null,
"displayNamesFilter": null,
"displayName": "Create incidents based on Azure Security Center alerts",
"enabled": true,
"description": "Create incidents based on all alerts generated in Azure Security Center",
"tactics": null,
"alertRuleTemplateName": "90586451-7ba8-4c1e-9904-7d1b7c3cc4d6",
"lastModifiedUtc": "2019-10-09T10:42:53.9014288Z"
}
}
]
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Si la operación se realiza correctamente, imprime "Successfully listed Microsoft Sentinel alert rules configured". Si hay un error, imprime "No se pudieron enumerar las reglas de alertas de Microsoft Sentinel. El error es {0}".format(exception.stacktrace). |
General |
| Tabla | Título de la tabla: Reglas de alertas de Microsoft Sentinel encontradas: Columnas: AlertID (se asigna a name), Name (se asigna a displayName), Enabled, Description, Tactics, Last Modification Time (se asigna a lastModificationUtc) |
General |
| Archivos adjuntos | List_AlertRules.json: Contiene los datos JSON técnicos que devuelve la acción. | General |
Visor de JSON |
Muestra el visualizador de JSON para el resultado de la búsqueda. | General |
Obtén detalles de la regla de alerta
Obtiene detalles de la regla de alerta programada de Azure Sentinel.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| AlertRuleID | String | N/A | Sí | Especifica el ID de la regla de alerta. |
Casos de uso
La acción se puede usar para obtener detalles sobre la regla de alerta de Microsoft Sentinel desde el manual de estrategias de SecOps de Google. Si ves, por ejemplo, que algunas alertas son cada vez más frecuentes y la mayoría son falsos positivos, o si una regla de alerta controla demasiadas situaciones y deseas separarlas para que sea más fácil identificar la amenaza, puedes usar esta acción para comprender correctamente la configuración de la regla de alerta. Según los resultados de la regla de alerta, puedes decidir si la actualizas, la borras o la dejas sin cambios.
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/alertRules/8dce4dbd-0ba6-4c93-943a-8da49f7d0aa4",
"name": "8dce4dbd-0ba6-4c93-943a-8da49f7d0aa4",
"etag": "\"0200c767-0000-0d00-0000-5ddf3b160000\"",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "Scheduled",
"properties": {
"severity": "High",
"query": "SecurityEvent\r\n| where Activity startswith \"4625\"\r\n| summarize count() by IpAddress, Computer\r\n| where count_ >3\r\n| extend HostCustomEntity = Computer\r\n| extend IPCustomEntity = IpAddress",
"queryFrequency": "PT1H",
"queryPeriod": "P5D",
"triggerOperator": "GreaterThan",
"triggerThreshold": 0,
"suppressionDuration": "PT5H",
"suppressionEnabled": false,
"displayName": "Multiple failed login attempts from the same IP",
"enabled": false,
"description": "",
"tactics": [
"InitialAccess"
],
"alertRuleTemplateName": null,
"lastModifiedUtc": "2019-11-28T03:12:21.9276927Z"
}
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Si la operación se realiza correctamente y se obtienen datos: Imprime "Se devolvieron correctamente los detalles de la regla de alerta {0} de Microsoft Sentinel".format(AlertRuleID). Si no se encuentra la regla de alerta con el AlertID proporcionado: Imprime "No se encontró la regla de alerta de Microsoft Sentinel con el ID "{0}"".format(AlertRuleID).
Si hay un error, imprime "No se pudieron obtener detalles sobre la regla de alerta de Microsoft Sentinel". El error es {0}".format(exception.stacktrace). |
General |
| Tabla | Título de la tabla: Detalles de la regla de alerta de Microsoft Sentinel: Columnas: AlertID (se asigna a name), Name (se asigna a displayName), Enabled, Description, Query, Frequency(se asigna a queryFrequency), Period of Lookup data(se asigna a queryPeriod), Trigger (se asigna como combinación de triggerOperator y triggerThreshold), Tactics, Enable Suppression(se asigna como “suppressionEnabled”), Suppression Duration(se asigna como suppressionDuration), Last Modification Time (se asigna a lastModificationUtc) |
General |
Visor de JSON |
Muestra el visualizador de JSON para el resultado de la búsqueda. | General |
Crear regla de alerta
Crea una regla de alerta programada de Azure Sentinel.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Habilitar regla de alerta | DDL | N/A | Sí | Especifica si deseas inhabilitar o habilitar esta regla de alerta. |
| Nombre | String | N/A | Sí | Especifica el nombre visible de la regla de alerta. |
| Gravedad | DDL | N/A | Sí | Especifica la gravedad de esta regla de alerta. |
| Consulta | String | N/A | Sí | Especifica la consulta de esta regla de alerta. |
| Frecuencia | String | N/A | Sí | Especifica con qué frecuencia se ejecutará la consulta con el siguiente formato: PT + número + (M, H, D). donde M son minutos, H son horas y D son días. El mínimo es de 5 minutos y el máximo es de 14 días. |
| Período de los datos de búsqueda | String | N/A | Sí | Especifica la hora de los últimos datos de búsqueda con el siguiente formato: P + número + (M, H, D). donde M son minutos, H son horas y D son días. El mínimo es de 5 minutos y el máximo es de 14 días. |
| Operador de activación | DDL | N/A | Sí | Especifica el operador de activación para esta regla de alerta. |
| Umbral del activador | Número entero | N/A | Sí | Especifica el umbral de activación para esta regla de alerta. |
| Habilitar la supresión | DDL | N/A | Sí | Especifica si deseas detener la ejecución de la consulta después de que se genere la alerta. |
| Duración de la supresión | String | N/A | Sí | Especifica durante cuánto tiempo quieres dejar de ejecutar la consulta después de que se genere la alerta con el siguiente formato: PT + número + (M, H, D). donde M son minutos, H son horas y D son días Ejemplos: P1M: 1 minuto P10H: 10 horas P2D: 2 días El mínimo es de 5 minutos y el máximo es de 14 días. |
| Descripción | String | N/A | No | Especifica la descripción de esta regla de alerta. |
| Tácticas | String | N/A | No | Especifica las tácticas para esta regla de alerta. El parámetro puede tomar varios valores separados por comas. |
Casos de uso
La acción se puede usar para crear reglas de alertas de Microsoft Sentinel a partir del manual de estrategias de SecOps de Google. Puedes crear reglas de alertas personalizadas para ayudarte a buscar los tipos de amenazas y anomalías que son sospechosos en tu entorno. La regla de alerta de Microsoft Sentinel garantiza que recibas una notificación de inmediato para que puedas priorizar, investigar y corregir las amenazas.
