Microsoft Defender ATP

Versi integrasi: 23.0

Kasus penggunaan

  1. Gunakan data yang dikumpulkan di Microsoft Defender for Endpoint untuk pengayaan saat menyelidiki kasus tertentu.

    Analis dapat menggunakan data yang dikumpulkan dan disimpan di Microsoft Defender for Endpoint dalam penyelidikan—misalnya, untuk mendapatkan informasi tentang pemberitahuan yang terdeteksi di Microsoft Defender for Endpoint atau mencantumkan komputer yang terdaftar di Microsoft Defender for Endpoint.

  2. Lakukan tindakan respons aktif dalam potensi insiden keamanan seperti mengisolasi host tertentu dari jaringan atau menjalankan pemindaian antivirus.

  3. Pantau dan periksa pemberitahuan Microsoft Defender for Endpoint sebagai pemberitahuan Google Security Operations yang diambil oleh konektor masing-masing.

Prasyarat

Sebelum mengonfigurasi integrasi di platform Google SecOps, pastikan untuk menyelesaikan langkah-langkah prasyarat berikut:

  1. Buat aplikasi Microsoft Entra.

  2. Konfigurasi izin API untuk aplikasi Anda.

  3. Buat rahasia klien.

Sebaiknya gunakan Konteks Aplikasi, bukan Konteks Pengguna saat mengakses Microsoft Defender for Endpoint API.

Buat aplikasi Microsoft Entra

  1. Login ke portal Azure sebagai administrator pengguna atau administrator sandi.

  2. Pilih Microsoft Entra ID.

  3. Buka App registrations > New registration.

  4. Masukkan nama aplikasi.

  5. Klik Daftar.

  6. Simpan nilai Application (client) ID dan Directory (tenant) ID untuk digunakan nanti saat mengonfigurasi parameter integrasi.

Mengonfigurasi izin API

  1. Buka API Permissions > Add a permission > APIs my organization uses. Dialog Request API permissions akan terbuka.

  2. Di kolom Penelusuran, masukkan WindowsDefenderATP.

  3. Pilih WindowsDefenderATP > Izin aplikasi.

  4. Di bagian jenis izin Pemberitahuan, pilih izin berikut:

    • Alert.Read.All

  5. Klik Add permissions.

  6. Di halaman API Permissions, klik Add a permission.

  7. Pilih Microsoft Graph > Delegated permissions.

  8. Di bagian Pilih Izin, pilih izin berikut yang diperlukan:

    • User.Read

  9. Klik Add permissions.

  10. Di halaman API Permissions, klik Add a permission.

  11. Pilih WindowsDefenderATP > Izin aplikasi.

  12. Di bagian Select Permissions, pilih izin wajib berikut:

    • AdvancedQuery.Read.All
    • Alert.Read.All
    • Alert.ReadWrite.All
    • Event.Write
    • File.Read.All
    • Ip.Read.All
    • Machine.Isolate
    • Machine.Read.All
    • Machine.ReadWrite.All
    • Machine.Scan
    • Machine.StopAndQuarantine
    • Ti.ReadWrite
    • Url.Read.All
    • User.Read.All

  13. Klik Grant admin consent for ORGANIZATION_NAME.

    Saat dialog Konfirmasi pemberian izin admin muncul, klik Ya.

Contoh permintaan API untuk mendapatkan pemberitahuan Defender ATP adalah sebagai berikut (perhatikan parameter $expand yang digunakan untuk mengambil data tentang alamat IP, domain, dan file):

GET /api/alerts?$expand=files,ips,domains HTTP/1.1
Host: api.securitycenter.windows.com
Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJ...
User-Agent: PostmanRuntime/7.19.0
Accept: */ *
Cache-Control: no-cache
Postman-Token: 2dc0f885-068a-45d4-81a6-2da0d23a58ad,d3dd0e6e-83ab-4d27-94d2-0f3889dff324
Host: api.securitycenter.windows.com
Accept-Encoding: gzip, deflate
Connection: keep-alive
cache-control: no-cache

Untuk mempelajari lebih lanjut parameter permintaan dan opsi permintaan seperti filter atau perluas, lihat API Microsoft Defender untuk Endpoint yang didukung dalam dokumentasi Microsoft.

Buat rahasia klien

  1. Buka Certificates and secrets > New client secret.

  2. Berikan deskripsi untuk rahasia klien dan tetapkan tenggat waktu habis masa berlakunya.

  3. Klik Tambahkan.

  4. Simpan nilai rahasia klien (bukan ID rahasia) untuk menggunakannya sebagai nilai parameter Client Secret saat mengonfigurasi integrasi. Nilai rahasia klien hanya ditampilkan satu kali.

Mengaktifkan integrasi SIEM - Tidak digunakan lagi

  1. Di panel navigasi, pilih Setelan > SIEM.

  2. Pilih Aktifkan integrasi SIEM.

Tindakan ini akan mengaktifkan bagian detail akses konektor SIEM dengan nilai yang telah diisi sebelumnya dan aplikasi akan dibuat di tenant Azure AD Anda.

  • Pilih jenis SIEM sebagai Generic API.
  • Salin setiap nilai atau pilih Simpan detail ke file untuk mendownload file yang berisi semua nilai.
  • Anda akan memerlukan nilai yang ditampilkan di halaman ini untuk membuat token guna mengakses data deteksi: Client ID, Client Secret, Resource.

Mengintegrasikan Microsoft Defender ATP dengan Google SecOps

Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.

Parameter integrasi

Untuk mengonfigurasi integrasi, gunakan parameter berikut:

Parameter
Client ID Wajib

ID Klien (Aplikasi) aplikasi Microsoft Entra yang akan digunakan untuk integrasi.
Client Secret Wajib

Nilai rahasia klien aplikasi Microsoft Entra yang akan digunakan untuk integrasi.
Azure Active Directory ID Wajib

Nilai Microsoft Entra ID (ID Tenant).
Verify SSL Opsional

Jika dipilih, akan memverifikasi bahwa sertifikat SSL untuk koneksi ke server Microsoft 365 Defender valid.

Dipilih secara default.
API Root Wajib

URL root API yang akan digunakan dengan integrasi. Untuk performa yang lebih baik, Anda dapat menggunakan server yang paling dekat dengan lokasi Anda:

  • api-us.securitycenter.windows.com
  • api-eu.securitycenter.windows.com
  • api-uk.securitycenter.windows.com

Nilai defaultnya adalah https://api.securitycenter.windows.com.

Tindakan

Ping

Uji konektivitas ke instance Microsoft Defender for Endpoint dengan parameter yang diberikan di halaman konfigurasi integrasi.

Parameter

T/A

Kasus penggunaan

Tindakan ini digunakan untuk menguji konektivitas dan dapat dijalankan sebagai tindakan manual, yang bukan bagian dari playbook.

Dijalankan pada

Tindakan ini dijalankan di semua entity.

Hasil tindakan

Hasil skrip
Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False

Memperkaya Entitas

Memperkaya entitas Host, Alamat IP, atau Hash file Google SecOps berdasarkan informasi dari Microsoft Defender for Endpoint.

Parameter

T/A

Kasus penggunaan

Tindakan ini dapat digunakan dalam playbook yang menyelidiki aktivitas di perangkat. Jika agen Microsoft Defender for Endpoint telah diinstal di perangkat, maka tindakan akan menarik informasi dari Defender ATP di perangkat untuk memperkaya entitas Google SecOps. Tindakan ini juga dapat digunakan untuk memperkaya hash file pemberitahuan dengan informasi dari Defender ATP.

