Microsoft Azure Sentinel
Versione integrazione: 44.0
Questa integrazione utilizza uno o più componenti open source. Puoi scaricare una copia compressa del codice sorgente completo di questa integrazione dal bucket Cloud Storage.
Casi d'uso
- Monitora e ispeziona gli avvisi creati in Sentinel in base agli eventi provenienti da host on-premise e servizi Microsoft basati sul cloud come Microsoft 365 e Microsoft 365 Cloud App Security.
- Utilizza i dati raccolti e correlati in Sentinel per gli arricchimenti durante l'analisi di un particolare incidente. Gli analisti possono utilizzare i dati raccolti e archiviati in Sentinel nelle indagini, ad esempio per esaminare in dettaglio informazioni particolari (ad esempio, esaminare i dati degli avvisi, esaminare i log Syslog) o eseguire query sull'attività in un periodo di tempo specifico o da host particolari.
Prerequisiti
Per configurare Microsoft Entra ID, devi prima ottenere l'autorizzazione per eseguire richieste all'API Microsoft Security Insights. Dovrai configurare le autorizzazioni:
- Crea l'app Microsoft Entra.
- Crea un client secret.
- Concedi all'app Microsoft Entra registrata l'accesso allo spazio di lavoro Microsoft Sentinel.
- Utilizza l'applicazione Microsoft Entra per ottenere un token di accesso.
Crea l'app Microsoft Entra
Accedi al portale Azure come amministratore utenti o amministratore password.
Seleziona Microsoft Entra ID.
Vai a Registrazioni app > Nuova registrazione.
Inserisci il nome dell'app.
Seleziona il tipo di account supportato applicabile.
Fai clic su Register (Registrati).
Salva i valori ID applicazione (client) e ID directory (tenant) per utilizzarli in un secondo momento durante la configurazione dei parametri di integrazione.
Crea client secret
Vai a Certificati e secret > Nuovo client secret.
Fornisci una descrizione per un client secret e imposta la relativa scadenza.
Fai clic su Aggiungi.
Salva il valore del client secret (non l'ID secret) per utilizzarlo come valore parametro
Client Secretdurante la configurazione dell'integrazione. Il valore del segreto del client viene visualizzato una sola volta.
Concedere l'accesso a Microsoft Entra registrato allo spazio di lavoro Microsoft Sentinel
Vai alla pagina Panoramica di Microsoft Sentinel.
Fai clic su Impostazioni.
Fai clic su Controllo degli accessi (IAM).
Nella sezione Aggiungi un'assegnazione di ruolo, fai clic su Aggiungi.
Configura i seguenti parametri:
Ruolo =
Azure Sentinel Contributor.Assegna accesso a =
default, Microsoft Entra ID user group, or service principal.
Nella sezione Seleziona, fornisci una condizione di ricerca per trovare la tua app e aggiungi un'assegnazione di ruolo per la tua app.
Vai alla pagina degli spazi di lavoro Microsoft Sentinel. Trova e configura i seguenti parametri:
Azure Resource GroupAzure Sentinel Workspace Name
Integrare Microsoft Azure Sentinel con Google SecOps SOAR
Per istruzioni dettagliate su come configurare un'integrazione in Google Security Operations, vedi Configurare le integrazioni.
Parametri di integrazione
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome istanza | Stringa | N/D | No | Nome dell'istanza per cui intendi configurare l'integrazione. |
| Descrizione | Stringa | N/D | No | Descrizione dell'istanza. |
| ID abbonamento Azure | Stringa | N/D | Sì | L'ID abbonamento Microsoft Azure, visualizzabile in Azure Portal > Abbonamenti > <Il tuo abbonamento> ID abbonamento. |
| ID Azure Active Directory | Stringa | N/D | Sì | L'ID tenant Microsoft Entra può essere visualizzato in Microsoft Entra > Registrazione app > <Applicazione configurata per l'integrazione> ID directory (tenant). |
| Radice API | Stringa | https://management.azure.com | Sì | URL di base dell'API Management.azure.com da utilizzare con l'integrazione. |
| Gruppo di risorse Azure | Stringa | N/D | Sì | Nome del gruppo di risorse Azure in cui si trova Microsoft Sentinel. |
| Nome spazio di lavoro Azure Sentinel | Stringa | N/D | Sì | Nome dello spazio di lavoro Microsoft Sentinel da utilizzare. Può essere visualizzato nel portale Azure > Microsoft Sentinel > Spazi di lavoro Microsoft Sentinel. |
| ID client | Stringa | N/D | Sì | ID client (applicazione) aggiunto per la registrazione dell'app in Microsoft Entra per questa integrazione. |
| Client secret | Password | N/D | Sì | Un secret inserito per la registrazione dell'app Azure Sentinel. |
| Esegui da remoto | Casella di controllo | Deselezionata | No | Seleziona il campo per eseguire l'integrazione configurata da remoto. Una volta selezionata, viene visualizzata l'opzione per selezionare l'utente remoto (agente). |
Azioni
Dindin
Verifica la connettività allo spazio di lavoro Microsoft Sentinel con i parametri forniti nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace.
Casi d'uso
L'azione viene utilizzata per testare la connettività nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace e può essere eseguita come azione manuale, che non viene utilizzata nei playbook.
Pubblica su
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato dello script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | Se l'operazione va a buon fine: stampa "Connessione riuscita all'area di lavoro Microsoft Sentinel con i parametri di connessione forniti.". Se l'operazione non va a buon fine: stampa "Failed to connect to the Microsoft Sentinel Workspace! Error is {0}".format(exception.stacktrace). |
Generale |
Elenca incidenti
Elenca gli incidenti di Microsoft Sentinel in base ai criteri di ricerca forniti.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Intervallo di tempo | Numero intero | 3 | No | Specifica un periodo di tempo in ore per il recupero degli incidenti. |
| Stato | Stringa | Nuovo, Attivo, Chiuso | No | Specifica gli stati degli incidenti da cercare. Il parametro accetta più valori come stringa separata da virgole. |
| Gravità | Stringa | Informativo, Basso, Medio, Alto | No | Specifica i livelli di gravità degli incidenti da cercare. Il parametro accetta più valori come stringa separata da virgole. |
| How Many Incidents to Fetch (Quanti incidenti recuperare) | Numero intero | 200 | No | Numero di incidenti da recuperare. Per impostazione predefinita, vengono restituiti gli ultimi 200 incidenti. |
Casi d'uso
L'azione può essere utilizzata per elencare gli incidenti di Microsoft Sentinel dal playbook Google SecOps.
Pubblica su
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato dello script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"value": [
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases/323032be-5b0d-4661-944f-ff9557597e50",
"name": "323032be-5b0d-4661-944f-ff9557597e50",
"etag": "\"2100e65a-0000-0d00-0000-5de3b1bf0000\"",
"type": "Microsoft.SecurityInsights/Cases",
"properties": {
"title": "Suspicious process injection observed",
"description": "A process abnormally injected code into another process, As a result, unexpected code may be running in the target process memory. Injection is often used to hide malicious code execution within a trusted process. \nAs a result, the target process may exhibit abnormal behaviors such as opening a listening port or connecting to a command and control server.",
"severity": "Medium",
"status": "New",
"labels": ["add_tag"],
"endTimeUtc": "2019-11-29T03:42:05Z",
"startTimeUtc": "2019-11-29T03:42:05Z",
"owner": {
"objectId": null
},
"lastUpdatedTimeUtc": "2019-12-01T12:27:43Z",
"createdTimeUtc": "2019-11-29T07:13:32.0266519Z",
"relatedAlertIds": ["2462474c-b6d9-6937-17ee-c2a62671c2f8"],
"relatedAlertProductNames": ["Microsoft Defender Advanced Threat Protection"],
"caseNumber": 2276,
"totalComments": 0,
"metrics": {
"SecurityAlert": 1
},
"firstAlertTimeGenerated": "2019-11-29T07:13:31.961602Z",
"lastAlertTimeGenerated": "2019-11-29T07:13:31.961602Z"
}
},{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases/c7939be8-32fb-415c-9f7c-c13325d6c48b",
"name": "c7939be8-32fb-415c-9f7c-c13325d6c48b",
"etag": "\"1900f5e2-0000-0d00-0000-5de0c5110000\"",
"type": "Microsoft.SecurityInsights/Cases",
"properties": {
"title": "Suspicious Power Shell command line",
"description": "A suspicious PowerShell activity was observed on the machine. \nThis behavior may indicate that PowerShell was used during installation, exploration, or in some cases in lateral movement activities which are used by attackers to invoke modules, download external payloads, or get more information about the system. Attackers usually use PowerShell to bypass security protection mechanisms by executing their payload in memory without touching the disk and leaving any trace.\r\nOur algorithms found the behaviors of this process to be suspicious due to the following factors:\nSuspicious memory activity\nExecutes suspicious PowerShell commands",
"severity": "Medium",
"status": "New",
"labels": [],
"endTimeUtc": "2019-11-29T03:42:04.9552017Z",
"startTimeUtc": "2019-11-29T03:42:04.9552017Z",
"owner": {
"objectId": null
},
"lastUpdatedTimeUtc": "2019-11-29T07:13:21Z",
"createdTimeUtc": "2019-11-29T07:13:21.6858164Z",
"relatedAlertIds": [
"d053f17e-6153-d171-9f4d-82389442aa35"
],
"relatedAlertProductNames": [
"Microsoft Defender Advanced Threat Protection"
],
"caseNumber": 2275,
"totalComments": 0,
"metrics": {
"SecurityAlert": 1
},
"firstAlertTimeGenerated": "2019-11-29T07:13:21.5885314Z",
"lastAlertTimeGenerated": "2019-11-29T07:13:21.5885314Z"
}
}
],
