Microsoft Azure Sentinel
Versão da integração: 44.0
Essa integração usa um ou mais componentes de código aberto. Faça o download de uma cópia compactada do código-fonte completo dessa integração no bucket do Cloud Storage.
Casos de uso
- Monitore e inspecione alertas criados no Sentinel com base em eventos de hosts locais e serviços da Microsoft baseados na nuvem, como o Microsoft 365 e o Microsoft 365 Cloud App Security.
- Use os dados coletados e correlacionados no Sentinel para enriquecer as informações ao investigar um incidente específico. Os analistas podem usar os dados coletados e armazenados no Sentinel em investigações, por exemplo, para detalhar informações específicas (inspecionar dados de alertas, como registros do Syslog) ou consultar atividades em um período específico ou de hosts específicos.
Pré-requisitos
Você precisa de autorização no Microsoft Entra ID para configurar primeiro e executar solicitações na API Microsoft Security Insights. Você precisará configurar as permissões:
- Crie o app do Microsoft Entra.
- Crie uma chave secreta do cliente.
- Conceda ao app registrado do Microsoft Entra acesso ao espaço de trabalho do Microsoft Sentinel.
- Use o aplicativo do Microsoft Entra para receber um token de acesso.
Criar um app do Microsoft Entra
Faça login no portal do Azure como administrador de usuários ou de senhas.
Selecione Microsoft Entra ID.
Acesse Registros de apps > Novo registro.
Digite o nome do app.
Selecione o Tipo de conta aceito aplicável.
Clique em Registrar.
Salve os valores de ID do aplicativo (cliente) e ID do diretório (locatário) para usar depois ao configurar os parâmetros de integração.
Criar chave secreta do cliente
Navegue até Certificados e chaves secretas > Nova chave secreta do cliente.
Descreva uma chave secreta do cliente e defina o prazo de validade dela.
Clique em Adicionar.
Salve o valor da chave secreta do cliente (não o ID secreto) para usá-lo como o valor do parâmetro
Client Secretao configurar a integração. O valor do segredo do cliente é mostrado apenas uma vez.
Conceder acesso registrado do Microsoft Entra ao espaço de trabalho do Microsoft Sentinel
Acesse a página de visão geral do Microsoft Sentinel.
Clique em Configurações.
Clique em Controle de acesso (IAM).
Na seção Adicionar uma atribuição de função, clique em Adicionar.
Configure os seguintes parâmetros:
Função =
Azure Sentinel Contributor.Atribuir acesso a =
default, Microsoft Entra ID user group, or service principal.
Na seção Selecionar, forneça uma condição de pesquisa para encontrar seu app e adicione uma atribuição de função a ele.
Acesse a página de espaços de trabalho do Microsoft Sentinel. Encontre e configure os seguintes parâmetros:
Azure Resource GroupAzure Sentinel Workspace Name
Integrar o Microsoft Azure Sentinel ao SOAR do Google SecOps
Para instruções detalhadas sobre como configurar uma integração no Google Security Operations, consulte Configurar integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância em que você pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| ID da assinatura do Azure | String | N/A | Sim | ID da assinatura do Microsoft Azure, que pode ser encontrada em Portal do Azure > Assinaturas > ID da assinatura <Sua assinatura>. |
| ID do Azure Active Directory | String | N/A | Sim | O ID do locatário do Microsoft Entra pode ser visto em Microsoft Entra > Registro de app > ID do diretório (locatário) <aplicativo configurado para sua integração>. |
| Raiz da API | String | https://management.azure.com | Sim | URL raiz da API Management.azure.com para usar com a integração. |
| Grupo de recursos do Azure | String | N/A | Sim | Nome do grupo de recursos do Azure em que o Microsoft Sentinel está localizado. |
| Nome do espaço de trabalho do Azure Sentinel | String | N/A | Sim | Nome do espaço de trabalho do Microsoft Sentinel com que você quer trabalhar. Pode ser visualizado no portal do Azure > Microsoft Sentinel > Espaços de trabalho do Microsoft Sentinel. |
| ID do cliente | String | N/A | Sim | ID do cliente (aplicativo) adicionado para o registro do app no Microsoft Entra para essa integração. |
| Chave secreta do cliente | Senha | N/A | Sim | Uma senha secreta inserida para o registro do app do Azure Sentinel. |
| Executar remotamente | Caixa de seleção | Desmarcado | Não | Marque a caixa para executar a integração configurada remotamente. Depois de marcada, a opção aparece para selecionar o usuário remoto (agente). |
Ações
Ping
Teste a conectividade com o espaço de trabalho do Microsoft Sentinel usando os parâmetros fornecidos na página de configuração da integração, na guia "Marketplace do Google Security Operations".
Casos de uso
A ação é usada para testar a conectividade na página de configuração da integração na guia "Marketplace" do Google Security Operations e pode ser executada como uma ação manual, que não é usada em playbooks.
Data de execução
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Se tudo der certo:imprima "Conexão bem-sucedida com o
espaço de trabalho do Microsoft Sentinel usando os parâmetros de conexão fornecidos!". Se não funcionar:imprima "Failed to connect to the Microsoft Sentinel Workspace! O erro é {0}".format(exception.stacktrace). |
Geral |
Listar incidentes
Lista incidentes do Microsoft Sentinel com base nos critérios de pesquisa fornecidos.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Período | Número inteiro | 3 | Não | Especifique um período em horas para buscar incidentes. |
| Status | String | Nova, ativa, fechada | Não | Especifique os status dos incidentes a serem procurados. O parâmetro aceita vários valores como uma string separada por vírgulas. |
| Gravidade | String | Informativo, baixo, médio, alto | Não | Especifique as gravidades dos incidentes que você quer procurar. O parâmetro aceita vários valores como uma string separada por vírgulas. |
| Quantos incidentes buscar | Número inteiro | 200 | Não | Quantos incidentes buscar. Por padrão, os 200 incidentes mais recentes são retornados. |
Casos de uso
A ação pode ser usada para listar incidentes do Microsoft Sentinel no playbook do Google SecOps.
Data de execução
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"value": [
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases/323032be-5b0d-4661-944f-ff9557597e50",
"name": "323032be-5b0d-4661-944f-ff9557597e50",
"etag": "\"2100e65a-0000-0d00-0000-5de3b1bf0000\"",
"type": "Microsoft.SecurityInsights/Cases",
"properties": {
"title": "Suspicious process injection observed",
"description": "A process abnormally injected code into another process, As a result, unexpected code may be running in the target process memory. Injection is often used to hide malicious code execution within a trusted process. \nAs a result, the target process may exhibit abnormal behaviors such as opening a listening port or connecting to a command and control server.",
"severity": "Medium",
"status": "New",
"labels": ["add_tag"],
"endTimeUtc": "2019-11-29T03:42:05Z",
"startTimeUtc": "2019-11-29T03:42:05Z",
"owner": {
"objectId": null
},
"lastUpdatedTimeUtc": "2019-12-01T12:27:43Z",
"createdTimeUtc": "2019-11-29T07:13:32.0266519Z",
"relatedAlertIds": ["2462474c-b6d9-6937-17ee-c2a62671c2f8"],
"relatedAlertProductNames": ["Microsoft Defender Advanced Threat Protection"],
"caseNumber": 2276,
"totalComments": 0,
"metrics": {
"SecurityAlert": 1
},
"firstAlertTimeGenerated": "2019-11-29T07:13:31.961602Z",
"lastAlertTimeGenerated": "2019-11-29T07:13:31.961602Z"
}
},{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases/c7939be8-32fb-415c-9f7c-c13325d6c48b",
"name": "c7939be8-32fb-415c-9f7c-c13325d6c48b",
"etag": "\"1900f5e2-0000-0d00-0000-5de0c5110000\"",
"type": "Microsoft.SecurityInsights/Cases",
"properties": {
"title": "Suspicious Power Shell command line",
"description": "A suspicious PowerShell activity was observed on the machine. \nThis behavior may indicate that PowerShell was used during installation, exploration, or in some cases in lateral movement activities which are used by attackers to invoke modules, download external payloads, or get more information about the system. Attackers usually use PowerShell to bypass security protection mechanisms by executing their payload in memory without touching the disk and leaving any trace.\r\nOur algorithms found the behaviors of this process to be suspicious due to the following factors:\nSuspicious memory activity\nExecutes suspicious PowerShell commands",
"severity": "Medium",
"status": "New",
"labels": [],
"endTimeUtc": "2019-11-29T03:42:04.9552017Z",
"startTimeUtc": "2019-11-29T03:42:04.9552017Z",
"owner": {
"objectId": null
},
"lastUpdatedTimeUtc": "2019-11-29T07:13:21Z",
"createdTimeUtc": "2019-11-29T07:13:21.6858164Z",
"relatedAlertIds": [
"d053f17e-6153-d171-9f4d-82389442aa35"
],
"relatedAlertProductNames": [
"Microsoft Defender Advanced Threat Protection"
],
"caseNumber": 2275,
"totalComments": 0,
"metrics": {
"SecurityAlert": 1
},
"firstAlertTimeGenerated": "2019-11-29T07:13:21.5885314Z",
"lastAlertTimeGenerated": "2019-11-29T07:13:21.5885314Z"
}
}
],