Dijalankan pada

Tindakan ini berjalan di entity berikut:

  • Host
  • Alamat IP
  • Filehash

Hasil tindakan

Hasil skrip
Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False
Hasil JSON

Jika pengayaan berfungsi di Alamat IP atau Host:

[
    {
        "EntityResult": {
            "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Machines/$entity",
            "id": "example_id",
            "computerDnsName": "example-name",
            "firstSeen": "2019-11-18T11:13:04.0588699Z",
            "lastSeen": "2019-11-24T18:31:50.581058Z",
            "osPlatform": "Windows10",
            "osVersion": null,
            "osProcessor": "x64",
            "version": "1803",
            "lastIpAddress": "192.0.2.138",
            "lastExternalIpAddress": "203.0.113.28",
            "agentVersion": "10.4860.17134.982",
            "osBuild": 17134,
            "healthStatus": "Active",
            "rbacGroupId": 0,
            "rbacGroupName": null,
            "riskScore": "High",
            "exposureLevel": "Medium",
            "aadDeviceId": null,
            "machineTags": []
        }
    }
]

Jika pengayaan berfungsi di Filehash:

[
    {
        "EntityResult": {
            "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Files/$entity",
            "sha1": "bdd0d38e113a0c7dd6213cf2e89e6cc6d66b5cdb",
            "sha256": "328954033456d5c13e58fb5bcc6c0232f9f62cb6d9185afa51c7913338992491",
            "md5": "9512e1cc66a1d36feb0a290cab09087b",
            "globalPrevalence": 5205000,
            "globalFirstObserved": "2018-06-22T12:59:21.6460311Z",
            "globalLastObserved": "2019-11-21T00:24:01.921338Z",
            "size": 245760,
            "fileType": "APP",
            "isPeFile": true,
            "filePublisher": "Microsoft Corporation",
            "fileProductName": "Microsoft Windows Operating System",
            "signer": "Microsoft Windows",
            "issuer": "Microsoft Windows Production PCA 2011",
            "signerHash": "419e77aed546a1a6cf4dc23c1f977542fe289cf7",
            "isValidCertificate": true
            },
        "EntityResult": {
            "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#microsoft.windowsDefenderATP.api.InOrgFileStats",
            "sha1": "bdd0d38e113a0c7dd6213cf2e89e6cc6d66b5cdb",
            "orgPrevalence": "1",
            "orgFirstSeen": "2019-11-19T03:54:15Z",
            "orgLastSeen": "2019-11-19T04:21:18Z",
            "globalPrevalence": "5205000",
            "globalFirstObserved": "2018-06-22T12:59:21.6460311Z",
            "globalLastObserved": "2019-11-21T00:24:01.921338Z",
            "topFileNames": ["notepad.exe"]
        }
    }
]
Pengayaan entitas

IP dan Host

Nama Kolom Pengayaan Logika - Kapan harus diterapkan
Defender_ATP.sha1 Menampilkan apakah ada di hasil JSON
Defender_ATP.sha256 Menampilkan apakah ada di hasil JSON
Defender_ATP.md5 Menampilkan apakah ada di hasil JSON
Defender_ATP.globalPrevalence Menampilkan apakah ada di hasil JSON
Defender_ATP.globalFirstObserved Menampilkan apakah ada di hasil JSON
Defender_ATP.globalLastObserved Menampilkan apakah ada di hasil JSON
Defender_ATP.size Menampilkan apakah ada di hasil JSON
Defender_ATP.fileType Menampilkan apakah ada di hasil JSON
Defender_ATP.isPeFile Menampilkan apakah ada di hasil JSON
Defender_ATP.filePublisher Menampilkan apakah ada di hasil JSON
Defender_ATP.fileProductName Menampilkan apakah ada di hasil JSON
Defender_ATP.signer Menampilkan apakah ada di hasil JSON
Defender_ATP.issuer Menampilkan apakah ada di hasil JSON
Defender_ATP.signerHash Menampilkan apakah ada di hasil JSON
Defender_ATP.isValidCertificate Menampilkan apakah ada di hasil JSON
Defender_ATP.orgPrevalence Menampilkan apakah ada di hasil JSON
Defender_ATP.orgFirstSeen Menampilkan apakah ada di hasil JSON
Defender_ATP.orgLastSeen Menampilkan apakah ada di hasil JSON
Defender_ATP.topFileNames Menampilkan apakah ada di hasil JSON

Hash File

Nama Kolom Pengayaan Logika - Kapan harus diterapkan
Defender_ATP.sha1 Menampilkan apakah ada di hasil JSON
Defender_ATP.sha256 Menampilkan apakah ada di hasil JSON
Defender_ATP.md5 Menampilkan apakah ada di hasil JSON
Defender_ATP.globalPrevalence Menampilkan apakah ada di hasil JSON
Defender_ATP.globalFirstObserved Menampilkan apakah ada di hasil JSON
Defender_ATP.globalLastObserved Menampilkan apakah ada di hasil JSON
Defender_ATP.size Menampilkan apakah ada di hasil JSON
Defender_ATP.fileType Menampilkan apakah ada di hasil JSON
Defender_ATP.isPeFile Menampilkan apakah ada di hasil JSON
Defender_ATP.filePublisher Menampilkan apakah ada di hasil JSON
Defender_ATP.fileProductName Menampilkan apakah ada di hasil JSON
Defender_ATP.signer Menampilkan apakah ada di hasil JSON
Defender_ATP.issuer Menampilkan apakah ada di hasil JSON
Defender_ATP.signerHash Menampilkan apakah ada di hasil JSON
Defender_ATP.isValidCertificate Menampilkan apakah ada di hasil JSON
Defender_ATP.orgPrevalence Menampilkan apakah ada di hasil JSON
Defender_ATP.orgFirstSeen Menampilkan apakah ada di hasil JSON
Defender_ATP.orgLastSeen Menampilkan apakah ada di hasil JSON
Defender_ATP.topFileNames Menampilkan apakah ada di hasil JSON

Daftar Pemberitahuan

Mencantumkan pemberitahuan Microsoft Defender for Endpoint berdasarkan kriteria penelusuran yang diberikan. Tindakan ini menampilkan informasi tentang pemberitahuan yang ditemukan dalam bentuk tabel dan tampilan JSON sebagai output tindakan, beserta data pemberitahuan mentah yang disimpan dan dilampirkan ke file JSON output tindakan.

Parameter

Nama Tampilan Parameter Jenis Nilai Default Wajib Diisi Deskripsi
Jangka Waktu Bilangan bulat 3 Tidak Tentukan jangka waktu dalam jam untuk mengambil pemberitahuan.
Status String Tidak Diketahui, Baru, Sedang Berlangsung, Terselesaikan Tidak

Tentukan status pemberitahuan yang akan dicari.

Parameter menerima beberapa nilai sebagai string yang dipisahkan koma.
Keparahan String T/A Tidak

Tentukan tingkat keparahan insiden yang akan dicari.

Jika tidak diberikan, tindakan akan mencari semua tingkat keparahan.

Parameter menerima beberapa nilai sebagai string yang dipisahkan koma.

Kemungkinan Nilai: UnSpecified, Informational, Low, Medium, dan High
Kategori String T/A Tidak

Tentukan kategori pemberitahuan yang akan dicari.

Jika tidak diberikan, tindakan akan mencari semua kategori.

Parameter menerima beberapa nilai sebagai string yang dipisahkan koma.

Nilai yang Mungkin: 'Collection', 'CommandAndControl', 'CredentialAccess', 'DefenseEvasion', 'Discovery', 'Execution', 'Exfiltration', 'Exploit', 'InitialAccess', 'LateralMovement', 'Malware', 'Persistence', 'PrivilegeEscalation', 'Ransomware', 'SuspiciousActivity', 'UnwantedSoftware'.
ID Insiden Bilangan bulat T/A Tidak Tentukan ID Insiden Microsoft Defender yang ingin Anda temukan pemberitahuan terkaitnya.

Kasus penggunaan

Tindakan ini dapat digunakan untuk meninjau peringatan Defender ATP ke server SecOps Google untuk pengguna akhir. Misalnya, saat menangani peringatan yang berasal dari konektor Defender ATP, pengguna mengonfigurasi tindakan "List Warnings" untuk menerima IncidentId peringatan yang diproses sebagai parameter input untuk menarik detail dari server Defender ATP. Ada peringatan lain yang merupakan bagian dari satu Insiden Defender ATP.

Dijalankan pada

Tindakan ini dijalankan di semua entity.

Hasil tindakan

Hasil skrip
Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False
Hasil JSON
{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Alerts",
    "value": [
        {
            "id": "example_id",
            "incidentId": 2,
            "investigationId": null,
            "assignedTo": null,
            "severity": "Medium",
            "status": "New",
            "classification": null,
            "determination": null,
            "investigationState": "UnsupportedAlertType",
            "detectionSource": "WindowsDefenderAtp",
            "category": "Execution",
            "threatFamilyName": null,
            "title": "Unexpected behavior observed by a process run with no command line arguments",
            "description": "The legitimate process by this name does not normally exhibit this behavior when run with no command line arguments. \nSuch unexpected behavior may be a result of extraneous code injected into a legitimate process, or a malicious executable masquerading as the legitimate one by name.",
            "alertCreationTime": "2019-11-19T03:56:35.3007009Z",
            "firstEventTime": "2019-11-19T03:54:16.0441057Z",
            "lastEventTime": "2019-11-19T03:54:16.0441057Z",
            "lastUpdateTime": "2019-11-19T03:56:38.45Z",
            "resolvedTime": null,
            "machineId": "machine-id",
            "alertUser": null,
            "comments": [],
            "alertFiles": [],
            "alertDomains": [],
            "alertIps": [],
            "alertProcesses": []
            }
    ]
}

Perbarui Notifikasi

Memperbarui Pemberitahuan Microsoft Defender untuk Endpoint tertentu. Tindakan ini dapat digunakan untuk menutup pemberitahuan di Microsoft Defender untuk Endpoint.

