Microsoft Defender ATP
통합 버전: 23.0
사용 사례
특정 사례를 조사하는 동안 Microsoft Defender for Endpoint에서 수집한 데이터를 사용하여 보강합니다.
분석가는 Microsoft Defender for Endpoint에 수집되고 저장된 데이터를 조사에 사용할 수 있습니다. 예를 들어 Microsoft Defender for Endpoint에서 감지된 알림에 관한 정보를 가져오거나 Microsoft Defender for Endpoint에 등록된 머신을 나열할 수 있습니다.
네트워크에서 특정 호스트를 격리하거나 바이러스 백신 검사를 실행하는 등 잠재적인 보안 사고에서 적극적인 대응 조치를 취합니다.
Microsoft Defender for Endpoint 알림을 각 커넥터에서 가져온 Google Security Operations 알림으로 모니터링하고 검사합니다.
기본 요건
Google SecOps 플랫폼에서 통합을 구성하기 전에 다음 기본 요건 단계를 완료해야 합니다.
Microsoft Entra 앱을 만듭니다.
앱의 API 권한을 구성합니다.
클라이언트 보안 비밀번호를 만듭니다.
Microsoft Defender for Endpoint API에 액세스할 때는 사용자 컨텍스트 대신 애플리케이션 컨텍스트를 사용하는 것이 좋습니다.
Microsoft Entra 앱 만들기
사용자 관리자 또는 비밀번호 관리자로 Azure 포털에 로그인합니다.
Microsoft Entra ID를 선택합니다.
앱 등록 > 새 등록으로 이동합니다.
앱 이름을 입력합니다.
등록을 클릭합니다.
통합 매개변수를 구성할 때 나중에 사용할 수 있도록 애플리케이션 (클라이언트) ID 및 디렉터리 (테넌트) ID 값을 저장합니다.
API 권한 구성
API 권한 > 권한 추가 > 내 조직에서 사용하는 API로 이동합니다. API 권한 요청 대화상자가 열립니다.
검색 필드에
WindowsDefenderATP를 입력합니다.WindowsDefenderATP > 애플리케이션 권한을 선택합니다.
알림 권한 유형에서 다음 권한을 선택합니다.
Alert.Read.All
권한 추가를 클릭합니다.
API 권한 페이지에서 권한 추가를 클릭합니다.
Microsoft Graph> 위임된 권한을 선택합니다.
권한 선택 섹션에서 다음 필수 권한을 선택합니다.
User.Read
권한 추가를 클릭합니다.
API 권한 페이지에서 권한 추가를 클릭합니다.
WindowsDefenderATP > 애플리케이션 권한을 선택합니다.
권한 선택 섹션에서 다음 필수 권한을 선택합니다.
AdvancedQuery.Read.AllAlert.Read.AllAlert.ReadWrite.AllEvent.WriteFile.Read.AllIp.Read.AllMachine.IsolateMachine.Read.AllMachine.ReadWrite.AllMachine.ScanMachine.StopAndQuarantineTi.ReadWriteUrl.Read.AllUser.Read.All
ORGANIZATION_NAME에 대한 관리자 동의 허용을 클릭합니다.관리자 동의 부여 확인 대화상자가 표시되면 예를 클릭합니다.
Defender ATP 알림을 가져오는 API 요청의 예는 다음과 같습니다(IP 주소, 도메인, 파일에 관한 데이터를 가져오는 데 사용되는 $expand 파라미터 참고).
GET /api/alerts?$expand=files,ips,domains HTTP/1.1
Host: api.securitycenter.windows.com
Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJ...
User-Agent: PostmanRuntime/7.19.0
Accept: */ *
Cache-Control: no-cache
Postman-Token: 2dc0f885-068a-45d4-81a6-2da0d23a58ad,d3dd0e6e-83ab-4d27-94d2-0f3889dff324
Host: api.securitycenter.windows.com
Accept-Encoding: gzip, deflate
Connection: keep-alive
cache-control: no-cache
필터 또는 확장과 같은 요청 매개변수 및 요청 옵션에 대해 자세히 알아보려면 Microsoft 문서의 지원되는 Microsoft Defender for Endpoint API를 참고하세요.
클라이언트 보안 비밀번호 만들기
인증서 및 보안 비밀 > 새 클라이언트 보안 비밀번호로 이동합니다.
클라이언트 보안 비밀번호에 대한 설명을 입력하고 만료 기한을 설정합니다.
추가를 클릭합니다.
통합을 구성할 때
Client Secret매개변수 값으로 사용할 수 있도록 클라이언트 보안 비밀번호 (보안 비밀번호 ID 아님) 값을 저장합니다. 클라이언트 보안 비밀번호 값은 한 번만 표시됩니다.
SIEM 통합 사용 설정 - 지원 중단됨
탐색 창에서 설정 > SIEM을 선택합니다.
SIEM 통합 사용 설정을 선택합니다.
이렇게 하면 미리 입력된 값이 있는 SIEM 커넥터 액세스 세부정보 섹션이 활성화되고 Azure AD 테넌트 아래에 애플리케이션이 생성됩니다.
- SIEM 유형을 일반 API로 선택합니다.
- 개별 값을 복사하거나 '세부정보를 파일에 저장'을 선택하여 모든 값이 포함된 파일을 다운로드합니다.
- 감지 데이터에 액세스하는 토큰을 생성하려면 이 페이지에 표시된 값(클라이언트 ID, 클라이언트 보안 비밀번호, 리소스)이 필요합니다.
Microsoft Defender ATP와 Google SecOps 통합
Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
통합 매개변수
통합을 구성하려면 다음 매개변수를 사용하세요.
| 매개변수 | |
|---|---|
Client ID |
필수 통합에 사용할 Microsoft Entra 앱의 클라이언트 (애플리케이션) ID입니다. |
Client Secret |
필수 통합에 사용할 Microsoft Entra 앱의 클라이언트 보안 비밀번호 값입니다. |
Azure Active Directory ID |
필수 Microsoft Entra ID (테넌트 ID) 값입니다. |
Verify SSL |
선택사항 선택하면 Microsoft 365 Defender 서버 연결에 사용되는 SSL 인증서가 유효한지 확인합니다. 기본적으로 선택되어 있습니다. |
API Root |
필수 통합에 사용할 API 루트 URL입니다. 성능을 향상하려면 내 위치와 가장 가까운 서버를 사용하면 됩니다.
기본값은 |
작업
핑
통합 구성 페이지에서 제공된 매개변수를 사용하여 Microsoft Defender for Endpoint 인스턴스에 대한 연결을 테스트합니다.
매개변수
해당 사항 없음
사용 사례
이 작업은 연결을 테스트하는 데 사용되며 플레이북에 포함되지 않는 직접 조치로 실행될 수 있습니다.
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
항목 보강
Microsoft Defender for Endpoint의 정보를 기반으로 Google SecOps 호스트, IP 주소 또는 파일 해시 항목을 보강합니다.
매개변수
해당 사항 없음
사용 사례
이 작업은 기기 활동을 조사하는 플레이북에서 사용할 수 있습니다. 기기에 Microsoft Defender for Endpoint 에이전트가 설치되어 있으면 이 작업은 기기의 Defender ATP에서 정보를 가져와 Google SecOps 엔티티를 보강합니다. 이 작업은 Defender ATP의 정보로 알림 파일 해시를 보강하는 데도 사용할 수 있습니다.