"nextLink": "https://management.azure.com:443/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases?api-version=2019-01-01-preview&$skipToken=H4sIAAAAAAAEAE1VTVMiSxD8MR45LIstukbsIbvnqxmGcRgR2xsiFqA44soiHt5vf1nzfOwaQUg31fWRlVnVGfvo8p-Jf5jhavBejW1_jQvon5OfP0_G15ffT67H7rLX7fIQXQ4P64vB583efZqXUSo7zGaRvS4-inWzK9Z-V3ze3RSfxfko8ufFdfy7jIpu8Snd8vkXTnx9c9k78XF52T87O-2fJFdXlxCZfMUDItN-zflJ2m9o-EmRx13Efi52cvw9Fnf2LBmvkW0-aBJwK8kUSYPp0R88pm_m9s-5gg2uKx9y9PMMu1yuOqgNaklrOGPfBDtMAu4FfawNZpJ2EDXWChZYGCwl2iBt7EpQovKARD1k3pb6u_Vqt4ELdqy_nw7mhSQ7pN5e6RnGbQQ9PDUYSNpHEnAjaQzUtiM2x71HLoMNoXCVoMZMz4wHg6FkueaXCrZYBHiJWYG3tEuRVke8Dog69ccs9uJ2wNxaJJ55OsASmmDvBB3F7VaQoarQ0XzjyiKOe4gDluo0laO_HN752wa_5a6-Ow3x_R88BYU_yOt7b1B6PPyN-_Ps6fHv8_ez7vLv876R1fFs2fftaLqsFjgPUV9GNevPzqRc4D1EvyXvYGPYN2yHfv9_XnYBt7A77ddgh-fgSin6tM_mEh3sqcFaHrb4HqI7sStrGvcm-RafjTMy7GHl7d262WDR2B-Sl9g27pcMD3gI2TfGsYx_LqMF3kJUSdnjO2QyP-DdR5EMd1gaPB3zT0E_5Uz9PjXsc1TiNtieDDroBdr73AafXMg0tXUTL-Wxr_cdGfUYN5qITzEPvXu51fjOyjDFKkSPks6Ytw1S9e0oJE4ea4xDZsgje9bikdqdd-eS7zA49p_0Sxb-1KdP4nd4CW4pfoVNg0TmM-JD-0GNZXAHGXbw4l0jWY1n40T9rIx7krRXLrwbiZ_ixdAuW9A-Wio-pyZKJT_gYNyH5n0d0ldJOuxnJFLMGMd2xYWjvgbChG5XSWPcWP3Q316GW5SGOEe5fQxJLVXqbkzcl3pnfcjexP3R5w9KvfkgPw3GcLHyc6p-Jh5d1ZElXwUrXDX4IW6hI8SL7ek82JIHuDKq4xWyVrf6X_WZwXueaVc2eBe3Jf8hjufU41yiVOPYPa9UD3oeNvgU6sex7-JKeMN41OWQI-br_lTiKUaN6qqGb_W9UOndq95co_lu4APIx43ml4lVnmMjrsbIMB5lmhvOA94XBhOxrBfVs7gp-45X9RMFjj47o36t0zmVCGXrVVH4T5AxgmAILdDZVOfUTmTl8yM_CNLryj4aFzSfNGgczolf0FkQZ4orpcU4HIZWtVqJc_qSw3elcWDhUATOI-LP_DPBTOvjHDogC4j2joOWqei7rFGdMNv2HVxpiBftaB8RX1bIy2SF2qOnOHLOpWKd4hjEliyWzxolAeMRp0x5gIHmfa15JgbcC6nyICiuxOmpzXdOXPh-oPOSc5D2Y62F9U2UF8OAR84FjRfpPGU_K-0reVBVbqV822nfuU_4Tir2s5R4q3lM27447gX6rwxG4gqlJhQh8uWXuI32nfypHPMrxXW03y-ijPb8nXhfeRjtq9V-sq_s00RxoX2u8xzKD3fQep-Ur2xFrf1ivE_pLLJXk1SSpyga9bsD56KNW9nJN9UBeeR4pa2qFNdE9wd5ETOBmPyhXu7b-i-YpDYV1VL3j2_76cA7r3WQ13eKD_F0MXk58Lj6wtdXxD1S3nP_MQ-397E2vmr3o2e-xIlbhfEP2s_f4mbah1jrJL573a_EdSRc2eTDWnXoW35wL7X17rT-i5YXc8ut1Oqzrzrm3nRfOA0Vp6TlH3kvvrUbNHhWnCOv_c25l6lL8iXlnod6t1i1um9QtHwMzIP99OrHFvTrFBTV1rnyKt4zb8VJ9cX6klYPFR2pJJzydy12q3ik6geqa-ojbeeItbTnHnfUVfXzX2qVoX91CQAA"
}
Painel de casos
| Tipo de resultado | Valor/ Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Se for bem-sucedido e receber dados: imprima "Incidentes do Microsoft Sentinel retornados com sucesso". Se nada for encontrado, imprima "Não foi possível encontrar incidentes". if error: print "Failed to list Microsoft Sentinel incidents! O erro é {0}".format(exception.stacktrace). |
Geral |
| Tabela | Título da tabela:incidentes do Microsoft Sentinel encontrados: Colunas:incident_number, incident_id, title, description, severity, status, labels, assigned to, alert product names, created time, last updated time |
Geral |
| Anexos | List_Incidents.json: contém os dados JSON técnicos retornados pela ação. | Geral |
Visualizador de JSON |
Mostra o visualizador JSON para o resultado da consulta. | Geral |
Atualizar detalhes do incidente
Atualiza um incidente do Microsoft Sentinel.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Número do caso do incidente | Número inteiro | N/A | Sim | Especifique o número do incidente do Azure Sentinel a ser atualizado. |
| Título | String | N/A | Não | Especifique um novo título para o incidente do Azure Sentinel. |
| Gravidade | DDL | Não atualizado (valores possíveis: Não atualizado, Informativo, Baixo, Médio, Alto) |
Não | Especifique uma nova gravidade para o incidente do Azure Sentinel. |
| Descrição | String | N/A | Não | Especifique uma nova descrição para o incidente do Azure Sentinel. |
| Atribuído a | String | N/A | Não | Especifique o usuário a quem o incidente será atribuído. |
| Status | DDL | Não atualizado (valores possíveis: Não atualizado, Novo, Ativo, Fechado) | Não | Especifique o novo status do incidente do Azure Sentinel. |
| Motivo do encerramento | DDL | Não atualizado (valores possíveis: |
Não | Se o status do incidente for definido como "Encerrado", informe um motivo para o encerramento. |
| Fechar comentário | String | N/A | Não | Comentário de encerramento opcional para o incidente fechado do Azure Sentinel. |
| Número de novas tentativas | Número inteiro | 1 | Sim | Especifique o número de novas tentativas que a ação deve fazer se a atualização do incidente não for bem-sucedida. |
| Tentar a cada | Número inteiro | 20 | Sim | Especifique o período que a ação vai esperar entre as tentativas de atualização do incidente. |
Casos de uso
A ação pode ser usada para atualizar um incidente do Microsoft Sentinel no playbook do Google SecOps. Ele pode ser usado como uma ação resultante em um fluxo de trabalho que envolve a análise de um incidente do Microsoft Sentinel.Depois que os incidentes são processados no Google SecOps, eles podem ser atualizados para indicar o progresso da análise (por exemplo, definir assignedTo, definir o status como inProgress etc.).
Data de execução
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
O resultado JSON é retornado para a solicitação 2 e contém os seguintes detalhes atualizados do incidente:
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases/9e5c0afc-b7a6-4eac-8164-9242ad710a66",
"name": "9e5c0afc-b7a6-4eac-8164-9242ad710a66",
"etag": "\"12002b5c-0000-0d00-0000-5dde83730000\"",
"type": "Microsoft.SecurityInsights/Cases",
"properties": {
"title": "Activity from a Tor IP address",
"description": "A failed sign in was detected from a Tor IP addressThe Tor IP address 203.0.113.200 was used by Example User - Test User Spec (user@example.com).",
"severity": "Informational",
"status": "InProgress",
"assignedTo": "test@example.com",
"labels": [],
"closeReason": "Resolved",
"endTimeUtc": "2019-11-27T01:56:03.4651258Z",
"startTimeUtc": "2019-11-27T01:56:03.4651258Z",
"owner": {
"objectId": null,
"email": "test@example.com"
},
"lastUpdatedTimeUtc": "2019-11-27T14:08:51Z",
"createdTimeUtc": "2019-11-27T05:01:11.1139394Z",
"relatedAlertIds": [
"2a96343c-e551-4529-96f1-18d6f734470d"
],
"relatedAlertProductNames": [
"Azure Sentinel"
],
"caseNumber": 2274,
"totalComments": 0,
"metrics": {
"SecurityAlert": 1
},
"firstAlertTimeGenerated": "2019-11-27T05:01:10.2574659Z",
"lastAlertTimeGenerated": "2019-11-27T05:01:10.2574659Z"
}
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Se for bem-sucedido:imprima "O incidente do Microsoft Sentinel {0} foi atualizado".format(IncidentID). Se não for possível encontrar o incidente pelo número de caso fornecido:imprima "O incidente do Microsoft Sentinel com o número de caso {0} não foi encontrado!".format(incident_case_number). Se houver um erro:imprima "Falha ao atualizar o incidente do Microsoft Sentinel! O erro é {0}".format(exception.stacktrace). |
Geral |
Atualizar rótulos de incidentes
Atualize rótulos em um incidente específico do Microsoft Sentinel.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Número do caso do incidente | Número inteiro | 2273 | Sim | Especifique o número do incidente do Azure Sentinel para atualizar com novos rótulos. |
| Rótulos | String | malware | Sim | Especifique novos rótulos que serão anexados ao incidente. O parâmetro aceita vários valores como uma string separada por vírgulas. |
| Número de novas tentativas | Número inteiro | 1 | Sim | Especifique o número de novas tentativas que a ação deve fazer se a atualização do incidente não for concluída. |
| Tentar a cada | Número inteiro | 20 | Sim | Especifique o período que a ação deve esperar entre as novas tentativas de atualização de incidentes. |
Casos de uso
A ação pode ser usada para atualizar os rótulos de incidentes do Microsoft Sentinel no playbook do Google SecOps. O usuário pode usar essa ação para atribuir tags (rótulos) específicas a incidentes específicos, se necessário. Por exemplo, se hosts específicos fizerem parte desse incidente, é preciso ter um rótulo específico.
Data de execução
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
O resultado JSON é retornado para a solicitação 2 e contém detalhes atualizados do incidente:
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases/9e5c0afc-b7a6-4eac-8164-9242ad710a66",
"name": "9e5c0afc-b7a6-4eac-8164-9242ad710a66",
"etag": "\"12002b5c-0000-0d00-0000-5dde83730000\"",
"type": "Microsoft.SecurityInsights/Cases",
"properties": {
"title": "Activity from a Tor IP address",
"severity": "Informational",
"status": "InProgress",
"labels": [
"malware",
"trojan"
],
"endTimeUtc": "2019-11-27T01:56:03.4651258Z",
"startTimeUtc": "2019-11-27T01:56:03.4651258Z",
"owner": {
"objectId": null,
},
"lastUpdatedTimeUtc": "2019-11-27T14:08:51Z",
"createdTimeUtc": "2019-11-27T05:01:11.1139394Z",
"relatedAlertIds": [
"2a96343c-e551-4529-96f1-18d6f734470d"
],
"relatedAlertProductNames": [
"Azure Sentinel"
],
"caseNumber": 2274,
"totalComments": 0,
"metrics": {
"SecurityAlert": 1
},
"firstAlertTimeGenerated": "2019-11-27T05:01:10.2574659Z",
"lastAlertTimeGenerated": "2019-11-27T05:01:10.2574659Z"
}
}
Painel de casos
| Tipo de resultado | Valor/ Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Se for bem-sucedido: "O incidente {0} do Microsoft Sentinel foi atualizado com os seguintes rótulos: {1}".format(IncidentID, [labels_list]).
