Microsoft Defender ATP
Versão da integração: 23.0
Casos de uso
Use os dados coletados no Microsoft Defender para Endpoint para enriquecer durante a investigação de um caso específico.
Os analistas podem usar os dados coletados e armazenados no Microsoft Defender para Ponto de Extremidade em investigações. Por exemplo, para receber informações sobre alertas detectados no Microsoft Defender para Ponto de Extremidade ou listar máquinas registradas nele.
Realize ações de resposta ativa em possíveis incidentes de segurança, como isolar um host específico de uma rede ou executar uma verificação de antivírus.
Monitore e inspecione os alertas do Microsoft Defender para Ponto de Extremidade como alertas do Google Security Operations buscados pelo conector respectivo.
Pré-requisitos
Antes de configurar a integração na plataforma Google SecOps, conclua as seguintes etapas de pré-requisito:
Crie o app do Microsoft Entra.
Configure as permissões da API para seu app.
Crie uma chave secreta do cliente.
Recomendamos usar o contexto do aplicativo em vez do contexto do usuário ao acessar a API do Microsoft Defender para Endpoint.
Criar um app do Microsoft Entra
Faça login no portal do Azure como administrador de usuários ou de senhas.
Selecione Microsoft Entra ID.
Acesse Registros de apps > Novo registro.
Digite o nome do app.
Clique em Registrar.
Salve os valores de ID do aplicativo (cliente) e ID do diretório (locatário) para usar depois ao configurar os parâmetros de integração.
Configurar permissões da API
Acesse Permissões da API > Adicionar uma permissão > APIs usadas pela minha organização. A caixa de diálogo Solicitar permissões da API é aberta.
No campo Pesquisar, insira
WindowsDefenderATP.Selecione WindowsDefenderATP > Permissões do aplicativo.
Em Alerta, selecione a seguinte permissão:
Alert.Read.All
Clique em Adicionar permissões
Na página Permissões da API, clique em Adicionar uma permissão.
Selecione Microsoft Graph > Permissões delegadas.
Na seção Selecionar permissões, escolha a seguinte permissão obrigatória:
User.Read
Clique em Adicionar permissões
Na página Permissões da API, clique em Adicionar uma permissão.
Selecione WindowsDefenderATP > Permissões do aplicativo.
Na seção Selecionar permissões, escolha as seguintes permissões obrigatórias:
AdvancedQuery.Read.AllAlert.Read.AllAlert.ReadWrite.AllEvent.WriteFile.Read.AllIp.Read.AllMachine.IsolateMachine.Read.AllMachine.ReadWrite.AllMachine.ScanMachine.StopAndQuarantineTi.ReadWriteUrl.Read.AllUser.Read.All
Clique em Conceder consentimento de administrador para
ORGANIZATION_NAME.Quando a caixa de diálogo Confirmação de concessão de consentimento de administrador aparecer, clique em Sim.
Confira abaixo um exemplo de solicitação de API para receber os alertas do Defender ATP. Observe o parâmetro $expand, que é usado para buscar dados sobre endereços IP, domínios e arquivos:
GET /api/alerts?$expand=files,ips,domains HTTP/1.1
Host: api.securitycenter.windows.com
Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJ...
User-Agent: PostmanRuntime/7.19.0
Accept: */ *
Cache-Control: no-cache
Postman-Token: 2dc0f885-068a-45d4-81a6-2da0d23a58ad,d3dd0e6e-83ab-4d27-94d2-0f3889dff324
Host: api.securitycenter.windows.com
Accept-Encoding: gzip, deflate
Connection: keep-alive
cache-control: no-cache
Para saber mais sobre os parâmetros e opções de solicitação, como filtro ou expansão, consulte APIs do Microsoft Defender para Endpoint compatíveis na documentação da Microsoft.
Criar chave secreta do cliente
Navegue até Certificados e chaves secretas > Nova chave secreta do cliente.
Descreva uma chave secreta do cliente e defina o prazo de validade dela.
Clique em Adicionar.
Salve o valor da chave secreta do cliente (não o ID secreto) para usá-lo como o valor do parâmetro
Client Secretao configurar a integração. O valor do chave secreta do cliente é mostrado apenas uma vez.
Ativar a integração do SIEM (descontinuada)
No painel de navegação, selecione Configurações > SIEM.
Selecione Ativar a integração do SIEM.