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트
- IP 주소
- Filehash
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
IP 주소 또는 호스트에서 보강이 작동하는 경우:
[
{
"EntityResult": {
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Machines/$entity",
"id": "example_id",
"computerDnsName": "example-name",
"firstSeen": "2019-11-18T11:13:04.0588699Z",
"lastSeen": "2019-11-24T18:31:50.581058Z",
"osPlatform": "Windows10",
"osVersion": null,
"osProcessor": "x64",
"version": "1803",
"lastIpAddress": "192.0.2.138",
"lastExternalIpAddress": "203.0.113.28",
"agentVersion": "10.4860.17134.982",
"osBuild": 17134,
"healthStatus": "Active",
"rbacGroupId": 0,
"rbacGroupName": null,
"riskScore": "High",
"exposureLevel": "Medium",
"aadDeviceId": null,
"machineTags": []
}
}
]
파일 해시에서 보강이 작동하는 경우:
[
{
"EntityResult": {
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Files/$entity",
"sha1": "bdd0d38e113a0c7dd6213cf2e89e6cc6d66b5cdb",
"sha256": "328954033456d5c13e58fb5bcc6c0232f9f62cb6d9185afa51c7913338992491",
"md5": "9512e1cc66a1d36feb0a290cab09087b",
"globalPrevalence": 5205000,
"globalFirstObserved": "2018-06-22T12:59:21.6460311Z",
"globalLastObserved": "2019-11-21T00:24:01.921338Z",
"size": 245760,
"fileType": "APP",
"isPeFile": true,
"filePublisher": "Microsoft Corporation",
"fileProductName": "Microsoft Windows Operating System",
"signer": "Microsoft Windows",
"issuer": "Microsoft Windows Production PCA 2011",
"signerHash": "419e77aed546a1a6cf4dc23c1f977542fe289cf7",
"isValidCertificate": true
},
"EntityResult": {
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#microsoft.windowsDefenderATP.api.InOrgFileStats",
"sha1": "bdd0d38e113a0c7dd6213cf2e89e6cc6d66b5cdb",
"orgPrevalence": "1",
"orgFirstSeen": "2019-11-19T03:54:15Z",
"orgLastSeen": "2019-11-19T04:21:18Z",
"globalPrevalence": "5205000",
"globalFirstObserved": "2018-06-22T12:59:21.6460311Z",
"globalLastObserved": "2019-11-21T00:24:01.921338Z",
"topFileNames": ["notepad.exe"]
}
}
]
항목 보강
IP 및 호스트
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| Defender_ATP.sha1 | JSON 결과에 존재하는 경우에 반환 |
| Defender_ATP.sha256 | JSON 결과에 존재하는 경우에 반환 |
| Defender_ATP.md5 | JSON 결과에 존재하는 경우에 반환 |
| Defender_ATP.globalPrevalence | JSON 결과에 존재하는 경우에 반환 |
| Defender_ATP.globalFirstObserved | JSON 결과에 존재하는 경우에 반환 |
| Defender_ATP.globalLastObserved | JSON 결과에 존재하는 경우에 반환 |
| Defender_ATP.size | JSON 결과에 존재하는 경우에 반환 |
| Defender_ATP.fileType | JSON 결과에 존재하는 경우에 반환 |
| Defender_ATP.isPeFile | JSON 결과에 존재하는 경우에 반환 |
| Defender_ATP.filePublisher | JSON 결과에 존재하는 경우에 반환 |
| Defender_ATP.fileProductName | JSON 결과에 존재하는 경우에 반환 |
| Defender_ATP.signer | JSON 결과에 존재하는 경우에 반환 |
| Defender_ATP.issuer | JSON 결과에 존재하는 경우에 반환 |
| Defender_ATP.signerHash | JSON 결과에 존재하는 경우에 반환 |
| Defender_ATP.isValidCertificate | JSON 결과에 존재하는 경우에 반환 |
| Defender_ATP.orgPrevalence | JSON 결과에 존재하는 경우에 반환 |
| Defender_ATP.orgFirstSeen | JSON 결과에 존재하는 경우에 반환 |
| Defender_ATP.orgLastSeen | JSON 결과에 존재하는 경우에 반환 |
| Defender_ATP.topFileNames | JSON 결과에 존재하는 경우에 반환 |
파일 해시
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| Defender_ATP.sha1 | JSON 결과에 존재하는 경우에 반환 |
| Defender_ATP.sha256 | JSON 결과에 존재하는 경우에 반환 |
| Defender_ATP.md5 | JSON 결과에 존재하는 경우에 반환 |
| Defender_ATP.globalPrevalence | JSON 결과에 존재하는 경우에 반환 |
| Defender_ATP.globalFirstObserved | JSON 결과에 존재하는 경우에 반환 |
| Defender_ATP.globalLastObserved | JSON 결과에 존재하는 경우에 반환 |
| Defender_ATP.size | JSON 결과에 존재하는 경우에 반환 |
| Defender_ATP.fileType | JSON 결과에 존재하는 경우에 반환 |
| Defender_ATP.isPeFile | JSON 결과에 존재하는 경우에 반환 |
| Defender_ATP.filePublisher | JSON 결과에 존재하는 경우에 반환 |
| Defender_ATP.fileProductName | JSON 결과에 존재하는 경우에 반환 |
| Defender_ATP.signer | JSON 결과에 존재하는 경우에 반환 |
| Defender_ATP.issuer | JSON 결과에 존재하는 경우에 반환 |
| Defender_ATP.signerHash | JSON 결과에 존재하는 경우에 반환 |
| Defender_ATP.isValidCertificate | JSON 결과에 존재하는 경우에 반환 |
| Defender_ATP.orgPrevalence | JSON 결과에 존재하는 경우에 반환 |
| Defender_ATP.orgFirstSeen | JSON 결과에 존재하는 경우에 반환 |
| Defender_ATP.orgLastSeen | JSON 결과에 존재하는 경우에 반환 |
| Defender_ATP.topFileNames | JSON 결과에 존재하는 경우에 반환 |
알림 나열
제공된 검색 기준에 따라 Microsoft Defender for Endpoint 알림을 나열합니다. 작업은 작업 출력으로 표 및 JSON 보기 형식의 발견된 알림에 관한 정보를 반환하며, 작업 출력 JSON 파일에 저장되고 첨부된 원시 알림 데이터도 함께 반환합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 기간 | 정수 | 3 | 아니요 | 알림을 가져올 기간(시간)을 지정합니다. |
| 상태 | 문자열 | 알 수 없음, 신규, 진행 중, 해결됨 | 아니요 | 찾을 알림의 상태를 지정합니다. 매개변수는 여러 값을 쉼표로 구분된 문자열로 허용합니다. |
| 심각도 | 문자열 | 해당 사항 없음 | 아니요 | 찾을 이슈의 심각도를 지정합니다. 제공되지 않으면 작업에서 모든 심각도를 찾습니다. 매개변수는 여러 값을 쉼표로 구분된 문자열로 허용합니다. 가능한 값: UnSpecified, Informational, Low, Medium, High |
| 카테고리 | 문자열 | 해당 사항 없음 | 아니요 | 찾을 알림 카테고리를 지정합니다. 제공되지 않으면 작업에서 모든 카테고리를 찾습니다. 매개변수는 여러 값을 쉼표로 구분된 문자열로 허용합니다. 가능한 값: 'Collection', 'CommandAndControl', 'CredentialAccess', 'DefenseEvasion', 'Discovery', 'Execution', 'Exfiltration', 'Exploit', 'InitialAccess', 'LateralMovement', 'Malware', 'Persistence', 'PrivilegeEscalation', 'Ransomware', 'SuspiciousActivity', 'UnwantedSoftware'. |
| 사고 ID | 정수 | 해당 사항 없음 | 아니요 | 관련 알림을 찾으려는 Microsoft Defender 인시던트 ID를 지정합니다. |
사용 사례
이 작업은 최종 사용자를 위해 Google SecOps 서버에 대한 Defender ATP 경고를 검토하는 데 사용될 수 있습니다. 예를 들어 Defender ATP 커넥터에서 발생한 경고를 처리할 때 사용자는 처리된 알림 IncidentId를 입력 매개변수로 수락하여 Defender ATP 서버에서 세부정보를 가져오도록 '경고 나열' 작업을 구성합니다. 단일 Defender ATP 인시던트에 속하는 다른 경고가 있습니다.
