Microsoft Defender ATP

Versione integrazione: 23.0

Casi d'uso

  1. Utilizza i dati raccolti in Microsoft Defender for Endpoint per gli arricchimenti durante l'analisi di un caso specifico.

    Gli analisti possono utilizzare i dati raccolti e archiviati in Microsoft Defender for Endpoint nelle indagini, ad esempio per ottenere informazioni sugli avvisi rilevati in Microsoft Defender for Endpoint o per elencare i computer registrati in Microsoft Defender for Endpoint.

  2. Esegui azioni di risposta attiva in potenziali incidenti di sicurezza, ad esempio isolare un host specifico da una rete o eseguire una scansione antivirus.

  3. Monitora e ispeziona gli avvisi di Microsoft Defender for Endpoint come avvisi di Google Security Operations recuperati dal rispettivo connettore.

Prerequisiti

Prima di configurare l'integrazione nella piattaforma Google SecOps, assicurati di completare i seguenti passaggi preliminari:

  1. Crea l'app Microsoft Entra.

  2. Configura le autorizzazioni API per la tua app.

  3. Crea un client secret.

Ti consigliamo di utilizzare il contesto dell'applicazione anziché il contesto utente quando accedi all'API Microsoft Defender for Endpoint.

Crea l'app Microsoft Entra

  1. Accedi al portale Azure come amministratore utenti o amministratore password.

  2. Seleziona Microsoft Entra ID.

  3. Vai a Registrazioni app > Nuova registrazione.

  4. Inserisci il nome dell'app.

  5. Fai clic su Register (Registrati).

  6. Salva i valori ID applicazione (client) e ID directory (tenant) per utilizzarli in un secondo momento durante la configurazione dei parametri di integrazione.

Configura le autorizzazioni API

  1. Vai ad Autorizzazioni API > Aggiungi un'autorizzazione > API usate dalla mia organizzazione. Si apre la finestra di dialogo Richiedi autorizzazioni API.

  2. Nel campo Cerca, inserisci WindowsDefenderATP.

  3. Seleziona WindowsDefenderATP > Autorizzazioni applicazione.

  4. Nel tipo di autorizzazione Avviso, seleziona la seguente autorizzazione:

    • Alert.Read.All

  5. Fai clic su Aggiungi autorizzazioni.

  6. Nella pagina Autorizzazioni API, fai clic su Aggiungi un'autorizzazione.

  7. Seleziona Microsoft Graph > Autorizzazioni delegate.

  8. Nella sezione Seleziona autorizzazioni, seleziona la seguente autorizzazione obbligatoria:

    • User.Read

  9. Fai clic su Aggiungi autorizzazioni.

  10. Nella pagina Autorizzazioni API, fai clic su Aggiungi un'autorizzazione.

  11. Seleziona WindowsDefenderATP > Autorizzazioni applicazione.

  12. Nella sezione Seleziona autorizzazioni, seleziona le seguenti autorizzazioni obbligatorie:

    • AdvancedQuery.Read.All
    • Alert.Read.All
    • Alert.ReadWrite.All
    • Event.Write
    • File.Read.All
    • Ip.Read.All
    • Machine.Isolate
    • Machine.Read.All
    • Machine.ReadWrite.All
    • Machine.Scan
    • Machine.StopAndQuarantine
    • Ti.ReadWrite
    • Url.Read.All
    • User.Read.All

  13. Fai clic su Concedi il consenso amministratore per ORGANIZATION_NAME.

    Quando viene visualizzata la finestra di dialogo Conferma consenso amministratore, fai clic su .

L'esempio di una richiesta API per ottenere gli avvisi di Defender ATP è il seguente (nota il parametro $expand utilizzato per recuperare i dati su indirizzi IP, domini e file):

GET /api/alerts?$expand=files,ips,domains HTTP/1.1
Host: api.securitycenter.windows.com
Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJ...
User-Agent: PostmanRuntime/7.19.0
Accept: */ *
Cache-Control: no-cache
Postman-Token: 2dc0f885-068a-45d4-81a6-2da0d23a58ad,d3dd0e6e-83ab-4d27-94d2-0f3889dff324
Host: api.securitycenter.windows.com
Accept-Encoding: gzip, deflate
Connection: keep-alive
cache-control: no-cache

Per saperne di più sui parametri di richiesta e sulle opzioni di richiesta come filtro o espansione, consulta API Microsoft Defender for Endpoint supportate nella documentazione di Microsoft.

Crea client secret

  1. Vai a Certificati e secret > Nuovo client secret.

  2. Fornisci una descrizione per un client secret e imposta la relativa scadenza.

  3. Fai clic su Aggiungi.

  4. Salva il valore del client secret (non l'ID secret) per utilizzarlo come valore parametro Client Secret durante la configurazione dell'integrazione. Il valore client secret viene visualizzato una sola volta.

Attiva integrazione SIEM - Ritirato

  1. Nel riquadro di navigazione, seleziona Impostazioni > SIEM.

  2. Seleziona Attiva integrazione SIEM.

Viene attivata la sezione dei dettagli di accesso al connettore SIEM con valori precompilati e viene creata un'applicazione nel tenant Azure AD.

  • Scegli Generic API come tipo di SIEM.
  • Copia i singoli valori o seleziona Salva dettagli nel file per scaricare un file che contiene tutti i valori.
  • Per generare un token per accedere ai dati di rilevamento, avrai bisogno dei valori visualizzati in questa pagina: ID client, client secret e risorsa.

Integrare Microsoft Defender ATP con Google SecOps

Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.

Parametri di integrazione

Per configurare l'integrazione, utilizza i seguenti parametri:

Parametri
Client ID Obbligatorio

ID client (applicazione) dell'app Microsoft Entra da utilizzare per l'integrazione.
Client Secret Obbligatorio

Valore del client secret dell'app Microsoft Entra da utilizzare per l'integrazione.
Azure Active Directory ID Obbligatorio

Valore di Microsoft Entra ID (ID tenant).
Verify SSL Optional

Se selezionata, verifica che il certificato SSL per la connessione al server Microsoft 365 Defender sia valido.

Questa opzione è selezionata per impostazione predefinita.
API Root Obbligatorio

URL di base dell'API da utilizzare con l'integrazione. Per prestazioni migliori, puoi utilizzare un server più vicino alla tua posizione:

  • api-us.securitycenter.windows.com
  • api-eu.securitycenter.windows.com
  • api-uk.securitycenter.windows.com

Il valore predefinito è https://api.securitycenter.windows.com.

Azioni

Dindin

Testa la connettività all'istanza di Microsoft Defender for Endpoint con i parametri forniti nella pagina di configurazione dell'integrazione.

Parametri

N/D

Casi d'uso

L'azione viene utilizzata per testare la connettività e può essere eseguita come azione manuale, che non fa parte dei playbook.

Pubblica su

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Risultato dello script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False

Arricchisci entità

Arricchisci le entità host, indirizzo IP o hash file di Google SecOps in base alle informazioni di Microsoft Defender for Endpoint.

Parametri

N/D

Casi d'uso

L'azione può essere utilizzata nei playbook che analizzano l'attività sui dispositivi. Se sul dispositivo è installato l'agente Microsoft Defender for Endpoint, l'azione estrae informazioni da Defender ATP su un dispositivo per arricchire le entità Google SecOps. L'azione può essere utilizzata anche per arricchire gli hash dei file di avviso con le informazioni di Defender ATP.

