Microsoft Azure Sentinel
Versi integrasi: 44.0
Integrasi ini menggunakan satu atau beberapa komponen open source. Anda dapat mendownload salinan kode sumber lengkap integrasi ini dalam bentuk zip dari bucket Cloud Storage.
Kasus penggunaan
- Pantau dan periksa pemberitahuan yang dibuat di Sentinel berdasarkan peristiwa yang mengalir dari host lokal dan layanan Microsoft berbasis cloud seperti Microsoft 365 dan Microsoft 365 Cloud App Security.
- Gunakan data yang dikumpulkan dan dikorelasikan di Sentinel untuk pengayaan, saat menyelidiki insiden tertentu. Analis dapat menggunakan data yang dikumpulkan dan disimpan di Sentinel dalam penyelidikan, misalnya, untuk "melihat perincian" informasi tertentu (misalnya, memeriksa data pemberitahuan, memeriksa log Syslog) atau mengkueri aktivitas dalam jangka waktu tertentu atau dari host tertentu.
Prasyarat
Anda memerlukan otorisasi di Microsoft Entra ID untuk mengonfigurasinya terlebih dahulu agar dapat mengeksekusi permintaan terhadap Microsoft Security Insights API. Anda harus mengonfigurasi izin:
- Buat aplikasi Microsoft Entra.
- Buat rahasia klien.
- Memberi aplikasi Microsoft Entra terdaftar akses ke Ruang Kerja Microsoft Sentinel.
- Gunakan aplikasi Microsoft Entra untuk mendapatkan token akses.
Buat aplikasi Microsoft Entra
Login ke portal Azure sebagai administrator pengguna atau administrator sandi.
Pilih Microsoft Entra ID.
Buka App registrations > New registration.
Masukkan nama aplikasi.
Pilih Jenis akun yang didukung yang berlaku.
Klik Daftar.
Simpan nilai Application (client) ID dan Directory (tenant) ID untuk digunakan nanti saat mengonfigurasi parameter integrasi.
Buat rahasia klien
Buka Certificates and secrets > New client secret.
Berikan deskripsi untuk rahasia klien dan tetapkan tenggat waktu habis masa berlakunya.
Klik Tambahkan.
Simpan nilai rahasia klien (bukan ID rahasia) untuk menggunakannya sebagai nilai parameter
Client Secretsaat mengonfigurasi integrasi. Nilai rahasia klien hanya ditampilkan satu kali.
Memberikan akses Microsoft Entra terdaftar ke Ruang Kerja Microsoft Sentinel
Buka halaman Ringkasan Microsoft Sentinel.
Klik Setelan.
Klik Kontrol akses (IAM).
Di bagian Tambahkan penetapan peran, klik Tambahkan.
Konfigurasikan parameter berikut:
Peran =
Azure Sentinel Contributor.Tetapkan akses ke =
default, Microsoft Entra ID user group, or service principal.
Di bagian Pilih, berikan kondisi penelusuran untuk menemukan aplikasi Anda dan tambahkan penetapan peran untuk aplikasi Anda.
Buka halaman ruang kerja Microsoft Sentinel. Temukan dan konfigurasikan parameter berikut:
Azure Resource GroupAzure Sentinel Workspace Name
Mengintegrasikan Microsoft Azure Sentinel dengan Google SecOps SOAR
Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google Security Operations, lihat Mengonfigurasi integrasi.
Parameter integrasi
Gunakan parameter berikut untuk mengonfigurasi integrasi:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Instance | String | T/A | Tidak | Nama Instance yang ingin Anda konfigurasi integrasinya. |
| Deskripsi | String | T/A | Tidak | Deskripsi Instance. |
| ID Langganan Azure | String | T/A | Ya | ID Langganan Microsoft Azure, dapat dilihat di Azure Portal > Subscriptions > <Your Subscription> Subscription ID. |
| ID Azure Active Directory | String | T/A | Ya | ID Tenant Microsoft Entra dapat dilihat di Microsoft Entra > App Registration > <Application you configured for your integration> Directory (tenant) ID. |
| Root API | String | https://management.azure.com | Ya | URL root API Management.azure.com untuk digunakan dengan integrasi. |
| Grup Resource Azure | String | T/A | Ya | Nama Grup Resource Azure tempat Microsoft Sentinel berada. |
| Nama Ruang Kerja Azure Sentinel | String | T/A | Ya | Nama ruang kerja Microsoft Sentinel yang akan digunakan. Dapat dilihat di portal Azure > Microsoft Sentinel > Ruang Kerja Microsoft Sentinel. |
| ID Klien | String | T/A | Ya | ID Klien (Aplikasi) yang ditambahkan untuk pendaftaran aplikasi di Microsoft Entra untuk integrasi ini. |
| Rahasia Klien | Sandi | T/A | Ya | Rahasia yang dimasukkan untuk pendaftaran aplikasi Azure Sentinel. |
| Menjalankan dari Jarak Jauh | Kotak centang | Tidak dicentang | Tidak | Centang kolom untuk menjalankan integrasi yang dikonfigurasi dari jarak jauh. Setelah dicentang, opsi akan muncul untuk memilih pengguna jarak jauh (agen). |
Tindakan
Ping
Uji konektivitas ke ruang kerja Microsoft Sentinel dengan parameter yang diberikan di halaman konfigurasi integrasi pada tab Google Security Operations Marketplace.
Kasus penggunaan
Tindakan digunakan untuk menguji konektivitas di halaman konfigurasi integrasi di tab Google Security Operations Marketplace, dan dapat dijalankan sebagai tindakan manual, yang tidak digunakan dalam playbook.
Dijalankan pada
Tindakan ini dijalankan di semua entity.
Hasil tindakan
Hasil skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Repositori kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan Output* | Jika berhasil: cetak "Successfully connected to the
Microsoft Sentinel Workspace with the provided connection parameters!". Jika tidak berhasil: cetak "Failed to connect to the Microsoft Sentinel Workspace! Error adalah {0}".format(exception.stacktrace). |
Umum |
Mencantumkan Insiden
Mencantumkan insiden Microsoft Sentinel berdasarkan kriteria penelusuran yang diberikan.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Jangka Waktu | Bilangan bulat | 3 | Tidak | Tentukan jangka waktu dalam jam untuk mengambil insiden. |
| Status | String | Baru, Aktif, Ditutup | Tidak | Tentukan status insiden yang akan dicari. Parameter menerima beberapa nilai sebagai string yang dipisahkan koma. |
| Keparahan | String | Informasi, Rendah, Sedang, Tinggi | Tidak | Tentukan tingkat keparahan insiden yang akan dicari. Parameter menerima beberapa nilai sebagai string yang dipisahkan koma. |
| Jumlah Insiden yang Akan Diambil | Bilangan bulat | 200 | Tidak | Jumlah insiden yang akan diambil. Secara default, 200 insiden terbaru akan ditampilkan. |
Kasus penggunaan
Tindakan ini dapat digunakan untuk mencantumkan insiden Microsoft Sentinel dari playbook Google SecOps.
Dijalankan pada
Tindakan ini dijalankan di semua entity.
Hasil tindakan
Hasil skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"value": [
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases/323032be-5b0d-4661-944f-ff9557597e50",
"name": "323032be-5b0d-4661-944f-ff9557597e50",
"etag": "\"2100e65a-0000-0d00-0000-5de3b1bf0000\"",
"type": "Microsoft.SecurityInsights/Cases",
"properties": {
"title": "Suspicious process injection observed",
"description": "A process abnormally injected code into another process, As a result, unexpected code may be running in the target process memory. Injection is often used to hide malicious code execution within a trusted process. \nAs a result, the target process may exhibit abnormal behaviors such as opening a listening port or connecting to a command and control server.",
"severity": "Medium",
"status": "New",
"labels": ["add_tag"],
"endTimeUtc": "2019-11-29T03:42:05Z",
"startTimeUtc": "2019-11-29T03:42:05Z",
"owner": {
"objectId": null
},
"lastUpdatedTimeUtc": "2019-12-01T12:27:43Z",
"createdTimeUtc": "2019-11-29T07:13:32.0266519Z",
"relatedAlertIds": ["2462474c-b6d9-6937-17ee-c2a62671c2f8"],
"relatedAlertProductNames": ["Microsoft Defender Advanced Threat Protection"],
"caseNumber": 2276,
"totalComments": 0,
"metrics": {
"SecurityAlert": 1
},
"firstAlertTimeGenerated": "2019-11-29T07:13:31.961602Z",
"lastAlertTimeGenerated": "2019-11-29T07:13:31.961602Z"
}
},{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases/c7939be8-32fb-415c-9f7c-c13325d6c48b",
"name": "c7939be8-32fb-415c-9f7c-c13325d6c48b",
"etag": "\"1900f5e2-0000-0d00-0000-5de0c5110000\"",
"type": "Microsoft.SecurityInsights/Cases",
"properties": {
"title": "Suspicious Power Shell command line",
"description": "A suspicious PowerShell activity was observed on the machine. \nThis behavior may indicate that PowerShell was used during installation, exploration, or in some cases in lateral movement activities which are used by attackers to invoke modules, download external payloads, or get more information about the system. Attackers usually use PowerShell to bypass security protection mechanisms by executing their payload in memory without touching the disk and leaving any trace.\r\nOur algorithms found the behaviors of this process to be suspicious due to the following factors:\nSuspicious memory activity\nExecutes suspicious PowerShell commands",
"severity": "Medium",
"status": "New",
"labels": [],
"endTimeUtc": "2019-11-29T03:42:04.9552017Z",
"startTimeUtc": "2019-11-29T03:42:04.9552017Z",
"owner": {
"objectId": null
},
"lastUpdatedTimeUtc": "2019-11-29T07:13:21Z",
"createdTimeUtc": "2019-11-29T07:13:21.6858164Z",
"relatedAlertIds": [
"d053f17e-6153-d171-9f4d-82389442aa35"
],
"relatedAlertProductNames": [
"Microsoft Defender Advanced Threat Protection"
],
"caseNumber": 2275,
"totalComments": 0,
"metrics": {
"SecurityAlert": 1
},
"firstAlertTimeGenerated": "2019-11-29T07:13:21.5885314Z",
"lastAlertTimeGenerated": "2019-11-29T07:13:21.5885314Z"
}
}
],
