Microsoft Defender ATP
Version de l'intégration : 23.0
Cas d'utilisation
Utilisez les données collectées dans Microsoft Defender pour point de terminaison pour enrichir vos investigations sur un cas particulier.
Les analystes peuvent utiliser les données collectées et stockées dans Microsoft Defender for Endpoint lors de leurs investigations. Par exemple, ils peuvent obtenir des informations sur les alertes détectées dans Microsoft Defender for Endpoint ou lister les machines enregistrées dans Microsoft Defender for Endpoint.
Effectuez des actions de réponse active en cas d'incidents de sécurité potentiels, comme isoler un hôte spécifique d'un réseau ou exécuter une analyse antivirus.
Surveillez et inspectez les alertes Microsoft Defender for Endpoint en tant qu'alertes Google Security Operations récupérées par le connecteur correspondant.
Prérequis
Avant de configurer l'intégration dans la plate-forme Google SecOps, assurez-vous d'avoir effectué les étapes préalables suivantes :
Créez l'application Microsoft Entra.
Configurez les autorisations de l'API pour votre application.
Créez un code secret du client.
Nous vous recommandons d'utiliser le contexte d'application plutôt que le contexte utilisateur lorsque vous accédez à l'API Microsoft Defender for Endpoint.
Créer une application Microsoft Entra
Connectez-vous au portail Azure en tant qu'administrateur d'utilisateurs ou administrateur de mots de passe.
Sélectionnez Microsoft Entra ID.
Accédez à Inscriptions d'applications > Nouvelle inscription.
Saisissez le nom de l'application.
Cliquez sur S'inscrire.
Enregistrez les valeurs Application (client) ID (ID (client) de l'application) et Directory (tenant) ID (ID (de locataire) de l'annuaire) pour les utiliser ultérieurement lors de la configuration des paramètres d'intégration.
Configurer les autorisations de l'API
Accédez à Autorisations d'API> Ajouter une autorisation> API utilisées par mon organisation. La boîte de dialogue Demander des autorisations d'API s'ouvre.
Dans le champ Rechercher, saisissez
WindowsDefenderATP.Sélectionnez WindowsDefenderATP > Autorisations de l'application.
Sous le type d'autorisation Alerte, sélectionnez l'autorisation suivante :
Alert.Read.All
Cliquez sur Ajouter des autorisations.
Sur la page Autorisations des API, cliquez sur Ajouter une autorisation.
Sélectionnez Microsoft Graph> Autorisations déléguées.
Dans la section Sélectionner des autorisations, sélectionnez l'autorisation requise suivante :
User.Read
Cliquez sur Ajouter des autorisations.
Sur la page Autorisations des API, cliquez sur Ajouter une autorisation.
Sélectionnez WindowsDefenderATP > Autorisations de l'application.
Dans la section Sélectionner des autorisations, sélectionnez les autorisations requises suivantes :
AdvancedQuery.Read.AllAlert.Read.AllAlert.ReadWrite.AllEvent.WriteFile.Read.AllIp.Read.AllMachine.IsolateMachine.Read.AllMachine.ReadWrite.AllMachine.ScanMachine.StopAndQuarantineTi.ReadWriteUrl.Read.AllUser.Read.All
Cliquez sur Accorder le consentement administrateur pour
ORGANIZATION_NAME.Lorsque la boîte de dialogue Confirmation de l'accord de l'administrateur s'affiche, cliquez sur Oui.
Voici un exemple de requête API permettant d'obtenir les alertes Defender ATP (notez le paramètre $expand utilisé pour extraire les données sur les adresses IP, les domaines et les fichiers) :
GET /api/alerts?$expand=files,ips,domains HTTP/1.1
Host: api.securitycenter.windows.com
Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJ...
User-Agent: PostmanRuntime/7.19.0
Accept: */ *
Cache-Control: no-cache
Postman-Token: 2dc0f885-068a-45d4-81a6-2da0d23a58ad,d3dd0e6e-83ab-4d27-94d2-0f3889dff324
Host: api.securitycenter.windows.com
Accept-Encoding: gzip, deflate
Connection: keep-alive
cache-control: no-cache
Pour en savoir plus sur les paramètres et les options de requête (comme les filtres ou les expansions), consultez API Microsoft Defender pour Endpoint compatibles dans la documentation Microsoft.
Créer code secret du client
Accédez à Certificats et codes secrets > Nouveau code secret du client.
Indiquez une description pour un code secret du client et définissez sa date d'expiration.
Cliquez sur Ajouter.
Enregistrez la valeur du code secret du client (et non l'ID du code secret) pour l'utiliser comme valeur du paramètre
Client Secretlors de la configuration de l'intégration. La valeur du code secret du client n'est affichée qu'une seule fois.
Activer l'intégration SIEM (obsolète)
Dans le volet de navigation, sélectionnez Paramètres > SIEM.
Sélectionnez Activer l'intégration SIEM.
La section "Détails d'accès au connecteur SIEM" est alors activée avec des valeurs préremplies, et une application est créée dans votre locataire Azure AD.
- Choisissez le type de SIEM "API générique".
- Copiez les valeurs individuelles ou sélectionnez "Enregistrer les détails dans un fichier" pour télécharger un fichier contenant toutes les valeurs.
- Vous aurez besoin des valeurs présentées sur cette page pour générer un jeton permettant d'accéder aux données de détection : ID client, code secret du client et ressource.
Intégrer Microsoft Defender ATP à Google SecOps
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Paramètres d'intégration
Pour configurer l'intégration, utilisez les paramètres suivants :
| Paramètres | |
|---|---|
Client ID |
Obligatoire ID client (application) de l'application Microsoft Entra à utiliser pour l'intégration. |
Client Secret |
Obligatoire Valeur du code secret du client de l'application Microsoft Entra à utiliser pour l'intégration. |
Azure Active Directory ID |
Obligatoire Valeur Microsoft Entra ID (ID de locataire). |
Verify SSL |
Optional Si cette option est sélectionnée, elle vérifie que le certificat SSL pour la connexion au serveur Microsoft 365 Defender est valide. Cette option est sélectionnée par défaut. |
API Root |
Obligatoire URL racine de l'API à utiliser avec l'intégration. Pour améliorer les performances, vous pouvez utiliser un serveur situé à proximité de votre emplacement :
La valeur par défaut est |
Actions
Ping
Testez la connectivité à l'instance Microsoft Defender for Endpoint avec les paramètres fournis sur la page de configuration de l'intégration.
Paramètres
N/A
Cas d'utilisation
L'action permet de tester la connectivité et peut être exécutée manuellement. Elle ne fait pas partie des playbooks.
Date d'exécution
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Enrichir les entités
Enrichissez les entités Google SecOps "Hôte", "Adresse IP" ou "Hachage de fichier" en fonction des informations de Microsoft Defender pour Endpoint.
Paramètres
N/A
Cas d'utilisation
Cette action peut être utilisée dans les playbooks qui examinent l'activité sur les appareils. Si l'agent Microsoft Defender for Endpoint est installé sur l'appareil, l'action extrait les informations de Defender ATP sur un appareil pour enrichir les entités Google SecOps. L'action peut également être utilisée pour enrichir les hachages de fichiers d'alerte avec les informations de Defender ATP.