Pubblica su

Questa azione viene eseguita sulle seguenti entità:

  • Host
  • Indirizzo IP
  • Filehash

Risultati dell'azione

Risultato dello script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON

Se l'arricchimento funziona su indirizzo IP o host:

[
    {
        "EntityResult": {
            "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Machines/$entity",
            "id": "example_id",
            "computerDnsName": "example-name",
            "firstSeen": "2019-11-18T11:13:04.0588699Z",
            "lastSeen": "2019-11-24T18:31:50.581058Z",
            "osPlatform": "Windows10",
            "osVersion": null,
            "osProcessor": "x64",
            "version": "1803",
            "lastIpAddress": "192.0.2.138",
            "lastExternalIpAddress": "203.0.113.28",
            "agentVersion": "10.4860.17134.982",
            "osBuild": 17134,
            "healthStatus": "Active",
            "rbacGroupId": 0,
            "rbacGroupName": null,
            "riskScore": "High",
            "exposureLevel": "Medium",
            "aadDeviceId": null,
            "machineTags": []
        }
    }
]

Se l'arricchimento funziona su Filehash:

[
    {
        "EntityResult": {
            "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Files/$entity",
            "sha1": "bdd0d38e113a0c7dd6213cf2e89e6cc6d66b5cdb",
            "sha256": "328954033456d5c13e58fb5bcc6c0232f9f62cb6d9185afa51c7913338992491",
            "md5": "9512e1cc66a1d36feb0a290cab09087b",
            "globalPrevalence": 5205000,
            "globalFirstObserved": "2018-06-22T12:59:21.6460311Z",
            "globalLastObserved": "2019-11-21T00:24:01.921338Z",
            "size": 245760,
            "fileType": "APP",
            "isPeFile": true,
            "filePublisher": "Microsoft Corporation",
            "fileProductName": "Microsoft Windows Operating System",
            "signer": "Microsoft Windows",
            "issuer": "Microsoft Windows Production PCA 2011",
            "signerHash": "419e77aed546a1a6cf4dc23c1f977542fe289cf7",
            "isValidCertificate": true
            },
        "EntityResult": {
            "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#microsoft.windowsDefenderATP.api.InOrgFileStats",
            "sha1": "bdd0d38e113a0c7dd6213cf2e89e6cc6d66b5cdb",
            "orgPrevalence": "1",
            "orgFirstSeen": "2019-11-19T03:54:15Z",
            "orgLastSeen": "2019-11-19T04:21:18Z",
            "globalPrevalence": "5205000",
            "globalFirstObserved": "2018-06-22T12:59:21.6460311Z",
            "globalLastObserved": "2019-11-21T00:24:01.921338Z",
            "topFileNames": ["notepad.exe"]
        }
    }
]
Arricchimento delle entità

IP e host

Nome campo di arricchimento Logica - Quando applicarla
Defender_ATP.sha1 Restituisce se esiste nel risultato JSON
Defender_ATP.sha256 Restituisce se esiste nel risultato JSON
Defender_ATP.md5 Restituisce se esiste nel risultato JSON
Defender_ATP.globalPrevalence Restituisce se esiste nel risultato JSON
Defender_ATP.globalFirstObserved Restituisce se esiste nel risultato JSON
Defender_ATP.globalLastObserved Restituisce se esiste nel risultato JSON
Defender_ATP.size Restituisce se esiste nel risultato JSON
Defender_ATP.fileType Restituisce se esiste nel risultato JSON
Defender_ATP.isPeFile Restituisce se esiste nel risultato JSON
Defender_ATP.filePublisher Restituisce se esiste nel risultato JSON
Defender_ATP.fileProductName Restituisce se esiste nel risultato JSON
Defender_ATP.signer Restituisce se esiste nel risultato JSON
Defender_ATP.issuer Restituisce se esiste nel risultato JSON
Defender_ATP.signerHash Restituisce se esiste nel risultato JSON
Defender_ATP.isValidCertificate Restituisce se esiste nel risultato JSON
Defender_ATP.orgPrevalence Restituisce se esiste nel risultato JSON
Defender_ATP.orgFirstSeen Restituisce se esiste nel risultato JSON
Defender_ATP.orgLastSeen Restituisce se esiste nel risultato JSON
Defender_ATP.topFileNames Restituisce se esiste nel risultato JSON

Hash file

Nome campo di arricchimento Logica - Quando applicarla
Defender_ATP.sha1 Restituisce se esiste nel risultato JSON
Defender_ATP.sha256 Restituisce se esiste nel risultato JSON
Defender_ATP.md5 Restituisce se esiste nel risultato JSON
Defender_ATP.globalPrevalence Restituisce se esiste nel risultato JSON
Defender_ATP.globalFirstObserved Restituisce se esiste nel risultato JSON
Defender_ATP.globalLastObserved Restituisce se esiste nel risultato JSON
Defender_ATP.size Restituisce se esiste nel risultato JSON
Defender_ATP.fileType Restituisce se esiste nel risultato JSON
Defender_ATP.isPeFile Restituisce se esiste nel risultato JSON
Defender_ATP.filePublisher Restituisce se esiste nel risultato JSON
Defender_ATP.fileProductName Restituisce se esiste nel risultato JSON
Defender_ATP.signer Restituisce se esiste nel risultato JSON
Defender_ATP.issuer Restituisce se esiste nel risultato JSON
Defender_ATP.signerHash Restituisce se esiste nel risultato JSON
Defender_ATP.isValidCertificate Restituisce se esiste nel risultato JSON
Defender_ATP.orgPrevalence Restituisce se esiste nel risultato JSON
Defender_ATP.orgFirstSeen Restituisce se esiste nel risultato JSON
Defender_ATP.orgLastSeen Restituisce se esiste nel risultato JSON
Defender_ATP.topFileNames Restituisce se esiste nel risultato JSON

Elenco avvisi

Elenca gli avvisi di Microsoft Defender for Endpoint in base ai criteri di ricerca forniti. L'azione restituisce informazioni sugli avvisi trovati in una tabella e in un modulo di visualizzazione JSON come output dell'azione, insieme ai dati grezzi degli avvisi archiviati e allegati al file JSON di output dell'azione.

Parametri

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
Intervallo di tempo Numero intero 3 No Specifica un periodo di tempo in ore per il recupero degli avvisi.
Stato Stringa Sconosciuto, Nuovo, In corso, Risolto No

Specifica gli stati degli avvisi da cercare.

Il parametro accetta più valori come stringa separata da virgole.
Gravità Stringa N/D No

Specifica la gravità degli incidenti da cercare.

Se non viene fornito alcun valore, l'azione cerca tutte le gravità.

Il parametro accetta più valori come stringa separata da virgole.

Valori possibili: UnSpecified, Informational, Low, Medium e High
Categoria Stringa N/D No

Specifica la categoria di avviso da cercare.

Se non viene fornito alcun valore, le azioni cercano tutte le categorie.

Il parametro accetta più valori come stringa separata da virgole.

Valori possibili: 'Collection', 'CommandAndControl', 'CredentialAccess', 'DefenseEvasion', 'Discovery', 'Execution', 'Exfiltration', 'Exploit', 'InitialAccess', 'LateralMovement', 'Malware', 'Persistence', 'PrivilegeEscalation', 'Ransomware', 'SuspiciousActivity', 'UnwantedSoftware'.
ID incidente Numero intero N/D No Specifica l'ID incidente di Microsoft Defender per cui vuoi trovare avvisi correlati.

Casi d'uso

L'azione può essere utilizzata per esaminare gli avvisi di Defender ATP per il server Google SecOps per un utente finale. Ad esempio, quando gestisce l'avviso proveniente dal connettore Defender ATP, l'utente configura l'azione "Elenca avvisi" in modo che accetti IncidentId dell'avviso elaborato come parametro di input per estrarre i dettagli dal server Defender ATP. Esistono altri avvisi che fanno parte di un singolo incidente Defender ATP.