"nextLink": "https://management.azure.com:443/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases?api-version=2019-01-01-preview&$skipToken=H4sIAAAAAAAEAE1VTVMiSxD8MR45LIstukbsIbvnqxmGcRgR2xsiFqA44soiHt5vf1nzfOwaQUg31fWRlVnVGfvo8p-Jf5jhavBejW1_jQvon5OfP0_G15ffT67H7rLX7fIQXQ4P64vB583efZqXUSo7zGaRvS4-inWzK9Z-V3ze3RSfxfko8ufFdfy7jIpu8Snd8vkXTnx9c9k78XF52T87O-2fJFdXlxCZfMUDItN-zflJ2m9o-EmRx13Efi52cvw9Fnf2LBmvkW0-aBJwK8kUSYPp0R88pm_m9s-5gg2uKx9y9PMMu1yuOqgNaklrOGPfBDtMAu4FfawNZpJ2EDXWChZYGCwl2iBt7EpQovKARD1k3pb6u_Vqt4ELdqy_nw7mhSQ7pN5e6RnGbQQ9PDUYSNpHEnAjaQzUtiM2x71HLoMNoXCVoMZMz4wHg6FkueaXCrZYBHiJWYG3tEuRVke8Dog69ccs9uJ2wNxaJJ55OsASmmDvBB3F7VaQoarQ0XzjyiKOe4gDluo0laO_HN752wa_5a6-Ow3x_R88BYU_yOt7b1B6PPyN-_Ps6fHv8_ez7vLv876R1fFs2fftaLqsFjgPUV9GNevPzqRc4D1EvyXvYGPYN2yHfv9_XnYBt7A77ddgh-fgSin6tM_mEh3sqcFaHrb4HqI7sStrGvcm-RafjTMy7GHl7d262WDR2B-Sl9g27pcMD3gI2TfGsYx_LqMF3kJUSdnjO2QyP-DdR5EMd1gaPB3zT0E_5Uz9PjXsc1TiNtieDDroBdr73AafXMg0tXUTL-Wxr_cdGfUYN5qITzEPvXu51fjOyjDFKkSPks6Ytw1S9e0oJE4ea4xDZsgje9bikdqdd-eS7zA49p_0Sxb-1KdP4nd4CW4pfoVNg0TmM-JD-0GNZXAHGXbw4l0jWY1n40T9rIx7krRXLrwbiZ_ixdAuW9A-Wio-pyZKJT_gYNyH5n0d0ldJOuxnJFLMGMd2xYWjvgbChG5XSWPcWP3Q316GW5SGOEe5fQxJLVXqbkzcl3pnfcjexP3R5w9KvfkgPw3GcLHyc6p-Jh5d1ZElXwUrXDX4IW6hI8SL7ek82JIHuDKq4xWyVrf6X_WZwXueaVc2eBe3Jf8hjufU41yiVOPYPa9UD3oeNvgU6sex7-JKeMN41OWQI-br_lTiKUaN6qqGb_W9UOndq95co_lu4APIx43ml4lVnmMjrsbIMB5lmhvOA94XBhOxrBfVs7gp-45X9RMFjj47o36t0zmVCGXrVVH4T5AxgmAILdDZVOfUTmTl8yM_CNLryj4aFzSfNGgczolf0FkQZ4orpcU4HIZWtVqJc_qSw3elcWDhUATOI-LP_DPBTOvjHDogC4j2joOWqei7rFGdMNv2HVxpiBftaB8RX1bIy2SF2qOnOHLOpWKd4hjEliyWzxolAeMRp0x5gIHmfa15JgbcC6nyICiuxOmpzXdOXPh-oPOSc5D2Y62F9U2UF8OAR84FjRfpPGU_K-0reVBVbqV822nfuU_4Tir2s5R4q3lM27447gX6rwxG4gqlJhQh8uWXuI32nfypHPMrxXW03y-ijPb8nXhfeRjtq9V-sq_s00RxoX2u8xzKD3fQep-Ur2xFrf1ivE_pLLJXk1SSpyga9bsD56KNW9nJN9UBeeR4pa2qFNdE9wd5ETOBmPyhXu7b-i-YpDYV1VL3j2_76cA7r3WQ13eKD_F0MXk58Lj6wtdXxD1S3nP_MQ-397E2vmr3o2e-xIlbhfEP2s_f4mbah1jrJL573a_EdSRc2eTDWnXoW35wL7X17rT-i5YXc8ut1Oqzrzrm3nRfOA0Vp6TlH3kvvrUbNHhWnCOv_c25l6lL8iXlnod6t1i1um9QtHwMzIP99OrHFvTrFBTV1rnyKt4zb8VJ9cX6klYPFR2pJJzydy12q3ik6geqa-ojbeeItbTnHnfUVfXzX2qVoX91CQAA"
}
Repositori kasus
| Jenis Hasil | Nilai/ Deskripsi | Jenis |
|---|---|---|
| Pesan Output* | jika berhasil dan mendapatkan data: cetak "Successfully returned Microsoft
Sentinel incidents". Jika tidak ada yang ditemukan: cetak "Tindakan tidak dapat menemukan insiden apa pun". if error: print "Failed to list Microsoft Sentinel incidents! Error adalah {0}".format(exception.stacktrace). |
Umum |
| Tabel | Judul tabel: Insiden Microsoft Sentinel yang ditemukan: Kolom: incident_number, incident_id, title, description, severity, status, labels, assigned to, alert product names, created time, last updated time |
Umum |
| Lampiran | List_Incidents.json - berisi data JSON teknis yang ditampilkan oleh tindakan. | Umum |
JSON Viewer |
Menampilkan penampil JSON untuk hasil kueri. | Umum |
Perbarui Detail Insiden
Memperbarui insiden Microsoft Sentinel.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nomor Kasus Insiden | Bilangan bulat | T/A | Ya | Tentukan nomor insiden Azure Sentinel yang akan diperbarui. |
| Judul | String | T/A | Tidak | Tentukan judul baru untuk insiden Azure Sentinel. |
| Keparahan | DDL | Tidak Diperbarui (kemungkinan nilai: Tidak Diperbarui, Informasi, Rendah, Sedang, Tinggi) |
Tidak | Tentukan tingkat keparahan baru untuk insiden Azure Sentinel. |
| Deskripsi | String | T/A | Tidak | Tentukan deskripsi baru untuk insiden Azure Sentinel. |
| Ditugaskan Kepada | String | T/A | Tidak | Tentukan pengguna yang akan diberi tugas menangani insiden. |
| Status | DDL | Tidak Diperbarui (nilai yang mungkin: Tidak Diperbarui, Baru, Aktif, Ditutup) | Tidak | Tentukan status baru untuk insiden Azure Sentinel. |
| Alasan Penutupan | DDL | Tidak Diperbarui (nilai yang mungkin: |
Tidak | Jika status insiden ditetapkan ke Ditutup, berikan Alasan Penutupan untuk insiden tersebut. |
| Komentar Penutup | String | T/A | Tidak | Komentar penutup opsional yang akan diberikan untuk Insiden Azure Sentinel yang ditutup. |
| Jumlah percobaan ulang | Bilangan bulat | 1 | Ya | Tentukan jumlah upaya percobaan ulang yang harus dilakukan tindakan jika pembaruan insiden gagal. |
| Coba Lagi Setiap | Bilangan bulat | 20 | Ya | Tentukan jangka waktu tindakan untuk menunggu di antara percobaan ulang pembaruan insiden. |
Kasus penggunaan
Tindakan ini dapat digunakan untuk memperbarui insiden Microsoft Sentinel dari playbook Google SecOps. Tindakan ini dapat digunakan sebagai tindakan yang dihasilkan dalam alur kerja yang melibatkan analisis insiden Microsoft Sentinel.Setelah insiden diproses di Google SecOps, insiden tersebut dapat diperbarui untuk menunjukkan progres analisis insiden (misalnya, menetapkan assignedTo, menetapkan Status sebagai inProgress, dll.).
Dijalankan pada
Tindakan ini dijalankan di semua entity.
Hasil tindakan
Hasil skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
Hasil JSON ditampilkan untuk Permintaan 2, dan berisi detail insiden yang diperbarui berikut:
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases/9e5c0afc-b7a6-4eac-8164-9242ad710a66",
"name": "9e5c0afc-b7a6-4eac-8164-9242ad710a66",
"etag": "\"12002b5c-0000-0d00-0000-5dde83730000\"",
"type": "Microsoft.SecurityInsights/Cases",
"properties": {
"title": "Activity from a Tor IP address",
"description": "A failed sign in was detected from a Tor IP addressThe Tor IP address 203.0.113.200 was used by Example User - Test User Spec (user@example.com).",
"severity": "Informational",
"status": "InProgress",
"assignedTo": "test@example.com",
"labels": [],
"closeReason": "Resolved",
"endTimeUtc": "2019-11-27T01:56:03.4651258Z",
"startTimeUtc": "2019-11-27T01:56:03.4651258Z",
"owner": {
"objectId": null,
"email": "test@example.com"
},
"lastUpdatedTimeUtc": "2019-11-27T14:08:51Z",
"createdTimeUtc": "2019-11-27T05:01:11.1139394Z",
"relatedAlertIds": [
"2a96343c-e551-4529-96f1-18d6f734470d"
],
"relatedAlertProductNames": [
"Azure Sentinel"
],
"caseNumber": 2274,
"totalComments": 0,
"metrics": {
"SecurityAlert": 1
},
"firstAlertTimeGenerated": "2019-11-27T05:01:10.2574659Z",
"lastAlertTimeGenerated": "2019-11-27T05:01:10.2574659Z"
}
}
Repositori kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan Output* | Jika berhasil: cetak "Successfully updated Microsoft Sentinel incident {0}".format(IncidentID). Jika tidak dapat menemukan insiden berdasarkan nomor kasus insiden yang diberikan: cetak "Microsoft Sentinel Incident with case number {0} was not found!".format(incident_case_number). If error: print "Failed to update Microsoft Sentinel incident! Error adalah {0}".format(exception.stacktrace). |
Umum |
Memperbarui Label Insiden
Memperbarui label pada insiden Microsoft Sentinel tertentu.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nomor Kasus Insiden | Bilangan bulat | 2273 | Ya | Tentukan nomor insiden Azure Sentinel yang akan diperbarui dengan label baru. |
| Label | String | malware | Ya | Tentukan label baru yang harus ditambahkan ke Insiden. Parameter menerima beberapa nilai sebagai string yang dipisahkan koma. |
| Jumlah percobaan ulang | Bilangan bulat | 1 | Ya | Tentukan jumlah upaya percobaan ulang yang harus dilakukan tindakan jika update insiden gagal. |
| Coba Lagi Setiap | Bilangan bulat | 20 | Ya | Tentukan jangka waktu tindakan harus menunggu di antara upaya percobaan ulang pembaruan insiden. |
Kasus penggunaan
Tindakan ini dapat digunakan untuk memperbarui label insiden Microsoft Sentinel dari playbook Google SecOps. Pengguna dapat menggunakan tindakan ini untuk menetapkan tag (label) tertentu ke insiden tertentu jika diperlukan. Misalnya, jika host tertentu merupakan bagian dari insiden ini, harus ada label tertentu.
Dijalankan pada
Tindakan ini dijalankan di semua entity.
Hasil tindakan
Hasil skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
Hasil JSON ditampilkan untuk Permintaan 2, dan berisi detail insiden yang diperbarui:
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases/9e5c0afc-b7a6-4eac-8164-9242ad710a66",
"name": "9e5c0afc-b7a6-4eac-8164-9242ad710a66",
"etag": "\"12002b5c-0000-0d00-0000-5dde83730000\"",
"type": "Microsoft.SecurityInsights/Cases",
"properties": {
"title": "Activity from a Tor IP address",
"severity": "Informational",
"status": "InProgress",
"labels": [
"malware",
"trojan"
],
"endTimeUtc": "2019-11-27T01:56:03.4651258Z",
"startTimeUtc": "2019-11-27T01:56:03.4651258Z",
"owner": {
"objectId": null,
},
"lastUpdatedTimeUtc": "2019-11-27T14:08:51Z",
"createdTimeUtc": "2019-11-27T05:01:11.1139394Z",
"relatedAlertIds": [
"2a96343c-e551-4529-96f1-18d6f734470d"
],
"relatedAlertProductNames": [
"Azure Sentinel"
],
"caseNumber": 2274,
"totalComments": 0,
"metrics": {
"SecurityAlert": 1
},
"firstAlertTimeGenerated": "2019-11-27T05:01:10.2574659Z",
"lastAlertTimeGenerated": "2019-11-27T05:01:10.2574659Z"
}
}
Repositori kasus
| Jenis Hasil | Nilai/ Deskripsi | Jenis |
|---|---|---|
| Pesan Output* | if successful: "Successfully updated Microsoft Sentinel
incident {0} with the following labels: {1}".format(IncidentID, [labels_list]).
Jika tidak dapat menemukan insiden berdasarkan nomor kasus insiden yang diberikan: "Insiden Microsoft Sentinel dengan nomor kasus {0} tidak ditemukan!".format(incident_case_number). Jika pengguna telah memberikan
label yang sudah ada dalam insiden (isSuccess=False): "Label
berikut tidak ditambahkan ke label Microsoft Sentinel untuk insiden
{0} karena sudah ada: {1}".format(IncidentID, [labels_list]) Jika error: "Gagal memperbarui label insiden Microsoft Sentinel. Error adalah {0}".format(exception.stacktrace). |
Umum |
Mendapatkan Statistik Insiden
Mendapatkan statistik insiden Azure Sentinel.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Jangka Waktu | Bilangan bulat | 3 | Tidak | Tentukan jangka waktu untuk menampilkan statistik. |
Kasus penggunaan
Tindakan ini dapat digunakan untuk menampilkan laporan Buku Pedoman Google SecOps untuk peristiwa Microsoft Sentinel. Tindakan ini akan menjadi bagian dari playbook tempat pengguna berinteraksi dengan alarm Microsoft Sentinel yang dibuat saat, misalnya, peringatan diproses dan dihapus, tindakan ini dapat diterapkan untuk melihat hasil insiden Microsoft Sentinel di halaman "pelajaran yang didapat".