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Si la operación se realiza correctamente, imprime "Se creó correctamente la regla de alerta de Microsoft Sentinel". Si hay un error, imprime "No se pudo crear la regla de alerta de Microsoft Sentinel". El error es {0}".format(exception.stacktrace). |
General |
Actualizar regla de alerta
Actualiza la regla de alerta programada de Azure Sentinel.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| AlertRuleID | String | N/A | Sí | Especifica el AlertRuleID de la regla de alerta. |
| Nombre | String | N/A | No | Especifica el nombre visible de la regla de alerta. |
| Habilitar regla de alerta | DDL | N/A | No | Especifica si deseas inhabilitar o habilitar esta regla de alerta. |
| Gravedad | DDL | N/A | No | Especifica la gravedad de esta regla de alerta. |
| Consulta | String | N/A | No | Especifica la consulta de esta regla de alerta. |
| Frecuencia | String | N/A | No | Especifica con qué frecuencia se ejecutará la consulta con el siguiente formato: PT + número + (M, H, D). donde M son minutos, H son horas y D son días. Ejemplos: PT1M: Ejecuta la consulta cada minuto. PT10H: Ejecuta la consulta cada 10 horas. PT2D: Ejecuta la consulta cada 2 días. El mínimo es de 5 minutos y el máximo es de 14 días. |
| Período de los datos de búsqueda | String | N/A | No | Especifica la hora de los últimos datos de búsqueda con el siguiente formato: P + número + (M, H, D). donde M son minutos, H son horas y D son días. . Ejemplos: P1M: 1 minuto P10H: 10 horas P2D: 2 días El mínimo es de 5 minutos y el máximo es de 14 días. |
| Operador de activación | DDL | N/A | No | Especifica el operador de activación para esta regla de alerta. |
| Umbral del activador | Número entero | N/A | No | Especifica el umbral de activación para esta regla de alerta. |
| Habilitar la supresión | DDL | N/A | No | Especifica si deseas detener la ejecución de la consulta después de que se genere la alerta. |
| Duración de la supresión | String | N/A | No | Especifica durante cuánto tiempo quieres dejar de ejecutar la consulta después de que se genere la alerta con el siguiente formato: PT + número + (M, H, D). donde M son minutos, H son horas y D son días Ejemplos: P1M: 1 minuto P10H: 10 horas P2D: 2 días El mínimo es de 5 minutos y el máximo es de 14 días. |
| Descripción | String | N/A | No | Especifica la descripción de esta regla de alerta. |
| Tácticas | String | None | No | Especifica las tácticas para esta regla de alerta. El parámetro acepta varios valores separados por comas. |
Casos de uso
La acción se puede usar para actualizar las reglas de alertas de Microsoft Sentinel desde el manual de estrategias de SecOps de Google. Por ejemplo, si ves que algunas alertas son cada vez más frecuentes y la mayoría de ellas son falsos positivos, puedes usar esta acción para actualizar la configuración de la regla de alerta y adaptarla a tus necesidades y deseos. La regla de alerta de Microsoft Sentinel garantiza que recibas una notificación de inmediato para que puedas priorizar, investigar y corregir las amenazas.
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Si la operación se realiza correctamente, imprime "Se actualizó correctamente la regla de alerta de Microsoft Sentinel con el ID {0}".format(AlertRuleID). Si no se puede encontrar una regla de alerta con el AlertID proporcionado: Imprime "No se encontró la regla de alerta de Microsoft Sentinel con el ID "{0}"".format(AlertRuleID). Si hay un error, imprime "No se pudo actualizar la regla de alerta de Microsoft Sentinel. El error es {0}".format(exception.stacktrace). |
General |
Borrar regla de alerta
Borra una regla de alerta programada de Azure Sentinel.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| AlertRuleID | String | N/A | Sí | Especifica el ID de la regla de alerta que se borrará. |
Casos de uso
La acción se puede usar para borrar la regla de alerta de Microsoft Sentinel de Google SecOps. Si una regla de alerta está muy desactualizada y no cumple su propósito, o si una regla solo crea falsos positivos, puedes borrarla con esta acción.
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Si se ejecuta correctamente: Imprime "Se borró correctamente la regla de alerta de Microsoft Sentinel {0}".format(AlertRuleID). Si no se encuentra la regla de alerta con el AlertID proporcionado: Imprime "No se encontró la regla de alerta de Microsoft Sentinel con el ID "{0}"".format(AlertRuleID). If error: print "No se pudo borrar la regla de alerta de Microsoft Sentinel. El error es {0}".format(exception.stacktrace). |
General |
Enumera las reglas de búsqueda personalizadas
Obtiene la lista de reglas de búsqueda personalizadas de Azure Sentinel.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombres de las reglas de cacería que se devolverán | String | N/A | No | Especifica los nombres de las reglas de búsqueda que debe devolver la acción. El parámetro acepta varios valores como una cadena separada por comas. Si no se proporciona el valor, se devuelven todos los tipos de alertas posibles. |
| Recupera tácticas de reglas de caza específicas | String | N/A | No | Especifica qué debe devolver la acción de tácticas de reglas de búsqueda. El parámetro acepta varios valores como una cadena separada por comas. Si no se proporciona el valor, se devuelven todos los tipos de alertas posibles. |
| Cantidad máxima de reglas que se devolverán | Número entero | N/A | No | Cantidad de reglas de alertas programadas que debe devolver la acción; por ejemplo, 50. |
Casos de uso
La acción se puede usar para enumerar las reglas de búsqueda personalizadas y favoritas del manual de Google SecOps para Microsoft Sentinel. Para asegurarte de haber establecido todas las reglas de búsqueda de datos relacionadas con los procesos más críticos y poco frecuentes que operan en tu red, debes mencionar las reglas de búsqueda personalizadas y preferidas. Puedes actualizar y crear reglas de búsqueda existentes de inmediato si ves que algunas situaciones no se manejan correctamente.
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"__metadata": {},
"value": [
{
"id": "subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/savedSearches/0c5bd7e1-0e13-4e7d-9e32-88baf9589192",
"etag": "W/\"datetime'2019-12-02T10%3A14%3A10.5299491Z'\"",
"properties": {
"Category": "Hunting Queries",
"DisplayName": "Hunting Query 1",
"Query": "\r\nlet timeframe = 7d;\r\nAWSCloudTrail\r\n| where TimeGenerated >= ago(timeframe)\r\n| where EventName in~ (\"AttachGroupPolicy\", \"AttachRolePolicy\", \"AttachUserPolicy\", \"CreatePolicy\",\r\n\"DeleteGroupPolicy\", \"DeletePolicy\", \"DeleteRolePolicy\", \"DeleteUserPolicy\", \"DetachGroupPolicy\",\r\n\"PutUserPolicy\", \"PutGroupPolicy\", \"CreatePolicyVersion\", \"DeletePolicyVersion\", \"DetachRolePolicy\", \"CreatePolicy\")\r\n| project TimeGenerated, EventName, EventTypeName, UserIdentityAccountId, UserIdentityPrincipalid, UserAgent, \r\nUserIdentityUserName, SessionMfaAuthenticated, SourceIpAddress, AWSRegion, EventSource, AdditionalEventData, ResponseElements\r\n| extend timestamp = TimeGenerated, IPCustomEntity = SourceIpAddress, AccountCustomEntity = UserIdentityAccountId\r\n",
"Tags": [
{
"Name": "description",
"Value": "1234"
},
{
"Name": "tactics",
"Value": "DefenseEvasion"
},
{
"Name": "createdTimeUtc",
"Value": "12/02/2019 09:21:18"
}
],
"Version": 2
},
"name": "0c5bd7e1-0e13-4e7d-9e32-88baf9589192"
},
{
"id": "subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/savedSearches/30a94796-a573-4e6e-9385-fb96d0aa5ea2",
"etag": "W/\"datetime'2019-12-02T10%3A10%3A18.4761379Z'\"",
"properties": {
"Category": "Hunting Queries",
"DisplayName": "Hunting Query 1",