"nextLink": "https://management.azure.com:443/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases?api-version=2019-01-01-preview&$skipToken=H4sIAAAAAAAEAE1VTVMiSxD8MR45LIstukbsIbvnqxmGcRgR2xsiFqA44soiHt5vf1nzfOwaQUg31fWRlVnVGfvo8p-Jf5jhavBejW1_jQvon5OfP0_G15ffT67H7rLX7fIQXQ4P64vB583efZqXUSo7zGaRvS4-inWzK9Z-V3ze3RSfxfko8ufFdfy7jIpu8Snd8vkXTnx9c9k78XF52T87O-2fJFdXlxCZfMUDItN-zflJ2m9o-EmRx13Efi52cvw9Fnf2LBmvkW0-aBJwK8kUSYPp0R88pm_m9s-5gg2uKx9y9PMMu1yuOqgNaklrOGPfBDtMAu4FfawNZpJ2EDXWChZYGCwl2iBt7EpQovKARD1k3pb6u_Vqt4ELdqy_nw7mhSQ7pN5e6RnGbQQ9PDUYSNpHEnAjaQzUtiM2x71HLoMNoXCVoMZMz4wHg6FkueaXCrZYBHiJWYG3tEuRVke8Dog69ccs9uJ2wNxaJJ55OsASmmDvBB3F7VaQoarQ0XzjyiKOe4gDluo0laO_HN752wa_5a6-Ow3x_R88BYU_yOt7b1B6PPyN-_Ps6fHv8_ez7vLv876R1fFs2fftaLqsFjgPUV9GNevPzqRc4D1EvyXvYGPYN2yHfv9_XnYBt7A77ddgh-fgSin6tM_mEh3sqcFaHrb4HqI7sStrGvcm-RafjTMy7GHl7d262WDR2B-Sl9g27pcMD3gI2TfGsYx_LqMF3kJUSdnjO2QyP-DdR5EMd1gaPB3zT0E_5Uz9PjXsc1TiNtieDDroBdr73AafXMg0tXUTL-Wxr_cdGfUYN5qITzEPvXu51fjOyjDFKkSPks6Ytw1S9e0oJE4ea4xDZsgje9bikdqdd-eS7zA49p_0Sxb-1KdP4nd4CW4pfoVNg0TmM-JD-0GNZXAHGXbw4l0jWY1n40T9rIx7krRXLrwbiZ_ixdAuW9A-Wio-pyZKJT_gYNyH5n0d0ldJOuxnJFLMGMd2xYWjvgbChG5XSWPcWP3Q316GW5SGOEe5fQxJLVXqbkzcl3pnfcjexP3R5w9KvfkgPw3GcLHyc6p-Jh5d1ZElXwUrXDX4IW6hI8SL7ek82JIHuDKq4xWyVrf6X_WZwXueaVc2eBe3Jf8hjufU41yiVOPYPa9UD3oeNvgU6sex7-JKeMN41OWQI-br_lTiKUaN6qqGb_W9UOndq95co_lu4APIx43ml4lVnmMjrsbIMB5lmhvOA94XBhOxrBfVs7gp-45X9RMFjj47o36t0zmVCGXrVVH4T5AxgmAILdDZVOfUTmTl8yM_CNLryj4aFzSfNGgczolf0FkQZ4orpcU4HIZWtVqJc_qSw3elcWDhUATOI-LP_DPBTOvjHDogC4j2joOWqei7rFGdMNv2HVxpiBftaB8RX1bIy2SF2qOnOHLOpWKd4hjEliyWzxolAeMRp0x5gIHmfa15JgbcC6nyICiuxOmpzXdOXPh-oPOSc5D2Y62F9U2UF8OAR84FjRfpPGU_K-0reVBVbqV822nfuU_4Tir2s5R4q3lM27447gX6rwxG4gqlJhQh8uWXuI32nfypHPMrxXW03y-ijPb8nXhfeRjtq9V-sq_s00RxoX2u8xzKD3fQep-Ur2xFrf1ivE_pLLJXk1SSpyga9bsD56KNW9nJN9UBeeR4pa2qFNdE9wd5ETOBmPyhXu7b-i-YpDYV1VL3j2_76cA7r3WQ13eKD_F0MXk58Lj6wtdXxD1S3nP_MQ-397E2vmr3o2e-xIlbhfEP2s_f4mbah1jrJL573a_EdSRc2eTDWnXoW35wL7X17rT-i5YXc8ut1Oqzrzrm3nRfOA0Vp6TlH3kvvrUbNHhWnCOv_c25l6lL8iXlnod6t1i1um9QtHwMzIP99OrHFvTrFBTV1rnyKt4zb8VJ9cX6klYPFR2pJJzydy12q3ik6geqa-ojbeeItbTnHnfUVfXzX2qVoX91CQAA"
}
Bacheca casi
| Tipo di risultato | Valore/ Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | se l'operazione ha esito positivo e ottiene i dati: stampa "Successfully returned Microsoft
Sentinel incidents". Se non viene trovato nulla, stampa "L'azione non è riuscita a
trovare incidenti". if error: print "Failed to list Microsoft Sentinel incidents! Error is {0}".format(exception.stacktrace). |
Generale |
| Tabella | Titolo tabella: incidenti di Microsoft Sentinel trovati: Colonne: incident_number, incident_id, title, description, severity, status, labels, assigned to, alert product names, created time, last updated time |
Generale |
| Allegati | List_Incidents.json: contiene i dati JSON tecnici restituiti dall'azione. | Generale |
Visualizzatore JSON |
Mostra il visualizzatore JSON per il risultato della query. | Generale |
Aggiorna i dettagli dell'incidente
Aggiorna un incidente di Microsoft Sentinel.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Numero di richiesta dell'incidente | Numero intero | N/D | Sì | Specifica il numero dell'incidente di Azure Sentinel da aggiornare. |
| Titolo | Stringa | N/D | No | Specifica il nuovo titolo per l'incidente di Azure Sentinel. |
| Gravità | DDL | Non aggiornato (valori possibili: Non aggiornato, Informativo, Basso, Medio, Alto) |
No | Specifica la nuova gravità per l'incidente di Azure Sentinel. |
| Descrizione | Stringa | N/D | No | Specifica una nuova descrizione per l'incidente Azure Sentinel. |
| Assegnato a | Stringa | N/D | No | Specifica l'utente a cui assegnare l'incidente. |
| Stato | DDL | Non aggiornato (valori possibili: Non aggiornato, Nuovo, Attivo, Chiuso) | No | Specifica il nuovo stato per l'incidente Azure Sentinel. |
| Motivo chiusura | DDL | Non aggiornato (valori possibili: |
No | Se lo stato dell'incidente è impostato su Chiuso, fornisci un motivo di chiusura per l'incidente. |
| Commento di chiusura | Stringa | N/D | No | Commento di chiusura facoltativo da fornire per l'incidente Azure Sentinel chiuso. |
| Numero di nuovi tentativi | Numero intero | 1 | Sì | Specifica il numero di tentativi che l'azione deve effettuare se l'aggiornamento dell'incidente non è andato a buon fine. |
| Riprova ogni | Numero intero | 20 | Sì | Specifica il periodo di tempo in cui l'azione deve attendere tra i tentativi di aggiornamento dell'incidente. |
Casi d'uso
L'azione può essere utilizzata per aggiornare un incidente di Microsoft Sentinel dal playbook Google SecOps. Può essere utilizzata come azione risultante in un flusso di lavoro che prevede l'analisi di un incidente di Microsoft Sentinel.Una volta elaborati in Google SecOps, gli incidenti possono essere aggiornati per indicare lo stato di avanzamento dell'analisi dell'incidente (ad es. impostare assignedTo, impostare lo stato su inProgress e così via).
Pubblica su
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato dello script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
Per la richiesta 2 viene restituito il risultato JSON, che contiene i seguenti dettagli aggiornati dell'incidente:
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases/9e5c0afc-b7a6-4eac-8164-9242ad710a66",
"name": "9e5c0afc-b7a6-4eac-8164-9242ad710a66",
"etag": "\"12002b5c-0000-0d00-0000-5dde83730000\"",
"type": "Microsoft.SecurityInsights/Cases",
"properties": {
"title": "Activity from a Tor IP address",
"description": "A failed sign in was detected from a Tor IP addressThe Tor IP address 203.0.113.200 was used by Example User - Test User Spec (user@example.com).",
"severity": "Informational",
"status": "InProgress",
"assignedTo": "test@example.com",
"labels": [],
"closeReason": "Resolved",
"endTimeUtc": "2019-11-27T01:56:03.4651258Z",
"startTimeUtc": "2019-11-27T01:56:03.4651258Z",
"owner": {
"objectId": null,
"email": "test@example.com"
},
"lastUpdatedTimeUtc": "2019-11-27T14:08:51Z",
"createdTimeUtc": "2019-11-27T05:01:11.1139394Z",
"relatedAlertIds": [
"2a96343c-e551-4529-96f1-18d6f734470d"
],
"relatedAlertProductNames": [
"Azure Sentinel"
],
"caseNumber": 2274,
"totalComments": 0,
"metrics": {
"SecurityAlert": 1
},
"firstAlertTimeGenerated": "2019-11-27T05:01:10.2574659Z",
"lastAlertTimeGenerated": "2019-11-27T05:01:10.2574659Z"
}
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | Se l'operazione va a buon fine: stampa "Successfully updated Microsoft Sentinel incident {0}".format(IncidentID). Se non riesci a trovare l'incidente in base al numero di richiesta fornito: stampa "Microsoft Sentinel Incident with case number {0} was not found!".format(incident_case_number). Se errore: stampa "Failed to update Microsoft Sentinel incident! Error is {0}".format(exception.stacktrace). |
Generale |
Aggiorna le etichette degli incidenti
Aggiorna le etichette di un incidente specifico di Microsoft Sentinel.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Numero di richiesta dell'incidente | Numero intero | 2273 | Sì | Specifica il numero dell'incidente Azure Sentinel da aggiornare con le nuove etichette. |
| Etichette | Stringa | malware | Sì | Specifica le nuove etichette da aggiungere all'incidente. Il parametro accetta più valori come stringa separata da virgole. |
| Numero di nuovi tentativi | Numero intero | 1 | Sì | Specifica il numero di tentativi che l'azione deve effettuare se l'aggiornamento dell'incidente non è andato a buon fine. |
| Riprova ogni | Numero intero | 20 | Sì | Specifica il periodo di tempo di attesa dell'azione tra i tentativi di aggiornamento dell'incidente. |
Casi d'uso
L'azione può essere utilizzata per aggiornare le etichette degli incidenti di Microsoft Sentinel dal playbook Google SecOps. L'utente può utilizzare questa azione per assegnare tag (etichette) specifici a incidenti specifici, se necessario. Ad esempio, se host specifici fanno parte di questo incidente, deve essere presente un'etichetta specifica.
Pubblica su
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato dello script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
Per la richiesta 2 viene restituito il risultato JSON, che contiene i dettagli aggiornati dell'incidente:
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases/9e5c0afc-b7a6-4eac-8164-9242ad710a66",
"name": "9e5c0afc-b7a6-4eac-8164-9242ad710a66",
"etag": "\"12002b5c-0000-0d00-0000-5dde83730000\"",
"type": "Microsoft.SecurityInsights/Cases",
"properties": {
"title": "Activity from a Tor IP address",
"severity": "Informational",
"status": "InProgress",
"labels": [
"malware",
"trojan"
],
"endTimeUtc": "2019-11-27T01:56:03.4651258Z",
"startTimeUtc": "2019-11-27T01:56:03.4651258Z",
"owner": {
"objectId": null,
},
"lastUpdatedTimeUtc": "2019-11-27T14:08:51Z",
"createdTimeUtc": "2019-11-27T05:01:11.1139394Z",
"relatedAlertIds": [
"2a96343c-e551-4529-96f1-18d6f734470d"
],
"relatedAlertProductNames": [
"Azure Sentinel"
],
"caseNumber": 2274,
"totalComments": 0,
"metrics": {
"SecurityAlert": 1
},
"firstAlertTimeGenerated": "2019-11-27T05:01:10.2574659Z",
"lastAlertTimeGenerated": "2019-11-27T05:01:10.2574659Z"
}
}
Bacheca casi
| Tipo di risultato | Valore/ Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | In caso di esito positivo: "L'incidente {0} di Microsoft Sentinel è stato aggiornato con le seguenti etichette: {1}".format(IncidentID, [labels_list]).
