Microsoft Azure Sentinel
Version de l'intégration : 44.0
Cette intégration utilise un ou plusieurs composants Open Source. Vous pouvez télécharger une copie compressée du code source complet de cette intégration à partir du bucket Cloud Storage.
Cas d'utilisation
- Surveillez et inspectez les alertes créées dans Sentinel en fonction des événements provenant à la fois des hôtes sur site et des services Microsoft basés sur le cloud, tels que Microsoft 365 et Microsoft 365 Cloud App Security.
- Utilisez les données collectées et corrélées dans Sentinel pour les enrichissements lorsque vous examinez un incident particulier. Les analystes peuvent utiliser les données collectées et stockées dans Sentinel lors d'enquêtes, par exemple pour "examiner" des informations spécifiques (inspecter les données d'alerte, par exemple, inspecter les journaux Syslog) ou interroger l'activité au cours d'une période spécifique ou à partir d'hôtes particuliers.
Prérequis
Vous avez besoin d'une autorisation dans Microsoft Entra ID pour le configurer d'abord afin d'exécuter des requêtes sur l'API Microsoft Security Insights. Vous devrez configurer les autorisations suivantes :
- Créez l'application Microsoft Entra.
- Créez un code secret du client.
- Accordez à l'application Microsoft Entra enregistrée l'accès à l'espace de travail Microsoft Sentinel.
- Utilisez l'application Microsoft Entra pour obtenir un jeton d'accès.
Créer une application Microsoft Entra
Connectez-vous au portail Azure en tant qu'administrateur d'utilisateurs ou administrateur de mots de passe.
Sélectionnez Microsoft Entra ID.
Accédez à Inscriptions d'applications > Nouvelle inscription.
Saisissez le nom de l'application.
Sélectionnez le type de compte compatible applicable.
Cliquez sur S'inscrire.
Enregistrez les valeurs Application (client) ID (ID (client) de l'application) et Directory (tenant) ID (ID (de locataire) de l'annuaire) pour les utiliser ultérieurement lors de la configuration des paramètres d'intégration.
Créer code secret du client
Accédez à Certificats et codes secrets > Nouveau code secret du client.
Indiquez une description pour un code secret du client et définissez sa date d'expiration.
Cliquez sur Ajouter.
Enregistrez la valeur du code secret du client (et non l'ID du code secret) pour l'utiliser comme valeur du paramètre
Client Secretlors de la configuration de l'intégration. La valeur du secret client n'est affichée qu'une seule fois.
Accorder l'accès Microsoft Entra enregistré à l'espace de travail Microsoft Sentinel
Accédez à la page "Présentation de Microsoft Sentinel".
Cliquez sur Paramètres.
Cliquez sur Contrôle des accès (IAM).
Dans la section Ajouter une attribution de rôle, cliquez sur Ajouter.
Configurez les paramètres suivants :
Rôle =
Azure Sentinel Contributor.Attribuez l'accès à
default, Microsoft Entra ID user group, or service principal.
Dans la section Sélectionner, fournissez une condition de recherche pour trouver votre application et ajoutez une attribution de rôle pour celle-ci.
Accédez à la page des espaces de travail Microsoft Sentinel. Recherchez et configurez les paramètres suivants :
Azure Resource GroupAzure Sentinel Workspace Name
Intégrer Microsoft Azure Sentinel à Google SecOps SOAR
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google Security Operations, consultez Configurer des intégrations.
Paramètres d'intégration
Utilisez les paramètres suivants pour configurer l'intégration :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom de l'instance | Chaîne | N/A | Non | Nom de l'instance pour laquelle vous souhaitez configurer l'intégration. |
| Description | Chaîne | N/A | Non | Description de l'instance. |
| ID d'abonnement Azure | Chaîne | N/A | Oui | ID d'abonnement Microsoft Azure. Vous le trouverez dans le portail Azure > Abonnements > <Votre abonnement> ID d'abonnement. |
| ID Azure Active Directory | Chaîne | N/A | Oui | L'ID de locataire Microsoft Entra est disponible dans Microsoft Entra > Enregistrement d'application > <Application que vous avez configurée pour votre intégration> ID (locataire) du répertoire. |
| Racine de l'API | Chaîne | https://management.azure.com | Oui | URL racine de l'API management.azure.com à utiliser avec l'intégration. |
| Groupe de ressources Azure | Chaîne | N/A | Oui | Nom du groupe de ressources Azure dans lequel se trouve Microsoft Sentinel. |
| Nom de l'espace de travail Azure Sentinel | Chaîne | N/A | Oui | Nom de l'espace de travail Microsoft Sentinel à utiliser. Vous pouvez les consulter dans le portail Azure > Microsoft Sentinel > Espaces de travail Microsoft Sentinel. |
| ID client | Chaîne | N/A | Oui | ID client (application) qui a été ajouté pour l'enregistrement de l'application dans Microsoft Entra pour cette intégration. |
| Code secret du client | Mot de passe | N/A | Oui | Secret saisi pour l'enregistrement de l'application Azure Sentinel. |
| Exécuter à distance | Case à cocher | Décochée | Non | Cochez le champ pour exécuter l'intégration configurée à distance. Une fois la case cochée, l'option permettant de sélectionner l'utilisateur distant (agent) s'affiche. |
Actions
Ping
Testez la connectivité à l'espace de travail Microsoft Sentinel avec les paramètres fournis sur la page de configuration de l'intégration dans l'onglet Google Security Operations Marketplace.
Cas d'utilisation
L'action permet de tester la connectivité sur la page de configuration de l'intégration dans l'onglet "Marketplace" de Google Security Operations. Elle peut être exécutée manuellement, mais n'est pas utilisée dans les playbooks.
Date d'exécution
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | En cas de réussite, affichez le message "Successfully connected to the Microsoft Sentinel Workspace with the provided connection parameters!" (Connexion à l'espace de travail Microsoft Sentinel établie avec les paramètres de connexion fournis). Si l'opération échoue, imprimez "Échec de la connexion à l'espace de travail Microsoft Sentinel ! Error is {0}".format(exception.stacktrace). |
Général |
Lister les incidents
Lister les incidents Microsoft Sentinel en fonction des critères de recherche fournis.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Période | Integer | 3 | Non | Spécifiez une période en heures pour laquelle récupérer les incidents. |
| État | Chaîne | Nouveau, Actif, Fermé | Non | Spécifiez les états des incidents à rechercher. Le paramètre accepte plusieurs valeurs sous la forme d'une chaîne de caractères séparée par une virgule. |
| Gravité | Chaîne | Informationnel, Faible, Moyen, Élevé | Non | Spécifiez le niveau de gravité des incidents à rechercher. Le paramètre accepte plusieurs valeurs sous la forme d'une chaîne séparée par une virgule. |
| Nombre d'incidents à extraire | Integer | 200 | Non | Nombre d'incidents à récupérer. Par défaut, les 200 derniers incidents sont renvoyés. |
Cas d'utilisation
Cette action peut être utilisée pour lister les incidents Microsoft Sentinel à partir du playbook Google SecOps.
Date d'exécution
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"value": [
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases/323032be-5b0d-4661-944f-ff9557597e50",
"name": "323032be-5b0d-4661-944f-ff9557597e50",
"etag": "\"2100e65a-0000-0d00-0000-5de3b1bf0000\"",
"type": "Microsoft.SecurityInsights/Cases",
"properties": {
"title": "Suspicious process injection observed",
"description": "A process abnormally injected code into another process, As a result, unexpected code may be running in the target process memory. Injection is often used to hide malicious code execution within a trusted process. \nAs a result, the target process may exhibit abnormal behaviors such as opening a listening port or connecting to a command and control server.",
"severity": "Medium",
"status": "New",
"labels": ["add_tag"],
"endTimeUtc": "2019-11-29T03:42:05Z",
"startTimeUtc": "2019-11-29T03:42:05Z",
"owner": {
"objectId": null
},
"lastUpdatedTimeUtc": "2019-12-01T12:27:43Z",
"createdTimeUtc": "2019-11-29T07:13:32.0266519Z",
"relatedAlertIds": ["2462474c-b6d9-6937-17ee-c2a62671c2f8"],
"relatedAlertProductNames": ["Microsoft Defender Advanced Threat Protection"],
"caseNumber": 2276,
"totalComments": 0,
"metrics": {
"SecurityAlert": 1
},
"firstAlertTimeGenerated": "2019-11-29T07:13:31.961602Z",
"lastAlertTimeGenerated": "2019-11-29T07:13:31.961602Z"
}
},{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases/c7939be8-32fb-415c-9f7c-c13325d6c48b",
"name": "c7939be8-32fb-415c-9f7c-c13325d6c48b",
"etag": "\"1900f5e2-0000-0d00-0000-5de0c5110000\"",
"type": "Microsoft.SecurityInsights/Cases",
"properties": {
"title": "Suspicious Power Shell command line",
"description": "A suspicious PowerShell activity was observed on the machine. \nThis behavior may indicate that PowerShell was used during installation, exploration, or in some cases in lateral movement activities which are used by attackers to invoke modules, download external payloads, or get more information about the system. Attackers usually use PowerShell to bypass security protection mechanisms by executing their payload in memory without touching the disk and leaving any trace.\r\nOur algorithms found the behaviors of this process to be suspicious due to the following factors:\nSuspicious memory activity\nExecutes suspicious PowerShell commands",
"severity": "Medium",
"status": "New",
"labels": [],
"endTimeUtc": "2019-11-29T03:42:04.9552017Z",
"startTimeUtc": "2019-11-29T03:42:04.9552017Z",
"owner": {
"objectId": null
},
"lastUpdatedTimeUtc": "2019-11-29T07:13:21Z",
"createdTimeUtc": "2019-11-29T07:13:21.6858164Z",
