Microsoft Azure Sentinel
Versão da integração: 44.0
Esta integração usa um ou mais componentes de código aberto. Pode transferir uma cópia comprimida do código-fonte completo desta integração a partir do contentor do Cloud Storage.
Exemplos de utilização
- Monitorize e inspecione alertas criados no Sentinel com base em eventos provenientes de hosts no local e serviços Microsoft baseados na nuvem, como o Microsoft 365 e o Microsoft 365 Cloud App Security.
- Use os dados recolhidos e correlacionados no Sentinel para enriquecimentos enquanto investiga um incidente específico. Os analistas podem usar os dados recolhidos e armazenados no Sentinel em investigações, por exemplo, para analisar detalhadamente informações específicas (inspecionar dados de alertas, por exemplo, inspecionar registos Syslog) ou consultar a atividade num período específico ou a partir de anfitriões específicos.
Pré-requisitos
Precisa de autorização no Microsoft Entra ID para o configurar primeiro de forma a executar pedidos na API Microsoft Security Insights. Tem de configurar as autorizações:
- Crie a app Microsoft Entra.
- Crie um segredo do cliente.
- Conceda à app Microsoft Entra registada acesso ao espaço de trabalho do Microsoft Sentinel.
- Use a aplicação Microsoft Entra para obter um token de acesso.
Crie uma app do Microsoft Entra
Inicie sessão no portal do Azure como administrador de utilizadores ou administrador de palavras-passe.
Selecione Microsoft Entra ID.
Aceda a Registos de apps > Novo registo.
Introduza o nome da app.
Selecione o Tipo de conta suportado aplicável.
Clique em Registar.
Guarde os valores do ID da aplicação (cliente) e do ID do diretório (inquilino) para os usar mais tarde quando configurar os parâmetros de integração.
Crie um segredo do cliente
Navegue para Certificados e segredos > Novo segredo do cliente.
Forneça uma descrição para um segredo do cliente e defina o respetivo prazo de validade.
Clique em Adicionar.
Guarde o valor do segredo do cliente (não o ID do segredo) para o usar como o valor do parâmetro
Client Secretao configurar a integração. O valor do segredo do cliente só é apresentado uma vez.
Conceda acesso registado do Microsoft Entra ao espaço de trabalho do Microsoft Sentinel
Aceda à página Vista geral do Microsoft Sentinel.
Clique em Definições.
Clique em Controlo de acesso (IAM).
Na secção Adicionar uma atribuição de função, clique em Adicionar.
Configure os seguintes parâmetros:
Role =
Azure Sentinel Contributor.Atribua acesso a =
default, Microsoft Entra ID user group, or service principal.
Na secção Selecionar, indique uma condição de pesquisa para encontrar a sua app e adicione uma atribuição de função para a sua app.
Aceda à página dos espaços de trabalho do Microsoft Sentinel. Encontre e configure os seguintes parâmetros:
Azure Resource GroupAzure Sentinel Workspace Name
Integre o Microsoft Azure Sentinel com o SOAR do Google SecOps
Para obter instruções detalhadas sobre como configurar uma integração no Google Security Operations, consulte o artigo Configurar integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância para a qual pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| ID da subscrição do Azure | String | N/A | Sim | ID da subscrição do Microsoft Azure, que pode ser visto em Azure Portal > Subscrições > ID da subscrição <A sua subscrição>. |
| ID do Azure Active Directory | String | N/A | Sim | O ID do inquilino do Microsoft Entra pode ser visto em Microsoft Entra > Registo de apps > <Aplicação que configurou para a sua integração> ID do diretório (inquilino). |
| Raiz da API | String | https://management.azure.com | Sim | URL raiz da API management.azure.com a usar com a integração. |
| Grupo de recursos do Azure | String | N/A | Sim | Nome do grupo de recursos do Azure onde o Microsoft Sentinel está localizado. |
| Nome do espaço de trabalho do Azure Sentinel | String | N/A | Sim | Nome do espaço de trabalho do Microsoft Sentinel com o qual trabalhar. Podem ser vistos no portal do Azure > Microsoft Sentinel > Espaços de trabalho do Microsoft Sentinel. |
| ID do cliente | String | N/A | Sim | ID do cliente (aplicação) que foi adicionado para o registo da app no Microsoft Entra para esta integração. |
| Segredo do cliente | Palavra-passe | N/A | Sim | Um segredo que foi introduzido para o registo da app do Azure Sentinel. |
| Executar remotamente | Caixa de verificação | Desmarcado | Não | Selecione o campo para executar a integração configurada remotamente. Depois de selecionada, a opção aparece para selecionar o utilizador remoto (agente). |
Ações
Tchim-tchim
Teste a conetividade ao espaço de trabalho do Microsoft Sentinel com os parâmetros fornecidos na página de configuração da integração no separador Google Security Operations Marketplace.
Exemplos de utilização
A ação é usada para testar a conetividade na página de configuração da integração no separador Google Security Operations Marketplace e pode ser executada como uma ação manual, que não é usada em manuais de procedimentos.
É apresentado em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Parede da caixa
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Se tiver êxito: imprima "Ligação estabelecida com êxito ao
espaço de trabalho do Microsoft Sentinel com os parâmetros de ligação fornecidos!". Se não for bem-sucedido: imprima "Failed to connect to the Microsoft Sentinel Workspace! O erro é {0}".format(exception.stacktrace). |
Geral |
Listar incidentes
Apresentar uma lista de incidentes do Microsoft Sentinel com base nos critérios de pesquisa fornecidos.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Intervalo de tempo | Número inteiro | 3 | Não | Especifique um intervalo de tempo em horas para obter incidentes. |
| Estado | String | Novas, ativas e fechadas | Não | Especifique os estados dos incidentes que quer procurar. O parâmetro aceita vários valores como uma string separada por vírgulas. |
| Gravidade | String | Informativo, Baixo, Médio, Alto | Não | Especifique os níveis de gravidade dos incidentes que quer procurar. O parâmetro aceita vários valores como uma string separada por vírgulas. |
| Quantos incidentes obter | Número inteiro | 200 | Não | Quantos incidentes obter. Por predefinição, são devolvidos os 200 incidentes mais recentes. |
Exemplos de utilização
A ação pode ser usada para listar incidentes do Microsoft Sentinel a partir do manual de procedimentos do Google SecOps.
É apresentado em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"value": [
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases/323032be-5b0d-4661-944f-ff9557597e50",
"name": "323032be-5b0d-4661-944f-ff9557597e50",
"etag": "\"2100e65a-0000-0d00-0000-5de3b1bf0000\"",
"type": "Microsoft.SecurityInsights/Cases",
"properties": {
"title": "Suspicious process injection observed",
"description": "A process abnormally injected code into another process, As a result, unexpected code may be running in the target process memory. Injection is often used to hide malicious code execution within a trusted process. \nAs a result, the target process may exhibit abnormal behaviors such as opening a listening port or connecting to a command and control server.",
"severity": "Medium",
"status": "New",
"labels": ["add_tag"],
"endTimeUtc": "2019-11-29T03:42:05Z",
"startTimeUtc": "2019-11-29T03:42:05Z",
"owner": {
"objectId": null
},
"lastUpdatedTimeUtc": "2019-12-01T12:27:43Z",
"createdTimeUtc": "2019-11-29T07:13:32.0266519Z",
"relatedAlertIds": ["2462474c-b6d9-6937-17ee-c2a62671c2f8"],
"relatedAlertProductNames": ["Microsoft Defender Advanced Threat Protection"],
"caseNumber": 2276,
"totalComments": 0,
"metrics": {
"SecurityAlert": 1
},
"firstAlertTimeGenerated": "2019-11-29T07:13:31.961602Z",
"lastAlertTimeGenerated": "2019-11-29T07:13:31.961602Z"
}
},{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases/c7939be8-32fb-415c-9f7c-c13325d6c48b",
"name": "c7939be8-32fb-415c-9f7c-c13325d6c48b",
"etag": "\"1900f5e2-0000-0d00-0000-5de0c5110000\"",
"type": "Microsoft.SecurityInsights/Cases",
"properties": {
"title": "Suspicious Power Shell command line",
"description": "A suspicious PowerShell activity was observed on the machine. \nThis behavior may indicate that PowerShell was used during installation, exploration, or in some cases in lateral movement activities which are used by attackers to invoke modules, download external payloads, or get more information about the system. Attackers usually use PowerShell to bypass security protection mechanisms by executing their payload in memory without touching the disk and leaving any trace.\r\nOur algorithms found the behaviors of this process to be suspicious due to the following factors:\nSuspicious memory activity\nExecutes suspicious PowerShell commands",
"severity": "Medium",
"status": "New",
"labels": [],
"endTimeUtc": "2019-11-29T03:42:04.9552017Z",
"startTimeUtc": "2019-11-29T03:42:04.9552017Z",
"owner": {
"objectId": null
},
"lastUpdatedTimeUtc": "2019-11-29T07:13:21Z",
"createdTimeUtc": "2019-11-29T07:13:21.6858164Z",
"relatedAlertIds": [
"d053f17e-6153-d171-9f4d-82389442aa35"
],
"relatedAlertProductNames": [
"Microsoft Defender Advanced Threat Protection"
],
"caseNumber": 2275,
"totalComments": 0,
"metrics": {
"SecurityAlert": 1
},
"firstAlertTimeGenerated": "2019-11-29T07:13:21.5885314Z",
"lastAlertTimeGenerated": "2019-11-29T07:13:21.5885314Z"
