Esta página se ha traducido con Cloud Translation API.

Microsoft Defender ATP

Versión de integración: 23.0

Casos prácticos

Usa los datos recogidos en Microsoft Defender para endpoints para enriquecer la información mientras investigas un caso concreto.

Los analistas pueden usar los datos recogidos y almacenados en Microsoft Defender for Endpoint en investigaciones. Por ejemplo, pueden obtener información sobre las alertas detectadas en Microsoft Defender for Endpoint o enumerar las máquinas registradas en Microsoft Defender for Endpoint.
Realizar acciones de respuesta activa en posibles incidentes de seguridad, como aislar un host específico de una red o ejecutar un análisis antivirus.
Monitoriza e inspecciona las alertas de Microsoft Defender for Endpoint como alertas de Google Security Operations obtenidas por el conector correspondiente.

Requisitos previos

Antes de configurar la integración en la plataforma Google SecOps, completa los siguientes pasos:

Crea la aplicación de Microsoft Entra.
Configura los permisos de la API de tu aplicación.
Crea un secreto de cliente.

Te recomendamos que uses el contexto de la aplicación en lugar del contexto del usuario al acceder a la API de Microsoft Defender for Endpoint.

Crear una aplicación de Microsoft Entra

Inicia sesión en el portal de Azure como administrador de usuarios o administrador de contraseñas.
Selecciona ID de Microsoft Entra.
Ve a Registros de aplicaciones > Nuevo registro.
Introduce el nombre de la aplicación.
Haz clic en Registrarse.

Nota: En este documento se usa una configuración de un solo arrendatario como ejemplo. No se necesita una URL de redirección para el flujo de OAuth (credenciales de cliente) que admite la integración.
Guarda los valores de ID de aplicación (cliente) y ID de directorio (inquilino) para usarlos más adelante al configurar los parámetros de integración.

Configurar permisos de API

Ve a Permisos de API > Añadir un permiso > APIs my organization uses. Se abrirá el cuadro de diálogo Solicitar permisos de API.
En el campo Buscar, introduce WindowsDefenderATP.
Selecciona WindowsDefenderATP > Permisos de aplicación.
En el tipo de permiso Alerta, selecciona el siguiente permiso:
- Alert.Read.All
Haz clic en Añadir permisos.
En la página Permisos de API, haz clic en Añadir un permiso.
Selecciona Microsoft Graph > Permisos delegados.
En la sección Seleccionar permisos, seleccione el siguiente permiso obligatorio:
- User.Read
Haz clic en Añadir permisos.
En la página Permisos de API, haz clic en Añadir un permiso.
Selecciona WindowsDefenderATP > Permisos de aplicación.
En la sección Seleccionar permisos, seleccione los siguientes permisos obligatorios:
- AdvancedQuery.Read.All
- Alert.Read.All
- Alert.ReadWrite.All
- Event.Write
- File.Read.All
- Ip.Read.All
- Machine.Isolate
- Machine.Read.All
- Machine.ReadWrite.All
- Machine.Scan
- Machine.StopAndQuarantine
- Ti.ReadWrite
- Url.Read.All
- User.Read.All
Haz clic en Conceder consentimiento de administrador para ORGANIZATION_NAME.

Cuando aparezca el cuadro de diálogo Confirmación de concesión de consentimiento de administrador, haz clic en Sí.

A continuación, se muestra un ejemplo de solicitud de API para obtener las alertas de Defender ATP (ten en cuenta el parámetro $expand, que se usa para obtener datos sobre direcciones IP, dominios y archivos):

GET /api/alerts?$expand=files,ips,domains HTTP/1.1
Host: api.securitycenter.windows.com
Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJ...
User-Agent: PostmanRuntime/7.19.0
Accept: */ *
Cache-Control: no-cache
Postman-Token: 2dc0f885-068a-45d4-81a6-2da0d23a58ad,d3dd0e6e-83ab-4d27-94d2-0f3889dff324
Host: api.securitycenter.windows.com
Accept-Encoding: gzip, deflate
Connection: keep-alive
cache-control: no-cache

Para obtener más información sobre los parámetros y las opciones de solicitud, como filter o expand, consulta APIs de Microsoft Defender for Endpoint compatibles en la documentación de Microsoft.

Crear secreto de cliente

Ve a Certificados y secretos > Nuevo secreto de cliente.
Proporciona una descripción del secreto de cliente y define su fecha de vencimiento.
Haz clic en Añadir.
Guarda el valor del secreto de cliente (no el ID del secreto) para usarlo como valor del parámetro Client Secret al configurar la integración. El valor del secreto de cliente solo se muestra una vez.

Habilitar la integración de SIEM (obsoleto)

En el panel de navegación, selecciona Configuración > SIEM.

Nota: Si se produce un error al intentar habilitar la aplicación del conector SIEM, comprueba la configuración de bloqueo de tu navegador. Puede que esté bloqueando la apertura de la nueva ventana cuando habilites la función.
Selecciona Habilitar integración de SIEM.

De esta forma, se activa la sección de detalles de acceso del conector SIEM con valores predefinidos y se crea una aplicación en tu cliente de Azure AD.

Elige el tipo de SIEM como API genérica.
Copia los valores individuales o selecciona Guardar detalles en un archivo para descargar un archivo que contenga todos los valores.
Necesitarás los valores que se muestran en esta página para generar un token con el que acceder a los datos de detecciones: ID de cliente, Secreto de cliente y Recurso.

Integrar Microsoft Defender ATP con Google SecOps

Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.

Parámetros de integración

Para configurar la integración, usa los siguientes parámetros:

Parámetros
`Client ID`	Obligatorio ID de cliente (aplicación) de la aplicación de Microsoft Entra que se va a usar para la integración.
`Client Secret`	Obligatorio Valor del secreto de cliente de la aplicación Microsoft Entra que se va a usar en la integración.
`Azure Active Directory ID`	Obligatorio Valor de ID de Microsoft Entra (ID de cliente).
`Verify SSL`	Optional Si se selecciona, verifica que el certificado SSL de la conexión al servidor de Microsoft 365 Defender sea válido. Esta opción está seleccionada de forma predeterminada.
`API Root`	Obligatorio URL raíz de la API que se va a usar con la integración. Para mejorar el rendimiento, puedes usar un servidor que esté lo más cerca posible de tu ubicación: api-us.securitycenter.windows.com api-eu.securitycenter.windows.com api-uk.securitycenter.windows.com El valor predeterminado es `https://api.securitycenter.windows.com`.

Acciones

Ping

Prueba la conectividad a la instancia de Microsoft Defender for Endpoint con los parámetros proporcionados en la página de configuración de la integración.

Parámetros

N/A

Casos prácticos

La acción se usa para probar la conectividad y se puede ejecutar como acción manual, que no forma parte de las guías.

Fecha de ejecución

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Resultado de la secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success:False

Enriquecer entidades

Enriquece las entidades de host, dirección IP o hash de archivo de Google SecOps en función de la información de Microsoft Defender for Endpoint.

Parámetros

N/A

Casos prácticos

Esta acción se puede usar en los cuadernos de estrategias que investigan la actividad en los dispositivos. Si el dispositivo tiene instalado el agente de Microsoft Defender for Endpoint, la acción extrae información de Defender ATP en un dispositivo para enriquecer las entidades de Google SecOps. La acción también se puede usar para enriquecer los hashes de archivos de alertas con la información de Defender ATP.

