Microsoft Azure Sentinel
整合版本:44.0
這項整合功能使用一或多個開放原始碼元件。 您可以從 Cloud Storage bucket 下載這個整合的完整原始碼 (壓縮檔)。
用途
- 監控及檢查 Sentinel 根據事件建立的快訊,這些事件來自地端主機和雲端 Microsoft 服務,例如 Microsoft 365 和 Microsoft 365 Cloud App Security。
- 在調查特定事件時,使用 Sentinel 收集及相互參照的資料進行擴充。分析師可以在調查中使用 Sentinel 收集及儲存的資料,例如「深入瞭解」特定資訊 (檢查快訊資料,例如檢查 Syslog 記錄),或查詢特定時間範圍或特定主機的活動。
必要條件
您必須先在 Microsoft Entra ID 中取得授權,才能設定該服務,並對 Microsoft Security Insights API 執行要求。您需要設定權限:
- 建立 Microsoft Entra 應用程式。
- 建立用戶端密碼。
- 授予已註冊的 Microsoft Entra 應用程式存取 Microsoft Sentinel 工作區的權限。
- 使用 Microsoft Entra 應用程式取得存取權杖。
建立 Microsoft Entra 應用程式
以使用者管理員或密碼管理員身分登入 Azure 入口網站。
選取「Microsoft Entra ID」。
依序前往「App registrations」>「New registration」。
輸入應用程式名稱。
選取適用的支援帳戶類型。
按一下「註冊」。
儲存「Application (client) ID」和「Directory (tenant) ID」值,稍後設定整合參數時會用到。
建立用戶端密鑰
依序前往「Certificates and secrets」(憑證和密鑰) >「New client secret」(新增用戶端密鑰)。
提供用戶端密鑰的說明,並設定到期期限。
按一下「新增」。
儲存用戶端密鑰的值 (而非密鑰 ID),在設定整合時做為
Client Secret參數值。用戶端密鑰值只會顯示一次。
授予已註冊的 Microsoft Entra 存取權給 Microsoft Sentinel 工作區
前往 Microsoft Sentinel 總覽頁面。
按一下「設定」。
按一下「存取權控管 (IAM)」。
在「新增角色指派」部分中,按一下「新增」。
設定下列參數:
角色 =
Azure Sentinel Contributor。將存取權指派給 =
default, Microsoft Entra ID user group, or service principal。
在「選取」部分中,提供搜尋條件來尋找應用程式,並為應用程式新增角色指派。
前往 Microsoft Sentinel 工作區頁面。找出並設定下列參數:
Azure Resource GroupAzure Sentinel Workspace Name
將 Microsoft Azure Sentinel 與 Google SecOps SOAR 整合
請參閱這篇說明文章,瞭解在 Google Security Operations 中設定整合功能的詳細操作說明。
整合參數
請使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 執行個體名稱 | 字串 | 不適用 | 否 | 您要設定整合的執行個體名稱。 |
| 說明 | 字串 | 不適用 | 否 | 執行個體的說明。 |
| Azure 訂閱識別碼 | 字串 | 不適用 | 是 | Microsoft Azure 訂閱 ID,可在 Azure 入口網站 >「訂閱項目」>「<您的訂閱項目>」>「訂閱 ID」中查看。 |
| Azure Active Directory ID | 字串 | 不適用 | 是 | Microsoft Entra 用戶群 ID 可在 Microsoft Entra 中查看,方法是依序點選「App Registration」>「<您為整合設定的應用程式>」>「Directory (tenant) ID」。 |
| API 根目錄 | 字串 | https://management.azure.com | 是 | 用於整合的 Management.azure.com API 根網址。 |
| Azure 資源群組 | 字串 | 不適用 | 是 | Microsoft Sentinel 所在的 Azure 資源群組名稱。 |
| Azure Sentinel 工作區名稱 | 字串 | 不適用 | 是 | 要使用的 Microsoft Sentinel 工作區名稱。可在 Azure 入口網站 > Microsoft Sentinel > Microsoft Sentinel 工作區中查看。 |
| 用戶端 ID | 字串 | 不適用 | 是 | 在 Microsoft Entra 中為此整合項目註冊應用程式時新增的用戶端 (應用程式) ID。 |
| 用戶端密鑰 | 密碼 | 不適用 | 是 | 為 Azure Sentinel 應用程式註冊輸入的密鑰。 |
| 遠端執行 | 核取方塊 | 已取消勾選 | 否 | 勾選這個欄位,即可遠端執行設定的整合項目。勾選後,系統會顯示選取遠端使用者 (服務專員) 的選項。 |
動作
乒乓
使用 Google Security Operations Marketplace 分頁整合設定頁面提供的參數,測試與 Microsoft Sentinel 工作區的連線。
用途
這項動作用於在 Google Security Operations Marketplace 分頁的整合設定頁面中測試連線,且可做為手動動作執行,不會用於應對手冊。
執行日期
這項操作會對所有實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 如果成功:列印「Successfully connected to the
Microsoft Sentinel Workspace with the provided connection parameters!」(已使用提供的連線參數成功連線至 Microsoft Sentinel 工作區!)。 如果未成功:請列印「Failed to connect to the Microsoft Sentinel Workspace! Error is {0}".format(exception.stacktrace). |
一般 |
列出事件
根據提供的搜尋條件列出 Microsoft Sentinel 事件。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 時間範圍 | 整數 | 3 | 否 | 以小時為單位指定時間範圍,系統會擷取該範圍內的事件。 |
| 狀態 | 字串 | 新、有效、已結案 | 否 | 指定要尋找的事件狀態。參數接受多個值,並以半形逗號分隔。 |
| 嚴重性 | 字串 | 參考用、低、中、高 | 否 | 指定要尋找的事件嚴重程度。參數接受以逗號分隔的多個值。 |
| 要擷取的事件數 | 整數 | 200 | 否 | 要擷取的事件數。根據預設,系統會傳回最近 200 個事件。 |
用途
這項動作可用於列出 Google SecOps 劇本中的 Microsoft Sentinel 事件。
執行日期
這項操作會對所有實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"value": [
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases/323032be-5b0d-4661-944f-ff9557597e50",
"name": "323032be-5b0d-4661-944f-ff9557597e50",
"etag": "\"2100e65a-0000-0d00-0000-5de3b1bf0000\"",
"type": "Microsoft.SecurityInsights/Cases",
"properties": {
"title": "Suspicious process injection observed",
"description": "A process abnormally injected code into another process, As a result, unexpected code may be running in the target process memory. Injection is often used to hide malicious code execution within a trusted process. \nAs a result, the target process may exhibit abnormal behaviors such as opening a listening port or connecting to a command and control server.",
"severity": "Medium",
"status": "New",
"labels": ["add_tag"],
"endTimeUtc": "2019-11-29T03:42:05Z",
"startTimeUtc": "2019-11-29T03:42:05Z",
"owner": {
"objectId": null
},
"lastUpdatedTimeUtc": "2019-12-01T12:27:43Z",
"createdTimeUtc": "2019-11-29T07:13:32.0266519Z",
"relatedAlertIds": ["2462474c-b6d9-6937-17ee-c2a62671c2f8"],
"relatedAlertProductNames": ["Microsoft Defender Advanced Threat Protection"],
"caseNumber": 2276,
"totalComments": 0,
"metrics": {
"SecurityAlert": 1
},
"firstAlertTimeGenerated": "2019-11-29T07:13:31.961602Z",
"lastAlertTimeGenerated": "2019-11-29T07:13:31.961602Z"
}
},{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases/c7939be8-32fb-415c-9f7c-c13325d6c48b",
"name": "c7939be8-32fb-415c-9f7c-c13325d6c48b",
"etag": "\"1900f5e2-0000-0d00-0000-5de0c5110000\"",
"type": "Microsoft.SecurityInsights/Cases",
"properties": {
"title": "Suspicious Power Shell command line",
"description": "A suspicious PowerShell activity was observed on the machine. \nThis behavior may indicate that PowerShell was used during installation, exploration, or in some cases in lateral movement activities which are used by attackers to invoke modules, download external payloads, or get more information about the system. Attackers usually use PowerShell to bypass security protection mechanisms by executing their payload in memory without touching the disk and leaving any trace.\r\nOur algorithms found the behaviors of this process to be suspicious due to the following factors:\nSuspicious memory activity\nExecutes suspicious PowerShell commands",
"severity": "Medium",
"status": "New",
"labels": [],
"endTimeUtc": "2019-11-29T03:42:04.9552017Z",
"startTimeUtc": "2019-11-29T03:42:04.9552017Z",
"owner": {
"objectId": null
},
"lastUpdatedTimeUtc": "2019-11-29T07:13:21Z",
"createdTimeUtc": "2019-11-29T07:13:21.6858164Z",
"relatedAlertIds": [
"d053f17e-6153-d171-9f4d-82389442aa35"
],
"relatedAlertProductNames": [
"Microsoft Defender Advanced Threat Protection"
],
"caseNumber": 2275,
"totalComments": 0,
"metrics": {
"SecurityAlert": 1
},
"firstAlertTimeGenerated": "2019-11-29T07:13:21.5885314Z",
"lastAlertTimeGenerated": "2019-11-29T07:13:21.5885314Z"
}
}
],