}
}
],
"nextLink": "https://management.azure.com:443/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases?api-version=2019-01-01-preview&$skipToken=H4sIAAAAAAAEAE1VTVMiSxD8MR45LIstukbsIbvnqxmGcRgR2xsiFqA44soiHt5vf1nzfOwaQUg31fWRlVnVGfvo8p-Jf5jhavBejW1_jQvon5OfP0_G15ffT67H7rLX7fIQXQ4P64vB583efZqXUSo7zGaRvS4-inWzK9Z-V3ze3RSfxfko8ufFdfy7jIpu8Snd8vkXTnx9c9k78XF52T87O-2fJFdXlxCZfMUDItN-zflJ2m9o-EmRx13Efi52cvw9Fnf2LBmvkW0-aBJwK8kUSYPp0R88pm_m9s-5gg2uKx9y9PMMu1yuOqgNaklrOGPfBDtMAu4FfawNZpJ2EDXWChZYGCwl2iBt7EpQovKARD1k3pb6u_Vqt4ELdqy_nw7mhSQ7pN5e6RnGbQQ9PDUYSNpHEnAjaQzUtiM2x71HLoMNoXCVoMZMz4wHg6FkueaXCrZYBHiJWYG3tEuRVke8Dog69ccs9uJ2wNxaJJ55OsASmmDvBB3F7VaQoarQ0XzjyiKOe4gDluo0laO_HN752wa_5a6-Ow3x_R88BYU_yOt7b1B6PPyN-_Ps6fHv8_ez7vLv876R1fFs2fftaLqsFjgPUV9GNevPzqRc4D1EvyXvYGPYN2yHfv9_XnYBt7A77ddgh-fgSin6tM_mEh3sqcFaHrb4HqI7sStrGvcm-RafjTMy7GHl7d262WDR2B-Sl9g27pcMD3gI2TfGsYx_LqMF3kJUSdnjO2QyP-DdR5EMd1gaPB3zT0E_5Uz9PjXsc1TiNtieDDroBdr73AafXMg0tXUTL-Wxr_cdGfUYN5qITzEPvXu51fjOyjDFKkSPks6Ytw1S9e0oJE4ea4xDZsgje9bikdqdd-eS7zA49p_0Sxb-1KdP4nd4CW4pfoVNg0TmM-JD-0GNZXAHGXbw4l0jWY1n40T9rIx7krRXLrwbiZ_ixdAuW9A-Wio-pyZKJT_gYNyH5n0d0ldJOuxnJFLMGMd2xYWjvgbChG5XSWPcWP3Q316GW5SGOEe5fQxJLVXqbkzcl3pnfcjexP3R5w9KvfkgPw3GcLHyc6p-Jh5d1ZElXwUrXDX4IW6hI8SL7ek82JIHuDKq4xWyVrf6X_WZwXueaVc2eBe3Jf8hjufU41yiVOPYPa9UD3oeNvgU6sex7-JKeMN41OWQI-br_lTiKUaN6qqGb_W9UOndq95co_lu4APIx43ml4lVnmMjrsbIMB5lmhvOA94XBhOxrBfVs7gp-45X9RMFjj47o36t0zmVCGXrVVH4T5AxgmAILdDZVOfUTmTl8yM_CNLryj4aFzSfNGgczolf0FkQZ4orpcU4HIZWtVqJc_qSw3elcWDhUATOI-LP_DPBTOvjHDogC4j2joOWqei7rFGdMNv2HVxpiBftaB8RX1bIy2SF2qOnOHLOpWKd4hjEliyWzxolAeMRp0x5gIHmfa15JgbcC6nyICiuxOmpzXdOXPh-oPOSc5D2Y62F9U2UF8OAR84FjRfpPGU_K-0reVBVbqV822nfuU_4Tir2s5R4q3lM27447gX6rwxG4gqlJhQh8uWXuI32nfypHPMrxXW03y-ijPb8nXhfeRjtq9V-sq_s00RxoX2u8xzKD3fQep-Ur2xFrf1ivE_pLLJXk1SSpyga9bsD56KNW9nJN9UBeeR4pa2qFNdE9wd5ETOBmPyhXu7b-i-YpDYV1VL3j2_76cA7r3WQ13eKD_F0MXk58Lj6wtdXxD1S3nP_MQ-397E2vmr3o2e-xIlbhfEP2s_f4mbah1jrJL573a_EdSRc2eTDWnXoW35wL7X17rT-i5YXc8ut1Oqzrzrm3nRfOA0Vp6TlH3kvvrUbNHhWnCOv_c25l6lL8iXlnod6t1i1um9QtHwMzIP99OrHFvTrFBTV1rnyKt4zb8VJ9cX6klYPFR2pJJzydy12q3ik6geqa-ojbeeItbTnHnfUVfXzX2qVoX91CQAA"
}
Parede da caixa
| Tipo de resultado | Valor/ Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Se for bem-sucedido e obtiver dados: print "Successfully returned Microsoft
Sentinel incidents". Se não for encontrado nada: imprima "Não foi possível encontrar incidentes". if error: print "Failed to list Microsoft Sentinel incidents! O erro é {0}".format(exception.stacktrace). |
Geral |
| Tabela | Título da tabela: incidentes do Microsoft Sentinel encontrados: Colunas: incident_number, incident_id, title, description, severity, status, labels, assigned to, alert product names, created time, last updated time |
Geral |
| Anexos | List_Incidents.json: contém dados JSON técnicos devolvidos pela ação. | Geral |
Visualizador de JSON |
Mostrar o visualizador de JSON para o resultado da consulta. | Geral |
Atualize os detalhes do incidente
Atualize um incidente do Microsoft Sentinel.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Número de registo do incidente | Número inteiro | N/A | Sim | Especifique o número do incidente do Azure Sentinel a atualizar. |
| Título | String | N/A | Não | Especifique um novo título para o incidente do Azure Sentinel. |
| Gravidade | LDD | Não atualizado (valores possíveis: Not Updated, Informational, Low, Medium, High) |
Não | Especifique uma nova gravidade para o incidente do Azure Sentinel. |
| Descrição | String | N/A | Não | Especifique uma nova descrição para o incidente do Azure Sentinel. |
| Atribuído a | String | N/A | Não | Especifique o utilizador ao qual atribuir o incidente. |
| Estado | LDD | Não atualizado (valores possíveis: não atualizado, novo, ativo, fechado) | Não | Especifique o novo estado do incidente do Azure Sentinel. |
| Motivo do fecho | LDD | Não atualizado (valores possíveis: |
Não | Se o estado do incidente estiver definido como Fechado, indique um motivo para o encerramento do incidente. |
| Comentário de encerramento | String | N/A | Não | Comentário de encerramento opcional a fornecer para o incidente do Azure Sentinel fechado. |
| Número de tentativas | Número inteiro | 1 | Sim | Especifique o número de tentativas que a ação deve fazer se a atualização do incidente não for bem-sucedida. |
| Tentar novamente a cada | Número inteiro | 20 | Sim | Especifique o período durante o qual a ação deve aguardar entre novas tentativas de atualização do incidente. |
Exemplos de utilização
A ação pode ser usada para atualizar um incidente do Microsoft Sentinel a partir do manual de procedimentos do Google SecOps. Pode ser usado como uma ação resultante num fluxo de trabalho que envolva a análise de um incidente do Microsoft Sentinel.Depois de os incidentes serem processados no Google SecOps, podem ser atualizados para indicar o progresso da análise do incidente (por exemplo, definir assignedTo, definir o estado como inProgress, etc.).
É apresentado em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
O resultado JSON é devolvido para o pedido 2 e contém os seguintes detalhes do incidente atualizados:
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases/9e5c0afc-b7a6-4eac-8164-9242ad710a66",
"name": "9e5c0afc-b7a6-4eac-8164-9242ad710a66",
"etag": "\"12002b5c-0000-0d00-0000-5dde83730000\"",
"type": "Microsoft.SecurityInsights/Cases",
"properties": {
"title": "Activity from a Tor IP address",
"description": "A failed sign in was detected from a Tor IP addressThe Tor IP address 203.0.113.200 was used by Example User - Test User Spec (user@example.com).",
"severity": "Informational",
"status": "InProgress",
"assignedTo": "test@example.com",
"labels": [],
"closeReason": "Resolved",
"endTimeUtc": "2019-11-27T01:56:03.4651258Z",
"startTimeUtc": "2019-11-27T01:56:03.4651258Z",
"owner": {
"objectId": null,
"email": "test@example.com"
},
"lastUpdatedTimeUtc": "2019-11-27T14:08:51Z",
"createdTimeUtc": "2019-11-27T05:01:11.1139394Z",
"relatedAlertIds": [
"2a96343c-e551-4529-96f1-18d6f734470d"
],
"relatedAlertProductNames": [
"Azure Sentinel"
],
"caseNumber": 2274,
"totalComments": 0,
"metrics": {
"SecurityAlert": 1
},
"firstAlertTimeGenerated": "2019-11-27T05:01:10.2574659Z",
"lastAlertTimeGenerated": "2019-11-27T05:01:10.2574659Z"
}
}
Parede da caixa
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Se for bem-sucedido: imprima "Successfully updated Microsoft Sentinel incident {0}".format(IncidentID). Se não conseguir encontrar o incidente através do número do registo de incidente fornecido: imprima "Não foi encontrado o incidente do Microsoft Sentinel com o número do registo {0}!".format(incident_case_number). Se ocorrer um erro: imprima "Falha ao atualizar o incidente do Microsoft Sentinel! O erro é {0}".format(exception.stacktrace). |
Geral |
Atualize as etiquetas de incidentes
Atualize etiquetas num incidente específico do Microsoft Sentinel.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Número de registo do incidente | Número inteiro | 2273 | Sim | Especifique o número do incidente do Azure Sentinel a atualizar com novas etiquetas. |
| Etiquetas | String | programas maliciosos | Sim | Especifique novas etiquetas que devem ser anexadas ao incidente. O parâmetro aceita vários valores como uma string separada por vírgulas. |
| Número de tentativas | Número inteiro | 1 | Sim | Especifique o número de tentativas que a ação deve fazer se a atualização do incidente não for bem-sucedida. |
| Tentar novamente a cada | Número inteiro | 20 | Sim | Especifique o período de tempo que a ação deve aguardar entre as novas tentativas de atualização de incidentes. |
Exemplos de utilização
A ação pode ser usada para atualizar as etiquetas de incidentes do Microsoft Sentinel a partir do manual de procedimentos do Google SecOps. O utilizador pode usar esta ação para atribuir etiquetas específicas a incidentes específicos, se necessário. Por exemplo, se houver anfitriões específicos envolvidos neste incidente, deve existir uma etiqueta específica.
É apresentado em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
O resultado JSON é devolvido para o pedido 2 e contém detalhes do incidente atualizados:
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases/9e5c0afc-b7a6-4eac-8164-9242ad710a66",
"name": "9e5c0afc-b7a6-4eac-8164-9242ad710a66",
"etag": "\"12002b5c-0000-0d00-0000-5dde83730000\"",
"type": "Microsoft.SecurityInsights/Cases",
"properties": {
"title": "Activity from a Tor IP address",
"severity": "Informational",
"status": "InProgress",
"labels": [
"malware",
"trojan"
],
"endTimeUtc": "2019-11-27T01:56:03.4651258Z",
"startTimeUtc": "2019-11-27T01:56:03.4651258Z",
"owner": {
"objectId": null,
},
"lastUpdatedTimeUtc": "2019-11-27T14:08:51Z",
"createdTimeUtc": "2019-11-27T05:01:11.1139394Z",
"relatedAlertIds": [
"2a96343c-e551-4529-96f1-18d6f734470d"
],
"relatedAlertProductNames": [
"Azure Sentinel"
],
"caseNumber": 2274,
"totalComments": 0,
"metrics": {
"SecurityAlert": 1
},
"firstAlertTimeGenerated": "2019-11-27T05:01:10.2574659Z",
"lastAlertTimeGenerated": "2019-11-27T05:01:10.2574659Z"
}
}
Parede da caixa
| Tipo de resultado | Valor/ Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | if successful: "Successfully updated Microsoft Sentinel
incident {0} with the following labels: {1}".format(IncidentID, [labels_list]).