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Alerts",
"value": [
{
"id": "example_id",
"incidentId": 2,
"investigationId": null,
"assignedTo": null,
"severity": "Medium",
"status": "New",
"classification": null,
"determination": null,
"investigationState": "UnsupportedAlertType",
"detectionSource": "WindowsDefenderAtp",
"category": "Execution",
"threatFamilyName": null,
"title": "Unexpected behavior observed by a process run with no command line arguments",
"description": "The legitimate process by this name does not normally exhibit this behavior when run with no command line arguments. \nSuch unexpected behavior may be a result of extraneous code injected into a legitimate process, or a malicious executable masquerading as the legitimate one by name.",
"alertCreationTime": "2019-11-19T03:56:35.3007009Z",
"firstEventTime": "2019-11-19T03:54:16.0441057Z",
"lastEventTime": "2019-11-19T03:54:16.0441057Z",
"lastUpdateTime": "2019-11-19T03:56:38.45Z",
"resolvedTime": null,
"machineId": "machine-id",
"alertUser": null,
"comments": [],
"alertFiles": [],
"alertDomains": [],
"alertIps": [],
"alertProcesses": []
}
]
}
알림 업데이트
특정 Microsoft Defender for Endpoint 알림을 업데이트합니다. 이 작업을 사용하여 Microsoft Defender for Endpoint에서 알림을 닫을 수 있습니다.
매개변수
| 매개변수 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 알림 ID | 문자열 | 해당 사항 없음 | 예 | 업데이트할 Microsoft Defender for Endpoint 알림 ID를 지정합니다. |
| 상태 | DDL | 신규 가능한 값은 다음과 같습니다.
|
아니요 | 업데이트할 알림의 상태를 지정합니다. |
| 할당 대상 | 문자열 | 해당 사항 없음 | 아니요 | 이 필드를 업데이트하려면 사용자 정보를 지정하세요. |
| 분류 | DDL | 알 수 없음 가능한 값은 다음과 같습니다.
|
아니요 | 알림을 업데이트할 분류를 지정합니다. |
| 결정 | DDL | NotAvailable 가능한 값은 다음과 같습니다.
|
아니요 | 경고를 업데이트할 결정을 지정합니다. |
사용 사례
작업을 사용하여 Defender ATP 경고를 업데이트합니다.
Defender ATP 경고 분석과 관련된 워크플로에 개입하는 데 이 작업을 사용합니다.
Google SecOps에서 알림이 처리된 후에는 Defender ATP 및 Google SecOps 알림 목록을 일치시키기 위해 Defender ATP 알림을 무시할 수 있습니다. 또한 알림 분석 진행 상황을 표시하도록 알림을 변경할 수 있습니다 (예:
assignedTo속성을 설정하거나 알림 상태를inProgress로 설정).
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Alerts/$entity",
"id": "example-id",
"incidentId": 1,
"investigationId": null,
"assignedTo": null,
"severity": "Informational",
"status": "Resolved",
"classification": null,
"determination": null,
"investigationState": "UnsupportedAlertType",
"detectionSource": "WindowsDefenderAtp",
"category": "Execution",
"threatFamilyName": null,
"title": "[Test Alert] Suspicious Powershell commandline",
"description": "*** This is a test alert ***\nA suspicious Powershell commandline was found on the machine. This commandline might be used during installation, exploration, or in some cases with lateral movement activities which are used by attackers to invoke modules, download external payloads, and get more information about the system. Attackers usually use Powershell to bypass security protection mechanisms by executing their payload in memory without touching the disk and leaving any trace.",
"alertCreationTime": "2019-11-18T11:17:48.287421Z",
"firstEventTime": "2019-11-18T11:15:06.5226815Z",
"lastEventTime": "2019-11-18T11:15:06.5226815Z",
"lastUpdateTime": "2019-11-20T04:12:03.6066667Z",
"resolvedTime": "2019-11-20T04:12:03.4976288Z",
"machineId": "machine-id",
"alertUser": {
"accountName": "Administrator",
"domainName": "example-domain"
},
"comments": [],
"alertFiles": [
{
"sha1": "3ce71813199abae99348f61f0caa34e2574f831c",
"sha256": "9a7c58bd98d70631aa1473f7b57b426db367d72429a5455b433a05ee251f3236",
"filePath": "C:\\Windows\\System32\\cmd.exe",
"fileName": "cmd.exe"
},
{
"sha1": "1b3b40fbc889fd4c645cc12c85d0805ac36ba254",
"sha256": "d3f8fade829d2b7bd596c4504a6dae5c034e789b6a3defbe013bda7d14466677",
"filePath": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
"fileName": "powershell.exe"
}
],
"alertDomains": [],
"alertIps": [],
"alertProcesses": []
}
머신 나열
검색에 제공된 매개변수를 기반으로 Microsoft Defender for Endpoint 서버에 등록된 컴퓨터에 관한 정보를 가져옵니다.
매개변수
| 매개변수 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 최종 확인 시간 프레임 | 정수 | 해당 사항 없음 | 아니요 | 마지막으로 확인한 기간을 시간 단위로 지정합니다. |
| 머신 이름 | 문자열 | 해당 사항 없음 | 아니요 | 찾을 전체 시스템 이름을 지정합니다. |
| 머신 IP 주소 | 문자열 | 해당 사항 없음 | 아니요 | 찾을 머신 IP 주소를 지정합니다. |
| 머신 위험 점수 | 문자열 | 없음, 낮음, 중간, 높음 | 아니요 | 찾을 머신 위험 점수를 지정합니다. 매개변수는 여러 값을 쉼표로 구분된 문자열로 허용합니다. |
| 머신 상태 | 문자열 | Active, Inactive, ImpairedCommunication, NoSensorData, NoSensorDataImpairedCommunication | 아니요 | 찾을 머신 상태를 지정합니다. 매개변수는 여러 값을 쉼표로 구분된 문자열로 허용합니다. |
| 머신 OS 플랫폼 | 문자열 | 해당 사항 없음 | 아니요 | 찾을 머신 OS 플랫폼을 지정합니다. |
| RBAC 그룹 ID | 문자열 | 해당 사항 없음 | 아니요 | 찾을 RBAC 그룹 ID를 지정합니다. |
사용 사례
이 작업은 조사 목적으로 Defender ATP 서버에 등록된 기기에 관한 정보를 가져오는 데 사용할 수 있습니다. 이 작업은 사용자가 Defender ATP 콘솔로 다시 전환하여 Defender ATP 에이전트가 작동하는 컴퓨터를 찾지 않아도 되도록 수동 작업으로 주로 사용됩니다.
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Machines",
"value": [
{
"id": "example-id",
"computerDnsName": "example-name",
"firstSeen": "2019-11-18T11:13:04.0588699Z",
"lastSeen": "2019-11-20T09:59:28.0646303Z",
"osPlatform": "Windows10",
"osVersion": null,
"osProcessor": "x64",
"version": "1803",
"lastIpAddress": "192.0.2.138",
"lastExternalIpAddress": "203.0.113.35",
"agentVersion": "10.4860.17134.982",
"osBuild": 17134,
"healthStatus": "Active",
"rbacGroupId": 0,
"rbacGroupName": null,
"riskScore": "High",
"exposureLevel": "Medium",
"aadDeviceId": null,
"machineTags": []
},{
"id": "example-id",
"computerDnsName": "example-name",
"firstSeen": "2019-11-20T08:36:16.2721384Z",
"lastSeen": "2019-11-20T08:36:52.7182837Z",
"osPlatform": "Windows10",
"osVersion": null,
"osProcessor": "x64",
"version": "1803",
"lastIpAddress": "192.0.2.141",
"lastExternalIpAddress": "203.0.113.35",
"agentVersion": "10.4850.17134.191",
"osBuild": 17134,
"healthStatus": "Active",
"rbacGroupId": 0,
"rbacGroupName": null,
"riskScore": "None",
"exposureLevel": "Medium",
"aadDeviceId": null,
"machineTags": []
}
]
}
사용자의 머신 로그 가져오기
특정 머신에서 사용자의 로그온에 관한 정보를 가져옵니다.
매개변수
해당 사항 없음
사용 사례
이 작업은 조사 목적으로 사용하여 Defender ATP 서버에서 문제의 컴퓨터에 로그인하는 사용자에 관한 구체적인 세부정보를 가져올 수 있습니다.