"relatedAlertIds": [
"d053f17e-6153-d171-9f4d-82389442aa35"
],
"relatedAlertProductNames": [
"Microsoft Defender Advanced Threat Protection"
],
"caseNumber": 2275,
"totalComments": 0,
"metrics": {
"SecurityAlert": 1
},
"firstAlertTimeGenerated": "2019-11-29T07:13:21.5885314Z",
"lastAlertTimeGenerated": "2019-11-29T07:13:21.5885314Z"
}
}
],
"nextLink": "https://management.azure.com:443/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases?api-version=2019-01-01-preview&$skipToken=H4sIAAAAAAAEAE1VTVMiSxD8MR45LIstukbsIbvnqxmGcRgR2xsiFqA44soiHt5vf1nzfOwaQUg31fWRlVnVGfvo8p-Jf5jhavBejW1_jQvon5OfP0_G15ffT67H7rLX7fIQXQ4P64vB583efZqXUSo7zGaRvS4-inWzK9Z-V3ze3RSfxfko8ufFdfy7jIpu8Snd8vkXTnx9c9k78XF52T87O-2fJFdXlxCZfMUDItN-zflJ2m9o-EmRx13Efi52cvw9Fnf2LBmvkW0-aBJwK8kUSYPp0R88pm_m9s-5gg2uKx9y9PMMu1yuOqgNaklrOGPfBDtMAu4FfawNZpJ2EDXWChZYGCwl2iBt7EpQovKARD1k3pb6u_Vqt4ELdqy_nw7mhSQ7pN5e6RnGbQQ9PDUYSNpHEnAjaQzUtiM2x71HLoMNoXCVoMZMz4wHg6FkueaXCrZYBHiJWYG3tEuRVke8Dog69ccs9uJ2wNxaJJ55OsASmmDvBB3F7VaQoarQ0XzjyiKOe4gDluo0laO_HN752wa_5a6-Ow3x_R88BYU_yOt7b1B6PPyN-_Ps6fHv8_ez7vLv876R1fFs2fftaLqsFjgPUV9GNevPzqRc4D1EvyXvYGPYN2yHfv9_XnYBt7A77ddgh-fgSin6tM_mEh3sqcFaHrb4HqI7sStrGvcm-RafjTMy7GHl7d262WDR2B-Sl9g27pcMD3gI2TfGsYx_LqMF3kJUSdnjO2QyP-DdR5EMd1gaPB3zT0E_5Uz9PjXsc1TiNtieDDroBdr73AafXMg0tXUTL-Wxr_cdGfUYN5qITzEPvXu51fjOyjDFKkSPks6Ytw1S9e0oJE4ea4xDZsgje9bikdqdd-eS7zA49p_0Sxb-1KdP4nd4CW4pfoVNg0TmM-JD-0GNZXAHGXbw4l0jWY1n40T9rIx7krRXLrwbiZ_ixdAuW9A-Wio-pyZKJT_gYNyH5n0d0ldJOuxnJFLMGMd2xYWjvgbChG5XSWPcWP3Q316GW5SGOEe5fQxJLVXqbkzcl3pnfcjexP3R5w9KvfkgPw3GcLHyc6p-Jh5d1ZElXwUrXDX4IW6hI8SL7ek82JIHuDKq4xWyVrf6X_WZwXueaVc2eBe3Jf8hjufU41yiVOPYPa9UD3oeNvgU6sex7-JKeMN41OWQI-br_lTiKUaN6qqGb_W9UOndq95co_lu4APIx43ml4lVnmMjrsbIMB5lmhvOA94XBhOxrBfVs7gp-45X9RMFjj47o36t0zmVCGXrVVH4T5AxgmAILdDZVOfUTmTl8yM_CNLryj4aFzSfNGgczolf0FkQZ4orpcU4HIZWtVqJc_qSw3elcWDhUATOI-LP_DPBTOvjHDogC4j2joOWqei7rFGdMNv2HVxpiBftaB8RX1bIy2SF2qOnOHLOpWKd4hjEliyWzxolAeMRp0x5gIHmfa15JgbcC6nyICiuxOmpzXdOXPh-oPOSc5D2Y62F9U2UF8OAR84FjRfpPGU_K-0reVBVbqV822nfuU_4Tir2s5R4q3lM27447gX6rwxG4gqlJhQh8uWXuI32nfypHPMrxXW03y-ijPb8nXhfeRjtq9V-sq_s00RxoX2u8xzKD3fQep-Ur2xFrf1ivE_pLLJXk1SSpyga9bsD56KNW9nJN9UBeeR4pa2qFNdE9wd5ETOBmPyhXu7b-i-YpDYV1VL3j2_76cA7r3WQ13eKD_F0MXk58Lj6wtdXxD1S3nP_MQ-397E2vmr3o2e-xIlbhfEP2s_f4mbah1jrJL573a_EdSRc2eTDWnXoW35wL7X17rT-i5YXc8ut1Oqzrzrm3nRfOA0Vp6TlH3kvvrUbNHhWnCOv_c25l6lL8iXlnod6t1i1um9QtHwMzIP99OrHFvTrFBTV1rnyKt4zb8VJ9cX6klYPFR2pJJzydy12q3ik6geqa-ojbeeItbTnHnfUVfXzX2qVoX91CQAA"
}
Mur des cas
| Type de résultat | Valeur/ Description | Type |
|---|---|---|
| Message de sortie* | Si l'opération réussit et obtient des données, affichez "Successfully returned Microsoft
Sentinel incidents". Si aucun incident n'est trouvé, affichez le message "L'action n'a trouvé aucun incident". if error: print "Failed to list Microsoft Sentinel incidents! Error is {0}".format(exception.stacktrace). |
Général |
| Table | Titre du tableau : Incidents Microsoft Sentinel détectés Colonnes : incident_number, incident_id, title, description, severity, status, labels, assigned to, alert product names, created time, last updated time |
Général |
| Pièces jointes | List_Incidents.json : contient les données JSON techniques renvoyées par l'action. | Général |
JSON Viewer |
Affichez le lecteur JSON pour le résultat de la requête. | Général |
Mettre à jour les détails de l'incident
Mettez à jour un incident Microsoft Sentinel.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Numéro de demande d'incident | Integer | N/A | Oui | Spécifiez le numéro d'incident Azure Sentinel à modifier. |
| Titre | Chaîne | N/A | Non | Spécifiez un nouveau titre pour l'incident Azure Sentinel. |
| Gravité | LDD | Non mis à jour (valeurs possibles : "Non mis à jour", "Informationnel", "Faible", "Moyen", "Élevé") |
Non | Spécifiez le nouveau niveau de gravité de l'incident Azure Sentinel. |
| Description | Chaîne | N/A | Non | Spécifiez une nouvelle description pour l'incident Azure Sentinel. |
| Attribué à | Chaîne | N/A | Non | Spécifiez l'utilisateur auquel attribuer l'incident. |
| État | LDD | Non mis à jour (valeurs possibles : "Non mis à jour", "Nouveau", "Actif", "Clôturé") | Non | Spécifiez le nouvel état de l'incident Azure Sentinel. |
| Motif de la clôture | LDD | Non mis à jour (valeurs possibles : |
Non | Si l'état de l'incident est défini sur "Fermé", indiquez un motif de clôture. |
| Remarque finale | Chaîne | N/A | Non | Commentaire de clôture facultatif à fournir pour l'incident Azure Sentinel clôturé. |
| Nombre de tentatives | Integer | 1 | Oui | Spécifiez le nombre de tentatives que l'action doit effectuer si la mise à jour de l'incident a échoué. |
| Fréquence des tentatives | Integer | 20 | Oui | Spécifiez la période pendant laquelle l'action doit attendre entre les nouvelles tentatives de mise à jour de l'incident. |
Cas d'utilisation
Cette action peut être utilisée pour mettre à jour un incident Microsoft Sentinel à partir du playbook Google SecOps. Elle peut être utilisée comme action résultante dans un workflow impliquant l'analyse d'un incident Microsoft Sentinel.Une fois les incidents traités dans Google SecOps, ils peuvent être mis à jour pour indiquer l'état d'avancement de l'analyse (par exemple, définir "assignedTo", définir l'état sur "inProgress", etc.).
Date d'exécution
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
Le résultat JSON est renvoyé pour la requête 2 et contient les détails mis à jour suivants concernant l'incident :
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases/9e5c0afc-b7a6-4eac-8164-9242ad710a66",
"name": "9e5c0afc-b7a6-4eac-8164-9242ad710a66",
"etag": "\"12002b5c-0000-0d00-0000-5dde83730000\"",
"type": "Microsoft.SecurityInsights/Cases",
"properties": {
"title": "Activity from a Tor IP address",
"description": "A failed sign in was detected from a Tor IP addressThe Tor IP address 203.0.113.200 was used by Example User - Test User Spec (user@example.com).",
"severity": "Informational",
"status": "InProgress",
"assignedTo": "test@example.com",
"labels": [],
"closeReason": "Resolved",
"endTimeUtc": "2019-11-27T01:56:03.4651258Z",
"startTimeUtc": "2019-11-27T01:56:03.4651258Z",
"owner": {
"objectId": null,
"email": "test@example.com"
},
"lastUpdatedTimeUtc": "2019-11-27T14:08:51Z",
"createdTimeUtc": "2019-11-27T05:01:11.1139394Z",
"relatedAlertIds": [
"2a96343c-e551-4529-96f1-18d6f734470d"
],
"relatedAlertProductNames": [
"Azure Sentinel"
],
"caseNumber": 2274,
"totalComments": 0,
"metrics": {
"SecurityAlert": 1
},
"firstAlertTimeGenerated": "2019-11-27T05:01:10.2574659Z",
"lastAlertTimeGenerated": "2019-11-27T05:01:10.2574659Z"
}
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | Si l'opération réussit, affichez "Successfully updated Microsoft Sentinel incident {0}".format(IncidentID). Si l'incident est introuvable à partir du numéro de demande fourni, affichez "Incident Microsoft Sentinel avec le numéro de demande {0} introuvable !".format(incident_case_number). Si une erreur se produit, affichez le message "Échec de la mise à jour de l'incident Microsoft Sentinel ! Error is {0}".format(exception.stacktrace). |
Général |
Mettre à jour les libellés d'incident
Mettez à jour les libellés d'un incident Microsoft Sentinel spécifique.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Numéro de demande d'incident | Integer | 2273 | Oui | Spécifiez le numéro d'incident Azure Sentinel à mettre à jour avec de nouveaux libellés. |
| Étiquettes | Chaîne | attaque de logiciels malveillants | Oui | Spécifiez les nouveaux libellés à ajouter à l'incident. Le paramètre accepte plusieurs valeurs sous la forme d'une chaîne séparée par une virgule. |
| Nombre de tentatives | Integer | 1 | Oui | Spécifiez le nombre de tentatives que l'action doit effectuer si la mise à jour de l'incident a échoué. |
| Fréquence des tentatives | Integer | 20 | Oui | Spécifiez le délai d'attente entre les nouvelles tentatives de mise à jour des incidents. |
Cas d'utilisation
Cette action permet de mettre à jour les libellés des incidents Microsoft Sentinel à partir du playbook Google SecOps. L'utilisateur peut utiliser cette action pour attribuer des tags (libellés) spécifiques à des incidents spécifiques si nécessaire. Par exemple, si des hôtes spécifiques sont concernés par cet incident, un libellé spécifique doit être utilisé.
Date d'exécution
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
Le résultat JSON est renvoyé pour la requête 2 et contient les détails mis à jour de l'incident :
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases/9e5c0afc-b7a6-4eac-8164-9242ad710a66",
"name": "9e5c0afc-b7a6-4eac-8164-9242ad710a66",
"etag": "\"12002b5c-0000-0d00-0000-5dde83730000\"",
"type": "Microsoft.SecurityInsights/Cases",
"properties": {
"title": "Activity from a Tor IP address",
"severity": "Informational",
"status": "InProgress",
"labels": [
"malware",
"trojan"
],
"endTimeUtc": "2019-11-27T01:56:03.4651258Z",
"startTimeUtc": "2019-11-27T01:56:03.4651258Z",
"owner": {
"objectId": null,
},
"lastUpdatedTimeUtc": "2019-11-27T14:08:51Z",
"createdTimeUtc": "2019-11-27T05:01:11.1139394Z",
"relatedAlertIds": [
"2a96343c-e551-4529-96f1-18d6f734470d"
],
"relatedAlertProductNames": [
"Azure Sentinel"
],
"caseNumber": 2274,
"totalComments": 0,
"metrics": {
"SecurityAlert": 1
},
"firstAlertTimeGenerated": "2019-11-27T05:01:10.2574659Z",
"lastAlertTimeGenerated": "2019-11-27T05:01:10.2574659Z"
}
}
Mur des cas
| Type de résultat | Valeur/ Description | Type |
|---|---|---|
| Message de sortie* | En cas de succès : "L'incident Microsoft Sentinel {0} a été mis à jour avec les libellés suivants : {1}".format(IncidentID, [labels_list]).