Date d'exécution
Cette action s'applique aux entités suivantes :
- Hôte
- Adresse IP
- Filehash
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
Si l'enrichissement fonctionne sur l'adresse IP ou l'hôte :
[
{
"EntityResult": {
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Machines/$entity",
"id": "example_id",
"computerDnsName": "example-name",
"firstSeen": "2019-11-18T11:13:04.0588699Z",
"lastSeen": "2019-11-24T18:31:50.581058Z",
"osPlatform": "Windows10",
"osVersion": null,
"osProcessor": "x64",
"version": "1803",
"lastIpAddress": "192.0.2.138",
"lastExternalIpAddress": "203.0.113.28",
"agentVersion": "10.4860.17134.982",
"osBuild": 17134,
"healthStatus": "Active",
"rbacGroupId": 0,
"rbacGroupName": null,
"riskScore": "High",
"exposureLevel": "Medium",
"aadDeviceId": null,
"machineTags": []
}
}
]
Si l'enrichissement fonctionne sur Filehash :
[
{
"EntityResult": {
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Files/$entity",
"sha1": "bdd0d38e113a0c7dd6213cf2e89e6cc6d66b5cdb",
"sha256": "328954033456d5c13e58fb5bcc6c0232f9f62cb6d9185afa51c7913338992491",
"md5": "9512e1cc66a1d36feb0a290cab09087b",
"globalPrevalence": 5205000,
"globalFirstObserved": "2018-06-22T12:59:21.6460311Z",
"globalLastObserved": "2019-11-21T00:24:01.921338Z",
"size": 245760,
"fileType": "APP",
"isPeFile": true,
"filePublisher": "Microsoft Corporation",
"fileProductName": "Microsoft Windows Operating System",
"signer": "Microsoft Windows",
"issuer": "Microsoft Windows Production PCA 2011",
"signerHash": "419e77aed546a1a6cf4dc23c1f977542fe289cf7",
"isValidCertificate": true
},
"EntityResult": {
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#microsoft.windowsDefenderATP.api.InOrgFileStats",
"sha1": "bdd0d38e113a0c7dd6213cf2e89e6cc6d66b5cdb",
"orgPrevalence": "1",
"orgFirstSeen": "2019-11-19T03:54:15Z",
"orgLastSeen": "2019-11-19T04:21:18Z",
"globalPrevalence": "5205000",
"globalFirstObserved": "2018-06-22T12:59:21.6460311Z",
"globalLastObserved": "2019-11-21T00:24:01.921338Z",
"topFileNames": ["notepad.exe"]
}
}
]
Enrichissement d'entités
Adresse IP et hôte
| Nom du champ d'enrichissement | Logique : quand les utiliser ? |
|---|---|
| Defender_ATP.sha1 | Renvoie la valeur si elle existe dans le résultat JSON. |
| Defender_ATP.sha256 | Renvoie la valeur si elle existe dans le résultat JSON. |
| Defender_ATP.md5 | Renvoie la valeur si elle existe dans le résultat JSON. |
| Defender_ATP.globalPrevalence | Renvoie la valeur si elle existe dans le résultat JSON. |
| Defender_ATP.globalFirstObserved | Renvoie la valeur si elle existe dans le résultat JSON. |
| Defender_ATP.globalLastObserved | Renvoie la valeur si elle existe dans le résultat JSON. |
| Defender_ATP.size | Renvoie la valeur si elle existe dans le résultat JSON. |
| Defender_ATP.fileType | Renvoie la valeur si elle existe dans le résultat JSON. |
| Defender_ATP.isPeFile | Renvoie la valeur si elle existe dans le résultat JSON. |
| Defender_ATP.filePublisher | Renvoie la valeur si elle existe dans le résultat JSON. |
| Defender_ATP.fileProductName | Renvoie la valeur si elle existe dans le résultat JSON. |
| Defender_ATP.signer | Renvoie la valeur si elle existe dans le résultat JSON. |
| Defender_ATP.issuer | Renvoie la valeur si elle existe dans le résultat JSON. |
| Defender_ATP.signerHash | Renvoie la valeur si elle existe dans le résultat JSON. |
| Defender_ATP.isValidCertificate | Renvoie la valeur si elle existe dans le résultat JSON. |
| Defender_ATP.orgPrevalence | Renvoie la valeur si elle existe dans le résultat JSON. |
| Defender_ATP.orgFirstSeen | Renvoie la valeur si elle existe dans le résultat JSON. |
| Defender_ATP.orgLastSeen | Renvoie la valeur si elle existe dans le résultat JSON. |
| Defender_ATP.topFileNames | Renvoie la valeur si elle existe dans le résultat JSON. |
Hachage du fichier
| Nom du champ d'enrichissement | Logique : quand les utiliser ? |
|---|---|
| Defender_ATP.sha1 | Renvoie la valeur si elle existe dans le résultat JSON. |
| Defender_ATP.sha256 | Renvoie la valeur si elle existe dans le résultat JSON. |
| Defender_ATP.md5 | Renvoie la valeur si elle existe dans le résultat JSON. |
| Defender_ATP.globalPrevalence | Renvoie la valeur si elle existe dans le résultat JSON. |
| Defender_ATP.globalFirstObserved | Renvoie la valeur si elle existe dans le résultat JSON. |
| Defender_ATP.globalLastObserved | Renvoie la valeur si elle existe dans le résultat JSON. |
| Defender_ATP.size | Renvoie la valeur si elle existe dans le résultat JSON. |
| Defender_ATP.fileType | Renvoie la valeur si elle existe dans le résultat JSON. |
| Defender_ATP.isPeFile | Renvoie la valeur si elle existe dans le résultat JSON. |
| Defender_ATP.filePublisher | Renvoie la valeur si elle existe dans le résultat JSON. |
| Defender_ATP.fileProductName | Renvoie la valeur si elle existe dans le résultat JSON. |
| Defender_ATP.signer | Renvoie la valeur si elle existe dans le résultat JSON. |
| Defender_ATP.issuer | Renvoie la valeur si elle existe dans le résultat JSON. |
| Defender_ATP.signerHash | Renvoie la valeur si elle existe dans le résultat JSON. |
| Defender_ATP.isValidCertificate | Renvoie la valeur si elle existe dans le résultat JSON. |
| Defender_ATP.orgPrevalence | Renvoie la valeur si elle existe dans le résultat JSON. |
| Defender_ATP.orgFirstSeen | Renvoie la valeur si elle existe dans le résultat JSON. |
| Defender_ATP.orgLastSeen | Renvoie la valeur si elle existe dans le résultat JSON. |
| Defender_ATP.topFileNames | Renvoie la valeur si elle existe dans le résultat JSON. |
Lister les alertes
Lister les alertes Microsoft Defender for Endpoint en fonction des critères de recherche fournis. L'action renvoie des informations sur les alertes trouvées dans un tableau et une vue JSON sous la forme d'une sortie d'action, ainsi que des données d'alerte brutes stockées dans le fichier JSON de sortie d'action et jointes à celui-ci.
Paramètres
| Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Période | Integer | 3 | Non | Spécifiez une période en heures pour laquelle récupérer les alertes. |
| État | Chaîne | Inconnu, Nouveau, En cours, Résolu | Non | Spécifiez les états des alertes à rechercher. Le paramètre accepte plusieurs valeurs sous la forme d'une chaîne de caractères séparée par des virgules. |
| Gravité | Chaîne | N/A | Non | Spécifiez le niveau de gravité des incidents à rechercher. Si aucune valeur n'est fournie, l'action recherche toutes les gravités. Le paramètre accepte plusieurs valeurs sous la forme d'une chaîne de caractères séparée par des virgules. Valeurs possibles : UnSpecified, Informational, Low, Medium et High |
| Catégorie | Chaîne | N/A | Non | Spécifiez la catégorie d'alerte à rechercher. Si aucune catégorie n'est fournie, l'action recherche toutes les catégories. Le paramètre accepte plusieurs valeurs sous la forme d'une chaîne de caractères séparée par une virgule. Valeurs possibles : "Collection", "CommandAndControl", "CredentialAccess", "DefenseEvasion", "Discovery", "Execution", "Exfiltration", "Exploit", "InitialAccess", "LateralMovement", "Malware", "Persistence", "PrivilegeEscalation", "Ransomware", "SuspiciousActivity", "UnwantedSoftware". |
| ID de l'incident | Integer | N/A | Non | Spécifiez l'ID de l'incident Microsoft Defender pour lequel vous souhaitez trouver des alertes associées. |
Cas d'utilisation
Cette action peut être utilisée pour examiner les avertissements Defender ATP sur le serveur Google SecOps pour un utilisateur final. Par exemple, lorsqu'il traite l'avertissement provenant du connecteur Defender ATP, l'utilisateur configure l'action "List Warnings" (Lister les avertissements) pour accepter l'IncidentId de l'alerte traitée comme paramètre d'entrée afin d'extraire les détails du serveur Defender ATP. Il existe d'autres avertissements qui font partie d'un même incident Defender ATP.