Se não conseguir encontrar o incidente através do número do registo de incidente fornecido: "Não foi possível encontrar o incidente do Microsoft Sentinel com o número do registo {0}!".format(incident_case_number). Se o utilizador tiver fornecido uma etiqueta que já existe no incidente (isSuccess=False): "As seguintes etiquetas não foram adicionadas às etiquetas do Microsoft Sentinel para o incidente {0} porque já existem: {1}".format(IncidentID, [labels_list]) Se o erro for: "Falha ao atualizar as etiquetas do incidente do Microsoft Sentinel! O erro é {0}".format(exception.stacktrace). |
Geral |
Obtenha estatísticas de incidentes
Obter estatísticas de incidentes do Azure Sentinel.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Intervalo de tempo | Número inteiro | 3 | Não | Especifique o período para o qual quer apresentar as estatísticas. |
Exemplos de utilização
A ação pode ser usada para mostrar relatórios do manual de soluções do Google SecOps para eventos do Microsoft Sentinel. Esta ação fará parte do manual de procedimentos no qual um utilizador interage com o alarme do Microsoft Sentinel criado quando, por exemplo, um aviso foi processado e removido. Esta ação pode ser implementada para ver um resultado dos incidentes do Microsoft Sentinel na página "Lições aprendidas".
Por outro lado, pode ser o método de interface de um utilizador, em vez de usar a app Windows Sentinel, para permanecer no Google SecOps.
É apresentado em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Aggregations/Cases",
"name": "Cases",
"type": "Microsoft.SecurityInsights/Aggregations",
"kind": "CasesAggregation",
"properties": {
"aggregationBySeverity": {
"totalCriticalSeverity": 1,
"totalHighSeverity": 2,
"totalMediumSeverity": 554,
"totalLowSeverity": 1714,
"totalInformationalSeverity": 1
},
"aggregationByStatus": {
"totalNewStatus": 2268,
"totalInProgressStatus": 4,
"totalResolvedStatus": 1,
"totalDismissedStatus": 0,
"totalTruePositiveStatus": 2,
"totalFalsePositiveStatus": 1
}
}
}
Parede da caixa
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Se for bem-sucedido e obtiver dados: imprima "Successfully
returned Microsoft Sentinel incident statistics" (Estatísticas de incidentes do Microsoft Sentinel devolvidas com êxito). If error: print "Failed to get Microsoft Sentinel incident statistics! O erro é {0}".format(exception.stacktrace). |
Geral |
| Tabela n.º 1 | Título da tabela: estatísticas de incidentes do Microsoft Sentinel por gravidade: Colunas: crítica (mapeada para totalCriticalSeverity), elevada (mapeada para totalHighSeverity), média (mapeada para totalMediumSeverity), baixa(mapeada para totalLowSeverity) e informativa(mapeada para totalInformationalSeverity) |
Geral |
| Mesa n.º 2 | Título da tabela: estatísticas de incidentes do Microsoft Sentinel por Estado: Colunas: New(mapeada para totalNewStatus), InProgress(mapeada para totalInProgressStatus), Resolved(mapeada para totalResolvedStatus), Dismissed(mapeada para totalDismissedStatus), TruePositive(mapeada para totalTruePositiveStatus) FalsePositive(mapped to totaFalsePositiveStatus) |
Geral |
Visualizador de JSON |
Mostrar o visualizador de JSON para o resultado da consulta. | Geral |
Liste as regras de alerta
Obtenha a lista de regras programadas do Azure Sentinel.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Gravidade da regra de alerta | String | Informativo, baixo, médio, elevado, crítico | Não | Especifique os níveis de gravidade das regras de alerta a procurar. O parâmetro aceita vários valores como uma string separada por vírgulas. |
| Obter tipos de regras de alerta específicos | String | N/A | Não | Especifique os tipos de alertas que a ação deve devolver. O parâmetro aceita vários valores como uma string separada por vírgulas. Se o valor não for fornecido, devolve todos os tipos de alertas possíveis. |
| Obtenha táticas de regras de alerta específicas | String | N/A | Não | Especifique o que a ação de táticas da regra de alerta deve devolver. O parâmetro aceita vários valores como uma string separada por vírgulas. Se o valor não for fornecido, devolve todos os tipos de alertas possíveis. |
| Apenas obter regras de alerta ativadas? | Caixa de verificação | Desmarcado | Não | Especifique se a ação deve devolver apenas regras de alerta ativadas. |
| Número máximo de regras a devolver | Número inteiro | N/A | Não | Quantas regras de alerta agendadas a ação deve devolver, por exemplo, 50. |
Exemplos de utilização
A ação pode ser usada para listar regras de alerta do Microsoft Sentinel a partir do manual de procedimentos do Google SecOps. Pode listar as regras de alerta para se certificar de que preparou uma regra de alerta para cada tipo de ameaça e anomalias que sejam suspeitas no seu ambiente. Se vir que algumas situações não são processadas corretamente, pode atualizar imediatamente as regras de alerta existentes ou criar uma nova. A regra de alerta do Microsoft Sentinel garante que recebe uma notificação imediatamente para poder avaliar, investigar e corrigir as ameaças.
É apresentado em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"value": [
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/alertRules/4bdce24d-7837-4f02-9f7a-10824f376517",
"name": "4bdce24d-7837-4f02-9f7a-10824f376517",
"etag": "\"00002f05-0000-0d00-0000-5d9db9970000\"",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "MicrosoftSecurityIncidentCreation",
"properties": {
"productFilter": "Azure Active Directory Identity Protection",
"severitiesFilter": null,
"displayNamesFilter": null,
"displayName": "Create incidents based on Azure Active Directory Identity Protection alerts",
"enabled": true,
"description": "Create incidents based on all alerts generated in Azure Active Directory Identity Protection",
"tactics": null,
"alertRuleTemplateName": "532c1811-79ee-4d9f-8d4d-6304c840daa1",
"lastModifiedUtc": "2019-10-09T10:42:31.5264376Z"
}
},
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/alertRules/540f68c9-9397-49c7-8953-8efce08d6e62",
"name": "540f68c9-9397-49c7-8953-8efce08d6e62",
"etag": "\"00003105-0000-0d00-0000-5d9db9ad0000\"",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "MicrosoftSecurityIncidentCreation",
"properties": {
"productFilter": "Azure Security Center",
"severitiesFilter": null,
"displayNamesFilter": null,
"displayName": "Create incidents based on Azure Security Center alerts",
"enabled": true,
"description": "Create incidents based on all alerts generated in Azure Security Center",
"tactics": null,
"alertRuleTemplateName": "90586451-7ba8-4c1e-9904-7d1b7c3cc4d6",
"lastModifiedUtc": "2019-10-09T10:42:53.9014288Z"
}
}
]
}
Parede da caixa
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Se for bem-sucedido: imprima "Successfully listed Microsoft
Sentinel alert rules configured" (Regras de alerta do Microsoft Sentinel configuradas listadas com êxito). If error: print "Falha ao listar as regras de alerta do Microsoft Sentinel! O erro é {0}".format(exception.stacktrace). |
Geral |
| Tabela | Título da tabela: regras de alerta do Microsoft Sentinel encontradas: Colunas: AlertID (mapeado para o nome), Name (mapeado para displayName), Enabled, Description, Tactics, Last Modification Time (mapeado para lastModificationUtc) |
Geral |
| Anexos | List_AlertRules.json: contém dados JSON técnicos devolvidos pela ação. | Geral |
Visualizador de JSON |
Mostrar o visualizador de JSON para o resultado da consulta. | Geral |
Obtenha detalhes da regra de alerta
Obtenha detalhes da regra de alerta agendada do Azure Sentinel.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| AlertRuleID | String | N/A | Sim | Especifique o ID da regra de alerta. |
Exemplos de utilização
A ação pode ser usada para obter detalhes sobre a regra de alerta do Microsoft Sentinel a partir do manual de procedimentos do Google SecOps. Se vir, por exemplo, que alguns alertas estão a tornar-se mais frequentes e a maioria deles são falsos positivos, ou se uma regra de alerta processar demasiadas situações e quiser separá-las para que seja mais fácil identificar a ameaça, pode usar esta ação para compreender corretamente a configuração da regra de alerta. Com base nos resultados da regra de alerta, pode decidir se a atualiza, elimina ou deixa inalterada.
É apresentado em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/alertRules/8dce4dbd-0ba6-4c93-943a-8da49f7d0aa4",
"name": "8dce4dbd-0ba6-4c93-943a-8da49f7d0aa4",
"etag": "\"0200c767-0000-0d00-0000-5ddf3b160000\"",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "Scheduled",
"properties": {
"severity": "High",
"query": "SecurityEvent\r\n| where Activity startswith \"4625\"\r\n| summarize count() by IpAddress, Computer\r\n| where count_ >3\r\n| extend HostCustomEntity = Computer\r\n| extend IPCustomEntity = IpAddress",
"queryFrequency": "PT1H",
"queryPeriod": "P5D",
"triggerOperator": "GreaterThan",
"triggerThreshold": 0,
"suppressionDuration": "PT5H",
"suppressionEnabled": false,
"displayName": "Multiple failed login attempts from the same IP",
"enabled": false,
"description": "",
"tactics": [
"InitialAccess"
],
"alertRuleTemplateName": null,
"lastModifiedUtc": "2019-11-28T03:12:21.9276927Z"
}
}
Parede da caixa
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Se for bem-sucedido e obtiver dados: imprima "Successfully
returned Microsoft Sentinel alert rule {0} details".format(AlertRuleID). Se não conseguir encontrar a regra de alerta pelo AlertID fornecido: imprima "Não foi encontrada a regra de alerta do Microsoft Sentinel com o ID "{0}"!".format(AlertRuleID).
If error: print "Failed to get details about Microsoft Sentinel alert rule! O erro é {0}".format(exception.stacktrace). |
Geral |
| Tabela | Título da tabela: detalhes da regra de alerta do Microsoft Sentinel: Colunas: AlertID (mapeado para o nome), Name (mapeado para displayName), Enabled, Description, Query, Frequency(mapeado para queryFrequency), Period of Lookup data(mapeado para queryPeriod), Trigger (mapeado como combinação de triggerOperator e triggerThreshold), Tactics, Enable Suppression(mapeado como "suppressionEnabled"), Suppression Duration(mapeado como suppressionDuration), Last Modification Time (mapeado para lastModificationUtc) |
Geral |
Visualizador de JSON |
Mostrar o visualizador de JSON para o resultado da consulta. | Geral |
Criar regra de alerta
Crie uma regra de alerta agendada do Azure Sentinel.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Ative a regra de alerta | LDD | N/A | Sim | Especifique se quer desativar ou ativar esta regra de alerta. |
| Nome | String | N/A | Sim | Especifique o nome a apresentar da regra de alerta. |
| Gravidade | LDD | N/A | Sim | Especifique a gravidade desta regra de alerta. |
| Consulta | String | N/A | Sim | Especifique a consulta desta regra de alerta. |
| Frequência | String | N/A | Sim | Especifique a frequência com que a consulta deve ser executada no seguinte formato: PT + number + (M, H, D), onde M representa minutos, H representa horas e D representa dias. O mínimo é de 5 minutos e o máximo é de 14 dias. |
| Período dos dados de pesquisa | String | N/A | Sim | Especifique a hora dos dados de pesquisa mais recentes, use o seguinte formato: P + number + (M, H, D), onde M representa minutos, H representa horas e D representa dias. O mínimo é de 5 minutos e o máximo é de 14 dias. |
| Operador do acionador | LDD | N/A | Sim | Especifique o operador do acionador para esta regra de alerta. |
| Limite do acionador | Número inteiro | N/A | Sim | Especifique o limite de acionamento para esta regra de alerta. |
| Ativar supressão | LDD | N/A | Sim | Especifique se quer parar a execução da consulta após a geração do alerta. |
| Duração da supressão | String | N/A | Sim | Especifique durante quanto tempo quer parar de executar a consulta após a geração do alerta, use o seguinte formato: PT + número + (M, H, D), onde M: minutos, H: horas, D: dias Exemplos: P1M – 1 minuto P10H – 10 horas P2D: 2 dias. O mínimo é de 5 minutos e o máximo é de 14 dias. |
| Descrição | String | N/A | Não | Especifique a descrição desta regra de alerta. |
| Táticas | String | N/A | Não | Especifique táticas para esta regra de alerta. O parâmetro pode aceitar vários valores separados por vírgulas. |
Exemplos de utilização
A ação pode ser usada para criar regras de alerta do Microsoft Sentinel a partir do manual de procedimentos do Google SecOps. Pode criar regras de alerta personalizadas para ajudar a pesquisar os tipos de ameaças e anomalias que são suspeitos no seu ambiente. A regra de alerta do Microsoft Sentinel garante que recebe uma notificação imediata para poder avaliar, investigar e corrigir as ameaças.