Si vous ne trouvez pas l'incident à l'aide du numéro de demande fourni : "L'incident Microsoft Sentinel portant le numéro de demande {0} est introuvable !".format(incident_case_number). Si l'utilisateur a fourni un libellé qui existe déjà dans l'incident (isSuccess=False) : "Les libellés suivants n'ont pas été ajoutés aux libellés Microsoft Sentinel pour l'incident {0}, car ils existent déjà : {1}".format(IncidentID, [labels_list]) Si l'erreur suivante s'affiche : "Échec de la mise à jour des libellés des incidents Microsoft Sentinel ! Error is {0}".format(exception.stacktrace). |
Général |
Obtenir des statistiques sur les incidents
Obtenez des statistiques sur les incidents Azure Sentinel.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Période | Integer | 3 | Non | Spécifiez la période pour laquelle afficher les statistiques. |
Cas d'utilisation
Cette action peut être utilisée pour afficher les rapports du Playbook Google SecOps pour les événements Microsoft Sentinel. Cette action fera partie du playbook dans lequel un utilisateur interagit avec l'alarme Microsoft Sentinel créée, par exemple, lorsqu'un avertissement a été traité et supprimé. Elle peut être implémentée pour afficher le résultat des incidents Microsoft Sentinel sur la page "Leçons apprises".
À l'inverse, il peut s'agir d'une méthode d'interface utilisateur, au lieu d'utiliser l'application Windows Sentinel, pour rester dans Google SecOps.
Date d'exécution
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Aggregations/Cases",
"name": "Cases",
"type": "Microsoft.SecurityInsights/Aggregations",
"kind": "CasesAggregation",
"properties": {
"aggregationBySeverity": {
"totalCriticalSeverity": 1,
"totalHighSeverity": 2,
"totalMediumSeverity": 554,
"totalLowSeverity": 1714,
"totalInformationalSeverity": 1
},
"aggregationByStatus": {
"totalNewStatus": 2268,
"totalInProgressStatus": 4,
"totalResolvedStatus": 1,
"totalDismissedStatus": 0,
"totalTruePositiveStatus": 2,
"totalFalsePositiveStatus": 1
}
}
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | Si l'opération réussit et obtient des données, affichez "Successfully
returned Microsoft Sentinel incident statistics". Si une erreur se produit : affiche "Échec de la récupération des statistiques sur les incidents Microsoft Sentinel ! Error is {0}".format(exception.stacktrace). |
Général |
| Tableau 1 | Titre du tableau : Statistiques sur les incidents Microsoft Sentinel par niveau de gravité : Colonnes : "Critique" (mappé à totalCriticalSeverity), "Élevée" (mappé à totalHighSeverity), "Moyenne" (mappé à totalMediumSeverity), "Faible" (mappé à totalLowSeverity), "Informationnelle" (mappé à totalInformationalSeverity) |
Général |
| Tableau 2 | Titre du tableau : Statistiques sur les incidents Microsoft Sentinel par état : Colonnes : "Nouveau" (mappé à totalNewStatus), "En cours" (mappé à totalInProgressStatus), "Résolu" (mappé à totalResolvedStatus), "Ignoré" (mappé à totalDismissedStatus), "Vrai positif" (mappé à totalTruePositiveStatus) FalsePositive(mapped to totaFalsePositiveStatus) |
Général |
JSON Viewer |
Affichez le lecteur JSON pour le résultat de la requête. | Général |
Lister les règles d'alerte
Obtenez la liste des règles planifiées Azure Sentinel.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Gravité de la règle d'alerte | Chaîne | Information, Faible, Moyen, Élevé, Critique | Non | Spécifiez les niveaux de gravité des règles d'alerte à rechercher. Le paramètre accepte plusieurs valeurs sous la forme d'une chaîne séparée par une virgule. |
| Récupérer des types de règles d'alerte spécifiques | Chaîne | N/A | Non | Spécifiez les types d'alertes que l'action doit renvoyer. Le paramètre accepte plusieurs valeurs sous la forme d'une chaîne de caractères séparée par une virgule. Si aucune valeur n'est fournie, renvoie tous les types d'alertes possibles. |
| Récupérer des tactiques de règles d'alerte spécifiques | Chaîne | N/A | Non | Spécifiez l'action de tactique de règle d'alerte à renvoyer. Le paramètre accepte plusieurs valeurs sous la forme d'une chaîne séparée par une virgule. Si la valeur n'est pas fournie, renvoie tous les types d'alertes possibles. |
| Récupérer uniquement les règles d'alerte activées ? | Case à cocher | Décochée | Non | Indiquez si l'action ne doit renvoyer que les règles d'alerte activées. |
| Nombre maximal de règles à renvoyer | Integer | N/A | Non | Nombre de règles d'alerte planifiées que l'action doit renvoyer (par exemple, 50). |
Cas d'utilisation
Cette action peut être utilisée pour lister les règles d'alerte Microsoft Sentinel à partir du playbook Google SecOps. Vous pouvez lister les règles d'alerte pour vous assurer d'en avoir préparé une pour chaque type de menace et d'anomalie suspectes dans votre environnement. Si vous constatez que certaines situations ne sont pas gérées correctement, vous pouvez immédiatement mettre à jour une règle d'alerte existante ou en créer une. La règle d'alerte Microsoft Sentinel vous permet d'être averti immédiatement afin de pouvoir trier, examiner et corriger les menaces.
Date d'exécution
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"value": [
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/alertRules/4bdce24d-7837-4f02-9f7a-10824f376517",
"name": "4bdce24d-7837-4f02-9f7a-10824f376517",
"etag": "\"00002f05-0000-0d00-0000-5d9db9970000\"",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "MicrosoftSecurityIncidentCreation",
"properties": {
"productFilter": "Azure Active Directory Identity Protection",
"severitiesFilter": null,
"displayNamesFilter": null,
"displayName": "Create incidents based on Azure Active Directory Identity Protection alerts",
"enabled": true,
"description": "Create incidents based on all alerts generated in Azure Active Directory Identity Protection",
"tactics": null,
"alertRuleTemplateName": "532c1811-79ee-4d9f-8d4d-6304c840daa1",
"lastModifiedUtc": "2019-10-09T10:42:31.5264376Z"
}
},
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/alertRules/540f68c9-9397-49c7-8953-8efce08d6e62",
"name": "540f68c9-9397-49c7-8953-8efce08d6e62",
"etag": "\"00003105-0000-0d00-0000-5d9db9ad0000\"",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "MicrosoftSecurityIncidentCreation",
"properties": {
"productFilter": "Azure Security Center",
"severitiesFilter": null,
"displayNamesFilter": null,
"displayName": "Create incidents based on Azure Security Center alerts",
"enabled": true,
"description": "Create incidents based on all alerts generated in Azure Security Center",
"tactics": null,
"alertRuleTemplateName": "90586451-7ba8-4c1e-9904-7d1b7c3cc4d6",
"lastModifiedUtc": "2019-10-09T10:42:53.9014288Z"
}
}
]
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | En cas de succès, affichez "Successfully listed Microsoft
Sentinel alert rules configured". En cas d'erreur, imprimez "Échec de la liste des règles d'alerte Microsoft Sentinel ! Error is {0}".format(exception.stacktrace). |
Général |
| Table | Titre du tableau : Règles d'alerte Microsoft Sentinel trouvées : Colonnes : AlertID (mappé à "name"), Name (mappé à "displayName"), Enabled, Description, Tactics, Last Modification Time (mappé à "lastModificationUtc") |
Général |
| Pièces jointes | List_AlertRules.json : contient les données JSON techniques renvoyées par l'action. | Général |
JSON Viewer |
Affichez le lecteur JSON pour le résultat de la requête. | Général |
Obtenir les détails d'une règle d'alerte
Obtenez des informations sur la règle d'alerte programmée Azure Sentinel.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| AlertRuleID | Chaîne | N/A | Oui | Spécifiez l'ID de la règle d'alerte. |
Cas d'utilisation
Cette action permet d'obtenir des informations sur une règle d'alerte Microsoft Sentinel à partir du playbook Google SecOps. Par exemple, si vous constatez que certaines alertes deviennent plus fréquentes et que la plupart d'entre elles sont des faux positifs, ou si une règle d'alerte gère trop de situations et que vous souhaitez les séparer pour identifier plus facilement la menace, vous pouvez utiliser cette action pour comprendre correctement la configuration de la règle d'alerte. En fonction des résultats de la règle d'alerte, vous pouvez décider de la mettre à jour, de la supprimer ou de la laisser telle quelle.
Date d'exécution
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/alertRules/8dce4dbd-0ba6-4c93-943a-8da49f7d0aa4",
"name": "8dce4dbd-0ba6-4c93-943a-8da49f7d0aa4",
"etag": "\"0200c767-0000-0d00-0000-5ddf3b160000\"",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "Scheduled",
"properties": {
"severity": "High",
"query": "SecurityEvent\r\n| where Activity startswith \"4625\"\r\n| summarize count() by IpAddress, Computer\r\n| where count_ >3\r\n| extend HostCustomEntity = Computer\r\n| extend IPCustomEntity = IpAddress",
"queryFrequency": "PT1H",
"queryPeriod": "P5D",
"triggerOperator": "GreaterThan",
"triggerThreshold": 0,
"suppressionDuration": "PT5H",
"suppressionEnabled": false,
"displayName": "Multiple failed login attempts from the same IP",
"enabled": false,
"description": "",
"tactics": [
"InitialAccess"
],
"alertRuleTemplateName": null,
"lastModifiedUtc": "2019-11-28T03:12:21.9276927Z"
}
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | Si l'opération réussit et obtient des données, affichez "Successfully
returned Microsoft Sentinel alert rule {0} details".format(AlertRuleID). Si vous ne trouvez pas la règle d'alerte avec l'ID d'alerte fourni, imprimez "La règle d'alerte Microsoft Sentinel avec l'ID "{0}" est introuvable !".format(AlertRuleID).
Si une erreur se produit, affichez "Échec de la récupération des détails de la règle d'alerte Microsoft Sentinel ! Error is {0}".format(exception.stacktrace). |
Général |
| Table | Titre du tableau : Détails de la règle d'alerte Microsoft Sentinel : Colonnes : AlertID (mappé sur "name"), Name (mappé sur "displayName"), Enabled, Description, Query, Frequency(mappé sur "queryFrequency"), Period of Lookup data(mappé sur "queryPeriod"), Trigger (mappé comme combinaison de "triggerOperator" et "triggerThreshold"), Tactics, Enable Suppression(mappé sur "suppressionEnabled"), Suppression Duration(mappé sur "suppressionDuration"), Last Modification Time (mappé sur "lastModificationUtc") |
Général |
JSON Viewer |
Affichez le lecteur JSON pour le résultat de la requête. | Général |
Créer une règle d'alerte
Créez une règle d'alerte planifiée Azure Sentinel.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Activer une règle d'alerte | LDD | N/A | Oui | Indiquez si vous souhaitez désactiver ou activer cette règle d'alerte. |
| Nom | Chaîne | N/A | Oui | Spécifiez le nom à afficher de la règle d'alerte. |
| Gravité | LDD | N/A | Oui | Spécifiez le niveau de gravité de cette règle d'alerte. |
| Requête | Chaîne | N/A | Oui | Spécifiez la requête de cette règle d'alerte. |
| Fréquence | Chaîne | N/A | Oui | Spécifiez la fréquence d'exécution de la requête en utilisant le format suivant : PT + nombre + (M, H, D). où M = minutes, H = heures et D = jours. La durée minimale est de 5 minutes et la durée maximale de 14 jours. |
| Période des données de recherche | Chaîne | N/A | Oui | Spécifiez l'heure des dernières données de recherche au format suivant : P + nombre + (M, H, D). où M = minutes, H = heures et D = jours. La durée minimale est de 5 minutes et la durée maximale de 14 jours. |
| Opérateur de déclencheur | LDD | N/A | Oui | Spécifiez l'opérateur de déclenchement pour cette règle d'alerte. |
| Seuil de déclenchement | Integer | N/A | Oui | Spécifiez le seuil de déclenchement de cette règle d'alerte. |
| Activer la suppression | LDD | N/A | Oui | Indiquez si vous souhaitez arrêter l'exécution de la requête après la génération d'une alerte. |
| Durée de la suppression | Chaîne | N/A | Oui | Indiquez la durée pendant laquelle vous souhaitez arrêter l'exécution de la requête après la génération d'une alerte. Utilisez le format suivant : PT + nombre + (M, H, D). où M = minutes, H = heures et D = jours. Exemples : P1M - 1 minute P10H : 10 heures P2D : deux jours. La durée minimale est de 5 minutes et la durée maximale de 14 jours. |
| Description | Chaîne | N/A | Non | Spécifiez la description de cette règle d'alerte. |
| Tactiques | Chaîne | N/A | Non | Spécifiez les tactiques pour cette règle d'alerte. Un paramètre peut accepter plusieurs valeurs séparées par une virgule. |
Cas d'utilisation
Cette action permet de créer des règles d'alerte Microsoft Sentinel à partir du playbook Google SecOps. Vous pouvez créer des règles d'alerte personnalisées pour vous aider à rechercher les types de menaces et d'anomalies suspectes dans votre environnement. La règle d'alerte Microsoft Sentinel vous permet d'être averti immédiatement afin de pouvoir trier, examiner et corriger les menaces.