Pubblica su

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Risultato dello script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Alerts",
    "value": [
        {
            "id": "example_id",
            "incidentId": 2,
            "investigationId": null,
            "assignedTo": null,
            "severity": "Medium",
            "status": "New",
            "classification": null,
            "determination": null,
            "investigationState": "UnsupportedAlertType",
            "detectionSource": "WindowsDefenderAtp",
            "category": "Execution",
            "threatFamilyName": null,
            "title": "Unexpected behavior observed by a process run with no command line arguments",
            "description": "The legitimate process by this name does not normally exhibit this behavior when run with no command line arguments. \nSuch unexpected behavior may be a result of extraneous code injected into a legitimate process, or a malicious executable masquerading as the legitimate one by name.",
            "alertCreationTime": "2019-11-19T03:56:35.3007009Z",
            "firstEventTime": "2019-11-19T03:54:16.0441057Z",
            "lastEventTime": "2019-11-19T03:54:16.0441057Z",
            "lastUpdateTime": "2019-11-19T03:56:38.45Z",
            "resolvedTime": null,
            "machineId": "machine-id",
            "alertUser": null,
            "comments": [],
            "alertFiles": [],
            "alertDomains": [],
            "alertIps": [],
            "alertProcesses": []
            }
    ]
}

Aggiorna avviso

Aggiorna un avviso specifico di Microsoft Defender for Endpoint. L'azione può essere utilizzata per chiudere un avviso in Microsoft Defender for Endpoint.

Parametri

Parametro Tipo Valore predefinito È obbligatorio Descrizione
ID avviso Stringa N/D Specifica l'ID avviso di Microsoft Defender for Endpoint da aggiornare.
Stato DDL

Nuovo

Valori possibili:

  • Nuovo
  • InProgress
  • Risolto
 No Specifica lo stato dell'avviso da aggiornare.
Assegnato a Stringa N/D No Specifica i dati dell'utente se vuoi aggiornare questo campo.
Classificazione DDL

Sconosciuto

Valori possibili:

  • Sconosciuto
  • FalsePositive
  • TruePositive
 No Specifica la classificazione con cui aggiornare l'avviso.
Determinazione DDL

NotAvailable

Valori possibili:

  • NotAvailable
  • Apt
  • Malware
  • SecurityPersonnel
  • SecurityTesting
  • UnwantedSoftware
  • Altro
 No Specifica la determinazione con cui aggiornare l'avviso.

Casi d'uso

  • Utilizza l'azione per aggiornare un avviso di Defender ATP.

  • Utilizza l'azione per intervenire in un flusso di lavoro che prevede l'analisi dell'avviso di Defender ATP.

    Dopo che l'avviso è stato elaborato in Google SecOps, puoi ignorare l'avviso di Defender ATP per mantenere allineati gli elenchi di avvisi di Defender ATP e Google SecOps. Inoltre, puoi modificare l'avviso in modo che mostri l'avanzamento dell'analisi (ad esempio, impostare l'attributo assignedTo o lo stato dell'avviso su inProgress).

Pubblica su

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Risultato dello script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Alerts/$entity",
    "id": "example-id",
    "incidentId": 1,
    "investigationId": null,
    "assignedTo": null,
    "severity": "Informational",
    "status": "Resolved",
    "classification": null,
    "determination": null,
    "investigationState": "UnsupportedAlertType",
    "detectionSource": "WindowsDefenderAtp",
    "category": "Execution",
    "threatFamilyName": null,
    "title": "[Test Alert] Suspicious Powershell commandline",
    "description": "*** This is a test alert ***\nA suspicious Powershell commandline was found on the machine. This commandline might be used during installation, exploration, or in some cases with lateral movement activities which are used by attackers to invoke modules, download external payloads, and get more information about the system. Attackers usually use Powershell to bypass security protection mechanisms by executing their payload in memory without touching the disk and leaving any trace.",
    "alertCreationTime": "2019-11-18T11:17:48.287421Z",
    "firstEventTime": "2019-11-18T11:15:06.5226815Z",
    "lastEventTime": "2019-11-18T11:15:06.5226815Z",
    "lastUpdateTime": "2019-11-20T04:12:03.6066667Z",
    "resolvedTime": "2019-11-20T04:12:03.4976288Z",
    "machineId": "machine-id",
    "alertUser": {
        "accountName": "Administrator",
        "domainName": "example-domain"
    },
    "comments": [],
    "alertFiles": [
        {
            "sha1": "3ce71813199abae99348f61f0caa34e2574f831c",
            "sha256": "9a7c58bd98d70631aa1473f7b57b426db367d72429a5455b433a05ee251f3236",
            "filePath": "C:\\Windows\\System32\\cmd.exe",
            "fileName": "cmd.exe"
        },
        {
            "sha1": "1b3b40fbc889fd4c645cc12c85d0805ac36ba254",
            "sha256": "d3f8fade829d2b7bd596c4504a6dae5c034e789b6a3defbe013bda7d14466677",
            "filePath": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
            "fileName": "powershell.exe"
        }
    ],
    "alertDomains": [],
    "alertIps": [],
    "alertProcesses": []
}

Elenco macchine

Ottieni informazioni sulle macchine registrate con il server Microsoft Defender for Endpoint in base ai parametri forniti per la ricerca.

Parametri

Parametro Tipo Valore predefinito È obbligatorio Descrizione
Intervallo di tempo dell'ultima visualizzazione Numero intero N/D No Specifica l'intervallo di tempo dell'ultima visualizzazione da cercare in ore.
Nome computer Stringa N/D No Specifica il nome completo del computer da cercare.
Indirizzo IP del computer Stringa N/D No Specifica l'indirizzo IP della macchina da cercare.
Punteggio di rischio del computer Stringa Nessuno, Basso, Medio, Alto No

Specifica il punteggio di rischio della macchina da cercare.

Il parametro accetta più valori come stringa separata da virgole.
Stato di integrità della macchina Stringa Active, Inactive, ImpairedCommunication, NoSensorData, NoSensorDataImpairedCommunication No

Specifica lo stato di integrità della macchina da cercare.

Il parametro accetta più valori come stringa separata da virgole.
Piattaforma del sistema operativo della macchina Stringa N/D No Specifica la piattaforma del sistema operativo della macchina da cercare.
ID gruppo RBAC Stringa N/D No Specifica l'ID gruppo RBAC da cercare.

Casi d'uso

L'azione può essere utilizzata a scopo di indagine per ottenere informazioni sui dispositivi registrati sul server Defender ATP. Questa azione viene utilizzata principalmente come azione manuale, in modo che l'utente non debba tornare alla console Defender ATP e cercare su quali macchine funziona l'agente Defender ATP.

Pubblica su

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Risultato dello script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Machines",
    "value": [
        {
            "id": "example-id",
            "computerDnsName": "example-name",
            "firstSeen": "2019-11-18T11:13:04.0588699Z",
            "lastSeen": "2019-11-20T09:59:28.0646303Z",
            "osPlatform": "Windows10",
            "osVersion": null,
            "osProcessor": "x64",
            "version": "1803",
            "lastIpAddress": "192.0.2.138",
            "lastExternalIpAddress": "203.0.113.35",
            "agentVersion": "10.4860.17134.982",
            "osBuild": 17134,
            "healthStatus": "Active",
            "rbacGroupId": 0,
            "rbacGroupName": null,
            "riskScore": "High",
            "exposureLevel": "Medium",
            "aadDeviceId": null,
            "machineTags": []
        },{
            "id": "example-id",
            "computerDnsName": "example-name",
            "firstSeen": "2019-11-20T08:36:16.2721384Z",
            "lastSeen": "2019-11-20T08:36:52.7182837Z",
            "osPlatform": "Windows10",
            "osVersion": null,
            "osProcessor": "x64",
            "version": "1803",
            "lastIpAddress": "192.0.2.141",
            "lastExternalIpAddress": "203.0.113.35",
            "agentVersion": "10.4850.17134.191",
            "osBuild": 17134,
            "healthStatus": "Active",
            "rbacGroupId": 0,
            "rbacGroupName": null,
            "riskScore": "None",
            "exposureLevel": "Medium",
            "aadDeviceId": null,
            "machineTags": []
        }
    ]
}

Ottieni log macchina sugli utenti

Ottieni informazioni sull'accesso di un utente su una macchina specifica.

