Microsoft Azure Sentinel
集成版本:44.0
此集成使用一个或多个开源组件。 您可以从 Cloud Storage 存储桶下载此集成的完整源代码的压缩副本。
使用场景
- 监控和检查在 Sentinel 中基于来自本地主机和基于云的 Microsoft 服务(如 Microsoft 365 和 Microsoft 365 Cloud App Security)的事件创建的提醒。
- 在调查特定事件时,使用 Sentinel 中收集和关联的数据进行丰富。分析师可以在调查中使用 Sentinel 中收集和存储的数据,例如“深入”查看特定信息(例如,检查提醒数据、Syslog 日志),或查询特定时间段内或来自特定主机的活动。
前提条件
您需要在 Microsoft Entra ID 中获得授权,才能先对其进行配置,然后针对 Microsoft Security Insights API 执行请求。您需要配置权限:
- 创建 Microsoft Entra 应用。
- 创建客户端密钥。
- 向注册的 Microsoft Entra 应用授予对 Microsoft Sentinel 工作区的访问权限。
- 使用 Microsoft Entra 应用获取访问令牌。
创建 Microsoft Entra 应用
以用户管理员或密码管理员身份登录 Azure 门户。
选择 Microsoft Entra ID。
依次前往应用注册 > 新注册。
输入应用的名称。
选择适用的支持的账号类型。
点击注册。
保存应用(客户端)ID 和目录(租户)ID 值,以便稍后在配置集成参数时使用。
创建客户端密钥
依次前往证书和密钥 > 新客户端密钥。
为客户端密钥提供说明并设置其失效期限。
点击 Add(添加)。
保存客户端密钥的值(而非密钥 ID),以便在配置集成时将其用作
Client Secret参数值。客户端密钥值仅显示一次。
向已注册的 Microsoft Entra 授予对 Microsoft Sentinel 工作区的访问权限
前往 Microsoft Sentinel 概览页面。
点击设置。
点击访问权限控制 (IAM)。
在添加角色分配部分中,点击添加。
配置以下参数:
角色 =
Azure Sentinel Contributor。分配访问权限 =
default, Microsoft Entra ID user group, or service principal。
在选择部分中,提供搜索条件以查找您的应用,并为您的应用添加角色分配。
前往 Microsoft Sentinel 工作区页面。查找并配置以下参数:
Azure Resource GroupAzure Sentinel Workspace Name
将 Microsoft Azure Sentinel 与 Google SecOps SOAR 集成
有关如何在 Google Security Operations 中配置集成的详细说明,请参阅配置集成。
集成参数
使用以下参数配置集成:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 实例名称 | 字符串 | 不适用 | 否 | 您打算为其配置集成的实例的名称。 |
| 说明 | 字符串 | 不适用 | 否 | 实例的说明。 |
| Azure 订阅 ID | 字符串 | 不适用 | 是 | Microsoft Azure 订阅 ID,可在 Azure 门户 > 订阅 > <您的订阅> 订阅 ID 中查看。 |
| Azure Active Directory ID | 字符串 | 不适用 | 是 | Microsoft Entra 租户 ID,可在 Microsoft Entra > 应用注册 > <为集成配置的应用> 目录(租户)ID 中查看。 |
| API 根 | 字符串 | https://management.azure.com | 是 | 要与集成搭配使用的 Management.azure.com API 根网址。 |
| Azure 资源组 | 字符串 | 不适用 | 是 | Microsoft Sentinel 所在的 Azure 资源组的名称。 |
| Azure Sentinel 工作区名称 | 字符串 | 不适用 | 是 | 要使用的 Microsoft Sentinel 工作区的名称。可在 Azure 门户 > Microsoft Sentinel > Microsoft Sentinel 工作区中查看。 |
| 客户端 ID | 字符串 | 不适用 | 是 | 在 Microsoft Entra 中为此集成添加的应用注册的客户端(应用)ID。 |
| 客户端密钥 | 密码 | 不适用 | 是 | 为 Azure Sentinel 应用注册输入的密钥。 |
| 远程运行 | 复选框 | 尚未核查 | 否 | 选中此字段,以便远程运行配置的集成。选中后,系统会显示用于选择远程用户(客服人员)的选项。 |
操作
Ping
使用 Google Security Operations Marketplace 标签页中的集成配置页面上提供的参数,测试与 Microsoft Sentinel 工作区的连接。
使用场景
操作用于在 Google Security Operations Marketplace 标签页的集成配置页面中测试连接,并且可以作为手动操作执行,但不会在 playbook 中使用。
运行于
此操作会在所有实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 如果成功:输出“Successfully connected to the Microsoft Sentinel Workspace with the provided connection parameters!”。 如果不成功:打印“Failed to connect to the Microsoft Sentinel Workspace!错误为 {0}".format(exception.stacktrace)。 |
常规 |
列出突发事件
根据提供的搜索条件列出 Microsoft Sentinel 突发事件。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 时间范围 | 整数 | 3 | 否 | 指定要提取突发事件的时间范围(以小时为单位)。 |
| 状态 | 字符串 | 新、有效、已结束 | 否 | 指定要查找的突发事件的状态。参数接受多个值,这些值以英文逗号分隔的字符串形式提供。 |
| 严重程度 | 字符串 | 信息性、低、中、高 | 否 | 指定要查找的突发事件的严重程度。参数接受多个值,这些值以英文逗号分隔的字符串形式表示。 |
| 要提取的事件数量 | 整数 | 200 | 否 | 要提取的违规事件数。默认情况下,系统会返回最新的 200 起突发事件。 |
使用场景
该操作可用于列出 Google SecOps playbook 中的 Microsoft Sentinel 突发事件。
运行于
此操作会在所有实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"value": [
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases/323032be-5b0d-4661-944f-ff9557597e50",
"name": "323032be-5b0d-4661-944f-ff9557597e50",
"etag": "\"2100e65a-0000-0d00-0000-5de3b1bf0000\"",
"type": "Microsoft.SecurityInsights/Cases",
"properties": {
"title": "Suspicious process injection observed",
"description": "A process abnormally injected code into another process, As a result, unexpected code may be running in the target process memory. Injection is often used to hide malicious code execution within a trusted process. \nAs a result, the target process may exhibit abnormal behaviors such as opening a listening port or connecting to a command and control server.",
"severity": "Medium",
"status": "New",
"labels": ["add_tag"],
"endTimeUtc": "2019-11-29T03:42:05Z",
"startTimeUtc": "2019-11-29T03:42:05Z",
"owner": {
"objectId": null
},
"lastUpdatedTimeUtc": "2019-12-01T12:27:43Z",
"createdTimeUtc": "2019-11-29T07:13:32.0266519Z",
"relatedAlertIds": ["2462474c-b6d9-6937-17ee-c2a62671c2f8"],
"relatedAlertProductNames": ["Microsoft Defender Advanced Threat Protection"],
"caseNumber": 2276,
"totalComments": 0,
"metrics": {
"SecurityAlert": 1
},
"firstAlertTimeGenerated": "2019-11-29T07:13:31.961602Z",
"lastAlertTimeGenerated": "2019-11-29T07:13:31.961602Z"
}
},{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases/c7939be8-32fb-415c-9f7c-c13325d6c48b",
"name": "c7939be8-32fb-415c-9f7c-c13325d6c48b",
"etag": "\"1900f5e2-0000-0d00-0000-5de0c5110000\"",
"type": "Microsoft.SecurityInsights/Cases",
"properties": {
"title": "Suspicious Power Shell command line",
"description": "A suspicious PowerShell activity was observed on the machine. \nThis behavior may indicate that PowerShell was used during installation, exploration, or in some cases in lateral movement activities which are used by attackers to invoke modules, download external payloads, or get more information about the system. Attackers usually use PowerShell to bypass security protection mechanisms by executing their payload in memory without touching the disk and leaving any trace.\r\nOur algorithms found the behaviors of this process to be suspicious due to the following factors:\nSuspicious memory activity\nExecutes suspicious PowerShell commands",
"severity": "Medium",
"status": "New",
"labels": [],
"endTimeUtc": "2019-11-29T03:42:04.9552017Z",
"startTimeUtc": "2019-11-29T03:42:04.9552017Z",
"owner": {
"objectId": null
},
"lastUpdatedTimeUtc": "2019-11-29T07:13:21Z",
"createdTimeUtc": "2019-11-29T07:13:21.6858164Z",
"relatedAlertIds": [
"d053f17e-6153-d171-9f4d-82389442aa35"
],
"relatedAlertProductNames": [
"Microsoft Defender Advanced Threat Protection"
],
"caseNumber": 2275,
"totalComments": 0,
"metrics": {
"SecurityAlert": 1
},
"firstAlertTimeGenerated": "2019-11-29T07:13:21.5885314Z",
"lastAlertTimeGenerated": "2019-11-29T07:13:21.5885314Z"
}
}
],