Date d'exécution
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | En cas de succès, affichez le message "Successfully created Microsoft
Sentinel alert rule!" (Règle d'alerte Microsoft
Sentinel créée). Si une erreur se produit, affichez "Échec de la création de la règle d'alerte Microsoft Sentinel ! Error is {0}".format(exception.stacktrace). |
Général |
Mettre à jour une règle d'alerte
Mettez à jour la règle d'alerte programmée Azure Sentinel.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| AlertRuleID | Chaîne | N/A | Oui | Spécifiez l'AlertRuleID de la règle d'alerte. |
| Nom | Chaîne | N/A | Non | Spécifiez le nom à afficher de la règle d'alerte. |
| Activer une règle d'alerte | LDD | N/A | Non | Indiquez si vous souhaitez désactiver ou activer cette règle d'alerte. |
| Gravité | LDD | N/A | Non | Spécifiez le niveau de gravité de cette règle d'alerte. |
| Requête | Chaîne | N/A | Non | Spécifiez la requête de cette règle d'alerte. |
| Fréquence | Chaîne | N/A | Non | Spécifiez la fréquence d'exécution de la requête en utilisant le format suivant : PT + nombre + (M, H, D). où M = minutes, H = heures et D = jours. Exemples : PT1M : exécute la requête toutes les minutes PT10H : exécute la requête toutes les 10 heures PT2D : exécutez la requête tous les deux jours. La durée minimale est de 5 minutes et la durée maximale de 14 jours. |
| Période des données de recherche | Chaîne | N/A | Non | Spécifiez l'heure des dernières données de recherche au format suivant : P + nombre + (M, H, D). où M = minutes, H = heures et D = jours. . Exemples : P1M - 1 minute P10H : 10 heures P2D : deux jours. La durée minimale est de 5 minutes et la durée maximale de 14 jours. |
| Opérateur de déclencheur | LDD | N/A | Non | Spécifiez l'opérateur de déclenchement pour cette règle d'alerte. |
| Seuil de déclenchement | Integer | N/A | Non | Spécifiez le seuil de déclenchement de cette règle d'alerte. |
| Activer la suppression | LDD | N/A | Non | Indiquez si vous souhaitez arrêter l'exécution de la requête après la génération d'une alerte. |
| Durée de la suppression | Chaîne | N/A | Non | Indiquez la durée pendant laquelle vous souhaitez arrêter l'exécution de la requête après la génération d'une alerte. Utilisez le format suivant : PT + nombre + (M, H, D). où M = minutes, H = heures et D = jours. Exemples : P1M - 1 minute P10H : 10 heures P2D : deux jours. La durée minimale est de 5 minutes et la durée maximale de 14 jours. |
| Description | Chaîne | N/A | Non | Spécifiez la description de cette règle d'alerte. |
| Tactiques | Chaîne | Aucun | Non | Spécifiez les tactiques pour cette règle d'alerte. Le paramètre accepte plusieurs valeurs séparées par une virgule. |
Cas d'utilisation
Cette action peut être utilisée pour mettre à jour les règles d'alerte Microsoft Sentinel à partir du playbook Google SecOps. Par exemple, si vous constatez que certaines alertes deviennent plus fréquentes et que la plupart d'entre elles sont de faux positifs, vous pouvez utiliser cette action pour mettre à jour la configuration de la règle d'alerte en fonction de vos besoins et de vos préférences. La règle d'alerte Microsoft Sentinel vous permet d'être averti immédiatement afin de pouvoir trier, examiner et corriger les menaces.
Date d'exécution
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | Si l'opération réussit, affichez "Successfully updated Microsoft
Sentinel alert rule with ID {0}".format(AlertRuleID). Si aucune règle d'alerte ne correspond à l'AlertID fournie, affichez "Microsoft Sentinel
alert rule with ID "{0}" was not found!".format(AlertRuleID). If error: print "Failed to update Microsoft Sentinel alert rule! Error is {0}".format(exception.stacktrace). |
Général |
Supprimer une règle d'alerte
Supprimez une règle d'alerte planifiée Azure Sentinel.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| AlertRuleID | Chaîne | N/A | Oui | Spécifiez l'ID de la règle d'alerte à supprimer. |
Cas d'utilisation
Cette action permet de supprimer une règle d'alerte Microsoft Sentinel de Google SecOps. Si une règle d'alerte est très obsolète et ne remplit pas son objectif, ou si elle ne génère que des faux positifs, vous pouvez la supprimer avec cette action.
Date d'exécution
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | Si l'opération réussit, affichez "Successfully deleted Microsoft
Sentinel alert rule {0}".format(AlertRuleID). Si la règle d'alerte est introuvable avec l'AlertID fourni, affichez "La règle d'alerte Microsoft Sentinel avec l'ID "{0}" est introuvable !".format(AlertRuleID). If error: print "Failed to delete Microsoft Sentinel alert rule! Error is {0}".format(exception.stacktrace). |
Général |
Lister les règles d'analyse personnalisées
Obtenez la liste des règles de chasse personnalisées Azure Sentinel.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Noms des règles d'analyse à renvoyer | Chaîne | N/A | Non | Spécifiez les noms des règles de chasse que l'action doit renvoyer. Le paramètre accepte plusieurs valeurs sous la forme d'une chaîne de valeurs séparées par une virgule. Si la valeur n'est pas fournie, renvoie tous les types d'alertes possibles. |
| Récupérer des tactiques de règles d'analyse spécifiques | Chaîne | N/A | Non | Spécifiez l'action de tactique de règle de recherche à renvoyer. Le paramètre accepte plusieurs valeurs sous la forme d'une chaîne de valeurs séparées par une virgule. Si la valeur n'est pas fournie, renvoie tous les types d'alertes possibles. |
| Nombre maximal de règles à renvoyer | Integer | N/A | Non | Nombre de règles d'alerte planifiées que l'action doit renvoyer (par exemple, 50). |
Cas d'utilisation
Cette action permet de lister les règles de chasse personnalisées et favorites du playbook Google SecOps pour Microsoft Sentinel. Pour vous assurer d'avoir établi toutes les règles de recherche pour les données concernant les processus les plus rares, mais très critiques, qui fonctionnent sur votre réseau, vous devez mentionner les règles de recherche personnalisées et préférées. Vous pouvez immédiatement mettre à jour et créer des règles de chasse existantes si vous constatez que certaines situations ne sont pas gérées correctement.
Date d'exécution
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"__metadata": {},
"value": [
{
"id": "subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/savedSearches/0c5bd7e1-0e13-4e7d-9e32-88baf9589192",
"etag": "W/\"datetime'2019-12-02T10%3A14%3A10.5299491Z'\"",
"properties": {
"Category": "Hunting Queries",
"DisplayName": "Hunting Query 1",
"Query": "\r\nlet timeframe = 7d;\r\nAWSCloudTrail\r\n| where TimeGenerated >= ago(timeframe)\r\n| where EventName in~ (\"AttachGroupPolicy\", \"AttachRolePolicy\", \"AttachUserPolicy\", \"CreatePolicy\",\r\n\"DeleteGroupPolicy\", \"DeletePolicy\", \"DeleteRolePolicy\", \"DeleteUserPolicy\", \"DetachGroupPolicy\",\r\n\"PutUserPolicy\", \"PutGroupPolicy\", \"CreatePolicyVersion\", \"DeletePolicyVersion\", \"DetachRolePolicy\", \"CreatePolicy\")\r\n| project TimeGenerated, EventName, EventTypeName, UserIdentityAccountId, UserIdentityPrincipalid, UserAgent, \r\nUserIdentityUserName, SessionMfaAuthenticated, SourceIpAddress, AWSRegion, EventSource, AdditionalEventData, ResponseElements\r\n| extend timestamp = TimeGenerated, IPCustomEntity = SourceIpAddress, AccountCustomEntity = UserIdentityAccountId\r\n",
"Tags": [
{
"Name": "description",
"Value": "1234"
},
{
"Name": "tactics",
"Value": "DefenseEvasion"
},
{
"Name": "createdTimeUtc",
"Value": "12/02/2019 09:21:18"
}
],
"Version": 2
},
"name": "0c5bd7e1-0e13-4e7d-9e32-88baf9589192"
},
{
"id": "subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/savedSearches/30a94796-a573-4e6e-9385-fb96d0aa5ea2",
"etag": "W/\"datetime'2019-12-02T10%3A10%3A18.4761379Z'\"",
"properties": {
"Category": "Hunting Queries",
"DisplayName": "Hunting Query 1",
"Query": "\r\nlet timeframe = 7d;\r\nAWSCloudTrail\r\n| where TimeGenerated >= ago(timeframe)\r\n| where EventName in~ (\"AttachGroupPolicy\", \"AttachRolePolicy\", \"AttachUserPolicy\", \"CreatePolicy\",\r\n\"DeleteGroupPolicy\", \"DeletePolicy\", \"DeleteRolePolicy\", \"DeleteUserPolicy\", \"DetachGroupPolicy\",\r\n\"PutUserPolicy\", \"PutGroupPolicy\", \"CreatePolicyVersion\", \"DeletePolicyVersion\", \"DetachRolePolicy\", \"CreatePolicy\")\r\n| project TimeGenerated, EventName, EventTypeName, UserIdentityAccountId, UserIdentityPrincipalid, UserAgent, \r\nUserIdentityUserName, SessionMfaAuthenticated, SourceIpAddress, AWSRegion, EventSource, AdditionalEventData, ResponseElements\r\n| extend timestamp = TimeGenerated, IPCustomEntity = SourceIpAddress, AccountCustomEntity = UserIdentityAccountId\r\n",
"Tags": [
{
"Name": "description",
"Value": "1234"
},
{
"Name": "tactics",
"Value": "DefenseEvasion"
},
{
"Name": "createdTimeUtc",
"Value": "12/02/2019 09:21:18"
}
],
"Version": 2
},
"name": "30a94796-a573-4e6e-9385-fb96d0aa5ea2"
}
]
}
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | Si l'opération réussit, affichez "Successfully returned Microsoft
Sentinel hunting rules". Si une erreur se produit, affichez "Échec de la liste des règles de chasse Microsoft Sentinel ! Error is {0}".format(exception.stacktrace). |
Général |
| Table | Titre du tableau : Règles de chasse Microsoft Sentinel trouvées : Colonnes : HuntingRuleID(mappé sur le nom), titre (mappé sur displayName), catégorie, description (mappé sur le paramètre de description dans le dictionnaire des tags), tactiques(mappé sur le paramètre de tactiques dans le dictionnaire des tags), requête, heure de création (mappé sur le paramètre CreatedTimeUtc dans le dictionnaire des tags) |
Général |
| Pièces jointes | List_HuntingRules.json : contient les données JSON techniques renvoyées par l'action. | Général |
JSON Viewer |
Affichez le lecteur JSON pour le résultat de la requête. | Général |
Obtenir les détails d'une règle d'analyse personnalisée
Obtenez des informations sur la règle de chasse personnalisée Azure Sentinel.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| HuntingRuleID | Chaîne | N/A | Oui | Spécifiez l'ID de la règle de recherche. |
Cas d'utilisation
Vous pouvez accéder aux informations sur les règles de chasse standards ou préférées de Microsoft Sentinel à l'aide du playbook Google SecOps. Utilisez cet outil, par exemple, si vous voyez des détails que vous recevez des règles de chasse qui ne sont pas appropriés pour l'analyse, ou si vous voulez voir si votre règle de chasse est correctement configurée. Vous devrez évaluer si vous devez modifier, supprimer ou laisser le contenu tel quel en fonction des résultats.