É apresentado em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Parede da caixa
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Se for bem-sucedido: imprima "Regra de alerta do Microsoft Sentinel criada com êxito!". Se erro: imprimir "Falha ao criar a regra de alerta do Microsoft Sentinel! O erro é {0}".format(exception.stacktrace). |
Geral |
Atualize a regra de alerta
Atualize a regra de alerta agendada do Azure Sentinel.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| AlertRuleID | String | N/A | Sim | Especifique o AlertRuleID da regra de alerta. |
| Nome | String | N/A | Não | Especifique o nome a apresentar da regra de alerta. |
| Ative a regra de alerta | LDD | N/A | Não | Especifique se quer desativar ou ativar esta regra de alerta. |
| Gravidade | LDD | N/A | Não | Especifique a gravidade desta regra de alerta. |
| Consulta | String | N/A | Não | Especifique a consulta desta regra de alerta. |
| Frequência | String | N/A | Não | Especifique a frequência com que a consulta deve ser executada no seguinte formato: PT + number + (M, H, D), onde M representa minutos, H representa horas e D representa dias. Exemplos: PT1M – executar consulta a cada minuto PT10H: executar consulta a cada 10 horas PT2D: executar a consulta a cada 2 dias. O mínimo é de 5 minutos e o máximo é de 14 dias. |
| Período dos dados de pesquisa | String | N/A | Não | Especifique a hora dos dados de pesquisa mais recentes, use o seguinte formato: P + number + (M, H, D), onde M representa minutos, H representa horas e D representa dias. . Exemplos: P1M – 1 minuto P10H – 10 horas P2D: 2 dias. O mínimo é de 5 minutos e o máximo é de 14 dias. |
| Operador do acionador | LDD | N/A | Não | Especifique o operador do acionador para esta regra de alerta. |
| Limite do acionador | Número inteiro | N/A | Não | Especifique o limite de acionamento para esta regra de alerta. |
| Ativar supressão | LDD | N/A | Não | Especifique se quer parar a execução da consulta após a geração do alerta. |
| Duração da supressão | String | N/A | Não | Especifique durante quanto tempo quer parar de executar a consulta após a geração do alerta, use o seguinte formato: PT + número + (M, H, D), onde M: minutos, H: horas, D: dias Exemplos: P1M – 1 minuto P10H – 10 horas P2D: 2 dias. O mínimo é de 5 minutos e o máximo é de 14 dias. |
| Descrição | String | N/A | Não | Especifique a descrição desta regra de alerta. |
| Táticas | String | Nenhum | Não | Especifique táticas para esta regra de alerta. O parâmetro aceita vários valores separados por vírgulas. |
Exemplos de utilização
A ação pode ser usada para atualizar as regras de alerta do Microsoft Sentinel a partir do manual de procedimentos do Google SecOps. Por exemplo, se vir que alguns alertas estão a tornar-se mais frequentes e a maioria deles são falsos positivos, pode usar esta ação para atualizar a configuração da regra de alerta de acordo com as suas necessidades e desejos. A regra de alerta do Microsoft Sentinel garante que recebe uma notificação imediata para poder avaliar, investigar e corrigir as ameaças.
É apresentado em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Parede da caixa
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Se for bem-sucedido: imprima "Regra de alerta do Microsoft Sentinel atualizada com êxito com o ID {0}".format(AlertRuleID). Se não for possível encontrar uma regra de alerta pelo AlertID fornecido: imprima "Não foi encontrada a regra de alerta do Microsoft Sentinel com o ID "{0}"!".format(AlertRuleID). If error: print "Failed to update Microsoft Sentinel alert rule! Error is {0}".format(exception.stacktrace). |
Geral |
Eliminar regra de alerta
Elimine a regra de alerta agendada do Azure Sentinel.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| AlertRuleID | String | N/A | Sim | Especifique o ID da regra de alerta a eliminar. |
Exemplos de utilização
A ação pode ser usada para eliminar a regra de alerta do Microsoft Sentinel do Google SecOps. Se uma regra de alerta estiver muito desatualizada e não cumprir o seu objetivo, ou se uma regra criar apenas falsos positivos, pode eliminá-la com esta ação.
É apresentado em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Parede da caixa
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Se for bem-sucedido: imprima "Successfully deleted Microsoft
Sentinel alert rule {0}".format(AlertRuleID). Se não conseguir encontrar a regra de alerta pelo AlertID fornecido: imprima "Não foi encontrada a regra de alerta do Microsoft Sentinel com o ID "{0}"!".format(AlertRuleID). If error: print "Failed to delete Microsoft Sentinel alert rule! Error is {0}".format(exception.stacktrace). |
Geral |
Liste regras de deteção proativa personalizadas
Obtenha a lista de regras de deteção personalizadas do Azure Sentinel.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nomes das regras de procura a devolver | String | N/A | Não | Especifique os nomes que a ação das regras de procura deve devolver. O parâmetro aceita vários valores como uma string separada por vírgulas. Se o valor não for fornecido, devolve todos os tipos de alertas possíveis. |
| Obtenha táticas de regras de caça específicas | String | N/A | Não | Especifique o que a ação de táticas de regras de deteção deve devolver. O parâmetro aceita vários valores como uma string separada por vírgulas. Se o valor não for fornecido, devolve todos os tipos de alertas possíveis. |
| Número máximo de regras a devolver | Número inteiro | N/A | Não | Quantas regras de alerta agendadas a ação deve devolver, por exemplo, 50. |
Exemplos de utilização
A ação pode ser usada para listar regras de deteção personalizadas e favoritas do manual de soluções do Google SecOps para o Microsoft Sentinel. Para garantir que estabeleceu todas as regras de deteção de ameaças para dados relativos aos processos mais raros, mas muito críticos que operam na sua rede, deve mencionar regras de deteção de ameaças personalizadas e preferenciais. Pode atualizar e criar imediatamente regras de deteção existentes se vir que algumas situações não são processadas corretamente.
É apresentado em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"__metadata": {},
"value": [
{
"id": "subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/savedSearches/0c5bd7e1-0e13-4e7d-9e32-88baf9589192",
"etag": "W/\"datetime'2019-12-02T10%3A14%3A10.5299491Z'\"",
"properties": {
"Category": "Hunting Queries",
"DisplayName": "Hunting Query 1",
"Query": "\r\nlet timeframe = 7d;\r\nAWSCloudTrail\r\n| where TimeGenerated >= ago(timeframe)\r\n| where EventName in~ (\"AttachGroupPolicy\", \"AttachRolePolicy\", \"AttachUserPolicy\", \"CreatePolicy\",\r\n\"DeleteGroupPolicy\", \"DeletePolicy\", \"DeleteRolePolicy\", \"DeleteUserPolicy\", \"DetachGroupPolicy\",\r\n\"PutUserPolicy\", \"PutGroupPolicy\", \"CreatePolicyVersion\", \"DeletePolicyVersion\", \"DetachRolePolicy\", \"CreatePolicy\")\r\n| project TimeGenerated, EventName, EventTypeName, UserIdentityAccountId, UserIdentityPrincipalid, UserAgent, \r\nUserIdentityUserName, SessionMfaAuthenticated, SourceIpAddress, AWSRegion, EventSource, AdditionalEventData, ResponseElements\r\n| extend timestamp = TimeGenerated, IPCustomEntity = SourceIpAddress, AccountCustomEntity = UserIdentityAccountId\r\n",
"Tags": [
{
"Name": "description",
"Value": "1234"
},
{
"Name": "tactics",
"Value": "DefenseEvasion"
},
{
"Name": "createdTimeUtc",
"Value": "12/02/2019 09:21:18"
}
],
"Version": 2
},
"name": "0c5bd7e1-0e13-4e7d-9e32-88baf9589192"
},
{
"id": "subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/savedSearches/30a94796-a573-4e6e-9385-fb96d0aa5ea2",
"etag": "W/\"datetime'2019-12-02T10%3A10%3A18.4761379Z'\"",
"properties": {
"Category": "Hunting Queries",
"DisplayName": "Hunting Query 1",
"Query": "\r\nlet timeframe = 7d;\r\nAWSCloudTrail\r\n| where TimeGenerated >= ago(timeframe)\r\n| where EventName in~ (\"AttachGroupPolicy\", \"AttachRolePolicy\", \"AttachUserPolicy\", \"CreatePolicy\",\r\n\"DeleteGroupPolicy\", \"DeletePolicy\", \"DeleteRolePolicy\", \"DeleteUserPolicy\", \"DetachGroupPolicy\",\r\n\"PutUserPolicy\", \"PutGroupPolicy\", \"CreatePolicyVersion\", \"DeletePolicyVersion\", \"DetachRolePolicy\", \"CreatePolicy\")\r\n| project TimeGenerated, EventName, EventTypeName, UserIdentityAccountId, UserIdentityPrincipalid, UserAgent, \r\nUserIdentityUserName, SessionMfaAuthenticated, SourceIpAddress, AWSRegion, EventSource, AdditionalEventData, ResponseElements\r\n| extend timestamp = TimeGenerated, IPCustomEntity = SourceIpAddress, AccountCustomEntity = UserIdentityAccountId\r\n",
"Tags": [
{
"Name": "description",
"Value": "1234"
},
{
"Name": "tactics",
"Value": "DefenseEvasion"
},
{
"Name": "createdTimeUtc",
"Value": "12/02/2019 09:21:18"
}
],
"Version": 2
},
"name": "30a94796-a573-4e6e-9385-fb96d0aa5ea2"
}
]
}
Parede da caixa
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Se for bem-sucedido: imprima "Successfully returned Microsoft
Sentinel hunting rules" (Regras de deteção do Microsoft Sentinel devolvidas com êxito). Se erro: imprimir "Falha ao listar as regras de deteção do Microsoft Sentinel! O erro é {0}".format(exception.stacktrace). |
Geral |
| Tabela | Título da tabela: regras de deteção do Microsoft Sentinel encontradas: Colunas: HuntingRuleID(mapeado para o nome), título (mapeado para displayName), categoria, descrição (mapeado para o parâmetro de descrição no dicionário de etiquetas), táticas(mapeado para o parâmetro de táticas no dicionário de etiquetas), consulta, hora de criação (mapeado para o parâmetro CreatedTimeUtc no dicionário de etiquetas) |
Geral |
| Anexos | List_HuntingRules.json: contém dados JSON técnicos devolvidos pela ação. | Geral |
Visualizador de JSON |
Mostrar o visualizador de JSON para o resultado da consulta. | Geral |
Obtenha detalhes de regras de deteção personalizadas
Obtenha detalhes da regra de deteção personalizada do Azure Sentinel.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| HuntingRuleID | String | N/A | Sim | Especifique o ID da regra de deteção. |
Exemplos de utilização
Pode aceder a informações sobre as regras de deteção padrão ou preferenciais do Microsoft Sentinel através do manual de procedimentos do Google SecOps. Use esta ferramenta, por exemplo, se vir detalhes que recebe de regras de deteção que não são adequados para análise ou se quiser ver se a sua regra de deteção está configurada corretamente. Vai avaliar se deve editar, remover ou deixar inalterado com base nos resultados.