"nextLink": "https://management.azure.com:443/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases?api-version=2019-01-01-preview&$skipToken=H4sIAAAAAAAEAE1VTVMiSxD8MR45LIstukbsIbvnqxmGcRgR2xsiFqA44soiHt5vf1nzfOwaQUg31fWRlVnVGfvo8p-Jf5jhavBejW1_jQvon5OfP0_G15ffT67H7rLX7fIQXQ4P64vB583efZqXUSo7zGaRvS4-inWzK9Z-V3ze3RSfxfko8ufFdfy7jIpu8Snd8vkXTnx9c9k78XF52T87O-2fJFdXlxCZfMUDItN-zflJ2m9o-EmRx13Efi52cvw9Fnf2LBmvkW0-aBJwK8kUSYPp0R88pm_m9s-5gg2uKx9y9PMMu1yuOqgNaklrOGPfBDtMAu4FfawNZpJ2EDXWChZYGCwl2iBt7EpQovKARD1k3pb6u_Vqt4ELdqy_nw7mhSQ7pN5e6RnGbQQ9PDUYSNpHEnAjaQzUtiM2x71HLoMNoXCVoMZMz4wHg6FkueaXCrZYBHiJWYG3tEuRVke8Dog69ccs9uJ2wNxaJJ55OsASmmDvBB3F7VaQoarQ0XzjyiKOe4gDluo0laO_HN752wa_5a6-Ow3x_R88BYU_yOt7b1B6PPyN-_Ps6fHv8_ez7vLv876R1fFs2fftaLqsFjgPUV9GNevPzqRc4D1EvyXvYGPYN2yHfv9_XnYBt7A77ddgh-fgSin6tM_mEh3sqcFaHrb4HqI7sStrGvcm-RafjTMy7GHl7d262WDR2B-Sl9g27pcMD3gI2TfGsYx_LqMF3kJUSdnjO2QyP-DdR5EMd1gaPB3zT0E_5Uz9PjXsc1TiNtieDDroBdr73AafXMg0tXUTL-Wxr_cdGfUYN5qITzEPvXu51fjOyjDFKkSPks6Ytw1S9e0oJE4ea4xDZsgje9bikdqdd-eS7zA49p_0Sxb-1KdP4nd4CW4pfoVNg0TmM-JD-0GNZXAHGXbw4l0jWY1n40T9rIx7krRXLrwbiZ_ixdAuW9A-Wio-pyZKJT_gYNyH5n0d0ldJOuxnJFLMGMd2xYWjvgbChG5XSWPcWP3Q316GW5SGOEe5fQxJLVXqbkzcl3pnfcjexP3R5w9KvfkgPw3GcLHyc6p-Jh5d1ZElXwUrXDX4IW6hI8SL7ek82JIHuDKq4xWyVrf6X_WZwXueaVc2eBe3Jf8hjufU41yiVOPYPa9UD3oeNvgU6sex7-JKeMN41OWQI-br_lTiKUaN6qqGb_W9UOndq95co_lu4APIx43ml4lVnmMjrsbIMB5lmhvOA94XBhOxrBfVs7gp-45X9RMFjj47o36t0zmVCGXrVVH4T5AxgmAILdDZVOfUTmTl8yM_CNLryj4aFzSfNGgczolf0FkQZ4orpcU4HIZWtVqJc_qSw3elcWDhUATOI-LP_DPBTOvjHDogC4j2joOWqei7rFGdMNv2HVxpiBftaB8RX1bIy2SF2qOnOHLOpWKd4hjEliyWzxolAeMRp0x5gIHmfa15JgbcC6nyICiuxOmpzXdOXPh-oPOSc5D2Y62F9U2UF8OAR84FjRfpPGU_K-0reVBVbqV822nfuU_4Tir2s5R4q3lM27447gX6rwxG4gqlJhQh8uWXuI32nfypHPMrxXW03y-ijPb8nXhfeRjtq9V-sq_s00RxoX2u8xzKD3fQep-Ur2xFrf1ivE_pLLJXk1SSpyga9bsD56KNW9nJN9UBeeR4pa2qFNdE9wd5ETOBmPyhXu7b-i-YpDYV1VL3j2_76cA7r3WQ13eKD_F0MXk58Lj6wtdXxD1S3nP_MQ-397E2vmr3o2e-xIlbhfEP2s_f4mbah1jrJL573a_EdSRc2eTDWnXoW35wL7X17rT-i5YXc8ut1Oqzrzrm3nRfOA0Vp6TlH3kvvrUbNHhWnCOv_c25l6lL8iXlnod6t1i1um9QtHwMzIP99OrHFvTrFBTV1rnyKt4zb8VJ9cX6klYPFR2pJJzydy12q3ik6geqa-ojbeeItbTnHnfUVfXzX2qVoX91CQAA"
}
案件總覽
| 結果類型 | 值/ 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 如果成功並取得資料:print "Successfully returned Microsoft
Sentinel incidents"。 如果找不到任何事件,請列印「Action was not able to
find any incidents」(動作無法找到任何事件)。 if error: print "Failed to list Microsoft Sentinel incidents! Error is {0}".format(exception.stacktrace). |
一般 |
| 資料表 | 資料表標題:發現的 Microsoft Sentinel 事件: 欄:incident_number、incident_id、title、description、severity、status、labels、assigned to、alert product names、created time、last updated time |
一般 |
| 附件 | List_Incidents.json - 包含動作傳回的技術 JSON 資料。 | 一般 |
JSON 檢視器 |
顯示查詢結果的 JSON 檢視器。 | 一般 |
更新事件詳細資料
更新 Microsoft Sentinel 事件。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 事件案件編號 | 整數 | 不適用 | 是 | 指定要更新的 Azure Sentinel 事件編號。 |
| 標題 | 字串 | 不適用 | 否 | 指定 Azure Sentinel 事件的新標題。 |
| 嚴重性 | DDL | 未更新 (可能的值:未更新、資訊、低、中、高) |
否 | 指定 Azure Sentinel 事件的新嚴重程度。 |
| 說明 | 字串 | 不適用 | 否 | 指定 Azure Sentinel 事件的新說明。 |
| 指派對象 | 字串 | 不適用 | 否 | 指定要指派事件的使用者。 |
| 狀態 | DDL | 未更新 (可能的值:未更新、新、有效、已結案) | 否 | 指定 Azure Sentinel 事件的新狀態。 |
| 關閉原因 | DDL | 未更新 (可能的值: |
否 | 如果事件狀態設為「已結案」,請提供事件的結案原因。 |
| 結尾留言 | 字串 | 不適用 | 否 | (選用) 為已關閉的 Azure Sentinel 事件提供結案註解。 |
| 重試次數 | 整數 | 1 | 是 | 指定事件更新失敗時,動作應重試的次數。 |
| 重試間隔 | 整數 | 20 | 是 | 指定動作在重試更新事件之間等待的時間。 |
用途
您可以透過這項動作,從 Google SecOps 劇本更新 Microsoft Sentinel 事件。在涉及分析 Microsoft Sentinel 事件的工作流程中,這項動作可做為最終動作。Google SecOps 處理事件後,即可更新事件,指出事件分析進度 (例如設定 assignedTo、將狀態設為 inProgress 等)。
執行日期
這項操作會對所有實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
系統會傳回要求 2 的 JSON 結果,其中包含下列更新的事件詳細資料:
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases/9e5c0afc-b7a6-4eac-8164-9242ad710a66",
"name": "9e5c0afc-b7a6-4eac-8164-9242ad710a66",
"etag": "\"12002b5c-0000-0d00-0000-5dde83730000\"",
"type": "Microsoft.SecurityInsights/Cases",
"properties": {
"title": "Activity from a Tor IP address",
"description": "A failed sign in was detected from a Tor IP addressThe Tor IP address 203.0.113.200 was used by Example User - Test User Spec (user@example.com).",
"severity": "Informational",
"status": "InProgress",
"assignedTo": "test@example.com",
"labels": [],
"closeReason": "Resolved",
"endTimeUtc": "2019-11-27T01:56:03.4651258Z",
"startTimeUtc": "2019-11-27T01:56:03.4651258Z",
"owner": {
"objectId": null,
"email": "test@example.com"
},
"lastUpdatedTimeUtc": "2019-11-27T14:08:51Z",
"createdTimeUtc": "2019-11-27T05:01:11.1139394Z",
"relatedAlertIds": [
"2a96343c-e551-4529-96f1-18d6f734470d"
],
"relatedAlertProductNames": [
"Azure Sentinel"
],
"caseNumber": 2274,
"totalComments": 0,
"metrics": {
"SecurityAlert": 1
},
"firstAlertTimeGenerated": "2019-11-27T05:01:10.2574659Z",
"lastAlertTimeGenerated": "2019-11-27T05:01:10.2574659Z"
}
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 如果成功:列印「Successfully updated Microsoft Sentinel incident {0}」(已成功更新 Microsoft Sentinel 事件 {0})。format(IncidentID)。 如果無法透過提供的案件編號找到事件:列印「Microsoft Sentinel Incident with case number {0} was not found!".format(incident_case_number)」。 If error: print "Failed to update Microsoft Sentinel incident! Error is {0}".format(exception.stacktrace). |
一般 |
更新事件標籤
更新特定 Microsoft Sentinel 事件的標籤。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 事件案件編號 | 整數 | 2273 | 是 | 指定要使用新標籤更新的 Azure Sentinel 事件編號。 |
| 標籤 | 字串 | 惡意軟體 | 是 | 指定要附加至事件的新標籤。參數接受以逗號分隔的多個值。 |
| 重試次數 | 整數 | 1 | 是 | 指定事件更新失敗時,動作應嘗試重試的次數。 |
| 重試間隔 | 整數 | 20 | 是 | 指定事件更新重試之間,動作應等待的時間長度。 |
用途
這項動作可用於透過 Google SecOps 劇本更新 Microsoft Sentinel 事件標籤。使用者可以視需要使用這項動作,將特定標記 (標籤) 指派給特定事件。舉例來說,如果特定主機是這起事件的一部分,就應該有特定標籤。
執行日期
這項操作會對所有實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
系統會針對要求 2 傳回 JSON 結果,其中包含更新後的事件詳細資料:
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases/9e5c0afc-b7a6-4eac-8164-9242ad710a66",
"name": "9e5c0afc-b7a6-4eac-8164-9242ad710a66",
"etag": "\"12002b5c-0000-0d00-0000-5dde83730000\"",
"type": "Microsoft.SecurityInsights/Cases",
"properties": {
"title": "Activity from a Tor IP address",
"severity": "Informational",
"status": "InProgress",
"labels": [
"malware",
"trojan"
],
"endTimeUtc": "2019-11-27T01:56:03.4651258Z",
"startTimeUtc": "2019-11-27T01:56:03.4651258Z",
"owner": {
"objectId": null,
},
"lastUpdatedTimeUtc": "2019-11-27T14:08:51Z",
"createdTimeUtc": "2019-11-27T05:01:11.1139394Z",
"relatedAlertIds": [
"2a96343c-e551-4529-96f1-18d6f734470d"
],
"relatedAlertProductNames": [
"Azure Sentinel"
],
"caseNumber": 2274,
"totalComments": 0,
"metrics": {
"SecurityAlert": 1
},
"firstAlertTimeGenerated": "2019-11-27T05:01:10.2574659Z",
"lastAlertTimeGenerated": "2019-11-27T05:01:10.2574659Z"
}
}
案件總覽
| 結果類型 | 值/ 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 如果成功:「Successfully updated Microsoft Sentinel
incident {0} with the following labels: {1}」。format(IncidentID, [labels_list])。
如果無法依據提供的事件案件編號找到事件:「Microsoft Sentinel incident with case number {0} was not found!」。format(incident_case_number)。 如果使用者提供的標籤已存在於事件中 (isSuccess=False):"The following labels were not added to the Microsoft Sentinel labels for incident {0} because they already exist: {1}".format(IncidentID, [labels_list]) 如果發生錯誤:「Failed to update Microsoft Sentinel incident labels! Error is {0}".format(exception.stacktrace). |
一般 |
取得事件統計資料