"Query": "\r\nlet timeframe = 7d;\r\nAWSCloudTrail\r\n| where TimeGenerated >= ago(timeframe)\r\n| where EventName in~ (\"AttachGroupPolicy\", \"AttachRolePolicy\", \"AttachUserPolicy\", \"CreatePolicy\",\r\n\"DeleteGroupPolicy\", \"DeletePolicy\", \"DeleteRolePolicy\", \"DeleteUserPolicy\", \"DetachGroupPolicy\",\r\n\"PutUserPolicy\", \"PutGroupPolicy\", \"CreatePolicyVersion\", \"DeletePolicyVersion\", \"DetachRolePolicy\", \"CreatePolicy\")\r\n| project TimeGenerated, EventName, EventTypeName, UserIdentityAccountId, UserIdentityPrincipalid, UserAgent, \r\nUserIdentityUserName, SessionMfaAuthenticated, SourceIpAddress, AWSRegion, EventSource, AdditionalEventData, ResponseElements\r\n| extend timestamp = TimeGenerated, IPCustomEntity = SourceIpAddress, AccountCustomEntity = UserIdentityAccountId\r\n",
"Tags": [
{
"Name": "description",
"Value": "1234"
},
{
"Name": "tactics",
"Value": "DefenseEvasion"
},
{
"Name": "createdTimeUtc",
"Value": "12/02/2019 09:21:18"
}
],
"Version": 2
},
"name": "30a94796-a573-4e6e-9385-fb96d0aa5ea2"
}
]
}
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Si la operación se realiza correctamente: Imprime "Successfully returned Microsoft Sentinel hunting rules". Si hay un error, imprime "No se pudieron enumerar las reglas de búsqueda de Microsoft Sentinel". El error es {0}".format(exception.stacktrace). |
General |
| Tabla | Título de la tabla: Reglas de búsqueda de Microsoft Sentinel encontradas: Columnas: HuntingRuleID(asignado a name), title (asignado a displayName), category, description (asignado al parámetro description en el diccionario de etiquetas), tactics(asignado al parámetro tactics en el diccionario de etiquetas), query, creation time (asignado al parámetro CreatedTimeUtc en el diccionario de etiquetas) |
General |
| Archivos adjuntos | List_HuntingRules.json: Contiene los datos JSON técnicos que devuelve la acción. | General |
Visor de JSON |
Muestra el visualizador de JSON para el resultado de la búsqueda. | General |
Obtén detalles de la regla de búsqueda personalizada
Obtiene detalles de la regla de búsqueda personalizada de Azure Sentinel.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| HuntingRuleID | String | N/A | Sí | Especifica el ID de la regla de búsqueda. |
Casos de uso
Se puede acceder a la información sobre las reglas de búsqueda estándar o preferidas de Microsoft Sentinel con el manual de Google SecOps. Usa esta herramienta, por ejemplo, si ves detalles que recibes de las reglas de búsqueda que no son adecuados para el análisis o si quieres ver si tu regla de búsqueda está configurada correctamente. Según los resultados, evaluarás si editar, quitar o dejar sin cambios el contenido.
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"id": "subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/savedSearches/30a94796-a573-4e6e-9385-fb96d0aa5ea2",
"etag": "W/\"datetime'2019-12-02T10%3A14%3A10.5299491Z'\"",
"properties": {
"Category": "Log Management",
"DisplayName": "Multiple Password Reset by user",
"Query": "\nlet timeframe = 7d;\nAWSCloudTrail\n| where TimeGenerated >= ago(timeframe)\n| where EventName in~ (\"AttachGroupPolicy\", \"AttachRolePolicy\", \"AttachUserPolicy\", \"CreatePolicy\",\n\"DeleteGroupPolicy\", \"DeletePolicy\", \"DeleteRolePolicy\", \"DeleteUserPolicy\", \"DetachGroupPolicy\",\n\"PutUserPolicy\", \"PutGroupPolicy\", \"CreatePolicyVersion\", \"DeletePolicyVersion\", \"DetachRolePolicy\", \"CreatePolicy\")\n| project TimeGenerated, EventName, EventTypeName, UserIdentityAccountId, UserIdentityPrincipalid, UserAgent, \nUserIdentityUserName, SessionMfaAuthenticated, SourceIpAddress, AWSRegion, EventSource, AdditionalEventData, ResponseElements\n| extend timestamp = TimeGenerated, IPCustomEntity = SourceIpAddress, AccountCustomEntity = UserIdentityAccountId\n",
"Tags": [
{
"Name": "description",
"Value": "Identity and Access Management (IAM) securely manages access to AWS services and resources."
},
{
"Name": "tactics",
"Value": "DefenseEvasion"
},
{
"Name": "createdTimeUtc",
"Value": "12/02/2019 09:21:18"
}
],
"Version": 2
}
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Si la operación se realiza correctamente: Imprime "Se devolvieron correctamente los detalles de la regla de búsqueda {0} de Microsoft Sentinel".format(HuntingRuleID). Si no se puede encontrar la regla de alerta con el AlertID proporcionado: Imprime "No se encontró la regla de búsqueda de Microsoft Sentinel con el ID "{0}"".format(HuntingRuleID). Si hay un error, imprime "No se pudieron obtener detalles sobre la regla de búsqueda de Microsoft Sentinel". El error es {0}".format(exception.stacktrace). |
General |
| Tabla | Título de la tabla: Detalles de la regla de búsqueda de Microsoft Sentinel: Columnas: HuntingRuleID (se asigna al nombre), Name (se asigna a displayName), Description, Query, Tactic,Creation Time |
General |
| Archivos adjuntos | List_HuntingRules.json: Contiene los datos JSON técnicos que devuelve la acción. | General |
Visor de JSON |
Muestra el visualizador de JSON para el resultado de la búsqueda. | General |
Crea una regla de búsqueda personalizada
Crea una regla de búsqueda personalizada de Azure Sentinel.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Consulta | String | N/A | Sí | Especifica la consulta que se ejecutará en esta regla de búsqueda. |
| Nombre visible | String | N/A | Sí | Especifica el nombre visible de la regla de búsqueda. |
| Descripción | String | N/A | No | Especifica la descripción de la regla de búsqueda. |
| Tácticas | String | N/A | No | Especifica las tácticas para esta regla de búsqueda. El parámetro acepta varios valores separados por comas. |
Casos de uso
La acción se puede usar para crear una nueva regla de búsqueda de Microsoft Sentinel a partir del manual de estrategias de SecOps de Google. Por ejemplo, las reglas de búsqueda contienen una consulta, que puede proporcionar datos sobre los procesos más poco comunes que se ejecutan en tu infraestructura. No querrás recibir una alerta cada vez que se ejecuten, ya que podrían ser completamente inocentes, pero tal vez quieras echar un vistazo a la consulta de vez en cuando para ver si hay algo inusual. Esto significa que se pueden usar para recopilar más información de tu entorno de red.
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Si se ejecuta correctamente: Imprime "Se creó correctamente la regla de búsqueda de Microsoft Sentinel". Si hay un error, imprime "No se pudo crear la regla de búsqueda de Microsoft Sentinel. El error es {0}".format(exception.stacktrace). |
General |
Actualiza la regla de búsqueda personalizada
Se actualizó la regla de búsqueda personalizada de Azure Sentinel.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| HuntingRuleID | String | N/A | Sí | Especifica el ID de la regla de búsqueda. |
| Nombre visible | String | N/A | No | Especifica el nombre visible de la regla de búsqueda. |
| Consulta | String | N/A | No | Especifica la consulta que se ejecutará en esta regla de búsqueda. |
| Descripción | String | N/A | No | Especifica la descripción. |
| Tácticas | String | N/A | No | Especifica las tácticas para esta regla de búsqueda. El parámetro puede tomar varios valores separados por comas. |
Casos de uso
La acción se puede usar para actualizar una regla de búsqueda personalizada de Microsoft Sentinel desde el manual de estrategias de SecOps de Google. Usa esta acción si crees, por ejemplo, que una regla de búsqueda es muy antigua y quieres actualizar varios parámetros, como una búsqueda o una descripción. La información es clave cuando se investigan incidentes, por lo que cada regla de búsqueda debe actualizarse para mostrar información pertinente.