Date d'exécution
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Alerts",
"value": [
{
"id": "example_id",
"incidentId": 2,
"investigationId": null,
"assignedTo": null,
"severity": "Medium",
"status": "New",
"classification": null,
"determination": null,
"investigationState": "UnsupportedAlertType",
"detectionSource": "WindowsDefenderAtp",
"category": "Execution",
"threatFamilyName": null,
"title": "Unexpected behavior observed by a process run with no command line arguments",
"description": "The legitimate process by this name does not normally exhibit this behavior when run with no command line arguments. \nSuch unexpected behavior may be a result of extraneous code injected into a legitimate process, or a malicious executable masquerading as the legitimate one by name.",
"alertCreationTime": "2019-11-19T03:56:35.3007009Z",
"firstEventTime": "2019-11-19T03:54:16.0441057Z",
"lastEventTime": "2019-11-19T03:54:16.0441057Z",
"lastUpdateTime": "2019-11-19T03:56:38.45Z",
"resolvedTime": null,
"machineId": "machine-id",
"alertUser": null,
"comments": [],
"alertFiles": [],
"alertDomains": [],
"alertIps": [],
"alertProcesses": []
}
]
}
Mettre à jour l'alerte
Mettez à jour une alerte Microsoft Defender for Endpoint spécifique. Cette action peut être utilisée pour fermer une alerte dans Microsoft Defender for Endpoint.
Paramètres
| Paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID d'alerte | Chaîne | N/A | Oui | Spécifiez l'ID d'alerte Microsoft Defender for Endpoint à mettre à jour. |
| État | LDD | Nouveau Valeurs possibles :
|
Non | Spécifiez le nouvel état de l'alerte. |
| Attribué à | Chaîne | N/A | Non | Spécifiez les informations utilisateur si vous souhaitez mettre à jour ce champ. |
| Classification | LDD | Inconnu Valeurs possibles :
|
Non | Spécifiez la classification avec laquelle mettre à jour l'alerte. |
| Décision | LDD | NotAvailable Valeurs possibles :
|
Non | Spécifiez la décision avec laquelle mettre à jour l'alerte. |
Cas d'utilisation
Utilisez l'action pour mettre à jour un avertissement Defender ATP.
Utilisez l'action pour intervenir dans un workflow impliquant l'analyse des avertissements Defender ATP.
Une fois l'alerte traitée dans Google SecOps, vous pouvez l'ignorer dans Defender ATP pour que les listes d'alertes Defender ATP et Google SecOps restent synchronisées. Vous pouvez également modifier l'alerte pour afficher la progression de l'analyse (par exemple, définir l'attribut
assignedToou définir l'état de l'alerte surinProgress).
Date d'exécution
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Alerts/$entity",
"id": "example-id",
"incidentId": 1,
"investigationId": null,
"assignedTo": null,
"severity": "Informational",
"status": "Resolved",
"classification": null,
"determination": null,
"investigationState": "UnsupportedAlertType",
"detectionSource": "WindowsDefenderAtp",
"category": "Execution",
"threatFamilyName": null,
"title": "[Test Alert] Suspicious Powershell commandline",
"description": "*** This is a test alert ***\nA suspicious Powershell commandline was found on the machine. This commandline might be used during installation, exploration, or in some cases with lateral movement activities which are used by attackers to invoke modules, download external payloads, and get more information about the system. Attackers usually use Powershell to bypass security protection mechanisms by executing their payload in memory without touching the disk and leaving any trace.",
"alertCreationTime": "2019-11-18T11:17:48.287421Z",
"firstEventTime": "2019-11-18T11:15:06.5226815Z",
"lastEventTime": "2019-11-18T11:15:06.5226815Z",
"lastUpdateTime": "2019-11-20T04:12:03.6066667Z",
"resolvedTime": "2019-11-20T04:12:03.4976288Z",
"machineId": "machine-id",
"alertUser": {
"accountName": "Administrator",
"domainName": "example-domain"
},
"comments": [],
"alertFiles": [
{
"sha1": "3ce71813199abae99348f61f0caa34e2574f831c",
"sha256": "9a7c58bd98d70631aa1473f7b57b426db367d72429a5455b433a05ee251f3236",
"filePath": "C:\\Windows\\System32\\cmd.exe",
"fileName": "cmd.exe"
},
{
"sha1": "1b3b40fbc889fd4c645cc12c85d0805ac36ba254",
"sha256": "d3f8fade829d2b7bd596c4504a6dae5c034e789b6a3defbe013bda7d14466677",
"filePath": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
"fileName": "powershell.exe"
}
],
"alertDomains": [],
"alertIps": [],
"alertProcesses": []
}
Lister les machines
Obtenez des informations sur les machines enregistrées auprès du serveur Microsoft Defender pour Endpoint en fonction des paramètres fournis pour la recherche.
Paramètres
| Paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Période de la dernière activité | Integer | N/A | Non | Spécifiez la période de la dernière activité à rechercher en heures. |
| Nom de la machine | Chaîne | N/A | Non | Spécifiez le nom complet de la machine à rechercher. |
| Adresse IP de la machine | Chaîne | N/A | Non | Spécifiez l'adresse IP de la machine à rechercher. |
| Score de risque de l'appareil | Chaîne | Aucune, Faible, Moyenne, Élevée | Non | Spécifiez le score de risque de la machine à rechercher. Le paramètre accepte plusieurs valeurs sous forme de chaîne séparée par une virgule. |
| État de fonctionnement de la machine | Chaîne | Active, Inactive, ImpairedCommunication, NoSensorData, NoSensorDataImpairedCommunication | Non | Spécifiez l'état de santé de la machine à rechercher. Le paramètre accepte plusieurs valeurs sous forme de chaîne séparée par une virgule. |
| Plate-forme de l'OS de la machine | Chaîne | N/A | Non | Spécifiez la plate-forme OS de la machine à rechercher. |
| ID du groupe RBAC | Chaîne | N/A | Non | Spécifiez l'ID du groupe RBAC à rechercher. |
Cas d'utilisation
Cette action peut être utilisée à des fins d'investigation pour obtenir des informations sur les appareils enregistrés sur le serveur Defender ATP. Cette action est principalement utilisée comme action manuelle, afin que l'utilisateur n'ait pas à revenir à la console Defender ATP et à rechercher sur quelles machines l'agent Defender ATP fonctionne.
Date d'exécution
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Machines",
"value": [
{
"id": "example-id",
"computerDnsName": "example-name",
"firstSeen": "2019-11-18T11:13:04.0588699Z",
"lastSeen": "2019-11-20T09:59:28.0646303Z",
"osPlatform": "Windows10",
"osVersion": null,
"osProcessor": "x64",
"version": "1803",
"lastIpAddress": "192.0.2.138",
"lastExternalIpAddress": "203.0.113.35",
"agentVersion": "10.4860.17134.982",
"osBuild": 17134,
"healthStatus": "Active",
"rbacGroupId": 0,
"rbacGroupName": null,
"riskScore": "High",
"exposureLevel": "Medium",
"aadDeviceId": null,
"machineTags": []
},{
"id": "example-id",
"computerDnsName": "example-name",
"firstSeen": "2019-11-20T08:36:16.2721384Z",
"lastSeen": "2019-11-20T08:36:52.7182837Z",
"osPlatform": "Windows10",
"osVersion": null,
"osProcessor": "x64",
"version": "1803",
"lastIpAddress": "192.0.2.141",
"lastExternalIpAddress": "203.0.113.35",
"agentVersion": "10.4850.17134.191",
"osBuild": 17134,
"healthStatus": "Active",
"rbacGroupId": 0,
"rbacGroupName": null,
"riskScore": "None",
"exposureLevel": "Medium",
"aadDeviceId": null,
"machineTags": []
}
]
}
Obtenir le journal machine sur les utilisateurs
Obtenez des informations sur la connexion d'un utilisateur sur une machine spécifique.
