Microsoft Defender ATP
統合バージョン 23.0
ユースケース
Microsoft Defender for Endpoint で収集されたデータを使用して、特定のケースを調査する際に情報を拡充します。
アナリストは、Microsoft Defender for Endpoint で収集および保存されたデータを調査で使用できます。たとえば、Microsoft Defender for Endpoint で検出されたアラートに関する情報を取得したり、Microsoft Defender for Endpoint に登録されているマシンを一覧表示したりできます。
特定のホストをネットワークから分離したり、ウイルス対策スキャンを実行したりするなど、潜在的なセキュリティ インシデントでアクティブな対応アクションを実行します。
Microsoft Defender for Endpoint アラートを、それぞれのコネクタによって取得された Google Security Operations アラートとしてモニタリングし、検査します。
前提条件
Google SecOps プラットフォームで統合を構成する前に、次の前提条件の手順を完了してください。
Microsoft Entra アプリを作成します。
アプリの API 権限を構成します。
クライアント シークレットを作成します。
Microsoft Defender for Endpoint API にアクセスする場合は、ユーザー コンテキストではなくアプリケーション コンテキストを使用することをおすすめします。
Microsoft Entra アプリを作成する
ユーザー管理者またはパスワード管理者として Azure ポータルにログインします。
[Microsoft Entra ID] を選択します。
[App registrations] > [New registration] に移動します。
アプリの名前を入力します。
[Register] をクリックします。
アプリケーション(クライアント)ID とディレクトリ(テナント)ID の値を保存します。これらの値は、後で統合パラメータを構成するときに使用します。
API 権限を構成する
[API 権限] > [権限の追加] > [所属する組織で使用している API] に移動します。[API のアクセス許可の要求] ダイアログが開きます。
[検索] フィールドに「
WindowsDefenderATP」と入力します。[WindowsDefenderATP > アプリケーションのアクセス許可] を選択します。
[アラート] 権限タイプで、次の権限を選択します。
Alert.Read.All
[権限を追加] をクリックします。
[API 権限] ページで、[権限を追加] をクリックします。
[Microsoft Graph > Delegated permissions] を選択します。
[アクセス許可の選択] セクションで、次の必須のアクセス許可を選択します。
User.Read
[権限を追加] をクリックします。
[API 権限] ページで、[権限を追加] をクリックします。
[WindowsDefenderATP] > [アプリケーションのアクセス許可] を選択します。
[アクセス許可の選択] セクションで、次の必須のアクセス許可を選択します。
AdvancedQuery.Read.AllAlert.Read.AllAlert.ReadWrite.AllEvent.WriteFile.Read.AllIp.Read.AllMachine.IsolateMachine.Read.AllMachine.ReadWrite.AllMachine.ScanMachine.StopAndQuarantineTi.ReadWriteUrl.Read.AllUser.Read.All
[
ORGANIZATION_NAMEに管理者の同意を与えます] をクリックします。[管理者の同意を得る] 確認ダイアログが表示されたら、[はい] をクリックします。
Defender ATP アラートを取得する API リクエストの例を次に示します(IP アドレス、ドメイン、ファイルに関するデータの取得に使用される $expand パラメータに注意してください)。
GET /api/alerts?$expand=files,ips,domains HTTP/1.1
Host: api.securitycenter.windows.com
Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJ...
User-Agent: PostmanRuntime/7.19.0
Accept: */ *
Cache-Control: no-cache
Postman-Token: 2dc0f885-068a-45d4-81a6-2da0d23a58ad,d3dd0e6e-83ab-4d27-94d2-0f3889dff324
Host: api.securitycenter.windows.com
Accept-Encoding: gzip, deflate
Connection: keep-alive
cache-control: no-cache
リクエスト パラメータと、フィルタや展開などのリクエスト オプションの詳細については、Microsoft のドキュメントの サポートされている Microsoft Defender for Endpoint API をご覧ください。
クライアント シークレットを作成する
[証明書とシークレット] > [新しいクライアント シークレット] に移動します。
クライアント シークレットの説明を入力し、有効期限を設定します。
[追加] をクリックします。
統合を構成するときに
Client Secretパラメータ値として使用するために、クライアント シークレットの値(シークレット ID ではない)を保存します。クライアント シークレットの値は 1 回だけ表示されます。
SIEM 統合を有効にする - 非推奨
ナビゲーション ペインで、[設定] > [SIEM] を選択します。
[Enable SIEM integration] を選択します。
これにより、SIEM コネクタのアクセス詳細セクションが有効になり、値が事前入力され、Azure AD テナントにアプリケーションが作成されます。
- SIEM タイプとして [Generic API] を選択します。
- 個々の値をコピーするか、[Save details to file] を選択してすべての値を含むファイルをダウンロードします。
- 検出データにアクセスするためのトークンを生成するには、このページに表示される値(クライアント ID、クライアント シークレット、リソース)が必要です。
Microsoft Defender ATP を Google SecOps と統合する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
統合のパラメータ
統合を構成するには、次のパラメータを使用します。
| パラメータ | |
|---|---|
Client ID |
必須 統合に使用する Microsoft Entra アプリのクライアント(アプリケーション)ID。 |
Client Secret |
必須 統合に使用する Microsoft Entra アプリのクライアント シークレット値。 |
Azure Active Directory ID |
必須 Microsoft Entra ID(テナント ID)の値。 |
Verify SSL |
Optional 選択すると、Microsoft 365 Defender サーバーへの接続用の SSL 証明書が有効であることが確認されます。 デフォルトで選択されています。 |
API Root |
必須 統合で使用する API ルート URL。パフォーマンスを向上させるには、お住まいの地域に最も近いサーバーを使用します。
デフォルト値は |
操作
Ping
統合構成ページで提供されているパラメータを使用して、Microsoft Defender for Endpoint インスタンスへの接続をテストします。
パラメータ
なし
ユースケース
このアクションは接続をテストするために使用され、手動によるアクションとして実行できます。これは、ハンドブックには含まれません。
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
エンティティの拡充
Microsoft Defender for Endpoint の情報に基づいて、Google SecOps のホスト、IP アドレス、ファイル ハッシュ エンティティを拡充します。
パラメータ
なし
ユースケース
このアクションは、デバイスのアクティビティを調査するプレイブックで使用できます。デバイスに Microsoft Defender for Endpoint エージェントがインストールされている場合、このアクションはデバイスの Defender ATP から情報を取得して、Google SecOps エンティティを拡充します。このアクションは、Defender ATP の情報を使用してアラート ファイルのハッシュを拡充するためにも使用できます。
実行
このアクションは次のエンティティに対して実行されます。
- ホスト
- IP アドレス
- Filehash
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
IP アドレスまたはホストでエンリッチメントが機能する場合:
[
{
"EntityResult": {
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Machines/$entity",
"id": "example_id",
"computerDnsName": "example-name",
"firstSeen": "2019-11-18T11:13:04.0588699Z",
"lastSeen": "2019-11-24T18:31:50.581058Z",
"osPlatform": "Windows10",
"osVersion": null,
"osProcessor": "x64",
"version": "1803",
"lastIpAddress": "192.0.2.138",
"lastExternalIpAddress": "203.0.113.28",
"agentVersion": "10.4860.17134.982",
"osBuild": 17134,
"healthStatus": "Active",
"rbacGroupId": 0,
"rbacGroupName": null,
"riskScore": "High",
"exposureLevel": "Medium",
"aadDeviceId": null,
"machineTags": []
}
}
]
Filehash でエンリッチメントが機能する場合:
[
{
"EntityResult": {
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Files/$entity",
"sha1": "bdd0d38e113a0c7dd6213cf2e89e6cc6d66b5cdb",
"sha256": "328954033456d5c13e58fb5bcc6c0232f9f62cb6d9185afa51c7913338992491",