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트
- IP 주소
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Users",
"value": [
{
"id": "example\\example.user",
"accountName": "example.user",
"accountDomain": "example",
"accountSid": null,
"firstSeen": "2019-11-19T03:50:36Z",
"lastSeen": "2019-11-19T03:50:36Z",
"mostPrevalentMachineId": null,
"leastPrevalentMachineId": null,
"logonTypes": "Interactive",
"logOnMachinesCount": 1,
"isDomainAdmin": false,
"isOnlyNetworkUser": null
}
]
}
머신 관련 알림 받기
Defender ATP에 등록된 특정 머신과 관련된 알림을 가져옵니다.
매개변수
| 매개변수 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 상태 | 문자열 | 알 수 없음, 신규, 진행 중, 해결됨 | 아니요 | 찾을 알림의 상태를 지정합니다. 매개변수는 여러 값을 쉼표로 구분된 문자열로 허용합니다. |
| 심각도 | 문자열 | UnSpecified, Informational, Low, Medium, High | 아니요 | 찾을 이슈의 심각도를 지정합니다. 매개변수는 여러 값을 쉼표로 구분된 문자열로 허용합니다. |
| 카테고리 | 문자열 | 해당 사항 없음 | 아니요 | 찾을 알림 카테고리를 지정합니다. 제공되지 않으면 작업에서 모든 카테고리를 찾습니다. 매개변수는 여러 값을 쉼표로 구분된 문자열로 허용합니다. 가능한 값: 'Collection', 'CommandAndControl', 'CredentialAccess', 'DefenseEvasion', 'Discovery', 'Execution', 'Exfiltration', 'Exploit', 'InitialAccess', 'LateralMovement', 'Malware', 'Persistence', 'PrivilegeEscalation', 'Ransomware', 'SuspiciousActivity', 'UnwantedSoftware'. |
| 사고 ID | 정수 | 해당 사항 없음 | 아니요 | 관련 알림을 찾으려는 Microsoft Defender 인시던트 ID를 지정합니다. |
사용 사례
이 작업은 조사 목적으로 사용하여 Defender ATP 서버에서 문제의 특정 머신과 관련된 알림을 가져올 수 있습니다.
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트
- IP 주소
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Alerts",
"value": [
{
"id": "example-id",
"incidentId": 1,
"investigationId": null,
"assignedTo": "testuser@example.com",
"severity": "Informational",
"status": "Resolved",
"classification": "FalsePositive",
"determination": "SecurityTesting",
"investigationState": "UnsupportedAlertType",
"detectionSource": "WindowsDefenderAtp",
"category": "Execution",
"threatFamilyName": null,
"title": "[Test Alert] Suspicious Powershell commandline",
"description": "*** This is a test alert ***\nA suspicious Powershell commandline was found on the machine. This commandline might be used during installation, exploration, or in some cases with lateral movement activities which are used by attackers to invoke modules, download external payloads, and get more information about the system. Attackers usually use Powershell to bypass security protection mechanisms by executing their payload in memory without touching the disk and leaving any trace.",
"alertCreationTime": "2019-11-18T11:17:48.287421Z",
"firstEventTime": "2019-11-18T11:15:06.5226815Z",
"lastEventTime": "2019-11-18T11:15:06.5226815Z",
"lastUpdateTime": "2019-11-20T04:12:03.91Z",
"resolvedTime": "2019-11-20T04:12:03.4976288Z",
"machineId": "machine-id",
"alertUser": {
"accountName": "Administrator",
"domainName": "US-LT-V13007"
},
"comments": [],
"alertFiles": [
{
"sha1": "3ce71813199abae99348f61f0caa34e2574f831c",
"sha256": "9a7c58bd98d70631aa1473f7b57b426db367d72429a5455b433a05ee251f3236",
"filePath": "C:\\Windows\\System32\\cmd.exe",
"fileName": "cmd.exe"
},
{
"sha1": "1b3b40fbc889fd4c645cc12c85d0805ac36ba254",
"sha256": "d3f8fade829d2b7bd596c4504a6dae5c034e789b6a3defbe013bda7d14466677",
"filePath": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
"fileName": "powershell.exe"
}
],
"alertDomains": [],
"alertIps": [],
"alertProcesses": []
}
]
}
머신 격리
엔드포인트용 Microsoft Defender를 사용하여 머신을 격리합니다. 머신은 완전 격리 또는 선택적 격리 상태로 설정할 수 있습니다. Outlook, 비즈니스용 Skype, Teams 애플리케이션은 격리된 머신에서 계속 작동합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 격리 유형 | DDL | 전체 가능한 값은 다음과 같습니다.
|
예 | 격리 유형을 지정합니다. |
| 댓글 | 문자열 | 해당 사항 없음 | 예 | 머신을 격리해야 하는 이유에 대한 의견을 지정합니다. |
| 인사이트를 만들까요? | 체크박스 | 선택됨 | 사용 설정하면 작업이 성공적으로 실행될 경우 관련 정보가 포함된 Google SecOps 통계를 만듭니다. |
사용 사례
감염된 것으로 간주되는 머신을 격리합니다. 예를 들어 Defender ATP 커넥터 알림이 Google SecOps 서버에 수집되었고, 알림 분석 중에 알림 머신 (케이스 엔티티)과 관련되어 감염될 수 있으며 격리해야 하는 것으로 확인되었습니다.
실행
이 작업은 다음 작업에서 실행됩니다.
- 호스트
- IP 주소
작업 결과
스크립트 결과
API 엔드포인트가 실행된 제공된 모든 항목에 대해 JSON 응답에서 상태 201, '상태': '대기 중'을 반환하는 경우 true입니다. 이는 API 요청이 성공적으로 실행되었음을 나타냅니다. 하나 이상의 항목에서 작업이 실패하면 최종 결과는 실패 (False)여야 합니다.
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#MachineActions/$entity",
"id": "example-id",
"type": "Isolate",
"requestor": "requestor-id",
"requestorComment": "Machine Isolation due to alert ...",
"status": "Pending",
"machineId": "machine-id",
"creationDateTimeUtc": "2019-11-21T03:55:59.5419077Z",
"lastUpdateDateTimeUtc": "2019-11-21T03:55:59.5419077Z",
"cancellationRequestor": null,
"cancellationComment": null,
"cancellationDateTimeUtc": null,
"errorHResult": 0,
"scope": null,
"relatedFileInfo": null
}
통계
- 통계 로직: Defender ATP 에이전트를 사용하여 머신이 격리된 경우 이를 나타내는 통계를 만듭니다.
- 유형: 항목
- 제목 (문자열): 항목
- IdentifierMessage: 'Microsoft Defender for Endpoint를 사용하여 호스트가 격리되었습니다.'
Unisolate Machine
이전에 Microsoft Defender for Endpoint를 사용하여 격리된 컴퓨터를 격리 해제합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 댓글 | 문자열 | 해당 사항 없음 | 예 | 머신의 격리를 해제해야 하는 이유에 대한 의견을 지정합니다. |
| 인사이트를 만들까요? | 체크박스 | 선택됨 | 사용 설정하면 작업이 성공적으로 실행될 경우 관련 정보가 포함된 Google SecOps 통계를 만듭니다. |
사용 사례
이 작업은 머신이 이미 격리되었지만 플레이북 처리 중에 수집된 새 데이터 (예: 첫 번째 머신이 격리되었고, 다음으로 의심스러운 파일의 위협 지표를 만들고, 영향을 받는 머신에서 이 파일을 삭제하기 위해 '중지 및 격리' 작업을 실행함)를 통해 영향을 받는 머신을 격리에서 삭제해도 안전하다고 간주할 수 있는 상황에 사용할 수 있습니다.
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트
- IP 주소
작업 결과
스크립트 결과
API 엔드포인트가 실행된 제공된 모든 항목에 대해 JSON 응답에서 상태 201, '상태': '대기 중'을 반환하는 경우 true입니다. 이는 API 요청이 성공적으로 실행되었음을 나타냅니다. 하나 이상의 항목에서 작업이 실패하면 최종 결과는 실패 (False)여야 합니다.