Se non riesci a trovare l'incidente in base al numero di richiesta fornito: "L'incidente di Microsoft Sentinel con numero di richiesta {0} non è stato trovato.".format(incident_case_number). Se l'utente ha fornito
un'etichetta già esistente nell'incidente (isSuccess=False): "Le
seguenti etichette non sono state aggiunte alle etichette Microsoft Sentinel per l'incidente
{0} perché esistono già: {1}".format(IncidentID, [labels_list]) Se errore: "Failed to update Microsoft Sentinel incident labels! Error is {0}".format(exception.stacktrace). |
Generale |
Recupero statistiche incidenti
Ottieni statistiche sugli incidenti di Azure Sentinel.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Intervallo di tempo | Numero intero | 3 | No | Specifica il periodo di tempo per cui mostrare le statistiche. |
Casi d'uso
L'azione può essere utilizzata per mostrare i report del playbook di Google SecOps per gli eventi di Microsoft Sentinel. Questa azione farà parte del playbook in cui un utente interagisce con l'allarme di Microsoft Sentinel creato quando, ad esempio, un avviso è stato elaborato e rimosso. Questa azione potrebbe essere implementata per visualizzare un risultato degli incidenti di Microsoft Sentinel nella pagina "Lezioni apprese".
Al contrario, può essere un metodo di interfaccia dell'utente, anziché utilizzare l'app Windows Sentinel, per rimanere in Google SecOps.
Pubblica su
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato dello script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Aggregations/Cases",
"name": "Cases",
"type": "Microsoft.SecurityInsights/Aggregations",
"kind": "CasesAggregation",
"properties": {
"aggregationBySeverity": {
"totalCriticalSeverity": 1,
"totalHighSeverity": 2,
"totalMediumSeverity": 554,
"totalLowSeverity": 1714,
"totalInformationalSeverity": 1
},
"aggregationByStatus": {
"totalNewStatus": 2268,
"totalInProgressStatus": 4,
"totalResolvedStatus": 1,
"totalDismissedStatus": 0,
"totalTruePositiveStatus": 2,
"totalFalsePositiveStatus": 1
}
}
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | Se l'operazione ha esito positivo e ottiene i dati, stampa "Successfully
returned Microsoft Sentinel incident statistics". Se errore: stampa "Failed to get Microsoft Sentinel incident statistics! Errore è {0}".format(exception.stacktrace). |
Generale |
| Tabella n. 1 | Titolo tabella: Statistiche sugli incidenti di Microsoft Sentinel per gravità: Colonne:Critica (mappata a totalCriticalSeverity), Alta (mappata a totalHighSeverity), Media (mappata a totalMediumSeverity), Bassa(mappata a totalLowSeverity) , Informativa(mappata a totalInformationalSeverity) |
Generale |
| Tabella n. 2 | Titolo tabella: Statistiche sugli incidenti di Microsoft Sentinel per stato: Colonne: Nuovo(mappato a totalNewStatus), In corso(mappato a totalInProgressStatus), Risolto(mappato a totalResolvedStatus), Ignorato(mappato a totalDismissedStatus), Vero positivo(mappato a totalTruePositiveStatus), FalsePositive(mapped to totaFalsePositiveStatus) |
Generale |
Visualizzatore JSON |
Mostra il visualizzatore JSON per il risultato della query. | Generale |
Elenca regole di avviso
Ottieni l'elenco delle regole pianificate di Azure Sentinel.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Gravità della regola di avviso | Stringa | Informativo, Basso, Medio, Alto, Critico | No | Specifica le gravità delle regole di avviso da cercare. Il parametro accetta più valori come stringa separata da virgole. |
| Recupera tipi di regole di avviso specifici | Stringa | N/D | No | Specifica i tipi di avviso che l'azione deve restituire. Il parametro accetta più valori come stringa separata da virgole. Se il valore non viene fornito, vengono restituiti tutti i tipi di avvisi possibili. |
| Recupera tattiche specifiche della regola di avviso | Stringa | N/D | No | Specifica cosa deve restituire l'azione della tattica della regola di avviso. Il parametro accetta più valori come stringa separata da virgole. Se il valore non viene fornito, restituisci tutti i tipi di avvisi possibili. |
| Recuperare solo le regole di avviso abilitate? | Casella di controllo | Deselezionata | No | Specifica se l'azione deve restituire solo le regole di avviso abilitate. |
| Numero massimo di regole da restituire | Numero intero | N/D | No | Il numero di regole di avviso pianificate che l'azione deve restituire, ad esempio 50. |
Casi d'uso
L'azione può essere utilizzata per elencare le regole di avviso di Microsoft Sentinel dal playbook di Google SecOps. Puoi elencare le regole di avviso per assicurarti di averne preparata una per ogni tipo di minaccia e anomalia sospetta nel tuo ambiente. Se noti che alcune situazioni non vengono gestite correttamente, puoi aggiornare immediatamente una regola di avviso esistente o crearne una nuova. La regola di avviso di Microsoft Sentinel ti assicura di ricevere una notifica immediatamente, in modo da poter eseguire la valutazione, l'analisi e la correzione delle minacce.
Pubblica su
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato dello script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"value": [
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/alertRules/4bdce24d-7837-4f02-9f7a-10824f376517",
"name": "4bdce24d-7837-4f02-9f7a-10824f376517",
"etag": "\"00002f05-0000-0d00-0000-5d9db9970000\"",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "MicrosoftSecurityIncidentCreation",
"properties": {
"productFilter": "Azure Active Directory Identity Protection",
"severitiesFilter": null,
"displayNamesFilter": null,
"displayName": "Create incidents based on Azure Active Directory Identity Protection alerts",
"enabled": true,
"description": "Create incidents based on all alerts generated in Azure Active Directory Identity Protection",
"tactics": null,
"alertRuleTemplateName": "532c1811-79ee-4d9f-8d4d-6304c840daa1",
"lastModifiedUtc": "2019-10-09T10:42:31.5264376Z"
}
},
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/alertRules/540f68c9-9397-49c7-8953-8efce08d6e62",
"name": "540f68c9-9397-49c7-8953-8efce08d6e62",
"etag": "\"00003105-0000-0d00-0000-5d9db9ad0000\"",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "MicrosoftSecurityIncidentCreation",
"properties": {
"productFilter": "Azure Security Center",
"severitiesFilter": null,
"displayNamesFilter": null,
"displayName": "Create incidents based on Azure Security Center alerts",
"enabled": true,
"description": "Create incidents based on all alerts generated in Azure Security Center",
"tactics": null,
"alertRuleTemplateName": "90586451-7ba8-4c1e-9904-7d1b7c3cc4d6",
"lastModifiedUtc": "2019-10-09T10:42:53.9014288Z"
}
}
]
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | In caso di esito positivo: stampa "Successfully listed Microsoft
Sentinel alert rules configured". If error: print "Failed to list Microsoft Sentinel alert rules! Errore è {0}".format(exception.stacktrace). |
Generale |
| Tabella | Titolo tabella: Regole di avviso di Microsoft Sentinel trovate: Colonne: AlertID (mappato a nome), Nome (mappato a displayName), Enabled, Description, Tactics, Last Modification Time (mappato a lastModificationUtc) |
Generale |
| Allegati | List_AlertRules.json: contiene i dati JSON tecnici restituiti dall'azione. | Generale |
Visualizzatore JSON |
Mostra il visualizzatore JSON per il risultato della query. | Generale |
Ottieni i dettagli della regola di avviso
Visualizza i dettagli della regola di avviso pianificata di Azure Sentinel.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| AlertRuleID | Stringa | N/D | Sì | Specifica l'ID della regola di avviso. |
Casi d'uso
L'azione può essere utilizzata per ottenere dettagli sulla regola di avviso di Microsoft Sentinel dal playbook di Google SecOps. Se noti, ad esempio, che alcuni avvisi stanno diventando più frequenti e la maggior parte di essi sono falsi positivi oppure se una regola di avviso gestisce troppe situazioni e vuoi separarle, in modo da identificare più facilmente la minaccia, puoi utilizzare questa azione per comprendere correttamente la configurazione della regola di avviso. In base ai risultati della regola di avviso, puoi decidere se aggiornarla, eliminarla o lasciarla invariata.
Pubblica su
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato dello script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/alertRules/8dce4dbd-0ba6-4c93-943a-8da49f7d0aa4",
"name": "8dce4dbd-0ba6-4c93-943a-8da49f7d0aa4",
"etag": "\"0200c767-0000-0d00-0000-5ddf3b160000\"",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "Scheduled",
"properties": {
"severity": "High",
"query": "SecurityEvent\r\n| where Activity startswith \"4625\"\r\n| summarize count() by IpAddress, Computer\r\n| where count_ >3\r\n| extend HostCustomEntity = Computer\r\n| extend IPCustomEntity = IpAddress",
"queryFrequency": "PT1H",
"queryPeriod": "P5D",
"triggerOperator": "GreaterThan",
"triggerThreshold": 0,
"suppressionDuration": "PT5H",
"suppressionEnabled": false,
"displayName": "Multiple failed login attempts from the same IP",
"enabled": false,
"description": "",
"tactics": [
"InitialAccess"
],
"alertRuleTemplateName": null,
"lastModifiedUtc": "2019-11-28T03:12:21.9276927Z"
}
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | Se l'operazione ha esito positivo e ottiene i dati: stampa "Successfully
returned Microsoft Sentinel alert rule {0} details".format(AlertRuleID). Se non riesci a trovare la regola di avviso in base all'AlertID fornito: stampa
"Microsoft Sentinel alert rule with ID "{0}" was not found!".format(AlertRuleID).
Se errore: stampa "Failed to get details about Microsoft Sentinel alert rule! Error is {0}".format(exception.stacktrace). |
Generale |
| Tabella | Titolo tabella: Dettagli regola di avviso di Microsoft Sentinel: Colonne:AlertID (mappato a nome), Nome (mappato a displayName), Enabled, Description, Query, Frequency(mappato a queryFrequency), Period of Lookup data(mappato a queryPeriod), Trigger (mappato come combinazione di triggerOperator e triggerThreshold) Tactics, Enable Suppression(mappato come "suppressionEnabled"), Suppression Duration(mappato come suppressionDuration), Last Modification Time (mappato a lastModificationUtc) |
Generale |
Visualizzatore JSON |
Mostra il visualizzatore JSON per il risultato della query. | Generale |
Crea regola avviso
Crea una regola di avviso pianificata di Azure Sentinel.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Abilita regola avviso | DDL | N/D | Sì | Specifica se vuoi disattivare o attivare questa regola di avviso. |
| Nome | Stringa | N/D | Sì | Specifica il nome visualizzato della regola di avviso. |
| Gravità | DDL | N/D | Sì | Specifica la gravità di questa regola di avviso. |
| Query | Stringa | N/D | Sì | Specifica la query di questa regola di avviso. |
| Frequenza | Stringa | N/D | Sì | Specifica la frequenza di esecuzione della query utilizzando il seguente formato: PT + numero + (M, H, D), dove M sta per minuti, H per ore e D per giorni. Il valore minimo è 5 minuti, il valore massimo è 14 giorni. |
| Periodo dei dati di ricerca | Stringa | N/D | Sì | Specifica l'ora dell'ultimo dato di ricerca utilizzando il seguente formato: P + numero + (M, H, D), dove M sta per minuti, H per ore e D per giorni. Il valore minimo è 5
minuti, il valore massimo è 14 giorni. |
| Operatore trigger | DDL | N/D | Sì | Specifica l'operatore di attivazione per questa regola di avviso. |
| Soglia di attivazione | Numero intero | N/D | Sì | Specifica la soglia di attivazione per questa regola di avviso. |
| Abilita la soppressione | DDL | N/D | Sì | Specifica se vuoi interrompere l'esecuzione della query dopo la generazione dell'avviso. |
| Durata della soppressione | Stringa | N/D | Sì | Specifica per quanto tempo vuoi interrompere l'esecuzione della query dopo la generazione dell'avviso, utilizza il seguente formato: PT + numero + (M, H, D), dove M - minuti, H - ore, D - giorni Esempi: P1M - 1 minuto P10H - 10 ore P2D - 2 giorni. Il valore minimo è 5 minuti, il valore massimo è 14 giorni. |
| Descrizione | Stringa | N/D | No | Specifica la descrizione di questa regola di avviso. |
| Tattiche | Stringa | N/D | No | Specifica le tattiche per questa regola di avviso. Il parametro può accettare più valori separati da virgole. |
Casi d'uso
L'azione può essere utilizzata per creare regole di avviso di Microsoft Sentinel dal playbook di Google SecOps. Puoi creare regole di avviso personalizzate per aiutarti a cercare i tipi di minacce e anomalie sospette nel tuo ambiente. La regola di avviso di Microsoft Sentinel ti assicura di ricevere una notifica immediata, in modo da poter valutare, esaminare e risolvere le minacce.