Sebaliknya, metode ini dapat menjadi metode antarmuka pengguna, bukan menggunakan aplikasi Windows Sentinel, untuk tetap berada di Google SecOps.
Dijalankan pada
Tindakan ini dijalankan di semua entity.
Hasil tindakan
Hasil skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Aggregations/Cases",
"name": "Cases",
"type": "Microsoft.SecurityInsights/Aggregations",
"kind": "CasesAggregation",
"properties": {
"aggregationBySeverity": {
"totalCriticalSeverity": 1,
"totalHighSeverity": 2,
"totalMediumSeverity": 554,
"totalLowSeverity": 1714,
"totalInformationalSeverity": 1
},
"aggregationByStatus": {
"totalNewStatus": 2268,
"totalInProgressStatus": 4,
"totalResolvedStatus": 1,
"totalDismissedStatus": 0,
"totalTruePositiveStatus": 2,
"totalFalsePositiveStatus": 1
}
}
}
Repositori kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan Output* | Jika berhasil dan mendapatkan data: cetak "Berhasil
menampilkan statistik insiden Microsoft Sentinel". If error: print "Failed to get Microsoft Sentinel incident statistics! Error adalah {0}".format(exception.stacktrace). |
Umum |
| Tabel #1 | Judul tabel: Statistik Insiden Microsoft Sentinel menurut Tingkat keparahan: Kolom: Kritis (dipetakan ke totalCriticalSeverity), Tinggi (dipetakan ke totalHighSeverity), Sedang (dipetakan ke totalMediumSeverity), Rendah(dipetakan ke totalLowSeverity) , Informatif(dipetakan ke totalInformationalSeverity) |
Umum |
| Tabel #2 | Judul tabel: Statistik Insiden Microsoft Sentinel menurut Status: Kolom: Baru(dipetakan ke totalNewStatus), Sedang Berlangsung(dipetakan ke totalInProgressStatus), Terselesaikan(dipetakan ke totalResolvedStatus), Ditutup(dipetakan ke totalDismissedStatus), Positif Benar(dipetakan ke totalTruePositiveStatus), FalsePositive(dipetakan ke totaFalsePositiveStatus) |
Umum |
JSON Viewer |
Menampilkan penampil JSON untuk hasil kueri. | Umum |
Mencantumkan Aturan Pemberitahuan
Mendapatkan daftar aturan terjadwal Azure Sentinel.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Tingkat Keseriusan Aturan Pemberitahuan | String | Informasi, Rendah, Sedang, Tinggi, Kritis | Tidak | Tentukan tingkat keparahan aturan pemberitahuan yang akan dicari. Parameter menerima beberapa nilai sebagai string yang dipisahkan koma. |
| Mengambil Jenis Aturan Pemberitahuan Tertentu | String | T/A | Tidak | Tentukan jenis pemberitahuan yang harus ditampilkan oleh tindakan. Parameter menerima beberapa nilai sebagai string yang dipisahkan koma. Jika nilai tidak diberikan - menampilkan semua jenis pemberitahuan yang mungkin. |
| Mengambil Taktik Aturan Pemberitahuan Spesifik | String | T/A | Tidak | Tentukan tindakan taktik aturan pemberitahuan yang harus ditampilkan. Parameter menerima beberapa nilai sebagai string yang dipisahkan koma. Jika nilai tidak diberikan, tampilkan semua kemungkinan jenis pemberitahuan. |
| Hanya mengambil Aturan Pemberitahuan yang Diaktifkan? | Kotak centang | Tidak dicentang | Tidak | Tentukan apakah tindakan hanya boleh menampilkan aturan pemberitahuan yang diaktifkan. |
| Jumlah maksimum aturan yang akan ditampilkan | Bilangan bulat | T/A | Tidak | Jumlah aturan pemberitahuan terjadwal yang harus ditampilkan oleh tindakan, misalnya, 50. |
Kasus penggunaan
Tindakan ini dapat digunakan untuk mencantumkan aturan pemberitahuan Microsoft Sentinel dari playbook Google SecOps. Anda dapat mencantumkan aturan pemberitahuan untuk memastikan bahwa Anda telah menyiapkan aturan pemberitahuan untuk setiap jenis ancaman dan anomali yang mencurigakan di lingkungan Anda. Jika melihat bahwa beberapa situasi tidak ditangani dengan benar, Anda dapat segera memperbarui aturan pemberitahuan yang ada atau membuat aturan baru. Aturan pemberitahuan Microsoft Sentinel memastikan bahwa Anda akan segera diberi tahu, sehingga Anda dapat melakukan triase, menyelidiki, dan memulihkan ancaman.
Dijalankan pada
Tindakan ini dijalankan di semua entity.
Hasil tindakan
Hasil skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"value": [
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/alertRules/4bdce24d-7837-4f02-9f7a-10824f376517",
"name": "4bdce24d-7837-4f02-9f7a-10824f376517",
"etag": "\"00002f05-0000-0d00-0000-5d9db9970000\"",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "MicrosoftSecurityIncidentCreation",
"properties": {
"productFilter": "Azure Active Directory Identity Protection",
"severitiesFilter": null,
"displayNamesFilter": null,
"displayName": "Create incidents based on Azure Active Directory Identity Protection alerts",
"enabled": true,
"description": "Create incidents based on all alerts generated in Azure Active Directory Identity Protection",
"tactics": null,
"alertRuleTemplateName": "532c1811-79ee-4d9f-8d4d-6304c840daa1",
"lastModifiedUtc": "2019-10-09T10:42:31.5264376Z"
}
},
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/alertRules/540f68c9-9397-49c7-8953-8efce08d6e62",
"name": "540f68c9-9397-49c7-8953-8efce08d6e62",
"etag": "\"00003105-0000-0d00-0000-5d9db9ad0000\"",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "MicrosoftSecurityIncidentCreation",
"properties": {
"productFilter": "Azure Security Center",
"severitiesFilter": null,
"displayNamesFilter": null,
"displayName": "Create incidents based on Azure Security Center alerts",
"enabled": true,
"description": "Create incidents based on all alerts generated in Azure Security Center",
"tactics": null,
"alertRuleTemplateName": "90586451-7ba8-4c1e-9904-7d1b7c3cc4d6",
"lastModifiedUtc": "2019-10-09T10:42:53.9014288Z"
}
}
]
}
Repositori kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan Output* | Jika berhasil: cetak "Successfully listed Microsoft
Sentinel alert rules configured". If error: print "Failed to list Microsoft Sentinel alert rules! Error adalah {0}".format(exception.stacktrace). |
Umum |
| Tabel | Judul tabel: Aturan Pemberitahuan Microsoft Sentinel yang ditemukan: Kolom: AlertID (dipetakan ke nama), Nama (dipetakan ke displayName), Diaktifkan, Deskripsi, Taktik, Waktu Modifikasi Terakhir (dipetakan ke lastModificationUtc) |
Umum |
| Lampiran | List_AlertRules.json - berisi data JSON teknis yang ditampilkan oleh tindakan. | Umum |
JSON Viewer |
Menampilkan penampil JSON untuk hasil kueri. | Umum |
Mendapatkan Detail Aturan Pemberitahuan
Mendapatkan detail aturan pemberitahuan terjadwal Azure Sentinel.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| AlertRuleID | String | T/A | Ya | Tentukan ID aturan pemberitahuan. |
Kasus penggunaan
Tindakan ini dapat digunakan untuk mendapatkan detail tentang aturan pemberitahuan Microsoft Sentinel dari playbook Google SecOps. Misalnya, jika Anda melihat bahwa beberapa notifikasi menjadi lebih sering dan sebagian besar adalah positif palsu, atau jika satu aturan notifikasi menangani terlalu banyak situasi dan Anda ingin memisahkannya, sehingga lebih mudah untuk mengidentifikasi ancaman, Anda dapat menggunakan tindakan ini untuk memahami konfigurasi aturan notifikasi dengan benar. Berdasarkan hasil aturan pemberitahuan, Anda dapat memutuskan apakah akan memperbarui, menghapus, atau membiarkannya tidak berubah.
Dijalankan pada
Tindakan ini dijalankan di semua entity.
Hasil tindakan
Hasil skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/alertRules/8dce4dbd-0ba6-4c93-943a-8da49f7d0aa4",
"name": "8dce4dbd-0ba6-4c93-943a-8da49f7d0aa4",
"etag": "\"0200c767-0000-0d00-0000-5ddf3b160000\"",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "Scheduled",
"properties": {
"severity": "High",
"query": "SecurityEvent\r\n| where Activity startswith \"4625\"\r\n| summarize count() by IpAddress, Computer\r\n| where count_ >3\r\n| extend HostCustomEntity = Computer\r\n| extend IPCustomEntity = IpAddress",
"queryFrequency": "PT1H",
"queryPeriod": "P5D",
"triggerOperator": "GreaterThan",
"triggerThreshold": 0,
"suppressionDuration": "PT5H",
"suppressionEnabled": false,
"displayName": "Multiple failed login attempts from the same IP",
"enabled": false,
"description": "",
"tactics": [
"InitialAccess"
],
"alertRuleTemplateName": null,
"lastModifiedUtc": "2019-11-28T03:12:21.9276927Z"
}
}
Repositori kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan Output* | Jika berhasil dan mendapatkan data: cetak "Successfully
returned Microsoft Sentinel alert rule {0} details".format(AlertRuleID). Jika tidak dapat menemukan aturan pemberitahuan berdasarkan AlertID yang diberikan: cetak
"Microsoft Sentinel alert rule with ID "{0}" was not found!".format(AlertRuleID).
Jika error: cetak "Failed to get details about Microsoft Sentinel alert rule! Error adalah {0}".format(exception.stacktrace). |
Umum |
| Tabel | Judul tabel: Detail Aturan Pemberitahuan Microsoft Sentinel: Kolom: AlertID (dipetakan ke nama), Name (dipetakan ke displayName), Enabled, Description, Query, Frequency(dipetakan ke queryFrequency), Period of Lookup data(dipetakan ke queryPeriod), Trigger (dipetakan sebagai kombinasi triggerOperator dan triggerThreshold) Tactics, Enable Suppression(dipetakan sebagai "suppressionEnabled"), Suppression Duration(dipetakan sebagai suppressionDuration) Last Modification Time (dipetakan ke lastModificationUtc) |
Umum |
JSON Viewer |
Menampilkan penampil JSON untuk hasil kueri. | Umum |
Buat Aturan Pemberitahuan
Buat aturan pemberitahuan terjadwal Azure Sentinel.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Aktifkan Aturan Pemberitahuan | DDL | T/A | Ya | Tentukan apakah Anda ingin menonaktifkan atau mengaktifkan aturan pemberitahuan ini. |
| Nama | String | T/A | Ya | Tentukan nama tampilan aturan pemberitahuan. |
| Keparahan | DDL | T/A | Ya | Tentukan tingkat keseriusan aturan pemberitahuan ini. |
| Kueri | String | T/A | Ya | Tentukan kueri aturan pemberitahuan ini. |
| Frekuensi | String | T/A | Ya | Tentukan seberapa sering kueri akan dijalankan, gunakan format berikut: PT + angka + (M, H, D), dengan M - menit, H - jam, D - hari. Minimum adalah 5 menit, maksimum adalah 14 hari. |
| Periode Data Pencarian | String | T/A | Ya | Tentukan waktu data penelusuran terakhir, gunakan format berikut: P + angka + (M, H, D), dengan M - menit, H - jam, D - hari. Minimum 5 menit, maksimum 14 hari. |
| Operator Pemicu | DDL | T/A | Ya | Tentukan operator pemicu untuk aturan pemberitahuan ini. |
| Nilai Minimum Pemicu | Bilangan bulat | T/A | Ya | Tentukan nilai minimum pemicu untuk aturan pemberitahuan ini. |
| Mengaktifkan Pembatalan | DDL | T/A | Ya | Tentukan apakah Anda ingin menghentikan kueri yang berjalan setelah pemberitahuan dibuat. |
| Durasi Penekanan | String | T/A | Ya | Tentukan berapa lama Anda ingin menghentikan kueri setelah pemberitahuan dibuat, gunakan format berikut: PT + angka + (M, H, D), dengan M - menit, H - jam, D - hari Contoh: P1M - 1 menit P10H - 10 jam P2D - 2 hari. Durasi minimum adalah 5 menit, dan durasi maksimum adalah 14 hari. |
| Deskripsi | String | T/A | Tidak | Tentukan deskripsi untuk aturan pemberitahuan ini. |
| Taktik | String | T/A | Tidak | Tentukan taktik untuk aturan pemberitahuan ini. Parameter dapat mengambil beberapa nilai yang dipisahkan koma. |
Kasus penggunaan
Tindakan ini dapat digunakan untuk membuat aturan pemberitahuan Microsoft Sentinel dari playbook Google SecOps. Anda dapat membuat aturan pemberitahuan kustom untuk membantu Anda menelusuri jenis ancaman dan anomali yang mencurigakan di lingkungan Anda. Aturan pemberitahuan Microsoft Sentinel memastikan bahwa Anda akan segera diberi tahu, sehingga Anda dapat memilah, menyelidiki, dan mengatasi ancaman.