Paramètres
N/A
Cas d'utilisation
Cette action peut être utilisée à des fins d'investigation pour obtenir des informations spécifiques sur les utilisateurs qui se connectent à une machine en question à partir du serveur Defender ATP.
Date d'exécution
Cette action s'applique aux entités suivantes :
- Hôte
- Adresse IP
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Users",
"value": [
{
"id": "example\\example.user",
"accountName": "example.user",
"accountDomain": "example",
"accountSid": null,
"firstSeen": "2019-11-19T03:50:36Z",
"lastSeen": "2019-11-19T03:50:36Z",
"mostPrevalentMachineId": null,
"leastPrevalentMachineId": null,
"logonTypes": "Interactive",
"logOnMachinesCount": 1,
"isDomainAdmin": false,
"isOnlyNetworkUser": null
}
]
}
Recevoir des alertes liées à la machine
Recevez des alertes concernant des machines spécifiques enregistrées dans Defender ATP.
Paramètres
| Paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| État | Chaîne | Inconnu, Nouveau, En cours, Résolu | Non | Spécifiez les états des alertes à rechercher. Le paramètre accepte plusieurs valeurs sous forme de chaîne séparée par une virgule. |
| Gravité | Chaîne | Non spécifié, Informationnel, Faible, Moyen, Élevé | Non | Spécifiez le niveau de gravité des incidents à rechercher. Le paramètre accepte plusieurs valeurs sous forme de chaîne séparée par une virgule. |
| Catégorie | Chaîne | N/A | Non | Spécifiez la catégorie d'alerte à rechercher. Si aucune catégorie n'est fournie, l'action recherche toutes les catégories. Le paramètre accepte plusieurs valeurs sous la forme d'une chaîne de caractères séparée par une virgule. Valeurs possibles : "Collection", "CommandAndControl", "CredentialAccess", "DefenseEvasion", "Discovery", "Execution", "Exfiltration", "Exploit", "InitialAccess", "LateralMovement", "Malware", "Persistence", "PrivilegeEscalation", "Ransomware", "SuspiciousActivity", "UnwantedSoftware". |
| ID de l'incident | Integer | N/A | Non | Spécifiez l'ID de l'incident Microsoft Defender pour lequel vous souhaitez trouver des alertes associées. |
Cas d'utilisation
Cette action peut être utilisée à des fins d'investigation pour obtenir des alertes liées à une machine spécifique à partir du serveur Defender ATP.
Date d'exécution
Cette action s'applique aux entités suivantes :
- Hôte
- Adresse IP
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Alerts",
"value": [
{
"id": "example-id",
"incidentId": 1,
"investigationId": null,
"assignedTo": "testuser@example.com",
"severity": "Informational",
"status": "Resolved",
"classification": "FalsePositive",
"determination": "SecurityTesting",
"investigationState": "UnsupportedAlertType",
"detectionSource": "WindowsDefenderAtp",
"category": "Execution",
"threatFamilyName": null,
"title": "[Test Alert] Suspicious Powershell commandline",
"description": "*** This is a test alert ***\nA suspicious Powershell commandline was found on the machine. This commandline might be used during installation, exploration, or in some cases with lateral movement activities which are used by attackers to invoke modules, download external payloads, and get more information about the system. Attackers usually use Powershell to bypass security protection mechanisms by executing their payload in memory without touching the disk and leaving any trace.",
"alertCreationTime": "2019-11-18T11:17:48.287421Z",
"firstEventTime": "2019-11-18T11:15:06.5226815Z",
"lastEventTime": "2019-11-18T11:15:06.5226815Z",
"lastUpdateTime": "2019-11-20T04:12:03.91Z",
"resolvedTime": "2019-11-20T04:12:03.4976288Z",
"machineId": "machine-id",
"alertUser": {
"accountName": "Administrator",
"domainName": "US-LT-V13007"
},
"comments": [],
"alertFiles": [
{
"sha1": "3ce71813199abae99348f61f0caa34e2574f831c",
"sha256": "9a7c58bd98d70631aa1473f7b57b426db367d72429a5455b433a05ee251f3236",
"filePath": "C:\\Windows\\System32\\cmd.exe",
"fileName": "cmd.exe"
},
{
"sha1": "1b3b40fbc889fd4c645cc12c85d0805ac36ba254",
"sha256": "d3f8fade829d2b7bd596c4504a6dae5c034e789b6a3defbe013bda7d14466677",
"filePath": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
"fileName": "powershell.exe"
}
],
"alertDomains": [],
"alertIps": [],
"alertProcesses": []
}
]
}
Isoler la machine
Isolez une machine à l'aide de Microsoft Defender for Endpoint. La machine peut être configurée en isolation complète ou sélective. Les applications Outlook, Skype Entreprise et Teams continuent de fonctionner sur une machine en mode isolé.
Paramètres
| Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Type d'isolation | LDD | Complète Valeurs possibles :
|
Oui | Spécifiez le type d'isolation. |
| Commentaire | Chaîne | N/A | Oui | Ajoutez un commentaire expliquant pourquoi la machine doit être isolée. |
| Créer un insight ? | Case à cocher | Cochée | Si cette option est activée, l'action crée un insight Google SecOps avec des informations associées si elle est exécutée avec succès. |
Cas d'utilisation
Isolez une machine considérée comme infectée. Par exemple, une alerte du connecteur Defender ATP a été ingérée sur le serveur Google SecOps. Lors de l'analyse de l'alerte, il a été découvert que la machine associée à l'alerte (entité "Cas") pouvait être infectée et devait être isolée.
Date d'exécution
Cette action s'exécute sur les actions suivantes :
- Hôte
- Adresse IP
Résultats de l'action
Résultat du script
"True" si le point de terminaison de l'API renvoyé pour chaque entité fournie sur laquelle il s'est exécuté, état 201, dans la réponse JSON "status": "Pending", ce qui indique que la requête d'API s'est exécutée avec succès. Si l'action échoue pour au moins l'une des entités, le résultat final doit être "Échec" (False).
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#MachineActions/$entity",
"id": "example-id",
"type": "Isolate",
"requestor": "requestor-id",
"requestorComment": "Machine Isolation due to alert ...",
"status": "Pending",
"machineId": "machine-id",
"creationDateTimeUtc": "2019-11-21T03:55:59.5419077Z",
"lastUpdateDateTimeUtc": "2019-11-21T03:55:59.5419077Z",
"cancellationRequestor": null,
"cancellationComment": null,
"cancellationDateTimeUtc": null,
"errorHResult": 0,
"scope": null,
"relatedFileInfo": null
}
Insights
- Logique d'insight : si la machine a été isolée à l'aide de l'agent Defender ATP, créez un insight pour l'indiquer.
- Type : entité.
- Title (String) : entité.
- IdentifierMessage : "L'hôte a été isolé à l'aide de Microsoft Defender for Endpoint."
Unisolate Machine
Annulez l'isolement d'une machine précédemment isolée à l'aide de Microsoft Defender for Endpoint.
Paramètres
| Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Commentaire | Chaîne | N/A | Oui | Ajoutez un commentaire expliquant pourquoi la machine doit être désisolée. |
| Créer un insight ? | Case à cocher | Cochée | Si cette option est activée, l'action crée un insight Google SecOps avec des informations associées si elle est exécutée avec succès. |
Cas d'utilisation
Cette action peut être utilisée dans les situations où la machine était déjà isolée, mais où les nouvelles données collectées lors du traitement du playbook (par exemple, la première machine a été isolée, puis nous avons créé un indicateur de menace pour un fichier suspect et exécuté l'action "Arrêter et mettre en quarantaine" pour supprimer ce fichier de la machine concernée) nous permettent de considérer qu'il est sûr de supprimer la machine concernée de l'isolement.
Date d'exécution
Cette action s'applique aux entités suivantes :
- Hôte
- Adresse IP
Résultats de l'action
Résultat du script
"True" si le point de terminaison de l'API renvoyé pour chaque entité fournie sur laquelle il s'est exécuté, état 201, dans la réponse JSON "status": "Pending", ce qui indique que la requête d'API s'est exécutée avec succès. Si l'action échoue pour au moins l'une des entités, le résultat final doit être "Échec" (False).