"nextLink": "https://management.azure.com:443/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases?api-version=2019-01-01-preview&$skipToken=H4sIAAAAAAAEAE1VTVMiSxD8MR45LIstukbsIbvnqxmGcRgR2xsiFqA44soiHt5vf1nzfOwaQUg31fWRlVnVGfvo8p-Jf5jhavBejW1_jQvon5OfP0_G15ffT67H7rLX7fIQXQ4P64vB583efZqXUSo7zGaRvS4-inWzK9Z-V3ze3RSfxfko8ufFdfy7jIpu8Snd8vkXTnx9c9k78XF52T87O-2fJFdXlxCZfMUDItN-zflJ2m9o-EmRx13Efi52cvw9Fnf2LBmvkW0-aBJwK8kUSYPp0R88pm_m9s-5gg2uKx9y9PMMu1yuOqgNaklrOGPfBDtMAu4FfawNZpJ2EDXWChZYGCwl2iBt7EpQovKARD1k3pb6u_Vqt4ELdqy_nw7mhSQ7pN5e6RnGbQQ9PDUYSNpHEnAjaQzUtiM2x71HLoMNoXCVoMZMz4wHg6FkueaXCrZYBHiJWYG3tEuRVke8Dog69ccs9uJ2wNxaJJ55OsASmmDvBB3F7VaQoarQ0XzjyiKOe4gDluo0laO_HN752wa_5a6-Ow3x_R88BYU_yOt7b1B6PPyN-_Ps6fHv8_ez7vLv876R1fFs2fftaLqsFjgPUV9GNevPzqRc4D1EvyXvYGPYN2yHfv9_XnYBt7A77ddgh-fgSin6tM_mEh3sqcFaHrb4HqI7sStrGvcm-RafjTMy7GHl7d262WDR2B-Sl9g27pcMD3gI2TfGsYx_LqMF3kJUSdnjO2QyP-DdR5EMd1gaPB3zT0E_5Uz9PjXsc1TiNtieDDroBdr73AafXMg0tXUTL-Wxr_cdGfUYN5qITzEPvXu51fjOyjDFKkSPks6Ytw1S9e0oJE4ea4xDZsgje9bikdqdd-eS7zA49p_0Sxb-1KdP4nd4CW4pfoVNg0TmM-JD-0GNZXAHGXbw4l0jWY1n40T9rIx7krRXLrwbiZ_ixdAuW9A-Wio-pyZKJT_gYNyH5n0d0ldJOuxnJFLMGMd2xYWjvgbChG5XSWPcWP3Q316GW5SGOEe5fQxJLVXqbkzcl3pnfcjexP3R5w9KvfkgPw3GcLHyc6p-Jh5d1ZElXwUrXDX4IW6hI8SL7ek82JIHuDKq4xWyVrf6X_WZwXueaVc2eBe3Jf8hjufU41yiVOPYPa9UD3oeNvgU6sex7-JKeMN41OWQI-br_lTiKUaN6qqGb_W9UOndq95co_lu4APIx43ml4lVnmMjrsbIMB5lmhvOA94XBhOxrBfVs7gp-45X9RMFjj47o36t0zmVCGXrVVH4T5AxgmAILdDZVOfUTmTl8yM_CNLryj4aFzSfNGgczolf0FkQZ4orpcU4HIZWtVqJc_qSw3elcWDhUATOI-LP_DPBTOvjHDogC4j2joOWqei7rFGdMNv2HVxpiBftaB8RX1bIy2SF2qOnOHLOpWKd4hjEliyWzxolAeMRp0x5gIHmfa15JgbcC6nyICiuxOmpzXdOXPh-oPOSc5D2Y62F9U2UF8OAR84FjRfpPGU_K-0reVBVbqV822nfuU_4Tir2s5R4q3lM27447gX6rwxG4gqlJhQh8uWXuI32nfypHPMrxXW03y-ijPb8nXhfeRjtq9V-sq_s00RxoX2u8xzKD3fQep-Ur2xFrf1ivE_pLLJXk1SSpyga9bsD56KNW9nJN9UBeeR4pa2qFNdE9wd5ETOBmPyhXu7b-i-YpDYV1VL3j2_76cA7r3WQ13eKD_F0MXk58Lj6wtdXxD1S3nP_MQ-397E2vmr3o2e-xIlbhfEP2s_f4mbah1jrJL573a_EdSRc2eTDWnXoW35wL7X17rT-i5YXc8ut1Oqzrzrm3nRfOA0Vp6TlH3kvvrUbNHhWnCOv_c25l6lL8iXlnod6t1i1um9QtHwMzIP99OrHFvTrFBTV1rnyKt4zb8VJ9cX6klYPFR2pJJzydy12q3ik6geqa-ojbeeItbTnHnfUVfXzX2qVoX91CQAA"
}
案例墙
| 结果类型 | 值/ 说明 | 类型 |
|---|---|---|
| 输出消息* | 如果成功并获取数据:打印“Successfully returned Microsoft Sentinel incidents”。 如果未找到任何内容:请输出“Action was not able to find any incidents”(操作无法找到任何突发事件)。 if error: print "Failed to list Microsoft Sentinel incidents! 错误为 {0}".format(exception.stacktrace)。 |
常规 |
| 表 | 表格标题:发现的 Microsoft Sentinel 事件: 列:incident_number、incident_id、title、description、severity、status、labels、assigned to、alert product names、created time、last updated time |
常规 |
| 附件 | List_Incidents.json - 包含操作返回的技术 JSON 数据。 | 常规 |
JSON 查看器 |
显示查询结果的 JSON 查看器。 | 常规 |
更新突发事件详细信息
更新 Microsoft Sentinel 突发事件。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 突发事件支持请求编号 | 整数 | 不适用 | 是 | 指定要更新的 Azure Sentinel 事件编号。 |
| 标题 | 字符串 | 不适用 | 否 | 为 Azure Sentinel 事件指定新标题。 |
| 严重程度 | DDL | 未更新(可能的值:未更新、信息、低、中、高) |
否 | 为 Azure Sentinel 突发事件指定新的严重程度。 |
| 说明 | 字符串 | 不适用 | 否 | 为 Azure Sentinel 突发事件指定新说明。 |
| 分配给 | 字符串 | 不适用 | 否 | 指定要将突发事件分配给的用户。 |
| 状态 | DDL | 未更新(可能的值:未更新、新、有效、已关闭) | 否 | 为 Azure Sentinel 突发事件指定新状态。 |
| 关闭原因 | DDL | 未更新(可能的值: |
否 | 如果突发事件的状态设置为“已关闭”,请提供突发事件的“关闭原因”。 |
| 结束评论 | 字符串 | 不适用 | 否 | 为已关闭的 Azure Sentinel 突发事件提供的可选关闭评论。 |
| 重试次数 | 整数 | 1 | 是 | 指定如果事件更新失败,该操作应尝试重试的次数。 |
| 重试频率 | 整数 | 20 | 是 | 指定操作在重试突发事件更新之间等待的时间段。 |
使用场景
该操作可用于通过 Google SecOps playbook 更新 Microsoft Sentinel 突发事件。它可以作为工作流中的结果操作,用于分析 Microsoft Sentinel 事件。在 Google SecOps 中处理事件后,可以更新事件以指示事件分析的进度(例如,设置 assignedTo、将状态设置为 inProgress 等)。
运行于
此操作会在所有实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
系统会针对请求 2 返回 JSON 结果,其中包含以下更新后的突发事件详细信息:
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases/9e5c0afc-b7a6-4eac-8164-9242ad710a66",
"name": "9e5c0afc-b7a6-4eac-8164-9242ad710a66",
"etag": "\"12002b5c-0000-0d00-0000-5dde83730000\"",
"type": "Microsoft.SecurityInsights/Cases",
"properties": {
"title": "Activity from a Tor IP address",
"description": "A failed sign in was detected from a Tor IP addressThe Tor IP address 203.0.113.200 was used by Example User - Test User Spec (user@example.com).",
"severity": "Informational",
"status": "InProgress",
"assignedTo": "test@example.com",
"labels": [],
"closeReason": "Resolved",
"endTimeUtc": "2019-11-27T01:56:03.4651258Z",
"startTimeUtc": "2019-11-27T01:56:03.4651258Z",
"owner": {
"objectId": null,
"email": "test@example.com"
},
"lastUpdatedTimeUtc": "2019-11-27T14:08:51Z",
"createdTimeUtc": "2019-11-27T05:01:11.1139394Z",
"relatedAlertIds": [
"2a96343c-e551-4529-96f1-18d6f734470d"
],
"relatedAlertProductNames": [
"Azure Sentinel"
],
"caseNumber": 2274,
"totalComments": 0,
"metrics": {
"SecurityAlert": 1
},
"firstAlertTimeGenerated": "2019-11-27T05:01:10.2574659Z",
"lastAlertTimeGenerated": "2019-11-27T05:01:10.2574659Z"
}
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 如果成功:打印“Successfully updated Microsoft Sentinel incident {0}”(已成功更新 Microsoft Sentinel 突发事件 {0})。format(IncidentID)。 如果无法通过提供的支持请求编号找到支持请求:打印“Microsoft Sentinel Incident with case number {0} was not found!”。format(incident_case_number)。 如果出错:打印“Failed to update Microsoft Sentinel incident! 错误为 {0}".format(exception.stacktrace)。 |
常规 |
更新突发事件标签
更新特定 Microsoft Sentinel 事件的标签。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 突发事件支持请求编号 | 整数 | 2273 | 是 | 指定要使用新标签更新的 Azure Sentinel 突发事件编号。 |
| 标签 | 字符串 | 遭到恶意软件攻击 | 是 | 指定应附加到突发事件的新标签。参数接受多个值,这些值以英文逗号分隔的字符串形式表示。 |
| 重试次数 | 整数 | 1 | 是 | 指定如果事件更新失败,该操作应尝试重试的次数。 |
| 重试频率 | 整数 | 20 | 是 | 指定操作在重试更新突发事件之间应等待的时间段。 |
使用场景
该操作可用于通过 Google SecOps playbook 更新 Microsoft Sentinel 突发事件标签。用户可以使用此操作为特定突发事件分配特定标记(标签),如果需要的话。例如,如果特定主机是此突发事件的一部分,则应有特定标签。
运行于
此操作会在所有实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
系统会针对请求 2 返回 JSON 结果,其中包含更新后的突发事件详细信息:
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases/9e5c0afc-b7a6-4eac-8164-9242ad710a66",
"name": "9e5c0afc-b7a6-4eac-8164-9242ad710a66",
"etag": "\"12002b5c-0000-0d00-0000-5dde83730000\"",
"type": "Microsoft.SecurityInsights/Cases",
"properties": {
"title": "Activity from a Tor IP address",
"severity": "Informational",
"status": "InProgress",
"labels": [
"malware",
"trojan"
],
"endTimeUtc": "2019-11-27T01:56:03.4651258Z",
"startTimeUtc": "2019-11-27T01:56:03.4651258Z",
"owner": {
"objectId": null,
},
"lastUpdatedTimeUtc": "2019-11-27T14:08:51Z",
"createdTimeUtc": "2019-11-27T05:01:11.1139394Z",
"relatedAlertIds": [
"2a96343c-e551-4529-96f1-18d6f734470d"
],
"relatedAlertProductNames": [
"Azure Sentinel"
],
"caseNumber": 2274,
"totalComments": 0,
"metrics": {
"SecurityAlert": 1
},
"firstAlertTimeGenerated": "2019-11-27T05:01:10.2574659Z",
"lastAlertTimeGenerated": "2019-11-27T05:01:10.2574659Z"
}
}
案例墙
| 结果类型 | 值/ 说明 | 类型 |
|---|---|---|
| 输出消息* | 如果成功:“已成功更新 Microsoft Sentinel 事件 {0},并添加以下标签:{1}”。format(IncidentID, [labels_list])。
如果无法通过提供的突发事件请求编号找到突发事件:“未找到请求编号为 {0} 的 Microsoft Sentinel 突发事件!”。format(incident_case_number)。 如果用户提供的标签已存在于突发事件中 (isSuccess=False):"以下标签未添加到突发事件 {0} 的 Microsoft Sentinel 标签中,因为它们已存在:{1}".format(IncidentID, [labels_list]) 如果出现以下错误:“Failed to update Microsoft Sentinel incident labels! 错误为 {0}".format(exception.stacktrace)。 |
常规 |
获取突发事件统计信息
获取 Azure Sentinel 突发事件统计信息。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 时间范围 | 整数 | 3 | 否 | 指定要显示统计信息的时间范围。 |
使用场景