Isso ativa a seção de detalhes de acesso do conector do SIEM com valores pré-preenchidos, e um aplicativo é criado no seu locatário do Azure AD.
- Escolha o tipo de SIEM como API genérica.
- Copie os valores individuais ou selecione "Salvar detalhes no arquivo" para baixar um arquivo com todos os valores.
- Você vai precisar dos valores apresentados nesta página para gerar um token e acessar os dados de detecção: ID do cliente, chave secreta do cliente e recurso.
Integrar o Microsoft Defender ATP ao Google SecOps
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Parâmetros de integração
Para configurar a integração, use os seguintes parâmetros:
| Parâmetros | |
|---|---|
Client ID |
Obrigatório ID do cliente (aplicativo) do app Microsoft Entra a ser usado na integração. |
Client Secret |
Obrigatório Valor da chave secreta do cliente do app do Microsoft Entra a ser usado na integração. |
Azure Active Directory ID |
Obrigatório Valor do Microsoft Entra ID (ID do locatário). |
Verify SSL |
Opcional Se selecionada, verifica se o certificado SSL da conexão com o servidor do Microsoft 365 Defender é válido. Essa opção é selecionada por padrão. |
API Root |
Obrigatório URL raiz da API a ser usado com a integração. Para melhorar o desempenho, use um servidor mais próximo da sua localização:
O valor padrão é |
Ações
Ping
Teste a conectividade com a instância do Microsoft Defender para Ponto de Extremidade usando os parâmetros fornecidos na página de configuração da integração.
Parâmetros
N/A
Casos de uso
A ação é usada para testar a conectividade e pode ser executada manualmente, o que não faz parte dos manuais operacionais.
Data de execução
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Enriquecer entidades
Enriqueça as entidades de host, endereço IP ou hash de arquivo do Google SecOps com base nas informações do Microsoft Defender para Endpoint.
Parâmetros
N/A
Casos de uso
A ação pode ser usada nos playbooks que investigam a atividade em dispositivos. Se o dispositivo tiver o agente do Microsoft Defender para Endpoint instalado, a ação vai extrair informações do Defender ATP em um dispositivo para enriquecer as entidades do Google SecOps. A ação também pode ser usada para enriquecer os hashes de arquivo de alerta com as informações do Defender ATP.
Data de execução
Essa ação é executada nas seguintes entidades:
- Host
- Endereço IP
- Filehash
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
Se o enriquecimento funcionar no endereço IP ou no host:
[
{
"EntityResult": {
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Machines/$entity",
"id": "example_id",
"computerDnsName": "example-name",
"firstSeen": "2019-11-18T11:13:04.0588699Z",
"lastSeen": "2019-11-24T18:31:50.581058Z",
"osPlatform": "Windows10",
"osVersion": null,
"osProcessor": "x64",
"version": "1803",
"lastIpAddress": "192.0.2.138",
"lastExternalIpAddress": "203.0.113.28",
"agentVersion": "10.4860.17134.982",
"osBuild": 17134,
"healthStatus": "Active",
"rbacGroupId": 0,
"rbacGroupName": null,
"riskScore": "High",
"exposureLevel": "Medium",
"aadDeviceId": null,
"machineTags": []
}
}
]
Se o enriquecimento funcionar no Filehash:
[
{
"EntityResult": {
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Files/$entity",
"sha1": "bdd0d38e113a0c7dd6213cf2e89e6cc6d66b5cdb",
"sha256": "328954033456d5c13e58fb5bcc6c0232f9f62cb6d9185afa51c7913338992491",
"md5": "9512e1cc66a1d36feb0a290cab09087b",
"globalPrevalence": 5205000,
"globalFirstObserved": "2018-06-22T12:59:21.6460311Z",
"globalLastObserved": "2019-11-21T00:24:01.921338Z",
"size": 245760,
"fileType": "APP",
"isPeFile": true,
"filePublisher": "Microsoft Corporation",
"fileProductName": "Microsoft Windows Operating System",
"signer": "Microsoft Windows",
"issuer": "Microsoft Windows Production PCA 2011",
"signerHash": "419e77aed546a1a6cf4dc23c1f977542fe289cf7",
"isValidCertificate": true
},
"EntityResult": {