Dijalankan pada
Tindakan ini dijalankan di semua entity.
Hasil tindakan
Hasil skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Repositori kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan Output* | Jika berhasil: cetak "Berhasil membuat aturan pemberitahuan Microsoft Sentinel". If error: print "Failed to create Microsoft Sentinel alert rule! Error adalah {0}".format(exception.stacktrace). |
Umum |
Perbarui Aturan Pemberitahuan
Perbarui aturan pemberitahuan terjadwal Azure Sentinel.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| AlertRuleID | String | T/A | Ya | Tentukan AlertRuleID aturan pemberitahuan. |
| Nama | String | T/A | Tidak | Tentukan nama tampilan aturan pemberitahuan. |
| Aktifkan Aturan Pemberitahuan | DDL | T/A | Tidak | Tentukan apakah Anda ingin menonaktifkan atau mengaktifkan aturan pemberitahuan ini. |
| Keparahan | DDL | T/A | Tidak | Tentukan tingkat keseriusan aturan pemberitahuan ini. |
| Kueri | String | T/A | Tidak | Tentukan kueri aturan pemberitahuan ini. |
| Frekuensi | String | T/A | Tidak | Tentukan seberapa sering kueri akan dijalankan, gunakan format berikut: PT + angka + (M, H, D), dengan M - menit, H - jam, D - hari. Contoh: PT1M - menjalankan kueri setiap menit PT10H - jalankan kueri setiap 10 jam PT2D - Menjalankan kueri setiap 2 hari. Minimum 5 menit, maksimum 14 hari. |
| Periode Data Pencarian | String | T/A | Tidak | Tentukan waktu data penelusuran terakhir, gunakan format berikut: P + angka + (M, H, D), dengan M - menit, H - jam, D - hari. . Contoh: P1M - 1 menit P10H - 10 jam P2D - 2 hari. Minimum 5 menit, maksimum 14 hari. |
| Operator Pemicu | DDL | T/A | Tidak | Tentukan operator pemicu untuk aturan pemberitahuan ini. |
| Nilai Minimum Pemicu | Bilangan bulat | T/A | Tidak | Tentukan nilai minimum pemicu untuk aturan pemberitahuan ini. |
| Mengaktifkan Pembatalan | DDL | T/A | Tidak | Tentukan apakah Anda ingin menghentikan kueri yang berjalan setelah pemberitahuan dibuat. |
| Durasi Penekanan | String | T/A | Tidak | Tentukan berapa lama Anda ingin menghentikan kueri setelah pemberitahuan dibuat, gunakan format berikut: PT + angka + (M, H, D), dengan M - menit, H - jam, D - hari Contoh: P1M - 1 menit P10H - 10 jam P2D - 2 hari. Minimum 5 menit, maksimum 14 hari. |
| Deskripsi | String | T/A | Tidak | Tentukan deskripsi untuk aturan pemberitahuan ini. |
| Taktik | String | Tidak ada | Tidak | Tentukan taktik untuk aturan pemberitahuan ini. Parameter menerima beberapa nilai yang dipisahkan koma. |
Kasus penggunaan
Tindakan ini dapat digunakan untuk memperbarui aturan pemberitahuan Microsoft Sentinel dari playbook Google SecOps. Misalnya, jika Anda melihat bahwa beberapa pemberitahuan menjadi lebih sering muncul dan sebagian besar adalah positif palsu, Anda dapat menggunakan tindakan ini untuk memperbarui konfigurasi aturan pemberitahuan agar sesuai dengan kebutuhan dan keinginan Anda. Aturan pemberitahuan Microsoft Sentinel memastikan bahwa Anda akan segera diberi tahu, sehingga Anda dapat memilah, menyelidiki, dan mengatasi ancaman.
Dijalankan pada
Tindakan ini dijalankan di semua entity.
Hasil tindakan
Hasil skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Repositori kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan Output* | Jika berhasil: cetak "Successfully updated Microsoft
Sentinel alert rule with ID {0}".format(AlertRuleID). Jika tidak dapat
menemukan aturan pemberitahuan berdasarkan AlertID yang diberikan: cetak "Aturan pemberitahuan Microsoft Sentinel dengan ID "{0}" tidak ditemukan!".format(AlertRuleID). If error: print "Failed to update Microsoft Sentinel alert rule! Error is {0}".format(exception.stacktrace). |
Umum |
Hapus Aturan Pemberitahuan
Menghapus aturan pemberitahuan terjadwal Azure Sentinel.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| AlertRuleID | String | T/A | Ya | Tentukan ID aturan pemberitahuan yang akan dihapus. |
Kasus penggunaan
Tindakan ini dapat digunakan untuk menghapus aturan pemberitahuan Microsoft Sentinel dari Google SecOps. Jika aturan pemberitahuan sudah sangat usang dan tidak berfungsi sebagaimana mestinya atau jika aturan hanya membuat positif palsu, Anda dapat menghapusnya dengan tindakan ini.
Dijalankan pada
Tindakan ini dijalankan di semua entity.
Hasil tindakan
Hasil skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Repositori kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan Output* | Jika berhasil: cetak "Berhasil menghapus aturan pemberitahuan Microsoft Sentinel {0}".format(AlertRuleID). If can't find
alert rule by the provided AlertID: print "Microsoft Sentinel alert
rule with ID "{0}" was not found!".format(AlertRuleID). If error: print "Failed to delete Microsoft Sentinel alert rule! Error is {0}".format(exception.stacktrace). |
Umum |
Mencantumkan Aturan Perburuan Kustom
Mendapatkan daftar aturan perburuan kustom Azure Sentinel.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Aturan Perburuan yang akan Ditampilkan | String | T/A | Tidak | Tentukan nama yang harus ditampilkan oleh tindakan aturan perburuan. Parameter menerima beberapa nilai sebagai string yang dipisahkan koma. Jika nilai tidak diberikan, tampilkan semua kemungkinan jenis pemberitahuan. |
| Mengambil Taktik Aturan Perburuan Spesifik | String | T/A | Tidak | Tentukan tindakan taktik aturan perburuan yang harus ditampilkan. Parameter menerima beberapa nilai sebagai string yang dipisahkan koma. Jika nilai tidak diberikan, tampilkan semua kemungkinan jenis pemberitahuan. |
| Jumlah maksimum aturan yang akan ditampilkan | Bilangan bulat | T/A | Tidak | Jumlah aturan pemberitahuan terjadwal yang harus ditampilkan oleh tindakan, misalnya, 50. |
Kasus penggunaan
Tindakan ini dapat digunakan untuk mencantumkan aturan perburuan kustom dan favorit dari playbook Google SecOps untuk Microsoft Sentinel. Untuk memastikan Anda telah membuat semua aturan perburuan untuk data terkait proses yang paling langka tetapi sangat penting yang beroperasi di jaringan Anda, Anda harus menyebutkan aturan perburuan kustom dan pilihan. Anda dapat segera memperbarui dan membuat aturan perburuan yang ada jika Anda melihat bahwa beberapa situasi tidak ditangani dengan benar.
Dijalankan pada
Tindakan ini dijalankan di semua entity.
Hasil tindakan
Hasil skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"__metadata": {},
"value": [
{
"id": "subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/savedSearches/0c5bd7e1-0e13-4e7d-9e32-88baf9589192",
"etag": "W/\"datetime'2019-12-02T10%3A14%3A10.5299491Z'\"",
"properties": {
"Category": "Hunting Queries",
"DisplayName": "Hunting Query 1",
"Query": "\r\nlet timeframe = 7d;\r\nAWSCloudTrail\r\n| where TimeGenerated >= ago(timeframe)\r\n| where EventName in~ (\"AttachGroupPolicy\", \"AttachRolePolicy\", \"AttachUserPolicy\", \"CreatePolicy\",\r\n\"DeleteGroupPolicy\", \"DeletePolicy\", \"DeleteRolePolicy\", \"DeleteUserPolicy\", \"DetachGroupPolicy\",\r\n\"PutUserPolicy\", \"PutGroupPolicy\", \"CreatePolicyVersion\", \"DeletePolicyVersion\", \"DetachRolePolicy\", \"CreatePolicy\")\r\n| project TimeGenerated, EventName, EventTypeName, UserIdentityAccountId, UserIdentityPrincipalid, UserAgent, \r\nUserIdentityUserName, SessionMfaAuthenticated, SourceIpAddress, AWSRegion, EventSource, AdditionalEventData, ResponseElements\r\n| extend timestamp = TimeGenerated, IPCustomEntity = SourceIpAddress, AccountCustomEntity = UserIdentityAccountId\r\n",
"Tags": [
{
"Name": "description",
"Value": "1234"
},
{
"Name": "tactics",
"Value": "DefenseEvasion"
},
{
"Name": "createdTimeUtc",
"Value": "12/02/2019 09:21:18"
}
],
"Version": 2
},
"name": "0c5bd7e1-0e13-4e7d-9e32-88baf9589192"
},
{
"id": "subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/savedSearches/30a94796-a573-4e6e-9385-fb96d0aa5ea2",
"etag": "W/\"datetime'2019-12-02T10%3A10%3A18.4761379Z'\"",
"properties": {
"Category": "Hunting Queries",
"DisplayName": "Hunting Query 1",
"Query": "\r\nlet timeframe = 7d;\r\nAWSCloudTrail\r\n| where TimeGenerated >= ago(timeframe)\r\n| where EventName in~ (\"AttachGroupPolicy\", \"AttachRolePolicy\", \"AttachUserPolicy\", \"CreatePolicy\",\r\n\"DeleteGroupPolicy\", \"DeletePolicy\", \"DeleteRolePolicy\", \"DeleteUserPolicy\", \"DetachGroupPolicy\",\r\n\"PutUserPolicy\", \"PutGroupPolicy\", \"CreatePolicyVersion\", \"DeletePolicyVersion\", \"DetachRolePolicy\", \"CreatePolicy\")\r\n| project TimeGenerated, EventName, EventTypeName, UserIdentityAccountId, UserIdentityPrincipalid, UserAgent, \r\nUserIdentityUserName, SessionMfaAuthenticated, SourceIpAddress, AWSRegion, EventSource, AdditionalEventData, ResponseElements\r\n| extend timestamp = TimeGenerated, IPCustomEntity = SourceIpAddress, AccountCustomEntity = UserIdentityAccountId\r\n",
"Tags": [
{
"Name": "description",
"Value": "1234"
},
{
"Name": "tactics",
"Value": "DefenseEvasion"
},
{
"Name": "createdTimeUtc",
"Value": "12/02/2019 09:21:18"
}
],
"Version": 2
},
"name": "30a94796-a573-4e6e-9385-fb96d0aa5ea2"
}
]
}
Repositori kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan Output* | Jika berhasil: print "Berhasil menampilkan aturan penelusuran Microsoft
Sentinel". Jika error: print "Failed to list Microsoft Sentinel hunting rules! Error adalah {0}".format(exception.stacktrace). |
Umum |
| Tabel | Judul tabel: Aturan perburuan Microsoft Sentinel yang ditemukan: Kolom: HuntingRuleID(dipetakan ke nama), judul (dipetakan ke displayName), kategori, deskripsi (dipetakan ke parameter deskripsi dalam dict tag), taktik(dipetakan ke parameter taktik dalam dict tag), kueri, waktu pembuatan (dipetakan ke parameter CreatedTimeUtc dalam dict tag) |
Umum |
| Lampiran | List_HuntingRules.json - berisi data JSON teknis yang ditampilkan oleh tindakan. | Umum |
JSON Viewer |
Menampilkan penampil JSON untuk hasil kueri. | Umum |
Mendapatkan Detail Aturan Perburuan Kustom
Mendapatkan detail aturan perburuan kustom Azure Sentinel.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| HuntingRuleID | String | T/A | Ya | Tentukan ID aturan perburuan. |
Kasus penggunaan
Informasi tentang aturan perburuan standar atau pilihan Microsoft Sentinel dapat diakses menggunakan playbook Google SecOps. Gunakan alat ini, misalnya, jika Anda melihat detail yang Anda terima dari aturan perburuan yang tidak sesuai untuk analisis, atau Anda ingin melihat apakah aturan perburuan Anda dikonfigurasi dengan benar. Anda akan mengevaluasi apakah akan mengedit, menghapus, atau membiarkannya tidak berubah berdasarkan hasilnya.