Date d'exécution
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"id": "subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/savedSearches/30a94796-a573-4e6e-9385-fb96d0aa5ea2",
"etag": "W/\"datetime'2019-12-02T10%3A14%3A10.5299491Z'\"",
"properties": {
"Category": "Log Management",
"DisplayName": "Multiple Password Reset by user",
"Query": "\nlet timeframe = 7d;\nAWSCloudTrail\n| where TimeGenerated >= ago(timeframe)\n| where EventName in~ (\"AttachGroupPolicy\", \"AttachRolePolicy\", \"AttachUserPolicy\", \"CreatePolicy\",\n\"DeleteGroupPolicy\", \"DeletePolicy\", \"DeleteRolePolicy\", \"DeleteUserPolicy\", \"DetachGroupPolicy\",\n\"PutUserPolicy\", \"PutGroupPolicy\", \"CreatePolicyVersion\", \"DeletePolicyVersion\", \"DetachRolePolicy\", \"CreatePolicy\")\n| project TimeGenerated, EventName, EventTypeName, UserIdentityAccountId, UserIdentityPrincipalid, UserAgent, \nUserIdentityUserName, SessionMfaAuthenticated, SourceIpAddress, AWSRegion, EventSource, AdditionalEventData, ResponseElements\n| extend timestamp = TimeGenerated, IPCustomEntity = SourceIpAddress, AccountCustomEntity = UserIdentityAccountId\n",
"Tags": [
{
"Name": "description",
"Value": "Identity and Access Management (IAM) securely manages access to AWS services and resources."
},
{
"Name": "tactics",
"Value": "DefenseEvasion"
},
{
"Name": "createdTimeUtc",
"Value": "12/02/2019 09:21:18"
}
],
"Version": 2
}
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | En cas de réussite : affichez "Successfully returned Microsoft
Sentinel hunting rule {0} details".format(HuntingRuleID). Si la règle d'alerte est introuvable avec l'AlertID fourni, affichez "La règle de recherche Microsoft Sentinel avec l'ID "{0}" est introuvable !".format(HuntingRuleID). Si une erreur se produit, affichez "Échec de la récupération des détails de la règle de recherche Microsoft Sentinel ! Error is {0}".format(exception.stacktrace). |
Général |
| Table | Titre du tableau : Détails de la règle de chasse Microsoft Sentinel : Colonnes : HuntingRuleID (mappé sur le nom), Name (mappé sur displayName), Description, Query, Tactic,Creation Time |
Général |
| Pièces jointes | List_HuntingRules.json : contient les données JSON techniques renvoyées par l'action. | Général |
JSON Viewer |
Affichez le lecteur JSON pour le résultat de la requête. | Général |
Créer une règle de chasse personnalisée
Créez une règle de chasse personnalisée Azure Sentinel.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Query | Chaîne | N/A | Oui | Spécifiez la requête à exécuter dans cette règle de recherche. |
| Nom à afficher | Chaîne | N/A | Oui | Spécifiez le nom à afficher pour la règle de recherche. |
| Description | Chaîne | N/A | Non | Spécifiez la description de la règle de chasse. |
| Tactiques | Chaîne | N/A | Non | Spécifiez les tactiques pour cette règle de recherche. Le paramètre accepte plusieurs valeurs séparées par une virgule. |
Cas d'utilisation
Cette action permet de créer une règle de chasse Microsoft Sentinel à partir du playbook Google SecOps. Par exemple, les règles de chasse contiennent une requête qui peut fournir des données sur les processus les plus rares exécutés sur votre infrastructure. Vous ne souhaitez pas recevoir d'alerte chaque fois qu'ils sont exécutés, car ils peuvent être tout à fait inoffensifs. Toutefois, vous pouvez consulter la requête de temps en temps pour voir s'il y a quelque chose d'inhabituel. Cela signifie qu'ils peuvent être utilisés pour collecter plus d'informations sur votre environnement réseau.
Date d'exécution
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | En cas de succès, affichez "Successfully created Microsoft
Sentinel hunting rule". Si une erreur se produit, affichez "Échec de la création de la règle de recherche Microsoft Sentinel ! Error is {0}".format(exception.stacktrace). |
Général |
Modifier une règle de chasse personnalisée
Mettez à jour la règle de chasse personnalisée Azure Sentinel.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| HuntingRuleID | Chaîne | N/A | Oui | Spécifiez l'ID de la règle de recherche. |
| Nom à afficher | Chaîne | N/A | Non | Spécifiez le nom à afficher pour la règle de recherche. |
| Requête | Chaîne | N/A | Non | Spécifiez la requête à exécuter dans cette règle de recherche. |
| Description | Chaîne | N/A | Non | Spécifiez une description. |
| Tactiques | Chaîne | N/A | Non | Spécifiez les tactiques pour cette règle de recherche. Le paramètre peut prendre plusieurs valeurs séparées par une virgule. |
Cas d'utilisation
Cette action permet de mettre à jour une règle de recherche Microsoft Sentinel personnalisée à partir du playbook Google SecOps. Utilisez cette action si vous pensez, par exemple, qu'une règle de chasse est très obsolète et que vous souhaitez mettre à jour plusieurs paramètres tels qu'une requête ou une description. Les informations sont essentielles pour examiner les incidents. Par conséquent, chaque règle de recherche doit être mise à jour pour afficher les informations pertinentes.
Date d'exécution
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | Si l'opération réussit, affichez "Successfully updated Microsoft
Sentinel hunting rule with ID {0}".format(HuntingRuleID). If
can't find hunting rule by the provided HuntingRuleID: print "Microsoft
Sentinel hunting rule with ID "{0}" was not found!".format(HuntingRuleID). En cas d'erreur, affichez "Échec de la mise à jour de la règle de recherche Microsoft Sentinel ! Error is {0}".format(exception.stacktrace). |
Général |
Supprimer une règle de chasse personnalisée
Supprimez une règle de chasse personnalisée Azure Sentinel.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| HuntingRuleID | Chaîne | N/A | Oui | Spécifiez l'ID de la règle de chasse à supprimer. |
Cas d'utilisation
Cette action permet de supprimer une règle de chasse Microsoft Sentinel personnalisée de Google SecOps. Si vous pensez, par exemple, qu'une règle de chasse est très obsolète et qu'elle n'est pas nécessaire au processus d'investigation, il est préférable de la supprimer.
Date d'exécution
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | Si l'opération réussit, affichez "Successfully deleted Microsoft
Sentinel hunting rule with ID {0}".format(HuntingRuleID). If
can't find hunting rule by the provided HuntingRuleID: print "Microsoft
Sentinel hunting rule with ID "{0}" was not found!".format(HuntingRuleID). Si une erreur se produit, affichez "Échec de la suppression de la règle de recherche Microsoft Sentinel ! Error is {0}".format(exception.stacktrace). |
Général |
Exécuter une règle de recherche personnalisée
Exécutez une règle de chasse Microsoft Sentinel personnalisée ou favorite.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| HuntingRuleID | Chaîne | N/A | Oui | Spécifiez l'ID de la règle de recherche. |
| Timeout | Integer | N/A | Non | Paramètre utilisé pour spécifier une valeur de délai avant expiration pour l'appel d'API de règle de recherche Azure Sentinel. |
Cas d'utilisation
Cette action peut être utilisée pour exécuter des règles de recherche Microsoft Sentinel à partir du playbook Google SecOps. L'exécution d'une requête de règle de chasse fournit des données sur les processus les moins courants exécutés sur votre infrastructure. Vous ne souhaitez pas recevoir d'alerte à chaque fois qu'ils sont exécutés, car ils peuvent être tout à fait légitimes. Toutefois, vous pouvez consulter la requête de temps en temps pour voir s'il y a quelque chose d'inhabituel. Cela signifie qu'il peut être utilisé pour recueillir plus d'informations sur votre environnement réseau, ce qui aidera les enquêteurs à comprendre toutes les nuances d'un incident et à prendre d'autres décisions.
Date d'exécution
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"tables": [
{
"name": "PrimaryResult",
"columns": [
{
"name": "timerange",
"type": "datetime"
},
{
"name": "AppDisplayName",
"type": "string"
},
{
"name": "UserPrincipalName",
"type": "string"
},
{
"name": "threeDayWindowLocationCount",
"type": "long"
},
{
"name": "locationList",
"type": "dynamic"
},
{
"name": "timestamp",
"type": "datetime"
},
{
"name": "AccountCustomEntity",
"type": "string"
}
],
"rows": [
[
"2019-11-29T00:00:00Z",
"WindowsDefenderATP Portal",
"user@example.com",
2,
"[\"US/Florida/Miami;\",\"AM/Kotayk'/Abovyan;\"]",
"2019-11-29T00:00:00Z",
"user@example.com"
],
[
"2019-12-02T00:00:00Z",
"WindowsDefenderATP Portal",
"user@example.com",
1,
"[\"US/Florida/Miami;\"]",
"2019-12-02T00:00:00Z",
"user@example.com"
],
[
"2019-11-29T00:00:00Z",
"Azure Portal",
"example@example.com",
1,
"[\"UA/Kyiv Misto/Kyiv;\"]",
"2019-11-29T00:00:00Z",
"example@example.com"
],
[
"2019-12-02T00:00:00Z",
"Azure Portal",
"example@example.com",
2,
"[\"UA/Kyiv Misto/Kyiv;\",\"UA/Kyivs'ka Oblast'/Boryspil';\"]",
"2019-12-02T00:00:00Z",
"example@example.com"
],
[
"2019-11-29T00:00:00Z",
"Azure Portal",
"user@example.com",
1,
"[\"RU/Sverdlovskaya Oblast'/Yekaterinburg;\"]",
"2019-11-29T00:00:00Z",
"user@example.com"
],
[
"2019-12-02T00:00:00Z",
"Azure Portal",
"user@example.com",
1,
"[\"RU/Sverdlovskaya Oblast'/Yekaterinburg;\"]",
"2019-12-02T00:00:00Z",
"user@example.com"
]
]
}
]
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | En cas de succès, affichez "Règle de recherche exécutée avec succès". Si aucune règle d'analyse ne correspond à l'ID HuntingRuleID fourni, affichez le message "La règle d'analyse Microsoft Sentinel avec l'ID "{0}" est introuvable !".format(HuntingRuleID) if nothing found: print
"Hunting rule executed successfully, but did not return any results."