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#MachineActions/$entity",
"id": "example-id",
"type": "Unisolate",
"requestor": "requestor-id",
"requestorComment": "Unisolate machine due to the following remediation measures taken...",
"status": "Pending",
"machineId": "machine-id",
"creationDateTimeUtc": "2019-11-21T03:59:34.7389352Z",
"lastUpdateDateTimeUtc": "2019-11-21T03:59:34.7389352Z",
"cancellationRequestor": null,
"cancellationComment": null,
"cancellationDateTimeUtc": null,
"errorHResult": 0,
"scope": null,
"relatedFileInfo": null
}
통계
- 유형: 항목
- 제목: entity.
- IdentifierMessage: Microsoft Defender for Endpoint 격리가 삭제되었습니다.
바이러스 백신 검사 실행
엔드포인트용 Microsoft Defender를 사용하여 호스트에서 바이러스 백신 검사를 시작합니다. 사용할 수 있는 Defender ATP 스캔 유형에는 전체 또는 빠름 등 두 가지 유형이 있습니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 바이러스 백신 검사 유형 | DDL | 전체 가능한 값은 다음과 같습니다.
|
예 | 머신에서 전체 또는 빠른 안티바이러스 검사를 시작할지 여부를 지정합니다. |
| 댓글 | 문자열 | 해당 사항 없음 | 예 | 머신에서 바이러스 백신 검사를 실행해야 하는 이유에 대한 의견을 지정합니다. |
사용 사례
알림 처리 중에 Defender ATP 커넥터에서 알림이 발생했으며, Google SecOps 케이스 엔티티와 관련된 머신에서 멀웨어 침해 표시기가 발견되었으며, 이로 인해 사용자는 호스트에서 멀웨어를 찾기 위해 머신에서 안티바이러스 검사를 실행하기로 결정했습니다.
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트
- IP 주소
작업 결과
스크립트 결과
API 엔드포인트가 실행된 제공된 모든 항목에 대해 JSON 응답에서 상태 201, '상태': '대기 중'을 반환하는 경우 true입니다. 이는 API 요청이 성공적으로 실행되었음을 나타냅니다. 하나 이상의 항목에서 작업이 실패하면 최종 결과는 실패 (False)여야 합니다.
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#MachineActions/$entity",
"id": "example-id",
"type": "RunAntiVirusScan",
"requestor": "requestor_id",
"requestorComment": "Run antivirus scan on suspect",
"status": "Pending",
"machineId": "machine-id",
"creationDateTimeUtc": "2019-11-21T11:07:06.611628Z",
"lastUpdateDateTimeUtc": "2019-11-21T11:07:06.611628Z",
"cancellationRequestor": null,
"cancellationComment": null,
"cancellationDateTimeUtc": null,
"errorHResult": 0,
"scope": null,
"relatedFileInfo": null
}
특정 컴퓨터에서 파일 중지 및 격리
Microsoft Defender ATP 에이전트를 사용하여 특정 컴퓨터에서 파일 실행을 중지하고 격리합니다. 이 작업은 Host 또는 IP Google SecOps 항목에서 작동합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 격리할 SHA1 파일 해시 | 문자열 | 해당 사항 없음 | 예 | 중지하고 격리할 파일의 SHA-1 파일 해시를 지정합니다. 참고: 작업에서 일치하는 파일을 찾으려면 SHA-1 해시가 소문자여야 합니다. |
| 댓글 | 문자열 | 해당 사항 없음 | 예 | 머신에서 바이러스 백신 검사를 실행해야 하는 이유에 대한 의견을 지정합니다. |
| 인사이트를 만들까요? | 체크박스 | 선택됨 | 사용 설정하면 작업이 성공적으로 실행될 경우 관련 정보가 포함된 Google SecOps 통계가 생성됩니다. |
사용 사례
Defender ATP 커넥터에서 전송된 알림을 처리하는 동안 '파일 중지 및 격리' 작업을 사용하여 특정 파일이 실행되지 않도록 차단하여 컴퓨터가 손상되지 않도록 할 수 있습니다. 이 작업의 필요성은 고급 검색에서 비롯될 수 있으며, 사용자는 현재 단일 머신에서 차단하려는 잠재적으로 악성인 파일을 발견할 수 있습니다.
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트
- IP 주소
작업 결과
스크립트 결과
True 또는 False일 수 있습니다. API 엔드포인트가 실행된 제공된 모든 항목에 대해 JSON 응답의 'status': 'Pending'을 반환하는 경우 true입니다. 이는 API 요청이 성공적으로 실행되었음을 나타냅니다. 하나 이상의 엔티티 작업이 실패하면 최종 결과는 실패 (False)여야 합니다.
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#MachineActions/$entity",
"id": "example-id",
"type": "StopAndQuarantineFile",
"requestor": "requestor-id",
"requestorComment": "Stopping and quarantining putty",
"status": "Pending",
"machineId": "machine-id",
"creationDateTimeUtc": "2019-11-25T10:05:21.3641296Z",
"lastUpdateDateTimeUtc": "2019-11-25T10:05:21.3641296Z",
"cancellationRequestor": null,
"cancellationComment": null,
"cancellationDateTimeUtc": null,
"errorHResult": 0,
"scope": null,
"relatedFileInfo": {
"fileIdentifier": "d932604ab8e9debe475415851fd26929a0c0dcd1",
"fileIdentifierType": "Sha1"
}
}
통계
- 유형: 항목
- 제목 (문자열): 항목
- IdentifierMessage (문자열): 'SHA-1 파일 해시가 {0}인 파일이 {1}에서 중지되고 격리되었습니다'. format (filehash,entity.Identifier)
파일 관련 알림 받기
파일 해시에 따라 Microsoft Defender for Endpoint에서 파일과 관련된 알림을 가져옵니다.
매개변수
| 매개변수 표시 값 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 상태 | 문자열 | 알 수 없음, 신규, 진행 중, 해결됨 | 아니요 | 찾을 알림의 상태를 지정합니다. 매개변수는 여러 값을 쉼표로 구분된 문자열로 허용합니다. |
| 심각도 | 문자열 | UnSpecified, Informational, Low, Medium, High | 아니요 | 찾을 이슈의 심각도를 지정합니다. 매개변수는 여러 값을 쉼표로 구분된 문자열로 허용합니다. |
| 카테고리 | 문자열 | 해당 사항 없음 | 아니요 | 찾을 알림 카테고리를 지정합니다. 제공되지 않으면 작업에서 모든 카테고리를 찾습니다. 매개변수는 여러 값을 쉼표로 구분된 문자열로 허용합니다. 가능한 값: 'Collection', 'CommandAndControl', 'CredentialAccess', 'DefenseEvasion', 'Discovery', 'Execution', 'Exfiltration', 'Exploit', 'InitialAccess', 'LateralMovement', 'Malware', 'Persistence', 'PrivilegeEscalation', 'Ransomware', 'SuspiciousActivity', 'UnwantedSoftware'. |
| 사고 ID | 정수 | 해당 사항 없음 | 아니요 | 관련 알림을 찾으려는 Microsoft Defender 인시던트 ID를 지정합니다. |
사용 사례
Defender ATP 커넥터에서 발생한 알림을 조사하는 동안 이 작업을 사용하여 파일이 알림과 연결되어 있는지에 관한 정보를 수집하여 파일이 악성인지 여부를 파악할 수 있습니다.