Dijalankan pada
Tindakan ini dijalankan di semua entity.
Hasil tindakan
Hasil skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"id": "subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/savedSearches/30a94796-a573-4e6e-9385-fb96d0aa5ea2",
"etag": "W/\"datetime'2019-12-02T10%3A14%3A10.5299491Z'\"",
"properties": {
"Category": "Log Management",
"DisplayName": "Multiple Password Reset by user",
"Query": "\nlet timeframe = 7d;\nAWSCloudTrail\n| where TimeGenerated >= ago(timeframe)\n| where EventName in~ (\"AttachGroupPolicy\", \"AttachRolePolicy\", \"AttachUserPolicy\", \"CreatePolicy\",\n\"DeleteGroupPolicy\", \"DeletePolicy\", \"DeleteRolePolicy\", \"DeleteUserPolicy\", \"DetachGroupPolicy\",\n\"PutUserPolicy\", \"PutGroupPolicy\", \"CreatePolicyVersion\", \"DeletePolicyVersion\", \"DetachRolePolicy\", \"CreatePolicy\")\n| project TimeGenerated, EventName, EventTypeName, UserIdentityAccountId, UserIdentityPrincipalid, UserAgent, \nUserIdentityUserName, SessionMfaAuthenticated, SourceIpAddress, AWSRegion, EventSource, AdditionalEventData, ResponseElements\n| extend timestamp = TimeGenerated, IPCustomEntity = SourceIpAddress, AccountCustomEntity = UserIdentityAccountId\n",
"Tags": [
{
"Name": "description",
"Value": "Identity and Access Management (IAM) securely manages access to AWS services and resources."
},
{
"Name": "tactics",
"Value": "DefenseEvasion"
},
{
"Name": "createdTimeUtc",
"Value": "12/02/2019 09:21:18"
}
],
"Version": 2
}
}
Repositori kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan Output* | Jika berhasil: cetak "Successfully returned Microsoft
Sentinel hunting rule {0} details".format(HuntingRuleID). If
can't find alert rule by the provided AlertID: print "Microsoft Sentinel
hunting rule with ID "{0}" was not found!".format(HuntingRuleID). If error: print "Failed to get details about Microsoft Sentinel hunting rule! Error adalah {0}".format(exception.stacktrace). |
Umum |
| Tabel | Judul tabel: Detail Aturan Perburuan Microsoft Sentinel: Kolom: HuntingRuleID (dipetakan ke nama), Name (dipetakan ke displayName), Description, Query, Tactic,Creation Time |
Umum |
| Lampiran | List_HuntingRules.json - berisi data JSON teknis yang ditampilkan oleh tindakan. | Umum |
JSON Viewer |
Menampilkan penampil JSON untuk hasil kueri. | Umum |
Membuat Aturan Perburuan Kustom
Buat aturan perburuan kustom Azure Sentinel.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Kueri | String | T/A | Ya | Tentukan kueri yang akan dijalankan dalam aturan perburuan ini. |
| Nama Tampilan | String | T/A | Ya | Tentukan nama tampilan untuk aturan perburuan. |
| Deskripsi | String | T/A | Tidak | Tentukan deskripsi untuk aturan perburuan. |
| Taktik | String | T/A | Tidak | Tentukan taktik untuk aturan perburuan ini. Parameter ini menerima beberapa nilai yang dipisahkan koma. |
Kasus penggunaan
Tindakan ini dapat digunakan untuk membuat aturan perburuan Microsoft Sentinel baru dari playbook Google SecOps. Misalnya, aturan perburuan berisi kueri, yang dapat memberikan data tentang proses paling tidak umum yang berjalan di infrastruktur Anda. Anda tidak ingin menerima pemberitahuan setiap kali proses tersebut dijalankan, karena proses tersebut mungkin tidak berbahaya, tetapi Anda mungkin ingin melihat kueri tersebut sesekali untuk melihat apakah ada hal yang tidak biasa. Artinya, alat ini dapat digunakan untuk mengumpulkan lebih banyak informasi dari lingkungan jaringan Anda.
Dijalankan pada
Tindakan ini dijalankan di semua entity.
Hasil tindakan
Hasil skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Repositori kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan Output* | Jika berhasil: cetak "Successfully created Microsoft
Sentinel hunting rule". If error: print "Failed to create Microsoft Sentinel hunting rule! Error adalah {0}".format(exception.stacktrace). |
Umum |
Memperbarui Aturan Perburuan Kustom
Memperbarui aturan perburuan kustom Azure Sentinel.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| HuntingRuleID | String | T/A | Ya | Tentukan ID aturan perburuan. |
| Nama Tampilan | String | T/A | Tidak | Tentukan nama tampilan untuk aturan perburuan. |
| Kueri | String | T/A | Tidak | Tentukan kueri yang akan dijalankan dalam aturan perburuan ini. |
| Deskripsi | String | T/A | Tidak | Tentukan deskripsi. |
| Taktik | String | T/A | Tidak | Tentukan taktik untuk aturan perburuan ini. Parameter dapat mengambil
beberapa nilai yang dipisahkan koma. |
Kasus penggunaan
Tindakan ini dapat digunakan untuk memperbarui aturan perburuan Microsoft Sentinel kustom dari playbook Google SecOps. Gunakan tindakan ini jika Anda merasa, misalnya, aturan perburuan sudah sangat usang dan Anda ingin memperbarui beberapa parameter seperti kueri atau deskripsi. Informasi sangat penting saat melakukan penyelidikan insiden, jadi setiap aturan perburuan harus diperbarui untuk menampilkan informasi yang relevan.
Dijalankan pada
Tindakan ini dijalankan di semua entity.
Hasil tindakan
Hasil skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Repositori kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan Output* | Jika berhasil: cetak "Berhasil memperbarui aturan perburuan Microsoft Sentinel dengan ID {0}".format(HuntingRuleID). If
can't find hunting rule by the provided HuntingRuleID: print "Microsoft
Sentinel hunting rule with ID "{0}" was not found!".format(HuntingRuleID). If error: print "Failed to update Microsoft Sentinel hunting rule! Error adalah {0}".format(exception.stacktrace). |
Umum |
Menghapus Aturan Perburuan Kustom
Menghapus aturan perburuan kustom Azure Sentinel.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| HuntingRuleID | String | T/A | Ya | Tentukan ID aturan perburuan yang akan dihapus. |
Kasus penggunaan
Tindakan ini dapat digunakan untuk menghapus aturan perburuan Microsoft Sentinel kustom dari Google SecOps. Misalnya, jika Anda merasa bahwa aturan perburuan sudah sangat usang dan tidak diperlukan untuk proses investigasi, sebaiknya hapus aturan tersebut.
Dijalankan pada
Tindakan ini dijalankan di semua entity.
Hasil tindakan
Hasil skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Repositori kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan Output* | Jika berhasil: cetak "Berhasil menghapus aturan perburuan Microsoft Sentinel dengan ID {0}".format(HuntingRuleID). If
can't find hunting rule by the provided HuntingRuleID: print "Microsoft
Sentinel hunting rule with ID "{0}" was not found!".format(HuntingRuleID). Jika error: print "Gagal menghapus aturan perburuan Microsoft Sentinel Error adalah {0}".format(exception.stacktrace). |
Umum |
Menjalankan Aturan Perburuan Kustom
Jalankan aturan perburuan Microsoft Sentinel kustom atau favorit.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| HuntingRuleID | String | T/A | Ya | Tentukan ID aturan perburuan. |
| Waktu habis | Bilangan bulat | T/A | Tidak | Parameter yang digunakan untuk menentukan nilai waktu tunggu untuk panggilan API aturan perburuan Azure Sentinel. |
Kasus penggunaan
Tindakan ini dapat digunakan untuk menjalankan aturan perburuan Microsoft Sentinel dari playbook Google SecOps. Menjalankan kueri aturan perburuan memberikan data tentang proses paling tidak umum yang berjalan di infrastruktur Anda. Anda tidak ingin mendapatkan pemberitahuan setiap kali proses tersebut dijalankan. Proses tersebut mungkin tidak berbahaya, tetapi Anda mungkin ingin melihat kueri tersebut sesekali untuk melihat apakah ada sesuatu yang tidak biasa. Artinya, alat ini dapat digunakan untuk mengumpulkan lebih banyak informasi dari lingkungan jaringan Anda, yang akan membantu penyelidik mengetahui semua nuansa terkait insiden dan membantu membuat keputusan lebih lanjut.
Dijalankan pada
Tindakan ini dijalankan di semua entity.