Parametri

N/D

Casi d'uso

L'azione può essere utilizzata a scopo di indagine per ottenere dettagli specifici su quali utenti accedono a un computer in questione dal server Defender ATP.

Pubblica su

Questa azione viene eseguita sulle seguenti entità:

  • Host
  • Indirizzo IP

Risultati dell'azione

Risultato dello script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Users",
    "value": [
        {
            "id": "example\\example.user",
            "accountName": "example.user",
            "accountDomain": "example",
            "accountSid": null,
            "firstSeen": "2019-11-19T03:50:36Z",
            "lastSeen": "2019-11-19T03:50:36Z",
            "mostPrevalentMachineId": null,
            "leastPrevalentMachineId": null,
            "logonTypes": "Interactive",
            "logOnMachinesCount": 1,
            "isDomainAdmin": false,
            "isOnlyNetworkUser": null
        }
    ]
}

Ricevi avvisi relativi a una macchina specifica registrata in Defender ATP.

Parametri

Parametro Tipo Valore predefinito È obbligatorio Descrizione
Stato Stringa Sconosciuto, Nuovo, In corso, Risolto No

Specifica gli stati degli avvisi da cercare.

Il parametro accetta più valori come stringa separata da virgole.
Gravità Stringa Non specificato, Informativo, Basso, Medio, Alto No

Specifica i livelli di gravità degli incidenti da cercare.

Il parametro accetta più valori come stringa separata da virgole.
Categoria Stringa N/D No

Specifica la categoria di avviso da cercare.

Se non viene fornito alcun valore, l'azione cerca tutte le categorie.

Il parametro accetta più valori come stringa separata da virgole.

Valori possibili: "Collection", "CommandAndControl", "CredentialAccess", "DefenseEvasion", "Discovery", "Execution", "Exfiltration", "Exploit", "InitialAccess", "LateralMovement", "Malware", "Persistence", "PrivilegeEscalation", "Ransomware", "SuspiciousActivity", "UnwantedSoftware".
ID incidente Numero intero N/D No Specifica l'ID incidente di Microsoft Defender per cui vuoi trovare avvisi correlati.

Casi d'uso

L'azione può essere utilizzata a scopo di indagine per ricevere avvisi relativi a una macchina specifica in questione dal server Defender ATP.

Pubblica su

Questa azione viene eseguita sulle seguenti entità:

  • Host
  • Indirizzo IP

Risultati dell'azione

Risultato dello script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Alerts",
    "value": [
        {
            "id": "example-id",
            "incidentId": 1,
            "investigationId": null,
            "assignedTo": "testuser@example.com",
            "severity": "Informational",
            "status": "Resolved",
            "classification": "FalsePositive",
            "determination": "SecurityTesting",
            "investigationState": "UnsupportedAlertType",
            "detectionSource": "WindowsDefenderAtp",
            "category": "Execution",
            "threatFamilyName": null,
            "title": "[Test Alert] Suspicious Powershell commandline",
            "description": "*** This is a test alert ***\nA suspicious Powershell commandline was found on the machine. This commandline might be used during installation, exploration, or in some cases with lateral movement activities which are used by attackers to invoke modules, download external payloads, and get more information about the system. Attackers usually use Powershell to bypass security protection mechanisms by executing their payload in memory without touching the disk and leaving any trace.",
            "alertCreationTime": "2019-11-18T11:17:48.287421Z",
            "firstEventTime": "2019-11-18T11:15:06.5226815Z",
            "lastEventTime": "2019-11-18T11:15:06.5226815Z",
            "lastUpdateTime": "2019-11-20T04:12:03.91Z",
            "resolvedTime": "2019-11-20T04:12:03.4976288Z",
            "machineId": "machine-id",
            "alertUser": {
                "accountName": "Administrator",
                "domainName": "US-LT-V13007"
            },
            "comments": [],
            "alertFiles": [
                {
                    "sha1": "3ce71813199abae99348f61f0caa34e2574f831c",
                    "sha256": "9a7c58bd98d70631aa1473f7b57b426db367d72429a5455b433a05ee251f3236",
                    "filePath": "C:\\Windows\\System32\\cmd.exe",
                    "fileName": "cmd.exe"
                },
                {
                    "sha1": "1b3b40fbc889fd4c645cc12c85d0805ac36ba254",
                    "sha256": "d3f8fade829d2b7bd596c4504a6dae5c034e789b6a3defbe013bda7d14466677",
                    "filePath": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
                    "fileName": "powershell.exe"
                }
            ],
            "alertDomains": [],
            "alertIps": [],
            "alertProcesses": []
        }
    ]
}

Isolate Machine

Isola una macchina utilizzando Microsoft Defender for Endpoint. La macchina può essere impostata in isolamento completo o selettivo. Le applicazioni Outlook, Skype for Business e Teams continuano a funzionare su un computer in isolamento.

Parametri

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
Tipo di isolamento DDL

Completa

Valori possibili:

  • Completa
  • Selettiva
 Specifica il tipo di isolamento.
Commento Stringa N/D Specifica un commento sul motivo per cui la macchina deve essere isolata.
Creare un insight? Casella di controllo Selezionata Se attivata, l'azione crea un insight di Google SecOps con informazioni correlate se eseguita correttamente.

Casi d'uso

Isola un computer considerato infetto. Ad esempio, l'avviso del connettore Defender ATP è stato inserito nel server Google SecOps e durante un'analisi dell'avviso è stato scoperto che la macchina correlata all'avviso (entità Case) può essere infetta e deve essere isolata.

Pubblica su

Questa azione viene eseguita sulle seguenti azioni:

  • Host
  • Indirizzo IP

Risultati dell'azione

Risultato dello script

True se l'endpoint API restituito per ogni entità fornita su cui è stato eseguito, status 201, nella risposta JSON "status": "Pending", che indica che la richiesta API è stata eseguita correttamente. Se l'azione non va a buon fine per almeno una delle entità, il risultato finale deve essere negativo (False).

Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#MachineActions/$entity",
    "id": "example-id",
    "type": "Isolate",
    "requestor": "requestor-id",
    "requestorComment": "Machine Isolation due to alert ...",
    "status": "Pending",
    "machineId": "machine-id",
    "creationDateTimeUtc": "2019-11-21T03:55:59.5419077Z",
    "lastUpdateDateTimeUtc": "2019-11-21T03:55:59.5419077Z",
    "cancellationRequestor": null,
    "cancellationComment": null,
    "cancellationDateTimeUtc": null,
    "errorHResult": 0,
    "scope": null,
    "relatedFileInfo": null
}
Approfondimenti
  • Logica dell'approfondimento: se il computer è stato isolato utilizzando l'agente Defender ATP, crea un approfondimento per indicarlo.
  • Tipo:entità.
  • Entità Title (String):.
  • IdentifierMessage: "L'host è stato isolato utilizzando Microsoft Defender for Endpoint."

Unisolate Machine

Rimuovi l'isolamento di un computer precedentemente isolato utilizzando Microsoft Defender for Endpoint.

Parametri

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
Commento Stringa N/D Specifica un commento che spieghi perché la macchina deve essere isolata.
Creare un insight? Casella di controllo Selezionata Se attivata, l'azione crea un insight di Google SecOps con informazioni correlate se eseguita correttamente.

Casi d'uso

L'azione può essere utilizzata per situazioni in cui la macchina era già isolata, ma con i nuovi dati raccolti durante l'elaborazione del playbook (ad esempio, la prima macchina è stata isolata, poi abbiamo creato un indicatore di minaccia per un file sospetto e abbiamo eseguito l'azione "Arresta e metti in quarantena" per rimuovere questo file dalla macchina interessata), possiamo considerare sicuro rimuovere la macchina interessata dall'isolamento.