É apresentado em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"id": "subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/savedSearches/30a94796-a573-4e6e-9385-fb96d0aa5ea2",
"etag": "W/\"datetime'2019-12-02T10%3A14%3A10.5299491Z'\"",
"properties": {
"Category": "Log Management",
"DisplayName": "Multiple Password Reset by user",
"Query": "\nlet timeframe = 7d;\nAWSCloudTrail\n| where TimeGenerated >= ago(timeframe)\n| where EventName in~ (\"AttachGroupPolicy\", \"AttachRolePolicy\", \"AttachUserPolicy\", \"CreatePolicy\",\n\"DeleteGroupPolicy\", \"DeletePolicy\", \"DeleteRolePolicy\", \"DeleteUserPolicy\", \"DetachGroupPolicy\",\n\"PutUserPolicy\", \"PutGroupPolicy\", \"CreatePolicyVersion\", \"DeletePolicyVersion\", \"DetachRolePolicy\", \"CreatePolicy\")\n| project TimeGenerated, EventName, EventTypeName, UserIdentityAccountId, UserIdentityPrincipalid, UserAgent, \nUserIdentityUserName, SessionMfaAuthenticated, SourceIpAddress, AWSRegion, EventSource, AdditionalEventData, ResponseElements\n| extend timestamp = TimeGenerated, IPCustomEntity = SourceIpAddress, AccountCustomEntity = UserIdentityAccountId\n",
"Tags": [
{
"Name": "description",
"Value": "Identity and Access Management (IAM) securely manages access to AWS services and resources."
},
{
"Name": "tactics",
"Value": "DefenseEvasion"
},
{
"Name": "createdTimeUtc",
"Value": "12/02/2019 09:21:18"
}
],
"Version": 2
}
}
Parede da caixa
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Se for bem-sucedido: imprima "Successfully returned Microsoft
Sentinel hunting rule {0} details".format(HuntingRuleID). Se não for possível encontrar a regra de alerta pelo AlertID fornecido: imprima "Não foi encontrada a regra de investigação do Microsoft Sentinel com o ID "{0}"!".format(HuntingRuleID). Se erro: imprimir "Não foi possível obter detalhes sobre a regra de investigação do Microsoft Sentinel! O erro é {0}".format(exception.stacktrace). |
Geral |
| Tabela | Título da tabela: detalhes da regra de deteção do Microsoft Sentinel: Colunas: HuntingRuleID (mapeado para o nome), Name (mapeado para displayName), Description, Query, Tactic,Creation TIme |
Geral |
| Anexos | List_HuntingRules.json: contém dados JSON técnicos devolvidos pela ação. | Geral |
Visualizador de JSON |
Mostrar o visualizador de JSON para o resultado da consulta. | Geral |
Crie uma regra de deteção personalizada
Crie uma regra de deteção personalizada do Azure Sentinel.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Consulta | String | N/A | Sim | Especifique a consulta a executar nesta regra de deteção. |
| Nome a apresentar | String | N/A | Sim | Especifique o nome a apresentar para a regra de deteção. |
| Descrição | String | N/A | Não | Especifique a descrição da regra de deteção. |
| Táticas | String | N/A | Não | Especifique táticas para esta regra de deteção. O parâmetro aceita vários valores separados por vírgulas. |
Exemplos de utilização
A ação pode ser usada para criar uma nova regra de deteção de ameaças do Microsoft Sentinel a partir do manual de procedimentos do Google SecOps. Por exemplo, as regras de deteção contêm uma consulta, que pode fornecer dados sobre os processos mais invulgares em execução na sua infraestrutura. Não quer receber um alerta sempre que são executados, pois podem ser totalmente inofensivos, mas pode querer consultar a consulta ocasionalmente para ver se existe algo invulgar. Isto significa que podem ser usadas para recolher mais informações do seu ambiente de rede.
É apresentado em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Parede da caixa
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Se for bem-sucedido: imprima "Regra de investigação do Microsoft Sentinel criada com êxito". Se ocorrer um erro: imprima "Falha ao criar a regra de investigação do Microsoft Sentinel! O erro é {0}".format(exception.stacktrace). |
Geral |
Atualize a regra de deteção personalizada
Atualize a regra de deteção personalizada do Azure Sentinel.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| HuntingRuleID | String | N/A | Sim | Especifique o ID da regra de deteção. |
| Nome a apresentar | String | N/A | Não | Especifique o nome a apresentar para a regra de deteção. |
| Consulta | String | N/A | Não | Especifique a consulta a executar nesta regra de deteção. |
| Descrição | String | N/A | Não | Especifique a descrição. |
| Táticas | String | N/A | Não | Especifique táticas para esta regra de deteção. O parâmetro pode assumir
vários valores separados por vírgulas. |
Exemplos de utilização
A ação pode ser usada para atualizar uma regra de deteção personalizada do Microsoft Sentinel a partir do guia interativo do Google SecOps. Use esta ação se considerar, por exemplo, que uma regra de deteção está muito desatualizada e quiser atualizar vários parâmetros, como uma consulta ou uma descrição. As informações são fundamentais quando se investigam incidentes, pelo que todas as regras de deteção devem ser atualizadas para mostrar informações relevantes.
É apresentado em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Parede da caixa
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Se for bem-sucedido: imprima "Regra de investigação do Microsoft
Sentinel atualizada com êxito com o ID {0}".format(HuntingRuleID). Se
não for possível encontrar a regra de procura pelo HuntingRuleID fornecido: print "Não foi encontrada a regra de procura do Microsoft
Sentinel com o ID "{0}"!".format(HuntingRuleID). Se ocorrer um erro: imprima "Falha ao atualizar a regra de investigação do Microsoft Sentinel! O erro é {0}".format(exception.stacktrace). |
Geral |
Elimine a regra de deteção personalizada
Elimine a regra de deteção personalizada do Azure Sentinel.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| HuntingRuleID | String | N/A | Sim | Especifique o ID da regra de deteção a eliminar. |
Exemplos de utilização
A ação pode ser usada para eliminar uma regra de deteção de ameaças personalizada do Microsoft Sentinel do Google SecOps. Por exemplo, se considerar que uma regra de deteção de ameaças está muito desatualizada e não é necessária para o processo de investigação, é melhor eliminá-la.
É apresentado em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Parede da caixa
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Se for bem-sucedido: imprima "Regra de deteção do Microsoft
Sentinel eliminada com êxito com o ID {0}".format(HuntingRuleID). Se
não for possível encontrar a regra de procura pelo HuntingRuleID fornecido: print "Não foi encontrada a regra de procura do Microsoft
Sentinel com o ID "{0}"!".format(HuntingRuleID). Se ocorrer um erro: imprima "Failed to delete Microsoft Sentinel hunting rule! O erro é {0}".format(exception.stacktrace). |
Geral |
Execute uma regra de deteção personalizada
Executar uma regra de deteção de ameaças personalizada ou favorita do Microsoft Sentinel.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| HuntingRuleID | String | N/A | Sim | Especifique o ID da regra de deteção. |
| Tempo limite | Número inteiro | N/A | Não | O parâmetro usado para especificar um valor de tempo limite para a chamada da API da regra de investigação do Azure Sentinel. |
Exemplos de utilização
A ação pode ser usada para executar regras de deteção de ameaças do Microsoft Sentinel a partir do manual de procedimentos do Google SecOps. A execução de uma consulta de regra de deteção fornece dados sobre os processos mais invulgares em execução na sua infraestrutura. Não vai querer um alerta sempre que são executados, pois podem ser totalmente inocentes, mas pode querer consultar a consulta ocasionalmente para ver se existe algo invulgar. Isto significa que pode ser usado para recolher mais informações do seu ambiente de rede, o que ajuda os investigadores a descobrir todas as nuances relativas a um incidente e a tomar decisões adicionais.