Pubblica su
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato dello script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | In caso di esito positivo: stampa "Successfully created Microsoft
Sentinel alert rule!". Se errore: stampa "Failed to create Microsoft Sentinel alert rule! Error is {0}".format(exception.stacktrace). |
Generale |
Aggiorna regola di avviso
Aggiorna la regola di avviso pianificata di Azure Sentinel.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| AlertRuleID | Stringa | N/D | Sì | Specifica l'AlertRuleID della regola di avviso. |
| Nome | Stringa | N/D | No | Specifica il nome visualizzato della regola di avviso. |
| Abilita regola avviso | DDL | N/D | No | Specifica se vuoi disattivare o attivare questa regola di avviso. |
| Gravità | DDL | N/D | No | Specifica la gravità di questa regola di avviso. |
| Query | Stringa | N/D | No | Specifica la query di questa regola di avviso. |
| Frequenza | Stringa | N/D | No | Specifica la frequenza di esecuzione della query utilizzando il seguente formato: PT + numero + (M, H, D), dove M sta per minuti, H per ore e D per giorni. Esempi: PT1M - esegui la query ogni minuto PT10H - esegui la query ogni 10 ore PT2D - Esegui la query ogni 2 giorni. Il valore minimo è 5 minuti, il valore massimo è 14 giorni. |
| Periodo dei dati di ricerca | Stringa | N/D | No | Specifica l'ora dell'ultimo dato di ricerca utilizzando il seguente formato: P + numero + (M, H, D), dove M sta per minuti, H per ore e D per giorni. . Esempi: P1M - 1 minuto P10H - 10 ore P2D - 2 giorni. Il valore minimo è 5 minuti, il valore massimo è 14 giorni. |
| Operatore trigger | DDL | N/D | No | Specifica l'operatore di attivazione per questa regola di avviso. |
| Soglia di attivazione | Numero intero | N/D | No | Specifica la soglia di attivazione per questa regola di avviso. |
| Abilita la soppressione | DDL | N/D | No | Specifica se vuoi interrompere l'esecuzione della query dopo la generazione dell'avviso. |
| Durata della soppressione | Stringa | N/D | No | Specifica per quanto tempo vuoi interrompere l'esecuzione della query dopo la generazione dell'avviso, utilizza il seguente formato: PT + numero + (M, H, D), dove M - minuti, H - ore, D - giorni Esempi: P1M - 1 minuto P10H - 10 ore P2D - 2 giorni. Il valore minimo è 5 minuti, il valore massimo è 14 giorni. |
| Descrizione | Stringa | N/D | No | Specifica la descrizione di questa regola di avviso. |
| Tattiche | Stringa | Nessuno | No | Specifica le tattiche per questa regola di avviso. Il parametro accetta più valori separati da virgole. |
Casi d'uso
L'azione può essere utilizzata per aggiornare le regole di avviso di Microsoft Sentinel dal playbook di Google SecOps. Se noti, ad esempio, che alcuni avvisi stanno diventando più frequenti e la maggior parte di questi sono falsi positivi, puoi utilizzare questa azione per aggiornare la configurazione della regola di avviso in modo che corrisponda alle tue esigenze e preferenze. La regola di avviso di Microsoft Sentinel ti assicura di ricevere una notifica immediata, in modo da poter valutare, esaminare e risolvere le minacce.
Pubblica su
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato dello script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | Se l'operazione va a buon fine: stampa "Successfully updated Microsoft
Sentinel alert rule with ID {0}".format(AlertRuleID). Se non riesci
a trovare una regola di avviso in base all'AlertID fornito: stampa "La regola di avviso di Microsoft Sentinel
con ID "{0}" non è stata trovata.".format(AlertRuleID). If error: print "Failed to update Microsoft Sentinel alert rule! Error is {0}".format(exception.stacktrace). |
Generale |
Elimina regola di avviso
Elimina la regola di avviso pianificata di Azure Sentinel.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| AlertRuleID | Stringa | N/D | Sì | Specifica l'ID della regola di avviso da eliminare. |
Casi d'uso
L'azione può essere utilizzata per eliminare la regola di avviso di Microsoft Sentinel da Google SecOps. Se una regola di avviso è molto obsoleta e non serve al suo scopo o se una regola crea solo falsi positivi, puoi eliminarla con questa azione.
Pubblica su
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato dello script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | Se l'operazione va a buon fine: stampa "Successfully deleted Microsoft
Sentinel alert rule {0}".format(AlertRuleID). Se non riesci a trovare
la regola di avviso in base all'AlertID fornito: stampa "La regola di avviso di Microsoft Sentinel
con ID "{0}" non è stata trovata.".format(AlertRuleID). If error: print "Failed to delete Microsoft Sentinel alert rule! Error is {0}".format(exception.stacktrace). |
Generale |
List Custom Hunting Rules
Recupera l'elenco delle regole di ricerca personalizzate di Azure Sentinel.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nomi delle regole di caccia da restituire | Stringa | N/D | No | Specifica i nomi che l'azione delle regole di ricerca deve restituire. Il parametro accetta più valori come stringa separata da virgole. Se il valore non viene fornito, restituisci tutti i tipi di avvisi possibili. |
| Recuperare tattiche specifiche delle regole di caccia | Stringa | N/D | No | Specifica cosa deve restituire l'azione delle tattiche della regola di ricerca. Il parametro accetta più valori come stringa separata da virgole. Se il valore non viene fornito, restituisci tutti i tipi di avvisi possibili. |
| Numero massimo di regole da restituire | Numero intero | N/D | No | Il numero di regole di avviso pianificate che l'azione deve restituire, ad esempio 50. |
Casi d'uso
L'azione può essere utilizzata per elencare le regole di ricerca personalizzate e preferite del playbook Google SecOps per Microsoft Sentinel. Per assicurarti di aver stabilito tutte le regole di ricerca per i dati relativi ai processi più rari, ma molto critici, che operano sulla tua rete, devi menzionare le regole di ricerca personalizzate e preferite. Puoi aggiornare e creare immediatamente le regole di ricerca esistenti se noti che alcune situazioni non vengono gestite correttamente.
Pubblica su
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato dello script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"__metadata": {},
"value": [
{
"id": "subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/savedSearches/0c5bd7e1-0e13-4e7d-9e32-88baf9589192",
"etag": "W/\"datetime'2019-12-02T10%3A14%3A10.5299491Z'\"",
"properties": {
"Category": "Hunting Queries",
"DisplayName": "Hunting Query 1",
"Query": "\r\nlet timeframe = 7d;\r\nAWSCloudTrail\r\n| where TimeGenerated >= ago(timeframe)\r\n| where EventName in~ (\"AttachGroupPolicy\", \"AttachRolePolicy\", \"AttachUserPolicy\", \"CreatePolicy\",\r\n\"DeleteGroupPolicy\", \"DeletePolicy\", \"DeleteRolePolicy\", \"DeleteUserPolicy\", \"DetachGroupPolicy\",\r\n\"PutUserPolicy\", \"PutGroupPolicy\", \"CreatePolicyVersion\", \"DeletePolicyVersion\", \"DetachRolePolicy\", \"CreatePolicy\")\r\n| project TimeGenerated, EventName, EventTypeName, UserIdentityAccountId, UserIdentityPrincipalid, UserAgent, \r\nUserIdentityUserName, SessionMfaAuthenticated, SourceIpAddress, AWSRegion, EventSource, AdditionalEventData, ResponseElements\r\n| extend timestamp = TimeGenerated, IPCustomEntity = SourceIpAddress, AccountCustomEntity = UserIdentityAccountId\r\n",
"Tags": [
{
"Name": "description",
"Value": "1234"
},
{
"Name": "tactics",
"Value": "DefenseEvasion"
},
{
"Name": "createdTimeUtc",
"Value": "12/02/2019 09:21:18"
}
],
"Version": 2
},
"name": "0c5bd7e1-0e13-4e7d-9e32-88baf9589192"
},
{
"id": "subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/savedSearches/30a94796-a573-4e6e-9385-fb96d0aa5ea2",
"etag": "W/\"datetime'2019-12-02T10%3A10%3A18.4761379Z'\"",
"properties": {
"Category": "Hunting Queries",
"DisplayName": "Hunting Query 1",
"Query": "\r\nlet timeframe = 7d;\r\nAWSCloudTrail\r\n| where TimeGenerated >= ago(timeframe)\r\n| where EventName in~ (\"AttachGroupPolicy\", \"AttachRolePolicy\", \"AttachUserPolicy\", \"CreatePolicy\",\r\n\"DeleteGroupPolicy\", \"DeletePolicy\", \"DeleteRolePolicy\", \"DeleteUserPolicy\", \"DetachGroupPolicy\",\r\n\"PutUserPolicy\", \"PutGroupPolicy\", \"CreatePolicyVersion\", \"DeletePolicyVersion\", \"DetachRolePolicy\", \"CreatePolicy\")\r\n| project TimeGenerated, EventName, EventTypeName, UserIdentityAccountId, UserIdentityPrincipalid, UserAgent, \r\nUserIdentityUserName, SessionMfaAuthenticated, SourceIpAddress, AWSRegion, EventSource, AdditionalEventData, ResponseElements\r\n| extend timestamp = TimeGenerated, IPCustomEntity = SourceIpAddress, AccountCustomEntity = UserIdentityAccountId\r\n",
"Tags": [
{
"Name": "description",
"Value": "1234"
},
{
"Name": "tactics",
"Value": "DefenseEvasion"
},
{
"Name": "createdTimeUtc",
"Value": "12/02/2019 09:21:18"
}
],
"Version": 2
},
"name": "30a94796-a573-4e6e-9385-fb96d0aa5ea2"
}
]
}
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | In caso di esito positivo: stampa "Successfully returned Microsoft
Sentinel hunting rules". Se errore: stampa "Failed to list Microsoft Sentinel hunting rules! Error is {0}".format(exception.stacktrace). |
Generale |
| Tabella | Titolo tabella: Regole di ricerca di Microsoft Sentinel trovate: Colonne:HuntingRuleID(mappato al nome), titolo (mappato a displayName), categoria, descrizione (mappata al parametro description nel dizionario dei tag), tattiche(mappate al parametro tactics nel dizionario dei tag), query, ora di creazione (mappata al parametro CreatedTimeUtc nel dizionario dei tag) |
Generale |
| Allegati | List_HuntingRules.json: contiene i dati JSON tecnici restituiti dall'azione. | Generale |
Visualizzatore JSON |
Mostra il visualizzatore JSON per il risultato della query. | Generale |
Ottieni i dettagli della regola di caccia personalizzata
Visualizza i dettagli della regola di ricerca personalizzata di Azure Sentinel.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| HuntingRuleID | Stringa | N/D | Sì | Specifica l'ID della regola di ricerca. |
Casi d'uso
È possibile accedere alle informazioni sulle regole di ricerca standard o preferite di Microsoft Sentinel utilizzando il playbook di Google SecOps. Utilizza questo strumento, ad esempio, se visualizzi dettagli ricevuti dalle regole di ricerca che non sono appropriati per l'analisi o se vuoi verificare che la regola di ricerca sia configurata correttamente. In base ai risultati, valuterai se modificare, rimuovere o lasciare invariato il testo.