取得 Azure Sentinel 事件統計資料。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 時間範圍 | 整數 | 3 | 否 | 指定要顯示統計資料的時間範圍。 |
用途
這項動作可用於顯示 Microsoft Sentinel 事件的 Google SecOps 劇本報表。這項動作會成為劇本的一部分,使用者可透過劇本與 Microsoft Sentinel 的警報互動。舉例來說,如果系統處理並移除警告,即可實作這項動作,在「經驗教訓」頁面查看 Microsoft Sentinel 事件的結果。
反之,使用者也可以透過這個方法留在 Google SecOps,不必使用 Windows Sentinel 應用程式。
執行日期
這項操作會對所有實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Aggregations/Cases",
"name": "Cases",
"type": "Microsoft.SecurityInsights/Aggregations",
"kind": "CasesAggregation",
"properties": {
"aggregationBySeverity": {
"totalCriticalSeverity": 1,
"totalHighSeverity": 2,
"totalMediumSeverity": 554,
"totalLowSeverity": 1714,
"totalInformationalSeverity": 1
},
"aggregationByStatus": {
"totalNewStatus": 2268,
"totalInProgressStatus": 4,
"totalResolvedStatus": 1,
"totalDismissedStatus": 0,
"totalTruePositiveStatus": 2,
"totalFalsePositiveStatus": 1
}
}
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 如果成功並取得資料:列印「Successfully
returned Microsoft Sentinel incident statistics」(已成功傳回 Microsoft Sentinel 事件統計資料)。 If error: print "Failed to get Microsoft Sentinel incident statistics! Error is {0}".format(exception.stacktrace). |
一般 |
| 表 1 | 表格標題:依嚴重程度劃分的 Microsoft Sentinel 事件統計資料: 資料欄:嚴重 (對應至 totalCriticalSeverity)、高 (對應至 totalHighSeverity)、中 (對應至 totalMediumSeverity)、低(對應至 totalLowSeverity)、資訊(對應至 totalInformationalSeverity) |
一般 |
| 表 2 | 表格標題:依狀態劃分的 Microsoft Sentinel 事件統計資料: 資料欄:「New」(對應至 totalNewStatus)、「InProgress」(對應至 totalInProgressStatus)、「Resolved」(對應至 totalResolvedStatus)、「Dismissed」(對應至 totalDismissedStatus)、「TruePositive」(對應至 totalTruePositiveStatus) FalsePositive(mapped to totaFalsePositiveStatus) |
一般 |
JSON 檢視器 |
顯示查詢結果的 JSON 檢視器。 | 一般 |
列出快訊規則
取得 Azure Sentinel 排程規則清單。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 快訊規則嚴重程度 | 字串 | 資訊、低、中、高、重大 | 否 | 指定要尋找的快訊規則嚴重程度。此參數接受以逗號分隔的多個值。 |
| 擷取特定快訊規則類型 | 字串 | 不適用 | 否 | 指定動作應傳回的快訊類型。參數接受多個值,並以半形逗號分隔。 如果未提供值,則傳回所有可能的快訊類型。 |
| 擷取特定快訊規則策略 | 字串 | 不適用 | 否 | 指定警示規則策略動作應傳回的內容。此參數接受以逗號分隔的多個值。 如果未提供值,則傳回所有可能的警報類型。 |
| 是否只擷取已啟用的快訊規則? | 核取方塊 | 已取消勾選 | 否 | 指定動作是否只應傳回已啟用的快訊規則。 |
| 要傳回的規則數量上限 | 整數 | 不適用 | 否 | 動作應傳回多少排定快訊規則,例如 50。 |
用途
這項動作可用於列出 Google SecOps 劇本中的 Microsoft Sentinel 快訊規則。您可以列出快訊規則,確保已針對環境中每種可疑的威脅和異常狀況準備快訊規則。如果發現系統未妥善處理某些情況,可以立即更新現有的快訊規則或建立新規則。Microsoft Sentinel 警示規則可確保您立即收到通知,以便分類、調查及補救威脅。
執行日期
這項操作會對所有實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"value": [
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/alertRules/4bdce24d-7837-4f02-9f7a-10824f376517",
"name": "4bdce24d-7837-4f02-9f7a-10824f376517",
"etag": "\"00002f05-0000-0d00-0000-5d9db9970000\"",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "MicrosoftSecurityIncidentCreation",
"properties": {
"productFilter": "Azure Active Directory Identity Protection",
"severitiesFilter": null,
"displayNamesFilter": null,
"displayName": "Create incidents based on Azure Active Directory Identity Protection alerts",
"enabled": true,
"description": "Create incidents based on all alerts generated in Azure Active Directory Identity Protection",
"tactics": null,
"alertRuleTemplateName": "532c1811-79ee-4d9f-8d4d-6304c840daa1",
"lastModifiedUtc": "2019-10-09T10:42:31.5264376Z"
}
},
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/alertRules/540f68c9-9397-49c7-8953-8efce08d6e62",
"name": "540f68c9-9397-49c7-8953-8efce08d6e62",
"etag": "\"00003105-0000-0d00-0000-5d9db9ad0000\"",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "MicrosoftSecurityIncidentCreation",
"properties": {
"productFilter": "Azure Security Center",
"severitiesFilter": null,
"displayNamesFilter": null,
"displayName": "Create incidents based on Azure Security Center alerts",
"enabled": true,
"description": "Create incidents based on all alerts generated in Azure Security Center",
"tactics": null,
"alertRuleTemplateName": "90586451-7ba8-4c1e-9904-7d1b7c3cc4d6",
"lastModifiedUtc": "2019-10-09T10:42:53.9014288Z"
}
}
]
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 如果成功:print "Successfully listed Microsoft
Sentinel alert rules configured"。 If error: print "Failed to list Microsoft Sentinel alert rules! Error is {0}".format(exception.stacktrace). |
一般 |
| 資料表 | 表格標題:找到的 Microsoft Sentinel 警示規則: 資料欄:AlertID (對應至名稱)、名稱 (對應至 displayName)、已啟用、說明、策略、上次修改時間 (對應至 lastModificationUtc) |
一般 |
| 附件 | List_AlertRules.json - 包含動作技術 JSON 資料傳回的內容。 | 一般 |
JSON 檢視器 |
顯示查詢結果的 JSON 檢視器。 | 一般 |
取得快訊規則詳細資料
取得 Azure Sentinel 排程快訊規則的詳細資料。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| AlertRuleID | 字串 | 不適用 | 是 | 指定快訊規則的 ID。 |
用途
這個動作可用於從 Google SecOps 劇本取得 Microsoft Sentinel 快訊規則的詳細資料。舉例來說,如果發現某些快訊越來越頻繁,且大多數都是誤報,或是某個快訊規則處理的情況過多,而您想將這些情況分開處理,以便更輕鬆地識別威脅,就可以使用這項動作,正確瞭解快訊規則的設定。您可以根據快訊規則的結果,決定是否要更新、刪除或保留規則。
執行日期
這項操作會對所有實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/alertRules/8dce4dbd-0ba6-4c93-943a-8da49f7d0aa4",
"name": "8dce4dbd-0ba6-4c93-943a-8da49f7d0aa4",
"etag": "\"0200c767-0000-0d00-0000-5ddf3b160000\"",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "Scheduled",
"properties": {
"severity": "High",
"query": "SecurityEvent\r\n| where Activity startswith \"4625\"\r\n| summarize count() by IpAddress, Computer\r\n| where count_ >3\r\n| extend HostCustomEntity = Computer\r\n| extend IPCustomEntity = IpAddress",
"queryFrequency": "PT1H",
"queryPeriod": "P5D",
"triggerOperator": "GreaterThan",
"triggerThreshold": 0,
"suppressionDuration": "PT5H",
"suppressionEnabled": false,
"displayName": "Multiple failed login attempts from the same IP",
"enabled": false,
"description": "",
"tactics": [
"InitialAccess"
],
"alertRuleTemplateName": null,
"lastModifiedUtc": "2019-11-28T03:12:21.9276927Z"
}
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 如果成功並取得資料:print "Successfully
returned Microsoft Sentinel alert rule {0} details".format(AlertRuleID)。 如果找不到 AlertID 提供的快訊規則:print
"Microsoft Sentinel alert rule with ID "{0}" was not found!".format(AlertRuleID)。
如果發生錯誤:列印「Failed to get details about Microsoft Sentinel alert rule! Error is {0}".format(exception.stacktrace). |
一般 |
| 資料表 | 表格標題:Microsoft Sentinel 快訊規則詳細資料: 資料欄:AlertID (對應至名稱)、名稱 (對應至 displayName)、已啟用、說明、查詢、頻率(對應至 queryFrequency)、查詢資料的週期(對應至 queryPeriod)、觸發條件 (對應至 triggerOperator 和 triggerThreshold 的組合)、策略、啟用抑制功能(對應至「suppressionEnabled」)、抑制時間長度(對應至 suppressionDuration)、上次修改時間 (對應至 lastModificationUtc) |
一般 |
JSON 檢視器 |
顯示查詢結果的 JSON 檢視器。 | 一般 |
建立快訊規則
建立 Azure Sentinel 排程快訊規則。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 啟用快訊規則 | DDL | 不適用 | 是 | 指定要停用或啟用這項快訊規則。 |
| 名稱 | 字串 | 不適用 | 是 | 指定快訊規則的顯示名稱。 |
| 嚴重性 | DDL | 不適用 | 是 | 指定這項快訊規則的嚴重程度。 |
| 查詢 | 字串 | 不適用 | 是 | 指定這項快訊規則的查詢。 |
| 頻率 | 字串 | 不適用 | 是 | 指定查詢的執行頻率,格式如下:PT + 數字 + (M、H、D), 其中 M 代表分鐘、H 代表小時、D 代表天數。 最少 5 分鐘,最多 14 天。 |
| 查詢資料的期間 | 字串 | 不適用 | 是 | 指定上次查詢資料的時間,請使用下列格式:P + 數字 + (M、H、D), 其中 M 代表分鐘、H 代表小時、D 代表天數。最短 5 分鐘,最長 14 天。 |