É apresentado em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"tables": [
{
"name": "PrimaryResult",
"columns": [
{
"name": "timerange",
"type": "datetime"
},
{
"name": "AppDisplayName",
"type": "string"
},
{
"name": "UserPrincipalName",
"type": "string"
},
{
"name": "threeDayWindowLocationCount",
"type": "long"
},
{
"name": "locationList",
"type": "dynamic"
},
{
"name": "timestamp",
"type": "datetime"
},
{
"name": "AccountCustomEntity",
"type": "string"
}
],
"rows": [
[
"2019-11-29T00:00:00Z",
"WindowsDefenderATP Portal",
"user@example.com",
2,
"[\"US/Florida/Miami;\",\"AM/Kotayk'/Abovyan;\"]",
"2019-11-29T00:00:00Z",
"user@example.com"
],
[
"2019-12-02T00:00:00Z",
"WindowsDefenderATP Portal",
"user@example.com",
1,
"[\"US/Florida/Miami;\"]",
"2019-12-02T00:00:00Z",
"user@example.com"
],
[
"2019-11-29T00:00:00Z",
"Azure Portal",
"example@example.com",
1,
"[\"UA/Kyiv Misto/Kyiv;\"]",
"2019-11-29T00:00:00Z",
"example@example.com"
],
[
"2019-12-02T00:00:00Z",
"Azure Portal",
"example@example.com",
2,
"[\"UA/Kyiv Misto/Kyiv;\",\"UA/Kyivs'ka Oblast'/Boryspil';\"]",
"2019-12-02T00:00:00Z",
"example@example.com"
],
[
"2019-11-29T00:00:00Z",
"Azure Portal",
"user@example.com",
1,
"[\"RU/Sverdlovskaya Oblast'/Yekaterinburg;\"]",
"2019-11-29T00:00:00Z",
"user@example.com"
],
[
"2019-12-02T00:00:00Z",
"Azure Portal",
"user@example.com",
1,
"[\"RU/Sverdlovskaya Oblast'/Yekaterinburg;\"]",
"2019-12-02T00:00:00Z",
"user@example.com"
]
]
}
]
}
Parede da caixa
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Se for bem-sucedido: imprima "Regra de deteção executada com êxito". Se não conseguir encontrar a regra de procura pela HuntingRuleID fornecida: print "Não foi encontrada a regra de procura do Microsoft Sentinel com o ID "{0}"!".format(HuntingRuleID) Se não for encontrado nada: print
"Hunting rule executed successfully, but did not return any results."
if error: print "Hunting rule didn't completed due to error:
{0}".format(exception.stacktrace) If timeout: print
"Hunting rule didn't completed due to timeout: {0}".format(exception.stacktrace)
Se os resultados da consulta foram truncados: imprima "Os resultados da regra de procura excederam os limites e foram truncados. Reescreva a sua consulta!" |
Geral |
| Tabela | Título da tabela: resultados da regra de deteção de ameaças do Microsoft Sentinel Colunas: gerar dinamicamente colunas com base no resultado da consulta |
Geral |
| Anexos | Run_Hunting_rule_{HuntingRuleID}_response.json: contém os dados JSON técnicos da ação devolvidos. | Geral |
Visualizador de JSON |
Mostrar o visualizador de JSON para o resultado da consulta. | Geral |
Execute uma consulta KQL
Executar uma consulta KQL do Azure Sentinel com base nos parâmetros de entrada da ação fornecidos.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Consulta KQL | String | N/A | Sim | Uma consulta KQL a executar no Azure Sentinel. Por exemplo, para receber alertas de segurança disponíveis no Sentinel, a consulta é \"SecurityAlert\". Use outros parâmetros de entrada de ações (intervalo de tempo, limite) para filtrar os resultados da consulta. Para os exemplos de consultas KQL, considere a página Web "Registos" do Sentinel. |
| Intervalo de tempo | String | N/A | Não | Especifique O período a procurar. O valor de tempo deve estar em conformidade com a norma ISO 8601 e, por exemplo, pode ser usado para especificar a pesquisa das últimas 10 horas ou o intervalo de tempo a pesquisar. Use o seguinte formato: PT + número + (M, H, D), onde M representa minutos, H representa horas e D representa dias. |
| Limite de tempo da consulta | Número inteiro | 180 | Não | Valor de tempo limite para a chamada da API de regra de deteção de ameaças do Azure Sentinel. Tenha em atenção que o tempo limite do processo Python da ação Google SecOps deve ser ajustado em conformidade para este parâmetro, de modo a não exceder o tempo limite da ação antes do valor especificado devido ao tempo limite do processo Python. |
| Limite de registos | Número inteiro | 100 | Não | Quantos registos devem ser obtidos. Parâmetro opcional. Se estiver definido, adiciona um \"| limit x\" à consulta KQL, em que x é o valor definido para o limite de registos. Pode ser removido se "limit" já estiver definido na consulta KQL ou não for necessário. |
Exemplos de utilização
Executar consultas avançadas durante a investigação do registo.
É apresentado em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"tables": [
{
"name": "PrimaryResult",
"columns": [
{
"name": "Reason",
"type": "string"
},
{
"name": "StartTimeUtc",
"type": "datetime"
},
{
"name": "EndTimeUtc",
"type": "datetime"
},
{
"name": "count_",
"type": "long"
},
{
"name": "timestamp",
"type": "datetime"
}
],
"rows": [
[
"Incorrect password",
"2019-10-22T06:38:30.837Z",
"2019-10-22T11:57:00.003Z",
28,
"2019-10-22T06:38:30.837Z"
],
[
"Account name does not exist",
"2019-10-21T15:19:33.727Z",
"2019-10-22T06:40:13.51Z",
3,
"2019-10-21T15:19:33.727Z"
]
]
}
]
}
Parede da caixa
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Se for bem-sucedido: imprima "Query executed successfully" (Consulta executada com êxito). Se não for encontrado nada: imprima "Consulta executada com êxito, mas não devolveu resultados.". If error: print
"Query didn't completed due to error: {0}".format(exception.stacktrace). If timeout: print "Query didn't completed due to timeout:
{0}".format(exception.stacktrace). Se os resultados da consulta foram truncados: imprima "Os resultados da consulta excederam os limites e foram truncados. Recreva a consulta!". |
|
| Tabela | Título da tabela: resultados da consulta KQL Colunas: geram dinamicamente colunas com base no resultado da consulta |
Geral |
| Anexos | Run_KQL_query_response.json: contém dados JSON técnicos devolvidos pela ação. | Geral |
Visualizador de JSON |
Mostrar o visualizador de JSON para o resultado da consulta. | Geral |
Adicionar comentário ao incidente
Adicione um comentário ao incidente do Azure Sentinel.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Número do incidente | Número inteiro | N/A | Sim | Especifique o número do incidente ao qual quer adicionar o comentário. |
| Comentário a adicionar | String | N/A | Sim | Especifique o comentário a adicionar ao incidente |
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Incidents/00cfebdc-c677-463f-8355-cb7f23472c06/Comments/f0f31d1a-d32b-4774-a21d-3279240c7c33",
"name": "f0f31d1a-d32b-4774-a21d-3279240c7c33",
"etag": "\"7e000812-0000-0c00-0000-606fc83f0000\"",
"type": "Microsoft.SecurityInsights/Incidents/Comments",
"properties": {
"message": "Some message",
"createdTimeUtc": "2021-04-09T03:21:35.0894288Z",
"lastModifiedTimeUtc": "2021-04-09T03:21:35.0894288Z",
"author": {
"objectId": "f6ce2f43-6f77-4b30-9a4a-de1a069b2560",
"email": null,
"name": "Comment created from external application - log_analytics_rest_api_for_sentinel",
"userPrincipalName": null
}
}
}
Parede da caixa
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo:
A ação deve falhar e parar a execução de um guia interativo:
|
Geral |
Conetores
Para ver instruções detalhadas sobre como configurar um conetor no Google SecOps, consulte o artigo Configurar o conetor.
Conetor de incidentes do Microsoft Azure Sentinel – Descontinuado
No Google SecOps SOAR, o conector de incidentes do Microsoft Azure Sentinel carrega incidentes do espaço de trabalho específico do Microsoft Sentinel como alertas através da API Azure Security Insights.
O conetor usa capacidades semelhantes às ações List Incidents e Get Incident Details e liga-se ao ponto final do Azure Security Insights para obter uma lista de incidentes gerados durante um período especificado.
Exemplo de utilização do conetor
Use o conector para monitorizar os espaços de trabalho do Microsoft Sentinel quanto a novos incidentes e carregá-los para o servidor SOAR do Google SecOps.
Para garantir o fluxo de tipos de eventos específicos, adicione o conetor de dados ao Microsoft Sentinel. Por exemplo, para adicionar eventos de segurança de anfitriões Windows como um dos conetores de dados, instale um agente do Microsoft Sentinel num anfitrião Windows e configure que tipos de eventos ingerir: eventos de segurança, eventos de firewall, eventos DNS ou outros.
Para gerar alertas com base em condições específicas, defina regras de alerta através de consultas de regras. Quando as regras de alerta criam avisos, acionam o Microsoft Sentinel para gerar eventos, armazenar acidentes de dados e apresentar incidentes na página de incidentes do portal.
Para ler e escrever dados de incidentes de forma programática, use a API REST Security Insights.
Parâmetros do conetor
Para configurar o conector, use os seguintes parâmetros:
| Parâmetros | |
|---|---|
Product Field Name |
Obrigatório
Nome do campo onde o nome do produto está armazenado. O valor predefinido é |
Event Field Name |
Obrigatório
Nome do campo onde o nome do evento está armazenado. O valor predefinido é |
Environment Field Name |
Opcional
Nome do campo onde o nome do ambiente está armazenado. Se o campo do ambiente não for encontrado, é usado o ambiente predefinido. O valor predefinido é |
Environment Regex Pattern |
Opcional
Um padrão de expressão regular a executar no valor encontrado no campo O valor predefinido O parâmetro permite-lhe manipular o campo de ambiente através da lógica de expressão regular. Se o padrão de expressão regular for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado do ambiente final é o ambiente predefinido. |
Azure Subscription ID |
Obrigatório ID da subscrição do Azure. |
Azure Active Directory ID |
Obrigatório ID do inquilino do Microsoft Entra. |
Api Root |
Obrigatório O URL raiz da API management.azure.com a usar com a integração. O valor predefinido é |
Azure Resource Group |
Obrigatório Nome do grupo de recursos do Azure onde o Microsoft Sentinel está localizado. |
Azure Sentinel Workspace Name |
Obrigatório Nome do espaço de trabalho do Microsoft Sentinel com o qual trabalhar. |
Client ID |
Obrigatório ID da aplicação (cliente) do Microsoft Entra usado para esta integração. |
Client Secret |
Obrigatório Valor do segredo do cliente do Microsoft Entra. |
Script Timeout (Seconds) |
Obrigatório Limite de tempo limite para o processo do Python que executa o script atual. O valor predefinido é 180 segundos. |
Offset Time In Hours |
Obrigatório
Número de horas antes do momento atual para obter incidentes. O valor predefinido é 24 horas. |
Incident Statuses to Fetch |
Obrigatório
Estados dos incidentes a obter. Este parâmetro aceita vários valores como uma string separada por vírgulas. O valor predefinido é |
Incident Severities to Fetch |
Obrigatório
Gravidades dos incidentes a obter. Este parâmetro aceita vários valores como uma string separada por vírgulas. O valor predefinido é |
Max Incidents per Cycle |
Obrigatório
Número de incidentes a processar durante uma execução do conetor. Este parâmetro aceita vários valores como uma string separada por vírgulas. O valor predefinido é 10. |
Proxy Server Address |
Opcional
Endereço do servidor proxy a usar. |
Proxy Server Username |
Opcional
Nome de utilizador do proxy para autenticação. |
Proxy Server Password |
Opcional
Palavra-passe do proxy para autenticação. |
Regras de conector
O conetor não suporta listas de bloqueio nem listas dinâmicas.
O conetor suporta proxies.
Conetor de incidentes do Microsoft Azure Sentinel v2
O conetor de incidentes do Microsoft Azure Sentinel v2 é um conetor recomendado para usar quando trabalha com o Microsoft Sentinel. As principais alterações incluem a mudança para os novos pontos finais de incidentes na API Microsoft Sentinel e a introdução da lógica de processamento e análise de entidades de conetores. Para filtrar incidentes específicos do Microsoft Sentinel e obtê-los com base nos nomes dos incidentes, use a lista dinâmica.