Parameter

Parameter Jenis Nilai Default Wajib Diisi Deskripsi
ID pemberitahuan String T/A Ya Tentukan ID Pemberitahuan Microsoft Defender untuk Endpoint yang akan diperbarui.
Status DDL

Baru

Nilai yang Mungkin:

  • Baru
  • InProgress
  • Selesai
 Tidak Tentukan status notifikasi yang akan diperbarui.
Ditugaskan Kepada String T/A Tidak Tentukan info pengguna jika Anda ingin memperbarui kolom ini.
Klasifikasi DDL

Tidak diketahui

Nilai yang Mungkin:

  • Tidak diketahui
  • FalsePositive
  • TruePositive
 Tidak Tentukan klasifikasi untuk memperbarui pemberitahuan.
Penetapan DDL

NotAvailable

Nilai yang Mungkin:

  • NotAvailable
  • Apt
  • Malware
  • SecurityPersonnel
  • SecurityTesting
  • UnwantedSoftware
  • Lainnya
 Tidak Tentukan penentuan untuk memperbarui pemberitahuan.

Kasus penggunaan

  • Gunakan tindakan untuk memperbarui peringatan Defender ATP.

  • Gunakan tindakan ini untuk melakukan intervensi dalam alur kerja yang melibatkan analisis peringatan Defender ATP.

    Setelah pemberitahuan diproses di Google SecOps, Anda dapat mengabaikan pemberitahuan Defender ATP agar daftar pemberitahuan Defender ATP dan Google SecOps tetap selaras. Selain itu, Anda dapat mengubah pemberitahuan untuk menampilkan progres analisis pemberitahuan (misalnya, menetapkan atribut assignedTo atau menetapkan status pemberitahuan ke inProgress).

Dijalankan pada

Tindakan ini dijalankan di semua entity.

Hasil tindakan

Hasil skrip
Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False
Hasil JSON
{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Alerts/$entity",
    "id": "example-id",
    "incidentId": 1,
    "investigationId": null,
    "assignedTo": null,
    "severity": "Informational",
    "status": "Resolved",
    "classification": null,
    "determination": null,
    "investigationState": "UnsupportedAlertType",
    "detectionSource": "WindowsDefenderAtp",
    "category": "Execution",
    "threatFamilyName": null,
    "title": "[Test Alert] Suspicious Powershell commandline",
    "description": "*** This is a test alert ***\nA suspicious Powershell commandline was found on the machine. This commandline might be used during installation, exploration, or in some cases with lateral movement activities which are used by attackers to invoke modules, download external payloads, and get more information about the system. Attackers usually use Powershell to bypass security protection mechanisms by executing their payload in memory without touching the disk and leaving any trace.",
    "alertCreationTime": "2019-11-18T11:17:48.287421Z",
    "firstEventTime": "2019-11-18T11:15:06.5226815Z",
    "lastEventTime": "2019-11-18T11:15:06.5226815Z",
    "lastUpdateTime": "2019-11-20T04:12:03.6066667Z",
    "resolvedTime": "2019-11-20T04:12:03.4976288Z",
    "machineId": "machine-id",
    "alertUser": {
        "accountName": "Administrator",
        "domainName": "example-domain"
    },
    "comments": [],
    "alertFiles": [
        {
            "sha1": "3ce71813199abae99348f61f0caa34e2574f831c",
            "sha256": "9a7c58bd98d70631aa1473f7b57b426db367d72429a5455b433a05ee251f3236",
            "filePath": "C:\\Windows\\System32\\cmd.exe",
            "fileName": "cmd.exe"
        },
        {
            "sha1": "1b3b40fbc889fd4c645cc12c85d0805ac36ba254",
            "sha256": "d3f8fade829d2b7bd596c4504a6dae5c034e789b6a3defbe013bda7d14466677",
            "filePath": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
            "fileName": "powershell.exe"
        }
    ],
    "alertDomains": [],
    "alertIps": [],
    "alertProcesses": []
}

Mencantumkan Mesin

Mendapatkan informasi tentang komputer yang terdaftar di server Microsoft Defender for Endpoint berdasarkan parameter yang diberikan untuk penelusuran.

Parameter

Parameter Jenis Nilai Default Wajib Diisi Deskripsi
Jangka Waktu Terakhir Dilihat Bilangan bulat T/A Tidak Tentukan jangka waktu terakhir terlihat untuk dicari dalam jam.
Nama Perangkat String T/A Tidak Tentukan nama lengkap mesin yang akan dicari.
Alamat IP Mesin String T/A Tidak Tentukan alamat IP komputer yang akan dicari.
Skor Risiko Mesin String Tidak Ada, Rendah, Sedang, Tinggi Tidak

Tentukan skor risiko mesin yang akan dicari.

Parameter menerima beberapa nilai sebagai string yang dipisahkan koma.
Status Kesehatan Mesin String Aktif, Tidak Aktif, GangguanKomunikasi, TidakAdaDataSensor, TidakAdaDataSensorGangguanKomunikasi Tidak

Tentukan status kesehatan mesin yang akan dicari.

Parameter menerima beberapa nilai sebagai string yang dipisahkan koma.
Platform OS Mesin String T/A Tidak Tentukan platform OS mesin yang akan dicari.
ID Grup RBAC String T/A Tidak Tentukan ID Grup RBAC yang akan dicari.

Kasus penggunaan

Tindakan ini dapat digunakan untuk tujuan investigasi guna mendapatkan informasi tentang perangkat yang terdaftar di server Defender ATP. Tindakan ini sebagian besar digunakan sebagai tindakan manual, agar pengguna tidak perlu beralih kembali ke konsol Defender ATP dan mencari komputer mana yang sedang menjalankan agen Defender ATP.

Dijalankan pada

Tindakan ini dijalankan di semua entity.

Hasil tindakan

Hasil skrip
Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False
Hasil JSON
{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Machines",
    "value": [
        {
            "id": "example-id",
            "computerDnsName": "example-name",
            "firstSeen": "2019-11-18T11:13:04.0588699Z",
            "lastSeen": "2019-11-20T09:59:28.0646303Z",
            "osPlatform": "Windows10",
            "osVersion": null,
            "osProcessor": "x64",
            "version": "1803",
            "lastIpAddress": "192.0.2.138",
            "lastExternalIpAddress": "203.0.113.35",
            "agentVersion": "10.4860.17134.982",
            "osBuild": 17134,
            "healthStatus": "Active",
            "rbacGroupId": 0,
            "rbacGroupName": null,
            "riskScore": "High",
            "exposureLevel": "Medium",
            "aadDeviceId": null,
            "machineTags": []
        },{
            "id": "example-id",
            "computerDnsName": "example-name",
            "firstSeen": "2019-11-20T08:36:16.2721384Z",
            "lastSeen": "2019-11-20T08:36:52.7182837Z",
            "osPlatform": "Windows10",
            "osVersion": null,
            "osProcessor": "x64",
            "version": "1803",
            "lastIpAddress": "192.0.2.141",
            "lastExternalIpAddress": "203.0.113.35",
            "agentVersion": "10.4850.17134.191",
            "osBuild": 17134,
            "healthStatus": "Active",
            "rbacGroupId": 0,
            "rbacGroupName": null,
            "riskScore": "None",
            "exposureLevel": "Medium",
            "aadDeviceId": null,
            "machineTags": []
        }
    ]
}

Mendapatkan Log Mesin pada Pengguna

Mendapatkan informasi tentang login pengguna di mesin tertentu.

Parameter

T/A

Kasus penggunaan

Tindakan ini dapat digunakan untuk tujuan penyelidikan guna mendapatkan detail spesifik tentang pengguna yang login di komputer yang dimaksud dari server Defender ATP.

Dijalankan pada

Tindakan ini berjalan di entity berikut:

  • Host
  • Alamat IP

Hasil tindakan

Hasil skrip
Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False
Hasil JSON
{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Users",
    "value": [
        {
            "id": "example\\example.user",
            "accountName": "example.user",
            "accountDomain": "example",
            "accountSid": null,
            "firstSeen": "2019-11-19T03:50:36Z",
            "lastSeen": "2019-11-19T03:50:36Z",
            "mostPrevalentMachineId": null,
            "leastPrevalentMachineId": null,
            "logonTypes": "Interactive",
            "logOnMachinesCount": 1,
            "isDomainAdmin": false,
            "isOnlyNetworkUser": null
        }
    ]
}

Mendapatkan pemberitahuan terkait mesin tertentu yang terdaftar di Defender ATP.