"md5": "9512e1cc66a1d36feb0a290cab09087b",
"globalPrevalence": 5205000,
"globalFirstObserved": "2018-06-22T12:59:21.6460311Z",
"globalLastObserved": "2019-11-21T00:24:01.921338Z",
"size": 245760,
"fileType": "APP",
"isPeFile": true,
"filePublisher": "Microsoft Corporation",
"fileProductName": "Microsoft Windows Operating System",
"signer": "Microsoft Windows",
"issuer": "Microsoft Windows Production PCA 2011",
"signerHash": "419e77aed546a1a6cf4dc23c1f977542fe289cf7",
"isValidCertificate": true
},
"EntityResult": {
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#microsoft.windowsDefenderATP.api.InOrgFileStats",
"sha1": "bdd0d38e113a0c7dd6213cf2e89e6cc6d66b5cdb",
"orgPrevalence": "1",
"orgFirstSeen": "2019-11-19T03:54:15Z",
"orgLastSeen": "2019-11-19T04:21:18Z",
"globalPrevalence": "5205000",
"globalFirstObserved": "2018-06-22T12:59:21.6460311Z",
"globalLastObserved": "2019-11-21T00:24:01.921338Z",
"topFileNames": ["notepad.exe"]
}
}
]
エンティティ拡充
IP とホスト
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| Defender_ATP.sha1 | JSON の結果に存在する場合に返す |
| Defender_ATP.sha256 | JSON の結果に存在する場合に返す |
| Defender_ATP.md5 | JSON の結果に存在する場合に返す |
| Defender_ATP.globalPrevalence | JSON の結果に存在する場合に返す |
| Defender_ATP.globalFirstObserved | JSON の結果に存在する場合に返す |
| Defender_ATP.globalLastObserved | JSON の結果に存在する場合に返す |
| Defender_ATP.size | JSON の結果に存在する場合に返す |
| Defender_ATP.fileType | JSON の結果に存在する場合に返す |
| Defender_ATP.isPeFile | JSON の結果に存在する場合に返す |
| Defender_ATP.filePublisher | JSON の結果に存在する場合に返す |
| Defender_ATP.fileProductName | JSON の結果に存在する場合に返す |
| Defender_ATP.signer | JSON の結果に存在する場合に返す |
| Defender_ATP.issuer | JSON の結果に存在する場合に返す |
| Defender_ATP.signerHash | JSON の結果に存在する場合に返す |
| Defender_ATP.isValidCertificate | JSON の結果に存在する場合に返す |
| Defender_ATP.orgPrevalence | JSON の結果に存在する場合に返す |
| Defender_ATP.orgFirstSeen | JSON の結果に存在する場合に返す |
| Defender_ATP.orgLastSeen | JSON の結果に存在する場合に返す |
| Defender_ATP.topFileNames | JSON の結果に存在する場合に返す |
ファイル ハッシュ
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| Defender_ATP.sha1 | JSON の結果に存在する場合に返す |
| Defender_ATP.sha256 | JSON の結果に存在する場合に返す |
| Defender_ATP.md5 | JSON の結果に存在する場合に返す |
| Defender_ATP.globalPrevalence | JSON の結果に存在する場合に返す |
| Defender_ATP.globalFirstObserved | JSON の結果に存在する場合に返す |
| Defender_ATP.globalLastObserved | JSON の結果に存在する場合に返す |
| Defender_ATP.size | JSON の結果に存在する場合に返す |
| Defender_ATP.fileType | JSON の結果に存在する場合に返す |
| Defender_ATP.isPeFile | JSON の結果に存在する場合に返す |
| Defender_ATP.filePublisher | JSON の結果に存在する場合に返す |
| Defender_ATP.fileProductName | JSON の結果に存在する場合に返す |
| Defender_ATP.signer | JSON の結果に存在する場合に返す |
| Defender_ATP.issuer | JSON の結果に存在する場合に返す |
| Defender_ATP.signerHash | JSON の結果に存在する場合に返す |
| Defender_ATP.isValidCertificate | JSON の結果に存在する場合に返す |
| Defender_ATP.orgPrevalence | JSON の結果に存在する場合に返す |
| Defender_ATP.orgFirstSeen | JSON の結果に存在する場合に返す |
| Defender_ATP.orgLastSeen | JSON の結果に存在する場合に返す |
| Defender_ATP.topFileNames | JSON の結果に存在する場合に返す |
アラートの一覧表示
指定された検索条件に基づいて Microsoft Defender for Endpoint アラートを一覧表示します。このアクションは、検出されたアラートに関する情報を表形式と JSON 形式でアクション出力として返します。また、アクション出力の JSON ファイルに保存され、添付された未加工のアラートデータも返します。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 期間 | Integer | 3 | いいえ | アラートを取得する期間を時間で指定します。 |
| ステータス | 文字列 | Unknown、New、InProgress、Resolved | いいえ | 検索するアラートのステータスを指定します。 パラメータは、カンマ区切りの文字列として複数の値を受け入れます。 |
| 重大度 | 文字列 | なし | いいえ | 検索するインシデントの重大度を指定します。 指定しない場合、アクションはすべての重大度を検索します。 パラメータは、カンマ区切りの文字列として複数の値を受け入れます。 有効な値: UnSpecified、Informational、Low、Medium、High |
| カテゴリ | 文字列 | なし | いいえ | 検索するアラート カテゴリを指定します。 指定しない場合、アクションはすべてのカテゴリを検索します。 パラメータは、カンマ区切りの文字列として複数の値を受け入れます。 有効な値: 'Collection'、'CommandAndControl'、'CredentialAccess'、'DefenseEvasion'、'Discovery'、'Execution'、'Exfiltration'、'Exploit'、'InitialAccess'、'LateralMovement'、'Malware'、'Persistence'、'PrivilegeEscalation'、'Ransomware'、'SuspiciousActivity'、'UnwantedSoftware'。 |
| インシデント ID | Integer | なし | いいえ | 関連するアラートを検索する Microsoft Defender インシデント ID を指定します。 |
ユースケース
このアクションは、エンドユーザーの Defender ATP 警告を Google SecOps サーバーに送信して確認するために使用できます。たとえば、Defender ATP コネクタから送信された警告に対処する場合、ユーザーは「警告を一覧表示」アクションを構成して、処理されたアラートの IncidentId を入力パラメータとして受け入れ、Defender ATP サーバーから詳細を取得します。単一の Defender ATP インシデントの一部である他の警告がある場合もあります。
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Alerts",
"value": [
{
"id": "example_id",
"incidentId": 2,
"investigationId": null,
"assignedTo": null,
"severity": "Medium",
"status": "New",
"classification": null,
"determination": null,
"investigationState": "UnsupportedAlertType",
"detectionSource": "WindowsDefenderAtp",
"category": "Execution",
"threatFamilyName": null,
"title": "Unexpected behavior observed by a process run with no command line arguments",
"description": "The legitimate process by this name does not normally exhibit this behavior when run with no command line arguments. \nSuch unexpected behavior may be a result of extraneous code injected into a legitimate process, or a malicious executable masquerading as the legitimate one by name.",
"alertCreationTime": "2019-11-19T03:56:35.3007009Z",