Se não for possível encontrar o incidente pelo número de caso fornecido: "O incidente do Microsoft Sentinel com o número de caso {0} não foi encontrado!".format(incident_case_number). Se o usuário tiver fornecido um rótulo que já existe no incidente (isSuccess=False): "Os rótulos a seguir não foram adicionados aos rótulos do Microsoft Sentinel para o incidente {0} porque já existem: {1}".format(IncidentID, [labels_list]) Se o erro for: "Não foi possível atualizar os rótulos do incidente do Microsoft Sentinel! O erro é {0}".format(exception.stacktrace). |
Geral |
Receber estatísticas de incidentes
Recebe estatísticas de incidentes do Azure Sentinel.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Período | Número inteiro | 3 | Não | Especifique o período em que as estatísticas serão mostradas. |
Casos de uso
A ação pode ser usada para mostrar relatórios do Playbook do Google SecOps para eventos do Microsoft Sentinel. Essa ação fará parte do playbook em que um usuário interage com o alarme do Microsoft Sentinel criado quando, por exemplo, um aviso foi processado e removido. Essa ação pode ser implementada para conferir um resultado dos incidentes do Microsoft Sentinel na página "Lições aprendidas".
Por outro lado, pode ser um método de interface do usuário, em vez de usar o app Windows Sentinel, para permanecer no Google SecOps.
Data de execução
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Aggregations/Cases",
"name": "Cases",
"type": "Microsoft.SecurityInsights/Aggregations",
"kind": "CasesAggregation",
"properties": {
"aggregationBySeverity": {
"totalCriticalSeverity": 1,
"totalHighSeverity": 2,
"totalMediumSeverity": 554,
"totalLowSeverity": 1714,
"totalInformationalSeverity": 1
},
"aggregationByStatus": {
"totalNewStatus": 2268,
"totalInProgressStatus": 4,
"totalResolvedStatus": 1,
"totalDismissedStatus": 0,
"totalTruePositiveStatus": 2,
"totalFalsePositiveStatus": 1
}
}
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Se for bem-sucedido e receber dados:imprima "Estatísticas de incidentes do Microsoft Sentinel retornadas com sucesso". Se erro: print "Falha ao receber as estatísticas de incidentes do Microsoft Sentinel! Error is {0}".format(exception.stacktrace). |
Geral |
| Tabela 1 | Título da tabela:estatísticas de incidentes do Microsoft Sentinel por gravidade: Colunas:crítica (mapeada para totalCriticalSeverity), alta (mapeada para totalHighSeverity), média (mapeada para totalMediumSeverity), baixa(mapeada para totalLowSeverity) e informativa(mapeada para totalInformationalSeverity). |
Geral |
| Tabela 2 | Título da tabela:estatísticas de incidentes do Microsoft Sentinel por status: Colunas:New(mapped to totalNewStatus), InProgress(mapped to totalInProgressStatus), Resolved(mapped to totalResolvedStatus), Dismissed(mapped to totalDismissedStatus) , TruePositive(mapped to totalTruePositiveStatus), FalsePositive(mapeado para totaFalsePositiveStatus) |
Geral |
Visualizador de JSON |
Mostra o visualizador JSON para o resultado da consulta. | Geral |
Listar regras de alerta
Receba a lista de regras programadas do Azure Sentinel.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Gravidade da regra de alerta | String | Informativo, baixo, médio, alto, crítico | Não | Especifique as gravidades das regras de alerta que você quer procurar. O parâmetro aceita vários valores como uma string separada por vírgulas. |
| Buscar tipos de regra de alerta específicos | String | N/A | Não | Especifique quais tipos de alerta a ação deve retornar. O parâmetro aceita vários valores como uma string separada por vírgulas. Se nenhum valor for fornecido, retorne todos os tipos de alerta possíveis. |
| Buscar táticas de regras de alerta específicas | String | N/A | Não | Especifique o que a ação de táticas da regra de alerta deve retornar. O parâmetro aceita vários valores como uma string separada por vírgulas. Se o valor não for fornecido, retorne todos os tipos de alerta possíveis. |
| Buscar somente regras de alerta ativadas? | Caixa de seleção | Desmarcado | Não | Especifique se a ação deve retornar apenas regras de alerta ativadas. |
| Número máximo de regras a serem retornadas | Número inteiro | N/A | Não | Quantas regras de alerta programado a ação deve retornar, por exemplo, 50. |
Casos de uso
A ação pode ser usada para listar regras de alerta do Microsoft Sentinel no playbook do Google SecOps. É possível listar as regras de alerta para garantir que você preparou uma regra para cada tipo de ameaça e anomalia suspeita no seu ambiente. Se você notar que algumas situações não estão sendo tratadas adequadamente, atualize imediatamente uma regra de alerta ou crie uma nova. A regra de alerta do Microsoft Sentinel garante que você seja notificado imediatamente para que possa triar, investigar e corrigir as ameaças.
Data de execução
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"value": [
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/alertRules/4bdce24d-7837-4f02-9f7a-10824f376517",
"name": "4bdce24d-7837-4f02-9f7a-10824f376517",
"etag": "\"00002f05-0000-0d00-0000-5d9db9970000\"",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "MicrosoftSecurityIncidentCreation",
"properties": {
"productFilter": "Azure Active Directory Identity Protection",
"severitiesFilter": null,
"displayNamesFilter": null,
"displayName": "Create incidents based on Azure Active Directory Identity Protection alerts",
"enabled": true,
"description": "Create incidents based on all alerts generated in Azure Active Directory Identity Protection",
"tactics": null,
"alertRuleTemplateName": "532c1811-79ee-4d9f-8d4d-6304c840daa1",
"lastModifiedUtc": "2019-10-09T10:42:31.5264376Z"
}
},
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/alertRules/540f68c9-9397-49c7-8953-8efce08d6e62",
"name": "540f68c9-9397-49c7-8953-8efce08d6e62",
"etag": "\"00003105-0000-0d00-0000-5d9db9ad0000\"",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "MicrosoftSecurityIncidentCreation",
"properties": {
"productFilter": "Azure Security Center",
"severitiesFilter": null,
"displayNamesFilter": null,
"displayName": "Create incidents based on Azure Security Center alerts",
"enabled": true,
"description": "Create incidents based on all alerts generated in Azure Security Center",
"tactics": null,
"alertRuleTemplateName": "90586451-7ba8-4c1e-9904-7d1b7c3cc4d6",
"lastModifiedUtc": "2019-10-09T10:42:53.9014288Z"
}
}
]
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Se for bem-sucedido:imprima "Successfully listed Microsoft
Sentinel alert rules configured". Se houver um erro:print "Failed to list Microsoft Sentinel alert rules! Error is {0}".format(exception.stacktrace). |
Geral |
| Tabela | Título da tabela:regras de alerta do Microsoft Sentinel encontradas: Colunas:AlertID (mapeado para nome), Name (mapeado para displayName), Enabled, Description, Tactics, Last Modification Time (mapeado para lastModificationUtc) |
Geral |
| Anexos | List_AlertRules.json: contém os dados JSON técnicos retornados pela ação. | Geral |
Visualizador de JSON |
Mostra o visualizador JSON para o resultado da consulta. | Geral |
Receber detalhes da regra de alerta
Recebe detalhes da regra de alerta programado do Azure Sentinel.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| AlertRuleID | String | N/A | Sim | Especifique o ID da regra de alerta. |
Casos de uso
A ação pode ser usada para receber detalhes sobre a regra de alerta do Microsoft Sentinel no playbook do Google SecOps. Por exemplo, se você perceber que alguns alertas estão se tornando mais frequentes e a maioria deles são falsos positivos, ou se uma regra de alerta processa muitas situações e você quer separá-las para facilitar a identificação da ameaça, use essa ação para entender corretamente a configuração da regra de alerta. Com base nos resultados da regra de alerta, você pode decidir se quer atualizar, excluir ou deixar a regra inalterada.
Data de execução
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/alertRules/8dce4dbd-0ba6-4c93-943a-8da49f7d0aa4",
"name": "8dce4dbd-0ba6-4c93-943a-8da49f7d0aa4",
"etag": "\"0200c767-0000-0d00-0000-5ddf3b160000\"",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "Scheduled",
"properties": {
"severity": "High",
"query": "SecurityEvent\r\n| where Activity startswith \"4625\"\r\n| summarize count() by IpAddress, Computer\r\n| where count_ >3\r\n| extend HostCustomEntity = Computer\r\n| extend IPCustomEntity = IpAddress",
"queryFrequency": "PT1H",
"queryPeriod": "P5D",
"triggerOperator": "GreaterThan",
"triggerThreshold": 0,
"suppressionDuration": "PT5H",
"suppressionEnabled": false,
"displayName": "Multiple failed login attempts from the same IP",
"enabled": false,
"description": "",
"tactics": [
"InitialAccess"
],
"alertRuleTemplateName": null,
"lastModifiedUtc": "2019-11-28T03:12:21.9276927Z"
}
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Se for bem-sucedido e receber dados:imprima "Os detalhes da regra de alerta do Microsoft Sentinel {0} foram retornados com sucesso".format(AlertRuleID). Se não for possível encontrar a regra de alerta pelo AlertID fornecido:imprima
"A regra de alerta do Microsoft Sentinel com o ID "{0}" não foi encontrada!".format(AlertRuleID).