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

Host
Dirección IP
Filehash

Resultados de la acción

Resultado de la secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success:False

Resultado de JSON

Si el enriquecimiento funciona con la dirección IP o el host:

[
    {
        "EntityResult": {
            "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Machines/$entity",
            "id": "example_id",
            "computerDnsName": "example-name",
            "firstSeen": "2019-11-18T11:13:04.0588699Z",
            "lastSeen": "2019-11-24T18:31:50.581058Z",
            "osPlatform": "Windows10",
            "osVersion": null,
            "osProcessor": "x64",
            "version": "1803",
            "lastIpAddress": "192.0.2.138",
            "lastExternalIpAddress": "203.0.113.28",
            "agentVersion": "10.4860.17134.982",
            "osBuild": 17134,
            "healthStatus": "Active",
            "rbacGroupId": 0,
            "rbacGroupName": null,
            "riskScore": "High",
            "exposureLevel": "Medium",
            "aadDeviceId": null,
            "machineTags": []
        }
    }
]

Si el enriquecimiento funciona en Filehash:

[
    {
        "EntityResult": {
            "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Files/$entity",
            "sha1": "bdd0d38e113a0c7dd6213cf2e89e6cc6d66b5cdb",
            "sha256": "328954033456d5c13e58fb5bcc6c0232f9f62cb6d9185afa51c7913338992491",
            "md5": "9512e1cc66a1d36feb0a290cab09087b",
            "globalPrevalence": 5205000,
            "globalFirstObserved": "2018-06-22T12:59:21.6460311Z",
            "globalLastObserved": "2019-11-21T00:24:01.921338Z",
            "size": 245760,
            "fileType": "APP",
            "isPeFile": true,
            "filePublisher": "Microsoft Corporation",
            "fileProductName": "Microsoft Windows Operating System",
            "signer": "Microsoft Windows",
            "issuer": "Microsoft Windows Production PCA 2011",
            "signerHash": "419e77aed546a1a6cf4dc23c1f977542fe289cf7",
            "isValidCertificate": true
            },
        "EntityResult": {
            "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#microsoft.windowsDefenderATP.api.InOrgFileStats",
            "sha1": "bdd0d38e113a0c7dd6213cf2e89e6cc6d66b5cdb",
            "orgPrevalence": "1",
            "orgFirstSeen": "2019-11-19T03:54:15Z",
            "orgLastSeen": "2019-11-19T04:21:18Z",
            "globalPrevalence": "5205000",
            "globalFirstObserved": "2018-06-22T12:59:21.6460311Z",
            "globalLastObserved": "2019-11-21T00:24:01.921338Z",
            "topFileNames": ["notepad.exe"]
        }
    }
]

Enriquecimiento de entidades

IP y host

Nombre del campo de enriquecimiento	Lógica: cuándo aplicar
Defender_ATP.sha1	Devuelve si existe en el resultado JSON.
Defender_ATP.sha256	Devuelve si existe en el resultado JSON.
Defender_ATP.md5	Devuelve si existe en el resultado JSON.
Defender_ATP.globalPrevalence	Devuelve si existe en el resultado JSON.
Defender_ATP.globalFirstObserved	Devuelve si existe en el resultado JSON.
Defender_ATP.globalLastObserved	Devuelve si existe en el resultado JSON.
Defender_ATP.size	Devuelve si existe en el resultado JSON.
Defender_ATP.fileType	Devuelve si existe en el resultado JSON.
Defender_ATP.isPeFile	Devuelve si existe en el resultado JSON.
Defender_ATP.filePublisher	Devuelve si existe en el resultado JSON.
Defender_ATP.fileProductName	Devuelve si existe en el resultado JSON.
Defender_ATP.signer	Devuelve si existe en el resultado JSON.
Defender_ATP.issuer	Devuelve si existe en el resultado JSON.
Defender_ATP.signerHash	Devuelve si existe en el resultado JSON.
Defender_ATP.isValidCertificate	Devuelve si existe en el resultado JSON.
Defender_ATP.orgPrevalence	Devuelve si existe en el resultado JSON.
Defender_ATP.orgFirstSeen	Devuelve si existe en el resultado JSON.
Defender_ATP.orgLastSeen	Devuelve si existe en el resultado JSON.
Defender_ATP.topFileNames	Devuelve si existe en el resultado JSON.

Hash de archivo

Nombre del campo de enriquecimiento	Lógica: cuándo aplicar
Defender_ATP.sha1	Devuelve si existe en el resultado JSON.
Defender_ATP.sha256	Devuelve si existe en el resultado JSON.
Defender_ATP.md5	Devuelve si existe en el resultado JSON.
Defender_ATP.globalPrevalence	Devuelve si existe en el resultado JSON.
Defender_ATP.globalFirstObserved	Devuelve si existe en el resultado JSON.
Defender_ATP.globalLastObserved	Devuelve si existe en el resultado JSON.
Defender_ATP.size	Devuelve si existe en el resultado JSON.
Defender_ATP.fileType	Devuelve si existe en el resultado JSON.
Defender_ATP.isPeFile	Devuelve si existe en el resultado JSON.
Defender_ATP.filePublisher	Devuelve si existe en el resultado JSON.
Defender_ATP.fileProductName	Devuelve si existe en el resultado JSON.
Defender_ATP.signer	Devuelve si existe en el resultado JSON.
Defender_ATP.issuer	Devuelve si existe en el resultado JSON.
Defender_ATP.signerHash	Devuelve si existe en el resultado JSON.
Defender_ATP.isValidCertificate	Devuelve si existe en el resultado JSON.
Defender_ATP.orgPrevalence	Devuelve si existe en el resultado JSON.
Defender_ATP.orgFirstSeen	Devuelve si existe en el resultado JSON.
Defender_ATP.orgLastSeen	Devuelve si existe en el resultado JSON.
Defender_ATP.topFileNames	Devuelve si existe en el resultado JSON.

Mostrar alertas

Lista las alertas de Microsoft Defender for Endpoint en función de los criterios de búsqueda proporcionados. La acción devuelve información sobre las alertas encontradas en una tabla y en un formato de vista JSON como salida de la acción, junto con los datos de alerta sin procesar que se almacenan y se adjuntan al archivo JSON de salida de la acción.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Periodo	Entero	3	No	Especifica un periodo en horas para obtener las alertas.
Estado	Cadena	Unknown, New, InProgress, Resolved	No	Especifica los estados de las alertas que quieras buscar. El parámetro acepta varios valores como una cadena separada por comas.
Gravedad	Cadena	N/A	No	Especifica la gravedad de los incidentes que quieres buscar. Si no se proporciona, la acción busca todas las gravedades. El parámetro acepta varios valores como una cadena separada por comas. Valores posibles: UnSpecified, Informational, Low, Medium y High
Categoría	Cadena	N/A	No	Especifica la categoría de alerta que quieres buscar. Si no se proporciona, la acción buscará todas las categorías. El parámetro acepta varios valores como una cadena separada por comas. Valores posibles: "Collection", "CommandAndControl", "CredentialAccess", "DefenseEvasion", "Discovery", "Execution", "Exfiltration", "Exploit", "InitialAccess", "LateralMovement", "Malware", "Persistence", "PrivilegeEscalation", "Ransomware", "SuspiciousActivity", "UnwantedSoftware".
ID del incidente	Entero	N/A	No	Especifica el ID de incidente de Microsoft Defender del que quieras buscar alertas relacionadas.

Casos prácticos

La acción se puede usar para revisar las advertencias de Defender ATP en el servidor de Google SecOps de un usuario final. Por ejemplo, cuando se trata de la advertencia que procede del conector de Defender ATP, el usuario configura la acción "List Warnings" (Listar advertencias) para aceptar el parámetro de entrada IncidentId de la alerta procesada y extraer los detalles del servidor de Defender ATP. Hay otras advertencias que forman parte de un único incidente de Defender ATP.