"firstEventTime": "2019-11-19T03:54:16.0441057Z",
"lastEventTime": "2019-11-19T03:54:16.0441057Z",
"lastUpdateTime": "2019-11-19T03:56:38.45Z",
"resolvedTime": null,
"machineId": "machine-id",
"alertUser": null,
"comments": [],
"alertFiles": [],
"alertDomains": [],
"alertIps": [],
"alertProcesses": []
}
]
}
アラートを更新
特定の Microsoft Defender for Endpoint アラートを更新します。このアクションは、Microsoft Defender for Endpoint でアラートを閉じるために使用できます。
パラメータ
| パラメータ | タイプ | デフォルト値 | 必須 | Description |
|---|---|---|---|---|
| アラート ID | 文字列 | なし | はい | 更新する Microsoft Defender for Endpoint アラート ID を指定します。 |
| ステータス | DDL | 新規 有効な値:
|
いいえ | 更新するアラートのステータスを指定します。 |
| 割り当て先 | 文字列 | なし | いいえ | このフィールドを更新する場合は、ユーザー情報を指定します。 |
| 分類 | DDL | 不明 有効な値:
|
いいえ | アラートの更新に使用する分類を指定します。 |
| 決定 | DDL | NotAvailable 有効な値:
|
いいえ | アラートの更新に使用する判定を指定します。 |
ユースケース
このアクションを使用して、Defender ATP の警告を更新します。
このアクションを使用して、Defender ATP 警告分析を含むワークフローに介入します。
Google SecOps でアラートが処理されたら、Defender ATP アラートを無視して、Defender ATP と Google SecOps のアラート リストを同期させることができます。また、アラートの分析の進行状況を表示するようにアラートを変更することもできます(たとえば、
assignedTo属性を設定するか、アラートのステータスをinProgressに設定します)。
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Alerts/$entity",
"id": "example-id",
"incidentId": 1,
"investigationId": null,
"assignedTo": null,
"severity": "Informational",
"status": "Resolved",
"classification": null,
"determination": null,
"investigationState": "UnsupportedAlertType",
"detectionSource": "WindowsDefenderAtp",
"category": "Execution",
"threatFamilyName": null,
"title": "[Test Alert] Suspicious Powershell commandline",
"description": "*** This is a test alert ***\nA suspicious Powershell commandline was found on the machine. This commandline might be used during installation, exploration, or in some cases with lateral movement activities which are used by attackers to invoke modules, download external payloads, and get more information about the system. Attackers usually use Powershell to bypass security protection mechanisms by executing their payload in memory without touching the disk and leaving any trace.",
"alertCreationTime": "2019-11-18T11:17:48.287421Z",
"firstEventTime": "2019-11-18T11:15:06.5226815Z",
"lastEventTime": "2019-11-18T11:15:06.5226815Z",
"lastUpdateTime": "2019-11-20T04:12:03.6066667Z",
"resolvedTime": "2019-11-20T04:12:03.4976288Z",
"machineId": "machine-id",
"alertUser": {
"accountName": "Administrator",
"domainName": "example-domain"
},
"comments": [],
"alertFiles": [
{
"sha1": "3ce71813199abae99348f61f0caa34e2574f831c",
"sha256": "9a7c58bd98d70631aa1473f7b57b426db367d72429a5455b433a05ee251f3236",
"filePath": "C:\\Windows\\System32\\cmd.exe",
"fileName": "cmd.exe"
},
{
"sha1": "1b3b40fbc889fd4c645cc12c85d0805ac36ba254",
"sha256": "d3f8fade829d2b7bd596c4504a6dae5c034e789b6a3defbe013bda7d14466677",
"filePath": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
"fileName": "powershell.exe"
}
],
"alertDomains": [],
"alertIps": [],
"alertProcesses": []
}
マシンの一覧を取得する
検索用に指定されたパラメータに基づいて、Microsoft Defender for Endpoint サーバーに登録されているマシンに関する情報を取得します。
パラメータ
| パラメータ | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 最終表示期間 | Integer | なし | いいえ | 最後に確認された期間を時間単位で指定します。 |
| マシン名 | 文字列 | なし | いいえ | 検索する完全なマシン名を指定します。 |
| マシンの IP アドレス | 文字列 | なし | いいえ | 検索するマシンの IP アドレスを指定します。 |
| マシンのリスクスコア | 文字列 | なし、低、中、高 | いいえ | 検索するマシンのリスクスコアを指定します。 このパラメータは、カンマ区切りの文字列として複数の値を受け入れます。 |
| マシンの健全性ステータス | 文字列 | Active、Inactive、ImpairedCommunication、NoSensorData、NoSensorDataImpairedCommunication | いいえ | 検索するマシンのヘルス ステータスを指定します。 このパラメータは、カンマ区切りの文字列として複数の値を受け入れます。 |
| マシンの OS プラットフォーム | 文字列 | なし | いいえ | 検索するマシンの OS プラットフォームを指定します。 |
| RBAC グループ ID | 文字列 | なし | いいえ | 検索する RBAC グループ ID を指定します。 |
ユースケース
このアクションは、Defender ATP サーバーに登録されているデバイスに関する情報を取得するために調査目的で使用できます。このアクションは主に手動アクションとして使用されます。ユーザーが Defender ATP コンソールに戻って、Defender ATP エージェントが動作しているマシンを探す必要がないようにするためです。
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Machines",
"value": [
{
"id": "example-id",
"computerDnsName": "example-name",
"firstSeen": "2019-11-18T11:13:04.0588699Z",
"lastSeen": "2019-11-20T09:59:28.0646303Z",
"osPlatform": "Windows10",
"osVersion": null,
"osProcessor": "x64",
"version": "1803",
"lastIpAddress": "192.0.2.138",
"lastExternalIpAddress": "203.0.113.35",
"agentVersion": "10.4860.17134.982",
"osBuild": 17134,
"healthStatus": "Active",
"rbacGroupId": 0,
"rbacGroupName": null,
"riskScore": "High",
"exposureLevel": "Medium",
"aadDeviceId": null,
"machineTags": []
},{
"id": "example-id",
"computerDnsName": "example-name",
"firstSeen": "2019-11-20T08:36:16.2721384Z",
"lastSeen": "2019-11-20T08:36:52.7182837Z",
"osPlatform": "Windows10",
"osVersion": null,
"osProcessor": "x64",
"version": "1803",
"lastIpAddress": "192.0.2.141",
"lastExternalIpAddress": "203.0.113.35",
"agentVersion": "10.4850.17134.191",
"osBuild": 17134,
"healthStatus": "Active",
"rbacGroupId": 0,
"rbacGroupName": null,
"riskScore": "None",
"exposureLevel": "Medium",
"aadDeviceId": null,
"machineTags": []
}
]
}
Get Machine Log on Users
特定のマシンでのユーザーのログオンに関する情報を取得します。
パラメータ
なし
ユースケース