该操作可用于显示 Microsoft Sentinel 事件的 Google SecOps Playbook 报告。此操作将构成剧本的一部分,用户可在其中与 Microsoft Sentinel 的警报进行互动。例如,当系统处理并移除警告时,可实现此操作,以便在“经验教训”页面上查看 Microsoft Sentinel 事件的结果。
相反,用户也可以使用这种方法,而不是使用 Windows Sentinel 应用,以便留在 Google SecOps 中。
运行于
此操作会在所有实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Aggregations/Cases",
"name": "Cases",
"type": "Microsoft.SecurityInsights/Aggregations",
"kind": "CasesAggregation",
"properties": {
"aggregationBySeverity": {
"totalCriticalSeverity": 1,
"totalHighSeverity": 2,
"totalMediumSeverity": 554,
"totalLowSeverity": 1714,
"totalInformationalSeverity": 1
},
"aggregationByStatus": {
"totalNewStatus": 2268,
"totalInProgressStatus": 4,
"totalResolvedStatus": 1,
"totalDismissedStatus": 0,
"totalTruePositiveStatus": 2,
"totalFalsePositiveStatus": 1
}
}
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 如果成功并获取数据:打印“Successfully returned Microsoft Sentinel incident statistics”(已成功返回 Microsoft Sentinel 事件统计信息)。 如果出错: 请打印“Failed to get Microsoft Sentinel incident statistics! 错误为 {0}".format(exception.stacktrace)。 |
常规 |
| 表 1 | 表格标题:按严重程度划分的 Microsoft Sentinel 事件统计信息: 列:严重(映射到 totalCriticalSeverity)、高(映射到 totalHighSeverity)、中(映射到 totalMediumSeverity)、低(映射到 totalLowSeverity)、信息(映射到 totalInformationalSeverity) |
常规 |
| 表 2 | 表格标题:按状态划分的 Microsoft Sentinel 事件统计信息: 列:New(映射到 totalNewStatus)、InProgress(映射到 totalInProgressStatus)、Resolved(映射到 totalResolvedStatus)、Dismissed(映射到 totalDismissedStatus)、TruePositive(映射到 totalTruePositiveStatus)、 FalsePositive(映射到 totaFalsePositiveStatus) |
常规 |
JSON 查看器 |
显示查询结果的 JSON 查看器。 | 常规 |
列出提醒规则
获取 Azure Sentinel 计划规则列表。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 提醒规则严重程度 | 字符串 | 信息、低、中、高、严重 | 否 | 指定要查找的提醒规则的严重程度。该参数接受多个值,这些值以英文逗号分隔的字符串形式表示。 |
| 获取特定提醒规则类型 | 字符串 | 不适用 | 否 | 指定操作应返回哪些提醒类型。参数接受多个值,这些值以英文逗号分隔的字符串形式提供。 如果未提供值,则返回所有可能的提醒类型。 |
| 获取特定提醒规则策略 | 字符串 | 不适用 | 否 | 指定了提醒规则策略操作应返回的内容。该参数接受多个值,这些值以英文逗号分隔的字符串形式表示。 如果未提供值,则返回所有可能的提醒类型。 |
| 仅提取已启用的提醒规则? | 复选框 | 尚未核查 | 否 | 指定操作是否应仅返回已启用的提醒规则。 |
| 要返回的规则数上限 | 整数 | 不适用 | 否 | 操作应返回多少个已安排的提醒规则,例如 50。 |
使用场景
该操作可用于列出 Google SecOps playbook 中的 Microsoft Sentinel 提醒规则。您可以列出提醒规则,确保您已针对环境中可疑的每种威胁和异常情况准备了提醒规则。如果您发现某些情况未得到妥善处理,可以立即更新现有提醒规则或创建新规则。Microsoft Sentinel 提醒规则可确保您立即收到通知,以便您对威胁进行分类、调查和补救。
运行于
此操作会在所有实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"value": [
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/alertRules/4bdce24d-7837-4f02-9f7a-10824f376517",
"name": "4bdce24d-7837-4f02-9f7a-10824f376517",
"etag": "\"00002f05-0000-0d00-0000-5d9db9970000\"",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "MicrosoftSecurityIncidentCreation",
"properties": {
"productFilter": "Azure Active Directory Identity Protection",
"severitiesFilter": null,
"displayNamesFilter": null,
"displayName": "Create incidents based on Azure Active Directory Identity Protection alerts",
"enabled": true,
"description": "Create incidents based on all alerts generated in Azure Active Directory Identity Protection",
"tactics": null,
"alertRuleTemplateName": "532c1811-79ee-4d9f-8d4d-6304c840daa1",
"lastModifiedUtc": "2019-10-09T10:42:31.5264376Z"
}
},
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/alertRules/540f68c9-9397-49c7-8953-8efce08d6e62",
"name": "540f68c9-9397-49c7-8953-8efce08d6e62",
"etag": "\"00003105-0000-0d00-0000-5d9db9ad0000\"",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "MicrosoftSecurityIncidentCreation",
"properties": {
"productFilter": "Azure Security Center",
"severitiesFilter": null,
"displayNamesFilter": null,
"displayName": "Create incidents based on Azure Security Center alerts",
"enabled": true,
"description": "Create incidents based on all alerts generated in Azure Security Center",
"tactics": null,
"alertRuleTemplateName": "90586451-7ba8-4c1e-9904-7d1b7c3cc4d6",
"lastModifiedUtc": "2019-10-09T10:42:53.9014288Z"
}
}
]
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 如果成功:打印“Successfully listed Microsoft Sentinel alert rules configured”。 如果出错:打印“Failed to list Microsoft Sentinel alert rules! 错误为 {0}".format(exception.stacktrace)。 |
常规 |
| 表 | 表格标题:发现的 Microsoft Sentinel 提醒规则: 列:AlertID(映射到名称)、Name(映射到 displayName)、Enabled、Description、Tactics、Last Modification Time(映射到 lastModificationUtc) |
常规 |
| 附件 | List_AlertRules.json - 包含操作返回的技术 JSON 数据。 | 常规 |
JSON 查看器 |
显示查询结果的 JSON 查看器。 | 常规 |
获取提醒规则详细信息
获取 Azure Sentinel 预定提醒规则的详细信息。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| AlertRuleID | 字符串 | 不适用 | 是 | 指定提醒规则的 ID。 |
使用场景
该操作可用于从 Google SecOps playbook 中获取有关 Microsoft Sentinel 提醒规则的详细信息。例如,如果您发现某些提醒越来越频繁,但其中大多数都是误报;或者如果一条提醒规则处理的情况过多,而您想将这些情况分开,以便更轻松地识别威胁,那么您可以使用此操作来正确了解提醒规则的配置。根据提醒规则的结果,您可以决定是更新、删除还是保持该规则不变。
运行于
此操作会在所有实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/alertRules/8dce4dbd-0ba6-4c93-943a-8da49f7d0aa4",
"name": "8dce4dbd-0ba6-4c93-943a-8da49f7d0aa4",
"etag": "\"0200c767-0000-0d00-0000-5ddf3b160000\"",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "Scheduled",
"properties": {
"severity": "High",
"query": "SecurityEvent\r\n| where Activity startswith \"4625\"\r\n| summarize count() by IpAddress, Computer\r\n| where count_ >3\r\n| extend HostCustomEntity = Computer\r\n| extend IPCustomEntity = IpAddress",
"queryFrequency": "PT1H",
"queryPeriod": "P5D",
"triggerOperator": "GreaterThan",
"triggerThreshold": 0,
"suppressionDuration": "PT5H",
"suppressionEnabled": false,
"displayName": "Multiple failed login attempts from the same IP",
"enabled": false,
"description": "",
"tactics": [
"InitialAccess"
],
"alertRuleTemplateName": null,
"lastModifiedUtc": "2019-11-28T03:12:21.9276927Z"
}
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 如果成功并获取数据:打印“Successfully returned Microsoft Sentinel alert rule {0} details”(已成功返回 Microsoft Sentinel 提醒规则 {0} 详细信息)。format(AlertRuleID)。 如果无法通过提供的 AlertID 找到相应提醒规则:打印“Microsoft Sentinel alert rule with ID "{0}" was not found!”。format(AlertRuleID)。
如果出错:打印“Failed to get details about Microsoft Sentinel alert rule! 错误为 {0}".format(exception.stacktrace)。 |
常规 |
| 表 | 表格标题:Microsoft Sentinel 提醒规则详情: 列:AlertID(映射到名称)、Name(映射到 displayName)、Enabled、Description、Query、Frequency(映射到 queryFrequency)、Period of Lookup data(映射到 queryPeriod)、Trigger(映射为 triggerOperator 和 triggerThreshold 的组合)、Tactics、Enable Suppression(映射为“suppressionEnabled”)、Suppression Duration(映射为 suppressionDuration)、Last Modification Time(映射到 lastModificationUtc) |
常规 |
JSON 查看器 |
显示查询结果的 JSON 查看器。 | 常规 |
创建提醒规则
创建 Azure Sentinel 计划提醒规则。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 启用提醒规则 | DDL | 不适用 | 是 | 指定您要停用还是启用此提醒规则。 |
| 名称 | 字符串 | 不适用 | 是 | 指定提醒规则的显示名称。 |
| 严重程度 | DDL | 不适用 | 是 | 指定此提醒规则的严重程度。 |
| 查询 | 字符串 | 不适用 | 是 | 指定此提醒规则的查询。 |
| 频率 | 字符串 | 不适用 | 是 | 指定运行查询的频率,使用以下格式:PT + 数字 + (M、H、D), 其中,M 表示分钟,H 表示小时,D 表示天。 最短为 5 分钟,最长为 14 天。 |