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#MachineActions/$entity",
"id": "example-id",
"type": "Unisolate",
"requestor": "requestor-id",
"requestorComment": "Unisolate machine due to the following remediation measures taken...",
"status": "Pending",
"machineId": "machine-id",
"creationDateTimeUtc": "2019-11-21T03:59:34.7389352Z",
"lastUpdateDateTimeUtc": "2019-11-21T03:59:34.7389352Z",
"cancellationRequestor": null,
"cancellationComment": null,
"cancellationDateTimeUtc": null,
"errorHResult": 0,
"scope": null,
"relatedFileInfo": null
}
Insights
- Type : Entité
- Entité Title.
- IdentifierMessage : l'isolement Microsoft Defender for Endpoint a été supprimé.
Exécuter une analyse antivirus
Lancez une analyse antivirus sur un hôte à l'aide de Microsoft Defender for Endpoint. Deux types d'analyses Defender ATP sont disponibles : complètes ou rapides.
Paramètres
| Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Type d'analyse antivirus | LDD | Complète Valeurs possibles :
|
Oui | Indiquez si vous souhaitez lancer une analyse antivirus complète ou rapide sur l'appareil. |
| Commentaire | Chaîne | N/A | Oui | Indiquez dans un commentaire pourquoi une analyse antivirus doit être exécutée sur la machine. |
Cas d'utilisation
Une alerte a été émise par le connecteur Defender ATP. Lors du traitement de l'alerte, des indicateurs de compromission par un logiciel malveillant ont été détectés sur la machine associée à l'entité de demande Google SecOps. L'utilisateur a donc décidé d'exécuter une analyse antivirus sur la machine pour tenter de trouver un logiciel malveillant sur l'hôte.
Date d'exécution
Cette action s'applique aux entités suivantes :
- Hôte
- Adresse IP
Résultats de l'action
Résultat du script
"True" si le point de terminaison de l'API renvoyé pour chaque entité fournie sur laquelle il s'est exécuté, état 201, dans la réponse JSON "status": "Pending", ce qui indique que la requête d'API s'est exécutée avec succès. Si l'action échoue pour au moins l'une des entités, le résultat final doit être "Échec" (False).
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#MachineActions/$entity",
"id": "example-id",
"type": "RunAntiVirusScan",
"requestor": "requestor_id",
"requestorComment": "Run antivirus scan on suspect",
"status": "Pending",
"machineId": "machine-id",
"creationDateTimeUtc": "2019-11-21T11:07:06.611628Z",
"lastUpdateDateTimeUtc": "2019-11-21T11:07:06.611628Z",
"cancellationRequestor": null,
"cancellationComment": null,
"cancellationDateTimeUtc": null,
"errorHResult": 0,
"scope": null,
"relatedFileInfo": null
}
Arrêter et mettre en quarantaine un fichier sur une machine spécifique
Arrêtez l'exécution d'un fichier sur une machine spécifique et mettez-le en quarantaine à l'aide de l'agent Microsoft Defender ATP. L'action fonctionne avec les entités Google SecOps "Hôte" ou "Adresse IP".
Paramètres
| Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Hachage SHA1 du fichier à mettre en quarantaine | Chaîne | N/A | Oui | Spécifiez le hachage SHA-1 du fichier à arrêter et à mettre en quarantaine. Remarque : Le hachage SHA-1 doit être en minuscules pour que l'action puisse trouver le fichier correspondant. |
| Commentaire | Chaîne | N/A | Oui | Indiquez dans un commentaire pourquoi une analyse antivirus doit être exécutée sur la machine. |
| Créer un insight ? | Case à cocher | Cochée | Si cette option est activée, l'action créera un insight Google SecOps avec des informations associées si elle est exécutée avec succès. |
Cas d'utilisation
Lors du traitement de l'alerte provenant du connecteur Defender ATP, l'action "Arrêter et mettre en quarantaine le fichier" peut être utilisée pour empêcher l'exécution du fichier spécifique afin d'éviter la compromission de la machine. Cette action peut être nécessaire lors d'une recherche avancée. L'utilisateur peut découvrir des fichiers potentiellement malveillants qu'il souhaite bloquer sur une seule machine.
Date d'exécution
Cette action s'applique aux entités suivantes :
- Hôte
- Adresse IP
Résultats de l'action
Résultat du script
Peut être "True" ou "False". "True" si le point de terminaison de l'API renvoie toutes les entités fournies sur lesquelles il s'est exécuté, l'état 201 dans la réponse JSON "status": "Pending", ce qui indique que la requête API s'est exécutée avec succès. Si l'action échoue pour au moins une des entités, le résultat final doit être "Échec" (False).
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#MachineActions/$entity",
"id": "example-id",
"type": "StopAndQuarantineFile",
"requestor": "requestor-id",
"requestorComment": "Stopping and quarantining putty",
"status": "Pending",
"machineId": "machine-id",
"creationDateTimeUtc": "2019-11-25T10:05:21.3641296Z",
"lastUpdateDateTimeUtc": "2019-11-25T10:05:21.3641296Z",
"cancellationRequestor": null,
"cancellationComment": null,
"cancellationDateTimeUtc": null,
"errorHResult": 0,
"scope": null,
"relatedFileInfo": {
"fileIdentifier": "d932604ab8e9debe475415851fd26929a0c0dcd1",
"fileIdentifierType": "Sha1"
}
}
Insights
- Type : entité.
- Title (String) : entité.
- IdentifierMessage (String) : "Le fichier avec le hachage SHA-1 {0} a été arrêté et mis en quarantaine le {1}". format (filehash,entity.Identifier).
Recevoir des alertes liées aux fichiers
Obtenez des alertes liées à un fichier à partir de Microsoft Defender for Endpoint en fonction du hachage du fichier.
Paramètres
| Valeur d'affichage du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| État | Chaîne | Inconnu, Nouveau, En cours, Résolu | Non | Spécifiez les états des alertes à rechercher. Le paramètre accepte plusieurs valeurs sous forme de chaîne séparée par une virgule. |
| Gravité | Chaîne | Non spécifié, Informationnel, Faible, Moyen, Élevé | NON | Spécifiez le niveau de gravité des incidents à rechercher. Le paramètre accepte plusieurs valeurs sous forme de chaîne séparée par une virgule. |
| Catégorie | Chaîne | N/A | Non | Spécifiez la catégorie d'alerte à rechercher. Si aucune catégorie n'est fournie, l'action recherche toutes les catégories. Le paramètre accepte plusieurs valeurs sous la forme d'une chaîne de caractères séparée par une virgule. Valeurs possibles : "Collection", "CommandAndControl", "CredentialAccess", "DefenseEvasion", "Discovery", "Execution", "Exfiltration", "Exploit", "InitialAccess", "LateralMovement", "Malware", "Persistence", "PrivilegeEscalation", "Ransomware", "SuspiciousActivity", "UnwantedSoftware". |
| ID de l'incident | Integer | N/A | Non | Spécifiez l'ID de l'incident Microsoft Defender pour lequel vous souhaitez trouver des alertes associées. |
Cas d'utilisation
Lors de l'examen d'une alerte provenant du connecteur Defender ATP, cette action peut être utilisée pour recueillir des informations sur l'association de ce fichier à des alertes, afin de déterminer s'il est malveillant ou non.