このアクションは、調査目的で使用して、問題のマシンにログインしているユーザーに関する詳細情報を Defender ATP サーバーから取得できます。
実行
このアクションは次のエンティティに対して実行されます。
- ホスト
- IP アドレス
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Users",
"value": [
{
"id": "example\\example.user",
"accountName": "example.user",
"accountDomain": "example",
"accountSid": null,
"firstSeen": "2019-11-19T03:50:36Z",
"lastSeen": "2019-11-19T03:50:36Z",
"mostPrevalentMachineId": null,
"leastPrevalentMachineId": null,
"logonTypes": "Interactive",
"logOnMachinesCount": 1,
"isDomainAdmin": false,
"isOnlyNetworkUser": null
}
]
}
マシン関連のアラートを取得する
Defender ATP に登録されている特定のマシンに関連するアラートを取得します。
パラメータ
| パラメータ | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| ステータス | 文字列 | Unknown、New、InProgress、Resolved | いいえ | 検索するアラートのステータスを指定します。 このパラメータは、カンマ区切りの文字列として複数の値を受け入れます。 |
| 重大度 | 文字列 | 未指定、情報、低、中、高 | いいえ | 検索するインシデントの重大度を指定します。 このパラメータは、カンマ区切りの文字列として複数の値を受け入れます。 |
| カテゴリ | 文字列 | なし | いいえ | 検索するアラート カテゴリを指定します。 指定しない場合、アクションはすべてのカテゴリを検索します。 パラメータは、カンマ区切りの文字列として複数の値を受け入れます。 有効な値: 'Collection'、'CommandAndControl'、'CredentialAccess'、'DefenseEvasion'、'Discovery'、'Execution'、'Exfiltration'、'Exploit'、'InitialAccess'、'LateralMovement'、'Malware'、'Persistence'、'PrivilegeEscalation'、'Ransomware'、'SuspiciousActivity'、'UnwantedSoftware'。 |
| インシデント ID | Integer | なし | いいえ | 関連するアラートを検索する Microsoft Defender インシデント ID を指定します。 |
ユースケース
このアクションは、調査目的で使用して、問題の特定のマシンに関連するアラートを Defender ATP サーバーから取得できます。
実行
このアクションは次のエンティティに対して実行されます。
- ホスト
- IP アドレス
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Alerts",
"value": [
{
"id": "example-id",
"incidentId": 1,
"investigationId": null,
"assignedTo": "testuser@example.com",
"severity": "Informational",
"status": "Resolved",
"classification": "FalsePositive",
"determination": "SecurityTesting",
"investigationState": "UnsupportedAlertType",
"detectionSource": "WindowsDefenderAtp",
"category": "Execution",
"threatFamilyName": null,
"title": "[Test Alert] Suspicious Powershell commandline",
"description": "*** This is a test alert ***\nA suspicious Powershell commandline was found on the machine. This commandline might be used during installation, exploration, or in some cases with lateral movement activities which are used by attackers to invoke modules, download external payloads, and get more information about the system. Attackers usually use Powershell to bypass security protection mechanisms by executing their payload in memory without touching the disk and leaving any trace.",
"alertCreationTime": "2019-11-18T11:17:48.287421Z",
"firstEventTime": "2019-11-18T11:15:06.5226815Z",
"lastEventTime": "2019-11-18T11:15:06.5226815Z",
"lastUpdateTime": "2019-11-20T04:12:03.91Z",
"resolvedTime": "2019-11-20T04:12:03.4976288Z",
"machineId": "machine-id",
"alertUser": {
"accountName": "Administrator",
"domainName": "US-LT-V13007"
},
"comments": [],
"alertFiles": [
{
"sha1": "3ce71813199abae99348f61f0caa34e2574f831c",
"sha256": "9a7c58bd98d70631aa1473f7b57b426db367d72429a5455b433a05ee251f3236",
"filePath": "C:\\Windows\\System32\\cmd.exe",
"fileName": "cmd.exe"
},
{
"sha1": "1b3b40fbc889fd4c645cc12c85d0805ac36ba254",
"sha256": "d3f8fade829d2b7bd596c4504a6dae5c034e789b6a3defbe013bda7d14466677",
"filePath": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
"fileName": "powershell.exe"
}
],
"alertDomains": [],
"alertIps": [],
"alertProcesses": []
}
]
}
マシンを分離する
Microsoft Defender for Endpoint を使用してマシンを隔離します。マシンは完全分離または選択的分離に設定できます。Outlook、Skype for Business、Teams アプリケーションは、分離されたマシンで引き続き動作します。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 分離タイプ | DDL | フル 有効な値:
|
はい | 分離タイプを指定します。 |
| コメント | 文字列 | なし | はい | マシンを隔離する必要がある理由をコメントで指定します。 |
| 分析情報を作成しますか? | チェックボックス | オン | 有効にすると、アクションが正常に実行された場合に、関連情報を含む Google SecOps インサイトが作成されます。 |
ユースケース
感染していると思われるマシンを隔離します。たとえば、Defender ATP コネクタのアラートが Google SecOps サーバーに取り込まれ、アラートの分析中に、アラートに関連するマシン(ケース エンティティ)が感染しており、隔離する必要があることが判明したとします。
実行
このアクションは、次のアクションに対して実行されます。
- ホスト
- IP アドレス
アクションの結果
スクリプトの結果
指定されたすべてのエンティティに対して API エンドポイントが返され、JSON レスポンスの「status」が「Pending」で、ステータス 201 が返された場合、True。これは、API リクエストが正常に実行されたことを示します。エンティティの少なくとも 1 つでアクションが失敗した場合、最終結果は失敗(False)になります。
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#MachineActions/$entity",
"id": "example-id",
"type": "Isolate",
"requestor": "requestor-id",
"requestorComment": "Machine Isolation due to alert ...",
"status": "Pending",
"machineId": "machine-id",
"creationDateTimeUtc": "2019-11-21T03:55:59.5419077Z",
"lastUpdateDateTimeUtc": "2019-11-21T03:55:59.5419077Z",
"cancellationRequestor": null,
"cancellationComment": null,
"cancellationDateTimeUtc": null,
"errorHResult": 0,
"scope": null,
"relatedFileInfo": null
}
分析情報
- 分析情報のロジック: Defender ATP エージェントを使用してマシンが隔離された場合は、そのことを示す分析情報を作成します。
- タイプ: エンティティ。
- タイトル(文字列): エンティティ。
- IdentifierMessage: 「Microsoft Defender for Endpoint を使用してホストが隔離されました。」
マシンの分離を解除する
Microsoft Defender for Endpoint を使用して以前に分離されたマシンを分離解除します。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| コメント | 文字列 | なし | はい | マシンを分離解除する必要がある理由のコメントを指定します。 |
| 分析情報を作成しますか? | チェックボックス | オン | 有効にすると、アクションが正常に実行された場合に、関連情報を含む Google SecOps インサイトが作成されます。 |