Parameter

Parameter Jenis Nilai Default Wajib Diisi Deskripsi
Status String Tidak Diketahui, Baru, Sedang Berlangsung, Terselesaikan Tidak

Tentukan status pemberitahuan yang akan dicari.

Parameter menerima beberapa nilai sebagai string yang dipisahkan koma.
Keparahan String Tidak Ditentukan, Informasi, Rendah, Sedang, Tinggi Tidak

Tentukan tingkat keparahan insiden yang akan dicari.

Parameter menerima beberapa nilai sebagai string yang dipisahkan koma.
Kategori String T/A Tidak

Tentukan kategori pemberitahuan yang akan dicari.

Jika tidak diberikan, tindakan akan mencari semua kategori.

Parameter menerima beberapa nilai sebagai string yang dipisahkan koma.

Nilai yang Mungkin: 'Collection', 'CommandAndControl', 'CredentialAccess', 'DefenseEvasion', 'Discovery', 'Execution', 'Exfiltration', 'Exploit', 'InitialAccess', 'LateralMovement', 'Malware', 'Persistence', 'PrivilegeEscalation', 'Ransomware', 'SuspiciousActivity', 'UnwantedSoftware'.
ID Insiden Bilangan bulat T/A Tidak Tentukan ID Insiden Microsoft Defender yang ingin Anda temukan pemberitahuan terkaitnya.

Kasus penggunaan

Tindakan ini dapat digunakan untuk tujuan investigasi guna mendapatkan pemberitahuan terkait komputer tertentu yang dipermasalahkan dari server Defender ATP.

Dijalankan pada

Tindakan ini berjalan di entity berikut:

  • Host
  • Alamat IP

Hasil tindakan

Hasil skrip
Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False
Hasil JSON
{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Alerts",
    "value": [
        {
            "id": "example-id",
            "incidentId": 1,
            "investigationId": null,
            "assignedTo": "testuser@example.com",
            "severity": "Informational",
            "status": "Resolved",
            "classification": "FalsePositive",
            "determination": "SecurityTesting",
            "investigationState": "UnsupportedAlertType",
            "detectionSource": "WindowsDefenderAtp",
            "category": "Execution",
            "threatFamilyName": null,
            "title": "[Test Alert] Suspicious Powershell commandline",
            "description": "*** This is a test alert ***\nA suspicious Powershell commandline was found on the machine. This commandline might be used during installation, exploration, or in some cases with lateral movement activities which are used by attackers to invoke modules, download external payloads, and get more information about the system. Attackers usually use Powershell to bypass security protection mechanisms by executing their payload in memory without touching the disk and leaving any trace.",
            "alertCreationTime": "2019-11-18T11:17:48.287421Z",
            "firstEventTime": "2019-11-18T11:15:06.5226815Z",
            "lastEventTime": "2019-11-18T11:15:06.5226815Z",
            "lastUpdateTime": "2019-11-20T04:12:03.91Z",
            "resolvedTime": "2019-11-20T04:12:03.4976288Z",
            "machineId": "machine-id",
            "alertUser": {
                "accountName": "Administrator",
                "domainName": "US-LT-V13007"
            },
            "comments": [],
            "alertFiles": [
                {
                    "sha1": "3ce71813199abae99348f61f0caa34e2574f831c",
                    "sha256": "9a7c58bd98d70631aa1473f7b57b426db367d72429a5455b433a05ee251f3236",
                    "filePath": "C:\\Windows\\System32\\cmd.exe",
                    "fileName": "cmd.exe"
                },
                {
                    "sha1": "1b3b40fbc889fd4c645cc12c85d0805ac36ba254",
                    "sha256": "d3f8fade829d2b7bd596c4504a6dae5c034e789b6a3defbe013bda7d14466677",
                    "filePath": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
                    "fileName": "powershell.exe"
                }
            ],
            "alertDomains": [],
            "alertIps": [],
            "alertProcesses": []
        }
    ]
}

Mesin Isolasi

Mengisolasi perangkat menggunakan Microsoft Defender untuk Endpoint. Mesin dapat disetel dalam isolasi penuh atau isolasi selektif. Aplikasi Outlook, Skype for Business, dan Teams akan terus berfungsi di komputer yang sedang diisolasi.

Parameter

Nama Tampilan Parameter Jenis Nilai Default Wajib Diisi Deskripsi
Jenis Isolasi DDL

Penuh

Nilai yang Mungkin:

  • Penuh
  • Selektif
 Ya Tentukan jenis isolasi.
Komentar String T/A Ya Tuliskan komentar tentang alasan mesin perlu diisolasi.
Buat Insight? Kotak centang Dicentang Jika diaktifkan, tindakan ini akan membuat Insight Google SecOps dengan informasi terkait jika berhasil dieksekusi.

Kasus penggunaan

Mengisolasi komputer yang dianggap terinfeksi. Misalnya, notifikasi konektor Defender ATP dimasukkan ke server Google SecOps, dan selama analisis notifikasi, ditemukan bahwa terkait dengan mesin notifikasi (entitas Kasus), mesin tersebut dapat terinfeksi dan perlu diisolasi.

Dijalankan pada

Tindakan ini berjalan pada tindakan berikut:

  • Host
  • Alamat IP

Hasil tindakan

Hasil skrip

Benar jika Endpoint API yang ditampilkan untuk setiap entity yang disediakan dijalankan, status 201, dalam Respons JSON "status": "Pending", yang menunjukkan bahwa permintaan API berhasil dieksekusi. Jika tindakan gagal untuk setidaknya salah satu entitas, hasil akhir harus gagal (False).

Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False
Hasil JSON
{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#MachineActions/$entity",
    "id": "example-id",
    "type": "Isolate",
    "requestor": "requestor-id",
    "requestorComment": "Machine Isolation due to alert ...",
    "status": "Pending",
    "machineId": "machine-id",
    "creationDateTimeUtc": "2019-11-21T03:55:59.5419077Z",
    "lastUpdateDateTimeUtc": "2019-11-21T03:55:59.5419077Z",
    "cancellationRequestor": null,
    "cancellationComment": null,
    "cancellationDateTimeUtc": null,
    "errorHResult": 0,
    "scope": null,
    "relatedFileInfo": null
}
Insight
  • Logika Insight: Jika komputer diisolasi menggunakan agen Defender ATP, buat insight untuk menunjukkan hal ini.
  • Jenis: Entitas.
  • Title (String): entity.
  • IdentifierMessage: "Host diisolasi menggunakan Microsoft Defender for Endpoint."

Unisolate Machine

Membatalkan isolasi perangkat yang sebelumnya diisolasi menggunakan Microsoft Defender for Endpoint.

Parameter

Nama Tampilan Parameter Jenis Nilai Default Wajib Diisi Deskripsi
Komentar String T/A Ya Tentukan komentar tentang alasan mesin perlu dikeluarkan dari isolasi.
Buat Insight? Kotak centang Dicentang Jika diaktifkan, tindakan ini akan membuat Insight Google SecOps dengan informasi terkait jika berhasil dieksekusi.

Kasus penggunaan

Tindakan ini dapat digunakan untuk situasi saat komputer sudah diisolasi, tetapi dengan data baru yang dikumpulkan selama pemrosesan playbook (misalnya, komputer pertama diisolasi, lalu kita membuat indikator ancaman untuk file yang mencurigakan, dan menjalankan tindakan "Hentikan dan Karantina" untuk menghapus file ini dari komputer yang terpengaruh), kita dapat menganggapnya aman untuk menghapus komputer yang terpengaruh dari isolasi.

Dijalankan pada

Tindakan ini berjalan di entity berikut:

  • Host
  • Alamat IP

Hasil tindakan

Hasil skrip

Benar jika Endpoint API yang ditampilkan untuk setiap entity yang disediakan dijalankan, status 201, dalam Respons JSON "status": "Pending", yang menunjukkan bahwa permintaan API berhasil dieksekusi. Jika tindakan gagal untuk setidaknya salah satu entitas, hasil akhir harus gagal (False).

Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False
Hasil JSON
{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#MachineActions/$entity",
    "id": "example-id",
    "type": "Unisolate",
    "requestor": "requestor-id",
    "requestorComment": "Unisolate machine due to the following remediation measures taken...",
    "status": "Pending",
    "machineId": "machine-id",
    "creationDateTimeUtc": "2019-11-21T03:59:34.7389352Z",
    "lastUpdateDateTimeUtc": "2019-11-21T03:59:34.7389352Z",
    "cancellationRequestor": null,
    "cancellationComment": null,
    "cancellationDateTimeUtc": null,
    "errorHResult": 0,
    "scope": null,
    "relatedFileInfo": null
}
Insight
  • Jenis: Entity
  • Judul: entitas.
  • IdentifierMessage: Isolasi Microsoft Defender for Endpoint telah dihapus.

Menjalankan Pemindaian Antivirus

Mulai pemindaian antivirus di host menggunakan Microsoft Defender untuk Endpoint. Dua jenis pemindaian Defender ATP tersedia: Penuh atau Cepat.

Parameter

Nama Tampilan Parameter Jenis Nilai Default Wajib Diisi Deskripsi
Jenis Pemindaian Antivirus DDL

Penuh

Nilai yang Mungkin:

  • Penuh
  • Cepat
 Ya Tentukan apakah akan memulai pemindaian antivirus Penuh atau Cepat di komputer.
Komentar String T/A Ya Tentukan komentar tentang alasan pemindaian antivirus perlu dijalankan di komputer.

Kasus penggunaan

Pemberitahuan berasal dari konektor Defender ATP, selama pemrosesan pemberitahuan, indikator kompromi malware ditemukan di komputer yang terkait dengan entitas kasus Google SecOps, dan karena itu, pengguna memutuskan untuk menjalankan pemindaian antivirus di komputer untuk mencoba menemukan malware di host.

Dijalankan pada

Tindakan ini berjalan di entity berikut:

  • Host
  • Alamat IP

Hasil tindakan

Hasil skrip

Benar jika Endpoint API yang ditampilkan untuk setiap entity yang disediakan dijalankan, status 201, dalam Respons JSON "status": "Pending", yang menunjukkan bahwa permintaan API berhasil dieksekusi. Jika tindakan gagal untuk setidaknya salah satu entitas, hasil akhir harus gagal (False).

Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False
Hasil JSON
{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#MachineActions/$entity",
    "id": "example-id",
    "type": "RunAntiVirusScan",
    "requestor": "requestor_id",
    "requestorComment": "Run antivirus scan on suspect",
    "status": "Pending",
    "machineId": "machine-id",
    "creationDateTimeUtc": "2019-11-21T11:07:06.611628Z",
    "lastUpdateDateTimeUtc": "2019-11-21T11:07:06.611628Z",
    "cancellationRequestor": null,
    "cancellationComment": null,
    "cancellationDateTimeUtc": null,
    "errorHResult": 0,
    "scope": null,
    "relatedFileInfo": null
}

Menghentikan dan Mengarantina File di Mesin Tertentu

Menghentikan eksekusi file di mesin tertentu dan mengarantinanya menggunakan agen Microsoft Defender ATP. Tindakan ini berfungsi dengan entity Host atau IP Google SecOps.

Parameter

Nama Tampilan Parameter Jenis Nilai Default Wajib Diisi Deskripsi
Hash File SHA1 untuk Dikarantina String T/A Ya

Tentukan hash file SHA-1 dari file yang akan dihentikan dan dikarantina.

Catatan: Hash SHA-1 harus dalam register bawah agar tindakan dapat menemukan file yang cocok.
Komentar String T/A Ya Tentukan komentar tentang alasan pemindaian antivirus perlu dijalankan di komputer.
Buat Insight? Kotak centang Dicentang Jika diaktifkan, tindakan akan membuat Insight Google SecOps dengan informasi terkait jika berhasil dieksekusi.

Kasus penggunaan

Selama pemrosesan pemberitahuan yang berasal dari konektor Defender ATP, tindakan "Hentikan dan Karantina File" dapat digunakan untuk memblokir eksekusi file tertentu guna mencegah kompromi pada mesin. Kebutuhan akan tindakan ini mungkin berasal dari perburuan lanjutan, dan pengguna mungkin menemukan beberapa file yang berpotensi berbahaya yang saat ini ingin diblokir pengguna di satu mesin.

Dijalankan pada

Tindakan ini berjalan di entity berikut:

  • Host
  • Alamat IP

Hasil tindakan

Hasil skrip

Dapat berupa Benar atau Salah. Benar jika Endpoint API yang ditampilkan untuk setiap entitas yang disediakan berjalan di status 201, dalam Respons JSON "status": "Pending", yang menunjukkan bahwa permintaan API berhasil dieksekusi. Jika tindakan gagal untuk setidaknya satu entitas, hasil akhir harus gagal (False).

Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False
Hasil JSON
{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#MachineActions/$entity",
    "id": "example-id",
    "type": "StopAndQuarantineFile",
    "requestor": "requestor-id",
    "requestorComment": "Stopping and quarantining putty",
    "status": "Pending",
    "machineId": "machine-id",
    "creationDateTimeUtc": "2019-11-25T10:05:21.3641296Z",
    "lastUpdateDateTimeUtc": "2019-11-25T10:05:21.3641296Z",
    "cancellationRequestor": null,
    "cancellationComment": null,
    "cancellationDateTimeUtc": null,
    "errorHResult": 0,
    "scope": null,
    "relatedFileInfo": {
        "fileIdentifier": "d932604ab8e9debe475415851fd26929a0c0dcd1",
        "fileIdentifierType": "Sha1"
    }
}
Insight
  • Jenis: Entitas.
  • Title (String): entity.
  • IdentifierMessage (String): "File dengan Filehash SHA-1 {0} dihentikan dan dikarantina pada {1}". format (filehash,entity.Identifier).

Mendapatkan notifikasi terkait file dari Microsoft Defender for Endpoint berdasarkan hash file.

Parameter

Nilai Tampilan Parameter Jenis Nilai Default Wajib Diisi Deskripsi
Status String Tidak Diketahui, Baru, Sedang Berlangsung, Terselesaikan Tidak

Tentukan status pemberitahuan yang akan dicari.

Parameter menerima beberapa nilai sebagai string yang dipisahkan koma.
Keparahan String Tidak Ditentukan, Informasi, Rendah, Sedang, Tinggi TIDAK

Tentukan tingkat keparahan insiden yang akan dicari.

Parameter menerima beberapa nilai sebagai string yang dipisahkan koma.
Kategori String T/A Tidak

Tentukan kategori pemberitahuan yang akan dicari.

Jika tidak diberikan, tindakan akan mencari semua kategori.

Parameter menerima beberapa nilai sebagai string yang dipisahkan koma.

Nilai yang Mungkin: 'Collection', 'CommandAndControl', 'CredentialAccess', 'DefenseEvasion', 'Discovery', 'Execution', 'Exfiltration', 'Exploit', 'InitialAccess', 'LateralMovement', 'Malware', 'Persistence', 'PrivilegeEscalation', 'Ransomware', 'SuspiciousActivity', 'UnwantedSoftware'.
ID Insiden Bilangan bulat T/A Tidak Tentukan ID Insiden Microsoft Defender yang ingin Anda temukan pemberitahuan terkaitnya.

‌Kasus penggunaan

Saat menyelidiki pemberitahuan yang berasal dari konektor Defender ATP, tindakan ini dapat digunakan untuk mengumpulkan informasi jika file ini terkait dengan pemberitahuan apa pun untuk mendapatkan insight apakah file tersebut berbahaya atau tidak.

Run On

Tindakan ini dijalankan pada entity Filehash.

Hasil tindakan

Hasil skrip
Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False
Hasil JSON
{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Alerts",
    "value": [
        {
            "id": "example_id",
            "incidentId": 2,
            "investigationId": 1,
            "assignedTo": null,
            "severity": "Medium",
            "status": "New",
            "classification": null,
            "determination": null,
            "investigationState": "TerminatedBySystem",
            "detectionSource": "WindowsDefenderAtp",
            "category": "DefenseEvasion",
            "threatFamilyName": null,
            "title": "Suspicious process injection observed",
            "description": "A process abnormally injected code into another process, As a result, unexpected code may be running in the target process memory. Injection is often used to hide malicious code execution within a trusted process. \nAs a result, the target process may exhibit abnormal behaviors such as opening a listening port or connecting to a command and control server.",
            "alertCreationTime": "2019-11-19T03:56:37.7335862Z",
            "firstEventTime": "2019-11-19T03:54:15.7698362Z",
            "lastEventTime": "2019-11-19T03:54:15.7698362Z",
            "lastUpdateTime": "2019-11-20T10:13:31.7266667Z",
            "resolvedTime": null,
            "machineId": "machine-id",
            "alertUser": {
                "accountName": "example.user",
                "domainName": "EXAMPLELAB"
            },
            "comments": [],
            "alertFiles": [
                {
                    "sha1": "1b3b40fbc889fd4c645cc12c85d0805ac36ba254",
                    "sha256": "d3f8fade829d2b7bd596c4504a6dae5c034e789b6a3defbe013bda7d14466677",
                    "filePath": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
                    "fileName": "powershell.exe"
                },{
                    "sha1": "bdd0d38e113a0c7dd6213cf2e89e6cc6d66b5cdb",
                    "sha256": "328954033456d5c13e58fb5bcc6c0232f9f62cb6d9185afa51c7913338992491",
                    "filePath": "C:\\Windows\\System32\\notepad.exe",
                    "fileName": "notepad.exe"
                }
            ],
            "alertDomains": [],
            "alertIps": [],
            "alertProcesses": []
        }
    ]
}

Mendapatkan komputer yang terkait dengan file dari Microsoft Defender for Endpoint berdasarkan hash file.