Fecha de ejecución

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Resultado de la secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success:False

Resultado de JSON

{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Alerts",
    "value": [
        {
            "id": "example_id",
            "incidentId": 2,
            "investigationId": null,
            "assignedTo": null,
            "severity": "Medium",
            "status": "New",
            "classification": null,
            "determination": null,
            "investigationState": "UnsupportedAlertType",
            "detectionSource": "WindowsDefenderAtp",
            "category": "Execution",
            "threatFamilyName": null,
            "title": "Unexpected behavior observed by a process run with no command line arguments",
            "description": "The legitimate process by this name does not normally exhibit this behavior when run with no command line arguments. \nSuch unexpected behavior may be a result of extraneous code injected into a legitimate process, or a malicious executable masquerading as the legitimate one by name.",
            "alertCreationTime": "2019-11-19T03:56:35.3007009Z",
            "firstEventTime": "2019-11-19T03:54:16.0441057Z",
            "lastEventTime": "2019-11-19T03:54:16.0441057Z",
            "lastUpdateTime": "2019-11-19T03:56:38.45Z",
            "resolvedTime": null,
            "machineId": "machine-id",
            "alertUser": null,
            "comments": [],
            "alertFiles": [],
            "alertDomains": [],
            "alertIps": [],
            "alertProcesses": []
            }
    ]
}

Actualizar alerta

Actualiza una alerta específica de Microsoft Defender for Endpoint. La acción se puede usar para cerrar una alerta en Microsoft Defender for Endpoint.

Parámetros

Parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
ID de alerta	Cadena	N/A	Sí	Especifica el ID de alerta de Microsoft Defender for Endpoint que quieres actualizar.
Estado	DDL	Nuevo Valores posibles: Nuevo InProgress Resuelto	No	Especifica el estado de la alerta que se va a actualizar.
Asignado a	Cadena	N/A	No	Especifica la información del usuario si quieres actualizar este campo.
Clasificación	DDL	Desconocido Valores posibles: Desconocido FalsePositive TruePositive	No	Especifica la clasificación con la que quieres actualizar la alerta.
Determinación	DDL	NotAvailable Valores posibles: NotAvailable Apt Malware SecurityPersonnel SecurityTesting UnwantedSoftware Otro	No	Especifica la determinación con la que se va a actualizar la alerta.

Casos prácticos

Usa la acción para actualizar una advertencia de Defender ATP.
Usa la acción para intervenir en un flujo de trabajo que implique el análisis de advertencias de Defender ATP.

Una vez que se haya procesado la alerta en Google SecOps, puedes ignorar la alerta de Defender ATP para que las listas de alertas de Defender ATP y Google SecOps estén sincronizadas. También puedes cambiar la alerta para que muestre el progreso del análisis de la alerta (por ejemplo, define el atributo assignedTo o el estado de la alerta como inProgress).

Fecha de ejecución

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Resultado de la secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success:False

Resultado de JSON

{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Alerts/$entity",
    "id": "example-id",
    "incidentId": 1,
    "investigationId": null,
    "assignedTo": null,
    "severity": "Informational",
    "status": "Resolved",
    "classification": null,
    "determination": null,
    "investigationState": "UnsupportedAlertType",
    "detectionSource": "WindowsDefenderAtp",
    "category": "Execution",
    "threatFamilyName": null,
    "title": "[Test Alert] Suspicious Powershell commandline",
    "description": "*** This is a test alert ***\nA suspicious Powershell commandline was found on the machine. This commandline might be used during installation, exploration, or in some cases with lateral movement activities which are used by attackers to invoke modules, download external payloads, and get more information about the system. Attackers usually use Powershell to bypass security protection mechanisms by executing their payload in memory without touching the disk and leaving any trace.",
    "alertCreationTime": "2019-11-18T11:17:48.287421Z",
    "firstEventTime": "2019-11-18T11:15:06.5226815Z",
    "lastEventTime": "2019-11-18T11:15:06.5226815Z",
    "lastUpdateTime": "2019-11-20T04:12:03.6066667Z",
    "resolvedTime": "2019-11-20T04:12:03.4976288Z",
    "machineId": "machine-id",
    "alertUser": {
        "accountName": "Administrator",
        "domainName": "example-domain"
    },
    "comments": [],
    "alertFiles": [
        {
            "sha1": "3ce71813199abae99348f61f0caa34e2574f831c",
            "sha256": "9a7c58bd98d70631aa1473f7b57b426db367d72429a5455b433a05ee251f3236",
            "filePath": "C:\\Windows\\System32\\cmd.exe",
            "fileName": "cmd.exe"
        },
        {
            "sha1": "1b3b40fbc889fd4c645cc12c85d0805ac36ba254",
            "sha256": "d3f8fade829d2b7bd596c4504a6dae5c034e789b6a3defbe013bda7d14466677",
            "filePath": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
            "fileName": "powershell.exe"
        }
    ],
    "alertDomains": [],
    "alertIps": [],
    "alertProcesses": []
}

Mostrar máquinas

Obtiene información sobre las máquinas registradas en el servidor de Microsoft Defender for Endpoint en función de los parámetros proporcionados para la búsqueda.

Parámetros

Parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Periodo de última conexión	Entero	N/A	No	Especifica el periodo de tiempo de la última vez que se vio el elemento que quieres buscar en horas.
Nombre de equipo	Cadena	N/A	No	Especifica el nombre completo del equipo que quieres buscar.
Dirección IP del equipo	Cadena	N/A	No	Especifica la dirección IP de la máquina que quieres buscar.
Puntuación de riesgo de la máquina	Cadena	Ninguna, Baja, Media, Alta	No	Especifica la puntuación de riesgo de la máquina que quieres buscar. El parámetro acepta varios valores como una cadena separada por comas.
Estado de la máquina	Cadena	Activo, Inactivo, Comunicación deteriorada, Sin datos de sensores, SinDatosDeSensoresComunicaciónDeteriorada	No	Especifica el estado de salud de la máquina que quieres buscar. El parámetro acepta varios valores como una cadena separada por comas.
Plataforma del SO de la máquina	Cadena	N/A	No	Especifica la plataforma del SO de la máquina que quieres buscar.
ID de grupo de control de acceso basado en roles	Cadena	N/A	No	Especifica el ID del grupo de control de acceso basado en roles que quieras buscar.

Casos prácticos

La acción se puede usar con fines de investigación para obtener información sobre los dispositivos registrados en el servidor de Defender ATP. Esta acción se usa principalmente como acción manual para que el usuario no tenga que volver a la consola de Defender ATP y buscar en qué máquinas está trabajando el agente de Defender ATP.

Fecha de ejecución

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Resultado de la secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success:False

Resultado de JSON

{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Machines",
    "value": [
        {
            "id": "example-id",
            "computerDnsName": "example-name",
            "firstSeen": "2019-11-18T11:13:04.0588699Z",
            "lastSeen": "2019-11-20T09:59:28.0646303Z",
            "osPlatform": "Windows10",
            "osVersion": null,
            "osProcessor": "x64",
            "version": "1803",
            "lastIpAddress": "192.0.2.138",
            "lastExternalIpAddress": "203.0.113.35",
            "agentVersion": "10.4860.17134.982",
            "osBuild": 17134,
            "healthStatus": "Active",
            "rbacGroupId": 0,
            "rbacGroupName": null,
            "riskScore": "High",
            "exposureLevel": "Medium",
            "aadDeviceId": null,
            "machineTags": []
        },{
            "id": "example-id",
            "computerDnsName": "example-name",
            "firstSeen": "2019-11-20T08:36:16.2721384Z",
            "lastSeen": "2019-11-20T08:36:52.7182837Z",
            "osPlatform": "Windows10",
            "osVersion": null,
            "osProcessor": "x64",
            "version": "1803",
            "lastIpAddress": "192.0.2.141",
            "lastExternalIpAddress": "203.0.113.35",
            "agentVersion": "10.4850.17134.191",
            "osBuild": 17134,
            "healthStatus": "Active",
            "rbacGroupId": 0,
            "rbacGroupName": null,
            "riskScore": "None",
            "exposureLevel": "Medium",
            "aadDeviceId": null,
            "machineTags": []
        }
    ]
}

Get Machine Log on Users

Obtiene información sobre el inicio de sesión de un usuario en un equipo específico.