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Si se ejecuta correctamente: Imprime "Se actualizó correctamente la regla de búsqueda de Microsoft Sentinel con el ID {0}".format(HuntingRuleID). Si no se encuentra la regla de detección con el HuntingRuleID proporcionado: Imprime "No se encontró la regla de detección de Microsoft Sentinel con el ID "{0}"".format(HuntingRuleID). Si hay un error, imprime "No se pudo actualizar la regla de búsqueda de Microsoft Sentinel". El error es {0}".format(exception.stacktrace). |
General |
Borra la regla de búsqueda personalizada
Borra la regla de búsqueda personalizada de Azure Sentinel.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| HuntingRuleID | String | N/A | Sí | Especifica el ID de la regla de búsqueda que se borrará. |
Casos de uso
La acción se puede usar para borrar una regla de búsqueda personalizada de Microsoft Sentinel de Google SecOps. Por ejemplo, si crees que una regla de búsqueda está muy desactualizada y no es necesaria para el proceso de investigación, lo mejor es borrarla.
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Si se ejecuta correctamente: Imprime "Se borró correctamente la regla de búsqueda de Microsoft Sentinel con el ID {0}".format(HuntingRuleID). Si no se encuentra la regla de detección con el HuntingRuleID proporcionado: Imprime "No se encontró la regla de detección de Microsoft Sentinel con el ID "{0}"".format(HuntingRuleID). Si hay un error, imprime "No se pudo borrar la regla de búsqueda de Microsoft Sentinel". El error es {0}".format(exception.stacktrace). |
General |
Ejecuta una regla de búsqueda personalizada
Ejecutar una regla de búsqueda personalizada o favorita de Microsoft Sentinel
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| HuntingRuleID | String | N/A | Sí | Especifica el ID de la regla de búsqueda. |
| Tiempo de espera | Número entero | N/A | No | Es el parámetro que se usa para especificar un valor de tiempo de espera para la llamada a la API de la regla de búsqueda de Azure Sentinel. |
Casos de uso
La acción se puede usar para ejecutar reglas de búsqueda de Microsoft Sentinel desde el manual de estrategias de SecOps de Google. Ejecutar una consulta de regla de búsqueda proporciona datos sobre los procesos menos comunes que se ejecutan en tu infraestructura. No querrás recibir una alerta cada vez que se ejecuten, ya que podrían ser completamente inocuos, pero es posible que quieras echar un vistazo a la consulta de vez en cuando para ver si hay algo inusual. Esto significa que se puede usar para recopilar más información de tu entorno de red, lo que ayudará a los investigadores a comprender todos los detalles de un incidente y a tomar más decisiones.
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"tables": [
{
"name": "PrimaryResult",
"columns": [
{
"name": "timerange",
"type": "datetime"
},
{
"name": "AppDisplayName",
"type": "string"
},
{
"name": "UserPrincipalName",
"type": "string"
},
{
"name": "threeDayWindowLocationCount",
"type": "long"
},
{
"name": "locationList",
"type": "dynamic"
},
{
"name": "timestamp",
"type": "datetime"
},
{
"name": "AccountCustomEntity",
"type": "string"
}
],
"rows": [
[
"2019-11-29T00:00:00Z",
"WindowsDefenderATP Portal",
"user@example.com",
2,
"[\"US/Florida/Miami;\",\"AM/Kotayk'/Abovyan;\"]",
"2019-11-29T00:00:00Z",
"user@example.com"
],
[
"2019-12-02T00:00:00Z",
"WindowsDefenderATP Portal",
"user@example.com",
1,
"[\"US/Florida/Miami;\"]",
"2019-12-02T00:00:00Z",
"user@example.com"
],
[
"2019-11-29T00:00:00Z",
"Azure Portal",
"example@example.com",
1,
"[\"UA/Kyiv Misto/Kyiv;\"]",
"2019-11-29T00:00:00Z",
"example@example.com"
],
[
"2019-12-02T00:00:00Z",
"Azure Portal",
"example@example.com",
2,
"[\"UA/Kyiv Misto/Kyiv;\",\"UA/Kyivs'ka Oblast'/Boryspil';\"]",
"2019-12-02T00:00:00Z",
"example@example.com"
],
[
"2019-11-29T00:00:00Z",
"Azure Portal",
"user@example.com",
1,
"[\"RU/Sverdlovskaya Oblast'/Yekaterinburg;\"]",
"2019-11-29T00:00:00Z",
"user@example.com"
],
[
"2019-12-02T00:00:00Z",
"Azure Portal",
"user@example.com",
1,
"[\"RU/Sverdlovskaya Oblast'/Yekaterinburg;\"]",
"2019-12-02T00:00:00Z",
"user@example.com"
]
]
}
]
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Si se ejecuta correctamente: Imprime "La regla de búsqueda se ejecutó correctamente". Si no se encuentra la regla de detección con el HuntingRuleID proporcionado, se imprime "No se encontró la regla de detección de Microsoft Sentinel con el ID "{0}"".format(HuntingRuleID) if nothing found: print
"Hunting rule executed successfully, but did not return any results."
if error: print "Hunting rule didn't completed due to error:
{0}".format(exception.stacktrace) Si se agota el tiempo de espera: Imprime "La regla de búsqueda no se completó debido a que se agotó el tiempo de espera: {0}".format(exception.stacktrace)
Si se truncaron los resultados de la búsqueda: Imprime "Los resultados de la regla de búsqueda excedieron los límites y se truncaron. Vuelve a escribir tu búsqueda". |
General |
| Tabla | Título de la tabla: Resultados de la regla de búsqueda de Microsoft Sentinel Columnas: Genera columnas de forma dinámica según el resultado de la consulta. |
General |
| Archivos adjuntos | Run_Hunting_rule_{HuntingRuleID}_response.json: Contiene los datos JSON técnicos que devuelve la acción. | General |
Visor de JSON |
Muestra el visualizador de JSON para el resultado de la búsqueda. | General |
Ejecuta una consulta de KQL
Ejecuta la consulta de KQL de Azure Sentinel según los parámetros de entrada de la acción proporcionados.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Consulta de KQL | String | N/A | Sí | Es una consulta de KQL que se ejecutará en Azure Sentinel. Por ejemplo, para obtener las alertas de seguridad disponibles en Sentinel, la consulta será "SecurityAlert". Usa otros parámetros de entrada de acción (período, límite) para filtrar los resultados de la búsqueda. Para ver ejemplos de consultas en KQL, consulta la página web "Registros" de Sentinel. |
| Período | String | N/A | No | Especifica el período para buscar. El valor de tiempo debe cumplir con la norma ISO 8601 y, por ejemplo, se puede usar para especificar que se busque en las últimas 10 horas o en el intervalo de tiempo en el que se debe realizar la búsqueda. Usa el siguiente formato: PT + número + (M, H, D). donde M son minutos, H son horas y D son días. |
| Tiempo de espera de la consulta | Número entero | 180 | No | Es el valor de tiempo de espera para la llamada a la API de la regla de búsqueda de Azure Sentinel. Ten en cuenta que el tiempo de espera del proceso de Python de la acción de Google SecOps se debe ajustar según este parámetro para que la acción no se agote antes del valor especificado debido al tiempo de espera del proceso de Python. |
| Límite de registros | Número entero | 100 | No | Cantidad de registros que se deben recuperar. Parámetro opcional que, si se configura, agrega un \"| limit x\" a la consulta de KQL, donde x es el valor establecido para el límite de registros. Se puede quitar si ya se estableció "límite" en la consulta de KQL o si no es necesario. |
Casos de uso
Ejecutar consultas avanzadas durante la investigación del caso
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"tables": [
{
"name": "PrimaryResult",
"columns": [
{
"name": "Reason",
"type": "string"
},
{
"name": "StartTimeUtc",
"type": "datetime"
},
{
"name": "EndTimeUtc",
"type": "datetime"
},