Parameter

Nama Tampilan Parameter Jenis Nilai Default Wajib Diisi Deskripsi
Nama Perangkat String T/A Tidak Tentukan nama lengkap mesin yang akan dicari.
Alamat IP Mesin String T/A Tidak Tentukan alamat IP komputer yang akan dicari.
Skor Risiko Mesin String T/A Tidak

Tentukan skor risiko mesin yang akan dicari.

Parameter menerima beberapa nilai sebagai string yang dipisahkan koma.
Status Kesehatan Mesin String Aktif, Tidak Aktif, GangguanKomunikasi, TidakAdaDataSensor, TidakAdaDataSensorGangguanKomunikasi Tidak

Tentukan status kesehatan mesin yang akan dicari.

Parameter menerima beberapa nilai sebagai string yang dipisahkan koma.
Platform OS Mesin String T/A Tidak Tentukan platform OS mesin yang akan dicari.
ID Grup RBAC String T/A Tidak Tentukan ID Grup RBAC yang akan dicari.

Kasus penggunaan

Saat menyelidiki pemberitahuan yang berasal dari konektor Defender ATP, tindakan ini dapat digunakan untuk mengumpulkan informasi tentang mesin mana yang file ini terdaftar di Defender ATP.

Dijalankan pada

Tindakan ini dijalankan pada entity Filehash.

Hasil tindakan

Hasil skrip
Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False
Hasil JSON
{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Machines",
    "value": [
        {
            "id": "example_id",
            "computerDnsName": "example-name",
            "firstSeen": "2019-11-18T11:13:04.0588699Z",
            "lastSeen": "2019-11-20T19:35:36.4619266Z",
            "osPlatform": "Windows10",
            "osVersion": null,
            "osProcessor": "x64",
            "version": "1803",
            "lastIpAddress": "192.0.2.1",
            "lastExternalIpAddress": "203.0.113.121",
            "agentVersion": "10.4860.17134.982",
            "osBuild": 17134,
            "healthStatus": "Active",
            "rbacGroupId": 0,
            "rbacGroupName": null,
            "riskScore": "High",
            "exposureLevel": "Medium",
            "aadDeviceId": null,
            "machineTags": []
        }
    ]
}

Menjalankan Kueri Perburuan Tingkat Lanjut

Jalankan kueri perburuan tingkat lanjut Microsoft Defender untuk Endpoint. Perhatikan bahwa tanda petik, baris baru, atau simbol khusus lainnya harus di-escape, misalnya, gunakan backslash untuk meng-escape tanda petik.

Parameter

Nama Tampilan Parameter Jenis Nilai Default Wajib Deskripsi
Nama Tampilan Parameter Jenis Nilai Default Wajib Diisi Deskripsi
Kueri String T/A Ya Kueri perburuan lanjutan yang akan dieksekusi.

Kasus penggunaan

Pengguna dapat memiliki kueri perburuan yang ingin digunakan untuk membuat kueri data yang dikumpulkan di Defender ATP selama pemrosesan Alert Defender tertentu, dengan tindakan ini pengguna dapat menjalankan kueri perburuan lanjutan tersebut.

Dijalankan pada

Tindakan ini dijalankan di semua entity.

Hasil tindakan

Hasil skrip
Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False
Hasil JSON
{
    "Stats": {
        "ExecutionTime": 0.0156652,
        "resource_usage": {
            "cache": {
                "memory": {
                    "hits": 13,
                    "misses": 0,
                    "total": 13
                },
                "disk": {
                    "hits": 0,
                    "misses": 0,
                    "total": 0
                }
            },
            "cpu": {
                "user": "00:00:00.0156250",
                "kernel": "00:00:00",
                "total cpu": "00:00:00.0156250"
            },
            "memory": {
                "peak_per_node": 33554624
            }
        },
        "dataset_statistics": [
            {
                "table_row_count": 2,
                "table_size": 60
            }
        ]
    },
    "Schema": [
        {
            "Name": "EventTime",
            "Type": "DateTime"
        },
        {
            "Name": "FileName",
            "Type": "String"
        },
        {
            "Name": "InitiatingProcessFileName",
            "Type": "String"
        }
    ],
    "Results": [
        {
            "EventTime": "2019-11-18T11:13:07.043128Z",
            "FileName": "csc.exe",
            "InitiatingProcessFileName": "powershell.exe"
        },
        {
            "EventTime": "2019-11-19T03:54:14.4256361Z",
            "FileName": "csc.exe",
            "InitiatingProcessFileName": "powershell.exe"
        }
    ]
}

Menunggu Status Tugas

Tunggu status tugas.

Parameter

Nama Tampilan Parameter Jenis Nilai Default Wajib Diisi Deskripsi
ID Tugas String T/A Ya Daftar ID tugas sebagai string yang dipisahkan koma.

Dijalankan pada

Tindakan ini dijalankan di semua entity.

Hasil tindakan

Hasil skrip
Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False
Hasil JSON
[
    {
        "status": "Succeeded",
        "creation_date_time_utc": "2020-02-08T03:24:52.8526634Z",
        "cancellation_requestor": null,
        "cancellation_date_time_utc": null,
        "id": "2e39d22e-60a7-4267-899c-a1471e800000",
        "last_update_date_time_utc": "2020-02-08T03:25:35.8345081Z",
        "related_file_info": null,
        "cancellation_comment": null,
        "requestor": "e4fc6454-754d-47f7-bbdb-045fad600000",
        "error_h_result": 0,
        "scope": "Selective",
        "machine_id": "fbc85cf3fbcc8bb14d1a84fcf7bbae4531f00000",
        "type": "Isolate",
        "requestor_comment": "test"
    }
]

Mendapatkan Status Tugas Saat Ini

Mendapatkan status tugas saat ini.

Parameter

Nama Tampilan Parameter Jenis Nilai Default Wajib Diisi Deskripsi
ID Tugas String T/A Ya Daftar ID tugas sebagai string yang dipisahkan koma.

Dijalankan pada

Tindakan ini dijalankan di semua entity.

Hasil tindakan

Hasil skrip
Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False
Hasil JSON
[
    {
        "status": "Succeeded",
        "creation_date_time_utc": "2020-02-08T03:24:52.8526634Z",
        "cancellation_requestor": null,
        "cancellation_date_time_utc": null,
        "id": "2e39d22e-60a7-4267-899c-a1471e800000",
        "last_update_date_time_utc": "2020-02-08T03:25:35.8345081Z",
        "related_file_info": null,
        "cancellation_comment": null,
        "requestor": "e4fc6454-754d-47f7-bbdb-045fad600000",
        "error_h_result": 0,
        "scope": "Selective",
        "machine_id": "fbc85cf3fbcc8bb14d1a84fcf7bbae4531f00000",
        "type": "Isolate",
        "requestor_comment": "test"
    }
]

Mengirimkan Indikator Entitas

Mengirimkan entitas sebagai indikator di Microsoft Defender untuk Endpoint.

Parameter

Nama Tampilan Parameter Jenis Nilai Default Wajib Diisi Deskripsi
Tindakan DDL

Blokir

Nilai yang Mungkin:

  • Blokir
  • Audit
  • Blokir dan Perbaiki
  • Izinkan
 Ya

Tentukan tindakan yang perlu diterapkan pada entitas.