Parámetros

N/A

Casos prácticos

La acción se puede usar con fines de investigación para obtener detalles específicos sobre los usuarios que inician sesión en un equipo en cuestión desde el servidor de Defender ATP.

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

Host
Dirección IP

Resultados de la acción

Resultado de la secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success:False

Resultado de JSON

{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Users",
    "value": [
        {
            "id": "example\\example.user",
            "accountName": "example.user",
            "accountDomain": "example",
            "accountSid": null,
            "firstSeen": "2019-11-19T03:50:36Z",
            "lastSeen": "2019-11-19T03:50:36Z",
            "mostPrevalentMachineId": null,
            "leastPrevalentMachineId": null,
            "logonTypes": "Interactive",
            "logOnMachinesCount": 1,
            "isDomainAdmin": false,
            "isOnlyNetworkUser": null
        }
    ]
}

Recibir alertas relacionadas con la máquina

Recibir alertas relacionadas con máquinas específicas registradas en Defender ATP.

Parámetros

Parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Estado	Cadena	Unknown, New, InProgress, Resolved	No	Especifica los estados de las alertas que quieras buscar. El parámetro acepta varios valores como una cadena separada por comas.
Gravedad	Cadena	Sin especificar, Informativa, Baja, Media, Alta	No	Especifica la gravedad de los incidentes que quieres buscar. El parámetro acepta varios valores como una cadena separada por comas.
Categoría	Cadena	N/A	No	Especifica la categoría de alerta que quieres buscar. Si no se proporciona, la acción busca todas las categorías. El parámetro acepta varios valores como una cadena separada por comas. Valores posibles: "Collection", "CommandAndControl", "CredentialAccess", "DefenseEvasion", "Discovery", "Execution", "Exfiltration", "Exploit", "InitialAccess", "LateralMovement", "Malware", "Persistence", "PrivilegeEscalation", "Ransomware", "SuspiciousActivity" y "UnwantedSoftware".
ID del incidente	Entero	N/A	No	Especifica el ID de incidente de Microsoft Defender del que quieras buscar alertas relacionadas.

Casos prácticos

Esta acción se puede usar con fines de investigación para recibir alertas relacionadas con un equipo específico del servidor de Defender ATP.

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

Host
Dirección IP

Resultados de la acción

Resultado de la secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success:False

Resultado de JSON

{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Alerts",
    "value": [
        {
            "id": "example-id",
            "incidentId": 1,
            "investigationId": null,
            "assignedTo": "testuser@example.com",
            "severity": "Informational",
            "status": "Resolved",
            "classification": "FalsePositive",
            "determination": "SecurityTesting",
            "investigationState": "UnsupportedAlertType",
            "detectionSource": "WindowsDefenderAtp",
            "category": "Execution",
            "threatFamilyName": null,
            "title": "[Test Alert] Suspicious Powershell commandline",
            "description": "*** This is a test alert ***\nA suspicious Powershell commandline was found on the machine. This commandline might be used during installation, exploration, or in some cases with lateral movement activities which are used by attackers to invoke modules, download external payloads, and get more information about the system. Attackers usually use Powershell to bypass security protection mechanisms by executing their payload in memory without touching the disk and leaving any trace.",
            "alertCreationTime": "2019-11-18T11:17:48.287421Z",
            "firstEventTime": "2019-11-18T11:15:06.5226815Z",
            "lastEventTime": "2019-11-18T11:15:06.5226815Z",
            "lastUpdateTime": "2019-11-20T04:12:03.91Z",
            "resolvedTime": "2019-11-20T04:12:03.4976288Z",
            "machineId": "machine-id",
            "alertUser": {
                "accountName": "Administrator",
                "domainName": "US-LT-V13007"
            },
            "comments": [],
            "alertFiles": [
                {
                    "sha1": "3ce71813199abae99348f61f0caa34e2574f831c",
                    "sha256": "9a7c58bd98d70631aa1473f7b57b426db367d72429a5455b433a05ee251f3236",
                    "filePath": "C:\\Windows\\System32\\cmd.exe",
                    "fileName": "cmd.exe"
                },
                {
                    "sha1": "1b3b40fbc889fd4c645cc12c85d0805ac36ba254",
                    "sha256": "d3f8fade829d2b7bd596c4504a6dae5c034e789b6a3defbe013bda7d14466677",
                    "filePath": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
                    "fileName": "powershell.exe"
                }
            ],
            "alertDomains": [],
            "alertIps": [],
            "alertProcesses": []
        }
    ]
}

Isolate Machine

Aísla un equipo con Microsoft Defender for Endpoint. La máquina se puede configurar con aislamiento completo o selectivo. Las aplicaciones Outlook, Skype Empresarial y Teams siguen funcionando en un equipo aislado.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Tipo de aislamiento	DDL	Completo Valores posibles: Completo Selectivo	Sí	Especifica el tipo de aislamiento.
Comentario	Cadena	N/A	Sí	Especifica un comentario sobre por qué es necesario aislar la máquina.
¿Crear una estadística?	Casilla	Marcada		Si se habilita, la acción crea una estadística de Google SecOps con información relacionada si se ejecuta correctamente.

Nombre visible del parámetro

Tipo

Valor predeterminado

Es obligatorio

Descripción

Tipo de aislamiento

DDL

Completo

Valores posibles:

Completo
Selectivo

Sí

Especifica el tipo de aislamiento.

Comentario

Cadena

N/A

Sí

Especifica un comentario sobre por qué es necesario aislar la máquina.

¿Crear una estadística?

Casilla

Marcada

Si se habilita, la acción crea una estadística de Google SecOps con información relacionada si se ejecuta correctamente.

Casos prácticos

Aísla un equipo que se considere infectado. Por ejemplo, se ha insertado una alerta del conector de Defender ATP en el servidor de Google SecOps y, durante el análisis de la alerta, se ha descubierto que el equipo relacionado con la alerta (entidad de caso) puede estar infectado y debe aislarse.

Fecha de ejecución

Esta acción se ejecuta en las siguientes acciones:

Host
Dirección IP

Resultados de la acción

Resultado de la secuencia de comandos

Es true si el endpoint de la API ha devuelto el estado 201 de cada entidad proporcionada en la que se ha ejecutado, en la respuesta JSON "status": "Pending", lo que indica que la solicitud a la API se ha ejecutado correctamente. Si falla la acción de al menos una de las entidades, el resultado final debe ser False.

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success:False

Resultado de JSON

{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#MachineActions/$entity",
    "id": "example-id",
    "type": "Isolate",
    "requestor": "requestor-id",
    "requestorComment": "Machine Isolation due to alert ...",
    "status": "Pending",
    "machineId": "machine-id",
    "creationDateTimeUtc": "2019-11-21T03:55:59.5419077Z",
    "lastUpdateDateTimeUtc": "2019-11-21T03:55:59.5419077Z",
    "cancellationRequestor": null,
    "cancellationComment": null,
    "cancellationDateTimeUtc": null,
    "errorHResult": 0,
    "scope": null,
    "relatedFileInfo": null
}

Estadísticas

Lógica de la estadística: si la máquina se ha aislado mediante el agente de Defender ATP, crea una estadística para indicarlo.
Tipo: entidad.
Entidad Título (cadena).
IdentifierMessage: "El host se ha aislado con Microsoft Defender for Endpoint".

Unisolate Machine

Desaisla una máquina que se haya aislado previamente con Microsoft Defender for Endpoint.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Comentario	Cadena	N/A	Sí	Especifica un comentario sobre por qué es necesario desaislar el equipo.
¿Crear una estadística?	Casilla	Marcada		Si se habilita, la acción crea una estadística de Google SecOps con información relacionada si se ejecuta correctamente.