Hasil tindakan
Hasil skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"tables": [
{
"name": "PrimaryResult",
"columns": [
{
"name": "timerange",
"type": "datetime"
},
{
"name": "AppDisplayName",
"type": "string"
},
{
"name": "UserPrincipalName",
"type": "string"
},
{
"name": "threeDayWindowLocationCount",
"type": "long"
},
{
"name": "locationList",
"type": "dynamic"
},
{
"name": "timestamp",
"type": "datetime"
},
{
"name": "AccountCustomEntity",
"type": "string"
}
],
"rows": [
[
"2019-11-29T00:00:00Z",
"WindowsDefenderATP Portal",
"user@example.com",
2,
"[\"US/Florida/Miami;\",\"AM/Kotayk'/Abovyan;\"]",
"2019-11-29T00:00:00Z",
"user@example.com"
],
[
"2019-12-02T00:00:00Z",
"WindowsDefenderATP Portal",
"user@example.com",
1,
"[\"US/Florida/Miami;\"]",
"2019-12-02T00:00:00Z",
"user@example.com"
],
[
"2019-11-29T00:00:00Z",
"Azure Portal",
"example@example.com",
1,
"[\"UA/Kyiv Misto/Kyiv;\"]",
"2019-11-29T00:00:00Z",
"example@example.com"
],
[
"2019-12-02T00:00:00Z",
"Azure Portal",
"example@example.com",
2,
"[\"UA/Kyiv Misto/Kyiv;\",\"UA/Kyivs'ka Oblast'/Boryspil';\"]",
"2019-12-02T00:00:00Z",
"example@example.com"
],
[
"2019-11-29T00:00:00Z",
"Azure Portal",
"user@example.com",
1,
"[\"RU/Sverdlovskaya Oblast'/Yekaterinburg;\"]",
"2019-11-29T00:00:00Z",
"user@example.com"
],
[
"2019-12-02T00:00:00Z",
"Azure Portal",
"user@example.com",
1,
"[\"RU/Sverdlovskaya Oblast'/Yekaterinburg;\"]",
"2019-12-02T00:00:00Z",
"user@example.com"
]
]
}
]
}
Repositori kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan Output* | Jika berhasil: cetak "Hunting rule executed
successfully". Jika tidak dapat menemukan aturan perburuan berdasarkan
HuntingRuleID yang diberikan: cetak "Aturan perburuan Microsoft Sentinel dengan ID "{0}" tidak
ditemukan!".format(HuntingRuleID) if nothing found: print
"Hunting rule executed successfully, but did not return any results."
if error: print "Hunting rule didn't completed due to error:
{0}".format(exception.stacktrace) If timeout: print
"Hunting rule didn't completed due to timeout: {0}".format(exception.stacktrace)
Jika hasil kueri dipangkas: cetak "Hasil aturan pencarian melampaui batas dan dipangkas, tulis ulang kueri Anda!" |
Umum |
| Tabel | Judul tabel: Hasil aturan perburuan Microsoft Sentinel Kolom: membuat kolom secara dinamis berdasarkan hasil kueri |
Umum |
| Lampiran | Run_Hunting_rule_{HuntingRuleID}_response.json - berisi data JSON teknis tindakan yang ditampilkan. | Umum |
JSON Viewer |
Menampilkan penampil JSON untuk hasil kueri. | Umum |
Menjalankan Kueri KQL
Menjalankan kueri KQL Azure Sentinel berdasarkan parameter input tindakan yang diberikan.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Kueri KQL | String | T/A | Ya | Kueri KQL untuk dijalankan di Azure Sentinel. Misalnya, untuk mendapatkan pemberitahuan keamanan yang tersedia di Sentinel, kuerinya adalah \"SecurityAlert\". Gunakan parameter input tindakan lainnya (rentang waktu, batas) untuk memfilter hasil kueri. Untuk contoh kueri KQL, lihat halaman Web "Log" Sentinel. |
| Rentang Waktu | String | T/A | Tidak | Tentukan rentang waktu yang akan dicari. Nilai waktu harus sesuai dengan ISO 8601, dan misalnya, dapat digunakan untuk menentukan penelusuran 10 jam terakhir atau interval waktu yang akan ditelusuri. Gunakan format berikut: PT + angka + (M, H, D), dengan M - menit, H - jam, D - hari. |
| Waktu Tunggu Kueri | Bilangan bulat | 180 | Tidak | Nilai waktu tunggu untuk panggilan API aturan perburuan Azure Sentinel. Perhatikan bahwa waktu tunggu proses python tindakan Google SecOps harus disesuaikan dengan tepat untuk parameter ini, agar tindakan tidak habis waktunya lebih cepat dari nilai yang ditentukan karena waktu tunggu proses python. |
| Batas Rekaman | Bilangan bulat | 100 | Tidak | Jumlah kumpulan data yang harus diambil. Parameter opsional, jika disetel, akan menambahkan \"| limit x\" ke kueri KQL dengan x adalah nilai yang ditetapkan untuk batas rekaman. Dapat dihapus jika \"limit\" sudah ditetapkan dalam kueri KQL atau tidak diperlukan. |
Kasus penggunaan
Menjalankan kueri lanjutan selama penyelidikan Kasus.
Dijalankan pada
Tindakan ini dijalankan di semua entity.
Hasil tindakan
Hasil skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"tables": [
{
"name": "PrimaryResult",
"columns": [
{
"name": "Reason",
"type": "string"
},
{
"name": "StartTimeUtc",
"type": "datetime"
},
{
"name": "EndTimeUtc",
"type": "datetime"
},
{
"name": "count_",
"type": "long"
},
{
"name": "timestamp",
"type": "datetime"
}
],
"rows": [
[
"Incorrect password",
"2019-10-22T06:38:30.837Z",
"2019-10-22T11:57:00.003Z",
28,
"2019-10-22T06:38:30.837Z"
],
[
"Account name does not exist",
"2019-10-21T15:19:33.727Z",
"2019-10-22T06:40:13.51Z",
3,
"2019-10-21T15:19:33.727Z"
]
]
}
]
}
Repositori kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan Output* | Jika berhasil: cetak "Query executed successfully". Jika tidak ada yang ditemukan: cetak "Kueri berhasil dieksekusi, tetapi tidak menampilkan hasil apa pun". If error: print
"Query didn't completed due to error: {0}".format(exception.stacktrace). If timeout: print "Query didn't completed due to timeout:
{0}".format(exception.stacktrace). Jika hasil kueri dipangkas: cetak "Hasil kueri melampaui batas dan dipangkas, harap tulis ulang kueri Anda". |
|
| Tabel | Judul tabel: Hasil Kueri KQL Kolom: membuat kolom secara dinamis berdasarkan hasil kueri |
Umum |
| Lampiran | Run_KQL_query_response.json - berisi data JSON teknis yang ditampilkan oleh tindakan. | Umum |
JSON Viewer |
Menampilkan penampil JSON untuk hasil kueri. | Umum |
Menambahkan Komentar ke Insiden
Menambahkan komentar ke insiden Azure Sentinel.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nomor Insiden | Bilangan bulat | T/A | Ya | Tentukan Nomor insiden untuk menambahkan komentar. |
| Komentar yang Akan Ditambahkan | String | T/A | Ya | Tentukan komentar yang akan ditambahkan ke Insiden |
Dijalankan pada
Tindakan ini tidak dijalankan di entity.
Hasil tindakan
Hasil skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Incidents/00cfebdc-c677-463f-8355-cb7f23472c06/Comments/f0f31d1a-d32b-4774-a21d-3279240c7c33",
"name": "f0f31d1a-d32b-4774-a21d-3279240c7c33",
"etag": "\"7e000812-0000-0c00-0000-606fc83f0000\"",
"type": "Microsoft.SecurityInsights/Incidents/Comments",
"properties": {
"message": "Some message",
"createdTimeUtc": "2021-04-09T03:21:35.0894288Z",
"lastModifiedTimeUtc": "2021-04-09T03:21:35.0894288Z",
"author": {
"objectId": "f6ce2f43-6f77-4b30-9a4a-de1a069b2560",
"email": null,
"name": "Comment created from external application - log_analytics_rest_api_for_sentinel",
"userPrincipalName": null
}
}
}
Repositori kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan Output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:
Tindakan akan gagal dan menghentikan eksekusi playbook:
|
Umum |
Konektor
Untuk mendapatkan petunjuk mendetail tentang cara mengonfigurasi konektor di Google SecOps, lihat Mengonfigurasi konektor.
Konektor Insiden Microsoft Azure Sentinel – Tidak digunakan lagi
Di Google SecOps SOAR, Microsoft Azure Sentinel Incidents Connector mengambil insiden dari ruang kerja Microsoft Sentinel tertentu sebagai pemberitahuan menggunakan Azure Security Insights API.
Konektor ini menggunakan kemampuan yang mirip dengan tindakan List Incidents dan Get Incident Details, serta terhubung ke endpoint Azure Security Insights untuk menarik daftar insiden yang dihasilkan selama periode tertentu.
Kasus penggunaan konektor
Gunakan konektor untuk memantau ruang kerja Microsoft Sentinel terkait insiden baru dan memasukkannya ke server SOAR Google SecOps.
Untuk memastikan alur jenis peristiwa tertentu, tambahkan konektor data ke Microsoft Sentinel. Misalnya, untuk menambahkan peristiwa keamanan dari host Windows sebagai salah satu konektor data, instal agen Microsoft Sentinel di host Windows, dan konfigurasikan jenis peristiwa yang akan di-ingest: peristiwa keamanan, peristiwa firewall, peristiwa DNS, atau lainnya.
Untuk membuat pemberitahuan berdasarkan kondisi tertentu, tentukan aturan pemberitahuan menggunakan kueri aturan. Saat aturan pemberitahuan membuat peringatan, Microsoft Sentinel akan dipicu untuk membuat peristiwa, menyimpan insiden data, dan menampilkan insiden di halaman insiden portal.
Untuk membaca dan menulis data insiden secara terprogram, gunakan Security Insights REST API.
Parameter konektor
Untuk mengonfigurasi konektor, gunakan parameter berikut:
| Parameter | |
|---|---|
Product Field Name |
Wajib
Nama kolom tempat nama produk disimpan. Nilai defaultnya adalah |
Event Field Name |
Wajib
Nama kolom tempat nama peristiwa disimpan. Nilai defaultnya adalah |
Environment Field Name |
Opsional
Nama kolom tempat nama lingkungan disimpan. Jika kolom lingkungan tidak ditemukan, lingkungan default akan digunakan. Nilai defaultnya adalah |
Environment Regex Pattern |
Opsional
Pola ekspresi reguler untuk dijalankan pada nilai yang ditemukan di kolom
Nilai default Parameter ini memungkinkan Anda memanipulasi kolom lingkungan menggunakan logika ekspresi reguler. Jika pola ekspresi reguler adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default. |
Azure Subscription ID |
Wajib ID langganan Azure. |
Azure Active Directory ID |
Wajib ID tenant Microsoft Entra. |
Api Root |
Wajib URL root API management.azure.com yang akan digunakan dengan integrasi. Nilai defaultnya adalah |
Azure Resource Group |
Wajib Nama grup resource Azure tempat Microsoft Sentinel berada. |
Azure Sentinel Workspace Name |
Wajib Nama ruang kerja Microsoft Sentinel yang akan digunakan. |
Client ID |
Wajib ID aplikasi (klien) Microsoft Entra yang digunakan untuk integrasi ini. |
Client Secret |
Wajib Nilai rahasia klien Microsoft Entra. |
Script Timeout (Seconds) |
Wajib Batas waktu tunggu untuk proses python yang menjalankan skrip saat ini. Nilai defaultnya adalah 180 detik. |
Offset Time In Hours |
Wajib
Jumlah jam sebelum saat ini untuk mengambil insiden. Nilai defaultnya adalah 24 jam. |
Incident Statuses to Fetch |
Wajib
Status insiden yang akan diambil. Parameter ini menerima beberapa nilai sebagai string yang dipisahkan koma. Nilai defaultnya adalah |
Incident Severities to Fetch |
Wajib
Tingkat keparahan insiden yang akan diambil. Parameter ini menerima beberapa nilai sebagai string yang dipisahkan koma. Nilai defaultnya adalah |
Max Incidents per Cycle |
Wajib
Jumlah insiden yang akan diproses selama satu kali eksekusi konektor. Parameter ini menerima beberapa nilai sebagai string yang dipisahkan koma. Nilai defaultnya adalah 10. |
Proxy Server Address |
Opsional
Alamat server proxy yang akan digunakan. |
Proxy Server Username |
Opsional
Nama pengguna proxy untuk melakukan autentikasi. |
Proxy Server Password |
Opsional
Sandi proxy untuk melakukan autentikasi. |
Aturan konektor
Konektor tidak mendukung daftar blokir dan daftar dinamis.
Konektor mendukung proxy.
Microsoft Azure Sentinel Incident Connector v2
Microsoft Azure Sentinel Incidents Connector v2 adalah konektor yang direkomendasikan untuk digunakan saat bekerja dengan Microsoft Sentinel. Perubahan besar mencakup beralih ke endpoint insiden baru di Microsoft Sentinel API dan memperkenalkan logika penanganan dan penguraian entitas konektor. Untuk memfilter insiden Microsoft Sentinel tertentu dan mengambilnya berdasarkan nama insiden, gunakan daftar dinamis.
Ada kemungkinan bahwa UI Microsoft Sentinel menampilkan entitas insiden, tetapi API tidak menampilkannya (daftar entitas kosong). Akibatnya, konektor memerlukan lebih banyak waktu untuk memproses insiden tersebut dan mengkuerinya dalam backlog untuk menjalankan konektor berikutnya. Setelah informasi entitas tersedia dalam respons API, konektor akan menyerap insiden.