| 觸發條件運算子 | DDL | 不適用 | 是 | 指定這項快訊規則的觸發條件運算子。 |
| 觸發門檻 | 整數 | 不適用 | 是 | 指定這項快訊規則的觸發門檻。 |
| 啟用抑制功能 | DDL | 不適用 | 是 | 指定是否要在產生快訊後停止執行查詢。 |
| 抑制時間 | 字串 | 不適用 | 是 | 指定要在產生快訊後停止執行查詢的時間長度,格式如下:PT + 數字 + (M、H、D), 其中 M - 分鐘、H - 小時、D - 天 範例: P1M - 1 分鐘 P10H - 10 小時 P2D - 2 天。 最短 5 分鐘,最長 14 天。 |
| 說明 | 字串 | 不適用 | 否 | 指定這項快訊規則的說明。 |
| 戰術 | 字串 | 不適用 | 否 | 為這項快訊規則指定策略。 參數可以採用多個以半形逗號分隔的值。 |
用途
這項動作可用於從 Google SecOps 劇本建立 Microsoft Sentinel 快訊規則。您可以建立自訂快訊規則,在環境中搜尋可疑的威脅和異常狀況。Microsoft Sentinel 快訊規則可確保您立即收到通知,以便分類、調查及補救威脅。
執行日期
這項操作會對所有實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 如果成功:print "Successfully created Microsoft
Sentinel alert rule!"。 If error: print "Failed to create Microsoft Sentinel alert rule! Error is {0}".format(exception.stacktrace). |
一般 |
更新快訊規則
更新 Azure Sentinel 排程快訊規則。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| AlertRuleID | 字串 | 不適用 | 是 | 指定快訊規則的 AlertRuleID。 |
| 名稱 | 字串 | 不適用 | 否 | 指定快訊規則的顯示名稱。 |
| 啟用快訊規則 | DDL | 不適用 | 否 | 指定要停用或啟用這項快訊規則。 |
| 嚴重性 | DDL | 不適用 | 否 | 指定這項快訊規則的嚴重程度。 |
| 查詢 | 字串 | 不適用 | 否 | 指定這項快訊規則的查詢。 |
| 頻率 | 字串 | 不適用 | 否 | 指定查詢的執行頻率,格式如下:PT + 數字 + (M、H、D), 其中 M 代表分鐘、H 代表小時、D 代表天數。範例: PT1M - 每分鐘執行一次查詢 PT10H - 每 10 小時執行一次查詢 PT2D - Run query every 2 days. 最短 5 分鐘,最長 14 天。 |
| 查詢資料的期間 | 字串 | 不適用 | 否 | 指定上次查詢資料的時間,請使用下列格式:P + 數字 + (M、H、D), 其中 M 代表分鐘、H 代表小時、D 代表天數。。 範例: P1M - 1 分鐘 P10H - 10 小時 P2D - 2 天。 最短 5 分鐘,最長 14 天。 |
| 觸發條件運算子 | DDL | 不適用 | 否 | 指定這項快訊規則的觸發條件運算子。 |
| 觸發門檻 | 整數 | 不適用 | 否 | 指定這項快訊規則的觸發門檻。 |
| 啟用抑制功能 | DDL | 不適用 | 否 | 指定是否要在產生快訊後停止執行查詢。 |
| 抑制時間 | 字串 | 不適用 | 否 | 指定要在產生快訊後停止執行查詢的時間長度,格式如下:PT + 數字 + (M、H、D), 其中 M - 分鐘、H - 小時、D - 天 範例: P1M - 1 分鐘 P10H - 10 小時 P2D - 2 天。 最短 5 分鐘,最長 14 天。 |
| 說明 | 字串 | 不適用 | 否 | 指定這項快訊規則的說明。 |
| 戰術 | 字串 | 無 | 否 | 為這項快訊規則指定策略。 參數接受以逗號分隔的多個值。 |
用途
這項動作可用於從 Google SecOps 劇本更新 Microsoft Sentinel 快訊規則。舉例來說,如果發現某些快訊的頻率越來越高,而且大多數都是誤報,您可以使用這項動作更新快訊規則的設定,以符合自身需求和期望。Microsoft Sentinel 快訊規則可確保您立即收到通知,以便分類、調查及補救威脅。
執行日期
這項操作會對所有實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 如果成功:列印「Successfully updated Microsoft
Sentinel alert rule with ID {0}".format(AlertRuleID)」。 如果找不到與所提供 AlertID 相符的快訊規則:列印「Microsoft Sentinel alert rule with ID "{0}" was not found!".format(AlertRuleID)。 如果發生錯誤:請列印「Failed to update Microsoft Sentinel alert rule! Error is {0}".format(exception.stacktrace). |
一般 |
刪除快訊規則
刪除 Azure Sentinel 排程快訊規則。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| AlertRuleID | 字串 | 不適用 | 是 | 指定要刪除的快訊規則 ID。 |
用途
這項動作可用於從 Google SecOps 刪除 Microsoft Sentinel 快訊規則。如果快訊規則過於老舊,無法發揮作用,或是只會產生誤判,您可以使用這項動作刪除規則。
執行日期
這項操作會對所有實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 如果成功:列印「Successfully deleted Microsoft
Sentinel alert rule {0}」(已成功刪除 Microsoft
Sentinel 警示規則「{0}」)。format(AlertRuleID)。 If can't find
alert rule by the provided AlertID: print "Microsoft Sentinel alert
rule with ID "{0}" was not found!".format(AlertRuleID). If error: print "Failed to delete Microsoft Sentinel alert rule! Error is {0}".format(exception.stacktrace). |
一般 |
列出自訂獵捕規則
取得 Azure Sentinel 自訂搜尋規則清單。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 要傳回的搜尋規則名稱 | 字串 | 不適用 | 否 | 指定搜尋規則動作應傳回的名稱。這個參數接受以半形逗號分隔的多個值。 如果未提供值,則傳回所有可能的警報類型。 |
| 擷取特定主動出擊規則策略 | 字串 | 不適用 | 否 | 指定狩獵規則策略動作應傳回的內容。這個參數接受以半形逗號分隔的多個值。 如果未提供值,則傳回所有可能的警報類型。 |
| 要傳回的規則數量上限 | 整數 | 不適用 | 否 | 動作應傳回多少排定快訊規則,例如 50。 |
用途
這項動作可用於列出 Google SecOps 劇本中 Microsoft Sentinel 的自訂和喜愛搜尋規則。為確保您已針對網路中運作的最罕見但非常重要的程序,建立所有相關的搜尋規則,請提及自訂和偏好的搜尋規則。如果發現系統未正確處理某些情況,您可以立即更新及建立現有的搜尋規則。
執行日期
這項操作會對所有實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"__metadata": {},
"value": [
{
"id": "subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/savedSearches/0c5bd7e1-0e13-4e7d-9e32-88baf9589192",
"etag": "W/\"datetime'2019-12-02T10%3A14%3A10.5299491Z'\"",
"properties": {
"Category": "Hunting Queries",
"DisplayName": "Hunting Query 1",
"Query": "\r\nlet timeframe = 7d;\r\nAWSCloudTrail\r\n| where TimeGenerated >= ago(timeframe)\r\n| where EventName in~ (\"AttachGroupPolicy\", \"AttachRolePolicy\", \"AttachUserPolicy\", \"CreatePolicy\",\r\n\"DeleteGroupPolicy\", \"DeletePolicy\", \"DeleteRolePolicy\", \"DeleteUserPolicy\", \"DetachGroupPolicy\",\r\n\"PutUserPolicy\", \"PutGroupPolicy\", \"CreatePolicyVersion\", \"DeletePolicyVersion\", \"DetachRolePolicy\", \"CreatePolicy\")\r\n| project TimeGenerated, EventName, EventTypeName, UserIdentityAccountId, UserIdentityPrincipalid, UserAgent, \r\nUserIdentityUserName, SessionMfaAuthenticated, SourceIpAddress, AWSRegion, EventSource, AdditionalEventData, ResponseElements\r\n| extend timestamp = TimeGenerated, IPCustomEntity = SourceIpAddress, AccountCustomEntity = UserIdentityAccountId\r\n",
"Tags": [
{
"Name": "description",
"Value": "1234"
},
{
"Name": "tactics",
"Value": "DefenseEvasion"
},
{
"Name": "createdTimeUtc",
"Value": "12/02/2019 09:21:18"
}
],
"Version": 2
},
"name": "0c5bd7e1-0e13-4e7d-9e32-88baf9589192"
},
{
"id": "subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/savedSearches/30a94796-a573-4e6e-9385-fb96d0aa5ea2",
"etag": "W/\"datetime'2019-12-02T10%3A10%3A18.4761379Z'\"",
"properties": {
"Category": "Hunting Queries",
"DisplayName": "Hunting Query 1",
"Query": "\r\nlet timeframe = 7d;\r\nAWSCloudTrail\r\n| where TimeGenerated >= ago(timeframe)\r\n| where EventName in~ (\"AttachGroupPolicy\", \"AttachRolePolicy\", \"AttachUserPolicy\", \"CreatePolicy\",\r\n\"DeleteGroupPolicy\", \"DeletePolicy\", \"DeleteRolePolicy\", \"DeleteUserPolicy\", \"DetachGroupPolicy\",\r\n\"PutUserPolicy\", \"PutGroupPolicy\", \"CreatePolicyVersion\", \"DeletePolicyVersion\", \"DetachRolePolicy\", \"CreatePolicy\")\r\n| project TimeGenerated, EventName, EventTypeName, UserIdentityAccountId, UserIdentityPrincipalid, UserAgent, \r\nUserIdentityUserName, SessionMfaAuthenticated, SourceIpAddress, AWSRegion, EventSource, AdditionalEventData, ResponseElements\r\n| extend timestamp = TimeGenerated, IPCustomEntity = SourceIpAddress, AccountCustomEntity = UserIdentityAccountId\r\n",
"Tags": [
{
"Name": "description",
"Value": "1234"
},
{
"Name": "tactics",
"Value": "DefenseEvasion"
},
{
"Name": "createdTimeUtc",
"Value": "12/02/2019 09:21:18"
}
],
"Version": 2
},
"name": "30a94796-a573-4e6e-9385-fb96d0aa5ea2"
}
]
}
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 如果成功:print "Successfully returned Microsoft
Sentinel hunting rules"。 如果發生錯誤:請列印「Failed to list Microsoft Sentinel hunting rules! Error is {0}".format(exception.stacktrace). |
一般 |
| 資料表 | 表格標題:找到的 Microsoft Sentinel 搜尋規則: 資料欄:HuntingRuleID(對應至名稱)、標題 (對應至 displayName)、類別、說明 (對應至標記字典中的說明參數)、策略(對應至標記字典中的策略參數)、查詢、建立時間 (對應至標記字典中的 CreatedTimeUtc 參數) |
一般 |
| 附件 | List_HuntingRules.json - 包含動作傳回的技術 JSON 資料。 | 一般 |
JSON 檢視器 |
顯示查詢結果的 JSON 檢視器。 | 一般 |
取得自訂搜尋規則詳細資料