Casos prácticos

Esta acción se puede usar en situaciones en las que la máquina ya se ha aislado, pero con los nuevos datos recogidos durante el procesamiento del libro de jugadas (por ejemplo, primero se aisló la máquina, después se creó un indicador de amenaza para un archivo sospechoso y se ejecutó la acción "Detener y poner en cuarentena" para eliminar este archivo de la máquina afectada), podemos considerar que es seguro eliminar el aislamiento de la máquina afectada.

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

Host
Dirección IP

Resultados de la acción

Resultado de la secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success:False

Resultado de JSON

{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#MachineActions/$entity",
    "id": "example-id",
    "type": "Unisolate",
    "requestor": "requestor-id",
    "requestorComment": "Unisolate machine due to the following remediation measures taken...",
    "status": "Pending",
    "machineId": "machine-id",
    "creationDateTimeUtc": "2019-11-21T03:59:34.7389352Z",
    "lastUpdateDateTimeUtc": "2019-11-21T03:59:34.7389352Z",
    "cancellationRequestor": null,
    "cancellationComment": null,
    "cancellationDateTimeUtc": null,
    "errorHResult": 0,
    "scope": null,
    "relatedFileInfo": null
}

Estadísticas

Tipo: entidad
Entidad Título:.
IdentifierMessage: se ha quitado el aislamiento de Microsoft Defender for Endpoint.

Ejecutar análisis antivirus

Inicia un análisis antivirus en un host con Microsoft Defender for Endpoint. Hay dos tipos de análisis de Defender ATP: completo o rápido.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Tipo de análisis antivirus	DDL	Completo Valores posibles: Completo Rápido	Sí	Especifica si quieres iniciar un análisis antivirus completo o rápido en el equipo.
Comentario	Cadena	N/A	Sí	Especifica un comentario sobre por qué es necesario ejecutar un análisis antivirus en el equipo.

Nombre visible del parámetro

Tipo

Valor predeterminado

Es obligatorio

Descripción

Tipo de análisis antivirus

DDL

Completo

Valores posibles:

Completo
Rápido

Sí

Especifica si quieres iniciar un análisis antivirus completo o rápido en el equipo.

Comentario

Cadena

N/A

Sí

Especifica un comentario sobre por qué es necesario ejecutar un análisis antivirus en el equipo.

Casos prácticos

El conector de Defender ATP ha enviado una alerta. Durante el procesamiento de la alerta, se han encontrado indicadores de vulneraciones de malware en la máquina relacionados con la entidad del caso de SecOps de Google. Por este motivo, el usuario ha decidido ejecutar un análisis antivirus en la máquina para intentar encontrar malware en el host.

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

Host
Dirección IP

Resultados de la acción

Resultado de la secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success:False

Resultado de JSON

{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#MachineActions/$entity",
    "id": "example-id",
    "type": "RunAntiVirusScan",
    "requestor": "requestor_id",
    "requestorComment": "Run antivirus scan on suspect",
    "status": "Pending",
    "machineId": "machine-id",
    "creationDateTimeUtc": "2019-11-21T11:07:06.611628Z",
    "lastUpdateDateTimeUtc": "2019-11-21T11:07:06.611628Z",
    "cancellationRequestor": null,
    "cancellationComment": null,
    "cancellationDateTimeUtc": null,
    "errorHResult": 0,
    "scope": null,
    "relatedFileInfo": null
}

Detener y poner en cuarentena un archivo en un equipo específico

Detener la ejecución de un archivo en un equipo específico y ponerlo en cuarentena con el agente de Microsoft Defender ATP. La acción funciona con entidades de Host o IP de Google SecOps.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Hash de archivo SHA1 a cuarentena	Cadena	N/A	Sí	Especifica el hash SHA-1 del archivo que quieres detener y poner en cuarentena. Nota: El hash SHA-1 debe estar en minúsculas para que la acción encuentre el archivo correspondiente.
Comentario	Cadena	N/A	Sí	Especifica un comentario sobre por qué es necesario ejecutar un análisis antivirus en el equipo.
¿Crear una estadística?	Casilla	Marcada		Si se habilita, la acción creará una estadística de Google SecOps con información relacionada si se ejecuta correctamente.

Nombre visible del parámetro

Tipo

Valor predeterminado

Es obligatorio

Descripción

Hash de archivo SHA1 a cuarentena

Cadena

N/A

Sí

Especifica el hash SHA-1 del archivo que quieres detener y poner en cuarentena.

Nota: El hash SHA-1 debe estar en minúsculas para que la acción encuentre el archivo correspondiente.

Comentario

Cadena

N/A

Sí

Especifica un comentario sobre por qué es necesario ejecutar un análisis antivirus en el equipo.

¿Crear una estadística?

Casilla

Marcada

Si se habilita, la acción creará una estadística de Google SecOps con información relacionada si se ejecuta correctamente.

Casos prácticos

Durante el procesamiento de la alerta que procede del conector de Defender ATP, se puede usar la acción "Detener y poner en cuarentena el archivo" para impedir que se ejecute el archivo específico y, de este modo, evitar que se vea comprometido el equipo. Esta acción puede ser necesaria debido a la búsqueda avanzada, y el usuario puede descubrir algunos archivos potencialmente maliciosos que quiere bloquear en un solo equipo.

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

Host
Dirección IP

Resultados de la acción

Resultado de la secuencia de comandos

Puede ser True o False. Es true si el endpoint de la API ha devuelto el estado 201 de todas las entidades proporcionadas en la respuesta JSON "status": "Pending", lo que indica que la solicitud a la API se ha ejecutado correctamente. Si falla la acción de al menos una de las entidades, el resultado final debe ser un error (False).

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success:False

Resultado de JSON

{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#MachineActions/$entity",
    "id": "example-id",
    "type": "StopAndQuarantineFile",
    "requestor": "requestor-id",
    "requestorComment": "Stopping and quarantining putty",
    "status": "Pending",
    "machineId": "machine-id",
    "creationDateTimeUtc": "2019-11-25T10:05:21.3641296Z",
    "lastUpdateDateTimeUtc": "2019-11-25T10:05:21.3641296Z",
    "cancellationRequestor": null,
    "cancellationComment": null,
    "cancellationDateTimeUtc": null,
    "errorHResult": 0,
    "scope": null,
    "relatedFileInfo": {
        "fileIdentifier": "d932604ab8e9debe475415851fd26929a0c0dcd1",
        "fileIdentifierType": "Sha1"
    }
}

Estadísticas

Tipo: entidad.
Entidad Título (cadena).
IdentifierMessage (cadena): "Se ha detenido el archivo con el hash SHA-1 {0} y se ha puesto en cuarentena el {1}". format (filehash,entity.Identifier).

Recibir alertas relacionadas con archivos

Recibe alertas relacionadas con un archivo de Microsoft Defender for Endpoint basadas en el hash del archivo.

Parámetros

Valor de visualización del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Estado	Cadena	Unknown, New, InProgress, Resolved	No	Especifica los estados de las alertas que quieras buscar. El parámetro acepta varios valores como una cadena separada por comas.
Gravedad	Cadena	Sin especificar, Informativa, Baja, Media, Alta	NO	Especifica la gravedad de los incidentes que quieres buscar. El parámetro acepta varios valores como una cadena separada por comas.
Categoría	Cadena	N/A	No	Especifica la categoría de alerta que quieres buscar. Si no se proporciona, la acción busca todas las categorías. El parámetro acepta varios valores como una cadena separada por comas. Valores posibles: "Collection", "CommandAndControl", "CredentialAccess", "DefenseEvasion", "Discovery", "Execution", "Exfiltration", "Exploit", "InitialAccess", "LateralMovement", "Malware", "Persistence", "PrivilegeEscalation", "Ransomware", "SuspiciousActivity" y "UnwantedSoftware".
ID del incidente	Entero	N/A	No	Especifica el ID de incidente de Microsoft Defender del que quieras buscar alertas relacionadas.