Pemrosesan Pemberitahuan Sentinel Terjadwal dan Tidak Terjadwal
Untuk mengatasi masalah di Microsoft Azure Sentinel Incidents Connector saat secara keliru menampilkan entitas untuk semua pemberitahuan selain pemberitahuan terjadwal Azure Sentinel, Microsoft Azure Sentinel Incidents Connector v2 menambahkan peristiwa tambahan untuk setiap entitas.
Artinya, jika konektor menerima entitas IP, Akun, atau Nama Host dalam peristiwa Google SecOps, konektor akan menambahkan peristiwa Google SecOps tambahan untuk setiap entitas yang ditemukan. Peristiwa yang baru dibuat dapat digunakan untuk membuat entitas dan memetakan properti entitas di Google SecOps SOAR. Acara awal tetap utuh. Peristiwa baru hanya ditambahkan ke pemberitahuan Google SecOps. Jenis entitas lainnya tidak terpengaruh oleh logika ini dan tetap berada di peristiwa awal tanpa peristiwa tambahan yang dibuat untuknya.
Untuk mengaktifkan pembuatan peristiwa tambahan, konektor menggunakan endpoint API entitySentinel
untuk mengambil data. Pemberitahuan terjadwal dan NRT secara default
diserap menggunakan kueri KQL log analytics untuk mendapatkan data pemberitahuan dan peristiwa. Jika
dipilih, parameter Use the same approach with event creation for all alert types?
dalam konfigurasi konektor menggunakan pendekatan berbasis entitas yang sama untuk
semua pemberitahuan, termasuk yang terjadwal dan tidak terjadwal. Sebaiknya gunakan opsi ini dengan hati-hati.
Parameter konektor
Untuk mengonfigurasi konektor, gunakan parameter berikut:
| Parameter | |
|---|---|
Product Field Name |
Wajib
Nama kolom tempat nama produk disimpan. Nilai defaultnya adalah |
Event Field Name |
Wajib
Nama kolom tempat nama peristiwa disimpan. Nilai defaultnya adalah |
Environment Field Name |
Opsional
Nama kolom tempat nama lingkungan disimpan. Jika kolom lingkungan tidak ditemukan, lingkungan default akan digunakan. Nilai defaultnya adalah |
Environment Regex Pattern |
Opsional
Pola ekspresi reguler untuk dijalankan pada nilai yang ditemukan di kolom
Nilai default Parameter ini memungkinkan Anda memanipulasi kolom lingkungan menggunakan logika ekspresi reguler. Jika pola ekspresi reguler adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default. |
Azure Subscription ID |
Wajib ID langganan Azure. |
Azure Active Directory ID |
Wajib ID tenant Microsoft Entra. |
Api Root |
Wajib URL root API yang akan digunakan dengan integrasi. Nilai defaultnya adalah |
OAUTH2 Login Endpoint Url |
Wajib URL endpoint yang akan digunakan untuk autentikasi OAuth 2.0. |
Azure Resource Group |
Wajib Nama grup resource Azure tempat Microsoft Sentinel berada. |
Azure Sentinel Workspace Name |
Wajib Nama ruang kerja Microsoft Sentinel yang akan digunakan. |
Client ID |
Wajib ID aplikasi (klien) Microsoft Entra yang digunakan untuk integrasi ini. |
Client Secret |
Wajib Nilai rahasia klien Microsoft Entra. |
Script Timeout (Seconds) |
Wajib Batas waktu tunggu untuk proses python yang menjalankan skrip saat ini. Nilai defaultnya adalah 180 detik. |
Offset Time In Hours |
Wajib
Jumlah jam sebelum saat ini untuk mengambil insiden. Nilai defaultnya adalah 24 jam. |
Incident Statuses to Fetch |
Wajib
Status insiden yang akan diambil. Parameter ini menerima beberapa nilai sebagai string yang dipisahkan koma. Nilai defaultnya adalah |
Incident Severities to Fetch |
Wajib
Tingkat keparahan insiden yang akan diambil. Parameter ini menerima beberapa nilai sebagai string yang dipisahkan koma. Nilai defaultnya adalah |
Use the same approach with event creation for all alert types?
|
Opsional Jika dicentang, konektor akan menggunakan pendekatan yang sama untuk semua jenis pemberitahuan. Jika tidak dicentang, konektor akan menggunakan pendekatan yang berbeda untuk jenis pemberitahuan terjadwal Azure Sentinel dan mencoba mengambil peristiwa yang menyebabkan pemberitahuan dengan menjalankan kueri yang ditentukan dalam detail pemberitahuan. Tidak dicentang secara default. |
Use whitelist as a blacklist |
Wajib
Jika dicentang, daftar dinamis akan digunakan sebagai daftar yang diblokir. Tidak dicentang secara default. |
Alerts padding period |
Wajib
Jangka waktu dalam menit bagi konektor untuk mengambil pemberitahuan untuk insiden. Nilai defaultnya adalah 60 menit. |
Proxy Server Address |
Opsional
Alamat server proxy yang akan digunakan. |
Proxy Server Username |
Opsional
Nama pengguna proxy untuk melakukan autentikasi. |
Proxy Server Password |
Opsional
Sandi proxy untuk melakukan autentikasi. |
Max Backlog Incidents per Cycle |
Wajib
Jumlah insiden yang akan diambil dari backlog selama satu kali konektor berjalan. Nilai defaultnya adalah 10. |
StartTimeFallback |
Wajib
Daftar atribut insiden atau pemberitahuan yang dipisahkan koma untuk digunakan sebagai penggantian
untuk kolom pemberitahuan Jika tidak ada kolom penggantian yang ditemukan, konektor akan menggunakan
atribut Nilai defaultnya adalah |
EndTimeFallback |
Wajib
Daftar atribut insiden atau pemberitahuan yang dipisahkan koma untuk digunakan sebagai penggantian
untuk kolom pemberitahuan Jika tidak ada kolom penggantian yang ditemukan, konektor akan menggunakan
atribut Nilai defaultnya adalah |
Enable Fallback Logic Debug? |
Opsional
Jika dicentang, konektor akan menambahkan kolom debug yang berisi nilai yang digunakan untuk penggantian ke peristiwa yang dibuat. Tidak dicentang secara default. |
VendorFieldFallback |
Wajib
Daftar atribut insiden yang dipisahkan koma untuk digunakan sebagai penggantian untuk kolom Nilai defaultnya adalah |
ProductFieldFallback |
Wajib
Daftar atribut insiden yang dipisahkan koma untuk digunakan sebagai penggantian untuk kolom Nilai defaultnya adalah |
EventFieldFallback |
Wajib
Daftar atribut insiden yang dipisahkan koma untuk digunakan sebagai penggantian parameter
Nilai defaultnya adalah |
Max New Incidents per cycle |
Wajib
Jumlah insiden yang akan diproses dalam satu eksekusi konektor. Nilai defaultnya adalah 10. |
Wait For Scheduled/NRT Alert Object |
Opsional
Jika diaktifkan, konektor akan menunggu hingga objek pemberitahuan terjadwal/NRT tersedia. |
Scheduled Alerts Events Limit to Ingest |
Opsional
Jumlah maksimum peristiwa yang akan di-ingest untuk satu pemberitahuan terjadwal Azure Sentinel atau pemberitahuan NRT. Nilai defaultnya adalah 100. |
Incidents Padding Period (minutes) |
Opsional
Jangka waktu dalam menit bagi konektor untuk mengambil insiden dan menampilkannya. Insiden ini tidak dalam urutan kronologis. |
Create Siemplify Alerts for Sentinel incidents that do not have
entities? |
Opsional
Jika dicentang, konektor akan membuat pemberitahuan Google SecOps dari insiden Microsoft Sentinel yang tidak memiliki entitas. Jika tidak, konektor hanya membuat pemberitahuan Google SecOps untuk pemberitahuan terjadwal dan NRT serta melewati semua jenis insiden Microsoft Sentinel lainnya. Tidak dicentang secara default. |
Incident's Alerts Limit to Ingest |
Opsional
Jumlah maksimum pemberitahuan yang akan diserap untuk setiap insiden Microsoft Sentinel. |
Alert Name Template |
Opsional
Jika ditentukan, konektor akan menggunakan nilai ini dari data insiden
yang ditampilkan dalam respons Microsoft Sentinel API untuk mengisi kolom
Anda dapat memberikan placeholder dalam format berikut:
Panjang maksimum untuk kolom adalah 256 karakter. Jika tidak ada nilai yang diberikan atau Anda memberikan template yang tidak valid, konektor akan menggunakan nama pemberitahuan default. |
Rule Generator Template |
Opsional
Jika ditentukan, konektor akan menggunakan nilai ini dari data insiden
yang ditampilkan dalam respons Microsoft Sentinel API untuk mengisi kolom
Anda dapat memberikan placeholder dalam format berikut:
Panjang maksimum untuk kolom adalah 256 karakter. Jika tidak ada nilai yang diberikan atau Anda memberikan template yang tidak valid, konektor akan menggunakan nilai generator aturan default. |
Sesuaikan kolom Nama Pemberitahuan dan Pembuat Aturan
Konektor ini memungkinkan Anda menyesuaikan nilai kolom Siemplify Alert Name dan Rule Generator menggunakan parameter Alert Name Template dan Rule Generator Template. Untuk template, konektor mendapatkan informasi dari data insiden Microsoft Sentinel yang ditampilkan oleh API.
Contoh berikut menampilkan data insiden sebagaimana ditampilkan dari API untuk merujuk ke kolom yang tersedia dalam pemberitahuan dan dapat digunakan untuk template:
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Incidents/d4f632be-0689-93f7-57a6-f27bfabbbad1",
"name": "d4f632be-0689-93f7-57a6-f27bfabbbad1",
"etag": "\"79004534-0000-0d00-0000-63590d610000\"",
"type": "Microsoft.SecurityInsights/Incidents",
"properties": {
"title": "Incident title",
"description": "",
"severity": "Low",
"status": "New",
"owner": {
"objectId": null,
"email": null,
"assignedTo": null,
"userPrincipalName": null
},
"labels": [],
"firstActivityTimeUtc": "2022-10-26T07:00:09.3857965Z",
"lastActivityTimeUtc": "2022-10-26T09:07:02.1083312Z",
"lastModifiedTimeUtc": "2022-10-26T10:35:13.0254798Z",
"createdTimeUtc": "2022-10-26T10:34:55.7454638Z",
"incidentNumber": 380925,
"additionalData": {
"alertsCount": 102,
"bookmarksCount": 0,
"commentsCount": 0,
"alertProductNames": [
"Azure Sentinel"
],
"tactics": [
"InitialAccess",
"Persistence"
]
},
"relatedAnalyticRuleIds": [
"/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/Microsoft.SecurityInsights/alertRules/8a3ca5c5-7875-466e-accd-3bcb2881cdb0"
],
"incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/Microsoft.SecurityInsights/Incidents/d4f632be-0689-93f7-57a6-f27bfabbbad1",
"providerName": "Azure Sentinel",
"providerIncidentId": "380925"
}
}
Aturan konektor
Konektor mendukung daftar yang tidak diizinkan dan daftar dinamis.
Konektor mendukung proxy.
Konektor Pelacakan Insiden Microsoft Sentinel
Gunakan Microsoft Sentinel Incident Tracking Connector untuk menangani insiden Microsoft Sentinel dan mengambil update insiden Sentinel sebagai pemberitahuan Google SecOps baru. Anda dapat menggunakan daftar dinamis untuk menentukan
nama insiden yang akan diambil. Untuk konektor ini, sebaiknya Anda mengonfigurasi pengelompokan pemberitahuan Google SecOps berdasarkan parameter SourceGroupIdentifier.