取得 Azure Sentinel 自訂搜尋規則的詳細資料。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| HuntingRuleID | 字串 | 不適用 | 是 | 指定搜尋規則的 ID。 |
用途
您可以使用 Google SecOps 劇本,存取 Microsoft Sentinel 標準或偏好的搜尋規則相關資訊。舉例來說,如果從搜尋規則收到的詳細資料不適合用於分析,或是您想確認搜尋規則是否設定正確,就可以使用這項工具。根據結果評估是否要編輯、移除或維持不變。
執行日期
這項操作會對所有實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"id": "subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/savedSearches/30a94796-a573-4e6e-9385-fb96d0aa5ea2",
"etag": "W/\"datetime'2019-12-02T10%3A14%3A10.5299491Z'\"",
"properties": {
"Category": "Log Management",
"DisplayName": "Multiple Password Reset by user",
"Query": "\nlet timeframe = 7d;\nAWSCloudTrail\n| where TimeGenerated >= ago(timeframe)\n| where EventName in~ (\"AttachGroupPolicy\", \"AttachRolePolicy\", \"AttachUserPolicy\", \"CreatePolicy\",\n\"DeleteGroupPolicy\", \"DeletePolicy\", \"DeleteRolePolicy\", \"DeleteUserPolicy\", \"DetachGroupPolicy\",\n\"PutUserPolicy\", \"PutGroupPolicy\", \"CreatePolicyVersion\", \"DeletePolicyVersion\", \"DetachRolePolicy\", \"CreatePolicy\")\n| project TimeGenerated, EventName, EventTypeName, UserIdentityAccountId, UserIdentityPrincipalid, UserAgent, \nUserIdentityUserName, SessionMfaAuthenticated, SourceIpAddress, AWSRegion, EventSource, AdditionalEventData, ResponseElements\n| extend timestamp = TimeGenerated, IPCustomEntity = SourceIpAddress, AccountCustomEntity = UserIdentityAccountId\n",
"Tags": [
{
"Name": "description",
"Value": "Identity and Access Management (IAM) securely manages access to AWS services and resources."
},
{
"Name": "tactics",
"Value": "DefenseEvasion"
},
{
"Name": "createdTimeUtc",
"Value": "12/02/2019 09:21:18"
}
],
"Version": 2
}
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 如果成功:print "Successfully returned Microsoft
Sentinel hunting rule {0} details".format(HuntingRuleID)。 如果找不到 AlertID 提供的快訊規則:列印「Microsoft Sentinel hunting rule with ID "{0}" was not found!".format(HuntingRuleID)。 If error: print "Failed to get details about Microsoft Sentinel hunting rule! Error is {0}".format(exception.stacktrace). |
一般 |
| 資料表 | 表格標題:Microsoft Sentinel 搜尋規則詳細資料: 資料欄:HuntingRuleID (對應至名稱)、名稱 (對應至 displayName)、說明、查詢、策略、建立時間 |
一般 |
| 附件 | List_HuntingRules.json - 包含動作傳回的技術 JSON 資料。 | 一般 |
JSON 檢視器 |
顯示查詢結果的 JSON 檢視器。 | 一般 |
建立自訂搜尋規則
建立 Azure Sentinel 自訂搜尋規則。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 查詢 | 字串 | 不適用 | 是 | 指定要在這項搜尋規則中執行的查詢。 |
| 顯示名稱 | 字串 | 不適用 | 是 | 指定搜尋規則的顯示名稱。 |
| 說明 | 字串 | 不適用 | 否 | 指定搜尋規則的說明。 |
| 戰術 | 字串 | 不適用 | 否 | 為這項搜尋規則指定策略。這個參數接受以逗號分隔的多個值。 |
用途
您可以使用這項動作,透過 Google SecOps 劇本建立新的 Microsoft Sentinel 搜尋規則。舉例來說,搜尋規則包含查詢,可提供基礎架構中執行最不常見程序的資料,您不會想在每次執行這些程序時收到快訊,因為這些程序可能完全無害,但您或許會想偶爾查看查詢,看看是否有任何異常情況。這表示攻擊者可藉此從您的網路環境收集更多資訊。
執行日期
這項操作會對所有實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 如果成功:列印「Successfully created Microsoft
Sentinel hunting rule」。 If error: print "Failed to create Microsoft Sentinel hunting rule! Error is {0}".format(exception.stacktrace). |
一般 |
更新自訂搜尋規則
更新 Azure Sentinel 自訂搜尋規則。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| HuntingRuleID | 字串 | 不適用 | 是 | 指定搜尋規則的 ID。 |
| 顯示名稱 | 字串 | 不適用 | 否 | 指定搜尋規則的顯示名稱。 |
| 查詢 | 字串 | 不適用 | 否 | 指定要在這項搜尋規則中執行的查詢。 |
| 說明 | 字串 | 不適用 | 否 | 指定說明。 |
| 戰術 | 字串 | 不適用 | 否 | 為這項搜尋規則指定策略。 這個參數可以接受以逗號分隔的多個值。 |
用途
這項動作可用於從 Google SecOps 劇本更新自訂 Microsoft Sentinel 搜尋規則。舉例來說,如果您認為搜尋規則過時,並想更新多個參數 (例如查詢或說明),請使用這項操作。調查事件時,資訊是關鍵所在,因此應更新每項搜尋規則,顯示相關資訊。
執行日期
這項操作會對所有實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 如果成功:列印「Successfully updated Microsoft
Sentinel hunting rule with ID {0}」(已成功更新 ID 為 {0} 的 Microsoft
Sentinel 搜尋規則)。format(HuntingRuleID)。 If
can't find hunting rule by the provided HuntingRuleID: print "Microsoft
Sentinel hunting rule with ID "{0}" was not found!".format(HuntingRuleID). 如果發生錯誤:請列印「Failed to update Microsoft Sentinel hunting rule! Error is {0}".format(exception.stacktrace). |
一般 |
刪除自訂搜尋規則
刪除 Azure Sentinel 自訂搜尋規則。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| HuntingRuleID | 字串 | 不適用 | 是 | 指定要刪除的搜尋規則 ID。 |
用途
這項動作可用於從 Google SecOps 刪除自訂 Microsoft Sentinel 搜尋規則。舉例來說,如果您認為搜尋規則過時,且調查程序不需要該規則,建議您刪除該規則。
執行日期
這項操作會對所有實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 如果成功:列印「Successfully deleted Microsoft
Sentinel hunting rule with ID {0}".format(HuntingRuleID)」。 If
can't find hunting rule by the provided HuntingRuleID: print "Microsoft
Sentinel hunting rule with ID "{0}" was not found!".format(HuntingRuleID). 如果發生錯誤:列印「Failed to delete Microsoft Sentinel hunting rule! Error is {0}".format(exception.stacktrace). |
一般 |
執行自訂搜尋規則
執行自訂或常用的 Microsoft Sentinel 搜尋規則。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| HuntingRuleID | 字串 | 不適用 | 是 | 指定搜尋規則的 ID。 |
| 逾時 | 整數 | 不適用 | 否 | 用於指定 Azure Sentinel 搜尋規則 API 呼叫逾時值的參數。 |
用途
這項動作可用於從 Google SecOps 劇本執行 Microsoft Sentinel 搜尋規則。執行搜尋規則查詢時,系統會提供基礎架構中執行次數最少的程序相關資料,您不會希望每次執行這些程序時都收到快訊,因為這些程序可能完全無害,但您或許會想偶爾查看查詢,瞭解是否有任何異常情況。也就是說,這項工具可用於從網路環境收集更多資訊,協助調查人員找出事件的所有細微差異,並做出進一步決策。
執行日期
這項操作會對所有實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"tables": [
{
"name": "PrimaryResult",
"columns": [
{
"name": "timerange",
"type": "datetime"
},
{
"name": "AppDisplayName",
"type": "string"
},
{
"name": "UserPrincipalName",
"type": "string"
},
{
"name": "threeDayWindowLocationCount",
"type": "long"
},
{
"name": "locationList",
"type": "dynamic"
},
{
"name": "timestamp",
"type": "datetime"
},
{
"name": "AccountCustomEntity",
"type": "string"
}
],
"rows": [
[
"2019-11-29T00:00:00Z",
"WindowsDefenderATP Portal",
"user@example.com",
2,
"[\"US/Florida/Miami;\",\"AM/Kotayk'/Abovyan;\"]",
"2019-11-29T00:00:00Z",
"user@example.com"
],
[
"2019-12-02T00:00:00Z",
"WindowsDefenderATP Portal",
"user@example.com",
1,
"[\"US/Florida/Miami;\"]",
"2019-12-02T00:00:00Z",
"user@example.com"
],
[
"2019-11-29T00:00:00Z",
"Azure Portal",
"example@example.com",
1,
"[\"UA/Kyiv Misto/Kyiv;\"]",
"2019-11-29T00:00:00Z",
"example@example.com"
],
[
"2019-12-02T00:00:00Z",
"Azure Portal",
"example@example.com",
2,
"[\"UA/Kyiv Misto/Kyiv;\",\"UA/Kyivs'ka Oblast'/Boryspil';\"]",
"2019-12-02T00:00:00Z",
"example@example.com"
],
[
"2019-11-29T00:00:00Z",
"Azure Portal",
"user@example.com",
1,
"[\"RU/Sverdlovskaya Oblast'/Yekaterinburg;\"]",
"2019-11-29T00:00:00Z",
"user@example.com"
],
[
"2019-12-02T00:00:00Z",
"Azure Portal",
"user@example.com",
1,
"[\"RU/Sverdlovskaya Oblast'/Yekaterinburg;\"]",
"2019-12-02T00:00:00Z",
"user@example.com"
]
]
}
]
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 如果成功:print "Hunting rule executed
successfully"。 If can't find hunting rule by the provided
HuntingRuleID: print "Microsoft Sentinel hunting rule with ID "{0}" was not
found!".format(HuntingRuleID) if nothing found: print
"Hunting rule executed successfully, but did not return any results."