Pubblica su
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato dello script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"id": "subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/savedSearches/30a94796-a573-4e6e-9385-fb96d0aa5ea2",
"etag": "W/\"datetime'2019-12-02T10%3A14%3A10.5299491Z'\"",
"properties": {
"Category": "Log Management",
"DisplayName": "Multiple Password Reset by user",
"Query": "\nlet timeframe = 7d;\nAWSCloudTrail\n| where TimeGenerated >= ago(timeframe)\n| where EventName in~ (\"AttachGroupPolicy\", \"AttachRolePolicy\", \"AttachUserPolicy\", \"CreatePolicy\",\n\"DeleteGroupPolicy\", \"DeletePolicy\", \"DeleteRolePolicy\", \"DeleteUserPolicy\", \"DetachGroupPolicy\",\n\"PutUserPolicy\", \"PutGroupPolicy\", \"CreatePolicyVersion\", \"DeletePolicyVersion\", \"DetachRolePolicy\", \"CreatePolicy\")\n| project TimeGenerated, EventName, EventTypeName, UserIdentityAccountId, UserIdentityPrincipalid, UserAgent, \nUserIdentityUserName, SessionMfaAuthenticated, SourceIpAddress, AWSRegion, EventSource, AdditionalEventData, ResponseElements\n| extend timestamp = TimeGenerated, IPCustomEntity = SourceIpAddress, AccountCustomEntity = UserIdentityAccountId\n",
"Tags": [
{
"Name": "description",
"Value": "Identity and Access Management (IAM) securely manages access to AWS services and resources."
},
{
"Name": "tactics",
"Value": "DefenseEvasion"
},
{
"Name": "createdTimeUtc",
"Value": "12/02/2019 09:21:18"
}
],
"Version": 2
}
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | Se l'operazione va a buon fine: stampa "Successfully returned Microsoft
Sentinel hunting rule {0} details".format(HuntingRuleID). Se
non è possibile trovare la regola di avviso in base all'AlertID fornito: stampa "La regola di ricerca di Microsoft Sentinel
con ID "{0}" non è stata trovata.".format(HuntingRuleID). Se errore: stampa "Failed to get details about Microsoft Sentinel hunting rule! Error is {0}".format(exception.stacktrace). |
Generale |
| Tabella | Titolo tabella: Dettagli della regola di ricerca di Microsoft Sentinel: Colonne:HuntingRuleID (mappato a nome), Nome (mappato a displayName), Descrizione, Query, Tattica,Ora di creazione |
Generale |
| Allegati | List_HuntingRules.json: contiene i dati JSON tecnici restituiti dall'azione. | Generale |
Visualizzatore JSON |
Mostra il visualizzatore JSON per il risultato della query. | Generale |
Crea regola di ricerca personalizzata
Crea una regola di ricerca personalizzata di Azure Sentinel.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Query | Stringa | N/D | Sì | Specifica la query da eseguire in questa regola di ricerca. |
| Nome visualizzato | Stringa | N/D | Sì | Specifica il nome visualizzato per la regola di ricerca. |
| Descrizione | Stringa | N/D | No | Specifica la descrizione della regola di ricerca. |
| Tattiche | Stringa | N/D | No | Specifica le tattiche per questa regola di ricerca. Il parametro accetta più valori separati da virgole. |
Casi d'uso
L'azione può essere utilizzata per creare una nuova regola di ricerca di Microsoft Sentinel dal playbook Google SecOps. Ad esempio, le regole di ricerca contengono una query, che può fornire dati sui processi meno comuni in esecuzione nella tua infrastruttura. Non vorresti ricevere un avviso ogni volta che vengono eseguiti, potrebbero essere del tutto innocenti, ma potresti voler dare un'occhiata alla query di tanto in tanto per vedere se c'è qualcosa di insolito. Ciò significa che possono essere utilizzati per raccogliere più informazioni dall'ambiente di rete.
Pubblica su
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato dello script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | Se l'operazione va a buon fine: stampa "Successfully created Microsoft
Sentinel hunting rule". Se errore: stampa "Impossibile creare la regola di ricerca di Microsoft Sentinel. Error is {0}".format(exception.stacktrace). |
Generale |
Aggiorna regola di ricerca personalizzata
Aggiorna la regola di ricerca personalizzata di Azure Sentinel.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| HuntingRuleID | Stringa | N/D | Sì | Specifica l'ID della regola di ricerca. |
| Nome visualizzato | Stringa | N/D | No | Specifica il nome visualizzato per la regola di ricerca. |
| Query | Stringa | N/D | No | Specifica la query da eseguire in questa regola di ricerca. |
| Descrizione | Stringa | N/D | No | Specifica la descrizione. |
| Tattiche | Stringa | N/D | No | Specifica le tattiche per questa regola di ricerca. Il parametro può accettare
più valori separati da virgole. |
Casi d'uso
L'azione può essere utilizzata per aggiornare una regola di ricerca personalizzata di Microsoft Sentinel dal playbook di Google SecOps. Utilizza questa azione se ritieni, ad esempio, che una regola di ricerca sia molto obsoleta e vuoi aggiornare diversi parametri come una query o una descrizione. Le informazioni sono fondamentali per l'indagine sugli incidenti, pertanto ogni regola di ricerca deve essere aggiornata per mostrare le informazioni pertinenti.
Pubblica su
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato dello script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | Se l'operazione va a buon fine: stampa "Successfully updated Microsoft
Sentinel hunting rule with ID {0}".format(HuntingRuleID). Se
non è possibile trovare la regola di caccia in base all'HuntingRuleID fornito: stampa "Microsoft
Sentinel hunting rule with ID "{0}" was not found!".format(HuntingRuleID). Se errore: stampa "Failed to update Microsoft Sentinel hunting rule! Error is {0}".format(exception.stacktrace). |
Generale |
Elimina regola di ricerca personalizzata
Elimina la regola di ricerca personalizzata di Azure Sentinel.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| HuntingRuleID | Stringa | N/D | Sì | Specifica l'ID della regola di ricerca da eliminare. |
Casi d'uso
L'azione può essere utilizzata per eliminare una regola di ricerca personalizzata di Microsoft Sentinel da Google SecOps. Se ritieni, ad esempio, che una regola di ricerca sia molto obsoleta e non sia necessaria per la procedura di indagine, è meglio eliminarla.
Pubblica su
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato dello script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | Se l'operazione va a buon fine: stampa "Successfully deleted Microsoft
Sentinel hunting rule with ID {0}".format(HuntingRuleID). Se
non è possibile trovare la regola di caccia in base all'HuntingRuleID fornito: stampa "Microsoft
Sentinel hunting rule with ID "{0}" was not found!".format(HuntingRuleID). If error: print "Failed to delete Microsoft Sentinel hunting rule! Error is {0}".format(exception.stacktrace). |
Generale |
Eseguire una regola di ricerca personalizzata
Esegui una regola di ricerca personalizzata o preferita di Microsoft Sentinel.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| HuntingRuleID | Stringa | N/D | Sì | Specifica l'ID della regola di ricerca. |
| Timeout | Numero intero | N/D | No | Il parametro utilizzato per specificare un valore di timeout per la chiamata API della regola di ricerca di Azure Sentinel. |
Casi d'uso
L'azione può essere utilizzata per eseguire una regola di ricerca di Microsoft Sentinel dal playbook di Google SecOps. L'esecuzione di una query di regole di ricerca fornisce dati sui processi meno comuni in esecuzione nella tua infrastruttura. Non vorresti un avviso ogni volta che vengono eseguiti, potrebbero essere del tutto innocenti, ma potresti voler esaminare la query di tanto in tanto per vedere se c'è qualcosa di insolito. Ciò significa che può essere utilizzato per raccogliere ulteriori informazioni dall'ambiente di rete, il che aiuterà gli investigatori a comprendere tutte le sfumature di un incidente e a prendere ulteriori decisioni.
Pubblica su
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato dello script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"tables": [
{
"name": "PrimaryResult",
"columns": [
{
"name": "timerange",
"type": "datetime"
},
{
"name": "AppDisplayName",
"type": "string"
},
{
"name": "UserPrincipalName",
"type": "string"
},
{
"name": "threeDayWindowLocationCount",
"type": "long"
},
{
"name": "locationList",
"type": "dynamic"
},
{
"name": "timestamp",
"type": "datetime"
},
{
"name": "AccountCustomEntity",
"type": "string"
}
],
"rows": [
[
"2019-11-29T00:00:00Z",
"WindowsDefenderATP Portal",
"user@example.com",
2,
"[\"US/Florida/Miami;\",\"AM/Kotayk'/Abovyan;\"]",
"2019-11-29T00:00:00Z",
"user@example.com"
],
[
"2019-12-02T00:00:00Z",
"WindowsDefenderATP Portal",
"user@example.com",
1,
"[\"US/Florida/Miami;\"]",
"2019-12-02T00:00:00Z",
"user@example.com"
],
[
"2019-11-29T00:00:00Z",
"Azure Portal",
"example@example.com",
1,
"[\"UA/Kyiv Misto/Kyiv;\"]",
"2019-11-29T00:00:00Z",
"example@example.com"
],
[
"2019-12-02T00:00:00Z",
"Azure Portal",
"example@example.com",
2,
"[\"UA/Kyiv Misto/Kyiv;\",\"UA/Kyivs'ka Oblast'/Boryspil';\"]",
"2019-12-02T00:00:00Z",
"example@example.com"
],
[
"2019-11-29T00:00:00Z",
"Azure Portal",
"user@example.com",
1,
"[\"RU/Sverdlovskaya Oblast'/Yekaterinburg;\"]",
"2019-11-29T00:00:00Z",
"user@example.com"
],
[
"2019-12-02T00:00:00Z",
"Azure Portal",
"user@example.com",
1,
"[\"RU/Sverdlovskaya Oblast'/Yekaterinburg;\"]",
"2019-12-02T00:00:00Z",
"user@example.com"
]
]
}
]
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | In caso di esito positivo: stampa "Hunting rule executed
successfully". Se non riesci a trovare la regola di caccia in base all'HuntingRuleID fornito, stampa "Microsoft Sentinel hunting rule with ID "{0}" was not found!".format(HuntingRuleID) if nothing found: print
"Hunting rule executed successfully, but did not return any results."