Pubblica su

Questa azione viene eseguita sulle seguenti entità:

  • Host
  • Indirizzo IP

Risultati dell'azione

Risultato dello script

True se l'endpoint API restituito per ogni entità fornita su cui è stato eseguito, status 201, nella risposta JSON "status": "Pending", che indica che la richiesta API è stata eseguita correttamente. Se l'azione non va a buon fine per almeno una delle entità, il risultato finale deve essere negativo (False).

Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#MachineActions/$entity",
    "id": "example-id",
    "type": "Unisolate",
    "requestor": "requestor-id",
    "requestorComment": "Unisolate machine due to the following remediation measures taken...",
    "status": "Pending",
    "machineId": "machine-id",
    "creationDateTimeUtc": "2019-11-21T03:59:34.7389352Z",
    "lastUpdateDateTimeUtc": "2019-11-21T03:59:34.7389352Z",
    "cancellationRequestor": null,
    "cancellationComment": null,
    "cancellationDateTimeUtc": null,
    "errorHResult": 0,
    "scope": null,
    "relatedFileInfo": null
}
Approfondimenti
  • Tipo: Entità
  • Entità Titolo:.
  • IdentifierMessage: l'isolamento di Microsoft Defender for Endpoint è stato rimosso.

Esegui scansione antivirus

Avvia una scansione antivirus su un host utilizzando Microsoft Defender for Endpoint. Sono disponibili due tipi di scansioni di Defender ATP: completa o rapida.

Parametri

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
Tipo di scansione antivirus DDL

Completa

Valori possibili:

  • Completa
  • Rapido
 Specifica se avviare la scansione antivirus completa o rapida sulla macchina.
Commento Stringa N/D Specifica un commento sul motivo per cui è necessario eseguire una scansione antivirus sul computer.

Casi d'uso

Un avviso proveniva dal connettore Defender ATP, durante l'elaborazione dell'avviso sono stati trovati indicatori di compromissioni di malware sulla macchina correlati all'entità della richiesta Google SecOps e per questo motivo l'utente ha deciso di eseguire una scansione antivirus sulla macchina per cercare di trovare malware sull'host.

Pubblica su

Questa azione viene eseguita sulle seguenti entità:

  • Host
  • Indirizzo IP

Risultati dell'azione

Risultato dello script

True se l'endpoint API restituito per ogni entità fornita su cui è stato eseguito, status 201, nella risposta JSON "status": "Pending", che indica che la richiesta API è stata eseguita correttamente. Se l'azione non va a buon fine per almeno una delle entità, il risultato finale deve essere negativo (False).

Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#MachineActions/$entity",
    "id": "example-id",
    "type": "RunAntiVirusScan",
    "requestor": "requestor_id",
    "requestorComment": "Run antivirus scan on suspect",
    "status": "Pending",
    "machineId": "machine-id",
    "creationDateTimeUtc": "2019-11-21T11:07:06.611628Z",
    "lastUpdateDateTimeUtc": "2019-11-21T11:07:06.611628Z",
    "cancellationRequestor": null,
    "cancellationComment": null,
    "cancellationDateTimeUtc": null,
    "errorHResult": 0,
    "scope": null,
    "relatedFileInfo": null
}

Interrompi e metti in quarantena un file su una macchina specifica

Interrompi l'esecuzione di un file su una macchina specifica e mettilo in quarantena utilizzando l'agente Microsoft Defender ATP. L'azione funziona con le entità Host o IP Google SecOps.

Parametri

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
Hash file SHA1 da mettere in quarantena Stringa N/D

Specifica l'hash SHA-1 del file da interrompere e mettere in quarantena.

Nota: l'hash SHA-1 deve essere in minuscolo perché l'azione trovi il file corrispondente.
Commento Stringa N/D Specifica un commento sul motivo per cui è necessario eseguire una scansione antivirus sul computer.
Creare un insight? Casella di controllo Selezionata Se attivata, l'azione creerà un insight di Google SecOps con informazioni correlate se eseguita correttamente.

Casi d'uso

Durante l'elaborazione dell'avviso proveniente dal connettore Defender ATP, l'azione "Arresta e metti in quarantena il file" può essere utilizzata per bloccare l'esecuzione del file specifico per impedire la compromissione della macchina. La necessità di questa azione potrebbe derivare dalla ricerca avanzata e l'utente potrebbe scoprire alcuni file potenzialmente dannosi che al momento vuole bloccare su una singola macchina.

Pubblica su

Questa azione viene eseguita sulle seguenti entità:

  • Host
  • Indirizzo IP

Risultati dell'azione

Risultato dello script

Può essere True o False. True se l'endpoint API restituito per ogni entità fornita su cui è stato eseguito ha restituito stato 201 in "status": "Pending" della risposta JSON, il che indica che la richiesta API è stata eseguita correttamente. Se l'azione non va a buon fine per almeno una delle entità, il risultato finale deve essere negativo (False).

Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#MachineActions/$entity",
    "id": "example-id",
    "type": "StopAndQuarantineFile",
    "requestor": "requestor-id",
    "requestorComment": "Stopping and quarantining putty",
    "status": "Pending",
    "machineId": "machine-id",
    "creationDateTimeUtc": "2019-11-25T10:05:21.3641296Z",
    "lastUpdateDateTimeUtc": "2019-11-25T10:05:21.3641296Z",
    "cancellationRequestor": null,
    "cancellationComment": null,
    "cancellationDateTimeUtc": null,
    "errorHResult": 0,
    "scope": null,
    "relatedFileInfo": {
        "fileIdentifier": "d932604ab8e9debe475415851fd26929a0c0dcd1",
        "fileIdentifierType": "Sha1"
    }
}
Approfondimenti
  • Tipo:entità.
  • Entità Title (String):.
  • IdentifierMessage (String): "File with SHA-1 Filehash {0} was stopped and quarantined on {1}". format (filehash,entity.Identifier).

Ricevi avvisi relativi a un file da Microsoft Defender for Endpoint in base all'hash del file.

Parametri

Valore visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
Stato Stringa Sconosciuto, Nuovo, In corso, Risolto No

Specifica gli stati degli avvisi da cercare.

Il parametro accetta più valori come stringa separata da virgole.
Gravità Stringa Non specificato, Informativo, Basso, Medio, Alto NO

Specifica i livelli di gravità degli incidenti da cercare.

Il parametro accetta più valori come stringa separata da virgole.
Categoria Stringa N/D No

Specifica la categoria di avviso da cercare.

Se non viene fornito alcun valore, l'azione cerca tutte le categorie.

Il parametro accetta più valori come stringa separata da virgole.

Valori possibili: "Collection", "CommandAndControl", "CredentialAccess", "DefenseEvasion", "Discovery", "Execution", "Exfiltration", "Exploit", "InitialAccess", "LateralMovement", "Malware", "Persistence", "PrivilegeEscalation", "Ransomware", "SuspiciousActivity", "UnwantedSoftware".
ID incidente Numero intero N/D No Specifica l'ID incidente di Microsoft Defender per cui vuoi trovare avvisi correlati.

‌Casi d'uso

Durante l'analisi di un avviso generato dal connettore Defender ATP, questa azione può essere utilizzata per raccogliere informazioni se questo file è associato a avvisi per capire se il file è dannoso o meno.

Run On

Questa azione viene eseguita sull'entità Filehash.