if error: print "Hunting rule didn't completed due to error:
{0}".format(exception.stacktrace) 如果逾時:print
"Hunting rule didn't completed due to timeout: {0}".format(exception.stacktrace)
如果查詢結果遭到截斷:列印「Hunting rule results exceeded limits and were truncated, please rewrite your query!」(搜尋規則結果超出限制並遭到截斷,請重新編寫查詢!) |
一般 |
| 資料表 | 表格標題:Microsoft Sentinel 搜尋規則結果 資料欄:根據查詢結果動態產生資料欄 |
一般 |
| 附件 | Run_Hunting_rule_{HuntingRuleID}_response.json - 包含動作技術 JSON 資料傳回的內容。 | 一般 |
JSON 檢視器 |
顯示查詢結果的 JSON 檢視器。 | 一般 |
執行 KQL 查詢
根據提供的動作輸入參數,執行 Azure Sentinel KQL 查詢。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| KQL 查詢 | 字串 | 不適用 | 是 | 要在 Azure Sentinel 中執行的 KQL 查詢。舉例來說,如要取得 Sentinel 中提供的安全性快訊,查詢內容為「SecurityAlert」。使用其他動作輸入參數 (時間範圍、限制) 篩選查詢結果。如需 KQL 查詢範例,請參閱 Sentinel「記錄」網頁。 |
| 時距 | 字串 | 不適用 | 否 | 指定要搜尋的時間範圍。時間值應符合 ISO 8601 規定,例如可用於指定要搜尋過去 10 小時或時間間隔的資料。請使用下列格式:PT + 數字 + (M、H、D), 其中 M 代表分鐘、H 代表小時、D 代表天數。 |
| 查詢逾時 | 整數 | 180 | 否 | Azure Sentinel 搜尋規則 API 呼叫的逾時值。請注意,您應根據這個參數調整 Google SecOps 動作 Python 程序逾時,以免因 Python 程序逾時而提早逾時。 |
| 記錄上限 | 整數 | 100 | 否 | 要擷取的記錄數量。選用參數,如果設定,會在 kql 查詢中加入「| limit x」,其中 x 是為記錄限制設定的值。如果 kql 查詢中已設定「limit」,或不需要此設定,即可移除。 |
用途
在案件調查期間執行進階查詢。
執行日期
這項操作會對所有實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"tables": [
{
"name": "PrimaryResult",
"columns": [
{
"name": "Reason",
"type": "string"
},
{
"name": "StartTimeUtc",
"type": "datetime"
},
{
"name": "EndTimeUtc",
"type": "datetime"
},
{
"name": "count_",
"type": "long"
},
{
"name": "timestamp",
"type": "datetime"
}
],
"rows": [
[
"Incorrect password",
"2019-10-22T06:38:30.837Z",
"2019-10-22T11:57:00.003Z",
28,
"2019-10-22T06:38:30.837Z"
],
[
"Account name does not exist",
"2019-10-21T15:19:33.727Z",
"2019-10-22T06:40:13.51Z",
3,
"2019-10-21T15:19:33.727Z"
]
]
}
]
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 如果成功:列印「Query executed successfully」。 如果找不到任何內容:列印「Query executed successfully, but did not return any results.」(查詢執行成功,但未傳回任何結果)。 If error: print
"Query didn't completed due to error: {0}".format(exception.stacktrace). 如果逾時:print "Query didn't completed due to timeout:
{0}".format(exception.stacktrace)。 如果查詢結果遭到截斷:請列印「Query results exceeded limits and were truncated, please rewrite your query!」(查詢結果超出限制並遭到截斷,請重新編寫查詢!) |
|
| 資料表 | 表格標題:KQL 查詢結果 資料欄: 根據查詢結果動態產生資料欄 |
一般 |
| 附件 | Run_KQL_query_response.json - 包含動作技術傳回的 JSON 資料。 | 一般 |
JSON 檢視器 |
顯示查詢結果的 JSON 檢視器。 | 一般 |
在事件中新增留言
在 Azure Sentinel 事件中新增註解。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 事件編號 | 整數 | 不適用 | 是 | 指定要新增註解的事件編號。 |
| 要新增的留言 | 字串 | 不適用 | 是 | 指定要新增至事件的註解 |
執行日期
這項操作不會對實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Incidents/00cfebdc-c677-463f-8355-cb7f23472c06/Comments/f0f31d1a-d32b-4774-a21d-3279240c7c33",
"name": "f0f31d1a-d32b-4774-a21d-3279240c7c33",
"etag": "\"7e000812-0000-0c00-0000-606fc83f0000\"",
"type": "Microsoft.SecurityInsights/Incidents/Comments",
"properties": {
"message": "Some message",
"createdTimeUtc": "2021-04-09T03:21:35.0894288Z",
"lastModifiedTimeUtc": "2021-04-09T03:21:35.0894288Z",
"author": {
"objectId": "f6ce2f43-6f77-4b30-9a4a-de1a069b2560",
"email": null,
"name": "Comment created from external application - log_analytics_rest_api_for_sentinel",
"userPrincipalName": null
}
}
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊:
動作應會失敗並停止執行應對手冊:
|
一般 |
連接器
如需在 Google SecOps 中設定連接器的詳細操作說明,請參閱設定連接器。
Microsoft Azure Sentinel 事件連接器 - 已淘汰
在 Google SecOps SOAR 中,Microsoft Azure Sentinel 事件連接器會使用 Azure Security Insights API,從特定 Microsoft Sentinel 工作區擷取事件做為快訊。
這個連接器使用的功能與「列出事件」和「取得事件詳細資料」動作類似,並會連線至 Azure Security Insights 端點,擷取指定期間內產生的事件清單。
連接器用途
使用連接器監控 Microsoft Sentinel 工作區的新事件,並將事件擷取至 Google SecOps SOAR 伺服器。
如要確保特定事件類型能順利傳送,請將資料連接器新增至 Microsoft Sentinel。舉例來說,如要將 Windows 主機的安全性事件新增為其中一個資料連接器,請在 Windows 主機上安裝 Microsoft Sentinel 代理程式,並設定要擷取的事件類型:安全性事件、防火牆事件、DNS 事件或其他事件。
如要根據特定條件產生快訊,請使用規則查詢定義快訊規則。當警告規則建立警告時,會觸發 Microsoft Sentinel 產生事件、儲存資料事故,並在入口網站事件頁面顯示事件。
如要以程式輔助方式讀取及寫入事件資料,請使用 Security Insights REST API。
連接器參數
如要設定連接器,請使用下列參數:
| 參數 | |
|---|---|
Product Field Name |
必要
儲存產品名稱的欄位名稱。 預設值為 |
Event Field Name |
必要
儲存事件名稱的欄位名稱。 預設值為 |
Environment Field Name |
選填
儲存環境名稱的欄位名稱。 如果找不到環境欄位,系統會使用預設環境。 預設值為 |
Environment Regex Pattern |
選填
要在 預設值 這個參數可讓您使用規則運算式邏輯,操控環境欄位。 如果規則運算式模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
Azure Subscription ID |
必要 Azure 訂閱 ID。 |
Azure Active Directory ID |
必要 Microsoft Entra 租戶 ID。 |
Api Root |
必要 要與整合功能搭配使用的 management.azure.com API 根網址。 預設值為 |
Azure Resource Group |
必要 Microsoft Sentinel 所在的 Azure 資源群組名稱。 |
Azure Sentinel Workspace Name |
必要 要使用的 Microsoft Sentinel 工作區名稱。 |
Client ID |
必要 用於這項整合的 Microsoft Entra 應用程式 (用戶端) ID。 |
Client Secret |
必要 Microsoft Entra 用戶端密鑰值。 |
Script Timeout (Seconds) |
必要 執行目前指令碼的 Python 程序逾時限制。 預設值為 180 秒。 |
Offset Time In Hours |
必要
從現在起回溯幾小時,以擷取事件。 預設值為 24 小時。 |
Incident Statuses to Fetch |
必要
要擷取的事件狀態。這個參數接受以逗號分隔的多個值。 預設值為 |
Incident Severities to Fetch |
必要
要擷取的事件嚴重程度。這個參數接受以逗號分隔的多個值。 預設值為 |
Max Incidents per Cycle |
必要
連接器單次執行期間要處理的事件數量。這個參數接受以逗號分隔的多個值。 預設值為 10。 |
Proxy Server Address |
選填
要使用的 Proxy 伺服器位址。 |
Proxy Server Username |
選填
用於驗證的 Proxy 使用者名稱。 |
Proxy Server Password |
選填
用於驗證的 Proxy 密碼。 |
連接器規則
連接器不支援封鎖名單和動態清單。
連接器支援 Proxy。
Microsoft Azure Sentinel 事件連接器 v2
建議使用 Microsoft Azure Sentinel Incidents Connector v2,主要變更包括移至 Microsoft Sentinel API 中的新事件端點,以及導入連接器實體處理和剖析邏輯。如要篩選特定 Microsoft Sentinel 事件,並根據事件名稱擷取這些事件,請使用動態清單。
Microsoft Sentinel UI 可能會顯示事件實體,但 API 不會傳回這些實體 (實體清單為空白)。因此,連接器需要更多時間才能擷取這類事件,並在後續的連接器執行作業中查詢這些事件。API 回應提供實體資訊後,連接器就會擷取事件。
處理排程和非排程的 Sentinel 快訊
如要解決 Microsoft Azure Sentinel Incidents Connector 的問題 (該問題會為 Azure Sentinel 排程快訊以外的所有快訊錯誤顯示實體),Microsoft Azure Sentinel Incidents Connector v2 會為每個實體新增額外事件。
也就是說,如果連接器在 Google SecOps 事件中收到 IP、帳戶或主機名稱實體,就會為每個找到的實體新增額外的 Google SecOps 事件。您可以使用新建立的事件,在 Google SecOps SOAR 中建立實體並對應實體屬性。初始活動仍會保持原樣。新事件只會新增至 Google SecOps 快訊。其他實體類型不受這項邏輯影響,仍會保留在初始事件中,不會為這些類型建立額外事件。