Se houver um erro:imprima "Failed to get details about Microsoft Sentinel alert rule! O erro é {0}".format(exception.stacktrace). |
Geral |
| Tabela | Título da tabela: detalhes da regra de alerta do Microsoft Sentinel Colunas:AlertID (mapeado para nome), Name (mapeado para displayName), Enabled, Description, Query, Frequency(mapeado para queryFrequency), Period of Lookup data(mapeado para queryPeriod), Trigger (mapeado como combinação de triggerOperator e triggerThreshold), Tactics, Enable Suppression(mapeado como "suppressionEnabled"), Suppression Duration(mapeado como suppressionDuration), Last Modification Time (mapeado para lastModificationUtc) |
Geral |
Visualizador de JSON |
Mostra o visualizador JSON para o resultado da consulta. | Geral |
Criar regra de alerta
Crie uma regra de alerta programada do Azure Sentinel.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Ativar regra de alerta | DDL | N/A | Sim | Especifique se você quer desativar ou ativar essa regra de alerta. |
| Nome | String | N/A | Sim | Especifique o nome de exibição da regra de alerta. |
| Gravidade | DDL | N/A | Sim | Especifique a gravidade dessa regra de alerta. |
| Consulta | String | N/A | Sim | Especifique a consulta desta regra de alerta. |
| Frequência | String | N/A | Sim | Especifique a frequência com que a consulta será executada usando o seguinte formato: PT + número + (M, H, D), em que M = minutos, H = horas e D = dias. O mínimo é de 5 minutos e o máximo é de 14 dias. |
| Período dos dados de pesquisa | String | N/A | Sim | Especifique o horário dos últimos dados de pesquisa usando o seguinte formato: P + número + (M, H, D), em que M = minutos, H = horas e D = dias. O mínimo é de 5 minutos e o máximo é de 14 dias. |
| Operador de acionamento | DDL | N/A | Sim | Especifique o operador de acionamento para essa regra de alerta. |
| Limite de disparo | Número inteiro | N/A | Sim | Especifique o limite de acionamento para essa regra de alerta. |
| Ativar a supressão | DDL | N/A | Sim | Especifique se você quer interromper a consulta em execução depois que o alerta for gerado. |
| Duração da supressão | String | N/A | Sim | Especifique por quanto tempo você quer interromper a execução da consulta depois que o alerta for gerado. Use o seguinte formato: PT + número + (M, H, D), em que M = minutos, H = horas e D = dias Exemplos: P1M - 1 minuto P10H: 10 horas P2D: 2 dias. O mínimo é de 5 minutos e o máximo é de 14 dias. |
| Descrição | String | N/A | Não | Especifique a descrição da regra de alerta. |
| Táticas | String | N/A | Não | Especifique as táticas para essa regra de alerta. O parâmetro pode receber vários valores separados por vírgulas. |
Casos de uso
A ação pode ser usada para criar regras de alerta do Microsoft Sentinel com base no playbook do Google SecOps. Você pode criar regras de alerta personalizadas para ajudar a pesquisar os tipos de ameaças e anomalias suspeitas no seu ambiente. A regra de alerta do Microsoft Sentinel garante que você seja notificado imediatamente para que possa triar, investigar e corrigir as ameaças.
Data de execução
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Se a operação for bem-sucedida:imprima "A regra de alerta do Microsoft
Sentinel foi criada com sucesso!". Se houver um erro:imprima "Failed to create Microsoft Sentinel alert rule! O erro é {0}".format(exception.stacktrace). |
Geral |
Atualizar regra de alerta
Atualiza uma regra de alerta programado do Azure Sentinel.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| AlertRuleID | String | N/A | Sim | Especifique o AlertRuleID da regra de alerta. |
| Nome | String | N/A | Não | Especifique o nome de exibição da regra de alerta. |
| Ativar regra de alerta | DDL | N/A | Não | Especifique se você quer desativar ou ativar essa regra de alerta. |
| Gravidade | DDL | N/A | Não | Especifique a gravidade dessa regra de alerta. |
| Consulta | String | N/A | Não | Especifique a consulta desta regra de alerta. |
| Frequência | String | N/A | Não | Especifique a frequência com que a consulta será executada usando o seguinte formato: PT + número + (M, H, D), em que M = minutos, H = horas e D = dias. Exemplos: PT1M: executa a consulta a cada minuto PT10H: executa a consulta a cada 10 horas PT2D: executa a consulta a cada dois dias. O mínimo é de 5 minutos e o máximo é de 14 dias. |
| Período dos dados de pesquisa | String | N/A | Não | Especifique o horário dos últimos dados de pesquisa usando o seguinte formato: P + número + (M, H, D), em que M = minutos, H = horas e D = dias. . Exemplos: P1M - 1 minuto P10H: 10 horas P2D: 2 dias. O mínimo é de 5 minutos e o máximo é de 14 dias. |
| Operador de acionamento | DDL | N/A | Não | Especifique o operador de acionamento para essa regra de alerta. |
| Limite de disparo | Número inteiro | N/A | Não | Especifique o limite de acionamento para essa regra de alerta. |
| Ativar a supressão | DDL | N/A | Não | Especifique se você quer interromper a consulta em execução depois que o alerta for gerado. |
| Duração da supressão | String | N/A | Não | Especifique por quanto tempo você quer interromper a execução da consulta depois que o alerta for gerado. Use o seguinte formato: PT + número + (M, H, D), em que M = minutos, H = horas e D = dias Exemplos: P1M - 1 minuto P10H: 10 horas P2D: 2 dias. O mínimo é de 5 minutos e o máximo é de 14 dias. |
| Descrição | String | N/A | Não | Especifique a descrição da regra de alerta. |
| Táticas | String | Nenhum | Não | Especifique as táticas para essa regra de alerta. O parâmetro aceita vários valores separados por vírgulas. |
Casos de uso
A ação pode ser usada para atualizar regras de alerta do Microsoft Sentinel no playbook do Google SecOps. Por exemplo, se você notar que alguns alertas estão se tornando mais frequentes e a maioria deles são falsos positivos, use essa ação para atualizar a configuração da regra de alerta de acordo com suas necessidades e desejos. A regra de alerta do Microsoft Sentinel garante que você seja notificado imediatamente para que possa triar, investigar e corrigir as ameaças.
Data de execução
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Se for bem-sucedido:imprima "A regra de alerta do Microsoft
Sentinel com ID {0} foi atualizada".format(AlertRuleID). Se não for possível
encontrar uma regra de alerta pelo AlertID fornecido:imprima "A regra de alerta do Microsoft Sentinel
com ID "{0}" não foi encontrada!".format(AlertRuleID). Se houver um erro:imprima "Falha ao atualizar a regra de alerta do Microsoft Sentinel! Error is {0}".format(exception.stacktrace). |
Geral |
Excluir regra de alerta
Exclua uma regra de alerta programado do Azure Sentinel.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| AlertRuleID | String | N/A | Sim | Especifique o ID da regra de alerta a ser excluída. |
Casos de uso
A ação pode ser usada para excluir a regra de alerta do Microsoft Sentinel do Google SecOps. Se uma regra de alerta estiver muito desatualizada e não cumprir o propósito dela ou se criar apenas falsos positivos, você poderá excluí-la com essa ação.
Data de execução
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Se for bem-sucedido:imprima "Successfully deleted Microsoft
Sentinel alert rule {0}".format(AlertRuleID). Se não for possível encontrar
a regra de alerta pelo AlertID fornecido: imprima "A regra de alerta do Microsoft Sentinel
com o ID "{0}" não foi encontrada!".format(AlertRuleID). If error: print "Failed to delete Microsoft Sentinel alert rule! Error is {0}".format(exception.stacktrace). |
Geral |
Listar regras de Hunting personalizadas
Recebe a lista de regras de busca personalizadas do Azure Sentinel.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nomes das regras de Hunting a serem retornadas | String | N/A | Não | Especifique os nomes que a ação das regras de busca precisa retornar. O parâmetro aceita vários valores como uma string separada por vírgulas. Se o valor não for fornecido, retorne todos os tipos de alerta possíveis. |
| Buscar táticas específicas de regras de Hunting | String | N/A | Não | Especifique o que a ação de táticas da regra de busca deve retornar. O parâmetro aceita vários valores como uma string separada por vírgulas. Se o valor não for fornecido, retorne todos os tipos de alerta possíveis. |
| Número máximo de regras a serem retornadas | Número inteiro | N/A | Não | Quantas regras de alerta programado a ação deve retornar, por exemplo, 50. |
Casos de uso
A ação pode ser usada para listar regras de caça personalizadas e favoritas do playbook do Google SecOps para o Microsoft Sentinel. Para garantir que você estabeleceu todas as regras de busca de dados sobre os processos mais raros, mas muito críticos, que operam na sua rede, mencione as regras de busca personalizadas e preferenciais. É possível atualizar e criar regras de busca imediatamente se você perceber que algumas situações não estão sendo tratadas corretamente.
Data de execução
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"__metadata": {},
"value": [
{
"id": "subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/savedSearches/0c5bd7e1-0e13-4e7d-9e32-88baf9589192",
"etag": "W/\"datetime'2019-12-02T10%3A14%3A10.5299491Z'\"",
"properties": {
"Category": "Hunting Queries",
"DisplayName": "Hunting Query 1",
"Query": "\r\nlet timeframe = 7d;\r\nAWSCloudTrail\r\n| where TimeGenerated >= ago(timeframe)\r\n| where EventName in~ (\"AttachGroupPolicy\", \"AttachRolePolicy\", \"AttachUserPolicy\", \"CreatePolicy\",\r\n\"DeleteGroupPolicy\", \"DeletePolicy\", \"DeleteRolePolicy\", \"DeleteUserPolicy\", \"DetachGroupPolicy\",\r\n\"PutUserPolicy\", \"PutGroupPolicy\", \"CreatePolicyVersion\", \"DeletePolicyVersion\", \"DetachRolePolicy\", \"CreatePolicy\")\r\n| project TimeGenerated, EventName, EventTypeName, UserIdentityAccountId, UserIdentityPrincipalid, UserAgent, \r\nUserIdentityUserName, SessionMfaAuthenticated, SourceIpAddress, AWSRegion, EventSource, AdditionalEventData, ResponseElements\r\n| extend timestamp = TimeGenerated, IPCustomEntity = SourceIpAddress, AccountCustomEntity = UserIdentityAccountId\r\n",
"Tags": [
{
"Name": "description",
"Value": "1234"
},
{
"Name": "tactics",
"Value": "DefenseEvasion"
},
{
"Name": "createdTimeUtc",
"Value": "12/02/2019 09:21:18"
}
],
"Version": 2
},
"name": "0c5bd7e1-0e13-4e7d-9e32-88baf9589192"
},
{
"id": "subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/savedSearches/30a94796-a573-4e6e-9385-fb96d0aa5ea2",
"etag": "W/\"datetime'2019-12-02T10%3A10%3A18.4761379Z'\"",
"properties": {
"Category": "Hunting Queries",
"DisplayName": "Hunting Query 1",
"Query": "\r\nlet timeframe = 7d;\r\nAWSCloudTrail\r\n| where TimeGenerated >= ago(timeframe)\r\n| where EventName in~ (\"AttachGroupPolicy\", \"AttachRolePolicy\", \"AttachUserPolicy\", \"CreatePolicy\",\r\n\"DeleteGroupPolicy\", \"DeletePolicy\", \"DeleteRolePolicy\", \"DeleteUserPolicy\", \"DetachGroupPolicy\",\r\n\"PutUserPolicy\", \"PutGroupPolicy\", \"CreatePolicyVersion\", \"DeletePolicyVersion\", \"DetachRolePolicy\", \"CreatePolicy\")\r\n| project TimeGenerated, EventName, EventTypeName, UserIdentityAccountId, UserIdentityPrincipalid, UserAgent, \r\nUserIdentityUserName, SessionMfaAuthenticated, SourceIpAddress, AWSRegion, EventSource, AdditionalEventData, ResponseElements\r\n| extend timestamp = TimeGenerated, IPCustomEntity = SourceIpAddress, AccountCustomEntity = UserIdentityAccountId\r\n",
"Tags": [
{
"Name": "description",
"Value": "1234"
},
{
"Name": "tactics",
"Value": "DefenseEvasion"
},
{
"Name": "createdTimeUtc",
"Value": "12/02/2019 09:21:18"
}
],
"Version": 2
},
"name": "30a94796-a573-4e6e-9385-fb96d0aa5ea2"
}
]
}
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Se a operação for concluída: imprima "Successfully returned Microsoft
Sentinel hunting rules". Se houver um erro:imprima "Falha ao listar regras de busca do Microsoft Sentinel! O erro é {0}".format(exception.stacktrace). |
Geral |
| Tabela | Título da tabela:regras de busca do Microsoft Sentinel encontradas: Colunas:HuntingRuleID(mapeado para nome), título (mapeado para displayName), categoria, descrição (mapeado para o parâmetro "description" no dicionário de tags), táticas(mapeado para o parâmetro "tactics" no dicionário de tags), consulta, hora de criação (mapeado para o parâmetro "CreatedTimeUtc" no dicionário de tags) |
Geral |
| Anexos | List_HuntingRules.json: contém dados JSON técnicos retornados pela ação. | Geral |
Visualizador de JSON |
Mostra o visualizador JSON para o resultado da consulta. | Geral |
Receber detalhes da regra de Hunting personalizada
Receba detalhes da regra de busca personalizada do Azure Sentinel.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| HuntingRuleID | String | N/A | Sim | Especifique o ID da regra de busca. |
Casos de uso
As informações sobre as regras de busca padrão ou preferenciais do Microsoft Sentinel podem ser acessadas usando o playbook do Google SecOps. Use essa ferramenta, por exemplo, se você receber detalhes de regras de busca que não são adequados para análise ou se quiser verificar se a regra de busca está configurada corretamente. Você vai avaliar se é necessário editar, remover ou deixar o conteúdo inalterado com base nos resultados.