ユースケース
このアクションは、マシンがすでに隔離されている状況で使用できますが、プレイブックの処理中に収集された新しいデータ(たとえば、最初にマシンが隔離され、次に不審なファイルの脅威インジケーターが作成され、「停止と隔離」アクションが実行されて、影響を受けるマシンからこのファイルが削除された場合)に基づいて、影響を受けるマシンを隔離から削除しても安全であると判断できます。
実行
このアクションは次のエンティティに対して実行されます。
- ホスト
- IP アドレス
アクションの結果
スクリプトの結果
指定されたすべてのエンティティに対して API エンドポイントが返され、JSON レスポンスの「status」が「Pending」で、ステータス 201 が返された場合、True。これは、API リクエストが正常に実行されたことを示します。エンティティの少なくとも 1 つでアクションが失敗した場合、最終結果は失敗(False)になります。
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#MachineActions/$entity",
"id": "example-id",
"type": "Unisolate",
"requestor": "requestor-id",
"requestorComment": "Unisolate machine due to the following remediation measures taken...",
"status": "Pending",
"machineId": "machine-id",
"creationDateTimeUtc": "2019-11-21T03:59:34.7389352Z",
"lastUpdateDateTimeUtc": "2019-11-21T03:59:34.7389352Z",
"cancellationRequestor": null,
"cancellationComment": null,
"cancellationDateTimeUtc": null,
"errorHResult": 0,
"scope": null,
"relatedFileInfo": null
}
分析情報
- タイプ: エンティティ
- タイトル: エンティティ。
- IdentifierMessage: Microsoft Defender for Endpoint の分離が削除されました。
ウイルス対策スキャンを実行する
Microsoft Defender for Endpoint を使用して、ホストでウイルス スキャンを開始します。Defender ATP スキャンには、フルとクイックの 2 種類があります。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| ウイルス対策スキャンのタイプ | DDL | フル 有効な値:
|
はい | マシンでフル スキャンとクイック スキャンのどちらのウイルス対策スキャンを開始するかを指定します。 |
| コメント | 文字列 | なし | はい | マシンでウイルス対策スキャンを実行する必要がある理由をコメントで指定します。 |
ユースケース
Defender ATP コネクタからアラートが届き、アラートの処理中に、Google SecOps ケース エンティティに関連するマシンでマルウェアの侵害を示すインジケーターが検出されました。そのため、ユーザーはホストでマルウェアを検出するために、マシンでアンチウイルス スキャンを実行することにしました。
実行
このアクションは次のエンティティに対して実行されます。
- ホスト
- IP アドレス
アクションの結果
スクリプトの結果
指定されたすべてのエンティティに対して API エンドポイントが返され、JSON レスポンスの「status」が「Pending」で、ステータス 201 が返された場合、True。これは、API リクエストが正常に実行されたことを示します。エンティティの少なくとも 1 つでアクションが失敗した場合、最終結果は失敗(False)になります。
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#MachineActions/$entity",
"id": "example-id",
"type": "RunAntiVirusScan",
"requestor": "requestor_id",
"requestorComment": "Run antivirus scan on suspect",
"status": "Pending",
"machineId": "machine-id",
"creationDateTimeUtc": "2019-11-21T11:07:06.611628Z",
"lastUpdateDateTimeUtc": "2019-11-21T11:07:06.611628Z",
"cancellationRequestor": null,
"cancellationComment": null,
"cancellationDateTimeUtc": null,
"errorHResult": 0,
"scope": null,
"relatedFileInfo": null
}
特定のマシン上のファイルを停止して隔離する
Microsoft Defender ATP エージェントを使用して、特定のマシン上のファイルの実行を停止し、検疫します。このアクションは、Host または IP の Google SecOps エンティティで機能します。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 検疫する SHA1 ファイル ハッシュ | 文字列 | なし | はい | 停止して隔離するファイルの SHA-1 ファイル ハッシュを指定します。 注: アクションで一致するファイルを見つけるには、SHA-1 ハッシュが小文字である必要があります。 |
| コメント | 文字列 | なし | はい | マシンでウイルス対策スキャンを実行する必要がある理由をコメントで指定します。 |
| 分析情報を作成しますか? | チェックボックス | オン | 有効にすると、アクションが正常に実行された場合に、関連情報を含む Google SecOps インサイトが作成されます。 |
ユースケース
Defender ATP コネクタから送信されたアラートの処理中に、[Stop and Quarantine File] アクションを使用して、特定ファイルの実行をブロックし、マシンの侵害を防ぐことができます。このアクションの必要性は高度なハンティングから生じる可能性があり、ユーザーは現時点で単一のマシンでブロックしたい悪意のある可能性のあるファイルを検出する可能性があります。
実行
このアクションは次のエンティティに対して実行されます。
- ホスト
- IP アドレス
アクションの結果
スクリプトの結果
True または False を指定できます。指定されたすべてのエンティティに対して API エンドポイントが ステータス 201 を返した場合に true。JSON レスポンスの「status」が「Pending」の場合、API リクエストが正常に実行されたことを示します。少なくとも 1 つのエンティティのアクションが失敗した場合は、最終結果は失敗(False)になります。
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#MachineActions/$entity",
"id": "example-id",
"type": "StopAndQuarantineFile",
"requestor": "requestor-id",
"requestorComment": "Stopping and quarantining putty",
"status": "Pending",
"machineId": "machine-id",
"creationDateTimeUtc": "2019-11-25T10:05:21.3641296Z",
"lastUpdateDateTimeUtc": "2019-11-25T10:05:21.3641296Z",
"cancellationRequestor": null,
"cancellationComment": null,
"cancellationDateTimeUtc": null,
"errorHResult": 0,
"scope": null,
"relatedFileInfo": {
"fileIdentifier": "d932604ab8e9debe475415851fd26929a0c0dcd1",
"fileIdentifierType": "Sha1"
}
}
分析情報
- タイプ: エンティティ。
- タイトル(文字列): エンティティ。
- IdentifierMessage(String): 「SHA-1 ファイルハッシュ {0} のファイルが {1} で停止され、隔離されました」。format(filehash,entity.Identifier)。
ファイル関連のアラートを取得する
ファイル ハッシュに基づいて、Microsoft Defender for Endpoint からファイルに関連するアラートを取得します。
パラメータ
| パラメータの表示値 | 型 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| ステータス | 文字列 | Unknown、New、InProgress、Resolved | いいえ | 検索するアラートのステータスを指定します。 このパラメータは、カンマ区切りの文字列として複数の値を受け入れます。 |
| 重大度 | 文字列 | 未指定、情報、低、中、高 | いいえ | 検索するインシデントの重大度を指定します。 このパラメータは、カンマ区切りの文字列として複数の値を受け入れます。 |
| カテゴリ | 文字列 | なし | いいえ | 検索するアラート カテゴリを指定します。 指定しない場合、アクションはすべてのカテゴリを検索します。 パラメータは、カンマ区切りの文字列として複数の値を受け入れます。 有効な値: 'Collection'、'CommandAndControl'、'CredentialAccess'、'DefenseEvasion'、'Discovery'、'Execution'、'Exfiltration'、'Exploit'、'InitialAccess'、'LateralMovement'、'Malware'、'Persistence'、'PrivilegeEscalation'、'Ransomware'、'SuspiciousActivity'、'UnwantedSoftware'。 |
| インシデント ID | Integer | なし | いいえ | 関連するアラートを検索する Microsoft Defender インシデント ID を指定します。 |
ユースケース
Defender ATP コネクタから送信されたアラートを調査する際に、このアクションを使用して、ファイルがアラートに関連付けられているかどうかに関する情報を収集し、ファイルが有害かどうかを把握できます。
実行
このアクションは Filehash エンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Alerts",
"value": [