Catatan: Nilai "Blokir dan Perbaiki" hanya didukung untuk entitas filehash.
Keparahan DDL

Tinggi

Nilai yang Mungkin:

  • Tinggi
  • Sedang
  • Rendah
  • Informatif
 Ya Menentukan tingkat keparahan untuk entitas yang ditemukan.
Aplikasi String T/A Tidak Tentukan aplikasi yang terkait dengan entitas.
Judul Peringatan Indikator String T/A Ya Tentukan judul untuk pemberitahuan, jika diidentifikasi di lingkungan.
Deskripsi String Perbaikan Google SecOps Ya Tentukan deskripsi untuk entitas.
Tindakan yang Disarankan String T/A Tidak Tentukan tindakan yang direkomendasikan untuk penanganan entity.

Dijalankan pada

Tindakan ini berjalan di entity berikut:

  • Alamat IP
  • URL
  • Filehash

Hasil tindakan

Hasil skrip
Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False
Repositori kasus
Jenis Hasil Nilai / Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika data tersedia untuk satu entitas (is_success = true): "Berhasil mengirimkan entitas berikut sebagai indikator ke Microsoft Defender for Endpoint: {entity.identifier}".

Jika data tidak tersedia untuk satu entitas (is_success=true): "Tindakan tidak dapat mengirimkan entitas berikut sebagai indikator ke Microsoft Defender for Endpoint: {entity.identifier}".

Jika kode status 403 dilaporkan untuk satu entity: "Instance tidak memiliki izin yang cukup untuk mengirimkan entity berikut: {entity.identifier}

Jika data tidak tersedia untuk semua entitas (is_success=false): "Tidak ada entitas yang diberikan yang dikirimkan sebagai indikator ke Microsoft Defender for Endpoint."

Jika entitas sudah menjadi indikator: "Entitas berikut sudah menjadi indikator di Microsoft Defender untuk Endpoint: {entity.identifier}"

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika terjadi error fatal, seperti kredensial yang salah, tidak ada koneksi ke server, lainnya: "Error saat menjalankan tindakan "Kirim Indikator Entitas". Alasan: {0}''.format(error.Stacktrace)

Jika kode status 403 dilaporkan untuk semua entitas: "Error saat menjalankan tindakan "Kirim Indikator Entitas". Alasan: tidak ada indikator yang dibuat karena izin instance, periksa konfigurasi.''.

 Umum

Menghapus Indikator Entitas

Menghapus indikator entitas di Microsoft Defender for Endpoint.

Parameter

T/A

Dijalankan pada

Tindakan ini berjalan di entity berikut:

  • Alamat IP
  • URL
  • Filehash

Hasil tindakan

Hasil skrip
Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False
Repositori kasus
Jenis Hasil Nilai / Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika kode status 204 dilaporkan (is_success=true): "Berhasil menghapus entitas berikut sebagai indikator di Microsoft Defender for Endpoint: {entity.identifier}.

Jika insiden tidak ditemukan (is_success=true): "Entitas berikut tidak ada sebagai indikator di Microsoft Defender for Endpoint: {entity.identifier}.

Tindakan harus gagal dan menghentikan eksekusi playbook:

Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Hapus Indikator Entitas". Alasan: {0}''.format(error.Stacktrace)

 Umum

Mencantumkan Indikator

Mencantumkan indikator di Microsoft Defender untuk Endpoint.

Parameter

Nama Tampilan Parameter Jenis Nilai Default Wajib Diisi Deskripsi
Indikator CSV T/A Tidak Tentukan daftar indikator yang dipisahkan koma yang ingin Anda ambil.
Jenis Indikator CSV FileSha1,FileSha256,FileMd5,CertificateThumbprint,IpAddress,DomainName, Url Tidak

Tentukan daftar jenis indikator yang dipisahkan koma yang ingin Anda ambil.

Nilai yang mungkin: FileSha1, FileSha256, FileMd5, CertificateThumbprint, IpAddress,DomainName, Url.
Tindakan CSV Peringatkan,Blokir,Audit,Peringatan,PeringatanDanBlokir,BlokirDanPerbaiki,Diizinkan Tidak

Tentukan daftar tindakan indikator yang dipisahkan koma yang ingin Anda gunakan untuk pemfilteran.

Nilai yang mungkin: Warn,Block,Audit,Alert, AlertAndBlock,BlockAndRemediate,Allowed
Keparahan CSV Informasi,Rendah,Sedang,Tinggi Tidak

Tentukan daftar tingkat keparahan yang dipisahkan koma yang ingin Anda gunakan untuk memfilter.

Nilai yang mungkin: Informasional,Rendah,Sedang,Tinggi
Jumlah Hasil Maksimum yang Akan Ditampilkan Bilangan bulat 50 Tidak Tentukan jumlah indikator yang akan ditampilkan.

Dijalankan pada

Tindakan ini tidak dijalankan di entity.

Hasil tindakan

Hasil skrip
Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False
Hasil JSON
{
    "id": "18",
    "indicatorValue": "110e7d15b011d7fac48f2bd61114db1022197f7a",
    "indicatorType": "FileSha1",
    "action": "Audit",
    "createdBy": "45e9773c-100e-4a9f-ad37-d8e182e9ed26",
    "severity": "Informational",
    "category": 1,
    "application": "demo-test",
    "educateUrl": null,
    "bypassDurationHours": null,
    "title": "test",
    "description": "test",
    "recommendedActions": "nothing",
    "creationTimeDateTimeUtc": "2022-02-08T14:20:34.9071582Z",
    "expirationTime": null,
    "lastUpdateTime": "2022-02-08T14:20:34.9151307Z",
    "lastUpdatedBy": null,
    "rbacGroupNames": [],
    "rbacGroupIds": [],
    "notificationId": null,
    "notificationBody": null,
    "version": null,
    "mitreTechniques": [],
    "historicalDetection": false,
    "lookBackPeriod": null,
    "generateAlert": true,
    "additionalInfo": null,
    "createdByDisplayName": "Example Defender ATP",
    "externalId": null,
    "createdBySource": "PublicApi",
    "certificateInfo": null
}
Repositori kasus
Jenis Hasil Nilai / Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika data tersedia (is_success=true): "Berhasil menemukan indikator untuk kriteria yang diberikan di Microsoft Defender untuk Endpoint".

Jika data tidak tersedia (is_success=false): "Tidak ada indikator yang ditemukan untuk kriteria yang diberikan di Microsoft Defender untuk Endpoint."

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, seperti kredensial yang salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "List Indicators". Alasan: {0}''.format(error.Stacktrace)

Jika parameter "Jenis indikator" yang tidak valid diberikan: "Error saat menjalankan tindakan "Buat Daftar Indikator". Alasan: nilai tidak valid untuk parameter "Jenis Indikator". Nilai yang mungkin: FileSha1, FileSha256, FileMd5, CertificateThumbprint, IpAddress, DomainName, Url.

Jika parameter "Actions" yang tidak valid diberikan: "Error saat menjalankan tindakan "List Indicators". Alasan: nilai tidak valid untuk parameter "Actions". Nilai yang mungkin: Warn, Block, Audit, Alert, AlertAndBlock, BlockAndRemediate, Allowed.

Jika parameter "Severity" yang tidak valid diberikan: "Error saat menjalankan tindakan "List Indicators". Alasan: nilai tidak valid untuk parameter "Tindakan". Nilai yang mungkin: Informasi, Rendah, Sedang, Tinggi.

 Umum
Tabel Repositori Kasus

Indikator yang Ditemukan

Jenis: indicatorType

Tindakan: tindakan

Tingkat keparahan: severity Deskripsi: description Judul: title Rekomendasi: recommendedActions

 Entity

Konektor

Untuk mendapatkan petunjuk mendetail tentang cara mengonfigurasi konektor di Google SecOps, lihat Mengonfigurasi konektor.

Untuk mengonfigurasi konektor yang dipilih, gunakan parameter khusus konektor yang tercantum dalam tabel berikut:

Konektor Microsoft Defender ATP

Defender ATP SIEM API yang digunakan di Microsoft Defender ATP Connector untuk peristiwa tidak digunakan lagi mulai 1 Maret 2022.

Konektor secara berkala terhubung ke endpoint API Defender ATP dan menarik daftar pemberitahuan yang dibuat untuk jangka waktu tertentu. Untuk pemberitahuan yang diproses, konektor dalam permintaan terpisah akan menarik informasi tentang deteksi dari Defender ATP. Deteksi memiliki kolom AlertId yang dapat digunakan untuk mengaitkan deteksi dengan pemberitahuan tertentu.

Parameter konektor

Gunakan parameter berikut untuk mengonfigurasi konektor:

Nama Tampilan Parameter Jenis Nilai Default Wajib Deskripsi
Nama Kolom Produk String ProductName Ya Mendeskripsikan nama kolom tempat nama produk disimpan.
Nama Kolom Peristiwa String AlertName Ya Mendeskripsikan nama kolom tempat nama peristiwa disimpan.
Nama Kolom Lingkungan String "" Tidak

Mendeskripsikan nama kolom tempat nama lingkungan disimpan.