if error: print "Hunting rule didn't completed due to error:
{0}".format(exception.stacktrace) Si le délai est dépassé : print
"Hunting rule didn't completed due to timeout: {0}".format(exception.stacktrace)
Si les résultats de la requête ont été tronqués, affichez le message "Les résultats de la règle de recherche ont dépassé les limites et ont été tronqués. Veuillez réécrire votre requête !". |
Général |
| Table | Titre du tableau : résultats des règles de chasse Microsoft Sentinel Colonnes : générez des colonnes de manière dynamique en fonction du résultat de la requête. |
Général |
| Pièces jointes | Run_Hunting_rule_{HuntingRuleID}_response.json : contient les données JSON techniques renvoyées par l'action. | Général |
JSON Viewer |
Affichez le lecteur JSON pour le résultat de la requête. | Général |
Exécuter une requête KQL
Exécute une requête KQL Azure Sentinel en fonction des paramètres d'entrée de l'action fournis.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Requête KQL | Chaîne | N/A | Oui | Requête KQL à exécuter dans Azure Sentinel. Par exemple, pour obtenir les alertes de sécurité disponibles dans Sentinel, la requête sera "SecurityAlert". Utilisez d'autres paramètres d'entrée d'action (période, limite) pour filtrer les résultats de la requête. Pour obtenir des exemples de requêtes KQL, consultez la page Web "Journaux" de Sentinel. |
| Période | Chaîne | N/A | Non | Spécifiez LA période à rechercher. La valeur temporelle doit être conforme à la norme ISO 8601. Elle peut, par exemple, être utilisée pour spécifier la période ou l'intervalle de temps à rechercher (par exemple, les 10 dernières heures). Utilisez le format suivant : PT + nombre + (M, H, D), où M = minutes, H = heures et D = jours. |
| Délai avant expiration de la requête | Integer | 180 | Non | Valeur du délai avant expiration pour l'appel d'API de la règle de chasse Azure Sentinel. Notez que le délai d'expiration du processus Python de l'action Google SecOps doit être ajusté en conséquence pour ce paramètre, afin que l'action n'expire pas plus tôt que la valeur spécifiée en raison du délai d'expiration du processus Python. |
| Limite d'enregistrements | Integer | 100 | Non | Nombre d'enregistrements à récupérer. Paramètre facultatif. S'il est défini, il ajoute "| limit x" à la requête KQL, où x correspond à la valeur définie pour la limite d'enregistrements. Peut être supprimé si "limit" est déjà défini dans la requête KQL ou n'est pas nécessaire. |
Cas d'utilisation
Exécuter des requêtes avancées lors de l'examen de la demande
Date d'exécution
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"tables": [
{
"name": "PrimaryResult",
"columns": [
{
"name": "Reason",
"type": "string"
},
{
"name": "StartTimeUtc",
"type": "datetime"
},
{
"name": "EndTimeUtc",
"type": "datetime"
},
{
"name": "count_",
"type": "long"
},
{
"name": "timestamp",
"type": "datetime"
}
],
"rows": [
[
"Incorrect password",
"2019-10-22T06:38:30.837Z",
"2019-10-22T11:57:00.003Z",
28,
"2019-10-22T06:38:30.837Z"
],
[
"Account name does not exist",
"2019-10-21T15:19:33.727Z",
"2019-10-22T06:40:13.51Z",
3,
"2019-10-21T15:19:33.727Z"
]
]
}
]
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | Si l'opération réussit, affichez "Query executed successfully". Si aucun résultat n'est trouvé, affichez "La requête a été exécutée avec succès, mais n'a renvoyé aucun résultat.". If error: print
"Query didn't completed due to error: {0}".format(exception.stacktrace). Si le délai est dépassé, affichez "La requête n'a pas pu être traitée en raison du délai dépassé : {0}".format(exception.stacktrace). Si les résultats de la requête ont été tronqués, affichez le message "Les résultats de la requête ont dépassé les limites et ont été tronqués. Veuillez réécrire votre requête.". |
|
| Table | Titre du tableau : résultats de la requête KQL Colonnes : générez des colonnes de manière dynamique en fonction du résultat de la requête. |
Général |
| Pièces jointes | Run_KQL_query_response.json : contient les données JSON techniques renvoyées par l'action. | Général |
JSON Viewer |
Affichez le lecteur JSON pour le résultat de la requête. | Général |
Ajouter un commentaire à un incident
Ajoutez un commentaire à un incident Azure Sentinel.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Numéro d'incident | Integer | N/A | Oui | Spécifiez le numéro de l'incident auquel ajouter un commentaire. |
| Commentaire à ajouter | Chaîne | N/A | Oui | Spécifier le commentaire à ajouter à l'incident |
Date d'exécution
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Incidents/00cfebdc-c677-463f-8355-cb7f23472c06/Comments/f0f31d1a-d32b-4774-a21d-3279240c7c33",
"name": "f0f31d1a-d32b-4774-a21d-3279240c7c33",
"etag": "\"7e000812-0000-0c00-0000-606fc83f0000\"",
"type": "Microsoft.SecurityInsights/Incidents/Comments",
"properties": {
"message": "Some message",
"createdTimeUtc": "2021-04-09T03:21:35.0894288Z",
"lastModifiedTimeUtc": "2021-04-09T03:21:35.0894288Z",
"author": {
"objectId": "f6ce2f43-6f77-4b30-9a4a-de1a069b2560",
"email": null,
"name": "Comment created from external application - log_analytics_rest_api_for_sentinel",
"userPrincipalName": null
}
}
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :
L'action doit échouer et arrêter l'exécution d'un playbook :
|
Général |
Connecteurs
Pour obtenir des instructions détaillées sur la configuration d'un connecteur dans Google SecOps, consultez Configurer le connecteur.
Connecteur d'incidents Microsoft Azure Sentinel – Obsolète
Dans Google SecOps SOAR, le connecteur d'incidents Microsoft Azure Sentinel ingère les incidents de l'espace de travail Microsoft Sentinel spécifique en tant qu'alertes à l'aide de l'API Azure Security Insights.
Le connecteur utilise des fonctionnalités semblables aux actions Lister les incidents et Obtenir les détails de l'incident, et se connecte au point de terminaison Azure Security Insights pour extraire la liste des incidents générés au cours d'une période spécifiée.
Cas d'utilisation du connecteur
Utilisez le connecteur pour surveiller les espaces de travail Microsoft Sentinel afin de détecter de nouveaux incidents et les ingérer dans le serveur Google SecOps SOAR.
Pour assurer le flux de types d'événements spécifiques, ajoutez le connecteur de données à Microsoft Sentinel. Par exemple, pour ajouter des événements de sécurité provenant d'hôtes Windows en tant que connecteur de données, installez un agent Microsoft Sentinel sur un hôte Windows et configurez les types d'événements à ingérer : événements de sécurité, événements de pare-feu, événements DNS ou autres.
Pour générer des alertes en fonction de conditions spécifiques, définissez des règles d'alerte à l'aide de requêtes de règles. Lorsque des règles d'alerte créent des avertissements, Microsoft Sentinel génère des événements, stocke les accidents de données et affiche les incidents sur la page des incidents du portail.
Pour lire et écrire des données d'incidents de manière programmatique, utilisez l'API REST Security Insights.
Paramètres du connecteur
Pour configurer le connecteur, utilisez les paramètres suivants :
| Paramètres | |
|---|---|
Product Field Name |
Obligatoire
Nom du champ dans lequel le nom du produit est stocké. La valeur par défaut est |
Event Field Name |
Obligatoire
Nom du champ dans lequel le nom de l'événement est stocké. La valeur par défaut est |
Environment Field Name |
Optional
Nom du champ dans lequel le nom de l'environnement est stocké. Si le champ d'environnement n'est pas trouvé, l'environnement par défaut est utilisé. La valeur par défaut est |
Environment Regex Pattern |
Optional
Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ La valeur par défaut Ce paramètre vous permet de manipuler le champ "environment" à l'aide de la logique des expressions régulières. Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, le résultat final de l'environnement est l'environnement par défaut. |
Azure Subscription ID |
Obligatoire ID d'abonnement Azure. |
Azure Active Directory ID |
Obligatoire ID de locataire Microsoft Entra. |
Api Root |
Obligatoire URL racine de l'API management.azure.com à utiliser avec l'intégration. La valeur par défaut est |
Azure Resource Group |
Obligatoire Nom du groupe de ressources Azure dans lequel se trouve Microsoft Sentinel. |
Azure Sentinel Workspace Name |
Obligatoire Nom de l'espace de travail Microsoft Sentinel à utiliser. |
Client ID |
Obligatoire ID d'application (client) Microsoft Entra utilisé pour cette intégration. |
Client Secret |
Obligatoire Valeur du code secret du client Microsoft Entra. |
Script Timeout (Seconds) |
Obligatoire Délai avant expiration du processus Python exécutant le script actuel. La valeur par défaut est de 180 secondes. |
Offset Time In Hours |
Obligatoire
Nombre d'heures avant maintenant à partir desquelles récupérer les incidents. La valeur par défaut est de 24 heures. |
Incident Statuses to Fetch |
Obligatoire
États des incidents à récupérer. Ce paramètre accepte plusieurs valeurs sous la forme d'une chaîne de valeurs séparées par une virgule. La valeur par défaut est |
Incident Severities to Fetch |
Obligatoire
Gravité des incidents à récupérer. Ce paramètre accepte plusieurs valeurs sous la forme d'une chaîne de valeurs séparées par une virgule. La valeur par défaut est |
Max Incidents per Cycle |
Obligatoire
Nombre d'incidents à traiter lors d'une exécution du connecteur. Ce paramètre accepte plusieurs valeurs sous forme de chaîne séparée par une virgule. La valeur par défaut est 10. |
Proxy Server Address |
Optional
Adresse du serveur proxy à utiliser. |
Proxy Server Username |
Optional
Nom d'utilisateur du proxy pour l'authentification. |
Proxy Server Password |
Optional
Mot de passe du proxy pour l'authentification. |
Règles du connecteur
Le connecteur n'est pas compatible avec les listes de blocage ni les listes dynamiques.
Le connecteur est compatible avec les proxys.
Microsoft Azure Sentinel Incident Connector v2
Le connecteur Microsoft Azure Sentinel Incidents v2 est recommandé pour travailler avec Microsoft Sentinel. Les principaux changements incluent le passage aux nouveaux points de terminaison d'incidents dans l'API Microsoft Sentinel et l'introduction de la logique de gestion et d'analyse des entités de connecteur. Pour filtrer des incidents Microsoft Sentinel spécifiques et les récupérer en fonction de leur nom, utilisez la liste dynamique.
Il est possible que l'interface utilisateur de Microsoft Sentinel affiche les entités d'incident, mais que l'API ne les renvoie pas (la liste des entités est vide). Par conséquent, le connecteur a besoin de plus de temps pour ingérer ces incidents et les interroge dans le backlog pour les exécutions de connecteur suivantes. Une fois les informations sur les entités disponibles dans la réponse de l'API, le connecteur ingère les incidents.