Data de execução
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"id": "subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/savedSearches/30a94796-a573-4e6e-9385-fb96d0aa5ea2",
"etag": "W/\"datetime'2019-12-02T10%3A14%3A10.5299491Z'\"",
"properties": {
"Category": "Log Management",
"DisplayName": "Multiple Password Reset by user",
"Query": "\nlet timeframe = 7d;\nAWSCloudTrail\n| where TimeGenerated >= ago(timeframe)\n| where EventName in~ (\"AttachGroupPolicy\", \"AttachRolePolicy\", \"AttachUserPolicy\", \"CreatePolicy\",\n\"DeleteGroupPolicy\", \"DeletePolicy\", \"DeleteRolePolicy\", \"DeleteUserPolicy\", \"DetachGroupPolicy\",\n\"PutUserPolicy\", \"PutGroupPolicy\", \"CreatePolicyVersion\", \"DeletePolicyVersion\", \"DetachRolePolicy\", \"CreatePolicy\")\n| project TimeGenerated, EventName, EventTypeName, UserIdentityAccountId, UserIdentityPrincipalid, UserAgent, \nUserIdentityUserName, SessionMfaAuthenticated, SourceIpAddress, AWSRegion, EventSource, AdditionalEventData, ResponseElements\n| extend timestamp = TimeGenerated, IPCustomEntity = SourceIpAddress, AccountCustomEntity = UserIdentityAccountId\n",
"Tags": [
{
"Name": "description",
"Value": "Identity and Access Management (IAM) securely manages access to AWS services and resources."
},
{
"Name": "tactics",
"Value": "DefenseEvasion"
},
{
"Name": "createdTimeUtc",
"Value": "12/02/2019 09:21:18"
}
],
"Version": 2
}
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Se for bem-sucedido:imprima "Successfully returned Microsoft
Sentinel hunting rule {0} details".format(HuntingRuleID). If
can't find alert rule by the provided AlertID: print "Microsoft Sentinel
hunting rule with ID "{0}" was not found!".format(HuntingRuleID). Se houver um erro:imprima "Falha ao receber detalhes sobre a regra de busca do Microsoft Sentinel. O erro é {0}".format(exception.stacktrace). |
Geral |
| Tabela | Título da tabela:detalhes da regra de busca do Microsoft Sentinel: Colunas:HuntingRuleID (mapeado para nome), Name (mapeado para displayName), Description, Query, Tactic,Creation TIme |
Geral |
| Anexos | List_HuntingRules.json: contém dados JSON técnicos retornados pela ação. | Geral |
Visualizador de JSON |
Mostra o visualizador JSON para o resultado da consulta. | Geral |
Criar regra de busca personalizada
Crie uma regra de busca personalizada do Azure Sentinel.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Consulta | String | N/A | Sim | Especifique a consulta a ser executada nessa regra de caça. |
| Nome de exibição | String | N/A | Sim | Especifique o nome de exibição da regra de busca. |
| Descrição | String | N/A | Não | Especifique uma descrição para a regra de busca. |
| Táticas | String | N/A | Não | Especifique as táticas para essa regra de busca. O parâmetro aceita vários valores separados por vírgulas. |
Casos de uso
A ação pode ser usada para criar uma nova regra de caça do Microsoft Sentinel com base no playbook do Google SecOps. Por exemplo, as regras de caça contêm uma consulta que pode fornecer dados sobre os processos mais incomuns em execução na sua infraestrutura. Você não quer um alerta sempre que eles são executados, porque podem ser totalmente inocentes, mas talvez queira analisar a consulta de vez em quando para ver se há algo incomum. Isso significa que eles podem ser usados para coletar mais informações do seu ambiente de rede.
Data de execução
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Se for bem-sucedido:imprima "Successfully created Microsoft
Sentinel hunting rule". If error: print "Failed to create Microsoft Sentinel hunting rule! O erro é {0}".format(exception.stacktrace). |
Geral |
Atualizar regra de caça personalizada
Atualiza uma regra de busca personalizada do Azure Sentinel.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| HuntingRuleID | String | N/A | Sim | Especifique o ID da regra de busca. |
| Nome de exibição | String | N/A | Não | Especifique o nome de exibição da regra de busca. |
| Consulta | String | N/A | Não | Especifique a consulta a ser executada nessa regra de caça. |
| Descrição | String | N/A | Não | Especifique a descrição. |
| Táticas | String | N/A | Não | Especifique as táticas para essa regra de busca. O parâmetro pode receber vários valores separados por vírgulas. |
Casos de uso
A ação pode ser usada para atualizar uma regra de caça personalizada do Microsoft Sentinel no playbook do Google SecOps. Use essa ação se você achar, por exemplo, que uma regra de busca está muito desatualizada e quiser atualizar vários parâmetros, como uma consulta ou descrição. As informações são essenciais ao investigar incidentes. Por isso, todas as regras de busca precisam ser atualizadas para mostrar informações relevantes.
Data de execução
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Se for bem-sucedido:print "Successfully updated Microsoft
Sentinel hunting rule with ID {0}".format(HuntingRuleID). If
can't find hunting rule by the provided HuntingRuleID: print "Microsoft
Sentinel hunting rule with ID "{0}" was not found!".format(HuntingRuleID). Se houver um erro:imprima "Falha ao atualizar a regra de detecção do Microsoft Sentinel! O erro é {0}".format(exception.stacktrace). |
Geral |
Excluir regra de caça personalizada
Exclui uma regra de busca personalizada do Azure Sentinel.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| HuntingRuleID | String | N/A | Sim | Especifique o ID da regra de busca a ser excluída. |
Casos de uso
A ação pode ser usada para excluir uma regra de busca personalizada do Microsoft Sentinel no Google SecOps. Por exemplo, se você acha que uma regra de caça está muito desatualizada e não é necessária para o processo de investigação, é melhor excluí-la.
Data de execução
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Se for bem-sucedido:imprima "Successfully deleted Microsoft
Sentinel hunting rule with ID {0}".format(HuntingRuleID). If
can't find hunting rule by the provided HuntingRuleID: print "Microsoft
Sentinel hunting rule with ID "{0}" was not found!".format(HuntingRuleID). Se houver um erro:imprima "Falha ao excluir a regra de caça do Microsoft Sentinel! O erro é {0}".format(exception.stacktrace). |
Geral |
Executar uma regra de caça personalizada
Executar uma regra de busca personalizada ou favorita do Microsoft Sentinel.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| HuntingRuleID | String | N/A | Sim | Especifique o ID da regra de busca. |
| Tempo limite | Número inteiro | N/A | Não | O parâmetro usado para especificar um valor de tempo limite para a chamada de API da regra de detecção do Azure Sentinel. |
Casos de uso
A ação pode ser usada para executar uma regra de caça do Microsoft Sentinel no playbook do Google SecOps. Executar uma consulta de regra de busca fornece dados sobre os processos mais incomuns em execução na sua infraestrutura. Você não quer um alerta sempre que eles são executados, porque podem ser totalmente inocentes. No entanto, talvez seja interessante analisar a consulta de vez em quando para verificar se há algo incomum. Isso significa que ele pode ser usado para coletar mais informações do seu ambiente de rede, o que ajuda os investigadores a descobrir todas as nuances de um incidente e tomar outras decisões.
Data de execução
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"tables": [
{
"name": "PrimaryResult",
"columns": [
{
"name": "timerange",
"type": "datetime"
},
{
"name": "AppDisplayName",
"type": "string"
},
{
"name": "UserPrincipalName",
"type": "string"
},
{
"name": "threeDayWindowLocationCount",
"type": "long"
},
{
"name": "locationList",
"type": "dynamic"
},
{
"name": "timestamp",
"type": "datetime"
},
{
"name": "AccountCustomEntity",
"type": "string"
}
],
"rows": [
[
"2019-11-29T00:00:00Z",
"WindowsDefenderATP Portal",
"user@example.com",
2,
"[\"US/Florida/Miami;\",\"AM/Kotayk'/Abovyan;\"]",
"2019-11-29T00:00:00Z",
"user@example.com"
],
[
"2019-12-02T00:00:00Z",
"WindowsDefenderATP Portal",
"user@example.com",
1,
"[\"US/Florida/Miami;\"]",
"2019-12-02T00:00:00Z",
"user@example.com"
],
[
"2019-11-29T00:00:00Z",
"Azure Portal",
"example@example.com",
1,
"[\"UA/Kyiv Misto/Kyiv;\"]",
"2019-11-29T00:00:00Z",
"example@example.com"
],
[
"2019-12-02T00:00:00Z",
"Azure Portal",
"example@example.com",
2,
"[\"UA/Kyiv Misto/Kyiv;\",\"UA/Kyivs'ka Oblast'/Boryspil';\"]",
"2019-12-02T00:00:00Z",
"example@example.com"
],
[
"2019-11-29T00:00:00Z",
"Azure Portal",
"user@example.com",
1,
"[\"RU/Sverdlovskaya Oblast'/Yekaterinburg;\"]",
"2019-11-29T00:00:00Z",
"user@example.com"
],
[
"2019-12-02T00:00:00Z",
"Azure Portal",
"user@example.com",
1,
"[\"RU/Sverdlovskaya Oblast'/Yekaterinburg;\"]",
"2019-12-02T00:00:00Z",
"user@example.com"
]
]
}
]
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Se for bem-sucedido:imprima "A regra de busca foi executada
com sucesso". Se não for possível encontrar a regra de busca pelo HuntingRuleID fornecido: imprima "A regra de busca do Microsoft Sentinel com ID "{0}" não foi encontrada!".format(HuntingRuleID) if nothing found: print
"Hunting rule executed successfully, but did not return any results."