Input konektor
Untuk mengonfigurasi konektor, gunakan parameter berikut:
| Parameter | |
|---|---|
Product Field Name |
Wajib
Nama kolom tempat nama produk disimpan. Nilai defaultnya adalah |
Event Field Name |
Wajib
Nama kolom tempat nama peristiwa disimpan. Nilai defaultnya adalah |
Environment Field Name |
Opsional
Nama kolom tempat nama lingkungan disimpan. Jika kolom lingkungan tidak ditemukan, lingkungan default akan digunakan. Nilai defaultnya adalah |
Environment Regex Pattern |
Opsional
Pola ekspresi reguler untuk dijalankan pada nilai yang ditemukan di kolom
Nilai default Parameter ini memungkinkan Anda memanipulasi kolom lingkungan menggunakan logika ekspresi reguler. Jika pola ekspresi reguler adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default. |
Azure Subscription ID |
Wajib ID langganan Azure. |
Entra ID Directory ID |
Wajib ID tenant Microsoft Entra. |
Api Root |
Wajib URL root API yang akan digunakan dengan integrasi. Nilai defaultnya adalah |
OAUTH2 Login Endpoint Url |
Wajib URL endpoint yang akan digunakan untuk autentikasi OAuth 2.0. |
Azure Resource Group |
Wajib Nama grup resource Azure tempat Microsoft Sentinel berada. |
Azure Sentinel Workspace Name |
Wajib Nama ruang kerja Microsoft Sentinel yang akan digunakan. |
Client ID |
Wajib ID aplikasi (klien) Microsoft Entra yang digunakan untuk integrasi ini. |
Client Secret |
Wajib Nilai rahasia klien Microsoft Entra. |
Script Timeout (Seconds) |
Wajib Batas waktu tunggu untuk proses Python yang menjalankan skrip saat ini. Nilai default-nya adalah 480 detik. |
Verify SSL |
Opsional Jika dipilih, integrasi akan memverifikasi bahwa sertifikat SSL untuk koneksi ke server Microsoft valid. Dipilih secara default. |
Max Hours Backwards |
Wajib
Jumlah jam sebelum iterasi konektor pertama untuk mengambil insiden dari. Parameter ini hanya berlaku satu kali untuk iterasi konektor awal setelah Anda mengaktifkan konektor untuk pertama kalinya. Nilai defaultnya adalah 24 jam. |
Incident Statuses to Fetch |
Wajib
Status insiden yang akan diambil. Parameter ini menerima beberapa nilai sebagai string yang dipisahkan koma. Nilai defaultnya adalah |
Incident Severities to Fetch |
Wajib
Tingkat keparahan insiden yang akan diambil. Parameter ini menerima beberapa nilai sebagai string yang dipisahkan koma. Nilai defaultnya adalah |
Max Incidents per Cycle |
Wajib
Jumlah insiden yang akan diambil dari backlog selama satu kali menjalankan konektor. Nilai defaultnya adalah 10. |
Use the same approach with event creation for all alert types?
|
Opsional Jika dipilih, konektor menggunakan pendekatan yang sama untuk semua jenis pemberitahuan. Jika tidak dipilih, konektor akan menggunakan pendekatan yang berbeda untuk jenis pemberitahuan terjadwal Microsoft Sentinel dan mencoba mengambil peristiwa yang menyebabkan pemberitahuan dengan menjalankan kueri yang ditentukan dalam detail pemberitahuan. Tidak dipilih secara default. |
Incidents Tags To Ingest |
Opsional
Daftar tag insiden yang dipisahkan koma untuk diproses. Konektor mengabaikan insiden yang tidak memiliki tag dari daftar ini. |
Use whitelist as a blacklist |
Wajib
Jika dipilih, daftar dinamis akan digunakan sebagai daftar blokir. Tidak dipilih secara default. |
Backlog Expiration Timer |
Wajib
Periode dalam menit agar konektor menyimpan insiden dalam backlog. Nilai defaultnya adalah 60 menit. |
StartTimeFallback |
Wajib
Daftar atribut insiden atau pemberitahuan yang dipisahkan koma untuk digunakan sebagai penggantian kolom pemberitahuan Jika tidak ada kolom penggantian yang ditemukan, konektor akan menggunakan
atribut Nilai defaultnya adalah |
EndTimeFallback |
Wajib
Daftar atribut insiden atau pemberitahuan yang dipisahkan koma untuk digunakan sebagai
fallback
untuk kolom pemberitahuan Jika tidak ada kolom penggantian yang ditemukan, konektor akan menggunakan
atribut Nilai defaultnya adalah |
Enable Fallback Logic Debug? |
Opsional
Jika dipilih, konektor akan menambahkan kolom debug yang berisi nilai yang digunakan untuk penggantian ke acara yang dibuat. Tidak dipilih secara default. |
VendorFieldFallback |
Wajib
Daftar atribut insiden yang dipisahkan koma untuk digunakan sebagai penggantian untuk
kolom Nilai defaultnya adalah |
ProductFieldFallback |
Wajib
Daftar atribut insiden yang dipisahkan koma untuk digunakan sebagai penggantian untuk
kolom Nilai defaultnya adalah |
EventFieldFallback |
Wajib
Daftar atribut insiden yang dipisahkan koma untuk digunakan sebagai penggantian untuk
parameter Nilai defaultnya adalah |
Max Backlog Incidents per cycle |
Wajib
Jumlah insiden yang akan diambil dari backlog dalam satu eksekusi konektor. Nilai defaultnya adalah 10. |
Disable Overflow |
Opsional Jika dipilih, konektor akan menonaktifkan luapan peristiwa. Tidak dipilih secara default. |
Total Number of Scheduled Alerts Events Limit to Ingest |
Opsional
Jumlah maksimum peristiwa yang akan diserap untuk satu pemberitahuan terjadwal Microsoft Sentinel atau pemberitahuan NRT. Nilai defaultnya adalah 100. |
Create Chronicle SOAR Alerts for Sentinel incidents that do not
have entities? |
Opsional
Jika dipilih, konektor akan membuat pemberitahuan Google SecOps dari insiden Microsoft Sentinel yang tidak memiliki entitas. Jika tidak, konektor hanya membuat pemberitahuan Google SecOps untuk pemberitahuan terjadwal dan NRT serta melewati semua jenis insiden Microsoft Sentinel lainnya. Tidak dipilih secara default. |
Incident's Alerts Limit to Ingest |
Opsional
Jumlah maksimum pemberitahuan yang akan diproses untuk setiap insiden Microsoft Sentinel. |
Incidents Padding Period (minutes) |
Opsional
Periode dalam menit sebelum saat ini agar konektor mengambil insiden dan menampilkannya. Konektor tidak menampilkan insiden dalam urutan kronologis. |
Alert Name Template |
Opsional
Jika ditentukan, konektor menggunakan nilai ini dari data insiden yang ditampilkan dalam respons Microsoft Sentinel API untuk nama pemberitahuan SOAR Google SecOps. Anda dapat memberikan placeholder dalam format berikut:
Panjang maksimum untuk kolom adalah 256 karakter. Jika tidak ada nilai yang diberikan atau Anda memberikan template yang tidak valid, konektor akan menggunakan nama pemberitahuan default. |
Rule Generator Template |
Opsional
Jika ditentukan, konektor menggunakan nilai ini dari data insiden yang ditampilkan dalam respons Microsoft Sentinel API untuk generator aturan SOAR Google SecOps. Anda dapat memberikan placeholder dalam format berikut:
Panjang maksimum untuk kolom adalah 256 karakter. Jika tidak ada nilai yang diberikan atau Anda memberikan template yang tidak valid, konektor akan menggunakan nilai generator aturan default. |
How many hours to track ingested incident for updates |
Wajib
Periode bagi konektor untuk melacak insiden Sentinel yang sudah di-ingest untuk mendapatkan pembaruan seperti penambahan peristiwa atau entitas baru atau detail insiden. Nilai defaultnya adalah 24 jam. |
Wait For Scheduled/NRT Alert Object |
Opsional
Jika diaktifkan, konektor akan menunggu hingga objek pemberitahuan terjadwal/NRT tersedia. |
Proxy Server Address |
Opsional
Alamat server proxy yang akan digunakan. |
Proxy Server Username |
Opsional
Nama pengguna proxy untuk melakukan autentikasi. |
Proxy Server Password |
Opsional
Sandi proxy untuk melakukan autentikasi. |
Aturan konektor
Microsoft Sentinel Incident Tracking Connector mendukung daftar yang diblokir dan daftar dinamis.
Pekerjaan
Integrasi Microsoft Sentinel mendukung tugas Microsoft Sentinel - Sync Incidents.
Microsoft Sentinel - Sync Incidents
Gunakan tugas Microsoft Sentinel - Sync Incidents untuk menyinkronkan pemberitahuan Google SecOps dengan insiden Microsoft Sentinel. Hal ini memastikan bahwa komentar, status, dan tag tetap disinkronkan di antara kedua sistem.
Agar tugas dapat mengidentifikasi informasi yang benar, kasus Google SecOps
harus memiliki tag Microsoft Sentinel Incident. Jika pemberitahuan tidak
berasal dari Microsoft Azure Sentinel Incident Connector v2, Anda harus
menambahkan nilai konteks Incident_ID ke kasus agar tugas dapat menemukan
informasi yang benar.
Perilaku tugas
Tugas ini terdiri dari dua bagian utama: 1. Tugas ini menyinkronkan status pemberitahuan, komentar, dan tag dari Microsoft Sentinel ke Google SecOps. 1. Tugas ini menyinkronkan semua pembaruan dari Google SecOps kembali ke Microsoft Sentinel.
Tugas memproses jumlah maksimum kasus per iterasi untuk memastikan performa yang stabil. Proses ini mengandalkan waktu modifikasi terakhir kasus untuk memastikan tidak ada update yang terlewat.
Saat peringatan ditutup di salah satu sistem, tugas akan menyinkronkan penutupan tersebut. Pemetaan status adalah sebagai berikut:
Maliciousdipetakan ke status Microsoft SentinelCloseddengan alasanTrue Positive.Not Maliciousdipetakan ke status Microsoft SentinelCloseddengan alasanFalse Positive.- Nilai penutupan lainnya dipetakan ke status Microsoft Sentinel
Closeddengan alasanUnknown.
Komentar disinkronkan secara dua arah. Untuk mencegah loop sinkronisasi, tugas menerapkan prefiks ke setiap komentar.
Tag juga disinkronkan dengan awalan yang sama untuk membedakan asalnya.
Catatan penting tentang Pembatasan Kapasitas API
Pekerjaan ini memanfaatkan Microsoft Graph API untuk mengelola insiden, yang memiliki batas kapasitas 20 permintaan per menit. Untuk mengurangi risiko mencapai batas ini dan memengaruhi komponen integrasi lainnya, sebaiknya Anda menyiapkan Aplikasi Microsoft Entra ID terpisah khusus untuk tugas ini.
Satu-satunya izin yang diperlukan adalah SecurityIncident.ReadWrite.All.
Parameter tugas
Tugas Microsoft Sentinel - Sync Incidents memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Environment Name |
Wajib. Nama lingkungan tempat menyinkronkan insiden. Nilai defaultnya adalah |
Azure Active Directory ID |
Wajib. ID direktori unik Anda di Azure. Juga dikenal sebagai ID tenant Anda. |
OAUTH2 Login Endpoint Url |
Wajib. URL untuk endpoint OAuth 2.0 tempat tugas meminta token autentikasi. Nilai defaultnya adalah |
API Root |
Wajib. URL dasar untuk Graph API. Pekerjaan menambahkan panggilan API tertentu ke URL root ini untuk mengambil data. Nilai defaultnya adalah |
Client ID |
Wajib. ID unik aplikasi yang terdaftar di Azure Active Directory. ID ini digunakan untuk mengautentikasi dan memberikan akses aplikasi Anda ke Microsoft Sentinel. |
Client Secret |
Wajib. Kunci rahasia yang digunakan dengan |
Max Hours Backwards |
Wajib. Jumlah jam di masa lalu untuk menyinkronkan insiden. Nilai defaultnya adalah |
Verify SSL |
Wajib/Opsional. Jika dipilih, integrasi akan memvalidasi sertifikat SSL saat terhubung ke server Microsoft Sentinel. Diaktifkan secara default. |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.