{
"name": "count_",
"type": "long"
},
{
"name": "timestamp",
"type": "datetime"
}
],
"rows": [
[
"Incorrect password",
"2019-10-22T06:38:30.837Z",
"2019-10-22T11:57:00.003Z",
28,
"2019-10-22T06:38:30.837Z"
],
[
"Account name does not exist",
"2019-10-21T15:19:33.727Z",
"2019-10-22T06:40:13.51Z",
3,
"2019-10-21T15:19:33.727Z"
]
]
}
]
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Si la operación se realiza correctamente, imprime "Query executed successfully". Si no se encuentra nada: Imprime "La consulta se ejecutó correctamente, pero no devolvió ningún resultado". Si hay un error, imprime "La consulta no se completó debido al error: {0}".format(exception.stacktrace). Si se agota el tiempo de espera: Imprime "La consulta no se completó debido a que se agotó el tiempo de espera:
{0}".format(exception.stacktrace). Si los resultados de la búsqueda se truncaron, imprime "Los resultados de la búsqueda excedieron los límites y se truncaron. Vuelve a escribir tu búsqueda". |
|
| Tabla | Título de la tabla: Resultados de la consulta en KQL Columnas: Genera columnas de forma dinámica según el resultado de la consulta. |
General |
| Archivos adjuntos | Run_KQL_query_response.json: Contiene los datos JSON técnicos que devuelve la acción. | General |
Visor de JSON |
Muestra el visualizador de JSON para el resultado de la búsqueda. | General |
Agregar comentario al incidente
Agrega un comentario al incidente de Azure Sentinel.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Número de incidente | Número entero | N/A | Sí | Especifica el número de incidente al que se agregará el comentario. |
| Comentario para agregar | String | N/A | Sí | Especifica el comentario que se agregará al incidente |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Incidents/00cfebdc-c677-463f-8355-cb7f23472c06/Comments/f0f31d1a-d32b-4774-a21d-3279240c7c33",
"name": "f0f31d1a-d32b-4774-a21d-3279240c7c33",
"etag": "\"7e000812-0000-0c00-0000-606fc83f0000\"",
"type": "Microsoft.SecurityInsights/Incidents/Comments",
"properties": {
"message": "Some message",
"createdTimeUtc": "2021-04-09T03:21:35.0894288Z",
"lastModifiedTimeUtc": "2021-04-09T03:21:35.0894288Z",
"author": {
"objectId": "f6ce2f43-6f77-4b30-9a4a-de1a069b2560",
"email": null,
"name": "Comment created from external application - log_analytics_rest_api_for_sentinel",
"userPrincipalName": null
}
}
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía:
La acción debería fallar y detener la ejecución de la guía:
|
General |
Conectores
Si quieres obtener instrucciones detalladas para configurar un conector en Google SecOps, consulta Cómo configurar el conector.
Conector de incidentes de Microsoft Azure Sentinel: En desuso
En Google SecOps SOAR, el conector de incidentes de Microsoft Azure Sentinel ingiere incidentes del espacio de trabajo específico de Microsoft Sentinel como alertas a través de la API de Azure Security Insights.
El conector usa capacidades similares a las acciones List Incidents y Get Incident Details, y se conecta al extremo de Azure Security Insights para extraer una lista de los incidentes generados durante un período especificado.
Caso de uso del conector
Usa el conector para supervisar los espacios de trabajo de Microsoft Sentinel en busca de incidentes nuevos y, luego, ingiérelo en el servidor de SOAR de Google SecOps.
Para garantizar el flujo de tipos de eventos específicos, agrega el conector de datos a Microsoft Sentinel. Por ejemplo, para agregar eventos de seguridad de hosts de Windows como uno de los conectores de datos, instala un agente de Microsoft Sentinel en un host de Windows y configura qué tipos de eventos deseas ingerir: eventos de seguridad, eventos de firewall, eventos de DNS o de otro tipo.
Para generar alertas basadas en condiciones específicas, define reglas de alerta con consultas de reglas. Cuando las reglas de alerta crean advertencias, se activa Microsoft Sentinel para generar eventos, almacenar accidentes de datos y mostrar incidentes en la página de incidentes del portal.
Para leer y escribir datos de incidentes de forma programática, usa la API de REST de Security Insights.
Parámetros del conector
Para configurar el conector, usa los siguientes parámetros:
| Parámetros | |
|---|---|
Product Field Name |
Obligatorio
Nombre del campo en el que se almacena el nombre del producto. El valor predeterminado es |
Event Field Name |
Obligatorio
Nombre del campo en el que se almacena el nombre del evento. El valor predeterminado es |
Environment Field Name |
Optional
Nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo del entorno, se usa el entorno predeterminado. El valor predeterminado es |
Environment Regex Pattern |
Optional
Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo El valor predeterminado El parámetro te permite manipular el campo del entorno con la lógica de expresiones regulares. Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
Azure Subscription ID |
Obligatorio ID de la suscripción de Azure. |
Azure Active Directory ID |
Obligatorio Es el ID de inquilino de Microsoft Entra. |
Api Root |
Obligatorio Es la URL raíz de la API de management.azure.com que se usará con la integración. El valor predeterminado es |
Azure Resource Group |
Obligatorio Nombre del grupo de recursos de Azure en el que se encuentra Microsoft Sentinel. |
Azure Sentinel Workspace Name |
Obligatorio Nombre del espacio de trabajo de Microsoft Sentinel con el que se trabajará. |
Client ID |
Obligatorio ID de la aplicación (cliente) de Microsoft Entra que se usa para esta integración. |
Client Secret |
Obligatorio Valor del secreto del cliente de Microsoft Entra. |
Script Timeout (Seconds) |
Obligatorio Es el límite de tiempo de espera para el proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es 180 segundos. |
Offset Time In Hours |
Obligatorio
Cantidad de horas previas al momento actual desde las que se recuperan los incidentes. El valor predeterminado es de 24 horas. |
Incident Statuses to Fetch |
Obligatorio
Son los estados de los incidentes que se recuperarán. Este parámetro acepta varios valores como una cadena separada por comas. El valor predeterminado es |
Incident Severities to Fetch |
Obligatorio
Son las gravedades de los incidentes que se recuperarán. Este parámetro acepta varios valores como una cadena separada por comas. El valor predeterminado es |
Max Incidents per Cycle |
Obligatorio
Cantidad de incidentes que se procesarán durante una ejecución del conector. Este parámetro acepta varios valores como una cadena separada por comas. El valor predeterminado es 10. |
Proxy Server Address |
Optional
Dirección del servidor proxy que se usará. |
Proxy Server Username |
Optional
Nombre de usuario del proxy para la autenticación. |
Proxy Server Password |
Optional
Contraseña del proxy para la autenticación. |
Reglas del conector
El conector no admite listas de bloqueo ni listas dinámicas.
El conector admite proxies.
Conector de incidentes de Microsoft Azure Sentinel v2
Microsoft Azure Sentinel Incidents Connector v2 es un conector recomendado para usar cuando trabajas con Microsoft Sentinel. Entre los cambios más importantes, se incluye la migración a los nuevos extremos de incidentes en la API de Microsoft Sentinel y la introducción de la lógica de análisis y control de entidades de conectores. Para filtrar incidentes específicos de Microsoft Sentinel y recuperarlos según sus nombres, usa la lista dinámica.