‌Usos

Al investigar una alerta procedente del conector de Defender ATP, esta acción se puede usar para recopilar información sobre si el archivo está asociado a alguna alerta y determinar si es malicioso o no.

Fecha de ejecución

Esta acción se ejecuta en la entidad Filehash.

Resultados de la acción

Resultado de la secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success:False

Resultado de JSON

{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Alerts",
    "value": [
        {
            "id": "example_id",
            "incidentId": 2,
            "investigationId": 1,
            "assignedTo": null,
            "severity": "Medium",
            "status": "New",
            "classification": null,
            "determination": null,
            "investigationState": "TerminatedBySystem",
            "detectionSource": "WindowsDefenderAtp",
            "category": "DefenseEvasion",
            "threatFamilyName": null,
            "title": "Suspicious process injection observed",
            "description": "A process abnormally injected code into another process, As a result, unexpected code may be running in the target process memory. Injection is often used to hide malicious code execution within a trusted process. \nAs a result, the target process may exhibit abnormal behaviors such as opening a listening port or connecting to a command and control server.",
            "alertCreationTime": "2019-11-19T03:56:37.7335862Z",
            "firstEventTime": "2019-11-19T03:54:15.7698362Z",
            "lastEventTime": "2019-11-19T03:54:15.7698362Z",
            "lastUpdateTime": "2019-11-20T10:13:31.7266667Z",
            "resolvedTime": null,
            "machineId": "machine-id",
            "alertUser": {
                "accountName": "example.user",
                "domainName": "EXAMPLELAB"
            },
            "comments": [],
            "alertFiles": [
                {
                    "sha1": "1b3b40fbc889fd4c645cc12c85d0805ac36ba254",
                    "sha256": "d3f8fade829d2b7bd596c4504a6dae5c034e789b6a3defbe013bda7d14466677",
                    "filePath": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
                    "fileName": "powershell.exe"
                },{
                    "sha1": "bdd0d38e113a0c7dd6213cf2e89e6cc6d66b5cdb",
                    "sha256": "328954033456d5c13e58fb5bcc6c0232f9f62cb6d9185afa51c7913338992491",
                    "filePath": "C:\\Windows\\System32\\notepad.exe",
                    "fileName": "notepad.exe"
                }
            ],
            "alertDomains": [],
            "alertIps": [],
            "alertProcesses": []
        }
    ]
}

Get File Related Machines

Obtiene las máquinas relacionadas con un archivo de Microsoft Defender for Endpoint en función del hash del archivo.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Nombre de equipo	Cadena	N/A	No	Especifica el nombre completo del equipo que quieres buscar.
Dirección IP del equipo	Cadena	N/A	No	Especifica la dirección IP de la máquina que quieres buscar.
Puntuación de riesgo de la máquina	Cadena	N/A	No	Especifica la puntuación de riesgo de la máquina que quieres buscar. El parámetro acepta varios valores como una cadena separada por comas.
Estado de la máquina	Cadena	Activo, Inactivo, Comunicación deteriorada, Sin datos de sensores, SinDatosDeSensoresComunicaciónDeteriorada	No	Especifica el estado de salud de la máquina que quieres buscar. El parámetro acepta varios valores como una cadena separada por comas.
Plataforma del SO de la máquina	Cadena	N/A	No	Especifica la plataforma del SO de la máquina que quieres buscar.
ID de grupo de control de acceso basado en roles	Cadena	N/A	No	Especifica el ID del grupo de control de acceso basado en roles que quieras buscar.

Casos prácticos

Al investigar una alerta procedente del conector de Defender ATP, esta acción se puede usar para recoger información sobre los equipos en los que se ha registrado este archivo en Defender ATP.

Fecha de ejecución

Esta acción se ejecuta en la entidad Filehash.

Resultados de la acción

Resultado de la secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success:False

Resultado de JSON

{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Machines",
    "value": [
        {
            "id": "example_id",
            "computerDnsName": "example-name",
            "firstSeen": "2019-11-18T11:13:04.0588699Z",
            "lastSeen": "2019-11-20T19:35:36.4619266Z",
            "osPlatform": "Windows10",
            "osVersion": null,
            "osProcessor": "x64",
            "version": "1803",
            "lastIpAddress": "192.0.2.1",
            "lastExternalIpAddress": "203.0.113.121",
            "agentVersion": "10.4860.17134.982",
            "osBuild": 17134,
            "healthStatus": "Active",
            "rbacGroupId": 0,
            "rbacGroupName": null,
            "riskScore": "High",
            "exposureLevel": "Medium",
            "aadDeviceId": null,
            "machineTags": []
        }
    ]
}

Ejecutar consulta de búsqueda avanzada

Ejecuta una consulta de búsqueda avanzada de Microsoft Defender for Endpoint. Ten en cuenta que las comillas, los saltos de línea u otros símbolos especiales deben incluirse con el carácter de escape. Por ejemplo, usa la barra invertida para incluir comillas con el carácter de escape.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Consulta	Cadena	N/A	Sí	Consulta de búsqueda avanzada que se va a ejecutar.

Casos prácticos

El usuario puede tener consultas de búsqueda que quiera usar para consultar los datos recogidos en Defender ATP durante el procesamiento de una alerta de Defender específica. Con esta acción, el usuario puede ejecutar esas consultas de búsqueda avanzada.

Fecha de ejecución

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Resultado de la secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success:False

Resultado de JSON

{
    "Stats": {
        "ExecutionTime": 0.0156652,
        "resource_usage": {
            "cache": {
                "memory": {
                    "hits": 13,
                    "misses": 0,
                    "total": 13
                },
                "disk": {
                    "hits": 0,
                    "misses": 0,
                    "total": 0
                }
            },
            "cpu": {
                "user": "00:00:00.0156250",
                "kernel": "00:00:00",
                "total cpu": "00:00:00.0156250"
            },
            "memory": {
                "peak_per_node": 33554624
            }
        },
        "dataset_statistics": [
            {
                "table_row_count": 2,
                "table_size": 60
            }
        ]
    },
    "Schema": [
        {
            "Name": "EventTime",
            "Type": "DateTime"
        },
        {
            "Name": "FileName",
            "Type": "String"
        },
        {
            "Name": "InitiatingProcessFileName",
            "Type": "String"
        }
    ],
    "Results": [
        {
            "EventTime": "2019-11-18T11:13:07.043128Z",
            "FileName": "csc.exe",
            "InitiatingProcessFileName": "powershell.exe"
        },
        {
            "EventTime": "2019-11-19T03:54:14.4256361Z",
            "FileName": "csc.exe",
            "InitiatingProcessFileName": "powershell.exe"
        }
    ]
}

Esperar el estado de la tarea

Espera el estado de una tarea.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
IDs de tareas	Cadena	N/A	Sí	Lista de IDs de tareas en forma de cadena separada por comas.

Fecha de ejecución

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Resultado de la secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success:False

Resultado de JSON

[
    {
        "status": "Succeeded",
        "creation_date_time_utc": "2020-02-08T03:24:52.8526634Z",
        "cancellation_requestor": null,
        "cancellation_date_time_utc": null,
        "id": "2e39d22e-60a7-4267-899c-a1471e800000",
        "last_update_date_time_utc": "2020-02-08T03:25:35.8345081Z",
        "related_file_info": null,
        "cancellation_comment": null,
        "requestor": "e4fc6454-754d-47f7-bbdb-045fad600000",
        "error_h_result": 0,
        "scope": "Selective",
        "machine_id": "fbc85cf3fbcc8bb14d1a84fcf7bbae4531f00000",
        "type": "Isolate",
        "requestor_comment": "test"
    }
]

Obtener el estado de la tarea actual

Obtener el estado actual de una tarea.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
IDs de tareas	Cadena	N/A	Sí	Lista de IDs de tareas en forma de cadena separada por comas.