{
"id": "example_id",
"incidentId": 2,
"investigationId": 1,
"assignedTo": null,
"severity": "Medium",
"status": "New",
"classification": null,
"determination": null,
"investigationState": "TerminatedBySystem",
"detectionSource": "WindowsDefenderAtp",
"category": "DefenseEvasion",
"threatFamilyName": null,
"title": "Suspicious process injection observed",
"description": "A process abnormally injected code into another process, As a result, unexpected code may be running in the target process memory. Injection is often used to hide malicious code execution within a trusted process. \nAs a result, the target process may exhibit abnormal behaviors such as opening a listening port or connecting to a command and control server.",
"alertCreationTime": "2019-11-19T03:56:37.7335862Z",
"firstEventTime": "2019-11-19T03:54:15.7698362Z",
"lastEventTime": "2019-11-19T03:54:15.7698362Z",
"lastUpdateTime": "2019-11-20T10:13:31.7266667Z",
"resolvedTime": null,
"machineId": "machine-id",
"alertUser": {
"accountName": "example.user",
"domainName": "EXAMPLELAB"
},
"comments": [],
"alertFiles": [
{
"sha1": "1b3b40fbc889fd4c645cc12c85d0805ac36ba254",
"sha256": "d3f8fade829d2b7bd596c4504a6dae5c034e789b6a3defbe013bda7d14466677",
"filePath": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
"fileName": "powershell.exe"
},{
"sha1": "bdd0d38e113a0c7dd6213cf2e89e6cc6d66b5cdb",
"sha256": "328954033456d5c13e58fb5bcc6c0232f9f62cb6d9185afa51c7913338992491",
"filePath": "C:\\Windows\\System32\\notepad.exe",
"fileName": "notepad.exe"
}
],
"alertDomains": [],
"alertIps": [],
"alertProcesses": []
}
]
}
ファイルに関連付けられたマシンを取得する
ファイル ハッシュに基づいて、Microsoft Defender for Endpoint からファイルに関連するマシンを取得します。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| マシン名 | 文字列 | なし | いいえ | 検索する完全なマシン名を指定します。 |
| マシンの IP アドレス | 文字列 | なし | いいえ | 検索するマシンの IP アドレスを指定します。 |
| マシンのリスクスコア | 文字列 | なし | いいえ | 検索するマシンのリスクスコアを指定します。 このパラメータは、カンマ区切りの文字列として複数の値を受け入れます。 |
| マシンの健全性ステータス | 文字列 | Active、Inactive、ImpairedCommunication、NoSensorData、NoSensorDataImpairedCommunication | いいえ | 検索するマシンのヘルス ステータスを指定します。 このパラメータは、カンマ区切りの文字列として複数の値を受け入れます。 |
| マシンの OS プラットフォーム | 文字列 | なし | いいえ | 検索するマシンの OS プラットフォームを指定します。 |
| RBAC グループ ID | 文字列 | なし | いいえ | 検索する RBAC グループ ID を指定します。 |
ユースケース
Defender ATP コネクタから送信されたアラートを調査する際に、このアクションを使用して、Defender ATP にこのファイルが登録されているマシンに関する情報を収集できます。
実行
このアクションは Filehash エンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Machines",
"value": [
{
"id": "example_id",
"computerDnsName": "example-name",
"firstSeen": "2019-11-18T11:13:04.0588699Z",
"lastSeen": "2019-11-20T19:35:36.4619266Z",
"osPlatform": "Windows10",
"osVersion": null,
"osProcessor": "x64",
"version": "1803",
"lastIpAddress": "192.0.2.1",
"lastExternalIpAddress": "203.0.113.121",
"agentVersion": "10.4860.17134.982",
"osBuild": 17134,
"healthStatus": "Active",
"rbacGroupId": 0,
"rbacGroupName": null,
"riskScore": "High",
"exposureLevel": "Medium",
"aadDeviceId": null,
"machineTags": []
}
]
}
高度なハンティング クエリを実行する
Microsoft Defender for Endpoint の高度な検索クエリを実行します。引用符、改行、その他の特殊記号はエスケープする必要があります。たとえば、引用符をエスケープするにはバックスラッシュを使用します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | 説明 |
| クエリ | 文字列 | なし | はい | 実行する高度なハンティング クエリ。 |
ユースケース
ユーザーは、特定の Defender アラートの処理中に Defender ATP で収集されたデータのクエリに使用するハンティング クエリを作成できます。このアクションを使用すると、ユーザーは高度なハンティング クエリを実行できます。
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"Stats": {
"ExecutionTime": 0.0156652,
"resource_usage": {
"cache": {
"memory": {
"hits": 13,
"misses": 0,
"total": 13
},
"disk": {
"hits": 0,
"misses": 0,
"total": 0
}
},
"cpu": {
"user": "00:00:00.0156250",
"kernel": "00:00:00",
"total cpu": "00:00:00.0156250"
},
"memory": {
"peak_per_node": 33554624
}
},
"dataset_statistics": [
{
"table_row_count": 2,
"table_size": 60
}
]
},
"Schema": [
{
"Name": "EventTime",
"Type": "DateTime"
},
{
"Name": "FileName",
"Type": "String"
},
{
"Name": "InitiatingProcessFileName",
"Type": "String"
}
],
"Results": [
{
"EventTime": "2019-11-18T11:13:07.043128Z",
"FileName": "csc.exe",
"InitiatingProcessFileName": "powershell.exe"
},
{
"EventTime": "2019-11-19T03:54:14.4256361Z",
"FileName": "csc.exe",
"InitiatingProcessFileName": "powershell.exe"
}
]
}
タスク ステータスの待機
タスクのステータスを待機します。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| タスク ID | 文字列 | なし | はい | タスク ID のリスト(カンマ区切りの文字列)。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"status": "Succeeded",
"creation_date_time_utc": "2020-02-08T03:24:52.8526634Z",
"cancellation_requestor": null,
"cancellation_date_time_utc": null,
"id": "2e39d22e-60a7-4267-899c-a1471e800000",
"last_update_date_time_utc": "2020-02-08T03:25:35.8345081Z",
"related_file_info": null,
"cancellation_comment": null,
"requestor": "e4fc6454-754d-47f7-bbdb-045fad600000",
"error_h_result": 0,
"scope": "Selective",
"machine_id": "fbc85cf3fbcc8bb14d1a84fcf7bbae4531f00000",
"type": "Isolate",
"requestor_comment": "test"
}
]
現在のタスクのステータスを取得する
タスクの現在のステータスを取得します。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| タスク ID | 文字列 | なし | はい | タスク ID のリスト(カンマ区切りの文字列)。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"status": "Succeeded",