Es posible que la IU de Microsoft Sentinel muestre las entidades del incidente, pero la API no las devuelva (la lista de entidades está vacía). Como resultado, el conector requiere más tiempo para procesar esos incidentes y los consulta en el backlog para las siguientes ejecuciones del conector. Una vez que la información de las entidades está disponible en la respuesta de la API, el conector ingiere los incidentes.
Procesamiento de alertas de Sentinel programadas y no programadas
Para resolver un problema en el conector de incidentes de Microsoft Azure Sentinel cuando mostraba erróneamente entidades para todas las alertas, excepto las alertas programadas de Azure Sentinel, el conector de incidentes de Microsoft Azure Sentinel v2 agrega un evento adicional para cada entidad.
Esto significa que, si el conector recibe una entidad IP, Cuenta o Nombre de host en el evento de SecOps de Google, agrega un evento de SecOps de Google adicional para cada entidad encontrada. El evento recién creado se puede usar para crear entidades y asignar propiedades de entidades en Google SecOps SOAR. Los eventos iniciales permanecen intactos. Los eventos nuevos solo se agregan a la alerta de SecOps de Google. Otros tipos de entidades no se ven afectados por esta lógica y permanecen en el evento inicial sin que se creen eventos adicionales para ellos.
Para permitir la creación de eventos adicionales, el conector usa el extremo de API de entity Sentinel para recuperar los datos. De forma predeterminada, las alertas programadas y las alertas en tiempo casi real se transfieren con las consultas de KQL de Log Analytics para obtener datos de alertas y eventos. Si se selecciona, el parámetro ¿Usar el mismo enfoque con la creación de eventos para todos los tipos de alertas? en la configuración del conector usa el mismo enfoque basado en entidades para todas las alertas, incluidas las programadas y las no programadas. Te recomendamos que uses esta opción con precaución.
Parámetros del conector
Para configurar el conector, usa los siguientes parámetros:
| Parámetros | |
|---|---|
Product Field Name |
Obligatorio
Nombre del campo en el que se almacena el nombre del producto. El valor predeterminado es |
Event Field Name |
Obligatorio
Nombre del campo en el que se almacena el nombre del evento. El valor predeterminado es |
Environment Field Name |
Optional
Nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo del entorno, se usa el entorno predeterminado. El valor predeterminado es |
Environment Regex Pattern |
Optional
Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo El valor predeterminado El parámetro te permite manipular el campo del entorno con la lógica de expresiones regulares. Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
Azure Subscription ID |
Obligatorio ID de la suscripción de Azure. |
Azure Active Directory ID |
Obligatorio Es el ID de inquilino de Microsoft Entra. |
Api Root |
Obligatorio Es la URL raíz de la API que se usará con la integración. El valor predeterminado es |
OAUTH2 Login Endpoint Url |
Obligatorio Es la URL del extremo que se usará para la autenticación de OAuth 2.0. |
Azure Resource Group |
Obligatorio Nombre del grupo de recursos de Azure en el que se encuentra Microsoft Sentinel. |
Azure Sentinel Workspace Name |
Obligatorio Nombre del espacio de trabajo de Microsoft Sentinel con el que se trabajará. |
Client ID |
Obligatorio ID de la aplicación (cliente) de Microsoft Entra que se usa para esta integración. |
Client Secret |
Obligatorio Valor del secreto del cliente de Microsoft Entra. |
Script Timeout (Seconds) |
Obligatorio Es el límite de tiempo de espera para el proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es 180 segundos. |
Offset Time In Hours |
Obligatorio
Cantidad de horas previas al momento actual desde las que se recuperan los incidentes. El valor predeterminado es de 24 horas. |
Incident Statuses to Fetch |
Obligatorio
Son los estados de los incidentes que se recuperarán. Este parámetro acepta varios valores como una cadena separada por comas. El valor predeterminado es |
Incident Severities to Fetch |
Obligatorio
Son las gravedades de los incidentes que se recuperarán. Este parámetro acepta varios valores como una cadena separada por comas. El valor predeterminado es |
Use the same approach with event creation for all alert types?
|
Optional Cuando se marca esta opción, el conector usa el mismo enfoque para todos los tipos de alertas. Cuando no está marcada, el conector usa un enfoque diferente para el tipo de alerta programada de Azure Sentinel y trata de recuperar los eventos que causaron la alerta ejecutando la consulta especificada en los detalles de la alerta. No está marcada de forma predeterminada. |
Use whitelist as a blacklist |
Obligatorio
Si se marca esta opción, la lista dinámica se usará como lista de bloqueo. No está marcada de forma predeterminada. |
Alerts padding period |
Obligatorio
Es el período en minutos que el conector tarda en recuperar las alertas de los incidentes. El valor predeterminado es de 60 minutos. |
Proxy Server Address |
Optional
Dirección del servidor proxy que se usará. |
Proxy Server Username |
Optional
Nombre de usuario del proxy para la autenticación. |
Proxy Server Password |
Optional
Contraseña del proxy para la autenticación. |
Max Backlog Incidents per Cycle |
Obligatorio
Cantidad de incidentes que se recuperarán del backlog durante una ejecución del conector. El valor predeterminado es 10. |
StartTimeFallback |
Obligatorio
Lista separada por comas de atributos de incidentes o alertas que se usarán como alternativa para el campo de alerta Si no se encuentra ninguno de los campos de resguardo, el conector usa el atributo El valor predeterminado es |
EndTimeFallback |
Obligatorio
Lista separada por comas de atributos de incidentes o alertas que se usarán como alternativa para el campo de alerta Si no se encuentra ninguno de los campos de resguardo, el conector usa el atributo El valor predeterminado es |
Enable Fallback Logic Debug? |
Optional
Si se marca esta opción, el conector agrega campos de depuración que contienen los valores utilizados para la resiliencia en los eventos creados. No está marcada de forma predeterminada. |
VendorFieldFallback |
Obligatorio
Lista separada por comas de atributos del incidente que se usarán como alternativa para el campo El valor predeterminado es |
ProductFieldFallback |
Obligatorio
Lista separada por comas de atributos del incidente que se usarán como alternativa para el campo El valor predeterminado es |
EventFieldFallback |
Obligatorio
Lista separada por comas de atributos de incidentes que se usarán como alternativa para el parámetro El valor predeterminado es |
Max New Incidents per cycle |
Obligatorio
Cantidad de incidentes que se procesarán en una ejecución del conector. El valor predeterminado es 10. |
Wait For Scheduled/NRT Alert Object |
Optional
Si está habilitado, el conector espera hasta que haya disponible un objeto de alerta programada o de NRT. |
Scheduled Alerts Events Limit to Ingest |
Optional
Cantidad máxima de eventos que se pueden ingerir para una sola alerta programada o alerta de NRT de Azure Sentinel. El valor predeterminado es 100. |
Incidents Padding Period (minutes) |
Optional
Es el período en minutos durante el que el conector recupera incidentes y los devuelve. Estos incidentes no están en orden cronológico. |
Create Siemplify Alerts for Sentinel incidents that do not have
entities? |
Optional
Si se marca esta opción, el conector crea alertas de Google SecOps a partir de incidentes de Microsoft Sentinel que no tienen entidades. De lo contrario, el conector crea alertas de SecOps de Google solo para las alertas programadas y en tiempo casi real, y omite todos los demás tipos de incidentes de Microsoft Sentinel. No está marcada de forma predeterminada. |
Incident's Alerts Limit to Ingest |
Optional
Es la cantidad máxima de alertas que se pueden transferir para cada incidente de Microsoft Sentinel. |
Alert Name Template |
Optional
Si se especifica, el conector usa este valor de los datos del incidente que se devuelven en la respuesta de la API de Microsoft Sentinel para completar el campo Puedes proporcionar un marcador de posición con el siguiente formato:
La longitud máxima del campo es de 256 caracteres. Si no se proporciona ningún valor o se proporciona una plantilla no válida, el conector usa el nombre de alerta predeterminado. |
Rule Generator Template |
Optional
Si se especifica, el conector usa este valor de los datos del incidente que se devuelven en la respuesta de la API de Microsoft Sentinel para completar el campo Puedes proporcionar un marcador de posición con el siguiente formato:
La longitud máxima del campo es de 256 caracteres. Si no se proporciona ningún valor o se proporciona una plantilla no válida, el conector usa el valor predeterminado del generador de reglas. |
Personaliza los campos Nombre de alerta y Generador de reglas
El conector te permite personalizar los valores de los campos Siemplify Alert Name y Rule Generator con los parámetros Alert Name Template y Rule Generator Template. En el caso de las plantillas, el conector obtiene información de los datos de incidentes de Microsoft Sentinel que devuelve la API.