if error: print "Hunting rule didn't completed due to error:
{0}".format(exception.stacktrace) If timeout: print
"Hunting rule didn't completed due to timeout: {0}".format(exception.stacktrace)
Se os resultados da consulta foram truncados:imprima "Os resultados da regra de busca excederam os limites e foram truncados. Reescreva sua consulta!" |
Geral |
| Tabela | Título da tabela:resultados da regra de busca do Microsoft Sentinel Colunas: gere colunas dinamicamente com base no resultado da consulta. |
Geral |
| Anexos | Run_Hunting_rule_{HuntingRuleID}_response.json: contém os dados JSON técnicos retornados pela ação. | Geral |
Visualizador de JSON |
Mostra o visualizador JSON para o resultado da consulta. | Geral |
Executar uma consulta KQL
Executa uma consulta KQL do Azure Sentinel com base nos parâmetros de entrada de ação fornecidos.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Consulta KQL | String | N/A | Sim | Uma consulta KQL a ser executada no Azure Sentinel. Por exemplo, para receber alertas de segurança disponíveis no Sentinel, a consulta será \"SecurityAlert\". Use outros parâmetros de entrada de ação (período, limite) para filtrar os resultados da consulta. Para exemplos de consultas KQL, considere a página da Web "Registros" do Sentinel. |
| Período | String | N/A | Não | Especifique o período a ser pesquisado. O valor de tempo precisa estar em conformidade com a ISO 8601 e pode ser usado, por exemplo, para especificar a pesquisa das últimas 10 horas ou o intervalo de tempo a ser pesquisado. Use o seguinte formato: PT + número + (M, H, D), em que M = minutos, H = horas e D = dias. |
| Tempo limite da consulta | Número inteiro | 180 | Não | Valor de tempo limite para a chamada de API da regra de busca do Azure Sentinel. O tempo limite do processo Python da ação do Google SecOps precisa ser ajustado de acordo com esse parâmetro para não expirar antes do valor especificado devido ao tempo limite do processo Python. |
| Limite de registros | Número inteiro | 100 | Não | Quantos registros devem ser buscados. Parâmetro opcional. Se definido, adiciona um \"| limit x\" à consulta KQL, em que x é o valor definido para o limite de registros. Pode ser removido se "limit" já estiver definido na consulta KQL ou não for necessário. |
Casos de uso
Executar consultas avançadas durante a investigação do caso.
Data de execução
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"tables": [
{
"name": "PrimaryResult",
"columns": [
{
"name": "Reason",
"type": "string"
},
{
"name": "StartTimeUtc",
"type": "datetime"
},
{
"name": "EndTimeUtc",
"type": "datetime"
},
{
"name": "count_",
"type": "long"
},
{
"name": "timestamp",
"type": "datetime"
}
],
"rows": [
[
"Incorrect password",
"2019-10-22T06:38:30.837Z",
"2019-10-22T11:57:00.003Z",
28,
"2019-10-22T06:38:30.837Z"
],
[
"Account name does not exist",
"2019-10-21T15:19:33.727Z",
"2019-10-22T06:40:13.51Z",
3,
"2019-10-21T15:19:33.727Z"
]
]
}
]
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Se for bem-sucedido:print "Query executed successfully". Se nada for encontrado:imprima "A consulta foi executada com sucesso, mas não retornou resultados.". If error: print
"Query didn't completed due to error: {0}".format(exception.stacktrace). If timeout: print "Query didn't completed due to timeout:
{0}".format(exception.stacktrace). Se os resultados da consulta foram truncados:imprima "Os resultados da consulta excederam os limites e foram truncados. Reescreva sua consulta". |
|
| Tabela | Título da tabela:resultados da consulta KQL Colunas : geram colunas dinamicamente com base no resultado da consulta. |
Geral |
| Anexos | Run_KQL_query_response.json: contém dados JSON técnicos retornados pela ação. | Geral |
Visualizador de JSON |
Mostra o visualizador JSON para o resultado da consulta. | Geral |
Adicionar comentário ao incidente
Adiciona um comentário a um incidente do Azure Sentinel.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Número do incidente | Número inteiro | N/A | Sim | Especifique o número do incidente para adicionar um comentário. |
| Comentário a ser adicionado | String | N/A | Sim | Especificar o comentário a ser adicionado ao incidente |
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Incidents/00cfebdc-c677-463f-8355-cb7f23472c06/Comments/f0f31d1a-d32b-4774-a21d-3279240c7c33",
"name": "f0f31d1a-d32b-4774-a21d-3279240c7c33",
"etag": "\"7e000812-0000-0c00-0000-606fc83f0000\"",
"type": "Microsoft.SecurityInsights/Incidents/Comments",
"properties": {
"message": "Some message",
"createdTimeUtc": "2021-04-09T03:21:35.0894288Z",
"lastModifiedTimeUtc": "2021-04-09T03:21:35.0894288Z",
"author": {
"objectId": "f6ce2f43-6f77-4b30-9a4a-de1a069b2560",
"email": null,
"name": "Comment created from external application - log_analytics_rest_api_for_sentinel",
"userPrincipalName": null
}
}
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook:
A ação precisa falhar e interromper a execução de um playbook:
|
Geral |
Conectores
Para instruções detalhadas sobre como configurar um conector no Google SecOps, consulte Configurar o conector.
Conector de incidentes do Microsoft Azure Sentinel – descontinuado
No SOAR do Google SecOps, o conector de incidentes do Microsoft Azure Sentinel ingere incidentes do espaço de trabalho específico do Microsoft Sentinel como alertas usando a API Azure Security Insights.
O conector usa recursos semelhantes às ações List Incidents e Get Incident Details e se conecta ao endpoint do Azure Security Insights para extrair uma lista de incidentes gerados durante um período especificado.
Caso de uso do conector
Use o conector para monitorar espaços de trabalho do Microsoft Sentinel em busca de novos incidentes e ingestá-los no servidor SOAR do Google SecOps.
Para garantir o fluxo de tipos de eventos específicos, adicione o conector de dados ao Microsoft Sentinel. Por exemplo, para adicionar eventos de segurança de hosts do Windows como um dos conectores de dados, instale um agente do Microsoft Sentinel em um host do Windows e configure quais tipos de eventos serão ingeridos: eventos de segurança, de firewall, de DNS ou outros.
Para gerar alertas com base em condições específicas, defina regras de alerta usando consultas de regra. Quando as regras de alerta criam avisos, o Microsoft Sentinel gera eventos, armazena acidentes de dados e mostra incidentes na página de incidentes do portal.
Para ler e gravar dados de incidentes de forma programática, use a API REST do Security Insights.
Parâmetros do conector
Para configurar o conector, use os seguintes parâmetros:
| Parâmetros | |
|---|---|
Product Field Name |
Obrigatório
Nome do campo em que o nome do produto é armazenado. O valor padrão é |
Event Field Name |
Obrigatório
Nome do campo em que o nome do evento é armazenado. O valor padrão é |
Environment Field Name |
Opcional
Nome do campo em que o nome do ambiente é armazenado. Se o campo de ambiente não for encontrado, o ambiente padrão será usado. O valor padrão é |
Environment Regex Pattern |
Opcional
Um padrão de expressão regular a ser executado no valor encontrado no campo O valor padrão O parâmetro permite manipular o campo "environment" usando a lógica de expressão regular. Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final do ambiente será o ambiente padrão. |
Azure Subscription ID |
Obrigatório ID da assinatura do Azure. |
Azure Active Directory ID |
Obrigatório ID do locatário do Microsoft Entra. |
Api Root |
Obrigatório O URL raiz da API management.azure.com a ser usado com a integração. O valor padrão é |
Azure Resource Group |
Obrigatório Nome do grupo de recursos do Azure em que o Microsoft Sentinel está localizado. |
Azure Sentinel Workspace Name |
Obrigatório Nome do espaço de trabalho do Microsoft Sentinel com que você quer trabalhar. |
Client ID |
Obrigatório ID do aplicativo (cliente) do Microsoft Entra usado para essa integração. |
Client Secret |
Obrigatório Valor da chave secreta do cliente do Microsoft Entra. |
Script Timeout (Seconds) |
Obrigatório Tempo limite para o processo Python que executa o script atual. O valor padrão é de 180 segundos. |
Offset Time In Hours |
Obrigatório
Número de horas antes do momento atual para recuperar incidentes. O valor padrão é de 24 horas. |
Incident Statuses to Fetch |
Obrigatório
Status dos incidentes a serem buscados. Esse parâmetro aceita vários valores como uma string separada por vírgulas. O valor padrão é |
Incident Severities to Fetch |
Obrigatório
Gravidades dos incidentes a serem buscados. Esse parâmetro aceita vários valores como uma string separada por vírgulas. O valor padrão é |
Max Incidents per Cycle |
Obrigatório
Número de incidentes a serem processados durante uma execução do conector. Esse parâmetro aceita vários valores como uma string separada por vírgulas. O valor padrão é 10. |
Proxy Server Address |
Opcional
Endereço do servidor proxy a ser usado. |
Proxy Server Username |
Opcional
Nome de usuário do proxy para autenticação. |
Proxy Server Password |
Opcional
Senha do proxy para autenticação. |
Regras do conector
O conector não é compatível com listas de bloqueio e listas dinâmicas.
O conector é compatível com proxies.
Conector de incidentes do Microsoft Azure Sentinel v2
O Conector de incidentes do Microsoft Azure Sentinel v2 é recomendado para uso com o Microsoft Sentinel. As principais mudanças incluem a migração para os novos endpoints de incidentes na API do Microsoft Sentinel e a introdução da lógica de análise e processamento de entidades de conector. Para filtrar incidentes específicos do Microsoft Sentinel e buscá-los com base nos nomes, use a lista dinâmica.
É possível que a interface do Microsoft Sentinel mostre as entidades do incidente, mas a API não as retorne (a lista de entidades está vazia). Como resultado, o conector precisa de mais tempo para ingerir esses incidentes e os consulta no backlog para as execuções seguintes. Quando as informações das entidades estão disponíveis na resposta da API, o conector ingere os incidentes.