| 查询数据的时段 | 字符串 | 不适用 | 是 | 指定上次查找数据的时间,使用以下格式:P + 数字 + (M、H、D), 其中,M 表示分钟,H 表示小时,D 表示天。最短为 5 分钟,最长为 14 天。 |
| 触发器运算符 | DDL | 不适用 | 是 | 为此提醒规则指定触发运算符。 |
| 触发阈值 | 整数 | 不适用 | 是 | 为此提醒规则指定触发阈值。 |
| 启用抑制 | DDL | 不适用 | 是 | 指定是否要在生成提醒后停止运行查询。 |
| 抑制时长 | 字符串 | 不适用 | 是 | 指定在生成提醒后要停止运行查询的时长,使用以下格式:PT + 数字 +(M、H、D), 其中,M - 分钟,H - 小时,D - 天 示例: P1M - 1 分钟 P10H - 10 小时 P2D - 2 天。 最短为 5 分钟,最长为 14 天。 |
| 说明 | 字符串 | 不适用 | 否 | 指定相应提醒规则的说明。 |
| 策略 | 字符串 | 不适用 | 否 | 为此提醒规则指定策略。 参数可以接受多个以逗号分隔的值。 |
使用场景
此操作可用于通过 Google SecOps playbook 创建 Microsoft Sentinel 提醒规则。您可以创建自定义提醒规则,以帮助您搜索环境中可疑的威胁和异常情况。Microsoft Sentinel 警报规则可确保您立即收到通知,以便您对威胁进行分类、调查和修复。
运行于
此操作会在所有实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 如果成功:打印“Successfully created Microsoft Sentinel alert rule!”。 如果出现错误:打印“Failed to create Microsoft Sentinel alert rule! 错误为 {0}".format(exception.stacktrace). |
常规 |
更新提醒规则
更新 Azure Sentinel 计划提醒规则。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| AlertRuleID | 字符串 | 不适用 | 是 | 指定提醒规则的 AlertRuleID。 |
| 名称 | 字符串 | 不适用 | 否 | 指定提醒规则的显示名称。 |
| 启用提醒规则 | DDL | 不适用 | 否 | 指定您要停用还是启用此提醒规则。 |
| 严重程度 | DDL | 不适用 | 否 | 指定此提醒规则的严重程度。 |
| 查询 | 字符串 | 不适用 | 否 | 指定相应提醒规则的查询。 |
| 频率 | 字符串 | 不适用 | 否 | 指定运行查询的频率,使用以下格式:PT + 数字 + (M、H、D), 其中,M 表示分钟,H 表示小时,D 表示天。示例: PT1M - 每分钟运行一次查询 PT10H - 每 10 小时运行一次查询 PT2D - 每 2 天运行一次查询。 最短为 5 分钟,最长为 14 天。 |
| 查询数据的时段 | 字符串 | 不适用 | 否 | 指定上次查找数据的时间,使用以下格式:P + 数字 + (M、H、D), 其中,M 表示分钟,H 表示小时,D 表示天。。 示例: P1M - 1 分钟 P10H - 10 小时 P2D - 2 天。 最短为 5 分钟,最长为 14 天。 |
| 触发器运算符 | DDL | 不适用 | 否 | 为此提醒规则指定触发运算符。 |
| 触发阈值 | 整数 | 不适用 | 否 | 为此提醒规则指定触发阈值。 |
| 启用抑制 | DDL | 不适用 | 否 | 指定是否要在生成提醒后停止运行查询。 |
| 抑制时长 | 字符串 | 不适用 | 否 | 指定在生成提醒后要停止运行查询的时长,使用以下格式:PT + 数字 +(M、H、D), 其中,M - 分钟,H - 小时,D - 天 示例: P1M - 1 分钟 P10H - 10 小时 P2D - 2 天。 最短为 5 分钟,最长为 14 天。 |
| 说明 | 字符串 | 不适用 | 否 | 指定相应提醒规则的说明。 |
| 策略 | 字符串 | 无 | 否 | 为此提醒规则指定策略。 参数接受多个以英文逗号分隔的值。 |
使用场景
该操作可用于通过 Google SecOps playbook 更新 Microsoft Sentinel 提醒规则。例如,如果您发现某些提醒越来越频繁,并且其中大部分是误报,则可以使用此操作来更新提醒规则的配置,以满足您的需求和期望。Microsoft Sentinel 警报规则可确保您立即收到通知,以便您对威胁进行分类、调查和修复。
运行于
此操作会在所有实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 如果成功:输出“Successfully updated Microsoft Sentinel alert rule with ID {0}”(已成功更新 ID 为 {0} 的 Microsoft Sentinel 提醒规则)。format(AlertRuleID)。 如果找不到具有所提供 AlertID 的提醒规则:打印“Microsoft Sentinel alert rule with ID "{0}" was not found!”。format(AlertRuleID)。 如果出现错误:打印“Failed to update Microsoft Sentinel alert rule! 错误为 {0}".format(exception.stacktrace)。 |
常规 |
删除提醒规则
删除 Azure Sentinel 计划提醒规则。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| AlertRuleID | 字符串 | 不适用 | 是 | 指定要删除的提醒规则的 ID。 |
使用场景
此操作可用于从 Google SecOps 中删除 Microsoft Sentinel 提醒规则。如果某个提醒规则非常过时,无法发挥作用,或者某个规则仅生成误报,您可以使用此操作将其删除。
运行于
此操作会在所有实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 如果成功:打印“Successfully deleted Microsoft Sentinel alert rule {0}”(已成功删除 Microsoft Sentinel 提醒规则 {0})。format(AlertRuleID)。 如果找不到具有指定 AlertID 的提醒规则:打印“Microsoft Sentinel alert rule with ID "{0}" was not found!”。format(AlertRuleID)。 如果出错:打印“未能删除 Microsoft Sentinel 提醒规则!”错误为 {0}".format(exception.stacktrace)。 |
常规 |
列出自定义搜寻规则
获取 Azure Sentinel 自定义搜索规则列表。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 要返回的搜寻规则名称 | 字符串 | 不适用 | 否 | 指定搜索规则操作应返回的名称。该形参接受以英文逗号分隔的字符串形式的多个值。 如果未提供值,则返回所有可能的提醒类型。 |
| 获取特定搜寻规则策略 | 字符串 | 不适用 | 否 | 指定搜索规则策略操作应返回的内容。该形参接受以英文逗号分隔的字符串形式的多个值。 如果未提供值,则返回所有可能的提醒类型。 |
| 要返回的规则数上限 | 整数 | 不适用 | 否 | 操作应返回多少个已安排的提醒规则,例如 50。 |
使用场景
该操作可用于列出 Google SecOps playbook for Microsoft Sentinel 的自定义和收藏的搜寻规则。为确保您已针对网络上运行的最罕见但非常关键的进程的相关数据建立所有搜索规则,您应提及自定义搜索规则和首选搜索规则。如果您发现某些情况未得到正确处理,可以立即更新和创建现有的搜索规则。
运行于
此操作会在所有实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"__metadata": {},
"value": [
{
"id": "subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/savedSearches/0c5bd7e1-0e13-4e7d-9e32-88baf9589192",
"etag": "W/\"datetime'2019-12-02T10%3A14%3A10.5299491Z'\"",
"properties": {
"Category": "Hunting Queries",
"DisplayName": "Hunting Query 1",
"Query": "\r\nlet timeframe = 7d;\r\nAWSCloudTrail\r\n| where TimeGenerated >= ago(timeframe)\r\n| where EventName in~ (\"AttachGroupPolicy\", \"AttachRolePolicy\", \"AttachUserPolicy\", \"CreatePolicy\",\r\n\"DeleteGroupPolicy\", \"DeletePolicy\", \"DeleteRolePolicy\", \"DeleteUserPolicy\", \"DetachGroupPolicy\",\r\n\"PutUserPolicy\", \"PutGroupPolicy\", \"CreatePolicyVersion\", \"DeletePolicyVersion\", \"DetachRolePolicy\", \"CreatePolicy\")\r\n| project TimeGenerated, EventName, EventTypeName, UserIdentityAccountId, UserIdentityPrincipalid, UserAgent, \r\nUserIdentityUserName, SessionMfaAuthenticated, SourceIpAddress, AWSRegion, EventSource, AdditionalEventData, ResponseElements\r\n| extend timestamp = TimeGenerated, IPCustomEntity = SourceIpAddress, AccountCustomEntity = UserIdentityAccountId\r\n",
"Tags": [
{
"Name": "description",
"Value": "1234"
},
{
"Name": "tactics",
"Value": "DefenseEvasion"
},
{
"Name": "createdTimeUtc",
"Value": "12/02/2019 09:21:18"
}
],
"Version": 2
},
"name": "0c5bd7e1-0e13-4e7d-9e32-88baf9589192"
},
{
"id": "subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/savedSearches/30a94796-a573-4e6e-9385-fb96d0aa5ea2",
"etag": "W/\"datetime'2019-12-02T10%3A10%3A18.4761379Z'\"",
"properties": {
"Category": "Hunting Queries",
"DisplayName": "Hunting Query 1",
"Query": "\r\nlet timeframe = 7d;\r\nAWSCloudTrail\r\n| where TimeGenerated >= ago(timeframe)\r\n| where EventName in~ (\"AttachGroupPolicy\", \"AttachRolePolicy\", \"AttachUserPolicy\", \"CreatePolicy\",\r\n\"DeleteGroupPolicy\", \"DeletePolicy\", \"DeleteRolePolicy\", \"DeleteUserPolicy\", \"DetachGroupPolicy\",\r\n\"PutUserPolicy\", \"PutGroupPolicy\", \"CreatePolicyVersion\", \"DeletePolicyVersion\", \"DetachRolePolicy\", \"CreatePolicy\")\r\n| project TimeGenerated, EventName, EventTypeName, UserIdentityAccountId, UserIdentityPrincipalid, UserAgent, \r\nUserIdentityUserName, SessionMfaAuthenticated, SourceIpAddress, AWSRegion, EventSource, AdditionalEventData, ResponseElements\r\n| extend timestamp = TimeGenerated, IPCustomEntity = SourceIpAddress, AccountCustomEntity = UserIdentityAccountId\r\n",
"Tags": [
{
"Name": "description",
"Value": "1234"
},
{
"Name": "tactics",
"Value": "DefenseEvasion"
},
{
"Name": "createdTimeUtc",
"Value": "12/02/2019 09:21:18"
}
],
"Version": 2
},
"name": "30a94796-a573-4e6e-9385-fb96d0aa5ea2"
}
]
}
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 如果成功:打印“Successfully returned Microsoft Sentinel hunting rules”。 如果出现错误:打印“Failed to list Microsoft Sentinel hunting rules! 错误为 {0}".format(exception.stacktrace). |
常规 |
| 表 | 表格标题:发现的 Microsoft Sentinel 搜索规则: 列:HuntingRuleID(映射到名称)、title(映射到 displayName)、category、description(映射到 tags 字典中的 description 参数)、tactics(映射到 tags 字典中的 tactics 参数)、query、创建时间(映射到 tags 字典中的 CreatedTimeUtc 参数) |