En el siguiente ejemplo, se muestran los datos del incidente tal como se devuelven desde la API para hacer referencia a los campos que están disponibles en la alerta y que se pueden usar para las plantillas:
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Incidents/d4f632be-0689-93f7-57a6-f27bfabbbad1",
"name": "d4f632be-0689-93f7-57a6-f27bfabbbad1",
"etag": "\"79004534-0000-0d00-0000-63590d610000\"",
"type": "Microsoft.SecurityInsights/Incidents",
"properties": {
"title": "Incident title",
"description": "",
"severity": "Low",
"status": "New",
"owner": {
"objectId": null,
"email": null,
"assignedTo": null,
"userPrincipalName": null
},
"labels": [],
"firstActivityTimeUtc": "2022-10-26T07:00:09.3857965Z",
"lastActivityTimeUtc": "2022-10-26T09:07:02.1083312Z",
"lastModifiedTimeUtc": "2022-10-26T10:35:13.0254798Z",
"createdTimeUtc": "2022-10-26T10:34:55.7454638Z",
"incidentNumber": 380925,
"additionalData": {
"alertsCount": 102,
"bookmarksCount": 0,
"commentsCount": 0,
"alertProductNames": [
"Azure Sentinel"
],
"tactics": [
"InitialAccess",
"Persistence"
]
},
"relatedAnalyticRuleIds": [
"/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/Microsoft.SecurityInsights/alertRules/8a3ca5c5-7875-466e-accd-3bcb2881cdb0"
],
"incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/Microsoft.SecurityInsights/Incidents/d4f632be-0689-93f7-57a6-f27bfabbbad1",
"providerName": "Azure Sentinel",
"providerIncidentId": "380925"
}
}
Reglas del conector
El conector admite la lista de bloqueo y la lista dinámica.
El conector admite proxies.
Conector de seguimiento de incidentes de Microsoft Sentinel
Usa el conector de seguimiento de incidentes de Microsoft Sentinel para trabajar con incidentes de Microsoft Sentinel y recuperar actualizaciones de los incidentes de Sentinel como alertas nuevas de Google SecOps. Puedes usar la lista dinámica para especificar los nombres de los incidentes que deseas recuperar. Para este conector, te recomendamos que configures la agrupación de alertas de Google SecOps según el parámetro SourceGroupIdentifier.
Entradas del conector
Para configurar el conector, usa los siguientes parámetros:
| Parámetros | |
|---|---|
Product Field Name |
Obligatorio
Nombre del campo en el que se almacena el nombre del producto. El valor predeterminado es |
Event Field Name |
Obligatorio
Nombre del campo en el que se almacena el nombre del evento. El valor predeterminado es |
Environment Field Name |
Optional
Nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo del entorno, se usa el entorno predeterminado. El valor predeterminado es |
Environment Regex Pattern |
Optional
Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo El valor predeterminado El parámetro te permite manipular el campo del entorno con la lógica de expresiones regulares. Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
Azure Subscription ID |
Obligatorio ID de la suscripción de Azure. |
Entra ID Directory ID |
Obligatorio Es el ID de inquilino de Microsoft Entra. |
Api Root |
Obligatorio Es la URL raíz de la API que se usará con la integración. El valor predeterminado es |
OAUTH2 Login Endpoint Url |
Obligatorio Es la URL del extremo que se usará para la autenticación de OAuth 2.0. |
Azure Resource Group |
Obligatorio Nombre del grupo de recursos de Azure en el que se encuentra Microsoft Sentinel. |
Azure Sentinel Workspace Name |
Obligatorio Nombre del espacio de trabajo de Microsoft Sentinel con el que se trabajará. |
Client ID |
Obligatorio ID de la aplicación (cliente) de Microsoft Entra que se usa para esta integración. |
Client Secret |
Obligatorio Valor del secreto del cliente de Microsoft Entra. |
Script Timeout (Seconds) |
Obligatorio Límite de tiempo de espera para el proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es 480 segundos. |
Verify SSL |
Optional Si se selecciona esta opción, la integración verifica que el certificado SSL para la conexión al servidor de Microsoft sea válido. Esta opción se selecciona de forma predeterminada. |
Max Hours Backwards |
Obligatorio
Cantidad de horas previas a la primera iteración del conector para recuperar los incidentes. Este parámetro se aplica solo una vez a la iteración inicial del conector después de que lo habilitas por primera vez. El valor predeterminado es de 24 horas. |
Incident Statuses to Fetch |
Obligatorio
Son los estados de los incidentes que se recuperarán. Este parámetro acepta varios valores como una cadena separada por comas. El valor predeterminado es |
Incident Severities to Fetch |
Obligatorio
Son las gravedades de los incidentes que se recuperarán. Este parámetro acepta varios valores como una cadena separada por comas. El valor predeterminado es |
Max Incidents per Cycle |
Obligatorio
Es la cantidad de incidentes que se recuperarán del backlog durante una ejecución del conector. El valor predeterminado es 10. |
Use the same approach with event creation for all alert types?