Risultati dell'azione

Risultato dello script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Alerts",
    "value": [
        {
            "id": "example_id",
            "incidentId": 2,
            "investigationId": 1,
            "assignedTo": null,
            "severity": "Medium",
            "status": "New",
            "classification": null,
            "determination": null,
            "investigationState": "TerminatedBySystem",
            "detectionSource": "WindowsDefenderAtp",
            "category": "DefenseEvasion",
            "threatFamilyName": null,
            "title": "Suspicious process injection observed",
            "description": "A process abnormally injected code into another process, As a result, unexpected code may be running in the target process memory. Injection is often used to hide malicious code execution within a trusted process. \nAs a result, the target process may exhibit abnormal behaviors such as opening a listening port or connecting to a command and control server.",
            "alertCreationTime": "2019-11-19T03:56:37.7335862Z",
            "firstEventTime": "2019-11-19T03:54:15.7698362Z",
            "lastEventTime": "2019-11-19T03:54:15.7698362Z",
            "lastUpdateTime": "2019-11-20T10:13:31.7266667Z",
            "resolvedTime": null,
            "machineId": "machine-id",
            "alertUser": {
                "accountName": "example.user",
                "domainName": "EXAMPLELAB"
            },
            "comments": [],
            "alertFiles": [
                {
                    "sha1": "1b3b40fbc889fd4c645cc12c85d0805ac36ba254",
                    "sha256": "d3f8fade829d2b7bd596c4504a6dae5c034e789b6a3defbe013bda7d14466677",
                    "filePath": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
                    "fileName": "powershell.exe"
                },{
                    "sha1": "bdd0d38e113a0c7dd6213cf2e89e6cc6d66b5cdb",
                    "sha256": "328954033456d5c13e58fb5bcc6c0232f9f62cb6d9185afa51c7913338992491",
                    "filePath": "C:\\Windows\\System32\\notepad.exe",
                    "fileName": "notepad.exe"
                }
            ],
            "alertDomains": [],
            "alertIps": [],
            "alertProcesses": []
        }
    ]
}

Recupera le macchine correlate a un file da Microsoft Defender for Endpoint in base all'hash del file.

Parametri

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
Nome computer Stringa N/D No Specifica il nome completo del computer da cercare.
Indirizzo IP del computer Stringa N/D No Specifica l'indirizzo IP della macchina da cercare.
Punteggio di rischio del computer Stringa N/D No

Specifica il punteggio di rischio della macchina da cercare.

Il parametro accetta più valori come stringa separata da virgole.
Stato di integrità della macchina Stringa Active, Inactive, ImpairedCommunication, NoSensorData, NoSensorDataImpairedCommunication No

Specifica lo stato di integrità della macchina da cercare.

Il parametro accetta più valori come stringa separata da virgole.
Piattaforma del sistema operativo della macchina Stringa N/D No Specifica la piattaforma del sistema operativo della macchina da cercare.
ID gruppo RBAC Stringa N/D No Specifica l'ID gruppo RBAC da cercare.

Casi d'uso

Durante l'analisi di un avviso generato dal connettore Defender ATP, questa azione può essere utilizzata per raccogliere informazioni sulle macchine a cui è stato registrato questo file in Defender ATP.

Pubblica su

Questa azione viene eseguita sull'entità Filehash.

Risultati dell'azione

Risultato dello script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Machines",
    "value": [
        {
            "id": "example_id",
            "computerDnsName": "example-name",
            "firstSeen": "2019-11-18T11:13:04.0588699Z",
            "lastSeen": "2019-11-20T19:35:36.4619266Z",
            "osPlatform": "Windows10",
            "osVersion": null,
            "osProcessor": "x64",
            "version": "1803",
            "lastIpAddress": "192.0.2.1",
            "lastExternalIpAddress": "203.0.113.121",
            "agentVersion": "10.4860.17134.982",
            "osBuild": 17134,
            "healthStatus": "Active",
            "rbacGroupId": 0,
            "rbacGroupName": null,
            "riskScore": "High",
            "exposureLevel": "Medium",
            "aadDeviceId": null,
            "machineTags": []
        }
    ]
}

Esegui query di ricerca avanzata

Esegui la query di ricerca avanzata di Microsoft Defender for Endpoint. Tieni presente che le virgolette, i nuovi paragrafi o altri simboli speciali devono essere sottoposti a escape. Ad esempio, utilizza la barra rovesciata per l'escape delle virgolette.

Parametri

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
Query Stringa N/D Query di ricerca avanzata da eseguire.

Casi d'uso

L'utente può avere query di ricerca che vuole utilizzare per eseguire query sui dati raccolti in Defender ATP durante l'elaborazione di un avviso di Defender specifico. Con questa azione, l'utente può eseguire queste query di ricerca avanzata.

Pubblica su

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Risultato dello script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
{
    "Stats": {
        "ExecutionTime": 0.0156652,
        "resource_usage": {
            "cache": {
                "memory": {
                    "hits": 13,
                    "misses": 0,
                    "total": 13
                },
                "disk": {
                    "hits": 0,
                    "misses": 0,
                    "total": 0
                }
            },
            "cpu": {
                "user": "00:00:00.0156250",
                "kernel": "00:00:00",
                "total cpu": "00:00:00.0156250"
            },
            "memory": {
                "peak_per_node": 33554624
            }
        },
        "dataset_statistics": [
            {
                "table_row_count": 2,
                "table_size": 60
            }
        ]
    },
    "Schema": [
        {
            "Name": "EventTime",
            "Type": "DateTime"
        },
        {
            "Name": "FileName",
            "Type": "String"
        },
        {
            "Name": "InitiatingProcessFileName",
            "Type": "String"
        }
    ],
    "Results": [
        {
            "EventTime": "2019-11-18T11:13:07.043128Z",
            "FileName": "csc.exe",
            "InitiatingProcessFileName": "powershell.exe"
        },
        {
            "EventTime": "2019-11-19T03:54:14.4256361Z",
            "FileName": "csc.exe",
            "InitiatingProcessFileName": "powershell.exe"
        }
    ]
}

Attendi lo stato dell'attività

Attendi lo stato di un'attività.

Parametri

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
ID attività Stringa N/D Elenco degli ID attività come stringa separata da virgole.

Pubblica su

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Risultato dello script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
[
    {
        "status": "Succeeded",
        "creation_date_time_utc": "2020-02-08T03:24:52.8526634Z",
        "cancellation_requestor": null,
        "cancellation_date_time_utc": null,
        "id": "2e39d22e-60a7-4267-899c-a1471e800000",
        "last_update_date_time_utc": "2020-02-08T03:25:35.8345081Z",
        "related_file_info": null,
        "cancellation_comment": null,
        "requestor": "e4fc6454-754d-47f7-bbdb-045fad600000",
        "error_h_result": 0,
        "scope": "Selective",
        "machine_id": "fbc85cf3fbcc8bb14d1a84fcf7bbae4531f00000",
        "type": "Isolate",
        "requestor_comment": "test"
    }
]

Get Current Task Status

Visualizzare lo stato attuale di un'attività.

Parametri

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
ID attività Stringa N/D Elenco degli ID attività come stringa separata da virgole.

Pubblica su

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Risultato dello script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
[
    {
        "status": "Succeeded",
        "creation_date_time_utc": "2020-02-08T03:24:52.8526634Z",
        "cancellation_requestor": null,
        "cancellation_date_time_utc": null,
        "id": "2e39d22e-60a7-4267-899c-a1471e800000",
        "last_update_date_time_utc": "2020-02-08T03:25:35.8345081Z",
        "related_file_info": null,
        "cancellation_comment": null,
        "requestor": "e4fc6454-754d-47f7-bbdb-045fad600000",
        "error_h_result": 0,
        "scope": "Selective",
        "machine_id": "fbc85cf3fbcc8bb14d1a84fcf7bbae4531f00000",
        "type": "Isolate",
        "requestor_comment": "test"
    }
]

Invia indicatori entità

Invia le entità come indicatori in Microsoft Defender for Endpoint.

Parametri

Nome visualizzazione parametro Tipo Valore predefinito È obbligatorio Descrizione
Azione DDL

Blocca

Valori possibili:

  • Blocca
  • Controlla
  • Blocca e correggi
  • Consenti

Specifica l'azione da applicare alle entità.