실행
이 작업은 Filehash 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Alerts",
"value": [
{
"id": "example_id",
"incidentId": 2,
"investigationId": 1,
"assignedTo": null,
"severity": "Medium",
"status": "New",
"classification": null,
"determination": null,
"investigationState": "TerminatedBySystem",
"detectionSource": "WindowsDefenderAtp",
"category": "DefenseEvasion",
"threatFamilyName": null,
"title": "Suspicious process injection observed",
"description": "A process abnormally injected code into another process, As a result, unexpected code may be running in the target process memory. Injection is often used to hide malicious code execution within a trusted process. \nAs a result, the target process may exhibit abnormal behaviors such as opening a listening port or connecting to a command and control server.",
"alertCreationTime": "2019-11-19T03:56:37.7335862Z",
"firstEventTime": "2019-11-19T03:54:15.7698362Z",
"lastEventTime": "2019-11-19T03:54:15.7698362Z",
"lastUpdateTime": "2019-11-20T10:13:31.7266667Z",
"resolvedTime": null,
"machineId": "machine-id",
"alertUser": {
"accountName": "example.user",
"domainName": "EXAMPLELAB"
},
"comments": [],
"alertFiles": [
{
"sha1": "1b3b40fbc889fd4c645cc12c85d0805ac36ba254",
"sha256": "d3f8fade829d2b7bd596c4504a6dae5c034e789b6a3defbe013bda7d14466677",
"filePath": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
"fileName": "powershell.exe"
},{
"sha1": "bdd0d38e113a0c7dd6213cf2e89e6cc6d66b5cdb",
"sha256": "328954033456d5c13e58fb5bcc6c0232f9f62cb6d9185afa51c7913338992491",
"filePath": "C:\\Windows\\System32\\notepad.exe",
"fileName": "notepad.exe"
}
],
"alertDomains": [],
"alertIps": [],
"alertProcesses": []
}
]
}
파일 관련 머신 가져오기
파일 해시에 따라 Microsoft Defender for Endpoint에서 파일과 관련된 머신을 가져옵니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 머신 이름 | 문자열 | 해당 사항 없음 | 아니요 | 찾을 전체 시스템 이름을 지정합니다. |
| 머신 IP 주소 | 문자열 | 해당 사항 없음 | 아니요 | 찾을 머신 IP 주소를 지정합니다. |
| 머신 위험 점수 | 문자열 | 해당 사항 없음 | 아니요 | 찾을 머신 위험 점수를 지정합니다. 매개변수는 여러 값을 쉼표로 구분된 문자열로 허용합니다. |
| 머신 상태 | 문자열 | Active, Inactive, ImpairedCommunication, NoSensorData, NoSensorDataImpairedCommunication | 아니요 | 찾을 머신 상태를 지정합니다. 매개변수는 여러 값을 쉼표로 구분된 문자열로 허용합니다. |
| 머신 OS 플랫폼 | 문자열 | 해당 사항 없음 | 아니요 | 찾을 머신 OS 플랫폼을 지정합니다. |
| RBAC 그룹 ID | 문자열 | 해당 사항 없음 | 아니요 | 찾을 RBAC 그룹 ID를 지정합니다. |
사용 사례
Defender ATP 커넥터에서 발생한 알림을 조사하는 동안 이 작업을 사용하여 Defender ATP에 이 파일이 등록된 컴퓨터에 관한 정보를 수집할 수 있습니다.
실행
이 작업은 Filehash 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Machines",
"value": [
{
"id": "example_id",
"computerDnsName": "example-name",
"firstSeen": "2019-11-18T11:13:04.0588699Z",
"lastSeen": "2019-11-20T19:35:36.4619266Z",
"osPlatform": "Windows10",
"osVersion": null,
"osProcessor": "x64",
"version": "1803",
"lastIpAddress": "192.0.2.1",
"lastExternalIpAddress": "203.0.113.121",
"agentVersion": "10.4860.17134.982",
"osBuild": 17134,
"healthStatus": "Active",
"rbacGroupId": 0,
"rbacGroupName": null,
"riskScore": "High",
"exposureLevel": "Medium",
"aadDeviceId": null,
"machineTags": []
}
]
}
고급 헌팅 쿼리 실행
엔드포인트용 Microsoft Defender 고급 검색 쿼리를 실행합니다. 따옴표, 줄 바꿈 또는 기타 특수 기호는 이스케이프 처리해야 합니다. 예를 들어 따옴표를 이스케이프 처리하려면 백슬래시를 사용하세요.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
| 쿼리 | 문자열 | 해당 사항 없음 | 예 | 실행할 고급 탐색 쿼리입니다. |
사용 사례
사용자는 특정 Defender 알림을 처리하는 동안 Defender ATP에서 수집된 데이터를 쿼리하는 데 사용할 헌팅 쿼리를 보유할 수 있으며, 이 작업을 통해 사용자는 이러한 고급 헌팅 쿼리를 실행할 수 있습니다.
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"Stats": {
"ExecutionTime": 0.0156652,
"resource_usage": {
"cache": {
"memory": {
"hits": 13,
"misses": 0,
"total": 13
},
"disk": {
"hits": 0,
"misses": 0,
"total": 0
}
},
"cpu": {
"user": "00:00:00.0156250",
"kernel": "00:00:00",
"total cpu": "00:00:00.0156250"
},
"memory": {
"peak_per_node": 33554624
}
},
"dataset_statistics": [
{
"table_row_count": 2,
"table_size": 60
}
]
},
"Schema": [
{
"Name": "EventTime",
"Type": "DateTime"
},
{
"Name": "FileName",
"Type": "String"
},
{
"Name": "InitiatingProcessFileName",
"Type": "String"
}
],
"Results": [
{
"EventTime": "2019-11-18T11:13:07.043128Z",
"FileName": "csc.exe",
"InitiatingProcessFileName": "powershell.exe"
},
{
"EventTime": "2019-11-19T03:54:14.4256361Z",
"FileName": "csc.exe",
"InitiatingProcessFileName": "powershell.exe"
}
]
}
작업 상태 대기
작업 상태를 기다립니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 태스크 ID | 문자열 | 해당 사항 없음 | 예 | 쉼표로 구분된 문자열로 된 작업 ID 목록입니다. |
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
{
"status": "Succeeded",
"creation_date_time_utc": "2020-02-08T03:24:52.8526634Z",
"cancellation_requestor": null,
"cancellation_date_time_utc": null,
"id": "2e39d22e-60a7-4267-899c-a1471e800000",
"last_update_date_time_utc": "2020-02-08T03:25:35.8345081Z",
"related_file_info": null,
"cancellation_comment": null,
"requestor": "e4fc6454-754d-47f7-bbdb-045fad600000",
"error_h_result": 0,
"scope": "Selective",
"machine_id": "fbc85cf3fbcc8bb14d1a84fcf7bbae4531f00000",
"type": "Isolate",
"requestor_comment": "test"
}
]
현재 작업 상태 가져오기
작업의 현재 상태를 가져옵니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 태스크 ID | 문자열 | 해당 사항 없음 | 예 | 쉼표로 구분된 문자열로 된 작업 ID 목록입니다. |
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
{
"status": "Succeeded",
"creation_date_time_utc": "2020-02-08T03:24:52.8526634Z",
"cancellation_requestor": null,
"cancellation_date_time_utc": null,
"id": "2e39d22e-60a7-4267-899c-a1471e800000",
"last_update_date_time_utc": "2020-02-08T03:25:35.8345081Z",
"related_file_info": null,
"cancellation_comment": null,
"requestor": "e4fc6454-754d-47f7-bbdb-045fad600000",
"error_h_result": 0,
"scope": "Selective",
"machine_id": "fbc85cf3fbcc8bb14d1a84fcf7bbae4531f00000",
"type": "Isolate",
"requestor_comment": "test"
}
]
엔티티 지표 제출
Microsoft Defender for Endpoint에 엔티티를 표시기로 제출합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 작업 | DDL | 차단 가능한 값은 다음과 같습니다.
|
예 | 엔티티에 적용해야 하는 작업을 지정합니다. 참고: '차단 및 수정' 값은 filehash 항목에만 지원됩니다. |
| 심각도 | DDL | 높음 가능한 값은 다음과 같습니다.