if error: print "Hunting rule didn't completed due to error:
{0}".format(exception.stacktrace) If timeout: print
"Hunting rule didn't completed due to timeout: {0}".format(exception.stacktrace)
Se i risultati della query sono stati troncati: stampa "I risultati della regola di ricerca hanno superato i limiti e sono stati troncati. Riscrivi la query." |
Generale |
| Tabella | Titolo tabella: risultati della regola di ricerca di Microsoft Sentinel Colonne: genera dinamicamente le colonne in base al risultato della query |
Generale |
| Allegati | Run_Hunting_rule_{HuntingRuleID}_response.json: contiene i dati JSON tecnici restituiti dall'azione. | Generale |
Visualizzatore JSON |
Mostra il visualizzatore JSON per il risultato della query. | Generale |
Esegui una query KQL
Esegui la query KQL di Azure Sentinel in base ai parametri di input dell'azione forniti.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Query KQL | Stringa | N/D | Sì | Una query KQL da eseguire in Azure Sentinel. Ad esempio, per ricevere avvisi di sicurezza disponibili in Sentinel, la query sarà "SecurityAlert". Utilizza altri parametri di input dell'azione (intervallo di tempo, limite) per filtrare i risultati della query. Per gli esempi di query KQL, considera la pagina web "Log" di Sentinel. |
| Intervallo temporale | Stringa | N/D | No | Specifica l'intervallo di tempo da cercare. Il valore temporale deve essere conforme allo standard ISO 8601 e, ad esempio, può essere utilizzato per specificare l'intervallo di tempo o le ultime 10 ore da cercare. Utilizza il formato seguente: PT + numero + (M, H, D), dove M sta per minuti, H per ore e D per giorni. |
| Timeout della query | Numero intero | 180 | No | Valore di timeout per la chiamata API della regola di ricerca di Azure Sentinel. Tieni presente che il timeout del processo Python dell'azione Google SecOps deve essere modificato di conseguenza per questo parametro, in modo che l'azione non vada in timeout prima del valore specificato a causa del timeout del processo Python. |
| Limite di record | Numero intero | 100 | No | Quanti record devono essere recuperati. Parametro facoltativo che, se impostato, aggiunge \"| limit x\" alla query KQL, dove x è il valore impostato per il limite di record. Può essere rimosso se "limit" è già impostato nella query KQL o non è necessario. |
Casi d'uso
Esecuzione di query avanzate durante l'indagine sulla richiesta.
Pubblica su
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato dello script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"tables": [
{
"name": "PrimaryResult",
"columns": [
{
"name": "Reason",
"type": "string"
},
{
"name": "StartTimeUtc",
"type": "datetime"
},
{
"name": "EndTimeUtc",
"type": "datetime"
},
{
"name": "count_",
"type": "long"
},
{
"name": "timestamp",
"type": "datetime"
}
],
"rows": [
[
"Incorrect password",
"2019-10-22T06:38:30.837Z",
"2019-10-22T11:57:00.003Z",
28,
"2019-10-22T06:38:30.837Z"
],
[
"Account name does not exist",
"2019-10-21T15:19:33.727Z",
"2019-10-22T06:40:13.51Z",
3,
"2019-10-21T15:19:33.727Z"
]
]
}
]
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | Se l'operazione va a buon fine: stampa "Query executed successfully" (Query eseguita correttamente). Se non viene trovato nulla: stampa "Query eseguita correttamente,
ma non ha restituito risultati.". If error: print
"Query didn't completed due to error: {0}".format(exception.stacktrace). If timeout: print "Query didn't completed due to timeout:
{0}".format(exception.stacktrace). Se i risultati della query sono stati troncati: stampa "I risultati della query hanno superato i limiti e sono stati troncati, riscrivi la query". |
|
| Tabella | Titolo della tabella: Risultati della query KQL Colonne: genera dinamicamente le colonne in base al risultato della query |
Generale |
| Allegati | Run_KQL_query_response.json: contiene i dati JSON tecnici restituiti dall'azione. | Generale |
Visualizzatore JSON |
Mostra il visualizzatore JSON per il risultato della query. | Generale |
Aggiungi commento all'incidente
Aggiungi un commento all'incidente di Azure Sentinel.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Numero dell'incidente | Numero intero | N/D | Sì | Specifica il numero dell'incidente a cui aggiungere il commento. |
| Commento da aggiungere | Stringa | N/D | Sì | Specifica il commento da aggiungere all'incidente |
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato dello script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Incidents/00cfebdc-c677-463f-8355-cb7f23472c06/Comments/f0f31d1a-d32b-4774-a21d-3279240c7c33",
"name": "f0f31d1a-d32b-4774-a21d-3279240c7c33",
"etag": "\"7e000812-0000-0c00-0000-606fc83f0000\"",
"type": "Microsoft.SecurityInsights/Incidents/Comments",
"properties": {
"message": "Some message",
"createdTimeUtc": "2021-04-09T03:21:35.0894288Z",
"lastModifiedTimeUtc": "2021-04-09T03:21:35.0894288Z",
"author": {
"objectId": "f6ce2f43-6f77-4b30-9a4a-de1a069b2560",
"email": null,
"name": "Comment created from external application - log_analytics_rest_api_for_sentinel",
"userPrincipalName": null
}
}
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:
L'azione deve non riuscire e interrompere l'esecuzione di un playbook:
|
Generale |
Connettori
Per istruzioni dettagliate su come configurare un connettore in Google SecOps, vedi Configurazione del connettore.
Connettore per gli incidenti di Microsoft Azure Sentinel - Ritirato
In Google SecOps SOAR, il connettore per gli incidenti di Microsoft Azure Sentinel inserisce gli incidenti dallo spazio di lavoro Microsoft Sentinel specifico come avvisi utilizzando l'API Azure Security Insights.
Il connettore utilizza funzionalità simili alle azioni Elenca incidenti e Ottieni dettagli dell'incidente e si connette all'endpoint Azure Security Insights per estrarre un elenco di incidenti generati in un periodo specificato.
Caso d'uso del connettore
Utilizza il connettore per monitorare gli spazi di lavoro Microsoft Sentinel per i nuovi incidenti e inserirli nel server SOAR di Google SecOps.
Per garantire il flusso di tipi di eventi specifici, aggiungi il connettore dati a Microsoft Sentinel. Ad esempio, per aggiungere eventi di sicurezza dagli host Windows come uno dei connettori di dati, installa un agente Microsoft Sentinel su un host Windows e configura i tipi di eventi da importare: eventi di sicurezza, eventi firewall, eventi DNS o altri.
Per generare avvisi in base a condizioni specifiche, definisci regole di avviso utilizzando query delle regole. Quando le regole di avviso creano avvisi, Microsoft Sentinel attiva la generazione di eventi, l'archiviazione di incidenti di dati e la visualizzazione di incidenti nella pagina Incidenti del portale.
Per leggere e scrivere i dati degli incidenti in modo programmatico, utilizza l'API REST Security Insights.
Parametri del connettore
Per configurare il connettore, utilizza i seguenti parametri:
| Parametri | |
|---|---|
Product Field Name |
Obbligatorio
Nome del campo in cui è memorizzato il nome del prodotto. Il valore predefinito è |
Event Field Name |
Obbligatorio
Nome del campo in cui è memorizzato il nome dell'evento. Il valore predefinito è |
Environment Field Name |
Optional
Nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo dell'ambiente non viene trovato, viene utilizzato l'ambiente predefinito. Il valore predefinito è |
Environment Regex Pattern |
Optional
Un pattern di espressione regolare da eseguire sul valore trovato nel campo
Il valore predefinito Il parametro consente di manipolare il campo environment utilizzando la logica delle espressioni regolari. Se il pattern dell'espressione regolare è nullo o vuoto oppure il valore dell'ambiente è nullo, l'ambiente finale è l'ambiente predefinito. |
Azure Subscription ID |
Obbligatorio ID abbonamento Azure. |
Azure Active Directory ID |
Obbligatorio ID tenant Microsoft Entra. |
Api Root |
Obbligatorio L'URL di base dell'API management.azure.com da utilizzare con l'integrazione. Il valore predefinito è |
Azure Resource Group |
Obbligatorio Nome del gruppo di risorse Azure in cui si trova Microsoft Sentinel. |
Azure Sentinel Workspace Name |
Obbligatorio Nome dello spazio di lavoro Microsoft Sentinel da utilizzare. |
Client ID |
Obbligatorio ID applicazione (client) Microsoft Entra utilizzato per questa integrazione. |
Client Secret |
Obbligatorio Valore del client secret di Microsoft Entra. |
Script Timeout (Seconds) |
Obbligatorio Limite di timeout per il processo Python che esegue lo script corrente. Il valore predefinito è 180 secondi. |
Offset Time In Hours |
Obbligatorio
Numero di ore prima di ora da cui recuperare gli incidenti. Il valore predefinito è 24 ore. |
Incident Statuses to Fetch |
Obbligatorio
Stati degli incidenti da recuperare. Questo parametro accetta più valori come stringa separata da virgole. Il valore predefinito è |
Incident Severities to Fetch |
Obbligatorio
Gravità degli incidenti da recuperare. Questo parametro accetta più valori come stringa separata da virgole. Il valore predefinito è |
Max Incidents per Cycle |
Obbligatorio
Numero di incidenti da elaborare durante l'esecuzione di un connettore. Questo parametro accetta più valori come stringa separata da virgole. Il valore predefinito è 10. |
Proxy Server Address |
Optional
Indirizzo del server proxy da utilizzare. |
Proxy Server Username |
Optional
Nome utente proxy per l'autenticazione. |
Proxy Server Password |
Optional
Password del proxy per l'autenticazione. |
Regole del connettore
Il connettore non supporta le blocklist e le liste dinamiche.
Il connettore supporta i proxy.
Microsoft Azure Sentinel Incident Connector v2
Microsoft Azure Sentinel Incidents Connector v2 è un connettore consigliato da utilizzare quando lavori con Microsoft Sentinel. Le modifiche principali includono il passaggio ai nuovi endpoint degli incidenti nell'API Microsoft Sentinel e l'introduzione della logica di gestione e analisi delle entità del connettore. Per filtrare incidenti Microsoft Sentinel specifici ed estrarli in base ai nomi degli incidenti, utilizza l'elenco dinamico.
È possibile che l'interfaccia utente di Microsoft Sentinel mostri le entità dell'incidente, ma l'API non le restituisca (l'elenco delle entità è vuoto). Di conseguenza, il connettore richiede più tempo per importare questi incidenti e li esegue in query nel backlog per le esecuzioni successive del connettore. Una volta che le informazioni sulle entità sono disponibili nella risposta dell'API, il connettore acquisisce gli incidenti.
Elaborazione degli avvisi di Sentinel pianificati e non pianificati
Per risolvere un problema nel connettore Microsoft Azure Sentinel Incidents quando mostrava erroneamente le entità per tutti gli avvisi diversi da quelli pianificati di Azure Sentinel, il connettore Microsoft Azure Sentinel Incidents v2 aggiunge un evento aggiuntivo per ogni entità.