Traitement des alertes Sentinel planifiées et non planifiées
Pour résoudre un problème dans le connecteur d'incidents Microsoft Azure Sentinel qui affichait à tort des entités pour toutes les alertes autres que les alertes planifiées Azure Sentinel, le connecteur d'incidents Microsoft Azure Sentinel v2 ajoute un événement supplémentaire pour chaque entité.
Cela signifie que si le connecteur reçoit une entité IP, Account ou Hostname dans l'événement Google SecOps, il ajoute un événement Google SecOps supplémentaire pour chaque entité trouvée. Le nouvel événement peut être utilisé pour créer des entités et mapper des propriétés d'entité dans Google SecOps SOAR. Les événements initiaux restent intacts. Les nouveaux événements ne sont ajoutés qu'à l'alerte Google SecOps. Les autres types d'entités ne sont pas concernés par cette logique et restent dans l'événement initial sans qu'aucun événement supplémentaire ne soit créé pour eux.
Pour permettre la création d'événements supplémentaires, le connecteur utilise le point de terminaison de l'API entity Sentinel pour extraire les données. Par défaut, les alertes planifiées et en temps quasi réel sont ingérées à l'aide des requêtes KQL d'analyse des journaux pour obtenir les données d'alerte et d'événement. Si vous sélectionnez le paramètre Utiliser la même approche pour la création d'événements pour tous les types d'alertes ? dans la configuration du connecteur, la même approche basée sur les entités est utilisée pour toutes les alertes, y compris celles planifiées et non planifiées. Nous vous recommandons d'utiliser cette option avec précaution.
Paramètres du connecteur
Pour configurer le connecteur, utilisez les paramètres suivants :
| Paramètres | |
|---|---|
Product Field Name |
Obligatoire
Nom du champ dans lequel le nom du produit est stocké. La valeur par défaut est |
Event Field Name |
Obligatoire
Nom du champ dans lequel le nom de l'événement est stocké. La valeur par défaut est |
Environment Field Name |
Optional
Nom du champ dans lequel le nom de l'environnement est stocké. Si le champ d'environnement n'est pas trouvé, l'environnement par défaut est utilisé. La valeur par défaut est |
Environment Regex Pattern |
Optional
Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ La valeur par défaut Ce paramètre vous permet de manipuler le champ "environment" à l'aide de la logique des expressions régulières. Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, le résultat final de l'environnement est l'environnement par défaut. |
Azure Subscription ID |
Obligatoire ID d'abonnement Azure. |
Azure Active Directory ID |
Obligatoire ID de locataire Microsoft Entra. |
Api Root |
Obligatoire URL racine de l'API à utiliser avec l'intégration. La valeur par défaut est |
OAUTH2 Login Endpoint Url |
Obligatoire URL du point de terminaison à utiliser pour l'authentification OAuth 2.0. |
Azure Resource Group |
Obligatoire Nom du groupe de ressources Azure dans lequel se trouve Microsoft Sentinel. |
Azure Sentinel Workspace Name |
Obligatoire Nom de l'espace de travail Microsoft Sentinel à utiliser. |
Client ID |
Obligatoire ID d'application (client) Microsoft Entra utilisé pour cette intégration. |
Client Secret |
Obligatoire Valeur du code secret du client Microsoft Entra. |
Script Timeout (Seconds) |
Obligatoire Délai avant expiration du processus Python exécutant le script actuel. La valeur par défaut est de 180 secondes. |
Offset Time In Hours |
Obligatoire
Nombre d'heures avant maintenant à partir desquelles récupérer les incidents. La valeur par défaut est de 24 heures. |
Incident Statuses to Fetch |
Obligatoire
États des incidents à récupérer. Ce paramètre accepte plusieurs valeurs sous la forme d'une chaîne de valeurs séparées par une virgule. La valeur par défaut est |
Incident Severities to Fetch |
Obligatoire
Gravité des incidents à récupérer. Ce paramètre accepte plusieurs valeurs sous la forme d'une chaîne de valeurs séparées par une virgule. La valeur par défaut est |
Use the same approach with event creation for all alert types?
|
Optional Si cette option est cochée, le connecteur utilise la même approche pour tous les types d'alertes. Si cette option n'est pas cochée, le connecteur utilise une approche différente pour le type d'alerte planifiée Azure Sentinel et tente d'extraire les événements qui ont déclenché l'alerte en exécutant la requête spécifiée dans les détails de l'alerte. (case décochée par défaut). |
Use whitelist as a blacklist |
Obligatoire
Si cette option est cochée, la liste dynamique est utilisée comme liste de blocage. (case décochée par défaut). |
Alerts padding period |
Obligatoire
Délai en minutes pendant lequel le connecteur récupère les alertes pour les incidents. La valeur par défaut est de 60 minutes. |
Proxy Server Address |
Optional
Adresse du serveur proxy à utiliser. |
Proxy Server Username |
Optional
Nom d'utilisateur du proxy pour l'authentification. |
Proxy Server Password |
Optional
Mot de passe du proxy pour l'authentification. |
Max Backlog Incidents per Cycle |
Obligatoire
Nombre d'incidents à extraire du backlog lors d'une exécution du connecteur. La valeur par défaut est 10. |
StartTimeFallback |
Obligatoire
Liste d'attributs d'incident ou d'alerte séparés par une virgule à utiliser comme solution de secours pour le champ d'alerte Si aucun des champs de remplacement n'est trouvé, le connecteur utilise l'attribut La valeur par défaut est |
EndTimeFallback |
Obligatoire
Liste d'attributs d'incident ou d'alerte séparés par une virgule à utiliser comme solution de secours pour le champ d'alerte Si aucun des champs de remplacement n'est trouvé, le connecteur utilise l'attribut La valeur par défaut est |
Enable Fallback Logic Debug? |
Optional
Si cette case est cochée, le connecteur ajoute des champs de débogage contenant les valeurs utilisées pour le remplacement dans les événements créés. (case décochée par défaut). |
VendorFieldFallback |
Obligatoire
Liste d'attributs d'incident séparés par une virgule à utiliser comme solution de repli pour le champ La valeur par défaut est |
ProductFieldFallback |
Obligatoire
Liste d'attributs d'incident séparés par une virgule à utiliser comme solution de repli pour le champ La valeur par défaut est |
EventFieldFallback |
Obligatoire
Liste d'attributs d'incident séparés par une virgule à utiliser comme solution de repli pour le paramètre La valeur par défaut est |
Max New Incidents per cycle |
Obligatoire
Nombre d'incidents à traiter lors d'une exécution de connecteur. La valeur par défaut est 10. |
Wait For Scheduled/NRT Alert Object |
Optional
S'il est activé, le connecteur attend qu'un objet d'alerte planifiée/NRT soit disponible. |
Scheduled Alerts Events Limit to Ingest |
Optional
Nombre maximal d'événements à ingérer pour une seule alerte planifiée ou en temps quasi réel Azure Sentinel. La valeur par défaut est 100. |
Incidents Padding Period (minutes) |
Optional
Période en minutes pendant laquelle le connecteur récupère les incidents et les renvoie. Ces incidents ne sont pas classés par ordre chronologique. |
Create Siemplify Alerts for Sentinel incidents that do not have
entities? |
Optional
Si cette option est cochée, le connecteur crée des alertes Google SecOps à partir des incidents Microsoft Sentinel qui ne comportent pas d'entités. Sinon, le connecteur ne crée des alertes Google SecOps que pour les alertes planifiées et en temps quasi réel, et ignore tous les autres types d'incidents Microsoft Sentinel. (case décochée par défaut). |
Incident's Alerts Limit to Ingest |
Optional
Nombre maximal d'alertes à ingérer pour chaque incident Microsoft Sentinel. |
Alert Name Template |
Optional
Si elle est spécifiée, le connecteur utilise cette valeur à partir des données d'incident renvoyées dans la réponse de l'API Microsoft Sentinel pour renseigner le champ Vous pouvez fournir un espace réservé au format suivant :
La longueur maximale du champ est de 256 caractères. Si aucune valeur n'est fournie ou si vous fournissez un modèle non valide, le connecteur utilise le nom d'alerte par défaut. |
Rule Generator Template |
Optional
Si elle est spécifiée, le connecteur utilise cette valeur à partir des données d'incident renvoyées dans la réponse de l'API Microsoft Sentinel pour renseigner le champ Vous pouvez fournir un espace réservé au format suivant :
La longueur maximale du champ est de 256 caractères. Si aucune valeur n'est fournie ou si vous fournissez un modèle non valide, le connecteur utilise la valeur par défaut du générateur de règles. |
Personnaliser les champs "Nom de l'alerte" et "Générateur de règles"
Le connecteur vous permet de personnaliser les valeurs des champs Nom de l'alerte Siemplify et Générateur de règles à l'aide des paramètres Modèle de nom d'alerte et Modèle de générateur de règles. Pour les modèles, le connecteur obtient des informations à partir des données d'incidents Microsoft Sentinel renvoyées par l'API.
L'exemple suivant affiche les données d'incident telles qu'elles sont renvoyées par l'API pour référencer les champs disponibles dans l'alerte et pouvant être utilisés pour les modèles :
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Incidents/d4f632be-0689-93f7-57a6-f27bfabbbad1",
"name": "d4f632be-0689-93f7-57a6-f27bfabbbad1",
"etag": "\"79004534-0000-0d00-0000-63590d610000\"",
"type": "Microsoft.SecurityInsights/Incidents",
"properties": {
"title": "Incident title",
"description": "",
"severity": "Low",
"status": "New",
"owner": {
"objectId": null,
"email": null,
"assignedTo": null,
"userPrincipalName": null
},
"labels": [],
"firstActivityTimeUtc": "2022-10-26T07:00:09.3857965Z",
"lastActivityTimeUtc": "2022-10-26T09:07:02.1083312Z",
"lastModifiedTimeUtc": "2022-10-26T10:35:13.0254798Z",
"createdTimeUtc": "2022-10-26T10:34:55.7454638Z",
"incidentNumber": 380925,
"additionalData": {
"alertsCount": 102,
"bookmarksCount": 0,
"commentsCount": 0,
"alertProductNames": [
"Azure Sentinel"
],
"tactics": [
"InitialAccess",
"Persistence"
]
},
"relatedAnalyticRuleIds": [
"/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/Microsoft.SecurityInsights/alertRules/8a3ca5c5-7875-466e-accd-3bcb2881cdb0"
],
"incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/Microsoft.SecurityInsights/Incidents/d4f632be-0689-93f7-57a6-f27bfabbbad1",
"providerName": "Azure Sentinel",
"providerIncidentId": "380925"
}
}
Règles du connecteur
Le connecteur est compatible avec la liste de blocage et la liste dynamique.
Le connecteur est compatible avec les proxys.
Connecteur de suivi des incidents Microsoft Sentinel
Utilisez le connecteur de suivi des incidents Microsoft Sentinel pour travailler avec les incidents Microsoft Sentinel et récupérer les mises à jour des incidents Sentinel en tant que nouvelles alertes Google SecOps. Vous pouvez utiliser la liste dynamique pour spécifier les noms des incidents à récupérer. Pour ce connecteur, nous vous recommandons de configurer le regroupement des alertes Google SecOps en fonction du paramètre SourceGroupIdentifier.