Processamento de alertas programados e não programados do Sentinel
Para resolver um problema no conector de incidentes do Microsoft Azure Sentinel, em que entidades eram mostradas erroneamente para todos os alertas, exceto os alertas programados do Azure Sentinel, o conector de incidentes do Microsoft Azure Sentinel v2 adiciona um evento extra para cada entidade.
Isso significa que, se o conector receber uma entidade IP, Conta ou Nome do host no evento do Google SecOps, ele vai adicionar outro evento do Google SecOps para cada entidade encontrada. O evento recém-criado pode ser usado para criar entidades e mapear propriedades de entidades no Google SecOps SOAR. Os eventos iniciais permanecem intactos. Os novos eventos são adicionados apenas ao alerta do Google SecOps. Outros tipos de entidades não são afetados por essa lógica e permanecem no evento inicial sem que outros eventos sejam criados para eles.
Para permitir a criação de mais eventos, o conector usa o endpoint de API entity do Sentinel
para buscar os dados. Por padrão, os alertas programados e em tempo real são ingeridos usando as consultas KQL de análise de registros para receber dados de alertas e eventos. Se selecionado, o parâmetro Usar a mesma abordagem com a criação de eventos para todos os tipos de alertas? na configuração do conector usa a mesma abordagem baseada em entidade para todos os alertas, incluindo os programados e não programados. Recomendamos usar essa opção com cautela.
Parâmetros do conector
Para configurar o conector, use os seguintes parâmetros:
| Parâmetros | |
|---|---|
Product Field Name |
Obrigatório
Nome do campo em que o nome do produto é armazenado. O valor padrão é |
Event Field Name |
Obrigatório
Nome do campo em que o nome do evento é armazenado. O valor padrão é |
Environment Field Name |
Opcional
Nome do campo em que o nome do ambiente é armazenado. Se o campo de ambiente não for encontrado, o ambiente padrão será usado. O valor padrão é |
Environment Regex Pattern |
Opcional
Um padrão de expressão regular a ser executado no valor encontrado no campo O valor padrão O parâmetro permite manipular o campo "environment" usando a lógica de expressão regular. Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final do ambiente será o ambiente padrão. |
Azure Subscription ID |
Obrigatório ID da assinatura do Azure. |
Azure Active Directory ID |
Obrigatório ID do locatário do Microsoft Entra. |
Api Root |
Obrigatório O URL raiz da API a ser usado com a integração. O valor padrão é |
OAUTH2 Login Endpoint Url |
Obrigatório URL do endpoint a ser usado para a autenticação do OAuth 2.0. |
Azure Resource Group |
Obrigatório Nome do grupo de recursos do Azure em que o Microsoft Sentinel está localizado. |
Azure Sentinel Workspace Name |
Obrigatório Nome do espaço de trabalho do Microsoft Sentinel com que você quer trabalhar. |
Client ID |
Obrigatório ID do aplicativo (cliente) do Microsoft Entra usado para essa integração. |
Client Secret |
Obrigatório Valor da chave secreta do cliente do Microsoft Entra. |
Script Timeout (Seconds) |
Obrigatório Tempo limite para o processo Python que executa o script atual. O valor padrão é de 180 segundos. |
Offset Time In Hours |
Obrigatório
Número de horas antes do momento atual para recuperar incidentes. O valor padrão é de 24 horas. |
Incident Statuses to Fetch |
Obrigatório
Status dos incidentes a serem buscados. Esse parâmetro aceita vários valores como uma string separada por vírgulas. O valor padrão é |
Incident Severities to Fetch |
Obrigatório
Gravidades dos incidentes a serem buscados. Esse parâmetro aceita vários valores como uma string separada por vírgulas. O valor padrão é |
Use the same approach with event creation for all alert types?
|
Opcional Quando marcada, o conector usa a mesma abordagem para todos os tipos de alertas. Quando desmarcada, o conector usa uma abordagem diferente para o tipo de alerta programado do Azure Sentinel e tenta buscar eventos que causaram o alerta executando a consulta especificada nos detalhes do alerta. Por padrão, essa opção não está marcada. |
Use whitelist as a blacklist |
Obrigatório
Se marcada, a lista dinâmica será usada como uma lista de bloqueio. Por padrão, essa propriedade não está marcada. |
Alerts padding period |
Obrigatório
Período em minutos para o conector buscar alertas de incidentes. O valor padrão é 60 minutos. |
Proxy Server Address |
Opcional
Endereço do servidor proxy a ser usado. |
Proxy Server Username |
Opcional
Nome de usuário do proxy para autenticação. |
Proxy Server Password |
Opcional
Senha do proxy para autenticação. |
Max Backlog Incidents per Cycle |
Obrigatório
Número de incidentes a serem buscados do backlog durante uma execução do conector. O valor padrão é 10. |
StartTimeFallback |
Obrigatório
Lista separada por vírgulas de atributos de incidente ou alerta a serem usados como substituição para o campo de alerta Se nenhum dos campos alternativos for encontrado, o conector usará o atributo O valor padrão é |
EndTimeFallback |
Obrigatório
Lista separada por vírgulas de atributos de incidente ou alerta a serem usados como substituição para o campo de alerta Se nenhum dos campos alternativos for encontrado, o conector usará o atributo O valor padrão é |
Enable Fallback Logic Debug? |
Opcional
Se marcada, o conector adiciona campos de depuração que contêm os valores usados para o fallback dos eventos criados. Por padrão, essa opção não está marcada. |
VendorFieldFallback |
Obrigatório
Lista separada por vírgulas de atributos de incidentes a serem usados como substitutos para o
campo O valor padrão é |
ProductFieldFallback |
Obrigatório
Lista separada por vírgulas de atributos de incidentes a serem usados como substitutos para o
campo O valor padrão é |
EventFieldFallback |
Obrigatório
Lista separada por vírgulas de atributos de incidentes a serem usados como substitutos para o parâmetro O valor padrão é |
Max New Incidents per cycle |
Obrigatório
Número de incidentes a serem processados em uma execução do conector. O valor padrão é 10. |
Wait For Scheduled/NRT Alert Object |
Opcional
Se ativado, o conector aguarda até que um objeto de alerta programado/NRT esteja disponível. |
Scheduled Alerts Events Limit to Ingest |
Opcional
Número máximo de eventos a serem ingeridos para um único alerta agendado ou de quase tempo real do Azure Sentinel. O valor padrão é 100. |
Incidents Padding Period (minutes) |
Opcional
Período em minutos para o conector buscar e retornar incidentes. Esses incidentes não estão em ordem cronológica. |
Create Siemplify Alerts for Sentinel incidents that do not have
entities? |
Opcional
Se marcada, o conector cria alertas do Google SecOps com base em incidentes do Microsoft Sentinel que não têm entidades. Caso contrário, o conector cria alertas do Google SecOps apenas para alertas programados e em tempo real, ignorando todos os outros tipos de incidentes do Microsoft Sentinel. Por padrão, essa opção não está marcada. |
Incident's Alerts Limit to Ingest |
Opcional
Número máximo de alertas a serem ingeridos para cada incidente do Microsoft Sentinel. |
Alert Name Template |
Opcional
Se especificado, o conector usa esse valor dos dados do incidente retornados na resposta da API do Microsoft Sentinel para preencher o campo É possível fornecer um marcador de posição no seguinte formato:
O tamanho máximo do campo é de 256 caracteres. Se nenhum valor for fornecido ou se você fornecer um modelo inválido, o conector vai usar o nome de alerta padrão. |
Rule Generator Template |
Opcional
Se especificado, o conector usa esse valor dos dados do incidente retornados na resposta da API do Microsoft Sentinel para preencher o campo É possível fornecer um marcador de posição no seguinte formato:
O tamanho máximo do campo é de 256 caracteres. Se nenhum valor for fornecido ou se você fornecer um modelo inválido, o conector usará o valor padrão do gerador de regras. |
Personalize os campos "Nome do alerta" e "Gerador de regras".
O conector permite personalizar os valores dos campos Nome do alerta do Siemplify e Gerador de regras usando os parâmetros Modelo de nome do alerta e Modelo de gerador de regras. Para modelos, o conector recebe informações dos dados de incidentes do Microsoft Sentinel retornados pela API.
O exemplo a seguir mostra os dados do incidente conforme são retornados da API para referenciar os campos disponíveis no alerta e que podem ser usados em modelos:
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Incidents/d4f632be-0689-93f7-57a6-f27bfabbbad1",
"name": "d4f632be-0689-93f7-57a6-f27bfabbbad1",
"etag": "\"79004534-0000-0d00-0000-63590d610000\"",
"type": "Microsoft.SecurityInsights/Incidents",
"properties": {
"title": "Incident title",
"description": "",
"severity": "Low",
"status": "New",
"owner": {
"objectId": null,
"email": null,
"assignedTo": null,
"userPrincipalName": null
},
"labels": [],
"firstActivityTimeUtc": "2022-10-26T07:00:09.3857965Z",
"lastActivityTimeUtc": "2022-10-26T09:07:02.1083312Z",
"lastModifiedTimeUtc": "2022-10-26T10:35:13.0254798Z",
"createdTimeUtc": "2022-10-26T10:34:55.7454638Z",
"incidentNumber": 380925,
"additionalData": {
"alertsCount": 102,
"bookmarksCount": 0,
"commentsCount": 0,
"alertProductNames": [
"Azure Sentinel"
],
"tactics": [
"InitialAccess",
"Persistence"
]
},
"relatedAnalyticRuleIds": [
"/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/Microsoft.SecurityInsights/alertRules/8a3ca5c5-7875-466e-accd-3bcb2881cdb0"
],
"incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/Microsoft.SecurityInsights/Incidents/d4f632be-0689-93f7-57a6-f27bfabbbad1",
"providerName": "Azure Sentinel",
"providerIncidentId": "380925"
}
}
Regras do conector
O conector é compatível com a lista de bloqueio e a lista dinâmica.
O conector é compatível com proxies.
Conector de acompanhamento de incidentes do Microsoft Sentinel
Use o conector de rastreamento de incidentes do Microsoft Sentinel para trabalhar com incidentes do Microsoft
Sentinel e recuperar atualizações dos incidentes do Sentinel como novos
alertas do Google SecOps. É possível usar a lista dinâmica para especificar os nomes de incidentes a serem recuperados. Para esse conector, recomendamos que você configure o agrupamento de alertas do Google SecOps com base no parâmetro SourceGroupIdentifier.