|
Optional Si se selecciona, el conector usa el mismo enfoque para todos los tipos de alertas. Si no se selecciona, el conector usa un enfoque diferente para el tipo de alerta programada de Microsoft Sentinel y trata de recuperar los eventos que causaron la alerta ejecutando la consulta especificada en los detalles de la alerta. No está seleccionada de forma predeterminada. |
Incidents Tags To Ingest |
Optional
Es una lista separada por comas de las etiquetas de incidentes que se deben transferir. El conector ignora los incidentes que no tienen las etiquetas de esta lista. |
Use whitelist as a blacklist |
Obligatorio
Si se selecciona, la lista dinámica se usa como lista de bloqueo. No está seleccionada de forma predeterminada. |
Backlog Expiration Timer |
Obligatorio
Es un período en minutos durante el que el conector mantiene los incidentes en una lista de tareas pendientes. El valor predeterminado es de 60 minutos. |
StartTimeFallback |
Obligatorio
Es una lista separada por comas de atributos de incidentes o alertas que se usarán como alternativa para el campo de alerta Si no se encuentra ninguno de los campos de resguardo, el conector usa el atributo El valor predeterminado es |
EndTimeFallback |
Obligatorio
Es una lista separada por comas de atributos de incidentes o alertas que se usarán como alternativa para el campo de alerta Si no se encuentra ninguno de los campos de resguardo, el conector usa el atributo El valor predeterminado es |
Enable Fallback Logic Debug? |
Optional
Si se selecciona esta opción, el conector agrega campos de depuración que contienen los valores utilizados para la alternativa en los eventos creados. No está seleccionada de forma predeterminada. |
VendorFieldFallback |
Obligatorio
Es una lista separada por comas de atributos de incidentes que se usarán como alternativa para el campo El valor predeterminado es |
ProductFieldFallback |
Obligatorio
Es una lista separada por comas de atributos de incidentes que se usarán como alternativa para el campo El valor predeterminado es |
EventFieldFallback |
Obligatorio
Es una lista separada por comas de atributos de incidentes que se usarán como alternativa para el parámetro El valor predeterminado es |
Max Backlog Incidents per cycle |
Obligatorio
Es la cantidad de incidentes que se recuperarán de la lista de tareas pendientes en una ejecución del conector. El valor predeterminado es 10. |
Disable Overflow |
Optional Si se selecciona, el conector inhabilita un desbordamiento de eventos. No está seleccionada de forma predeterminada. |
Total Number of Scheduled Alerts Events Limit to Ingest |
Optional
Es la cantidad máxima de eventos que se pueden ingerir para una sola alerta programada de Microsoft Sentinel o una alerta de NRT. El valor predeterminado es 100. |
Create Chronicle SOAR Alerts for Sentinel incidents that do not
have entities? |
Optional
Si se selecciona, el conector crea alertas de Google SecOps a partir de incidentes de Microsoft Sentinel que no tienen entidades. De lo contrario, el conector crea alertas de SecOps de Google solo para las alertas programadas y en tiempo casi real, y omite todos los demás tipos de incidentes de Microsoft Sentinel. No está seleccionada de forma predeterminada. |
Incident's Alerts Limit to Ingest |
Optional
Es la cantidad máxima de alertas que se pueden transferir para cada incidente de Microsoft Sentinel. |
Incidents Padding Period (minutes) |
Optional
Período en minutos anterior al momento actual para que el conector recupere incidentes y los muestre. El conector no devuelve los incidentes en orden cronológico. |
Alert Name Template |
Optional
Si se especifica, el conector usa este valor de los datos del incidente que se muestran en la respuesta de la API de Microsoft Sentinel para un nombre de alerta de SOAR de Google SecOps. Puedes proporcionar un marcador de posición con el siguiente formato:
La longitud máxima del campo es de 256 caracteres. Si no se proporciona ningún valor o se proporciona una plantilla no válida, el conector usa el nombre de alerta predeterminado. |
Rule Generator Template |
Optional
Si se especifica, el conector usa este valor de los datos del incidente que se muestran en la respuesta de la API de Microsoft Sentinel para un generador de reglas de SOAR de Google SecOps. Puedes proporcionar un marcador de posición con el siguiente formato:
La longitud máxima del campo es de 256 caracteres. Si no se proporciona ningún valor o se proporciona una plantilla no válida, el conector usa el valor predeterminado del generador de reglas. |
How many hours to track ingested incident for updates |
Obligatorio
Es un período durante el cual el conector hace un seguimiento de los incidentes de Sentinel ya transferidos para detectar actualizaciones, como la incorporación de eventos o entidades nuevos, o detalles de incidentes. El valor predeterminado es de 24 horas. |
Wait For Scheduled/NRT Alert Object |
Optional
Si está habilitado, el conector espera hasta que haya disponible un objeto de alerta programada o de NRT. |
Proxy Server Address |
Optional
Dirección del servidor proxy que se usará. |
Proxy Server Username |
Optional
Nombre de usuario del proxy para la autenticación. |
Proxy Server Password |
Optional
Contraseña del proxy para la autenticación. |
Reglas del conector
El conector de seguimiento de incidentes de Microsoft Sentinel admite listas de bloqueo y listas dinámicas.
Trabajos
La integración de Microsoft Sentinel admite el trabajo Microsoft Sentinel - Sync Incidents.
Microsoft Sentinel: Sincronización de incidentes
Usa el trabajo Microsoft Sentinel - Sync Incidents para sincronizar las alertas de SecOps de Google con los incidentes de Microsoft Sentinel. Garantiza que los comentarios, el estado y las etiquetas se mantengan sincronizados entre los dos sistemas.
Para que el trabajo identifique la información correcta, el caso de SecOps de Google debe tener la etiqueta Microsoft Sentinel Incident. Si una alerta no se originó en Microsoft Azure Sentinel Incident Connector v2, debes agregar un valor de contexto Incident_ID al caso para que el trabajo encuentre la información correcta.
Comportamiento del trabajo
Este trabajo consta de dos partes principales: 1. El trabajo sincroniza los estados, los comentarios y las etiquetas de las alertas de Microsoft Sentinel con Google SecOps. 1. El trabajo sincroniza cualquier actualización de Google SecOps con Microsoft Sentinel.
El trabajo procesa una cantidad máxima de casos por iteración para garantizar un rendimiento estable. Se basa en la hora de la última modificación de un caso para garantizar que no se pierda ninguna actualización.
Cuando se cierra una alerta en cualquiera de los sistemas, el trabajo sincroniza el cierre. La asignación de estados es la siguiente:
Maliciousse asigna a un estado de Microsoft Sentinel deClosedcon un motivo deTrue Positive.Not Maliciousse asigna a un estado de Microsoft Sentinel deClosedcon un motivo deFalse Positive.- Cualquier otro valor de cierre se asigna a un estado de Microsoft Sentinel de
Closedcon un motivo deUnknown.
Los comentarios se sincronizan de forma bidireccional. Para evitar un bucle de sincronización, el trabajo aplica un prefijo a cada comentario.
Las etiquetas también se sincronizan con los mismos prefijos para distinguir su origen.
Notas importantes sobre la limitación de frecuencia de la API
Este trabajo aprovecha la API de Microsoft Graph para administrar incidentes, que tiene un límite de frecuencia de 20 solicitudes por minuto. Para reducir el riesgo de alcanzar este límite y afectar otros componentes de la integración, se recomienda que configures una app de Microsoft Entra ID independiente específicamente para este trabajo.
El único permiso requerido es SecurityIncident.ReadWrite.All.
Parámetros del trabajo
El trabajo Microsoft Sentinel - Sync Incidents requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Environment Name |
Obligatorio. Nombre del entorno desde el que se sincronizarán los incidentes. El valor predeterminado es |
Azure Active Directory ID |
Obligatorio. Es tu ID de directorio único en Azure. También se conoce como tu ID de usuario. |
OAUTH2 Login Endpoint Url |
Obligatorio. Es la URL del extremo de OAuth 2.0 en el que el trabajo solicita un token de autenticación. El valor predeterminado es |
API Root |
Obligatorio. Es la URL base de la API de Graph. El trabajo agrega llamadas a la API específicas a esta URL raíz para recuperar datos. El valor predeterminado es |
Client ID |
Obligatorio. Es el ID único de la aplicación registrada en Azure Active Directory. Este ID se usa para autenticar y otorgar acceso a tu aplicación a Microsoft Sentinel. |
Client Secret |
Obligatorio. Es la clave confidencial que se usa con |
Max Hours Backwards |
Obligatorio. Cantidad de horas en el pasado para sincronizar incidentes. El valor predeterminado es |
Verify SSL |
Obligatorio/opcional. Si se selecciona, la integración valida el certificado SSL cuando se conecta al servidor de Microsoft Sentinel. Habilitados de forma predeterminada. |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.