Exécuter sur
Cette action s'exécute sur l'entité Filehash.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Alerts",
"value": [
{
"id": "example_id",
"incidentId": 2,
"investigationId": 1,
"assignedTo": null,
"severity": "Medium",
"status": "New",
"classification": null,
"determination": null,
"investigationState": "TerminatedBySystem",
"detectionSource": "WindowsDefenderAtp",
"category": "DefenseEvasion",
"threatFamilyName": null,
"title": "Suspicious process injection observed",
"description": "A process abnormally injected code into another process, As a result, unexpected code may be running in the target process memory. Injection is often used to hide malicious code execution within a trusted process. \nAs a result, the target process may exhibit abnormal behaviors such as opening a listening port or connecting to a command and control server.",
"alertCreationTime": "2019-11-19T03:56:37.7335862Z",
"firstEventTime": "2019-11-19T03:54:15.7698362Z",
"lastEventTime": "2019-11-19T03:54:15.7698362Z",
"lastUpdateTime": "2019-11-20T10:13:31.7266667Z",
"resolvedTime": null,
"machineId": "machine-id",
"alertUser": {
"accountName": "example.user",
"domainName": "EXAMPLELAB"
},
"comments": [],
"alertFiles": [
{
"sha1": "1b3b40fbc889fd4c645cc12c85d0805ac36ba254",
"sha256": "d3f8fade829d2b7bd596c4504a6dae5c034e789b6a3defbe013bda7d14466677",
"filePath": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
"fileName": "powershell.exe"
},{
"sha1": "bdd0d38e113a0c7dd6213cf2e89e6cc6d66b5cdb",
"sha256": "328954033456d5c13e58fb5bcc6c0232f9f62cb6d9185afa51c7913338992491",
"filePath": "C:\\Windows\\System32\\notepad.exe",
"fileName": "notepad.exe"
}
],
"alertDomains": [],
"alertIps": [],
"alertProcesses": []
}
]
}
Obtenir les machines associées à un fichier
Obtenez les machines associées à un fichier à partir de Microsoft Defender for Endpoint en fonction du hachage du fichier.
Paramètres
| Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom de la machine | Chaîne | N/A | Non | Spécifiez le nom complet de la machine à rechercher. |
| Adresse IP de la machine | Chaîne | N/A | Non | Spécifiez l'adresse IP de la machine à rechercher. |
| Score de risque de l'appareil | Chaîne | N/A | Non | Spécifiez le score de risque de la machine à rechercher. Le paramètre accepte plusieurs valeurs sous forme de chaîne séparée par une virgule. |
| État de fonctionnement de la machine | Chaîne | Active, Inactive, ImpairedCommunication, NoSensorData, NoSensorDataImpairedCommunication | Non | Spécifiez l'état de santé de la machine à rechercher. Le paramètre accepte plusieurs valeurs sous forme de chaîne séparée par une virgule. |
| Plate-forme de l'OS de la machine | Chaîne | N/A | Non | Spécifiez la plate-forme OS de la machine à rechercher. |
| ID du groupe RBAC | Chaîne | N/A | Non | Spécifiez l'ID du groupe RBAC à rechercher. |
Cas d'utilisation
Lors de l'examen d'une alerte provenant du connecteur Defender ATP, cette action peut être utilisée pour recueillir des informations sur les machines sur lesquelles ce fichier a été enregistré dans Defender ATP.
Date d'exécution
Cette action s'exécute sur l'entité Filehash.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Machines",
"value": [
{
"id": "example_id",
"computerDnsName": "example-name",
"firstSeen": "2019-11-18T11:13:04.0588699Z",
"lastSeen": "2019-11-20T19:35:36.4619266Z",
"osPlatform": "Windows10",
"osVersion": null,
"osProcessor": "x64",
"version": "1803",
"lastIpAddress": "192.0.2.1",
"lastExternalIpAddress": "203.0.113.121",
"agentVersion": "10.4860.17134.982",
"osBuild": 17134,
"healthStatus": "Active",
"rbacGroupId": 0,
"rbacGroupName": null,
"riskScore": "High",
"exposureLevel": "Medium",
"aadDeviceId": null,
"machineTags": []
}
]
}
Exécuter une requête de chasse avancée
Exécutez une requête de recherche avancée Microsoft Defender for Endpoint. Notez que les guillemets, les sauts de ligne ou d'autres symboles spéciaux doivent être échappés. Par exemple, utilisez la barre oblique inverse pour échapper les guillemets.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Description |
| Query | Chaîne | N/A | Oui | Requête de recherche avancée à exécuter. |
Cas d'utilisation
L'utilisateur peut disposer de requêtes de recherche qu'il souhaite utiliser pour interroger les données collectées dans Defender ATP lors du traitement d'une alerte Defender spécifique. Cette action lui permet d'exécuter ces requêtes de recherche avancée.
Date d'exécution
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"Stats": {
"ExecutionTime": 0.0156652,
"resource_usage": {
"cache": {
"memory": {
"hits": 13,
"misses": 0,
"total": 13
},
"disk": {
"hits": 0,
"misses": 0,
"total": 0
}
},
"cpu": {
"user": "00:00:00.0156250",
"kernel": "00:00:00",
"total cpu": "00:00:00.0156250"
},
"memory": {
"peak_per_node": 33554624
}
},
"dataset_statistics": [
{
"table_row_count": 2,
"table_size": 60
}
]
},
"Schema": [
{
"Name": "EventTime",
"Type": "DateTime"
},
{
"Name": "FileName",
"Type": "String"
},
{
"Name": "InitiatingProcessFileName",
"Type": "String"
}
],
"Results": [
{
"EventTime": "2019-11-18T11:13:07.043128Z",
"FileName": "csc.exe",
"InitiatingProcessFileName": "powershell.exe"
},
{
"EventTime": "2019-11-19T03:54:14.4256361Z",
"FileName": "csc.exe",
"InitiatingProcessFileName": "powershell.exe"
}
]
}
Attendre l'état de la tâche
Attendez l'état d'une tâche.
Paramètres
| Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID des tâches | Chaîne | N/A | Oui | Liste des ID de tâches sous forme de chaîne séparée par des virgules. |
Date d'exécution
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[
{
"status": "Succeeded",
"creation_date_time_utc": "2020-02-08T03:24:52.8526634Z",
"cancellation_requestor": null,
"cancellation_date_time_utc": null,
"id": "2e39d22e-60a7-4267-899c-a1471e800000",
"last_update_date_time_utc": "2020-02-08T03:25:35.8345081Z",
"related_file_info": null,
"cancellation_comment": null,
"requestor": "e4fc6454-754d-47f7-bbdb-045fad600000",
"error_h_result": 0,
"scope": "Selective",
"machine_id": "fbc85cf3fbcc8bb14d1a84fcf7bbae4531f00000",
"type": "Isolate",
"requestor_comment": "test"
}
]
Obtenir l'état actuel de la tâche
Obtenez l'état actuel d'une tâche.
Paramètres
| Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID des tâches | Chaîne | N/A | Oui | Liste des ID de tâches sous forme de chaîne séparée par des virgules. |
Date d'exécution
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[
{
"status": "Succeeded",
"creation_date_time_utc": "2020-02-08T03:24:52.8526634Z",
"cancellation_requestor": null,
"cancellation_date_time_utc": null,
"id": "2e39d22e-60a7-4267-899c-a1471e800000",
"last_update_date_time_utc": "2020-02-08T03:25:35.8345081Z",
"related_file_info": null,
"cancellation_comment": null,
"requestor": "e4fc6454-754d-47f7-bbdb-045fad600000",
"error_h_result": 0,
"scope": "Selective",
"machine_id": "fbc85cf3fbcc8bb14d1a84fcf7bbae4531f00000",
"type": "Isolate",
"requestor_comment": "test"
}
]
Envoyer des indicateurs d'entité
Envoyez des entités en tant qu'indicateurs dans Microsoft Defender for Endpoint.