"creation_date_time_utc": "2020-02-08T03:24:52.8526634Z",
"cancellation_requestor": null,
"cancellation_date_time_utc": null,
"id": "2e39d22e-60a7-4267-899c-a1471e800000",
"last_update_date_time_utc": "2020-02-08T03:25:35.8345081Z",
"related_file_info": null,
"cancellation_comment": null,
"requestor": "e4fc6454-754d-47f7-bbdb-045fad600000",
"error_h_result": 0,
"scope": "Selective",
"machine_id": "fbc85cf3fbcc8bb14d1a84fcf7bbae4531f00000",
"type": "Isolate",
"requestor_comment": "test"
}
]
エンティティ インジケーターを送信する
Microsoft Defender for Endpoint でエンティティをインジケーターとして送信します。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| アクション | DDL | ブロック 有効な値:
|
はい | エンティティに適用する必要があるアクションを指定します。 注: 「Block And Remediate」値は、filehash エンティティでのみサポートされています。 |
| 重大度 | DDL | 高 有効な値:
|
はい | 検出されたエンティティの重大度を指定します。 |
| アプリケーション | 文字列 | なし | いいえ | エンティティに関連するアプリケーションを指定します。 |
| インジケーター アラートのタイトル | 文字列 | なし | はい | 環境で識別される場合は、アラートのタイトルを指定します。 |
| 説明 | 文字列 | Google SecOps Remediation | はい | エンティティの説明を指定します。 |
| 推奨される対応 | 文字列 | なし | いいえ | エンティティの処理に関する推奨アクションを指定します。 |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- URL
- Filehash
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 1 つのエンティティにデータが利用可能な場合(is_success = true): 「次のエンティティがインジケーターとして Microsoft Defender for Endpoint に正常に送信されました: {entity.identifier}」 1 つのエンティティにデータが利用できない場合(is_success=true): 「アクションは、次のエンティティをインジケーターとして Microsoft Defender for Endpoint に送信できませんでした: {entity.identifier}」 1 つのエンティティに対して 403 ステータス コードが報告された場合: 「インスタンスには、次のエンティティを送信する権限がありません: {entity.identifier} すべてのエンティティでデータが利用可能でない場合(is_success=false): 「指定されたエンティティは、Microsoft Defender for Endpoint のインジケーターとして送信されませんでした。」 エンティティがすでにインジケーターである場合: 「次のエンティティは Microsoft Defender for Endpoint のインジケーターです: {entity.identifier}」 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「エンティティ指標の送信」の実行エラー。理由: {0}''.format(error.Stacktrace) すべてのエンティティに対して 403 ステータス コードが報告される場合: 「アクション「エンティティ インジケーターを送信」の実行エラー。理由: インスタンス権限が原因で指標が作成されませんでした。構成を確認してください。''。 |
全般 |
エンティティ インジケーターを削除する
Microsoft Defender for Endpoint でエンティティ インジケーターを削除します。
パラメータ
なし
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- URL
- Filehash
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 204 ステータス コードが報告された場合(is_success=true): 「Microsoft Defender for Endpoint で次のエンティティがインジケーターとして正常に削除されました: {entity.identifier}。 インシデントが見つからない場合(is_success=true): 「次のエンティティは、Microsoft Defender for Endpoint のインジケーターとして存在しません: {entity.identifier}。 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「エンティティ インジケーターの削除」の実行エラー。理由: {0}''.format(error.Stacktrace) |
全般 |
指標の一覧表示
Microsoft Defender for Endpoint のインジケーターを一覧表示します。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| インジケーター | CSV | なし | いいえ | 取得するインジケーターのカンマ区切りのリストを指定します。 |
| インジケーターのタイプ | CSV | FileSha1、FileSha256、FileMd5、CertificateThumbprint、IpAddress、DomainName、Url | いいえ | 取得するインジケーター タイプのカンマ区切りリストを指定します。 指定可能な値: FileSha1、FileSha256、FileMd5、CertificateThumbprint、IpAddress、DomainName、Url。 |
| 操作 | CSV | Warn、Block、Audit、Alert、AlertAndBlock、BlockAndRemediate、Allowed | いいえ | フィルタリングに使用するインジケーター アクションのカンマ区切りリストを指定します。 有効な値: Warn、Block、Audit、Alert、AlertAndBlock、BlockAndRemediate、Allowed |
| 重大度 | CSV | 情報、低、中、高 | いいえ | フィルタリングに使用する重大度のカンマ区切りリストを指定します。 有効な値: 情報、低、中、高 |
| 返される結果の最大数 | 整数 | 50 | いいえ | 返されるインジケーターの数を指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"id": "18",
"indicatorValue": "110e7d15b011d7fac48f2bd61114db1022197f7a",
"indicatorType": "FileSha1",
"action": "Audit",
"createdBy": "45e9773c-100e-4a9f-ad37-d8e182e9ed26",
"severity": "Informational",
"category": 1,
"application": "demo-test",
"educateUrl": null,
"bypassDurationHours": null,
"title": "test",
"description": "test",
"recommendedActions": "nothing",
"creationTimeDateTimeUtc": "2022-02-08T14:20:34.9071582Z",
"expirationTime": null,
"lastUpdateTime": "2022-02-08T14:20:34.9151307Z",
"lastUpdatedBy": null,
"rbacGroupNames": [],
"rbacGroupIds": [],
"notificationId": null,
"notificationBody": null,
"version": null,
"mitreTechniques": [],
"historicalDetection": false,
"lookBackPeriod": null,
"generateAlert": true,
"additionalInfo": null,
"createdByDisplayName": "Example Defender ATP",
"externalId": null,
"createdBySource": "PublicApi",
"certificateInfo": null
}
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 データが利用可能な場合(is_success=true): 「Microsoft Defender for Endpoint で指定された条件に該当する指標が正常に見つかりました。」 データが利用できない場合(is_success=false): 「Microsoft Defender for Endpoint で指定された条件に該当する指標が見つかりませんでした。」 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「インジケーターの一覧表示」の実行エラー。理由: {0}」.format(error.Stacktrace) 無効な「インジケーター タイプ」パラメータが指定されている場合:「アクション「インジケーターの一覧表示」の実行エラー。理由: パラメータ「インジケーター タイプ」の値が無効です。指定可能な値: FileSha1、FileSha256、FileMd5、CertificateThumbprint、IpAddress、DomainName、Url。 無効な「アクション」パラメータが指定された場合:「アクション「インジケーターの一覧表示」の実行エラー。理由: パラメータ「アクション」の値が無効です。有効な値: Warn、Block、Audit、Alert、AlertAndBlock、BlockAndRemediate、Allowed。 無効な「重大度」パラメータが指定された場合:「アクション「インジケーターの一覧表示」の実行エラー。理由: パラメータ「アクション」の値が無効です。有効な値: 情報、低、中、高。 |
全般 |