É possível que a IU do Microsoft Sentinel apresente as entidades de incidentes, mas a API não as devolva (a lista de entidades está vazia). Como resultado, o conector requer mais tempo para carregar esses incidentes e consultá-los na fila de tarefas pendentes para as execuções do conector seguintes. Assim que as informações das entidades estiverem disponíveis na resposta da API, o conector carrega os incidentes.
Tratamento de alertas do Sentinel agendados e não agendados
Para resolver um problema no conector de incidentes do Microsoft Azure Sentinel quando apresentava incorretamente entidades para todos os alertas que não fossem os alertas agendados do Azure Sentinel, o conector de incidentes do Microsoft Azure Sentinel v2 adiciona um evento adicional para cada entidade.
Isto significa que, se o conector receber uma entidade IP, Conta ou Nome do anfitrião no evento do Google SecOps, adiciona um evento do Google SecOps adicional para cada entidade encontrada. O evento recém-criado pode ser usado para criar entidades e mapear propriedades de entidades no Google SecOps SOAR. Os eventos iniciais permanecem intactos. Os novos eventos são adicionados apenas ao alerta do Google SecOps. Outros tipos de entidades não são afetados por esta lógica e permanecem no evento inicial sem eventos adicionais criados para eles.
Para permitir a criação de eventos adicionais, o conetor usa o ponto final da API entity Sentinel para obter os dados. Por predefinição, os alertas agendados e NRT são carregados através de consultas KQL de análise de registos para obter dados de alertas e eventos. Se
selecionado, o parâmetro Use the same approach with event creation for all alert types?
na configuração do conector usa a mesma abordagem baseada em entidades para
todos os alertas, incluindo os agendados e não agendados. Recomendamos que use esta opção com precaução.
Parâmetros do conetor
Para configurar o conector, use os seguintes parâmetros:
| Parâmetros | |
|---|---|
Product Field Name |
Obrigatório
Nome do campo onde o nome do produto está armazenado. O valor predefinido é |
Event Field Name |
Obrigatório
Nome do campo onde o nome do evento está armazenado. O valor predefinido é |
Environment Field Name |
Opcional
Nome do campo onde o nome do ambiente está armazenado. Se o campo do ambiente não for encontrado, é usado o ambiente predefinido. O valor predefinido é |
Environment Regex Pattern |
Opcional
Um padrão de expressão regular a executar no valor encontrado no campo O valor predefinido O parâmetro permite-lhe manipular o campo de ambiente através da lógica de expressão regular. Se o padrão de expressão regular for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado do ambiente final é o ambiente predefinido. |
Azure Subscription ID |
Obrigatório ID da subscrição do Azure. |
Azure Active Directory ID |
Obrigatório ID do inquilino do Microsoft Entra. |
Api Root |
Obrigatório O URL raiz da API a usar com a integração. O valor predefinido é |
OAUTH2 Login Endpoint Url |
Obrigatório URL do ponto final a usar para a autenticação OAuth 2.0. |
Azure Resource Group |
Obrigatório Nome do grupo de recursos do Azure onde o Microsoft Sentinel está localizado. |
Azure Sentinel Workspace Name |
Obrigatório Nome do espaço de trabalho do Microsoft Sentinel com o qual trabalhar. |
Client ID |
Obrigatório ID da aplicação (cliente) do Microsoft Entra usado para esta integração. |
Client Secret |
Obrigatório Valor do segredo do cliente do Microsoft Entra. |
Script Timeout (Seconds) |
Obrigatório Limite de tempo limite para o processo do Python que executa o script atual. O valor predefinido é 180 segundos. |
Offset Time In Hours |
Obrigatório
Número de horas antes do momento atual para obter incidentes. O valor predefinido é 24 horas. |
Incident Statuses to Fetch |
Obrigatório
Estados dos incidentes a obter. Este parâmetro aceita vários valores como uma string separada por vírgulas. O valor predefinido é |
Incident Severities to Fetch |
Obrigatório
Gravidades dos incidentes a obter. Este parâmetro aceita vários valores como uma string separada por vírgulas. O valor predefinido é |
Use the same approach with event creation for all alert types?
|
Opcional Quando esta opção está selecionada, o conector usa a mesma abordagem para todos os tipos de alertas. Quando esta opção não está selecionada, o conector usa uma abordagem diferente para o tipo de alerta agendado do Azure Sentinel e tenta obter eventos que causaram o alerta executando a consulta especificada nos detalhes do alerta. Desmarcada por predefinição. |
Use whitelist as a blacklist |
Obrigatório
Se estiver selecionada, a lista dinâmica é usada como uma lista de bloqueio. Desmarcada por predefinição. |
Alerts padding period |
Obrigatório
Intervalo de tempo em minutos para o conetor obter alertas de incidentes. O valor predefinido é de 60 minutos. |
Proxy Server Address |
Opcional
Endereço do servidor proxy a usar. |
Proxy Server Username |
Opcional
Nome de utilizador do proxy para autenticação. |
Proxy Server Password |
Opcional
Palavra-passe do proxy para autenticação. |
Max Backlog Incidents per Cycle |
Obrigatório
Número de incidentes a obter do registo pendente durante uma execução do conetor. O valor predefinido é 10. |
StartTimeFallback |
Obrigatório
Lista separada por vírgulas de atributos de incidentes ou alertas a usar como alternativa
para o campo de alerta Se não for encontrado nenhum dos campos alternativos, o conetor usa o atributo O valor predefinido é |
EndTimeFallback |
Obrigatório
Lista separada por vírgulas de atributos de incidentes ou alertas a usar como alternativa
para o campo de alerta Se não for encontrado nenhum dos campos alternativos, o conetor usa o atributo O valor predefinido é |
Enable Fallback Logic Debug? |
Opcional
Se a opção estiver selecionada, o conetor adiciona campos de depuração que contêm os valores usados para o fallback dos eventos criados. Desmarcada por predefinição. |
VendorFieldFallback |
Obrigatório
Lista separada por vírgulas de atributos de incidentes a usar como alternativa para o campo O valor predefinido é |
ProductFieldFallback |
Obrigatório
Lista separada por vírgulas de atributos de incidentes a usar como alternativa para o campo O valor predefinido é |
EventFieldFallback |
Obrigatório
Lista separada por vírgulas de atributos de incidentes a usar como alternativa para o parâmetro O valor predefinido é |
Max New Incidents per cycle |
Obrigatório
Número de incidentes a processar numa execução do conetor. O valor predefinido é 10. |
Wait For Scheduled/NRT Alert Object |
Opcional
Se estiver ativado, o conector aguarda até que um objeto de alerta agendado/NRT esteja disponível. |
Scheduled Alerts Events Limit to Ingest |
Opcional
Número máximo de eventos a carregar para um único alerta agendado do Azure Sentinel ou um alerta NRT. O valor predefinido é 100. |
Incidents Padding Period (minutes) |
Opcional
Período em minutos para o conetor obter incidentes e devolvê-los. Estes incidentes não estão por ordem cronológica. |
Create Siemplify Alerts for Sentinel incidents that do not have
entities? |
Opcional
Se estiver selecionada, o conector cria alertas do Google SecOps a partir de incidentes do Microsoft Sentinel que não têm entidades. Caso contrário, o conetor cria alertas do Google SecOps apenas para alertas agendados e NRT e ignora todos os outros tipos de incidentes do Microsoft Sentinel. Desmarcada por predefinição. |
Incident's Alerts Limit to Ingest |
Opcional
Número máximo de alertas a carregar para cada incidente do Microsoft Sentinel. |
Alert Name Template |
Opcional
Se especificado, o conector usa este valor dos dados de incidentes
devolvidos na resposta da API Microsoft Sentinel para preencher o campo
Pode fornecer um marcador de posição no seguinte formato:
O comprimento máximo do campo é de 256 carateres. Se não for fornecido nenhum valor ou fornecer um modelo inválido, o conector usa o nome do alerta predefinido. |
Rule Generator Template |
Opcional
Se especificado, o conector usa este valor dos dados de incidentes
devolvidos na resposta da API Microsoft Sentinel para preencher o campo
Pode fornecer um marcador de posição no seguinte formato:
O comprimento máximo do campo é de 256 carateres. Se não for fornecido nenhum valor ou fornecer um modelo inválido, o conector usa o valor do gerador de regras predefinido. |
Personalize os campos Nome do alerta e Gerador de regras
O conector permite-lhe personalizar os valores dos campos Siemplify Alert Name e Rule Generator através dos parâmetros Alert Name Template e Rule Generator Template. Para modelos, o conetor obtém informações dos dados de incidentes do Microsoft Sentinel devolvidos pela API.
O exemplo seguinte apresenta os dados de incidentes tal como são devolvidos pela API para referenciar os campos disponíveis no alerta e que podem ser usados para modelos:
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Incidents/d4f632be-0689-93f7-57a6-f27bfabbbad1",
"name": "d4f632be-0689-93f7-57a6-f27bfabbbad1",
"etag": "\"79004534-0000-0d00-0000-63590d610000\"",
"type": "Microsoft.SecurityInsights/Incidents",
"properties": {
"title": "Incident title",
"description": "",
"severity": "Low",
"status": "New",
"owner": {
"objectId": null,
"email": null,
"assignedTo": null,
"userPrincipalName": null
},
"labels": [],
"firstActivityTimeUtc": "2022-10-26T07:00:09.3857965Z",
"lastActivityTimeUtc": "2022-10-26T09:07:02.1083312Z",
"lastModifiedTimeUtc": "2022-10-26T10:35:13.0254798Z",
"createdTimeUtc": "2022-10-26T10:34:55.7454638Z",
"incidentNumber": 380925,
"additionalData": {
"alertsCount": 102,
"bookmarksCount": 0,
"commentsCount": 0,
"alertProductNames": [
"Azure Sentinel"
],
"tactics": [
"InitialAccess",
"Persistence"
]
},
"relatedAnalyticRuleIds": [
"/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/Microsoft.SecurityInsights/alertRules/8a3ca5c5-7875-466e-accd-3bcb2881cdb0"
],
"incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/Microsoft.SecurityInsights/Incidents/d4f632be-0689-93f7-57a6-f27bfabbbad1",
"providerName": "Azure Sentinel",
"providerIncidentId": "380925"
}
}
Regras de conector
O conetor suporta a lista de bloqueios e a lista dinâmica.
O conetor suporta proxies.
Conetor de acompanhamento de incidentes do Microsoft Sentinel
Use o conetor de monitorização de incidentes do Microsoft Sentinel para trabalhar com incidentes do Microsoft Sentinel e obter atualizações dos incidentes do Sentinel como novos alertas do Google SecOps. Pode usar a lista dinâmica para especificar os nomes dos incidentes a obter. Para este conector, recomendamos que configure o agrupamento de alertas do Google SecOps com base no parâmetro SourceGroupIdentifier.