|
예 | 발견된 항목의 심각도를 지정합니다. |
| 애플리케이션 | 문자열 | 해당 사항 없음 | 아니요 | 항목과 관련된 애플리케이션을 지정합니다. |
| 표시등 알림 제목 | 문자열 | 해당 사항 없음 | 예 | 환경에서 식별되는 경우 알림 제목을 지정합니다. |
| 설명 | 문자열 | Google SecOps Remediation | 예 | 항목에 대한 설명을 지정합니다. |
| 권장 작업 | 문자열 | 해당 사항 없음 | 아니요 | 항목 처리에 권장되는 작업을 지정합니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- URL
- Filehash
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 항목 하나에 데이터를 사용할 수 있는 경우 (is_success = true): '다음 항목을 Microsoft Defender for Endpoint에 표시기로 성공적으로 제출했습니다. {entity.identifier}' 항목 하나에 데이터를 사용할 수 없는 경우(is_success=true): '작업에서 다음 항목을 Microsoft Defender for Endpoint에 표시기로 제출할 수 없습니다: {entity.identifier}'. 하나의 항목에 대해 403 상태 코드가 보고된 경우: '인스턴스에 다음 항목을 제출할 권한이 충분하지 않습니다. {entity.identifier} 모든 항목에 데이터를 사용할 수 없는 경우(is_success=false): '제공된 항목이 Microsoft Defender for Endpoint에 표시기로 제출되지 않았습니다.' 항목이 이미 표시기인 경우: '다음 항목은 Microsoft Defender for Endpoint에서 이미 표시기입니다. {entity.identifier}' 작업이 실패하고 플레이북 실행을 중지해야 합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''엔티티 표시기 제출' 작업 실행 중에 오류가 발생했습니다. 이유: {0}''.format(error.Stacktrace) 모든 항목에 대해 403 상태 코드가 보고된 경우: '항목 표시기 제출' 작업을 실행하는 중에 오류가 발생했습니다. 이유: 인스턴스 권한으로 인해 표시기가 생성되지 않았습니다. 구성을 확인하세요.''. |
일반 |
항목 표시기 삭제
Microsoft Defender for Endpoint에서 엔티티 표시기를 삭제합니다.
매개변수
해당 사항 없음
실행
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- URL
- Filehash
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 204 상태 코드가 보고된 경우 (is_success=true): 'Microsoft Defender for Endpoint에서 다음 항목을 표시기로 삭제했습니다: {entity.identifier}. 인시던트를 찾을 수 없는 경우 (is_success=true): '다음 항목이 Microsoft Defender for Endpoint에 표시기로 존재하지 않습니다. {entity.identifier}. 작업이 실패하고 플레이북 실행을 중지해야 합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''엔티티 표시기 삭제' 작업 실행 중에 오류가 발생했습니다. 이유: {0}''.format(error.Stacktrace) |
일반 |
지표 나열
Microsoft Defender for Endpoint의 표시기를 나열합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 지표 | CSV | 해당 사항 없음 | 아니요 | 가져올 지표를 쉼표로 구분하여 지정합니다. |
| 지표 유형 | CSV | FileSha1,FileSha256,FileMd5,CertificateThumbprint,IpAddress,DomainName, Url | 아니요 | 가져올 쉼표로 구분된 지표 유형 목록을 지정합니다. 가능한 값: FileSha1, FileSha256, FileMd5, CertificateThumbprint, IpAddress,DomainName, Url |
| 작업 | CSV | Warn,Block,Audit,Alert,AlertAndBlock,BlockAndRemediate,Allowed | 아니요 | 필터링에 사용할 쉼표로 구분된 표시기 작업 목록을 지정합니다. 가능한 값: Warn,Block,Audit,Alert, AlertAndBlock,BlockAndRemediate,Allowed |
| 심각도 | CSV | 정보,낮음,중간,높음 | 아니요 | 필터링에 사용할 심각도를 쉼표로 구분된 목록으로 지정합니다. 가능한 값: Informational,Low,Medium,High |
| 반환할 최대 결과 수 | 정수 | 50 | 아니요 | 반환할 지표 수를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"id": "18",
"indicatorValue": "110e7d15b011d7fac48f2bd61114db1022197f7a",
"indicatorType": "FileSha1",
"action": "Audit",
"createdBy": "45e9773c-100e-4a9f-ad37-d8e182e9ed26",
"severity": "Informational",
"category": 1,
"application": "demo-test",
"educateUrl": null,
"bypassDurationHours": null,
"title": "test",
"description": "test",
"recommendedActions": "nothing",
"creationTimeDateTimeUtc": "2022-02-08T14:20:34.9071582Z",
"expirationTime": null,
"lastUpdateTime": "2022-02-08T14:20:34.9151307Z",
"lastUpdatedBy": null,
"rbacGroupNames": [],
"rbacGroupIds": [],
"notificationId": null,
"notificationBody": null,
"version": null,
"mitreTechniques": [],
"historicalDetection": false,
"lookBackPeriod": null,
"generateAlert": true,
"additionalInfo": null,
"createdByDisplayName": "Example Defender ATP",
"externalId": null,
"createdBySource": "PublicApi",
"certificateInfo": null
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 데이터를 사용할 수 있는 경우(is_success=true): 'Microsoft Defender for Endpoint에서 제공된 기준에 대한 표시기를 찾았습니다.' 데이터를 사용할 수 없는 경우 (is_success=false): 'Microsoft Defender for Endpoint에서 제공된 기준에 대한 표시기를 찾을 수 없습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''지표 나열' 작업 실행 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) 잘못된 '지표 유형' 매개변수가 제공된 경우: ''지표 나열' 작업을 실행하는 중에 오류가 발생했습니다. 이유: '지표 유형' 매개변수의 값이 잘못되었습니다. 가능한 값: FileSha1, FileSha256, FileMd5, CertificateThumbprint, IpAddress, DomainName, Url 잘못된 '작업' 매개변수가 제공된 경우: ''표시기 나열' 작업을 실행하는 중에 오류가 발생했습니다. 이유: '작업' 매개변수의 값이 잘못되었습니다. 가능한 값: Warn, Block, Audit, Alert, AlertAndBlock, BlockAndRemediate, Allowed 잘못된 '심각도' 매개변수가 제공된 경우: ''지표 나열' 작업을 실행하는 중에 오류가 발생했습니다. 이유: 'Actions' 매개변수의 값이 잘못되었습니다. 가능한 값: Informational, Low, Medium, High |
일반 |
| 케이스 월 테이블 | 발견된 지표 유형: indicatorType 작업: action 심각도: 심각도 설명: 설명 제목: 제목 권장사항: recommendedActions |
항목 |
커넥터
Google SecOps에서 커넥터를 구성하는 방법에 대한 자세한 내용은 커넥터 구성을 참고하세요.
선택한 커넥터를 구성하려면 다음 표에 나열된 커넥터별 매개변수를 사용하세요.
Microsoft Defender ATP 커넥터
이벤트용 Microsoft Defender ATP 커넥터에서 사용되는 Defender ATP SIEM API는 2022년 3월 1일부터 지원이 중단됩니다.
이 커넥터는 주기적으로 Defender ATP API 엔드포인트에 연결하고 특정 기간 동안 생성된 알림 목록을 가져옵니다. 처리된 알림의 경우 별도의 요청에 있는 커넥터가 Defender ATP에서 감지에 관한 정보를 가져옵니다. 감지에는 감지를 특정 알림과 연결하는 데 사용할 수 있는 AlertId 필드가 있습니다.
커넥터 매개변수
다음 매개변수를 사용하여 커넥터를 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 제품 필드 이름 | 문자열 | ProductName | 예 | 제품 이름이 저장된 필드의 이름을 설명합니다. |
| 이벤트 필드 이름 | 문자열 | AlertName | 예 | 이벤트 이름이 저장된 필드의 이름을 설명합니다. |
| 환경 필드 이름 | 문자열 | "" | 아니요 | 환경 이름이 저장된 필드의 이름을 설명합니다. 환경 필드를 찾을 수 없는 경우 환경은 ''입니다. |
| 환경 정규식 패턴 | 문자열 | .* | 아니요 |
기본값은 .* 로서 모두 포착하고 변경되지 않은 값을 반환합니다. 사용자가 정규 표현식 로직을 사용하여 환경 필드를 조작할 수 있도록 허용하는 데 사용됩니다. 정규 표현식 패턴이 null이거나 비어 있거나 환경 값이 null이면 최종 환경 결과는 ''입니다. |
| API 루트 | 문자열 | https://api.securitycenter.windows.com | 예 | 통합에 사용할 API 루트 URL입니다. 성능을 향상하려면 내 위치와 가장 가까운 서버를 사용하세요.