| Case Wall テーブル | 検出されたインジケーター タイプ: indicatorType アクション: action 重大度: severity 説明: description タイトル: title 推奨事項: recommendedActions |
エンティティ |
コネクタ
Google SecOps でコネクタを構成する方法の詳細については、コネクタの構成をご覧ください。
選択したコネクタを構成するには、次の表に記載されているコネクタ固有のパラメータを使用します。
Microsoft Defender ATP コネクタ
イベント用の Microsoft Defender ATP コネクタで使用される Defender ATP SIEM API は、2022 年 3 月 1 日をもって非推奨となりました。
コネクタは、Defender ATP API エンドポイントに定期的に接続し、特定の期間に生成されたアラートのリストを取得します。処理されたアラートについては、別のリクエストでコネクタが Defender ATP から検出に関する情報を取得します。検出には、検出を特定のアラートに関連付けるために使用できる AlertId フィールドがあります。
コネクタ パラメータ
次のパラメータを使用してコネクタを構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| プロダクト フィールド名 | 文字列 | ProductName | はい | 商品名が保存されるフィールドの名前を記述します。 |
| イベント フィールド名 | 文字列 | AlertName | はい | イベント名が保存されるフィールドの名前を記述します。 |
| 環境フィールド名 | 文字列 | "" | いいえ | 環境名が保存されるフィールドの名前を記述します。 環境フィールドが見つからない場合、環境は "" です。 |
| 環境の正規表現パターン | 文字列 | .* | いいえ |
デフォルトは、すべてキャッチして値を変更せずに返す .* です。 ユーザーが正規表現ロジックで環境フィールドを操作できるようにするために使用されます。 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果は "" になります。 |
| API ルート | 文字列 | https://api.securitycenter.windows.com | はい | 統合で使用する API ルート URL。 パフォーマンスを向上させるには、お住まいの地域に最も近いサーバーを使用します。
|
| Azure Active Directory ID | 文字列 | なし | はい | Microsoft Entra テナント ID は、[Active Directory] > [アプリの登録] > [アプリケーション] > [ディレクトリ(テナント)ID] で確認できます。 |
| 統合クライアント ID | 文字列 | なし | はい | 統合のために Microsoft Entra でアプリ登録用に追加されたクライアント(アプリケーション)ID。 |
| 統合クライアント シークレット | パスワード | なし | はい | インテグレーション用に Azure AD アプリの登録で入力されたシークレット。 |
| SIEM クライアント ID | 文字列 | なし | はい | Microsoft Defender for Endpoint で有効になっている SIEM 統合のクライアント(アプリケーション)ID。 |
| SIEM クライアント シークレット | パスワード | なし | はい | Microsoft Defender for Endpoint で有効になっている SIEM 統合のシークレット。 |
| Offset Time In Hours | Integer | 24 | ○ | X 時間前から遡ってアラートを取得します。 |
| 1 サイクルあたりのアラートの最大数 | Integer | 100 | はい | 1 回のコネクタ実行で処理されるアラートの数。 |
| 取得するアラートのステータス | 文字列 | Unknown、New、InProgress、Resolved | はい | Google SecOps サーバーで取得する Defender ATP アラートのステータスを指定します。 パラメータは、カンマ区切りの文字列として複数の値を受け取ることができます。 |
| 取得するアラートの重大度 | 文字列 | 未指定、情報、低、中、高 | はい | Google SecOps サーバーで取得する Defender ATP アラートの重大度を指定します。 パラメータは、カンマ区切りの文字列として複数の値を受け取ることができます。 |
| プロキシ サーバーのアドレス | IP_OR_HOST | なし | いいえ | 接続に使用するプロキシ サーバー。 |
| プロキシ サーバーのユーザー名 | 文字列 | なし | いいえ | プロキシ サーバーのユーザー名。 |
| プロキシ サーバーのパスワード | パスワード | なし | いいえ | プロキシ サーバーのパスワード。 |
コネクタルール
コネクタは、ブロックリストまたは動的リストのルールをサポートしていません。
コネクタはプロキシをサポートしています。
Microsoft Defender ATP Connector V2
365 Defender インシデント API を使用して Defender ATP アラートを取得し、イベントデータを取得します。コネクタの動的リストを使用して、アラートの detectionSource 属性値に基づいて特定タイプのアラートのみを取り込みます。
コネクタの SourceGroupIdentifier 属性を使用して、Defender ATP インシデント ID に基づいてアラートをグループ化できます。
前提条件
コネクタを構成する前に、Microsoft Entra アプリケーションに追加の権限を付与してください。
ユーザー管理者またはパスワード管理者として Azure ポータルにログインします。
[Microsoft Entra ID] を選択します。
[API 権限> 権限を追加> 組織で使用している API] に移動します。
[Microsoft Threat Protection > Application permissions] を選択します。
[アクセス許可の選択] セクションで、次の必須のアクセス許可を選択します。
Incident.Read.AllIncident.ReadWrite.All
[権限を追加] をクリックします。
[
YOUR_ORGANIZATION_NAMEに管理者の同意を与えます] をクリックします。
コネクタ パラメータ
次のパラメータを使用してコネクタを構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| プロダクト フィールド名 | 文字列 | :: | はい | 商品名が保存されるフィールドの名前を記述します。 |
| イベント フィールド名 | 文字列 | EventName | はい | イベント名が保存されるフィールドの名前を記述します。 |
| 環境フィールド名 | 文字列 | "" | いいえ | 環境名が保存されるフィールドの名前を記述します。 環境フィールドが見つからない場合、環境は "" です。 |
| 環境の正規表現パターン | 文字列 | .* | いいえ |
デフォルトは、すべてキャッチして値を変更せずに返す .* です。 ユーザーが正規表現ロジックで環境フィールドを操作できるようにするために使用されます。 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果は "" になります。 |
| Defender ATP API ルート | 文字列 | https://api.securitycenter.windows.com | はい | 統合で使用する API ルート URL パフォーマンスを向上させるには、お近くのサーバーを使用します。
|
| 365 Defender API ルート | 文字列 | https://api.security.microsoft.com | はい | Google SecOps イベントデータの取得に使用される Microsoft 365 Defender インスタンスの API ルート。 |
| Azure Active Directory ID | 文字列 | なし | はい | Microsoft Entra テナント ID。Microsoft Entra > [アプリの登録] > [アプリケーション] > [ディレクトリ(テナント)ID] で確認できます。 |
| 統合クライアント ID | 文字列 | なし | はい | 統合のために Microsoft Entra でアプリ登録用に追加されたクライアント(アプリケーション)ID。 |
| 統合クライアント シークレット | パスワード | なし | はい | インテグレーション用に Azure AD アプリの登録で入力されたシークレット。 |
| SSL を確認する | チェックボックス | オン | はい | 有効にすると、Microsoft 365 Defender サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
| Offset Time In Hours | Integer | 24 | ○ | X 時間前から遡ってアラートを取得します。 |
| 1 サイクルあたりのアラートの最大数 | Integer | 10 | はい | 1 回のコネクタ実行で処理されるアラートの数。 |
| 取得するアラートのステータス | 文字列 | Unknown、New、InProgress、Resolved | はい | Google SecOps サーバーで取得する Defender ATP アラートのステータスを指定します。 パラメータは、カンマ区切りの文字列として複数の値を受け取ることができます。 |
| 取得するアラートの重大度 | 文字列 | 未指定、情報、低、中、高 | はい | Google SecOps サーバーで取得する Defender ATP アラートの重大度を指定します。 パラメータは、カンマ区切りの文字列として複数の値を受け取ることができます。 |
| オーバーフローを無効化 | チェックボックス | オフ | いいえ | 有効にすると、コネクタはオーバーフロー メカニズムを無視します。 |
| スクリプトのタイムアウト | Integer | 300 | はい | コネクタの実行タイムアウトを指定します。 |
| 許可リストを拒否リストとして使用 | チェックボックス | オフ | いいえ | 有効にすると、動的リストがブロックリストとして使用されます。 |
| プロキシ サーバーのアドレス | IP_OR_HOST | なし | いいえ | 接続に使用するプロキシ サーバー。 |
| プロキシ サーバーのユーザー名 | 文字列 | なし | いいえ | プロキシ サーバーのユーザー名。 |
| プロキシ サーバーのパスワード | パスワード | なし | いいえ | プロキシ サーバーのパスワード。 |
コネクタルール
コネクタは、detectionSource Defender ATP アラート フィールド値に基づく動的リスト ロジックをサポートしています。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。