Fecha de ejecución

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Resultado de la secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success:False

Resultado de JSON

[
    {
        "status": "Succeeded",
        "creation_date_time_utc": "2020-02-08T03:24:52.8526634Z",
        "cancellation_requestor": null,
        "cancellation_date_time_utc": null,
        "id": "2e39d22e-60a7-4267-899c-a1471e800000",
        "last_update_date_time_utc": "2020-02-08T03:25:35.8345081Z",
        "related_file_info": null,
        "cancellation_comment": null,
        "requestor": "e4fc6454-754d-47f7-bbdb-045fad600000",
        "error_h_result": 0,
        "scope": "Selective",
        "machine_id": "fbc85cf3fbcc8bb14d1a84fcf7bbae4531f00000",
        "type": "Isolate",
        "requestor_comment": "test"
    }
]

Enviar indicadores de entidad

Enviar entidades como indicadores en Microsoft Defender for Endpoint.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Acción	DDL	Bloquear Valores posibles: Bloquear Auditoría Bloquear y solucionar Permitir	Sí	Especifica la acción que se debe aplicar a las entidades. Nota: El valor "Bloquear y corregir" solo se admite en las entidades de hash de archivo.
Gravedad	DDL	Alta Valores posibles: Alta Medio Bajo Informativa	Sí	Especifica la gravedad de las entidades encontradas.
Aplicación	Cadena	N/A	No	Especifica una aplicación relacionada con las entidades.
Título de alerta del indicador	Cadena	N/A	Sí	Especifica el título de la alerta si se identifica en el entorno.
Descripción	Cadena	Google SecOps Remediation	Sí	Especifica la descripción de las entidades.
Acción recomendada	Cadena	N/A	No	Especifica las acciones recomendadas para gestionar las entidades.

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

Dirección IP
URL
Filehash

Resultados de la acción

Resultado de la secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success:False

Panel de casos

Tipo de resultado	Valor/Descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si hay datos disponibles para una entidad (is_success = true): "Se han enviado correctamente las siguientes entidades como indicadores a Microsoft Defender for Endpoint: {entity.identifier}". Si no hay datos disponibles para una entidad (is_success=true): "Action wasn't able to submit the following entities as indicators to Microsoft Defender for Endpoint: {entity.identifier}". ("No se ha podido enviar la siguiente entidad como indicador a Microsoft Defender for Endpoint: {entity.identifier}"). Si se devuelve el código de estado 403 para una entidad: "La instancia no tiene suficientes permisos para enviar las siguientes entidades: {entity.identifier} Si los datos no están disponibles para todas las entidades (is_success=false): "None of the provided entities were submitted as indicators to Microsoft Defender for Endpoint." ("Ninguna de las entidades proporcionadas se ha enviado como indicador a Microsoft Defender para Endpoint"). Si una entidad ya es un indicador: "Las siguientes entidades ya son indicadores en Microsoft Defender for Endpoint: {entity.identifier}" La acción debería fallar y detener la ejecución de una guía: Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Enviar indicadores de entidad". Motivo: {0}''.format(error.Stacktrace) Si el código de estado 403 se informa para todas las entidades: "Error al ejecutar la acción "Enviar indicadores de entidad". Motivo: no se ha creado ninguno de los indicadores debido a los permisos de la instancia. Comprueba la configuración.''.	General

Tipo de resultado

Valor/Descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si hay datos disponibles para una entidad (is_success = true): "Se han enviado correctamente las siguientes entidades como indicadores a Microsoft Defender for Endpoint: {entity.identifier}".

Si no hay datos disponibles para una entidad (is_success=true): "Action wasn't able to submit the following entities as indicators to Microsoft Defender for Endpoint: {entity.identifier}". ("No se ha podido enviar la siguiente entidad como indicador a Microsoft Defender for Endpoint: {entity.identifier}").

Si se devuelve el código de estado 403 para una entidad: "La instancia no tiene suficientes permisos para enviar las siguientes entidades: {entity.identifier}

Si los datos no están disponibles para todas las entidades (is_success=false): "None of the provided entities were submitted as indicators to Microsoft Defender for Endpoint." ("Ninguna de las entidades proporcionadas se ha enviado como indicador a Microsoft Defender para Endpoint").

Si una entidad ya es un indicador: "Las siguientes entidades ya son indicadores en Microsoft Defender for Endpoint: {entity.identifier}"

La acción debería fallar y detener la ejecución de una guía:

Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Enviar indicadores de entidad". Motivo: {0}''.format(error.Stacktrace)

Si el código de estado 403 se informa para todas las entidades: "Error al ejecutar la acción "Enviar indicadores de entidad". Motivo: no se ha creado ninguno de los indicadores debido a los permisos de la instancia. Comprueba la configuración.''.

General

Eliminar indicadores de entidad

Eliminar indicadores de entidades en Microsoft Defender for Endpoint.

Parámetros

N/A

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

Dirección IP
URL
Filehash

Resultados de la acción

Resultado de la secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success:False

Panel de casos

Tipo de resultado	Valor/Descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si se informa del código de estado 204 (is_success=true): "Se han eliminado correctamente las siguientes entidades como indicadores en Microsoft Defender para Endpoint: {entity.identifier}. Si no se encuentra el incidente (is_success=true): "Las siguientes entidades no existen como indicadores en Microsoft Defender for Endpoint: {entity.identifier}. La acción debería fallar y detener la ejecución de una guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Eliminar indicadores de entidad". Motivo: {0}''.format(error.Stacktrace)	General

Tipo de resultado

Valor/Descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si se informa del código de estado 204 (is_success=true): "Se han eliminado correctamente las siguientes entidades como indicadores en Microsoft Defender para Endpoint: {entity.identifier}.

Si no se encuentra el incidente (is_success=true): "Las siguientes entidades no existen como indicadores en Microsoft Defender for Endpoint: {entity.identifier}.

La acción debería fallar y detener la ejecución de una guía:

Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Eliminar indicadores de entidad". Motivo: {0}''.format(error.Stacktrace)

General

Mostrar indicadores

Lista de indicadores en Microsoft Defender for Endpoint.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Indicadores	CSV	N/A	No	Especifica una lista separada por comas de los indicadores que quieras obtener.
Tipos de indicadores	CSV	FileSha1,FileSha256,FileMd5,CertificateThumbprint,IpAddress,DomainName, Url	No	Especifica una lista separada por comas de los tipos de indicadores que quieras obtener. Valores posibles: FileSha1, FileSha256, FileMd5, CertificateThumbprint, IpAddress, DomainName y Url.
Acciones	CSV	Advertir,Bloquear,Auditar,Alertar,Alertar y bloquear,Bloquear y corregir,Permitir	No	Especifica una lista separada por comas de las acciones de indicador que quieras usar para filtrar. Valores posibles: Warn,Block,Audit,Alert, AlertAndBlock,BlockAndRemediate,Allowed
Gravedad	CSV	Informativa,Baja,Media,Alta	No	Especifica una lista separada por comas de las gravedades que quieras usar para filtrar. Valores posibles: Informativa,Baja,Media,Alta
Número máximo de resultados que se devolverán	Entero	50	No	Especifica el número de indicadores que se deben devolver.