Ciò significa che se il connettore riceve un'entità IP, Account o Nome host nell'evento Google SecOps, aggiunge un evento Google SecOps aggiuntivo per ogni entità trovata. L'evento appena creato può essere utilizzato per creare entità e mappare le proprietà delle entità in Google SecOps SOAR. Gli eventi iniziali rimangono invariati. I nuovi eventi vengono aggiunti solo all'avviso Google SecOps. Gli altri tipi di entità non sono interessati da questa logica e rimangono nell'evento iniziale senza che vengano creati eventi aggiuntivi.
Per consentire la creazione di eventi aggiuntivi, il connettore utilizza l'endpoint API entity Sentinel
per recuperare i dati. Per impostazione predefinita, gli avvisi pianificati e NRT vengono inseriti utilizzando le query KQL di log analytics per ottenere dati su avvisi ed eventi. Se
selezionato, il parametro Utilizza lo stesso approccio con la creazione di eventi per tutti i tipi di avviso?
nella configurazione del connettore utilizza lo stesso approccio basato sulle entità per
tutti gli avvisi, inclusi quelli pianificati e non pianificati. Ti consigliamo di utilizzare questa
opzione con cautela.
Parametri del connettore
Per configurare il connettore, utilizza i seguenti parametri:
| Parametri | |
|---|---|
Product Field Name |
Obbligatorio
Nome del campo in cui è memorizzato il nome del prodotto. Il valore predefinito è |
Event Field Name |
Obbligatorio
Nome del campo in cui è memorizzato il nome dell'evento. Il valore predefinito è |
Environment Field Name |
Optional
Nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo dell'ambiente non viene trovato, viene utilizzato l'ambiente predefinito. Il valore predefinito è |
Environment Regex Pattern |
Optional
Un pattern di espressione regolare da eseguire sul valore trovato nel campo
Il valore predefinito Il parametro consente di manipolare il campo environment utilizzando la logica delle espressioni regolari. Se il pattern dell'espressione regolare è nullo o vuoto oppure il valore dell'ambiente è nullo, l'ambiente finale è l'ambiente predefinito. |
Azure Subscription ID |
Obbligatorio ID abbonamento Azure. |
Azure Active Directory ID |
Obbligatorio ID tenant Microsoft Entra. |
Api Root |
Obbligatorio L'URL di base dell'API da utilizzare con l'integrazione. Il valore predefinito è |
OAUTH2 Login Endpoint Url |
Obbligatorio URL dell'endpoint da utilizzare per l'autenticazione OAuth 2.0. |
Azure Resource Group |
Obbligatorio Nome del gruppo di risorse Azure in cui si trova Microsoft Sentinel. |
Azure Sentinel Workspace Name |
Obbligatorio Nome dello spazio di lavoro Microsoft Sentinel da utilizzare. |
Client ID |
Obbligatorio ID applicazione (client) Microsoft Entra utilizzato per questa integrazione. |
Client Secret |
Obbligatorio Valore del client secret di Microsoft Entra. |
Script Timeout (Seconds) |
Obbligatorio Limite di timeout per il processo Python che esegue lo script corrente. Il valore predefinito è 180 secondi. |
Offset Time In Hours |
Obbligatorio
Numero di ore prima di ora da cui recuperare gli incidenti. Il valore predefinito è 24 ore. |
Incident Statuses to Fetch |
Obbligatorio
Stati degli incidenti da recuperare. Questo parametro accetta più valori come stringa separata da virgole. Il valore predefinito è |
Incident Severities to Fetch |
Obbligatorio
Gravità degli incidenti da recuperare. Questo parametro accetta più valori come stringa separata da virgole. Il valore predefinito è |
Use the same approach with event creation for all alert types?
|
Optional Se questa opzione è selezionata, il connettore utilizza lo stesso approccio per tutti i tipi di avviso. Se questa opzione è deselezionata, il connettore utilizza un approccio diverso per il tipo di avviso pianificato di Azure Sentinel e tenta di recuperare gli eventi che hanno causato l'avviso eseguendo la query specificata nei dettagli dell'avviso. La casella di controllo è deselezionata per impostazione predefinita. |
Use whitelist as a blacklist |
Obbligatorio
Se selezionata, la lista dinamica viene utilizzata come blocklist. Deselezionata per impostazione predefinita. |
Alerts padding period |
Obbligatorio
Periodo di tempo in minuti per il connettore per recuperare gli avvisi relativi agli incidenti. Il valore predefinito è 60 minuti. |
Proxy Server Address |
Optional
Indirizzo del server proxy da utilizzare. |
Proxy Server Username |
Optional
Nome utente proxy per l'autenticazione. |
Proxy Server Password |
Optional
Password del proxy per l'autenticazione. |
Max Backlog Incidents per Cycle |
Obbligatorio
Numero di incidenti da recuperare dal backlog durante l'esecuzione di un connettore. Il valore predefinito è 10. |
StartTimeFallback |
Obbligatorio
Elenco separato da virgole di attributi di incident o avvisi da utilizzare come fallback
per il campo di avviso Se non viene trovato nessuno dei campi di fallback, il connettore utilizza l'attributo
Il valore predefinito è |
EndTimeFallback |
Obbligatorio
Elenco separato da virgole di attributi di incident o avvisi da utilizzare come fallback
per il campo di avviso Se non viene trovato nessuno dei campi di fallback, il connettore utilizza l'attributo
Il valore predefinito è |
Enable Fallback Logic Debug? |
Optional
Se selezionata, il connettore aggiunge campi di debug contenenti i valori utilizzati per il fallback agli eventi creati. La casella di controllo è deselezionata per impostazione predefinita. |
VendorFieldFallback |
Obbligatorio
Elenco separato da virgole degli attributi dell'incidente da utilizzare come fallback per il
campo Il valore predefinito è |
ProductFieldFallback |
Obbligatorio
Elenco separato da virgole degli attributi dell'incidente da utilizzare come fallback per il
campo Il valore predefinito è |
EventFieldFallback |
Obbligatorio
Elenco separato da virgole degli attributi dell'incidente da utilizzare come fallback per il
parametro Il valore predefinito è |
Max New Incidents per cycle |
Obbligatorio
Numero di incidenti da elaborare in un'esecuzione del connettore. Il valore predefinito è 10. |
Wait For Scheduled/NRT Alert Object |
Optional
Se abilitato, il connettore attende che sia disponibile un oggetto avviso pianificato/NRT. |
Scheduled Alerts Events Limit to Ingest |
Optional
Numero massimo di eventi da importare per un singolo avviso pianificato o avviso NRT di Azure Sentinel. Il valore predefinito è 100. |
Incidents Padding Period (minutes) |
Optional
Periodo di tempo in minuti per il connettore per recuperare gli incidenti e restituirli. Questi incidenti non sono in ordine cronologico. |
Create Siemplify Alerts for Sentinel incidents that do not have
entities? |
Optional
Se selezionata, il connettore crea avvisi Google SecOps da incidenti Microsoft Sentinel che non hanno entità. In caso contrario, il connettore crea avvisi Google SecOps solo per avvisi pianificati e NRT e ignora tutti gli altri tipi di incidenti di Microsoft Sentinel. La casella di controllo è deselezionata per impostazione predefinita. |
Incident's Alerts Limit to Ingest |
Optional
Numero massimo di avvisi da inserire per ogni incidente di Microsoft Sentinel. |
Alert Name Template |
Optional
Se specificato, il connettore utilizza questo valore dei dati dell'incidente
restituiti nella risposta dell'API Microsoft Sentinel per popolare il campo
Puoi fornire un segnaposto nel seguente formato:
La lunghezza massima per il campo è di 256 caratteri. Se non viene fornito alcun valore o se fornisci un template non valido, il connettore utilizza il nome dell'avviso predefinito. |
Rule Generator Template |
Optional
Se specificato, il connettore utilizza questo valore dei dati dell'incidente
restituiti nella risposta dell'API Microsoft Sentinel per popolare il campo
Puoi fornire un segnaposto nel seguente formato:
La lunghezza massima per il campo è di 256 caratteri. Se non viene fornito alcun valore o se fornisci un template non valido, il connettore utilizza il valore predefinito del generatore di regole. |
Personalizza i campi Nome avviso e Generatore di regole
Il connettore ti consente di personalizzare i valori dei campi Siemplify Alert Name e Rule Generator utilizzando i parametri Alert Name Template e Rule Generator Template. Per i modelli, il connettore recupera le informazioni dai dati sugli incidenti di Microsoft Sentinel restituiti dall'API.
L'esempio seguente mostra i dati dell'incidente restituiti dall'API per fare riferimento ai campi disponibili nell'avviso e utilizzabili per i modelli:
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Incidents/d4f632be-0689-93f7-57a6-f27bfabbbad1",
"name": "d4f632be-0689-93f7-57a6-f27bfabbbad1",
"etag": "\"79004534-0000-0d00-0000-63590d610000\"",
"type": "Microsoft.SecurityInsights/Incidents",
"properties": {
"title": "Incident title",
"description": "",
"severity": "Low",
"status": "New",
"owner": {
"objectId": null,
"email": null,
"assignedTo": null,
"userPrincipalName": null
},
"labels": [],
"firstActivityTimeUtc": "2022-10-26T07:00:09.3857965Z",
"lastActivityTimeUtc": "2022-10-26T09:07:02.1083312Z",
"lastModifiedTimeUtc": "2022-10-26T10:35:13.0254798Z",
"createdTimeUtc": "2022-10-26T10:34:55.7454638Z",
"incidentNumber": 380925,
"additionalData": {
"alertsCount": 102,
"bookmarksCount": 0,
"commentsCount": 0,
"alertProductNames": [
"Azure Sentinel"
],
"tactics": [
"InitialAccess",
"Persistence"
]
},
"relatedAnalyticRuleIds": [
"/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/Microsoft.SecurityInsights/alertRules/8a3ca5c5-7875-466e-accd-3bcb2881cdb0"
],
"incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/Microsoft.SecurityInsights/Incidents/d4f632be-0689-93f7-57a6-f27bfabbbad1",
"providerName": "Azure Sentinel",
"providerIncidentId": "380925"
}
}
Regole del connettore
Il connettore supporta la lista bloccata e la lista dinamica.
Il connettore supporta i proxy.
Connettore di monitoraggio degli incidenti di Microsoft Sentinel
Utilizza il connettore di monitoraggio degli incidenti di Microsoft Sentinel per lavorare con gli incidenti di Microsoft Sentinel e recuperare gli aggiornamenti degli incidenti di Sentinel come nuovi avvisi di Google SecOps. Puoi utilizzare l'elenco dinamico per specificare i
nomi degli incidenti da recuperare. Per questo connettore, ti consigliamo di configurare
il raggruppamento degli avvisi di Google SecOps in base al
parametro SourceGroupIdentifier.