Jika kolom lingkungan tidak ditemukan, lingkungan adalah "".
Pola Regex Lingkungan String .* Tidak

Pola ekspresi reguler untuk dijalankan pada nilai yang ditemukan di kolom Environment Field Name.

Defaultnya adalah .* untuk mencakup semua dan menampilkan nilai yang tidak berubah.

Digunakan untuk mengizinkan pengguna memanipulasi kolom lingkungan menggunakan logika ekspresi reguler.

Jika pola ekspresi reguler adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah "".
Root API String https://api.securitycenter.windows.com Ya

URL root API yang akan digunakan dengan integrasi.

Untuk performa yang lebih baik, Anda dapat menggunakan server yang paling dekat dengan lokasi Anda:

  • api-us.securitycenter.windows.com
  • api-eu.securitycenter.windows.com
  • api-uk.securitycenter.windows.com
ID Azure Active Directory String T/A Ya ID Tenant Microsoft Entra dapat dilihat di Active Directory > App Registration > Aplikasi Anda > Directory (tenant) ID.
ID Klien Integrasi String T/A Ya ID Klien (Aplikasi) yang ditambahkan untuk pendaftaran aplikasi di Microsoft Entra untuk integrasi.
Rahasia Klien Integrasi Sandi T/A Ya Rahasia yang dimasukkan untuk pendaftaran aplikasi Azure AD untuk integrasi.
ID Klien SIEM String T/A Ya ID Klien (Aplikasi) untuk integrasi SIEM yang diaktifkan di Microsoft Defender for Endpoint.
Rahasia Klien SIEM Sandi T/A Ya Secret untuk integrasi SIEM yang diaktifkan di Microsoft Defender for Endpoint.
Selisih Waktu dalam Jam Bilangan bulat 24 Ya Mengambil notifikasi dari X jam sebelumnya.
Jumlah Maksimum Pemberitahuan Per Siklus Bilangan bulat 100 Ya Jumlah pemberitahuan yang diproses selama satu kali eksekusi konektor.
Status Notifikasi yang akan diambil String Tidak Diketahui, Baru, Sedang Berlangsung, Terselesaikan Ya

Tentukan status pemberitahuan Defender ATP yang harus diambil oleh server Google SecOps.

Parameter dapat mengambil beberapa nilai sebagai string yang dipisahkan koma.
Tingkat Keseriusan Pemberitahuan yang akan diambil String Tidak Ditentukan, Informasi, Rendah, Sedang, Tinggi Ya

Tentukan tingkat keparahan notifikasi Defender ATP yang harus diambil oleh server Google SecOps.

Parameter dapat mengambil beberapa nilai sebagai string yang dipisahkan koma.
Alamat Server Proxy IP_OR_HOST T/A Tidak Server proxy yang akan digunakan untuk koneksi.
Nama Pengguna Server Proxy String T/A Tidak Nama pengguna server proxy.
Sandi Server Proxy Sandi T/A Tidak Sandi server proxy.

Aturan konektor

  • Konektor tidak mendukung aturan daftar yang diblokir atau daftar dinamis.

  • Konektor mendukung proxy.

Microsoft Defender ATP Connector V2

Ambil pemberitahuan Defender ATP menggunakan 365 Defender Incident API untuk mendapatkan data peristiwa. Gunakan daftar dinamis konektor untuk menyerap hanya jenis pemberitahuan tertentu berdasarkan nilai atribut detectionSource pemberitahuan.

Atribut konektor SourceGroupIdentifier dapat digunakan untuk mengelompokkan pemberitahuan berdasarkan ID insiden Defender ATP.

Prasyarat

Sebelum mengonfigurasi konektor, pastikan untuk memberikan izin tambahan ke aplikasi Microsoft Entra Anda:

  1. Login ke portal Azure sebagai administrator pengguna atau administrator sandi.

  2. Pilih Microsoft Entra ID.

  3. Buka Izin API > Tambahkan izin > API yang digunakan organisasi saya.

  4. Pilih Microsoft Threat Protection > Izin aplikasi.

  5. Di bagian Select Permissions, pilih izin wajib berikut:

    • Incident.Read.All
    • Incident.ReadWrite.All

  6. Klik Add permissions.

  7. Klik Grant admin consent for YOUR_ORGANIZATION_NAME.

Parameter konektor

Gunakan parameter berikut untuk mengonfigurasi konektor:

Nama Tampilan Parameter Jenis Nilai Default Wajib Deskripsi
Nama Kolom Produk String :: Ya Mendeskripsikan nama kolom tempat nama produk disimpan.
Nama Kolom Peristiwa String EventName Ya Mendeskripsikan nama kolom tempat nama peristiwa disimpan.
Nama Kolom Lingkungan String "" Tidak

Mendeskripsikan nama kolom tempat nama lingkungan disimpan.

Jika kolom lingkungan tidak ditemukan, lingkungan adalah "".
Pola Regex Lingkungan String .* Tidak

Pola ekspresi reguler untuk dijalankan pada nilai yang ditemukan di kolom Environment Field Name.

Defaultnya adalah .* untuk mencakup semua dan menampilkan nilai yang tidak berubah.

Digunakan untuk mengizinkan pengguna memanipulasi kolom lingkungan menggunakan logika ekspresi reguler.

Jika pola ekspresi reguler adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah "".
Root Defender ATP API String https://api.securitycenter.windows.com Ya

URL root API yang akan digunakan dengan integrasi

Untuk performa yang lebih baik, Anda dapat menggunakan server yang paling dekat dengan lokasi Anda:

  • api-us.securitycenter.windows.com
  • api-eu.securitycenter.windows.com
  • api-uk.securitycenter.windows.com
Root API 365 Defender String https://api.security.microsoft.com Ya Root API instance Microsoft 365 Defender yang digunakan untuk mendapatkan data peristiwa Google SecOps.
ID Azure Active Directory String T/A Ya ID Tenant Microsoft Entra yang dapat ditemukan di Microsoft Entra > App Registration > Your application > Directory (tenant) ID.
ID Klien Integrasi String T/A Ya ID Klien (Aplikasi) yang ditambahkan untuk pendaftaran aplikasi di Microsoft Entra untuk integrasi.
Rahasia Klien Integrasi Sandi T/A Ya Rahasia yang dimasukkan untuk pendaftaran aplikasi Azure AD untuk integrasi.
Verifikasi SSL Kotak centang Dicentang Ya Jika diaktifkan, akan memverifikasi bahwa sertifikat SSL untuk koneksi ke server Microsoft 365 Defender valid.
Selisih Waktu dalam Jam Bilangan bulat 24 Ya Mengambil notifikasi dari X jam sebelumnya.
Jumlah Maksimum Pemberitahuan Per Siklus Bilangan bulat 10 Ya Jumlah pemberitahuan yang diproses selama satu kali eksekusi konektor.
Status Notifikasi yang akan diambil String Tidak Diketahui, Baru, Sedang Berlangsung, Terselesaikan Ya

Tentukan status pemberitahuan Defender ATP yang harus diambil oleh server Google SecOps.

Parameter dapat mengambil beberapa nilai sebagai string yang dipisahkan koma.
Tingkat Keseriusan Pemberitahuan yang akan diambil String Tidak Ditentukan, Informasi, Rendah, Sedang, Tinggi Ya

Tentukan tingkat keparahan notifikasi Defender ATP yang harus diambil oleh server Google SecOps.

Parameter dapat mengambil beberapa nilai sebagai string yang dipisahkan koma.
Menonaktifkan Overflow Kotak centang Tidak dicentang Tidak Jika diaktifkan, konektor akan mengabaikan mekanisme overflow.
Waktu Tunggu Skrip Bilangan bulat 300 Ya Tentukan waktu tunggu konektor untuk dijalankan.
Menggunakan daftar yang diizinkan sebagai daftar blokir Kotak centang Tidak dicentang Tidak Jika diaktifkan, daftar dinamis akan digunakan sebagai daftar yang diblokir.
Alamat Server Proxy IP_OR_HOST T/A Tidak Server proxy yang akan digunakan untuk koneksi.
Nama Pengguna Server Proxy String T/A Tidak Nama pengguna server proxy.
Sandi Server Proxy Sandi T/A Tidak Sandi server proxy.

Aturan konektor

Konektor mendukung logika daftar dinamis berdasarkan nilai kolom pemberitahuan Defender ATP detectionSource.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.