常规 |
| 附件 | List_HuntingRules.json - 包含操作返回的技术 JSON 数据。 | 常规 |
JSON 查看器 |
显示查询结果的 JSON 查看器。 | 常规 |
获取自定义搜寻规则详细信息
获取 Azure Sentinel 自定义搜索规则的详细信息。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| HuntingRuleID | 字符串 | 不适用 | 是 | 指定搜索规则的 ID。 |
使用场景
您可以使用 Google SecOps 剧本访问有关 Microsoft Sentinel 标准或首选搜索规则的信息。例如,如果您发现从搜索规则收到的详细信息不适合进行分析,或者您想查看搜索规则是否配置正确,可以使用此工具。然后,根据结果评估是否要修改、移除或保持不变。
运行于
此操作会在所有实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"id": "subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/savedSearches/30a94796-a573-4e6e-9385-fb96d0aa5ea2",
"etag": "W/\"datetime'2019-12-02T10%3A14%3A10.5299491Z'\"",
"properties": {
"Category": "Log Management",
"DisplayName": "Multiple Password Reset by user",
"Query": "\nlet timeframe = 7d;\nAWSCloudTrail\n| where TimeGenerated >= ago(timeframe)\n| where EventName in~ (\"AttachGroupPolicy\", \"AttachRolePolicy\", \"AttachUserPolicy\", \"CreatePolicy\",\n\"DeleteGroupPolicy\", \"DeletePolicy\", \"DeleteRolePolicy\", \"DeleteUserPolicy\", \"DetachGroupPolicy\",\n\"PutUserPolicy\", \"PutGroupPolicy\", \"CreatePolicyVersion\", \"DeletePolicyVersion\", \"DetachRolePolicy\", \"CreatePolicy\")\n| project TimeGenerated, EventName, EventTypeName, UserIdentityAccountId, UserIdentityPrincipalid, UserAgent, \nUserIdentityUserName, SessionMfaAuthenticated, SourceIpAddress, AWSRegion, EventSource, AdditionalEventData, ResponseElements\n| extend timestamp = TimeGenerated, IPCustomEntity = SourceIpAddress, AccountCustomEntity = UserIdentityAccountId\n",
"Tags": [
{
"Name": "description",
"Value": "Identity and Access Management (IAM) securely manages access to AWS services and resources."
},
{
"Name": "tactics",
"Value": "DefenseEvasion"
},
{
"Name": "createdTimeUtc",
"Value": "12/02/2019 09:21:18"
}
],
"Version": 2
}
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 如果成功:打印“Successfully returned Microsoft Sentinel hunting rule {0} details”。format(HuntingRuleID)。 如果找不到具有指定 AlertID 的提醒规则:打印“Microsoft Sentinel hunting rule with ID "{0}" was not found!”。format(HuntingRuleID)。 如果出现错误:打印“Failed to get details about Microsoft Sentinel hunting rule! 错误为 {0}".format(exception.stacktrace)。 |
常规 |
| 表 | 表格标题:Microsoft Sentinel 搜索规则详细信息: 列:HuntingRuleID(映射到名称)、Name(映射到 displayName)、Description、Query、Tactic、Creation Time |
常规 |
| 附件 | List_HuntingRules.json - 包含操作返回的技术 JSON 数据。 | 常规 |
JSON 查看器 |
显示查询结果的 JSON 查看器。 | 常规 |
创建自定义搜索规则
创建 Azure Sentinel 自定义搜索规则。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 查询 | 字符串 | 不适用 | 是 | 指定要在相应搜索规则中执行的查询。 |
| 显示名称 | 字符串 | 不适用 | 是 | 为搜索规则指定显示名称。 |
| 说明 | 字符串 | 不适用 | 否 | 指定搜索规则的说明。 |
| 策略 | 字符串 | 不适用 | 否 | 为此搜索规则指定策略。此参数接受多个以英文逗号分隔的值。 |
使用场景
该操作可用于通过 Google SecOps playbook 创建新的 Microsoft Sentinel 搜寻规则。例如,搜索规则包含查询,可提供有关基础设施上运行的最不常见的进程的数据 - 您不希望每次运行这些进程时都收到提醒,因为它们可能完全无害,但您可能希望偶尔查看一下查询,看看是否有任何异常情况。这意味着,它们可用于从您的网络环境中收集更多信息。
运行于
此操作会在所有实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 如果成功:打印“已成功创建 Microsoft Sentinel 搜索规则”。 如果出错:打印“未能创建 Microsoft Sentinel 搜索规则!错误为 {0}".format(exception.stacktrace). |
常规 |
更新了自定义狩猎规则
更新 Azure Sentinel 自定义搜索规则。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| HuntingRuleID | 字符串 | 不适用 | 是 | 指定搜索规则的 ID。 |
| 显示名称 | 字符串 | 不适用 | 否 | 为搜索规则指定显示名称。 |
| 查询 | 字符串 | 不适用 | 否 | 指定要在相应搜索规则中执行的查询。 |
| 说明 | 字符串 | 不适用 | 否 | 指定说明。 |
| 策略 | 字符串 | 不适用 | 否 | 为此搜索规则指定策略。 该参数可以采用多个以英文逗号分隔的值。 |
使用场景
该操作可用于通过 Google SecOps playbook 更新自定义 Microsoft Sentinel 搜寻规则。如果您认为某条搜索规则非常过时,并想更新多个参数(例如查询或说明),请使用此操作。在调查突发事件时,信息至关重要,因此应更新每条搜索规则以显示相关信息。
运行于
此操作会在所有实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 如果成功:打印“Successfully updated Microsoft Sentinel hunting rule with ID {0}”(已成功更新 ID 为 {0} 的 Microsoft Sentinel 搜索规则)。format(HuntingRuleID)。 如果找不到具有所提供 HuntingRuleID 的搜寻规则:打印“Microsoft Sentinel 搜寻规则,ID 为 "{0}",未找到!”。format(HuntingRuleID)。 如果出错:打印“Failed to update Microsoft Sentinel hunting rule! 错误为 {0}".format(exception.stacktrace)。 |
常规 |
删除自定义搜索规则
删除 Azure Sentinel 自定义搜索规则。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| HuntingRuleID | 字符串 | 不适用 | 是 | 指定要删除的搜索规则的 ID。 |
使用场景
该操作可用于从 Google SecOps 中删除自定义 Microsoft Sentinel 搜索规则。例如,如果您认为某条搜索规则非常过时,并且在调查过程中不需要使用,最好将其删除。
运行于
此操作会在所有实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 如果成功:打印“Successfully deleted Microsoft Sentinel hunting rule with ID {0}”.format(HuntingRuleID)。 如果找不到具有所提供 HuntingRuleID 的搜寻规则:打印“Microsoft Sentinel 搜寻规则,ID 为 "{0}",未找到!”。format(HuntingRuleID)。 如果出错:打印“Failed to delete Microsoft Sentinel hunting rule! 错误为 {0}".format(exception.stacktrace)。 |
常规 |
运行自定义搜索规则
执行自定义或收藏的 Microsoft Sentinel 搜寻规则。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| HuntingRuleID | 字符串 | 不适用 | 是 | 指定搜索规则的 ID。 |
| 超时 | 整数 | 不适用 | 否 | 用于为 Azure Sentinel 搜索规则 API 调用指定超时值的参数。 |
使用场景
该操作可用于从 Google SecOps playbook 运行 Microsoft Sentinel 搜寻规则。运行搜索规则查询可提供有关您的基础设施上运行的最不常见进程的数据 - 您不会希望每次运行这些进程时都收到提醒,因为它们可能完全是无害的,但您可能希望偶尔查看一下查询,看看是否存在任何异常情况。这意味着,它可用于从网络环境中收集更多信息,从而帮助调查人员找出事件的所有细微之处,并做出进一步的决策。
运行于
此操作会在所有实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"tables": [
{
"name": "PrimaryResult",
"columns": [
{
"name": "timerange",
"type": "datetime"
},
{
"name": "AppDisplayName",
"type": "string"
},
{
"name": "UserPrincipalName",
"type": "string"
},
{
"name": "threeDayWindowLocationCount",
"type": "long"
},
{
"name": "locationList",
"type": "dynamic"
},
{
"name": "timestamp",
"type": "datetime"
},
{
"name": "AccountCustomEntity",
"type": "string"
}
],
"rows": [
[
"2019-11-29T00:00:00Z",
"WindowsDefenderATP Portal",
"user@example.com",
2,
"[\"US/Florida/Miami;\",\"AM/Kotayk'/Abovyan;\"]",
"2019-11-29T00:00:00Z",
"user@example.com"
],
[
"2019-12-02T00:00:00Z",
"WindowsDefenderATP Portal",
"user@example.com",
1,
"[\"US/Florida/Miami;\"]",
"2019-12-02T00:00:00Z",
"user@example.com"
],
[
"2019-11-29T00:00:00Z",
"Azure Portal",
"example@example.com",
1,
"[\"UA/Kyiv Misto/Kyiv;\"]",
"2019-11-29T00:00:00Z",
"example@example.com"
],
[
"2019-12-02T00:00:00Z",
"Azure Portal",
"example@example.com",
2,
"[\"UA/Kyiv Misto/Kyiv;\",\"UA/Kyivs'ka Oblast'/Boryspil';\"]",
"2019-12-02T00:00:00Z",
"example@example.com"
],
[
"2019-11-29T00:00:00Z",
"Azure Portal",
"user@example.com",
1,
"[\"RU/Sverdlovskaya Oblast'/Yekaterinburg;\"]",
"2019-11-29T00:00:00Z",
"user@example.com"
],
[
"2019-12-02T00:00:00Z",
"Azure Portal",
"user@example.com",
1,
"[\"RU/Sverdlovskaya Oblast'/Yekaterinburg;\"]",
"2019-12-02T00:00:00Z",
"user@example.com"
]
]
}
]
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 如果成功:打印“Hunting rule executed successfully”。 如果无法按提供的 HuntingRuleID 找到搜寻规则:打印“Microsoft Sentinel 搜寻规则(ID 为 {0})未找到!”。format(HuntingRuleID) 如果未找到任何内容:打印“Hunting rule executed successfully, but did not return any results.”