Input del connettore
Per configurare il connettore, utilizza i seguenti parametri:
| Parametri | |
|---|---|
Product Field Name |
Obbligatorio
Nome del campo in cui è memorizzato il nome del prodotto. Il valore predefinito è |
Event Field Name |
Obbligatorio
Nome del campo in cui è memorizzato il nome dell'evento. Il valore predefinito è |
Environment Field Name |
Optional
Nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo dell'ambiente non viene trovato, viene utilizzato l'ambiente predefinito. Il valore predefinito è |
Environment Regex Pattern |
Optional
Un pattern di espressione regolare da eseguire sul valore trovato nel campo
Il valore predefinito Il parametro consente di manipolare il campo environment utilizzando la logica delle espressioni regolari. Se il pattern dell'espressione regolare è nullo o vuoto oppure il valore dell'ambiente è nullo, l'ambiente finale è l'ambiente predefinito. |
Azure Subscription ID |
Obbligatorio ID abbonamento Azure. |
Entra ID Directory ID |
Obbligatorio ID tenant Microsoft Entra. |
Api Root |
Obbligatorio L'URL di base dell'API da utilizzare con l'integrazione. Il valore predefinito è |
OAUTH2 Login Endpoint Url |
Obbligatorio URL dell'endpoint da utilizzare per l'autenticazione OAuth 2.0. |
Azure Resource Group |
Obbligatorio Nome del gruppo di risorse Azure in cui si trova Microsoft Sentinel. |
Azure Sentinel Workspace Name |
Obbligatorio Nome dello spazio di lavoro Microsoft Sentinel da utilizzare. |
Client ID |
Obbligatorio ID applicazione (client) Microsoft Entra utilizzato per questa integrazione. |
Client Secret |
Obbligatorio Valore del client secret di Microsoft Entra. |
Script Timeout (Seconds) |
Obbligatorio Limite di timeout per il processo Python che esegue lo script corrente. Il valore predefinito è 480 secondi. |
Verify SSL |
Optional Se selezionata, l'integrazione verifica che il certificato SSL per la connessione al server Microsoft sia valido. Questa opzione è selezionata per impostazione predefinita. |
Max Hours Backwards |
Obbligatorio
Il numero di ore prima della prima iterazione del connettore per recuperare gli incidenti. Questo parametro viene applicato una sola volta all'iterazione iniziale del connettore dopo l'attivazione per la prima volta. Il valore predefinito è 24 ore. |
Incident Statuses to Fetch |
Obbligatorio
Stati degli incidenti da recuperare. Questo parametro accetta più valori come stringa separata da virgole. Il valore predefinito è |
Incident Severities to Fetch |
Obbligatorio
Gravità degli incidenti da recuperare. Questo parametro accetta più valori come stringa separata da virgole. Il valore predefinito è |
Max Incidents per Cycle |
Obbligatorio
Il numero di incidenti da recuperare dal backlog durante l'esecuzione di un connettore. Il valore predefinito è 10. |
Use the same approach with event creation for all alert types?
|
Optional Se selezionato, il connettore utilizza lo stesso approccio per tutti i tipi di avviso. Se non è selezionato, il connettore utilizza un approccio diverso per il tipo di avviso pianificato di Microsoft Sentinel e tenta di recuperare gli eventi che hanno causato l'avviso eseguendo la query specificata nei dettagli dell'avviso. Non selezionato per impostazione predefinita. |
Incidents Tags To Ingest |
Optional
Un elenco separato da virgole di tag degli incidenti da importare. Il connettore ignora gli incidenti che non hanno i tag di questo elenco. |
Use whitelist as a blacklist |
Obbligatorio
Se selezionata, la lista dinamica viene utilizzata come blocklist. Non selezionato per impostazione predefinita. |
Backlog Expiration Timer |
Obbligatorio
Un periodo in minuti durante il quale il connettore mantiene gli incidenti in un backlog. Il valore predefinito è 60 minuti. |
StartTimeFallback |
Obbligatorio
Un elenco separato da virgole di attributi di incident o avvisi da utilizzare come
fallback per il campo di avviso Se non viene trovato nessuno dei campi di fallback, il connettore utilizza l'attributo
Il valore predefinito è |
EndTimeFallback |
Obbligatorio
Un elenco separato da virgole di attributi di incident o avvisi da utilizzare come
fallback
per il campo di avviso Se non viene trovato nessuno dei campi di fallback, il connettore utilizza l'attributo
Il valore predefinito è |
Enable Fallback Logic Debug? |
Optional
Se selezionato, il connettore aggiunge campi di debug contenenti i valori utilizzati per il fallback agli eventi creati. Non selezionato per impostazione predefinita. |
VendorFieldFallback |
Obbligatorio
Un elenco separato da virgole di attributi dell'incidente da utilizzare come fallback per
il campo Il valore predefinito è |
ProductFieldFallback |
Obbligatorio
Un elenco separato da virgole di attributi dell'incidente da utilizzare come fallback per
il campo Il valore predefinito è |
EventFieldFallback |
Obbligatorio
Un elenco separato da virgole di attributi dell'incidente da utilizzare come fallback per
il parametro Il valore predefinito è |
Max Backlog Incidents per cycle |
Obbligatorio
Il numero di incidenti da recuperare dal backlog in una singola esecuzione del connettore. Il valore predefinito è 10. |
Disable Overflow |
Optional Se selezionato, il connettore disattiva un overflow di eventi. Non selezionato per impostazione predefinita. |
Total Number of Scheduled Alerts Events Limit to Ingest |
Optional
Il numero massimo di eventi da inserire per un singolo avviso pianificato di Microsoft Sentinel o un avviso NRT. Il valore predefinito è 100. |
Create Chronicle SOAR Alerts for Sentinel incidents that do not
have entities? |
Optional
Se selezionato, il connettore crea avvisi Google SecOps da incidenti Microsoft Sentinel che non hanno entità. In caso contrario, il connettore crea avvisi Google SecOps solo per avvisi pianificati e NRT e ignora tutti gli altri tipi di incidenti di Microsoft Sentinel. Non selezionato per impostazione predefinita. |
Incident's Alerts Limit to Ingest |
Optional
Il numero massimo di avvisi da inserire per ogni incidente di Microsoft Sentinel. |
Incidents Padding Period (minutes) |
Optional
Periodo in minuti prima di ora in cui il connettore recupera gli incidenti e li restituisce. Il connettore non restituisce gli incidenti in ordine cronologico. |
Alert Name Template |
Optional
Se specificato, il connettore utilizza questo valore dei dati dell'incidente restituiti nella risposta dell'API Microsoft Sentinel per un nome di avviso SOAR di Google SecOps. Puoi fornire un segnaposto nel seguente formato:
La lunghezza massima per il campo è di 256 caratteri. Se non viene fornito alcun valore o se fornisci un template non valido, il connettore utilizza il nome dell'avviso predefinito. |
Rule Generator Template |
Optional
Se specificato, il connettore utilizza questo valore dei dati dell'incidente restituiti nella risposta dell'API Microsoft Sentinel per un generatore di regole SOAR di Google SecOps. Puoi fornire un segnaposto nel seguente formato:
La lunghezza massima per il campo è di 256 caratteri. Se non viene fornito alcun valore o se fornisci un template non valido, il connettore utilizza il valore predefinito del generatore di regole. |
How many hours to track ingested incident for updates |
Obbligatorio
Un periodo in cui il connettore monitora gli incidenti Sentinel già inseriti per gli aggiornamenti, come l'aggiunta di nuovi eventi o entità o dettagli dell'incidente. Il valore predefinito è 24 ore. |
Wait For Scheduled/NRT Alert Object |
Optional
Se abilitato, il connettore attende che sia disponibile un oggetto avviso pianificato/NRT. |
Proxy Server Address |
Optional
Indirizzo del server proxy da utilizzare. |
Proxy Server Username |
Optional
Nome utente proxy per l'autenticazione. |
Proxy Server Password |
Optional
Password del proxy per l'autenticazione. |
Regole del connettore
Il connettore di monitoraggio degli incidenti di Microsoft Sentinel supporta le blocklist e gli elenchi dinamici.
Job
L'integrazione di Microsoft Sentinel supporta il job Microsoft Sentinel - Sync Incidents.
Microsoft Sentinel - Sync Incidents
Utilizza il job Microsoft Sentinel - Sync Incidents per sincronizzare gli avvisi di Google SecOps con gli incidenti di Microsoft Sentinel. Garantisce che commenti, stato e tag rimangano sincronizzati tra i due sistemi.
Affinché il job identifichi le informazioni corrette, la richiesta Google SecOps
deve avere il tag Microsoft Sentinel Incident. Se un avviso non proviene da Microsoft Azure Sentinel Incident Connector v2, devi aggiungere un valore di contesto Incident_ID alla richiesta per consentire al job di trovare le informazioni corrette.
Comportamento del job
Questo lavoro è composto da due parti principali: 1. Il job sincronizza gli stati degli avvisi, i commenti e i tag da Microsoft Sentinel a Google SecOps. 1. Il job sincronizza tutti gli aggiornamenti da Google SecOps a Microsoft Sentinel.
Il job elabora un numero massimo di casi per iterazione per garantire prestazioni stabili. Si basa sull'ultima ora di modifica di una richiesta per garantire che non vengano persi aggiornamenti.
Quando un avviso viene chiuso in uno dei due sistemi, il job sincronizza la chiusura. La mappatura degli stati è la seguente:
Maliciouscorrisponde a uno stato di Microsoft SentinelClosedcon un motivoTrue Positive.Not Maliciouscorrisponde a uno stato di Microsoft SentinelClosedcon un motivoFalse Positive.- Qualsiasi altro valore di chiusura viene mappato a uno stato di Microsoft Sentinel
Closedcon un motivoUnknown.
I commenti vengono sincronizzati in modo bidirezionale. Per evitare un ciclo di sincronizzazione, il job applica un prefisso a ogni commento.
I tag vengono sincronizzati anche con gli stessi prefissi per distinguere la loro origine.
Note importanti sulla limitazione della frequenza delle richieste API
Questo job utilizza l'API Microsoft Graph per gestire gli incident, che ha un limite di frequenza di 20 richieste al minuto. Per ridurre il rischio di raggiungere questo limite e influire su altri componenti dell'integrazione, ti consigliamo vivamente di configurare un'app Microsoft Entra ID separata specificamente per questo job.
L'unica autorizzazione richiesta è SecurityIncident.ReadWrite.All.
Parametri del job
Il job Microsoft Sentinel - Sync Incidents richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Environment Name |
Obbligatorio. Il nome dell'ambiente da cui sincronizzare gli incidenti. Il valore predefinito è |
Azure Active Directory ID |
Obbligatorio. Il tuo ID directory univoco in Azure. Noto anche come ID tenant. |
OAUTH2 Login Endpoint Url |
Obbligatorio. L'URL dell'endpoint OAuth 2.0 in cui il job richiede un token di autenticazione. Il valore predefinito è |
API Root |
Obbligatorio. L'URL di base per l'API Graph. Il job aggiunge chiamate API specifiche a questo URL radice per recuperare i dati. Il valore predefinito è |
Client ID |
Obbligatorio. L'ID univoco dell'applicazione registrata in Azure Active Directory. Questo ID viene utilizzato per autenticare e concedere alla tua applicazione l'accesso a Microsoft Sentinel. |
Client Secret |
Obbligatorio. La chiave confidenziale utilizzata con |
Max Hours Backwards |
Obbligatorio. Il numero di ore nel passato per sincronizzare gli incidenti. Il valore predefinito è |
Verify SSL |
Obbligatorio/Facoltativo. Se selezionata, l'integrazione convalida il certificato SSL quando si connette al server Microsoft Sentinel. Abilitato per impostazione predefinita. |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.