Entradas do conetor
Para configurar o conector, use os seguintes parâmetros:
| Parâmetros | |
|---|---|
Product Field Name |
Obrigatório
Nome do campo onde o nome do produto está armazenado. O valor predefinido é |
Event Field Name |
Obrigatório
Nome do campo onde o nome do evento está armazenado. O valor predefinido é |
Environment Field Name |
Opcional
Nome do campo onde o nome do ambiente está armazenado. Se o campo do ambiente não for encontrado, é usado o ambiente predefinido. O valor predefinido é |
Environment Regex Pattern |
Opcional
Um padrão de expressão regular a executar no valor encontrado no campo O valor predefinido O parâmetro permite-lhe manipular o campo de ambiente através da lógica de expressão regular. Se o padrão de expressão regular for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado do ambiente final é o ambiente predefinido. |
Azure Subscription ID |
Obrigatório ID da subscrição do Azure. |
Entra ID Directory ID |
Obrigatório ID do inquilino do Microsoft Entra. |
Api Root |
Obrigatório O URL raiz da API a usar com a integração. O valor predefinido é |
OAUTH2 Login Endpoint Url |
Obrigatório URL do ponto final a usar para a autenticação OAuth 2.0. |
Azure Resource Group |
Obrigatório Nome do grupo de recursos do Azure onde o Microsoft Sentinel está localizado. |
Azure Sentinel Workspace Name |
Obrigatório Nome do espaço de trabalho do Microsoft Sentinel com o qual trabalhar. |
Client ID |
Obrigatório ID da aplicação (cliente) do Microsoft Entra usado para esta integração. |
Client Secret |
Obrigatório Valor do segredo do cliente do Microsoft Entra. |
Script Timeout (Seconds) |
Obrigatório Limite de tempo limite para o processo Python que executa o script atual. O valor predefinido é 480 segundos. |
Verify SSL |
Opcional Se esta opção estiver selecionada, a integração verifica se o certificado SSL para a ligação ao servidor Microsoft é válido. Selecionado por predefinição. |
Max Hours Backwards |
Obrigatório
O número de horas antes da primeira iteração do conector para obter os incidentes. Este parâmetro aplica-se apenas uma vez à iteração do conector inicial depois de ativar o conector pela primeira vez. O valor predefinido é 24 horas. |
Incident Statuses to Fetch |
Obrigatório
Estados dos incidentes a obter. Este parâmetro aceita vários valores como uma string separada por vírgulas. O valor predefinido é |
Incident Severities to Fetch |
Obrigatório
Gravidades dos incidentes a obter. Este parâmetro aceita vários valores como uma string separada por vírgulas. O valor predefinido é |
Max Incidents per Cycle |
Obrigatório
O número de incidentes a obter do registo pendente durante uma execução do conector. O valor predefinido é 10. |
Use the same approach with event creation for all alert types?
|
Opcional Se selecionada, o conetor usa a mesma abordagem para todos os tipos de alertas. Se não estiver selecionado, o conector usa uma abordagem diferente para o tipo de alerta agendado do Microsoft Sentinel e tenta obter eventos que causaram o alerta executando a consulta especificada nos detalhes do alerta. Não selecionado por predefinição. |
Incidents Tags To Ingest |
Opcional
Uma lista separada por vírgulas de etiquetas de incidentes a carregar. O conector ignora os incidentes que não têm as etiquetas desta lista. |
Use whitelist as a blacklist |
Obrigatório
Se estiver selecionada, a lista dinâmica é usada como uma lista de bloqueio. Não selecionado por predefinição. |
Backlog Expiration Timer |
Obrigatório
Um período em minutos para o conector manter os incidentes numa lista de pendências. O valor predefinido é de 60 minutos. |
StartTimeFallback |
Obrigatório
Uma lista separada por vírgulas de atributos de incidentes ou alertas a usar como alternativa para o campo de alerta Se não for encontrado nenhum dos campos alternativos, o conetor usa o atributo O valor predefinido é |
EndTimeFallback |
Obrigatório
Uma lista separada por vírgulas de atributos de incidentes ou alertas a usar como
alternativa
para o campo de alerta Se não for encontrado nenhum dos campos alternativos, o conetor usa o atributo O valor predefinido é |
Enable Fallback Logic Debug? |
Opcional
Se estiver selecionada, o conector adiciona campos de depuração que contêm os valores usados para o recurso aos eventos criados. Não selecionado por predefinição. |
VendorFieldFallback |
Obrigatório
Uma lista separada por vírgulas de atributos de incidentes a usar como alternativa para o campo O valor predefinido é |
ProductFieldFallback |
Obrigatório
Uma lista separada por vírgulas de atributos de incidentes a usar como alternativa para o campo O valor predefinido é |
EventFieldFallback |
Obrigatório
Uma lista separada por vírgulas de atributos de incidentes a usar como alternativa para o parâmetro O valor predefinido é |
Max Backlog Incidents per cycle |
Obrigatório
O número de incidentes a obter do backlog numa execução do conetor. O valor predefinido é 10. |
Disable Overflow |
Opcional Se estiver selecionada, o conetor desativa um excesso de eventos. Não selecionado por predefinição. |
Total Number of Scheduled Alerts Events Limit to Ingest |
Opcional
O número máximo de eventos a carregar para um único alerta agendado do Microsoft Sentinel ou um alerta NRT. O valor predefinido é 100. |
Create Chronicle SOAR Alerts for Sentinel incidents that do not
have entities? |
Opcional
Se estiver selecionada, o conector cria alertas do Google SecOps a partir de incidentes do Microsoft Sentinel que não têm entidades. Caso contrário, o conetor cria alertas do Google SecOps apenas para alertas agendados e NRT e ignora todos os outros tipos de incidentes do Microsoft Sentinel. Não selecionado por predefinição. |
Incident's Alerts Limit to Ingest |
Opcional
O número máximo de alertas a carregar para cada incidente do Microsoft Sentinel. |
Incidents Padding Period (minutes) |
Opcional
Período em minutos antes do momento atual para o conector obter incidentes e devolvê-los. O conector não devolve incidentes por ordem cronológica. |
Alert Name Template |
Opcional
Se especificado, o conector usa este valor dos dados de incidentes devolvidos na resposta da API Microsoft Sentinel para um nome de alerta do Google SecOps SOAR. Pode fornecer um marcador de posição no seguinte formato:
O comprimento máximo do campo é de 256 carateres. Se não for fornecido nenhum valor ou fornecer um modelo inválido, o conector usa o nome do alerta predefinido. |
Rule Generator Template |
Opcional
Se especificado, o conector usa este valor dos dados de incidentes devolvidos na resposta da API Microsoft Sentinel para um gerador de regras SOAR do Google SecOps. Pode fornecer um marcador de posição no seguinte formato:
O comprimento máximo do campo é de 256 carateres. Se não for fornecido nenhum valor ou fornecer um modelo inválido, o conector usa o valor do gerador de regras predefinido. |
How many hours to track ingested incident for updates |
Obrigatório
Um período para o conector acompanhar os incidentes do Sentinel já carregados para atualizações, como a adição de novos eventos ou entidades, ou detalhes de incidentes. O valor predefinido é 24 horas. |
Wait For Scheduled/NRT Alert Object |
Opcional
Se estiver ativado, o conector aguarda até que um objeto de alerta agendado/NRT esteja disponível. |
Proxy Server Address |
Opcional
Endereço do servidor proxy a usar. |
Proxy Server Username |
Opcional
Nome de utilizador do proxy para autenticação. |
Proxy Server Password |
Opcional
Palavra-passe do proxy para autenticação. |
Regras de conector
O conector de acompanhamento de incidentes do Microsoft Sentinel suporta listas de bloqueio e listas dinâmicas.
Empregos
A integração do Microsoft Sentinel suporta a tarefa Microsoft Sentinel - Sync Incidents.
Microsoft Sentinel - Sync Incidents
Use a tarefa Microsoft Sentinel - Sync Incidents para sincronizar os alertas do Google SecOps com os incidentes do Microsoft Sentinel. Garante que os comentários, o estado e as etiquetas são mantidos sincronizados entre os dois sistemas.
Para que a tarefa identifique as informações corretas, o registo do Google SecOps tem de ter a etiqueta Microsoft Sentinel Incident. Se um alerta não tiver origem no Microsoft Azure Sentinel Incident Connector v2, tem de adicionar um valor de contexto Incident_ID ao registo para que a tarefa encontre as informações corretas.
Comportamento do trabalho
Este trabalho é composto por duas partes principais: 1. A tarefa sincroniza os estados dos alertas, os comentários e as etiquetas do Microsoft Sentinel com o Google SecOps. 1. A tarefa sincroniza todas as atualizações do Google SecOps de volta para o Microsoft Sentinel.
A tarefa processa um número máximo de registos por iteração para garantir um desempenho estável. Baseia-se na hora da última modificação de um registo para garantir que não são perdidas atualizações.
Quando um alerta é fechado num dos sistemas, a tarefa sincroniza o encerramento. O mapeamento de estados é o seguinte:
Maliciousé mapeado para um estado do Microsoft Sentinel deClosedcom um motivo deTrue Positive.Not Maliciousé mapeado para um estado do Microsoft Sentinel deClosedcom um motivo deFalse Positive.- Qualquer outro valor de encerramento é mapeado para um estado do Microsoft Sentinel de
Closedcom um motivoUnknown.
Os comentários são sincronizados bidirecionalmente. Para evitar um ciclo de sincronização, a tarefa aplica um prefixo a cada comentário.
As etiquetas também são sincronizadas com os mesmos prefixos para distinguir a respetiva origem.
Notas importantes sobre a limitação da taxa da API
Esta tarefa tira partido da API Microsoft Graph para gerir incidentes, que tem um limite de taxa de 20 pedidos por minuto. Para reduzir o risco de atingir este limite e afetar outros componentes da integração, recomendamos vivamente que configure uma app do Microsoft Entra ID separada especificamente para esta tarefa.
A única autorização necessária é SecurityIncident.ReadWrite.All.
Parâmetros de emprego
A tarefa Microsoft Sentinel - Sync Incidents requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Environment Name |
Obrigatório. O nome do ambiente a partir do qual sincronizar incidentes. O valor predefinido é |
Azure Active Directory ID |
Obrigatório. O ID exclusivo do seu diretório no Azure. Também conhecido como o seu ID do inquilino. |
OAUTH2 Login Endpoint Url |
Obrigatório. O URL do ponto final OAuth 2.0 onde a tarefa pede um token de autenticação. O valor predefinido é |
API Root |
Obrigatório. O URL base da API Graph. A tarefa anexa chamadas da API específicas a este URL raiz para obter dados. O valor predefinido é |
Client ID |
Obrigatório. O ID exclusivo da aplicação registada no Azure Active Directory. Este ID é usado para autenticar e conceder à sua aplicação acesso ao Microsoft Sentinel. |
Client Secret |
Obrigatório. A chave confidencial usada com o |
Max Hours Backwards |
Obrigatório. O número de horas no passado para sincronizar incidentes. O valor predefinido é |
Verify SSL |
Obrigatório/opcional. Se esta opção estiver selecionada, a integração valida o certificado SSL quando se liga ao servidor do Microsoft Sentinel. Ativada por predefinição. |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.