if error: print "Hunting rule didn't completed due to error:
{0}".format(exception.stacktrace) 如果超时:打印“Hunting rule didn't completed due to timeout: {0}”.format(exception.stacktrace)
如果查询结果被截断:打印“Hunting rule results exceeded limits and were truncated, please rewrite your query!” |
常规 |
| 表 | 表格标题:Microsoft Sentinel 搜索规则结果 列:根据查询结果动态生成列 |
常规 |
| 附件 | Run_Hunting_rule_{HuntingRuleID}_response.json - 包含由操作返回的技术 JSON 数据。 | 常规 |
JSON 查看器 |
显示查询结果的 JSON 查看器。 | 常规 |
运行 KQL 查询
根据提供的操作输入参数运行 Azure Sentinel KQL 查询。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| KQL 查询 | 字符串 | 不适用 | 是 | 要在 Azure Sentinel 中执行的 KQL 查询。例如,如需获取 Sentinel 中提供的安全提醒,查询将为“SecurityAlert”。使用其他操作输入参数(时间范围、限制)来过滤查询结果。如需查看 KQL 查询示例,请参阅 Sentinel“日志”网页。 |
| 时间范围 | 字符串 | 不适用 | 否 | 指定要查找的时间范围。时间值应符合 ISO 8601 标准,例如,可用于指定要搜索的过去 10 小时或时间间隔。请使用以下格式:PT + 数字 + (M、H、D), 其中,M 表示分钟,H 表示小时,D 表示天。 |
| 查询超时 | 整数 | 180 | 否 | Azure Sentinel 搜索规则 API 调用的超时值。请注意,应根据此参数相应调整 Google SecOps 操作 Python 进程超时,以免因 Python 进程超时而导致操作过早超时。 |
| 记录限制 | 整数 | 100 | 否 | 应提取多少条记录。可选参数,如果设置,则会在 KQL 查询中添加“| limit x”,其中 x 是为记录限制设置的值。如果已在 KQL 查询中设置“limit”或不需要,则可以移除。 |
使用场景
在调查支持请求期间运行高级查询。
运行于
此操作会在所有实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"tables": [
{
"name": "PrimaryResult",
"columns": [
{
"name": "Reason",
"type": "string"
},
{
"name": "StartTimeUtc",
"type": "datetime"
},
{
"name": "EndTimeUtc",
"type": "datetime"
},
{
"name": "count_",
"type": "long"
},
{
"name": "timestamp",
"type": "datetime"
}
],
"rows": [
[
"Incorrect password",
"2019-10-22T06:38:30.837Z",
"2019-10-22T11:57:00.003Z",
28,
"2019-10-22T06:38:30.837Z"
],
[
"Account name does not exist",
"2019-10-21T15:19:33.727Z",
"2019-10-22T06:40:13.51Z",
3,
"2019-10-21T15:19:33.727Z"
]
]
}
]
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 如果成功:输出“查询已成功执行”。 如果未找到任何内容:输出“查询已成功执行,但未返回任何结果。”。 如果出现错误:打印“查询未完成,原因如下:{0}”。format(exception.stacktrace)。 如果超时:打印“查询因超时而未完成:{0}”。format(exception.stacktrace)。 如果查询结果被截断:打印“查询结果超出限制,已被截断,请重写查询!”。 |
|
| 表 | 表格标题:KQL 查询结果 列: 根据查询结果动态生成列 |
常规 |
| 附件 | Run_KQL_query_response.json - 包含操作返回的技术 JSON 数据。 | 常规 |
JSON 查看器 |
显示查询结果的 JSON 查看器。 | 常规 |
向突发事件添加评论
向 Azure Sentinel 突发事件添加评论。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 突发事件编号 | 整数 | 不适用 | 是 | 指定要向哪个事件添加评论。 |
| 要添加的注释 | 字符串 | 不适用 | 是 | 指定要添加到突发事件的评论 |
运行于
此操作不会在实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Incidents/00cfebdc-c677-463f-8355-cb7f23472c06/Comments/f0f31d1a-d32b-4774-a21d-3279240c7c33",
"name": "f0f31d1a-d32b-4774-a21d-3279240c7c33",
"etag": "\"7e000812-0000-0c00-0000-606fc83f0000\"",
"type": "Microsoft.SecurityInsights/Incidents/Comments",
"properties": {
"message": "Some message",
"createdTimeUtc": "2021-04-09T03:21:35.0894288Z",
"lastModifiedTimeUtc": "2021-04-09T03:21:35.0894288Z",
"author": {
"objectId": "f6ce2f43-6f77-4b30-9a4a-de1a069b2560",
"email": null,
"name": "Comment created from external application - log_analytics_rest_api_for_sentinel",
"userPrincipalName": null
}
}
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行:
操作应失败并停止 playbook 执行:
|
常规 |
连接器
有关如何在 Google SecOps 中配置连接器的详细说明,请参阅配置连接器。
Microsoft Azure Sentinel Incidents 连接器 - 已弃用
在 Google SecOps SOAR 中,Microsoft Azure Sentinel Incidents Connector 使用 Azure Security Insights API 将特定 Microsoft Sentinel 工作区中的事件作为提醒注入。
该连接器使用与列出突发事件和获取突发事件详细信息操作类似的功能,并连接到 Azure 安全洞察端点,以提取指定时间段内生成的突发事件列表。
连接器使用场景
使用连接器监控 Microsoft Sentinel 工作区中的新突发事件,并将这些事件注入到 Google SecOps SOAR 服务器中。
如需确保特定事件类型的流动,请将数据连接器添加到 Microsoft Sentinel。例如,如需添加来自 Windows 主机的安全事件作为数据连接器之一,请在 Windows 主机上安装 Microsoft Sentinel 代理,并配置要注入的事件类型:安全事件、防火墙事件、DNS 事件或其他事件。
如需根据特定条件生成提醒,请使用规则查询定义提醒规则。当提醒规则创建警告时,它会触发 Microsoft Sentinel 生成事件、存储数据事故,并在门户的“突发事件”页面上显示突发事件。
如需以编程方式读取和写入突发事件数据,请使用 Security Insights REST API。
连接器参数
如需配置连接器,请使用以下参数:
| 参数 | |
|---|---|
Product Field Name |
必需
存储商品名称的字段的名称。 默认值为 |
Event Field Name |
必需
存储事件名称的字段的名称。 默认值为 |
Environment Field Name |
可选
存储环境名称的字段的名称。 如果找不到环境字段,则使用默认环境。 默认值为 |
Environment Regex Pattern |
可选
要对 默认值 该参数可让您使用正则表达式逻辑来操纵环境字段。 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。 |
Azure Subscription ID |
必需 Azure 订阅 ID。 |
Azure Active Directory ID |
必需 Microsoft Entra 租户 ID。 |
Api Root |
必需 要与集成搭配使用的 management.azure.com API 根网址。 默认值为 |
Azure Resource Group |
必需 Microsoft Sentinel 所在的 Azure 资源组的名称。 |
Azure Sentinel Workspace Name |
必需 要使用的 Microsoft Sentinel 工作区的名称。 |
Client ID |
必需 用于此集成的 Microsoft Entra 应用(客户端)ID。 |
Client Secret |
必需 Microsoft Entra 客户端密钥值。 |
Script Timeout (Seconds) |
必需 运行当前脚本的 Python 进程的超时时限。 默认值为 180 秒。 |
Offset Time In Hours |
必需
要检索的事件距现在的时长(以小时为单位)。 默认值为 24 小时。 |
Incident Statuses to Fetch |
必需
要提取的突发事件的状态。此参数接受多个值,这些值以英文逗号分隔的字符串形式表示。 默认值为 |
Incident Severities to Fetch |
必需
要提取的突发事件的严重程度。此参数接受多个值,这些值以英文逗号分隔的字符串形式表示。 默认值为 |
Max Incidents per Cycle |
必需
一次连接器运行期间要处理的事件数量。此参数接受多个值,这些值以英文逗号分隔的字符串形式表示。 默认值为 10。 |
Proxy Server Address |
可选
要使用的代理服务器的地址。 |
Proxy Server Username |
可选
用于进行身份验证的代理用户名。 |
Proxy Server Password |
可选
用于进行身份验证的代理密码。 |
连接器规则
连接器不支持屏蔽列表和动态列表。
连接器支持代理。
Microsoft Azure Sentinel Incident Connector v2
Microsoft Azure Sentinel Incidents Connector v2 是使用 Microsoft Sentinel 时建议使用的连接器。主要变更包括:改用 Microsoft Sentinel API 中的新事件端点,并引入连接器实体处理和解析逻辑。如需过滤特定的 Microsoft Sentinel 突发事件并根据突发事件名称提取这些事件,请使用动态列表。
Microsoft Sentinel 界面可能会显示事件实体,但 API 不会返回这些实体(实体列表为空)。因此,连接器需要更多时间来注入此类事件,并在后续连接器运行中查询积压的事件。当 API 响应中提供实体信息后,连接器会提取突发事件。
处理计划内和非计划内的 Sentinel 提醒
为了解决 Microsoft Azure Sentinel Incidents 连接器 在错误地显示除 Azure Sentinel 预定提醒之外的所有提醒的实体时出现的问题,Microsoft Azure Sentinel Incidents 连接器 v2 为每个实体添加了一个额外的事件。
这意味着,如果连接器在 Google SecOps 事件中收到 IP、账号或主机名实体,则会为每个找到的实体添加一个额外的 Google SecOps 事件。新创建的事件可用于在 Google SecOps SOAR 中创建实体和映射实体属性。初始活动保持不变。新事件仅添加到 Google SecOps 提醒中。其他实体类型不受此逻辑的影响,仍保留在初始事件中,不会为其创建其他事件。
为了能够创建更多事件,连接器使用 entity Sentinel API 端点来提取数据。默认情况下,系统会使用日志分析 KQL 查询来提取预定提醒和 NRT 提醒,以获取提醒和事件数据。如果选择此参数,连接器配置中的是否对所有类型的提醒都采用相同的事件创建方法?参数将对所有提醒(包括预定提醒和非预定提醒)使用相同的基于实体的方法。建议您谨慎使用此选项。
连接器参数
如需配置连接器,请使用以下参数:
| 参数 | |
|---|---|
Product Field Name |
必需
存储商品名称的字段的名称。 默认值为 |
Event Field Name |
必需
存储事件名称的字段的名称。 默认值为 |
Environment Field Name |
可选
存储环境名称的字段的名称。 如果找不到环境字段,则使用默认环境。 默认值为 |
Environment Regex Pattern |
可选
要对 默认值 该参数可让您使用正则表达式逻辑来操纵环境字段。 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。 |
Azure Subscription ID |
必需 Azure 订阅 ID。 |
Azure Active Directory ID |
必需 Microsoft Entra 租户 ID。 |
Api Root |
必需 要与集成搭配使用的 API 根网址。 默认值为 |
OAUTH2 Login Endpoint Url |
必需 用于 OAuth 2.0 身份验证的端点网址。 |
Azure Resource Group |
必需 Microsoft Sentinel 所在的 Azure 资源组的名称。 |
Azure Sentinel Workspace Name |
必需 要使用的 Microsoft Sentinel 工作区的名称。 |
Client ID |
必需 用于此集成的 Microsoft Entra 应用(客户端)ID。 |
Client Secret |
必需 Microsoft Entra 客户端密钥值。 |
Script Timeout (Seconds) |
必需 运行当前脚本的 Python 进程的超时时限。 默认值为 180 秒。 |
Offset Time In Hours |
必需
要检索的事件距现在的时长(以小时为单位)。 默认值为 24 小时。 |
Incident Statuses to Fetch |
必需
要提取的突发事件的状态。此参数接受多个值,这些值以英文逗号分隔的字符串形式表示。 默认值为 |
Incident Severities to Fetch |
必需
要提取的突发事件的严重程度。此参数接受多个值,这些值以英文逗号分隔的字符串形式表示。 默认值为 |
Use the same approach with event creation for all alert types?
|
可选 选中后,连接器将对所有提醒类型使用相同的方法。如果未选中此复选框,连接器将针对 Azure Sentinel 计划提醒类型使用其他方法,并尝试通过运行提醒详细信息中指定的查询来提取导致提醒的事件。 默认情况下处于未选中状态。 |
Use whitelist as a blacklist |
必需
如果选中,则动态列表用作屏蔽名单。 默认情况下处于未选中状态。 |
Alerts padding period |
必需
连接器提取突发事件的提醒的时间范围(以分钟为单位)。 默认值为 60 分钟。 |
Proxy Server Address |
可选
要使用的代理服务器的地址。 |
Proxy Server Username |
可选
用于进行身份验证的代理用户名。 |
Proxy Server Password |
可选
用于进行身份验证的代理密码。 |
Max Backlog Incidents per Cycle |
必需
在一次连接器运行期间从积压中提取的突发事件数量。 默认值为 10。 |
StartTimeFallback |
必需
以逗号分隔的事件或提醒属性列表,用于按降序作为 如果未找到任何后备字段,连接器将使用 默认值为 |
EndTimeFallback |
必需
以逗号分隔的事件或提醒属性列表,用于按降序作为 如果未找到任何后备字段,连接器将使用 默认值为 |
Enable Fallback Logic Debug? |
可选
如果选中此复选框,连接器会向创建的事件添加包含回退所用值的调试字段。 默认情况下处于未选中状态。 |
VendorFieldFallback |
必需
以英文逗号分隔的事件属性列表,用于按降序作为 默认值为 |
ProductFieldFallback |
必需
以英文逗号分隔的事件属性列表,用于按降序作为 默认值为 |
EventFieldFallback |
必需
以英文逗号分隔的事件属性列表,用于按降序作为 默认值为 |
Max New Incidents per cycle |
必需
一次连接器运行中要处理的事件数量。 默认值为 10。 |
Wait For Scheduled/NRT Alert Object |
可选
如果已启用,连接器会等待,直到有计划/NRT 提醒对象可用。 |
Scheduled Alerts Events Limit to Ingest |
可选
单个 Azure Sentinel 计划提醒或 NRT 提醒可注入的事件数量上限。 默认值为 100。 |
Incidents Padding Period (minutes) |
可选
连接器提取事件并返回事件的时间段(以分钟为单位)。这些突发事件未按时间顺序排列。 |
Create Siemplify Alerts for Sentinel incidents that do not have
entities? |
可选
如果选中此复选框,连接器会根据没有实体的 Microsoft Sentinel 突发事件创建 Google SecOps 提醒。否则,连接器只会针对已安排的警报和 NRT 警报创建 Google SecOps 提醒,并跳过所有其他 Microsoft Sentinel 突发事件类型。 默认情况下处于未选中状态。 |
Incident's Alerts Limit to Ingest |
可选
每个 Microsoft Sentinel 突发事件要注入的提醒数量上限。 |
Alert Name Template |
可选
如果指定,连接器会使用 Microsoft Sentinel API 响应中返回的事件数据中的此值来填充 您可以提供以下格式的占位符: 该字段的最大长度为 256 个字符。 如果未提供值或您提供的模板无效,连接器将使用默认的提醒名称。 |
Rule Generator Template |
可选
如果指定,连接器会使用 Microsoft Sentinel API 响应中返回的事件数据中的此值来填充 您可以提供以下格式的占位符: 该字段的最大长度为 256 个字符。 如果未提供任何值,或者您提供的模板无效,连接器将使用默认规则生成器值。 |
自定义“提醒名称”和“规则生成器”字段
借助此连接器,您可以使用 Alert Name Template(提醒名称模板)和 Rule Generator Template(规则生成器模板)参数自定义 Siemplify Alert Name(Siemplify 提醒名称)和 Rule Generator(规则生成器)字段值。对于模板,连接器会从 API 返回的 Microsoft Sentinel 事件数据中获取信息。
以下示例展示了从 API 返回的突发事件数据,以便引用提醒中可用的字段,这些字段可用于模板:
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Incidents/d4f632be-0689-93f7-57a6-f27bfabbbad1",
"name": "d4f632be-0689-93f7-57a6-f27bfabbbad1",
"etag": "\"79004534-0000-0d00-0000-63590d610000\"",
"type": "Microsoft.SecurityInsights/Incidents",
"properties": {
"title": "Incident title",
"description": "",
"severity": "Low",
"status": "New",
"owner": {
"objectId": null,
"email": null,
"assignedTo": null,
"userPrincipalName": null
},
"labels": [],
"firstActivityTimeUtc": "2022-10-26T07:00:09.3857965Z",
"lastActivityTimeUtc": "2022-10-26T09:07:02.1083312Z",
"lastModifiedTimeUtc": "2022-10-26T10:35:13.0254798Z",
"createdTimeUtc": "2022-10-26T10:34:55.7454638Z",
"incidentNumber": 380925,
"additionalData": {
"alertsCount": 102,
"bookmarksCount": 0,
"commentsCount": 0,
"alertProductNames": [
"Azure Sentinel"
],
"tactics": [
"InitialAccess",
"Persistence"
]
},
"relatedAnalyticRuleIds": [
"/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/Microsoft.SecurityInsights/alertRules/8a3ca5c5-7875-466e-accd-3bcb2881cdb0"
],
"incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/Microsoft.SecurityInsights/Incidents/d4f632be-0689-93f7-57a6-f27bfabbbad1",
"providerName": "Azure Sentinel",
"providerIncidentId": "380925"
}
}
连接器规则
连接器支持屏蔽名单和动态列表。
连接器支持代理。
Microsoft Sentinel 事件跟踪连接器
使用 Microsoft Sentinel Incident Tracking Connector 处理 Microsoft Sentinel 事件,并以新的 Google SecOps 提醒的形式检索 Sentinel 事件的更新。您可以使用动态列表来指定要检索的突发事件名称。对于此连接器,我们建议您根据 SourceGroupIdentifier 参数配置 Google SecOps 提醒分组。
连接器输入
如需配置连接器,请使用以下参数:
| 参数 | |
|---|---|
Product Field Name |
必需
存储商品名称的字段的名称。 默认值为 |
Event Field Name |
必需
存储事件名称的字段的名称。 默认值为 |
Environment Field Name |
可选
存储环境名称的字段的名称。 如果找不到环境字段,则使用默认环境。 默认值为 |
Environment Regex Pattern |
可选
要对 默认值 该参数可让您使用正则表达式逻辑来操纵环境字段。 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。 |
Azure Subscription ID |
必需 Azure 订阅 ID。 |
Entra ID Directory ID |
必需 Microsoft Entra 租户 ID。 |
Api Root |
必需 要与集成搭配使用的 API 根网址。 默认值为 |
OAUTH2 Login Endpoint Url |
必需 用于 OAuth 2.0 身份验证的端点网址。 |
Azure Resource Group |
必需 Microsoft Sentinel 所在的 Azure 资源组的名称。 |
Azure Sentinel Workspace Name |
必需 要使用的 Microsoft Sentinel 工作区的名称。 |
Client ID |
必需 用于此集成的 Microsoft Entra 应用(客户端)ID。 |
Client Secret |
必需 Microsoft Entra 客户端密钥值。 |
Script Timeout (Seconds) |
必需 运行当前脚本的 Python 进程的超时时限。 默认值为 480 秒。 |
Verify SSL |
可选 如果选择此选项,集成会验证与 Microsoft 服务器的连接所用的 SSL 证书是否有效。 此选项将会默认选中。 |
Max Hours Backwards |
必需
首次连接器迭代之前的小时数,用于检索事件。此参数仅在您首次启用连接器后,对初始连接器迭代应用一次。 默认值为 24 小时。 |
Incident Statuses to Fetch |
必需
要提取的突发事件的状态。此参数接受多个值,这些值以英文逗号分隔的字符串形式表示。 默认值为 |
Incident Severities to Fetch |
必需
要提取的突发事件的严重程度。此参数接受多个值,这些值以英文逗号分隔的字符串形式表示。 默认值为 |
Max Incidents per Cycle |
必需
在一次连接器运行期间从积压中提取的突发事件数量。 默认值为 10。 |
Use the same approach with event creation for all alert types?