Nota:il valore "Blocca e correggi" è supportato solo per le entità filehash.
Gravità DDL

Alta

Valori possibili:

  • Alta
  • Medie
  • Bassa
  • Informativo
 Specifica la gravità per le entità trovate.
Applicazione Stringa N/D No Specifica un'applicazione correlata alle entità.
Titolo avviso indicatore Stringa N/D Specifica il titolo dell'avviso, se identificato nell'ambiente.
Descrizione Stringa Correzione di Google SecOps Specifica la descrizione delle entità.
Azione consigliata Stringa N/D No Specifica le azioni consigliate per la gestione delle entità.

Pubblica su

Questa azione viene eseguita sulle seguenti entità:

  • Indirizzo IP
  • URL
  • Filehash

Risultati dell'azione

Risultato dello script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Bacheca casi
Tipo di risultato Valore / Descrizione Tipo
Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:

Se i dati sono disponibili per un'entità (is_success = true): "Le seguenti entità sono state inviate correttamente come indicatori a Microsoft Defender for Endpoint: {entity.identifier}".

Se i dati non sono disponibili per un'entità (is_success=true): "L'azione non è riuscita a inviare le seguenti entità come indicatori a Microsoft Defender for Endpoint: {entity.identifier}".

Se viene segnalato il codice di stato 403 per un'entità: "L'istanza non dispone di autorizzazioni sufficienti per l'invio per le seguenti entità: {entity.identifier}

Se i dati non sono disponibili per tutte le entità (is_success=false): "Nessuna delle entità fornite è stata inviata come indicatori a Microsoft Defender for Endpoint".

Se un'entità è già un indicatore: "Le seguenti entità sono già indicatori in Microsoft Defender for Endpoint: {entity.identifier}"

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:

Se si verifica un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server, altro: "Errore durante l'esecuzione dell'azione "Invia indicatori entità". Motivo: {0}''.format(error.Stacktrace)

Se il codice di stato 403 viene segnalato per tutte le entità: "Errore durante l'esecuzione dell'azione "Invia indicatori entità". Motivo: nessuno degli indicatori è stato creato a causa delle autorizzazioni dell'istanza. Controlla la configurazione.".

 Generale

Elimina indicatori entità

Elimina gli indicatori di entità in Microsoft Defender for Endpoint.

Parametri

N/D

Pubblica su

Questa azione viene eseguita sulle seguenti entità:

  • Indirizzo IP
  • URL
  • Filehash

Risultati dell'azione

Risultato dello script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Bacheca casi
Tipo di risultato Valore / Descrizione Tipo
Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:

Se viene segnalato il codice di stato 204 (is_success=true): "Successfully deleted the following entities as indicators in Microsoft Defender for Endpoint: {entity.identifier}.

Se l'incidente non viene trovato (is_success=true): "Le seguenti entità non esistono come indicatori in Microsoft Defender for Endpoint: {entity.identifier}.

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:

Se viene segnalato un errore irreversibile, come credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Elimina indicatori entità". Motivo: {0}''.format(error.Stacktrace)

 Generale

Elenco indicatori

Elenca gli indicatori in Microsoft Defender for Endpoint.

Parametri

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
Indicatori CSV N/D No Specifica un elenco separato da virgole degli indicatori che vuoi recuperare.
Tipi di indicatori CSV FileSha1,FileSha256,FileMd5,CertificateThumbprint,IpAddress,DomainName, Url No

Specifica un elenco separato da virgole dei tipi di indicatori che vuoi recuperare.

Valori possibili: FileSha1, FileSha256, FileMd5, CertificateThumbprint, IpAddress,DomainName, Url.
Azioni CSV Avviso,Blocco,Audit,Avviso,Avviso e blocco,Blocco e correzione,Consentito No

Specifica un elenco separato da virgole di azioni dell'indicatore che vuoi utilizzare per il filtro.

Valori possibili: Warn,Block,Audit,Alert, AlertAndBlock,BlockAndRemediate,Allowed
Gravità CSV Informativo,Basso,Medio,Alto No

Specifica un elenco separato da virgole di gravità che vuoi utilizzare per il filtro.

Valori possibili: Informational,Low,Medium,High
Numero massimo di risultati da restituire Numero intero 50 No Specifica il numero di indicatori da restituire.

Pubblica su

Questa azione non viene eseguita sulle entità.

Risultati dell'azione

Risultato dello script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
{
    "id": "18",
    "indicatorValue": "110e7d15b011d7fac48f2bd61114db1022197f7a",
    "indicatorType": "FileSha1",
    "action": "Audit",
    "createdBy": "45e9773c-100e-4a9f-ad37-d8e182e9ed26",
    "severity": "Informational",
    "category": 1,
    "application": "demo-test",
    "educateUrl": null,
    "bypassDurationHours": null,
    "title": "test",
    "description": "test",
    "recommendedActions": "nothing",
    "creationTimeDateTimeUtc": "2022-02-08T14:20:34.9071582Z",
    "expirationTime": null,
    "lastUpdateTime": "2022-02-08T14:20:34.9151307Z",
    "lastUpdatedBy": null,
    "rbacGroupNames": [],
    "rbacGroupIds": [],
    "notificationId": null,
    "notificationBody": null,
    "version": null,
    "mitreTechniques": [],
    "historicalDetection": false,
    "lookBackPeriod": null,
    "generateAlert": true,
    "additionalInfo": null,
    "createdByDisplayName": "Example Defender ATP",
    "externalId": null,
    "createdBySource": "PublicApi",
    "certificateInfo": null
}
Bacheca casi
Tipo di risultato Valore / Descrizione Tipo
Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:

Se i dati sono disponibili (is_success=true): "Successfully found indicators for the provided criteria in Microsoft Defender for Endpoint.".

Se i dati non sono disponibili (is_success=false): "Non sono stati trovati indicatori per i criteri forniti in Microsoft Defender for Endpoint".

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:

Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Elenca indicatori". Motivo: {0}''.format(error.Stacktrace)

Se viene fornito un parametro "Tipi di indicatori" non valido: "Errore durante l'esecuzione dell'azione "Elenca indicatori". Motivo: valore non valido per il parametro "Tipi di indicatori". Valori possibili: FileSha1, FileSha256, FileMd5, CertificateThumbprint, IpAddress, DomainName, Url.

Se viene fornito un parametro "Actions" non valido: "Errore durante l'esecuzione dell'azione "Elenca indicatori". Motivo: valore non valido per il parametro "Azioni". Valori possibili: Warn, Block, Audit, Alert, AlertAndBlock, BlockAndRemediate, Allowed.

Se viene fornito un parametro "Severity" non valido: "Error executing action "List Indicators". Motivo: valore non valido per il parametro "Azioni". Valori possibili: Informazioni, Basso, Medio, Alto.

 Generale
Tabella Bacheca casi

Indicatori trovati

Tipo: indicatorType

Azione: azione

Gravità: severity Descrizione: description Titolo: title Suggerimento: recommendedActions

 Entità

Connettori

Per istruzioni dettagliate su come configurare un connettore in Google SecOps, vedi Configurazione del connettore.

Per configurare il connettore selezionato, utilizza i parametri specifici del connettore elencati nelle tabelle seguenti:

Connettore Microsoft Defender ATP

L'API SIEM Defender ATP utilizzata nel connettore Microsoft Defender ATP per gli eventi è ritirata a partire dal 1° marzo 2022.

Il connettore si connette periodicamente all'endpoint API Defender ATP e recupera un elenco di avvisi generati per un periodo di tempo specifico. Per gli avvisi elaborati, il connettore in una richiesta separata recupera le informazioni sulle rilevazioni da Defender ATP. I rilevamenti hanno un campo AlertId che può essere utilizzato per associarli ad avvisi specifici.