Paramètres
| Nom d'affichage du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Action | LDD | Bloquer Valeurs possibles :
|
Oui | Spécifiez l'action à appliquer aux entités. Remarque : La valeur "Bloquer et corriger" n'est acceptée que pour les entités filehash. |
| Gravité | LDD | Élevée Valeurs possibles :
|
Oui | Spécifiez le niveau de gravité des entités trouvées. |
| Application | Chaîne | N/A | Non | Spécifiez une application associée aux entités. |
| Titre de l'alerte de l'indicateur | Chaîne | N/A | Oui | Spécifiez le titre de l'alerte, s'ils sont identifiés dans l'environnement. |
| Description | Chaîne | Remédiation Google SecOps | Oui | Spécifiez la description des entités. |
| Action recommandée | Chaîne | N/A | Non | Spécifiez les actions recommandées pour la gestion des entités. |
Date d'exécution
Cette action s'applique aux entités suivantes :
- Adresse IP
- URL
- Filehash
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si des données sont disponibles pour une entité (is_success = true) : "Les entités suivantes ont bien été envoyées en tant qu'indicateurs à Microsoft Defender pour Endpoint : {entity.identifier}". Si les données ne sont pas disponibles pour une entité (is_success=true) : "L'action n'a pas pu envoyer les entités suivantes en tant qu'indicateurs à Microsoft Defender pour Endpoint : {entity.identifier}". Si le code d'état 403 est signalé pour une entité : "L'instance ne dispose pas des autorisations suffisantes pour envoyer les entités suivantes : {entity.identifier} Si les données ne sont pas disponibles pour toutes les entités (is_success=false) : "Aucune des entités fournies n'a été envoyée en tant qu'indicateur à Microsoft Defender pour Endpoint." Si une entité est déjà un indicateur : "Les entités suivantes sont déjà des indicateurs dans Microsoft Defender pour Endpoint : {entity.identifier}" L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale se produit (par exemple, des identifiants incorrects, aucune connexion au serveur, etc.) : "Erreur lors de l'exécution de l'action "Envoyer les indicateurs d'entité". Raison : {0}''.format(error.Stacktrace) Si le code d'état 403 est signalé pour toutes les entités : "Erreur lors de l'exécution de l'action "Envoyer les indicateurs d'entité". Motif : aucun indicateur n'a été créé en raison des autorisations d'instance. Veuillez vérifier la configuration. |
Général |
Supprimer les indicateurs d'entité
Supprimez les indicateurs d'entité dans Microsoft Defender for Endpoint.
Paramètres
N/A
Date d'exécution
Cette action s'applique aux entités suivantes :
- Adresse IP
- URL
- Filehash
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si le code d'état 204 est signalé (is_success=true) : "Les entités suivantes ont été supprimées en tant qu'indicateurs dans Microsoft Defender pour Endpoint : {entity.identifier}. Si l'incident n'est pas trouvé (is_success=true) : "Les entités suivantes n'existent pas en tant qu'indicateurs dans Microsoft Defender pour point de terminaison : {entity.identifier}. L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Supprimer les indicateurs d'entité". Raison : {0}''.format(error.Stacktrace) |
Général |
Indicateurs de liste
Lister les indicateurs dans Microsoft Defender for Endpoint.
Paramètres
| Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Indicateurs | CSV | N/A | Non | Spécifiez une liste d'indicateurs séparés par une virgule que vous souhaitez récupérer. |
| Types d'indicateurs | CSV | FileSha1,FileSha256,FileMd5,CertificateThumbprint,IpAddress,DomainName, Url | Non | Spécifiez une liste de types d'indicateurs séparés par une virgule que vous souhaitez récupérer. Valeurs possibles : FileSha1, FileSha256, FileMd5, CertificateThumbprint, IpAddress,DomainName, Url. |
| Actions | CSV | Warn,Block,Audit,Alert,AlertAndBlock,BlockAndRemediate,Allowed | Non | Spécifiez une liste d'actions d'indicateur séparées par une virgule que vous souhaitez utiliser pour le filtrage. Valeurs possibles : Warn,Block,Audit,Alert, AlertAndBlock,BlockAndRemediate,Allowed |
| Gravité | CSV | Informationnel,Faible,Moyen,Élevé | Non | Spécifiez une liste de niveaux de gravité séparés par une virgule que vous souhaitez utiliser pour le filtrage. Valeurs possibles : "Informational", "Low", "Medium", "High" |
| Nombre maximal de résultats à renvoyer | Integer | 50 | Non | Spécifiez le nombre d'indicateurs à renvoyer. |
Date d'exécution
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"id": "18",
"indicatorValue": "110e7d15b011d7fac48f2bd61114db1022197f7a",
"indicatorType": "FileSha1",
"action": "Audit",
"createdBy": "45e9773c-100e-4a9f-ad37-d8e182e9ed26",
"severity": "Informational",
"category": 1,
"application": "demo-test",
"educateUrl": null,
"bypassDurationHours": null,
"title": "test",
"description": "test",
"recommendedActions": "nothing",
"creationTimeDateTimeUtc": "2022-02-08T14:20:34.9071582Z",
"expirationTime": null,
"lastUpdateTime": "2022-02-08T14:20:34.9151307Z",
"lastUpdatedBy": null,
"rbacGroupNames": [],
"rbacGroupIds": [],
"notificationId": null,
"notificationBody": null,
"version": null,
"mitreTechniques": [],
"historicalDetection": false,
"lookBackPeriod": null,
"generateAlert": true,
"additionalInfo": null,
"createdByDisplayName": "Example Defender ATP",
"externalId": null,
"createdBySource": "PublicApi",
"certificateInfo": null
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si des données sont disponibles (is_success=true) : "Des indicateurs correspondant aux critères fournis ont été trouvés dans Microsoft Defender pour point de terminaison." Si les données ne sont pas disponibles (is_success=false) : "Aucun indicateur n'a été trouvé pour les critères fournis dans Microsoft Defender pour Endpoint." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale, comme des identifiants incorrects, une absence de connexion au serveur ou une autre erreur, est signalée : "Erreur lors de l'exécution de l'action "Lister les indicateurs". Raison : {0}''.format(error.Stacktrace) Si un paramètre "Types d'indicateurs" non valide est fourni : "Erreur lors de l'exécution de l'action "Lister les indicateurs". Motif : valeur non valide pour le paramètre "Types d'indicateurs". Valeurs possibles : FileSha1, FileSha256, FileMd5, CertificateThumbprint, IpAddress, DomainName, Url. Si un paramètre "Actions" non valide est fourni : "Erreur lors de l'exécution de l'action "Lister les indicateurs". Motif : valeur incorrecte pour le paramètre "Actions". Valeurs possibles : "Avertir", "Bloquer", "Auditer", "Alerter", "AlerterEtBloquer", "BloquerEtCorriger", "Autoriser". Si un paramètre "Severity" (Gravité) non valide est fourni : "Error executing action "List Indicators". Motif : valeur incorrecte pour le paramètre "Actions". Valeurs possibles : "Informative", "Faible", "Moyenne", "Élevée". |
Général |
| Tableau du mur des cas | Indicateurs trouvés Type : indicatorType Action : action Gravité : gravité Description : description Titre : title Recommandation : recommendedActions |
Entité |
Connecteurs
Pour obtenir des instructions détaillées sur la configuration d'un connecteur dans Google SecOps, consultez Configurer le connecteur.
Pour configurer le connecteur sélectionné, utilisez les paramètres spécifiques au connecteur listés dans les tableaux suivants :
- Paramètres de configuration du connecteur Microsoft Defender ATP
- Paramètres de configuration du connecteur Microsoft Defender ATP v2
Connecteur Microsoft Defender ATP
L'API SIEM Defender ATP utilisée dans le connecteur Microsoft Defender ATP pour les événements est obsolète depuis le 1er mars 2022.
Le connecteur se connecte régulièrement au point de terminaison de l'API Defender ATP et extrait une liste d'alertes générées pour une période spécifique. Pour les alertes traitées, le connecteur extrait les informations sur les détections de Defender ATP dans une requête distincte. Les détections comportent un champ AlertId qui peut être utilisé pour les associer à des alertes spécifiques.