Entradas do conector
Para configurar o conector, use os seguintes parâmetros:
| Parâmetros | |
|---|---|
Product Field Name |
Obrigatório
Nome do campo em que o nome do produto é armazenado. O valor padrão é |
Event Field Name |
Obrigatório
Nome do campo em que o nome do evento é armazenado. O valor padrão é |
Environment Field Name |
Opcional
Nome do campo em que o nome do ambiente é armazenado. Se o campo de ambiente não for encontrado, o ambiente padrão será usado. O valor padrão é |
Environment Regex Pattern |
Opcional
Um padrão de expressão regular a ser executado no valor encontrado no campo O valor padrão O parâmetro permite manipular o campo "environment" usando a lógica de expressão regular. Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final do ambiente será o ambiente padrão. |
Azure Subscription ID |
Obrigatório ID da assinatura do Azure. |
Entra ID Directory ID |
Obrigatório ID do locatário do Microsoft Entra. |
Api Root |
Obrigatório O URL raiz da API a ser usado com a integração. O valor padrão é |
OAUTH2 Login Endpoint Url |
Obrigatório URL do endpoint a ser usado para autenticação do OAuth 2.0. |
Azure Resource Group |
Obrigatório Nome do grupo de recursos do Azure em que o Microsoft Sentinel está localizado. |
Azure Sentinel Workspace Name |
Obrigatório Nome do espaço de trabalho do Microsoft Sentinel com que você quer trabalhar. |
Client ID |
Obrigatório ID do aplicativo (cliente) do Microsoft Entra usado para essa integração. |
Client Secret |
Obrigatório Valor da chave secreta do cliente do Microsoft Entra. |
Script Timeout (Seconds) |
Obrigatório Limite de tempo limite para o processo Python que executa o script atual. O valor padrão é de 480 segundos. |
Verify SSL |
Opcional Se selecionada, a integração verifica se o certificado SSL da conexão com o servidor da Microsoft é válido. Essa opção é selecionada por padrão. |
Max Hours Backwards |
Obrigatório
O número de horas antes da primeira iteração do conector para recuperar os incidentes. Esse parâmetro se aplica apenas uma vez à iteração inicial do conector depois que você o ativa pela primeira vez. O valor padrão é de 24 horas. |
Incident Statuses to Fetch |
Obrigatório
Status dos incidentes a serem buscados. Esse parâmetro aceita vários valores como uma string separada por vírgulas. O valor padrão é |
Incident Severities to Fetch |
Obrigatório
Gravidades dos incidentes a serem buscados. Esse parâmetro aceita vários valores como uma string separada por vírgulas. O valor padrão é |
Max Incidents per Cycle |
Obrigatório
O número de incidentes a serem buscados do backlog durante uma execução do conector. O valor padrão é 10. |
Use the same approach with event creation for all alert types?
|
Opcional Se selecionado, o conector usará a mesma abordagem para todos os tipos de alerta. Se não estiver selecionada, o conector usará uma abordagem diferente para o tipo de alerta programado do Microsoft Sentinel e tentará buscar os eventos que causaram o alerta executando a consulta especificada nos detalhes do alerta. Não selecionada por padrão. |
Incidents Tags To Ingest |
Opcional
Uma lista separada por vírgulas de tags de incidentes a serem ingeridas. O conector ignora incidentes que não têm as tags dessa lista. |
Use whitelist as a blacklist |
Obrigatório
Se selecionada, a lista dinâmica será usada como uma lista de bloqueio. Não selecionada por padrão. |
Backlog Expiration Timer |
Obrigatório
Um período em minutos para o conector manter os incidentes em um backlog. O valor padrão é 60 minutos. |
StartTimeFallback |
Obrigatório
Uma lista separada por vírgulas de atributos de incidente ou alerta a serem usados como um substituto para o campo de alerta Se nenhum dos campos alternativos for encontrado, o conector usará o atributo O valor padrão é |
EndTimeFallback |
Obrigatório
Uma lista separada por vírgulas de atributos de incidente ou alerta a serem usados como um
fallback
para o campo de alerta Se nenhum dos campos alternativos for encontrado, o conector usará o atributo O valor padrão é |
Enable Fallback Logic Debug? |
Opcional
Se selecionado, o conector adiciona campos de depuração contendo os valores usados para substituição aos eventos criados. Não selecionada por padrão. |
VendorFieldFallback |
Obrigatório
Uma lista separada por vírgulas de atributos de incidentes a serem usados como substituição para o campo O valor padrão é |
ProductFieldFallback |
Obrigatório
Uma lista separada por vírgulas de atributos de incidentes a serem usados como substituição para
o campo O valor padrão é |
EventFieldFallback |
Obrigatório
Uma lista separada por vírgulas de atributos de incidentes a serem usados como substitutos para o parâmetro O valor padrão é |
Max Backlog Incidents per cycle |
Obrigatório
O número de incidentes a serem recuperados do backlog em uma execução do conector. O valor padrão é 10. |
Disable Overflow |
Opcional Se selecionado, o conector desativa um estouro de evento. Não selecionada por padrão. |
Total Number of Scheduled Alerts Events Limit to Ingest |
Opcional
O número máximo de eventos a serem ingeridos para um único alerta programado ou em tempo quase real do Microsoft Sentinel. O valor padrão é 100. |
Create Chronicle SOAR Alerts for Sentinel incidents that do not
have entities? |
Opcional
Se selecionado, o conector cria alertas do Google SecOps com base em incidentes do Microsoft Sentinel que não têm entidades. Caso contrário, o conector cria alertas do Google SecOps apenas para alertas programados e em tempo real, ignorando todos os outros tipos de incidentes do Microsoft Sentinel. Não selecionada por padrão. |
Incident's Alerts Limit to Ingest |
Opcional
O número máximo de alertas a serem ingeridos para cada incidente do Microsoft Sentinel. |
Incidents Padding Period (minutes) |
Opcional
Período em minutos antes de agora para o conector buscar e retornar incidentes. O conector não retorna incidentes em ordem cronológica. |
Alert Name Template |
Opcional
Se especificado, o conector usa esse valor dos dados do incidente retornados na resposta da API do Microsoft Sentinel para um nome de alerta do SOAR do Google SecOps. É possível fornecer um marcador de posição no seguinte formato:
O tamanho máximo do campo é de 256 caracteres. Se nenhum valor for fornecido ou se você fornecer um modelo inválido, o conector vai usar o nome de alerta padrão. |
Rule Generator Template |
Opcional
Se especificado, o conector usa esse valor dos dados do incidente retornados na resposta da API do Microsoft Sentinel para um gerador de regras SOAR do Google SecOps. É possível fornecer um marcador de posição no seguinte formato:
O tamanho máximo do campo é de 256 caracteres. Se nenhum valor for fornecido ou se você fornecer um modelo inválido, o conector usará o valor padrão do gerador de regras. |
How many hours to track ingested incident for updates |
Obrigatório
Um período para o conector rastrear os incidentes do Sentinel já ingeridos em busca de atualizações, como a adição de novos eventos ou entidades ou detalhes de incidentes. O valor padrão é de 24 horas. |
Wait For Scheduled/NRT Alert Object |
Opcional
Se ativado, o conector aguarda até que um objeto de alerta programado/NRT esteja disponível. |
Proxy Server Address |
Opcional
Endereço do servidor proxy a ser usado. |
Proxy Server Username |
Opcional
Nome de usuário do proxy para autenticação. |
Proxy Server Password |
Opcional
Senha do proxy para autenticação. |
Regras do conector
O conector de rastreamento de incidentes do Microsoft Sentinel é compatível com listas de bloqueio e dinâmicas.
Jobs
A integração do Microsoft Sentinel é compatível com o job Microsoft Sentinel - Sync Incidents.
Microsoft Sentinel: sincronizar incidentes
Use o job Microsoft Sentinel - Sync Incidents para sincronizar alertas do Google SecOps com incidentes do Microsoft Sentinel. Ele garante que comentários, status e tags sejam mantidos sincronizados entre os dois sistemas.
Para que o job identifique as informações corretas, o caso do Google SecOps
precisa ter a tag Microsoft Sentinel Incident. Se um alerta não tiver sido gerado pelo Microsoft Azure Sentinel Incident Connector v2, adicione um valor de contexto Incident_ID ao caso para que o job encontre as informações corretas.
Comportamento no trabalho
Esse trabalho consiste em duas partes principais: 1. O job sincroniza status de alertas, comentários e tags do Microsoft Sentinel com o Google SecOps. 1. O job sincroniza todas as atualizações do Google SecOps de volta para o Microsoft Sentinel.
O job processa um número máximo de casos por iteração para garantir uma performance estável. Ele depende do horário da última modificação de um caso para garantir que nenhuma atualização seja perdida.
Quando um alerta é fechado em qualquer um dos sistemas, o job sincroniza o encerramento. O mapeamento de status é o seguinte:
Maliciousé mapeado para um status do Microsoft Sentinel deClosedcom um motivoTrue Positive.Not Maliciousé mapeado para um status do Microsoft Sentinel deClosedcom um motivoFalse Positive.- Qualquer outro valor de encerramento é mapeado para um status do Microsoft Sentinel de
Closedcom um motivoUnknown.
Os comentários são sincronizados de forma bidirecional. Para evitar um loop de sincronização, o job aplica um prefixo a cada comentário.
As tags também são sincronizadas com os mesmos prefixos para distinguir a origem delas.
Observações importantes sobre a limitação de taxa da API
Esse job usa a API Microsoft Graph para gerenciar incidentes, que tem um limite de taxa de 20 solicitações por minuto. Para reduzir o risco de atingir esse limite e afetar outros componentes da integração, é altamente recomendável configurar um app do Microsoft Entra ID separado especificamente para esse trabalho.
A única permissão necessária é SecurityIncident.ReadWrite.All.
Parâmetros do job
O job Microsoft Sentinel - Sync Incidents exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Environment Name |
Obrigatório. O nome do ambiente de onde sincronizar incidentes. O valor padrão é |
Azure Active Directory ID |
Obrigatório. Seu ID de diretório exclusivo no Azure. Também conhecido como ID do locatário. |
OAUTH2 Login Endpoint Url |
Obrigatório. O URL do endpoint OAuth 2.0 em que o job solicita um token de autenticação. O valor padrão é |
API Root |
Obrigatório. O URL base da API Graph. O app de job anexa chamadas de API específicas a esse URL raiz para recuperar dados. O valor padrão é |
Client ID |
Obrigatório. O ID exclusivo do aplicativo registrado no Azure Active Directory. Esse ID é usado para autenticar e conceder ao aplicativo acesso ao Microsoft Sentinel. |
Client Secret |
Obrigatório. A chave confidencial usada com o |
Max Hours Backwards |
Obrigatório. O número de horas no passado para sincronizar incidentes. O valor padrão é |
Verify SSL |
Obrigatório/opcional. Se selecionada, a integração valida o certificado SSL ao se conectar ao servidor do Microsoft Sentinel. Ativado por padrão. |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.