|
可选 如果选中,连接器将针对所有提醒类型使用相同的方法。 如果未选择此选项,连接器将针对 Microsoft Sentinel 计划的提醒类型使用其他方法,并尝试通过运行提醒详细信息中指定的查询来提取导致提醒的事件。 默认情况下未选中。 |
Incidents Tags To Ingest |
可选
要注入的事件标记的逗号分隔列表。连接器会忽略不包含此列表中的标记的突发事件。 |
Use whitelist as a blacklist |
必需
如果选中,则动态列表用作屏蔽名单。 默认情况下未选中。 |
Backlog Expiration Timer |
必需
连接器将积压的突发事件保留在积压队列中的时间段(以分钟为单位)。 默认值为 60 分钟。 |
StartTimeFallback |
必需
一个以英文逗号分隔的事件或提醒属性列表,用于按降序作为 如果未找到任何后备字段,连接器将使用 默认值为 |
EndTimeFallback |
必需
一个以英文逗号分隔的事件或提醒属性列表,用于按降序作为 如果未找到任何后备字段,连接器将使用 默认值为 |
Enable Fallback Logic Debug? |
可选
如果选中此选项,连接器会将包含回退所用值的调试字段添加到创建的事件中。 默认情况下未选中。 |
VendorFieldFallback |
必需
以英文逗号分隔的事件属性列表,用于按降序作为 默认值为 |
ProductFieldFallback |
必需
以英文逗号分隔的事件属性列表,用于按降序作为 默认值为 |
EventFieldFallback |
必需
以英文逗号分隔的突发事件属性列表,用于按降序作为 默认值为 |
Max Backlog Incidents per cycle |
必需
一次连接器运行中要从积压中检索的事件数量。 默认值为 10。 |
Disable Overflow |
可选 如果选中,连接器会停用事件溢出。 默认情况下未选中。 |
Total Number of Scheduled Alerts Events Limit to Ingest |
可选
单个 Microsoft Sentinel 计划提醒或 NRT 提醒可注入的事件数量上限。 默认值为 100。 |
Create Chronicle SOAR Alerts for Sentinel incidents that do not
have entities? |
可选
如果选中此复选框,连接器会根据没有实体的 Microsoft Sentinel 事件创建 Google SecOps 提醒。否则,连接器只会针对已安排的警报和 NRT 警报创建 Google SecOps 提醒,并跳过所有其他 Microsoft Sentinel 突发事件类型。 默认情况下未选中。 |
Incident's Alerts Limit to Ingest |
可选
每个 Microsoft Sentinel 突发事件可注入的提醒数量上限。 |
Incidents Padding Period (minutes) |
可选
连接器提取事件并返回事件的时间段(以分钟为单位,相对于当前时间)。连接器不会按时间顺序返回突发事件。 |
Alert Name Template |
可选
如果指定,连接器会使用 Microsoft Sentinel API 响应中返回的事件数据中的此值作为 Google SecOps SOAR 提醒名称。 您可以提供以下格式的占位符: 该字段的最大长度为 256 个字符。 如果未提供值或您提供的模板无效,连接器将使用默认的提醒名称。 |
Rule Generator Template |
可选
如果指定,连接器会使用 Microsoft Sentinel API 响应中返回的事件数据中的此值,用于 Google SecOps SOAR 规则生成器。 您可以提供以下格式的占位符: 该字段的最大长度为 256 个字符。 如果未提供任何值,或者您提供的模板无效,连接器将使用默认规则生成器值。 |
How many hours to track ingested incident for updates |
必需
连接器跟踪已提取的 Sentinel 突发事件以获取更新(例如添加新事件或实体或突发事件详细信息)的时间段。 默认值为 24 小时。 |
Wait For Scheduled/NRT Alert Object |
可选
如果已启用,连接器会等待,直到有计划/NRT 提醒对象可用。 |
Proxy Server Address |
可选
要使用的代理服务器的地址。 |
Proxy Server Username |
可选
用于进行身份验证的代理用户名。 |
Proxy Server Password |
可选
用于进行身份验证的代理密码。 |
连接器规则
Microsoft Sentinel 事件跟踪连接器支持黑名单和动态列表。
作业
Microsoft Sentinel 集成支持 Microsoft Sentinel - 同步突发事件作业。
Microsoft Sentinel - 同步事件
使用 Microsoft Sentinel - 同步突发事件作业将 Google SecOps 提醒与 Microsoft Sentinel 突发事件同步。它可确保评论、状态和标记在两个系统之间保持同步。
为了让作业能够识别正确的信息,Google SecOps 支持请求必须带有 Microsoft Sentinel Incident 标记。如果提醒不是源自 Microsoft Azure Sentinel Incident Connector v2,您必须向问题添加 Incident_ID 上下文值,以便作业找到正确的信息。
作业行为
此作业包含两个主要部分: 1. 该作业会将 Microsoft Sentinel 中的提醒状态、评论和标记同步到 Google SecOps。1. 该作业会将 Google SecOps 中的任何更新同步回 Microsoft Sentinel。
作业在每次迭代中处理的病例数量上限,以确保性能稳定。它依赖于支持请求的上次修改时间,以确保不会错过任何更新。
当任一系统中的提醒关闭时,作业会同步关闭状态。 状态映射如下:
Malicious映射到 Microsoft Sentinel 状态Closed,并附带True Positive原因。Not Malicious映射到 Microsoft Sentinel 状态Closed,并附带False Positive原因。- 任何其他关闭值都会映射到 Microsoft Sentinel 状态
Closed,并带有Unknown原因。
评论会双向同步。为防止出现同步循环,该作业会为每条评论添加前缀。
标记也会同步,但会添加相同的前缀以区分其来源。
有关 API 速率限制的重要说明
此作业利用 Microsoft Graph API 来管理突发事件,该 API 的速率限制为每分钟 20 个请求。为了降低达到此限制并影响集成其他组件的风险,强烈建议您专门为此作业设置单独的 Microsoft Entra ID 应用。
唯一需要的权限是 SecurityIncident.ReadWrite.All。
作业参数
Microsoft Sentinel - 同步事件作业需要以下参数:
| 参数 | 说明 |
|---|---|
Environment Name |
必填。 要同步事件的环境的名称。 默认值为 |
Azure Active Directory ID |
必填。 您在 Azure 中的唯一目录 ID。也称为您的租户 ID。 |
OAUTH2 Login Endpoint Url |
必填。 作业请求身份验证令牌的 OAuth 2.0 端点的网址。 默认值为 |
API Root |
必填。 Graph API 的基本网址。作业会将特定 API 调用附加到此根网址,以检索数据。 默认值为 |
Client ID |
必填。 在 Azure Active Directory 中注册的应用的唯一 ID。 此 ID 用于对您的应用进行身份验证,并授予其对 Microsoft Sentinel 的访问权限。 |
Client Secret |
必填。 与 |
Max Hours Backwards |
必填。 过去的小时数,用于同步突发事件。 默认值为 |
Verify SSL |
必填/选填。 如果选中此复选框,集成会在连接到 Microsoft Sentinel 服务器时验证 SSL 证书。 默认处于启用状态。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。