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de la secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success:False

Resultado de JSON

{
    "id": "18",
    "indicatorValue": "110e7d15b011d7fac48f2bd61114db1022197f7a",
    "indicatorType": "FileSha1",
    "action": "Audit",
    "createdBy": "45e9773c-100e-4a9f-ad37-d8e182e9ed26",
    "severity": "Informational",
    "category": 1,
    "application": "demo-test",
    "educateUrl": null,
    "bypassDurationHours": null,
    "title": "test",
    "description": "test",
    "recommendedActions": "nothing",
    "creationTimeDateTimeUtc": "2022-02-08T14:20:34.9071582Z",
    "expirationTime": null,
    "lastUpdateTime": "2022-02-08T14:20:34.9151307Z",
    "lastUpdatedBy": null,
    "rbacGroupNames": [],
    "rbacGroupIds": [],
    "notificationId": null,
    "notificationBody": null,
    "version": null,
    "mitreTechniques": [],
    "historicalDetection": false,
    "lookBackPeriod": null,
    "generateAlert": true,
    "additionalInfo": null,
    "createdByDisplayName": "Example Defender ATP",
    "externalId": null,
    "createdBySource": "PublicApi",
    "certificateInfo": null
}

Panel de casos

Tipo de resultado	Valor/Descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si hay datos disponibles (is_success=true): "Se han encontrado indicadores que cumplen los criterios proporcionados en Microsoft Defender para Endpoint". Si los datos no están disponibles (is_success=false): "No se han encontrado indicadores para los criterios proporcionados en Microsoft Defender para Endpoint". La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "ListIndicators". Motivo: {0}''.format(error.Stacktrace) Si se proporciona un parámetro "Indicator types" no válido: "Error al ejecutar la acción "List Indicators". Motivo: valor no válido para el parámetro "Tipos de indicadores". Valores posibles: FileSha1, FileSha256, FileMd5, CertificateThumbprint, IpAddress, DomainName y Url. Si se proporciona un parámetro "Actions" no válido: "Error al ejecutar la acción "List Indicators". Motivo: valor no válido para el parámetro "Actions". Valores posibles: Warn, Block, Audit, Alert, AlertAndBlock, BlockAndRemediate, Allowed. Si se proporciona un parámetro "Severity" no válido: "Error al ejecutar la acción "List Indicators". Motivo: valor no válido para el parámetro "Actions". Valores posibles: Informativo, Bajo, Medio y Alto.	General
Tabla del panel de casos	Indicadores encontrados Tipo: indicatorType Acción: action Gravedad: severity Descripción: description Título: title Recomendación: recommendedActions	Entidad

Tipo de resultado

Valor/Descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si hay datos disponibles (is_success=true): "Se han encontrado indicadores que cumplen los criterios proporcionados en Microsoft Defender para Endpoint".

Si los datos no están disponibles (is_success=false): "No se han encontrado indicadores para los criterios proporcionados en Microsoft Defender para Endpoint".

La acción debería fallar y detener la ejecución de la guía:

Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "ListIndicators". Motivo: {0}''.format(error.Stacktrace)

Si se proporciona un parámetro "Indicator types" no válido: "Error al ejecutar la acción "List Indicators". Motivo: valor no válido para el parámetro "Tipos de indicadores". Valores posibles: FileSha1, FileSha256, FileMd5, CertificateThumbprint, IpAddress, DomainName y Url.

Si se proporciona un parámetro "Actions" no válido: "Error al ejecutar la acción "List Indicators". Motivo: valor no válido para el parámetro "Actions". Valores posibles: Warn, Block, Audit, Alert, AlertAndBlock, BlockAndRemediate, Allowed.

Si se proporciona un parámetro "Severity" no válido: "Error al ejecutar la acción "List Indicators". Motivo: valor no válido para el parámetro "Actions". Valores posibles: Informativo, Bajo, Medio y Alto.

General

Tabla del panel de casos

Indicadores encontrados

Tipo: indicatorType

Acción: action

Gravedad: severity Descripción: description Título: title Recomendación: recommendedActions

Entidad

Conectores

Para obtener instrucciones detalladas sobre cómo configurar un conector en Google SecOps, consulta el artículo Configurar el conector.

Para configurar el conector seleccionado, usa los parámetros específicos del conector que se indican en las siguientes tablas:

Parámetros de configuración del conector de Microsoft Defender ATP
Parámetros de configuración de Microsoft Defender ATP Connector v2

Conector de Microsoft Defender ATP

La API SIEM de Defender ATP que se usa en el conector de Microsoft Defender ATP para eventos está obsoleta desde el 1 de marzo del 2022.

El conector se conecta periódicamente al endpoint de la API de Defender ATP y obtiene una lista de alertas generadas durante un periodo específico. En el caso de las alertas procesadas, el conector envía una solicitud independiente para obtener información sobre las detecciones de Defender ATP. Las detecciones tienen un campo AlertId que se puede usar para asociar las detecciones con alertas específicas.

Parámetros del conector

Utiliza los siguientes parámetros para configurar el conector:

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Nombre del campo de producto	Cadena	ProductName	Sí	Describe el nombre del campo en el que se almacena el nombre del producto.
Nombre del campo de evento	Cadena	AlertName	Sí	Describe el nombre del campo en el que se almacena el nombre del evento.
Nombre del campo de entorno	Cadena	""	No	Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, el entorno es "".
Patrón de regex de entorno	Cadena	.*	No	Un patrón de expresión regular que se aplica al valor encontrado en el campo `Environment Field Name`. El valor predeterminado es ".*" para captar todos los valores y devolverlos sin cambios. Se usa para permitir que el usuario manipule el campo de entorno mediante la lógica de expresiones regulares. Si la estructura de expresión regular es nula o está vacía, o el valor del entorno es nulo, el resultado final del entorno será "".
Raíz de la API	Cadena	https://api.securitycenter.windows.com	Sí	URL raíz de la API que se va a usar con la integración. Para mejorar el rendimiento, puedes usar un servidor que esté lo más cerca posible de tu ubicación: api-us.securitycenter.windows.com api-eu.securitycenter.windows.com api-uk.securitycenter.windows.com
ID de Azure Active Directory	Cadena	N/A	Sí	El ID de cliente de Microsoft Entra se puede ver en Active Directory > Registro de aplicaciones > Tu aplicación > ID de directorio (cliente).
ID de cliente de integración	Cadena	N/A	Sí	ID de cliente (aplicación) que se añade para el registro de la aplicación en Microsoft Entra para la integración.
Secreto de cliente de integración	Contraseña	N/A	Sí	Secreto que se introduce para el registro de la aplicación de Azure AD para la integración.
ID de cliente de SIEM	Cadena	N/A	Sí	ID de cliente (aplicación) de la integración de SIEM habilitada en Microsoft Defender for Endpoint.
Secreto de cliente de SIEM	Contraseña	N/A	Sí	Secreto de la integración de SIEM habilitada en Microsoft Defender for Endpoint.
Diferencia horaria	Entero	24	Sí	Obtener alertas de las últimas X horas.
Número máximo de alertas por ciclo	Entero	100	Sí	Número de alertas que se procesan durante una ejecución del conector.
Estados de alerta que se van a obtener	Cadena	Unknown, New, InProgress, Resolved	Sí	Especifica los estados de las alertas de Defender ATP que debe obtener el servidor de SecOps de Google. El parámetro puede adoptar varios valores como una cadena separada por comas.
Gravedades de las alertas que se van a obtener	Cadena	Sin especificar, Informativa, Baja, Media, Alta	Sí	Especifica la gravedad de las alertas de Defender ATP que debe obtener el servidor de Google SecOps. El parámetro puede adoptar varios valores como una cadena separada por comas.
Dirección del servidor proxy	IP_OR_HOST	N/A	No	Servidor proxy que se va a usar para la conexión.
Nombre de usuario del servidor proxy	Cadena	N/A	No	Nombre de usuario del servidor proxy.
Contraseña del servidor proxy	Contraseña	N/A	No	Contraseña del servidor proxy.

Reglas de conectores

El conector no admite reglas de listas de bloqueo ni de listas dinámicas.
El conector admite proxies.