Paramètres du connecteur
Utilisez les paramètres suivants pour configurer le connecteur :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom du champ de produit | Chaîne | ProductName | Oui | Décrit le nom du champ dans lequel le nom du produit est stocké. |
| Nom du champ d'événement | Chaîne | AlertName | Oui | Décrit le nom du champ dans lequel le nom de l'événement est stocké. |
| Nom du champ "Environnement" | Chaîne | "" | Non | Décrit le nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" est introuvable, l'environnement est "". |
| Modèle d'expression régulière de l'environnement | Chaîne | .* | Non | Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ La valeur par défaut est ".*" pour tout capturer et renvoyer la valeur inchangée. Permet à l'utilisateur de manipuler le champ "environment" à l'aide de la logique d'expression régulière. Si le modèle d'expression régulière est nul ou vide, ou si la valeur de l'environnement est nulle, le résultat final de l'environnement est "". |
| Racine de l'API | Chaîne | https://api.securitycenter.windows.com | Oui | URL racine de l'API à utiliser avec l'intégration. Pour améliorer les performances, vous pouvez utiliser un serveur situé à proximité de votre position :
|
| ID Azure Active Directory | Chaîne | N/A | Oui | L'ID de locataire Microsoft Entra est visible dans Active Directory > Inscription d'application > Votre application > ID (locataire) du répertoire. |
| ID client de l'intégration | Chaîne | N/A | Oui | ID client (application) ajouté pour l'enregistrement de l'application dans Microsoft Entra pour l'intégration. |
| Code secret du client d'intégration | Mot de passe | N/A | Oui | Code secret saisi pour l'enregistrement de l'application Azure AD pour l'intégration. |
| ID client SIEM | Chaîne | N/A | Oui | ID client (application) pour l'intégration SIEM activée dans Microsoft Defender for Endpoint. |
| Code secret du client SIEM | Mot de passe | N/A | Oui | Secret pour l'intégration SIEM activée dans Microsoft Defender for Endpoint. |
| Décalage horaire en heures | Integer | 24 | Oui | Récupérez les alertes des X dernières heures. |
| Nombre maximal d'alertes par cycle | Integer | 100 | Oui | Nombre d'alertes traitées lors de l'exécution d'un connecteur. |
| États des alertes à récupérer | Chaîne | Inconnu, Nouveau, En cours, Résolu | Oui | Spécifiez les états des alertes Defender ATP qui doivent être récupérées par le serveur Google SecOps. Un paramètre peut accepter plusieurs valeurs sous la forme d'une chaîne de caractères séparées par une virgule. |
| Gravité des alertes à récupérer | Chaîne | Non spécifié, Informationnel, Faible, Moyen, Élevé | Oui | Spécifiez le niveau de gravité des alertes Defender ATP à récupérer par le serveur Google SecOps. Un paramètre peut accepter plusieurs valeurs sous la forme d'une chaîne de caractères séparées par une virgule. |
| Adresse du serveur proxy | IP_OR_HOST | N/A | Non | Serveur proxy à utiliser pour la connexion. |
| Nom d'utilisateur du serveur proxy | Chaîne | N/A | Non | Nom d'utilisateur du serveur proxy. |
| Mot de passe du serveur proxy | Mot de passe | N/A | Non | Mot de passe du serveur proxy. |
Règles du connecteur
Le connecteur n'est pas compatible avec les règles de liste de blocage ni de liste dynamique.
Le connecteur est compatible avec les proxys.
Connecteur Microsoft Defender ATP V2
Récupérez les alertes Defender ATP à l'aide de l'API 365 Defender Incident pour obtenir les données d'événement. Utilisez la liste dynamique du connecteur pour ingérer uniquement certains types d'alertes en fonction de la valeur de l'attribut detectionSource de l'alerte.
L'attribut de connecteur SourceGroupIdentifier peut être utilisé pour regrouper les alertes en fonction de l'ID d'incident Defender ATP.
Prérequis
Avant de configurer le connecteur, assurez-vous d'accorder des autorisations supplémentaires à votre application Microsoft Entra :
Connectez-vous au portail Azure en tant qu'administrateur d'utilisateurs ou administrateur de mots de passe.
Sélectionnez Microsoft Entra ID.
Accédez à Autorisations d'API> Ajouter une autorisation> API utilisées par mon organisation.
Sélectionnez Microsoft Threat Protection > Autorisations de l'application.
Dans la section Sélectionner des autorisations, sélectionnez les autorisations requises suivantes :
Incident.Read.AllIncident.ReadWrite.All
Cliquez sur Ajouter des autorisations.
Cliquez sur Accorder le consentement administrateur pour
YOUR_ORGANIZATION_NAME.
Paramètres du connecteur
Utilisez les paramètres suivants pour configurer le connecteur :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom du champ de produit | Chaîne | :: | Oui | Décrit le nom du champ dans lequel le nom du produit est stocké. |
| Nom du champ d'événement | Chaîne | EventName | Oui | Décrit le nom du champ dans lequel le nom de l'événement est stocké. |
| Nom du champ "Environnement" | Chaîne | "" | Non | Décrit le nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" est introuvable, l'environnement est "". |
| Modèle d'expression régulière de l'environnement | Chaîne | .* | Non | Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ La valeur par défaut est ".*" pour tout capturer et renvoyer la valeur inchangée. Permet à l'utilisateur de manipuler le champ "environment" à l'aide de la logique d'expression régulière. Si le modèle d'expression régulière est nul ou vide, ou si la valeur de l'environnement est nulle, le résultat final de l'environnement est "". |
| Racine de l'API Defender ATP | Chaîne | https://api.securitycenter.windows.com | Oui | URL racine de l'API à utiliser avec l'intégration Pour améliorer les performances, vous pouvez utiliser un serveur situé à proximité de votre emplacement :
|
| Racine de l'API 365 Defender | Chaîne | https://api.security.microsoft.com | Oui | Racine de l'API de l'instance Microsoft 365 Defender utilisée pour obtenir les données des événements Google SecOps. |
| ID Azure Active Directory | Chaîne | N/A | Oui | ID de locataire Microsoft Entra, disponible dans Microsoft Entra > Enregistrement de l'application > Votre application > ID (locataire) du répertoire. |
| ID client de l'intégration | Chaîne | N/A | Oui | ID client (application) ajouté pour l'enregistrement de l'application dans Microsoft Entra pour l'intégration. |
| Code secret du client d'intégration | Mot de passe | N/A | Oui | Code secret saisi pour l'enregistrement de l'application Azure AD pour l'intégration. |
| Vérifier le protocole SSL | Case à cocher | Cochée | Oui | Si cette option est activée, elle vérifie que le certificat SSL pour la connexion au serveur Microsoft 365 Defender est valide. |
| Décalage horaire en heures | Integer | 24 | Oui | Récupérez les alertes des X dernières heures. |
| Nombre maximal d'alertes par cycle | Integer | 10 | Oui | Nombre d'alertes traitées lors de l'exécution d'un connecteur. |
| États des alertes à récupérer | Chaîne | Inconnu, Nouveau, En cours, Résolu | Oui | Spécifiez les états des alertes Defender ATP qui doivent être récupérés par le serveur Google SecOps. Un paramètre peut accepter plusieurs valeurs sous la forme d'une chaîne de caractères séparées par une virgule. |
| Gravité des alertes à récupérer | Chaîne | Non spécifié, Informationnel, Faible, Moyen, Élevé | Oui | Spécifiez le niveau de gravité des alertes Defender ATP qui doivent être récupérées par le serveur Google SecOps. Un paramètre peut accepter plusieurs valeurs sous la forme d'une chaîne de caractères séparées par une virgule. |
| Désactiver le dépassement | Case à cocher | Décochée | Non | Si cette option est activée, le connecteur ignore le mécanisme de dépassement de capacité. |
| Délai avant expiration du script | Integer | 300 | Oui | Spécifiez le délai avant expiration pour l'exécution du connecteur. |
| Utiliser la liste blanche comme liste noire | Case à cocher | Décochée | Non | Si cette option est activée, la liste dynamique est utilisée comme liste de blocage. |
| Adresse du serveur proxy | IP_OR_HOST | N/A | Non | Serveur proxy à utiliser pour la connexion. |
| Nom d'utilisateur du serveur proxy | Chaîne | N/A | Non | Nom d'utilisateur du serveur proxy. |
| Mot de passe du serveur proxy | Mot de passe | N/A | Non | Mot de passe du serveur proxy. |
Règles du connecteur
Le connecteur accepte une logique de liste dynamique basée sur la valeur du champ d'alerte detectionSource Defender ATP.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.