|
| Azure Active Directory ID | 문자열 | 해당 사항 없음 | 예 | Microsoft Entra 테넌트 ID는 Active Directory > 앱 등록 > 애플리케이션 > 디렉터리 (테넌트) ID에서 확인할 수 있습니다. |
| 통합 클라이언트 ID | 문자열 | 해당 사항 없음 | 예 | 통합을 위해 Microsoft Entra에서 앱 등록을 위해 추가된 클라이언트 (애플리케이션) ID입니다. |
| 통합 클라이언트 보안 비밀번호 | 비밀번호 | 해당 사항 없음 | 예 | 통합을 위해 Azure AD 앱 등록에 입력된 보안 비밀입니다. |
| SIEM 클라이언트 ID | 문자열 | 해당 사항 없음 | 예 | Microsoft Defender for Endpoint에서 사용 설정된 SIEM 통합의 클라이언트 (애플리케이션) ID입니다. |
| SIEM 클라이언트 보안 비밀번호 | 비밀번호 | 해당 사항 없음 | 예 | Microsoft Defender for Endpoint에서 사용 설정된 SIEM 통합의 보안 비밀입니다. |
| 오프셋 시간(시간) | 정수 | 24 | 예 | X시간부터 역순으로 알림을 가져옵니다. |
| 주기당 최대 알림 수 | 정수 | 100 | 예 | 커넥터 실행 한 번에 처리되는 알림 수입니다. |
| 가져올 알림 상태 | 문자열 | 알 수 없음, 신규, 진행 중, 해결됨 | 예 | Google SecOps 서버에서 가져와야 하는 Defender ATP 알림의 상태를 지정합니다. 매개변수는 여러 값을 쉼표로 구분된 문자열로 사용할 수 있습니다. |
| 가져올 알림 심각도 | 문자열 | UnSpecified, Informational, Low, Medium, High | 예 | Google SecOps 서버에서 가져와야 하는 Defender ATP 알림의 심각도를 지정합니다. 매개변수는 여러 값을 쉼표로 구분된 문자열로 사용할 수 있습니다. |
| 프록시 서버 주소 | IP_OR_HOST | 해당 사항 없음 | No | 연결에 사용할 프록시 서버입니다. |
| 프록시 서버 사용자 이름 | 문자열 | 해당 사항 없음 | No | 프록시 서버 사용자 이름입니다. |
| 프록시 서버 비밀번호 | 비밀번호 | 해당 사항 없음 | No | 프록시 서버 비밀번호입니다. |
커넥터 규칙
커넥터는 차단 목록 또는 동적 목록 규칙을 지원하지 않습니다.
커넥터가 프록시를 지원합니다.
Microsoft Defender ATP Connector V2
365 Defender 인시던트 API를 사용하여 Defender ATP 알림을 가져와 이벤트 데이터를 가져옵니다. 커넥터 동적 목록을 사용하여 알림 detectionSource 속성 값에 따라 특정 유형의 알림만 수집합니다.
커넥터 SourceGroupIdentifier 속성을 사용하여 Defender ATP 인시던트 ID를 기반으로 알림을 그룹화할 수 있습니다.
기본 요건
커넥터를 구성하기 전에 Microsoft Entra 애플리케이션에 추가 권한을 부여해야 합니다.
사용자 관리자 또는 비밀번호 관리자로 Azure 포털에 로그인합니다.
Microsoft Entra ID를 선택합니다.
API 권한 > 권한 추가 > 내 조직에서 사용하는 API로 이동합니다.
Microsoft 위협 방지 > 애플리케이션 권한을 선택합니다.
권한 선택 섹션에서 다음 필수 권한을 선택합니다.
Incident.Read.AllIncident.ReadWrite.All
권한 추가를 클릭합니다.
YOUR_ORGANIZATION_NAME에 대한 관리자 동의 허용을 클릭합니다.
커넥터 매개변수
다음 매개변수를 사용하여 커넥터를 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 제품 필드 이름 | 문자열 | :: | 예 | 제품 이름이 저장된 필드의 이름을 설명합니다. |
| 이벤트 필드 이름 | 문자열 | EventName | 예 | 이벤트 이름이 저장된 필드의 이름을 설명합니다. |
| 환경 필드 이름 | 문자열 | "" | 아니요 | 환경 이름이 저장된 필드의 이름을 설명합니다. 환경 필드를 찾을 수 없는 경우 환경은 ''입니다. |
| 환경 정규식 패턴 | 문자열 | .* | 아니요 |
기본값은 .* 로서 모두 포착하고 변경되지 않은 값을 반환합니다. 사용자가 정규 표현식 로직을 사용하여 환경 필드를 조작할 수 있도록 허용하는 데 사용됩니다. 정규 표현식 패턴이 null이거나 비어 있거나 환경 값이 null이면 최종 환경 결과는 ''입니다. |
| Defender ATP API 루트 | 문자열 | https://api.securitycenter.windows.com | 예 | 통합에 사용할 API 루트 URL 성능을 향상하려면 내 위치와 가장 가까운 서버를 사용하세요.
|
| 365 Defender API 루트 | 문자열 | https://api.security.microsoft.com | 예 | Google SecOps 이벤트 데이터를 가져오는 데 사용되는 Microsoft 365 Defender 인스턴스의 API 루트입니다. |
| Azure Active Directory ID | 문자열 | 해당 사항 없음 | 예 | Microsoft Entra > 앱 등록 > 내 애플리케이션 > 디렉터리 (테넌트) ID에서 확인할 수 있는 Microsoft Entra 테넌트 ID입니다. |
| 통합 클라이언트 ID | 문자열 | 해당 사항 없음 | 예 | 통합을 위해 Microsoft Entra에서 앱 등록을 위해 추가된 클라이언트 (애플리케이션) ID입니다. |
| 통합 클라이언트 보안 비밀번호 | 비밀번호 | 해당 사항 없음 | 예 | 통합을 위해 Azure AD 앱 등록에 입력된 보안 비밀입니다. |
| SSL 확인 | 체크박스 | 선택 | 예 | 사용 설정하면 Microsoft 365 Defender 서버 연결에 사용되는 SSL 인증서가 유효한지 확인합니다. |
| 오프셋 시간(시간) | 정수 | 24 | 예 | X시간부터 역순으로 알림을 가져옵니다. |
| 주기당 최대 알림 수 | 정수 | 10 | 예 | 커넥터 실행 한 번에 처리되는 알림 수입니다. |
| 가져올 알림 상태 | 문자열 | 알 수 없음, 신규, 진행 중, 해결됨 | 예 | Google SecOps 서버에서 가져와야 하는 Defender ATP 알림의 상태를 지정합니다. 매개변수는 여러 값을 쉼표로 구분된 문자열로 사용할 수 있습니다. |
| 가져올 알림 심각도 | 문자열 | UnSpecified, Informational, Low, Medium, High | 예 | Google SecOps 서버에서 가져와야 하는 Defender ATP 알림의 심각도를 지정합니다. 매개변수는 여러 값을 쉼표로 구분된 문자열로 사용할 수 있습니다. |
| 오버플로 사용 중지 | 체크박스 | 선택 해제 | 아니요 | 사용 설정된 경우 커넥터는 오버플로 메커니즘을 무시합니다. |
| 스크립트 제한 시간 | 정수 | 300 | 예 | 커넥터 실행 제한 시간을 지정합니다. |
| 허용 목록을 차단 목록으로 사용 | 체크박스 | 선택 해제 | 아니요 | 사용 설정하면 동적 목록이 차단 목록으로 사용됩니다. |
| 프록시 서버 주소 | IP_OR_HOST | 해당 사항 없음 | No | 연결에 사용할 프록시 서버입니다. |
| 프록시 서버 사용자 이름 | 문자열 | 해당 사항 없음 | No | 프록시 서버 사용자 이름입니다. |
| 프록시 서버 비밀번호 | 비밀번호 | 해당 사항 없음 | No | 프록시 서버 비밀번호입니다. |
커넥터 규칙
커넥터는 detectionSource Defender ATP 알림 필드 값을 기반으로 하는 동적 목록 로직을 지원합니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.