如要啟用建立其他事件,連接器會使用 entity Sentinel API 端點擷取資料。根據預設,系統會使用記錄分析 KQL 查詢擷取排定時間和近乎即時的快訊,以取得快訊和事件資料。如果選取此選項,連接器設定中的「Use the same approach with event creation for all alert types?」(是否對所有快訊類型採用相同的事件建立方法?) 參數,就會對所有快訊 (包括排定和未排定的快訊) 採用相同的實體式方法。建議您謹慎使用這項選項。
連接器參數
如要設定連接器,請使用下列參數:
| 參數 | |
|---|---|
Product Field Name |
必要
儲存產品名稱的欄位名稱。 預設值為 |
Event Field Name |
必要
儲存事件名稱的欄位名稱。 預設值為 |
Environment Field Name |
選填
儲存環境名稱的欄位名稱。 如果找不到環境欄位,系統會使用預設環境。 預設值為 |
Environment Regex Pattern |
選填
要在 預設值 這個參數可讓您使用規則運算式邏輯,操控環境欄位。 如果規則運算式模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
Azure Subscription ID |
必要 Azure 訂閱 ID。 |
Azure Active Directory ID |
必要 Microsoft Entra 租戶 ID。 |
Api Root |
必要 與整合功能搭配使用的 API 根網址。 預設值為 |
OAUTH2 Login Endpoint Url |
必要 用於 OAuth 2.0 驗證的端點網址。 |
Azure Resource Group |
必要 Microsoft Sentinel 所在的 Azure 資源群組名稱。 |
Azure Sentinel Workspace Name |
必要 要使用的 Microsoft Sentinel 工作區名稱。 |
Client ID |
必要 用於這項整合的 Microsoft Entra 應用程式 (用戶端) ID。 |
Client Secret |
必要 Microsoft Entra 用戶端密鑰值。 |
Script Timeout (Seconds) |
必要 執行目前指令碼的 Python 程序逾時限制。 預設值為 180 秒。 |
Offset Time In Hours |
必要
從現在起回溯幾小時,以擷取事件。 預設值為 24 小時。 |
Incident Statuses to Fetch |
必要
要擷取的事件狀態。這個參數接受以逗號分隔的多個值。 預設值為 |
Incident Severities to Fetch |
必要
要擷取的事件嚴重程度。這個參數接受以逗號分隔的多個值。 預設值為 |
Use the same approach with event creation for all alert types?
|
選用 勾選後,連接器會對所有快訊類型採用相同做法。如果取消勾選,連接器會對 Azure Sentinel 排程警示類型採用不同做法,並嘗試擷取導致警示的事件,方法是執行警示詳細資料中指定的查詢。 (預設為不勾選)。 |
Use whitelist as a blacklist |
必要
如果勾選,動態清單會做為封鎖清單使用。 (預設為不勾選)。 |
Alerts padding period |
必要
連接器擷取事件警告的時間範圍 (以分鐘為單位)。 預設值為 60 分鐘。 |
Proxy Server Address |
選填
要使用的 Proxy 伺服器位址。 |
Proxy Server Username |
選填
用於驗證的 Proxy 使用者名稱。 |
Proxy Server Password |
選填
用於驗證的 Proxy 密碼。 |
Max Backlog Incidents per Cycle |
必要
在一次連接器執行期間,從待處理事項擷取的事件數量。 預設值為 10。 |
StartTimeFallback |
必要
請以半形逗號分隔清單的形式列出事件或快訊屬性,做為 如果找不到任何備援欄位,連接器會使用 預設值為 |
EndTimeFallback |
必要
請以半形逗號分隔清單的形式列出事件或快訊屬性,做為 如果找不到任何備援欄位,連接器會使用 預設值為 |
Enable Fallback Logic Debug? |
選填
如果勾選這個選項,連接器會將包含備用值的偵錯欄位新增至建立的事件。 (預設為不勾選)。 |
VendorFieldFallback |
必要
請以半形逗號分隔清單的形式列出事件屬性,做為 預設值為 |
ProductFieldFallback |
必要
請以半形逗號分隔清單的形式列出事件屬性,做為 預設值為 |
EventFieldFallback |
必要
請以逗號分隔清單的形式列出事件屬性,做為 預設值為 |
Max New Incidents per cycle |
必要
一次連接器執行作業要處理的事件數。 預設值為 10。 |
Wait For Scheduled/NRT Alert Object |
選填
如果啟用這項功能,連接器會等待排定/NRT 警報物件可用。 |
Scheduled Alerts Events Limit to Ingest |
選填
單一 Azure Sentinel 排程快訊或近乎即時快訊可擷取的事件數量上限。 預設值為 100。 |
Incidents Padding Period (minutes) |
選填
連接器擷取事件並傳回事件的時間範圍 (以分鐘為單位)。這些事件並非依時間順序排列。 |
Create Siemplify Alerts for Sentinel incidents that do not have
entities? |
選填
如果勾選這個選項,連接器會根據沒有實體的 Microsoft Sentinel 事件建立 Google SecOps 快訊。否則,連接器只會為排定時間和近乎即時的警報建立 Google SecOps 警報,並略過所有其他 Microsoft Sentinel 事件類型。 (預設為不勾選)。 |
Incident's Alerts Limit to Ingest |
選填
每個 Microsoft Sentinel 事件可擷取的警示數量上限。 |
Alert Name Template |
選填
如果指定此值,連接器會使用 Microsoft Sentinel API 回應中傳回的事件資料,填入 您可以提供下列格式的預留位置:
這個欄位的長度上限為 256 個字元。 如果未提供任何值,或提供的範本無效,連接器會使用預設的快訊名稱。 |
Rule Generator Template |
選填
如果指定此值,連接器會使用 Microsoft Sentinel API 回應中傳回的事件資料,填入 您可以提供下列格式的預留位置:
這個欄位的長度上限為 256 個字元。 如未提供值或提供無效範本,連接器會使用預設規則產生器值。 |
自訂「快訊名稱」和「規則產生器」欄位
您可以使用「Alert Name Template」(快訊名稱範本) 和「Rule Generator Template」(規則產生器範本) 參數,自訂「Siemplify Alert Name」(Siemplify 快訊名稱) 和「Rule Generator」(規則產生器) 欄位值。如果是範本,連接器會從 API 傳回的 Microsoft Sentinel 事件資料取得資訊。
以下範例會顯示從 API 傳回的事件資料,以供參照快訊中可用的欄位,並用於範本:
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Incidents/d4f632be-0689-93f7-57a6-f27bfabbbad1",
"name": "d4f632be-0689-93f7-57a6-f27bfabbbad1",
"etag": "\"79004534-0000-0d00-0000-63590d610000\"",
"type": "Microsoft.SecurityInsights/Incidents",
"properties": {
"title": "Incident title",
"description": "",
"severity": "Low",
"status": "New",
"owner": {
"objectId": null,
"email": null,
"assignedTo": null,
"userPrincipalName": null
},
"labels": [],
"firstActivityTimeUtc": "2022-10-26T07:00:09.3857965Z",
"lastActivityTimeUtc": "2022-10-26T09:07:02.1083312Z",
"lastModifiedTimeUtc": "2022-10-26T10:35:13.0254798Z",
"createdTimeUtc": "2022-10-26T10:34:55.7454638Z",
"incidentNumber": 380925,
"additionalData": {
"alertsCount": 102,
"bookmarksCount": 0,
"commentsCount": 0,
"alertProductNames": [
"Azure Sentinel"
],
"tactics": [
"InitialAccess",
"Persistence"
]
},
"relatedAnalyticRuleIds": [
"/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/Microsoft.SecurityInsights/alertRules/8a3ca5c5-7875-466e-accd-3bcb2881cdb0"
],
"incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/Microsoft.SecurityInsights/Incidents/d4f632be-0689-93f7-57a6-f27bfabbbad1",
"providerName": "Azure Sentinel",
"providerIncidentId": "380925"
}
}
連接器規則
連接器支援封鎖清單和動態清單。
連接器支援 Proxy。
Microsoft Sentinel 事件追蹤連接器
使用 Microsoft Sentinel Incident Tracking Connector 處理 Microsoft Sentinel 事件,並以新的 Google SecOps 快訊形式擷取 Sentinel 事件的更新。您可以使用動態清單指定要擷取的事件名稱。對於這個連結器,建議您根據 SourceGroupIdentifier 參數設定 Google SecOps 快訊分組。
連接器輸入內容
如要設定連接器,請使用下列參數:
| 參數 | |
|---|---|
Product Field Name |
必要
儲存產品名稱的欄位名稱。 預設值為 |
Event Field Name |
必要
儲存事件名稱的欄位名稱。 預設值為 |
Environment Field Name |
選填
儲存環境名稱的欄位名稱。 如果找不到環境欄位,系統會使用預設環境。 預設值為 |
Environment Regex Pattern |
選填
要在 預設值 這個參數可讓您使用規則運算式邏輯,操控環境欄位。 如果規則運算式模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
Azure Subscription ID |
必要 Azure 訂閱 ID。 |
Entra ID Directory ID |
必要 Microsoft Entra 租戶 ID。 |
Api Root |
必要 與整合功能搭配使用的 API 根網址。 預設值為 |
OAUTH2 Login Endpoint Url |
必要 用於 OAuth 2.0 驗證的端點網址。 |
Azure Resource Group |
必要 Microsoft Sentinel 所在的 Azure 資源群組名稱。 |
Azure Sentinel Workspace Name |
必要 要使用的 Microsoft Sentinel 工作區名稱。 |
Client ID |
必要 用於這項整合的 Microsoft Entra 應用程式 (用戶端) ID。 |
Client Secret |
必要 Microsoft Entra 用戶端密鑰值。 |
Script Timeout (Seconds) |
必要 執行目前指令碼的 Python 程序逾時限制。 預設值為 480 秒。 |
Verify SSL |
選用 如果選取這個選項,整合服務會驗證連線至 Microsoft 伺服器的 SSL 憑證是否有效。 (此為預設選項)。 |
Max Hours Backwards |
必要
第一個連接器疊代前的小時數,用來擷取事件。首次啟用連接器後,這個參數只會套用至初始連接器疊代。 預設值為 24 小時。 |
Incident Statuses to Fetch |
必要
要擷取的事件狀態。這個參數接受以逗號分隔的多個值。 預設值為 |
Incident Severities to Fetch |
必要
要擷取的事件嚴重程度。這個參數接受以逗號分隔的多個值。 預設值為 |
Max Incidents per Cycle |
必要
在一次連接器執行期間,要從待處理事項中擷取的事件數量。 預設值為 10。 |
Use the same approach with event creation for all alert types?