Entrées du connecteur
Pour configurer le connecteur, utilisez les paramètres suivants :
| Paramètres | |
|---|---|
Product Field Name |
Obligatoire
Nom du champ dans lequel le nom du produit est stocké. La valeur par défaut est |
Event Field Name |
Obligatoire
Nom du champ dans lequel le nom de l'événement est stocké. La valeur par défaut est |
Environment Field Name |
Optional
Nom du champ dans lequel le nom de l'environnement est stocké. Si le champ d'environnement n'est pas trouvé, l'environnement par défaut est utilisé. La valeur par défaut est |
Environment Regex Pattern |
Optional
Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ La valeur par défaut Ce paramètre vous permet de manipuler le champ "environment" à l'aide de la logique des expressions régulières. Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, le résultat final de l'environnement est l'environnement par défaut. |
Azure Subscription ID |
Obligatoire ID d'abonnement Azure. |
Entra ID Directory ID |
Obligatoire ID de locataire Microsoft Entra. |
Api Root |
Obligatoire URL racine de l'API à utiliser avec l'intégration. La valeur par défaut est |
OAUTH2 Login Endpoint Url |
Obligatoire URL du point de terminaison à utiliser pour l'authentification OAuth 2.0. |
Azure Resource Group |
Obligatoire Nom du groupe de ressources Azure dans lequel se trouve Microsoft Sentinel. |
Azure Sentinel Workspace Name |
Obligatoire Nom de l'espace de travail Microsoft Sentinel à utiliser. |
Client ID |
Obligatoire ID d'application (client) Microsoft Entra utilisé pour cette intégration. |
Client Secret |
Obligatoire Valeur du code secret du client Microsoft Entra. |
Script Timeout (Seconds) |
Obligatoire Délai avant expiration du processus Python exécutant le script actuel. La valeur par défaut est de 480 secondes. |
Verify SSL |
Optional Si cette option est sélectionnée, l'intégration vérifie que le certificat SSL pour la connexion au serveur Microsoft est valide. Cette option est sélectionnée par défaut. |
Max Hours Backwards |
Obligatoire
Nombre d'heures avant la première itération du connecteur à partir desquelles récupérer les incidents. Ce paramètre ne s'applique qu'une seule fois à l'itération initiale du connecteur après l'avoir activé pour la première fois. La valeur par défaut est de 24 heures. |
Incident Statuses to Fetch |
Obligatoire
États des incidents à récupérer. Ce paramètre accepte plusieurs valeurs sous la forme d'une chaîne de valeurs séparées par une virgule. La valeur par défaut est |
Incident Severities to Fetch |
Obligatoire
Gravité des incidents à récupérer. Ce paramètre accepte plusieurs valeurs sous la forme d'une chaîne de valeurs séparées par une virgule. La valeur par défaut est |
Max Incidents per Cycle |
Obligatoire
Nombre d'incidents à extraire du backlog lors d'une exécution du connecteur. La valeur par défaut est 10. |
Use the same approach with event creation for all alert types?
|
Optional Si cette option est sélectionnée, le connecteur utilise la même approche pour tous les types d'alertes. Si cette option n'est pas sélectionnée, le connecteur utilise une approche différente pour le type d'alerte planifiée Microsoft Sentinel et tente de récupérer les événements qui ont déclenché l'alerte en exécutant la requête spécifiée dans les détails de l'alerte. (non sélectionnée par défaut). |
Incidents Tags To Ingest |
Optional
Liste de tags d'incidents à ingérer, séparés par une virgule. Le connecteur ignore les incidents qui ne possèdent pas les tags de cette liste. |
Use whitelist as a blacklist |
Obligatoire
Si cette option est sélectionnée, la liste dynamique est utilisée comme liste de blocage. Non sélectionné par défaut. |
Backlog Expiration Timer |
Obligatoire
Période en minutes pendant laquelle le connecteur conserve les incidents dans un backlog. La valeur par défaut est de 60 minutes. |
StartTimeFallback |
Obligatoire
Liste d'attributs d'incidents ou d'alertes séparés par une virgule à utiliser comme solution de secours pour le champ d'alerte Si aucun des champs de remplacement n'est trouvé, le connecteur utilise l'attribut La valeur par défaut est |
EndTimeFallback |
Obligatoire
Liste d'attributs d'incident ou d'alerte séparés par une virgule à utiliser comme solution de secours pour le champ d'alerte Si aucun des champs de remplacement n'est trouvé, le connecteur utilise l'attribut La valeur par défaut est |
Enable Fallback Logic Debug? |
Optional
Si cette option est sélectionnée, le connecteur ajoute aux événements créés des champs de débogage contenant les valeurs utilisées pour le remplacement. (non sélectionnée par défaut). |
VendorFieldFallback |
Obligatoire
Liste d'attributs d'incident séparés par une virgule à utiliser comme solution de secours pour le champ La valeur par défaut est |
ProductFieldFallback |
Obligatoire
Liste d'attributs d'incident séparés par une virgule à utiliser comme solution de repli pour le champ La valeur par défaut est |
EventFieldFallback |
Obligatoire
Liste d'attributs d'incident séparés par une virgule à utiliser comme solution de repli pour le paramètre La valeur par défaut est |
Max Backlog Incidents per cycle |
Obligatoire
Nombre d'incidents à récupérer à partir du backlog lors d'une exécution de connecteur. La valeur par défaut est 10. |
Disable Overflow |
Optional Si cette option est sélectionnée, le connecteur désactive le débordement d'événements. (non sélectionnée par défaut). |
Total Number of Scheduled Alerts Events Limit to Ingest |
Optional
Nombre maximal d'événements à ingérer pour une seule alerte planifiée Microsoft Sentinel ou une alerte NRT. La valeur par défaut est 100. |
Create Chronicle SOAR Alerts for Sentinel incidents that do not
have entities? |
Optional
Si cette option est sélectionnée, le connecteur crée des alertes Google SecOps à partir des incidents Microsoft Sentinel qui ne comportent pas d'entités. Sinon, le connecteur ne crée des alertes Google SecOps que pour les alertes planifiées et en temps quasi réel, et ignore tous les autres types d'incidents Microsoft Sentinel. (non sélectionnée par défaut). |
Incident's Alerts Limit to Ingest |
Optional
Nombre maximal d'alertes à ingérer pour chaque incident Microsoft Sentinel. |
Incidents Padding Period (minutes) |
Optional
Période en minutes avant l'heure actuelle pendant laquelle le connecteur récupère les incidents et les renvoie. Le connecteur ne renvoie pas les incidents dans l'ordre chronologique. |
Alert Name Template |
Optional
Si cette valeur est spécifiée, le connecteur l'utilise à partir des données d'incident renvoyées dans la réponse de l'API Microsoft Sentinel pour un nom d'alerte Google SecOps SOAR. Vous pouvez fournir un espace réservé au format suivant :
La longueur maximale du champ est de 256 caractères. Si aucune valeur n'est fournie ou si vous fournissez un modèle non valide, le connecteur utilise le nom d'alerte par défaut. |
Rule Generator Template |
Optional
Si cette valeur est spécifiée, le connecteur l'utilise à partir des données d'incident renvoyées dans la réponse de l'API Microsoft Sentinel pour un générateur de règles SOAR Google SecOps. Vous pouvez fournir un espace réservé au format suivant :
La longueur maximale du champ est de 256 caractères. Si aucune valeur n'est fournie ou si vous fournissez un modèle non valide, le connecteur utilise la valeur par défaut du générateur de règles. |
How many hours to track ingested incident for updates |
Obligatoire
Période pendant laquelle le connecteur suit les incidents Sentinel déjà ingérés pour les mises à jour, comme l'ajout de nouveaux événements ou entités, ou les détails des incidents. La valeur par défaut est de 24 heures. |
Wait For Scheduled/NRT Alert Object |
Optional
S'il est activé, le connecteur attend qu'un objet d'alerte planifiée/NRT soit disponible. |
Proxy Server Address |
Optional
Adresse du serveur proxy à utiliser. |
Proxy Server Username |
Optional
Nom d'utilisateur du proxy pour l'authentification. |
Proxy Server Password |
Optional
Mot de passe du proxy pour l'authentification. |
Règles du connecteur
Le connecteur de suivi des incidents Microsoft Sentinel est compatible avec les listes de blocage et les listes dynamiques.
Jobs
L'intégration Microsoft Sentinel est compatible avec le job Microsoft Sentinel – Synchroniser les incidents.
Microsoft Sentinel : synchroniser les incidents
Utilisez le job Microsoft Sentinel – Synchroniser les incidents pour synchroniser les alertes Google SecOps avec les incidents Microsoft Sentinel. Il garantit que les commentaires, l'état et les tags sont synchronisés entre les deux systèmes.
Pour que la tâche identifie les informations correctes, la demande Google SecOps doit comporter le tag Microsoft Sentinel Incident. Si une alerte ne provient pas de Microsoft Azure Sentinel Incident Connector v2, vous devez ajouter une valeur de contexte Incident_ID à la demande pour que le job trouve les informations correctes.
Comportement des jobs
Ce travail se compose de deux parties principales : 1. La tâche synchronise les états, les commentaires et les tags des alertes de Microsoft Sentinel avec Google SecOps. 1. La tâche synchronise toutes les mises à jour de Google SecOps vers Microsoft Sentinel.
Le job traite un nombre maximal de cas par itération pour garantir des performances stables. Il s'appuie sur l'heure de la dernière modification d'une demande pour s'assurer qu'aucune mise à jour n'est manquée.
Lorsqu'une alerte est fermée dans l'un des systèmes, le job synchronise la fermeture. Voici le mappage des états :
Maliciouscorrespond à un état Microsoft Sentinel deClosedavec une raisonTrue Positive.Not Maliciouscorrespond à un état Microsoft Sentinel deClosedavec une raisonFalse Positive.- Toute autre valeur de clôture correspond à un état Microsoft Sentinel de
Closedavec une raisonUnknown.
Les commentaires sont synchronisés de manière bidirectionnelle. Pour éviter une boucle de synchronisation, le job applique un préfixe à chaque commentaire.
Les tags sont également synchronisés avec les mêmes préfixes pour distinguer leur origine.
Remarques importantes sur la limitation du débit de l'API
Ce job utilise l'API Microsoft Graph pour gérer les incidents, qui a une limite de débit de 20 requêtes par minute. Pour réduire le risque d'atteindre cette limite et d'impacter d'autres composants de l'intégration, nous vous recommandons vivement de configurer une application Microsoft Entra ID distincte spécifiquement pour ce job.
La seule autorisation requise est SecurityIncident.ReadWrite.All.
Paramètres de job
Le job Microsoft Sentinel – Synchroniser les incidents nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Environment Name |
Obligatoire. Nom de l'environnement à partir duquel synchroniser les incidents. La valeur par défaut est |
Azure Active Directory ID |
Obligatoire. Votre ID de répertoire unique dans Azure. Également appelé ID de locataire. |
OAUTH2 Login Endpoint Url |
Obligatoire. URL du point de terminaison OAuth 2.0 où le job demande un jeton d'authentification. La valeur par défaut est |
API Root |
Obligatoire. URL de base pour l'API Graph. Le job ajoute des appels d'API spécifiques à cette URL racine pour récupérer les données. La valeur par défaut est |
Client ID |
Obligatoire. ID unique de l'application enregistrée dans Azure Active Directory. Cet ID permet d'authentifier votre application et de lui accorder l'accès à Microsoft Sentinel. |
Client Secret |
Obligatoire. Clé confidentielle utilisée avec |
Max Hours Backwards |
Obligatoire. Nombre d'heures dans le passé pour synchroniser les incidents. La valeur par défaut est |
Verify SSL |
Obligatoire/Facultatif. Si cette option est sélectionnée, l'intégration valide le certificat SSL lors de la connexion au serveur Microsoft Sentinel. Cette option est activée par défaut. |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.