Parametri del connettore

Utilizza i seguenti parametri per configurare il connettore:

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
Nome campo prodotto Stringa ProductName Descrive il nome del campo in cui è memorizzato il nome del prodotto.
Nome campo evento Stringa AlertName Descrive il nome del campo in cui è memorizzato il nome dell'evento.
Nome campo ambiente Stringa "" No

Descrive il nome del campo in cui è memorizzato il nome dell'ambiente.

Se il campo dell'ambiente non viene trovato, l'ambiente è "".
Pattern regex ambiente Stringa .* No

Un pattern di espressione regolare da eseguire sul valore trovato nel campo Environment Field Name.

Il valore predefinito è .* per acquisire tutto e restituire il valore invariato.

Utilizzato per consentire all'utente di manipolare il campo dell'ambiente utilizzando la logica delle espressioni regolari.

Se il pattern dell'espressione regolare è nullo o vuoto oppure il valore dell'ambiente è nullo, il risultato finale dell'ambiente è "".
Root API Stringa https://api.securitycenter.windows.com

URL di base dell'API da utilizzare con l'integrazione.

Per prestazioni migliori, puoi utilizzare un server più vicino alla tua posizione:

  • api-us.securitycenter.windows.com
  • api-eu.securitycenter.windows.com
  • api-uk.securitycenter.windows.com
ID Azure Active Directory Stringa N/D L'ID tenant di Microsoft Entra può essere visualizzato in Active Directory > Registrazione app > La tua applicazione > ID directory (tenant).
ID client integrazione Stringa N/D ID client (applicazione) aggiunto per la registrazione dell'app in Microsoft Entra per l'integrazione.
Client secret dell'integrazione Password N/D Il secret inserito per la registrazione dell'app Azure AD per l'integrazione.
ID client SIEM Stringa N/D ID client (applicazione) per l'integrazione SIEM abilitata in Microsoft Defender for Endpoint.
Client secret SIEM Password N/D Secret per l'integrazione SIEM abilitata in Microsoft Defender for Endpoint.
Offset Time In Hours Numero intero 24 Recupera gli avvisi a partire da X ore prima.
Numero massimo di avvisi per ciclo Numero intero 100 Numero di avvisi elaborati durante l'esecuzione di un connettore.
Stati avviso da recuperare Stringa Sconosciuto, Nuovo, In corso, Risolto

Specifica gli stati degli avvisi di Defender ATP che devono essere recuperati dal server Google SecOps.

Il parametro può accettare più valori come stringa separata da virgole.
Gravità degli avvisi da recuperare Stringa Non specificato, Informativo, Basso, Medio, Alto

Specifica le gravità degli avvisi di Defender ATP che devono essere recuperati dal server Google SecOps.

Il parametro può accettare più valori come stringa separata da virgole.
Indirizzo del server proxy IP_OR_HOST N/D No Server proxy da utilizzare per la connessione.
Nome utente del server proxy Stringa N/D No Nome utente del server proxy.
Password del server proxy Password N/D No Password del server proxy.

Regole del connettore

  • Il connettore non supporta le regole di blocco o le regole di elenco dinamico.

  • Il connettore supporta i proxy.

Connettore Microsoft Defender ATP V2

Recupera gli avvisi di Defender ATP utilizzando l'API 365 Defender per ottenere i dati sugli eventi. Utilizza l'elenco dinamico dei connettori per importare solo tipi specifici di avvisi in base al valore dell'attributo detectionSource dell'avviso.

L'attributo connettore SourceGroupIdentifier può essere utilizzato per raggruppare gli avvisi in base all'ID incidente di Defender ATP.

Prerequisiti

Prima di configurare il connettore, assicurati di concedere autorizzazioni aggiuntive alla tua applicazione Microsoft Entra:

  1. Accedi al portale Azure come amministratore utenti o amministratore password.

  2. Seleziona Microsoft Entra ID.

  3. Vai ad Autorizzazioni API > Aggiungi un'autorizzazione > API usate dalla mia organizzazione.

  4. Seleziona Microsoft Threat Protection > Autorizzazioni applicazione.

  5. Nella sezione Seleziona autorizzazioni, seleziona le seguenti autorizzazioni obbligatorie:

    • Incident.Read.All
    • Incident.ReadWrite.All

  6. Fai clic su Aggiungi autorizzazioni.

  7. Fai clic su Concedi il consenso amministratore per YOUR_ORGANIZATION_NAME.

Parametri del connettore

Utilizza i seguenti parametri per configurare il connettore:

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
Nome campo prodotto Stringa :: Descrive il nome del campo in cui è memorizzato il nome del prodotto.
Nome campo evento Stringa EventName Descrive il nome del campo in cui è memorizzato il nome dell'evento.
Nome campo ambiente Stringa "" No

Descrive il nome del campo in cui è memorizzato il nome dell'ambiente.

Se il campo dell'ambiente non viene trovato, l'ambiente è "".
Pattern regex ambiente Stringa .* No

Un pattern di espressione regolare da eseguire sul valore trovato nel campo Environment Field Name.

Il valore predefinito è .* per acquisire tutto e restituire il valore invariato.

Utilizzato per consentire all'utente di manipolare il campo dell'ambiente utilizzando la logica delle espressioni regolari.

Se il pattern dell'espressione regolare è nullo o vuoto oppure il valore dell'ambiente è nullo, il risultato finale dell'ambiente è "".
Root API di Defender ATP Stringa https://api.securitycenter.windows.com

URL di base dell'API da utilizzare con l'integrazione

Per prestazioni migliori, puoi utilizzare un server più vicino alla tua posizione:

  • api-us.securitycenter.windows.com
  • api-eu.securitycenter.windows.com
  • api-uk.securitycenter.windows.com
Root API di 365 Defender Stringa https://api.security.microsoft.com Radice API dell'istanza di Microsoft 365 Defender utilizzata per ottenere i dati sugli eventi di Google SecOps.
ID Azure Active Directory Stringa N/D ID tenant di Microsoft Entra che puoi trovare in Microsoft Entra > Registrazione app > La tua applicazione > ID directory (tenant).
ID client integrazione Stringa N/D ID client (applicazione) aggiunto per la registrazione dell'app in Microsoft Entra per l'integrazione.
Client secret dell'integrazione Password N/D Il secret inserito per la registrazione dell'app Azure AD per l'integrazione.
Verifica SSL Casella di controllo Selezionata Se abilitata, verifica che il certificato SSL per la connessione al server Microsoft 365 Defender sia valido.
Offset Time In Hours Numero intero 24 Recupera gli avvisi a partire da X ore prima.
Numero massimo di avvisi per ciclo Numero intero 10 Numero di avvisi elaborati durante l'esecuzione di un connettore.
Stati avviso da recuperare Stringa Sconosciuto, Nuovo, In corso, Risolto

Specifica gli stati degli avvisi di Defender ATP che devono essere recuperati dal server Google SecOps.

Il parametro può accettare più valori come stringa separata da virgole.
Gravità degli avvisi da recuperare Stringa Non specificato, Informativo, Basso, Medio, Alto

Specifica le gravità degli avvisi Defender ATP che devono essere recuperati dal server Google SecOps.

Il parametro può accettare più valori come stringa separata da virgole.
Disattiva overflow Casella di controllo Deselezionata No Se abilitato, il connettore ignora il meccanismo di overflow.
Timeout dello script Numero intero 300 Specifica il timeout per l'esecuzione del connettore.
Utilizzare la lista consentita come lista nera Casella di controllo Deselezionata No Se abilitato, l'elenco dinamico viene utilizzato come lista bloccata.
Indirizzo del server proxy IP_OR_HOST N/D No Server proxy da utilizzare per la connessione.
Nome utente del server proxy Stringa N/D No Nome utente del server proxy.
Password del server proxy Password N/D No Password del server proxy.

Regole del connettore

Il connettore supporta una logica di elenco dinamico basata sul valore del campo di avviso detectionSource Defender ATP.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.