|
選用 如果選取這個選項,連接器會對所有快訊類型採用相同方法。 如未選取,連接器會對 Microsoft Sentinel 排定警報類型採用不同做法,並嘗試執行警報詳細資料中指定的查詢,擷取導致警報的事件。 預設為未選取。 |
Incidents Tags To Ingest |
選填
以半形逗號分隔的事件標記清單,用於擷取資料。如果事件沒有這個清單中的標記,連接器就會忽略該事件。 |
Use whitelist as a blacklist |
必要
如果選取,動態清單會做為封鎖清單使用。 預設為未選取。 |
Backlog Expiration Timer |
必要
連接器將事件保留在待處理事項中的時間 (以分鐘為單位)。 預設值為 60 分鐘。 |
StartTimeFallback |
必要
以半形逗號分隔的事件或快訊屬性清單,做為 如果找不到任何備援欄位,連接器會使用 預設值為 |
EndTimeFallback |
必要
以半形逗號分隔的事件或快訊屬性清單,可做為 如果找不到任何備援欄位,連接器會使用 預設值為 |
Enable Fallback Logic Debug? |
選填
如果選取這個選項,連接器會將包含備用值的偵錯欄位新增至建立的活動。 預設為未選取。 |
VendorFieldFallback |
必要
以逗號分隔的事件屬性清單,做為 預設值為 |
ProductFieldFallback |
必要
以半形逗號分隔的事件屬性清單,做為 預設值為 |
EventFieldFallback |
必要
以逗號分隔的事件屬性清單,做為 預設值為 |
Max Backlog Incidents per cycle |
必要
在一次連接器執行中,從待處理事項擷取的事件數量。 預設值為 10。 |
Disable Overflow |
選用 如果選取此選項,連接器會停用事件溢位。 預設為未選取。 |
Total Number of Scheduled Alerts Events Limit to Ingest |
選填
單一 Microsoft Sentinel 排定警示或 NRT 警示可擷取的事件數量上限。 預設值為 100。 |
Create Chronicle SOAR Alerts for Sentinel incidents that do not
have entities? |
選填
如果選取這個選項,連接器會根據沒有實體的 Microsoft Sentinel 事件建立 Google SecOps 快訊。否則,連接器只會為排定時間和近乎即時的警報建立 Google SecOps 警報,並略過所有其他 Microsoft Sentinel 事件類型。 預設為未選取。 |
Incident's Alerts Limit to Ingest |
選填
每個 Microsoft Sentinel 事件可擷取的快訊數量上限。 |
Incidents Padding Period (minutes) |
選填
連接器擷取事件並傳回事件的時間範圍 (以分鐘為單位)。連接器不會依時間順序傳回事件。 |
Alert Name Template |
選填
如果指定此值,連接器會使用 Microsoft Sentinel API 回應中傳回的事件資料,做為 Google SecOps SOAR 快訊名稱。 您可以提供下列格式的預留位置:
這個欄位的長度上限為 256 個字元。 如果未提供任何值,或提供的範本無效,連接器會使用預設的快訊名稱。 |
Rule Generator Template |
選填
如果指定此值,連接器會使用 Microsoft Sentinel API 回應中傳回的事件資料,為 Google SecOps SOAR 規則產生器提供此值。 您可以提供下列格式的預留位置:
這個欄位的長度上限為 256 個字元。 如未提供值或提供無效範本,連接器會使用預設規則產生器值。 |
How many hours to track ingested incident for updates |
必要
連接器追蹤已擷取的 Sentinel 事件,以取得更新資訊 (例如新增事件或實體,或是事件詳細資料) 的時間範圍。 預設值為 24 小時。 |
Wait For Scheduled/NRT Alert Object |
選填
如果啟用這項功能,連接器會等待排定/NRT 警報物件可用。 |
Proxy Server Address |
選填
要使用的 Proxy 伺服器位址。 |
Proxy Server Username |
選填
用於驗證的 Proxy 使用者名稱。 |
Proxy Server Password |
選填
用於驗證的 Proxy 密碼。 |
連接器規則
Microsoft Sentinel 事件追蹤連接器支援封鎖清單和動態清單。
工作
Microsoft Sentinel 整合功能支援「Microsoft Sentinel - Sync Incidents」工作。
Microsoft Sentinel - Sync Incidents
使用「Microsoft Sentinel - Sync Incidents」工作,將 Google SecOps 快訊與 Microsoft Sentinel 事件同步處理。確保兩個系統的留言、狀態和標記保持同步。
如要讓工作識別正確資訊,Google SecOps 案件必須有 Microsoft Sentinel Incident 標記。如果警報並非來自 Microsoft Azure Sentinel Incident Connector v2,您必須在案件中新增 Incident_ID 內容值,工作才能找到正確資訊。
工作行為
這項工作主要分為兩部分: 1. 這項工作會將 Microsoft Sentinel 的快訊狀態、註解和標記同步至 Google SecOps。1. 這項工作會將 Google SecOps 的任何更新同步回 Microsoft Sentinel。
這項工作會在每次疊代時處理的案件數量上限,確保效能穩定。這項功能會根據案件的上次修改時間,確保不會遺漏任何更新。
在任一系統中關閉快訊時,工作會同步處理關閉作業。 狀態對應如下:
Malicious會對應至 Microsoft Sentinel 狀態Closed,並提供True Positive原因。Not Malicious會對應至 Microsoft Sentinel 狀態Closed,並提供False Positive原因。- 其他結案值會對應至 Microsoft Sentinel 的
Closed狀態,並提供Unknown原因。
註解會雙向同步。為避免同步迴圈,這項工作會為每則留言加上前置字串。
標記也會同步處理,並加上相同前置字元,以區分來源。
API 速率限制的重要注意事項
這項工作會運用 Microsoft Graph API 管理事件,頻率限制為每分鐘 20 個要求。為降低達到這項限制的風險,並避免影響整合的其他元件,強烈建議您為這項工作設定專屬的 Microsoft Entra ID 應用程式。
唯一需要的權限是 SecurityIncident.ReadWrite.All。
工作參數
「Microsoft Sentinel - Sync Incidents」作業需要下列參數:
| 參數 | 說明 |
|---|---|
Environment Name |
必填。 要從哪個環境同步事件。 預設值為 |
Azure Active Directory ID |
必填。 您在 Azure 中的專屬目錄 ID。也稱為租戶 ID。 |
OAUTH2 Login Endpoint Url |
必填。 OAuth 2.0 端點的網址,工作會在此要求驗證權杖。 預設值為 |
API Root |
必填。 Graph API 的基本網址。這項工作會將特定 API 呼叫附加至這個根網址,以擷取資料。 預設值為 |
Client ID |
必填。 在 Azure Active Directory 中註冊的應用程式專屬 ID。 這個 ID 可用來驗證應用程式,並授予應用程式 Microsoft Sentinel 的存取權。 |
Client Secret |
必填。 與 |
Max Hours Backwards |
必填。 要同步處理事件的過去時數。 預設值為 |
Verify SSL |
必填/選填。 如果選取此選項,整合服務會在連線至 Microsoft Sentinel 伺服器時驗證 SSL 憑證。 (預設為啟用)。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。