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#microsoft.windowsDefenderATP.api.InOrgFileStats",
"sha1": "bdd0d38e113a0c7dd6213cf2e89e6cc6d66b5cdb",
"orgPrevalence": "1",
"orgFirstSeen": "2019-11-19T03:54:15Z",
"orgLastSeen": "2019-11-19T04:21:18Z",
"globalPrevalence": "5205000",
"globalFirstObserved": "2018-06-22T12:59:21.6460311Z",
"globalLastObserved": "2019-11-21T00:24:01.921338Z",
"topFileNames": ["notepad.exe"]
}
}
]
Enriquecimento de entidade
IP e host
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| Defender_ATP.sha1 | Retorna se ele existe no resultado JSON |
| Defender_ATP.sha256 | Retorna se ele existe no resultado JSON |
| Defender_ATP.md5 | Retorna se ele existe no resultado JSON |
| Defender_ATP.globalPrevalence | Retorna se ele existe no resultado JSON |
| Defender_ATP.globalFirstObserved | Retorna se ele existe no resultado JSON |
| Defender_ATP.globalLastObserved | Retorna se ele existe no resultado JSON |
| Defender_ATP.size | Retorna se ele existe no resultado JSON |
| Defender_ATP.fileType | Retorna se ele existe no resultado JSON |
| Defender_ATP.isPeFile | Retorna se ele existe no resultado JSON |
| Defender_ATP.filePublisher | Retorna se ele existe no resultado JSON |
| Defender_ATP.fileProductName | Retorna se ele existe no resultado JSON |
| Defender_ATP.signer | Retorna se ele existe no resultado JSON |
| Defender_ATP.issuer | Retorna se ele existe no resultado JSON |
| Defender_ATP.signerHash | Retorna se ele existe no resultado JSON |
| Defender_ATP.isValidCertificate | Retorna se ele existe no resultado JSON |
| Defender_ATP.orgPrevalence | Retorna se ele existe no resultado JSON |
| Defender_ATP.orgFirstSeen | Retorna se ele existe no resultado JSON |
| Defender_ATP.orgLastSeen | Retorna se ele existe no resultado JSON |
| Defender_ATP.topFileNames | Retorna se ele existe no resultado JSON |
Hash do arquivo
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| Defender_ATP.sha1 | Retorna se ele existe no resultado JSON |
| Defender_ATP.sha256 | Retorna se ele existe no resultado JSON |
| Defender_ATP.md5 | Retorna se ele existe no resultado JSON |
| Defender_ATP.globalPrevalence | Retorna se ele existe no resultado JSON |
| Defender_ATP.globalFirstObserved | Retorna se ele existe no resultado JSON |
| Defender_ATP.globalLastObserved | Retorna se ele existe no resultado JSON |
| Defender_ATP.size | Retorna se ele existe no resultado JSON |
| Defender_ATP.fileType | Retorna se ele existe no resultado JSON |
| Defender_ATP.isPeFile | Retorna se ele existe no resultado JSON |
| Defender_ATP.filePublisher | Retorna se ele existe no resultado JSON |
| Defender_ATP.fileProductName | Retorna se ele existe no resultado JSON |
| Defender_ATP.signer | Retorna se ele existe no resultado JSON |
| Defender_ATP.issuer | Retorna se ele existe no resultado JSON |
| Defender_ATP.signerHash | Retorna se ele existe no resultado JSON |
| Defender_ATP.isValidCertificate | Retorna se ele existe no resultado JSON |
| Defender_ATP.orgPrevalence | Retorna se ele existe no resultado JSON |
| Defender_ATP.orgFirstSeen | Retorna se ele existe no resultado JSON |
| Defender_ATP.orgLastSeen | Retorna se ele existe no resultado JSON |
| Defender_ATP.topFileNames | Retorna se ele existe no resultado JSON |
Listar alertas
Lista os alertas do Microsoft Defender para Ponto de Extremidade com base nos critérios de pesquisa fornecidos. A ação retorna informações sobre os alertas encontrados em uma tabela e um formulário de visualização JSON como uma saída de ação, além de dados brutos de alerta armazenados e anexados ao arquivo JSON de saída da ação.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Período | Número inteiro | 3 | Não | Especifique um período em horas para buscar alertas. |
| Status | String | Unknown, New, InProgress, Resolved | Não | Especifique os status dos alertas que você quer procurar. O parâmetro aceita vários valores como uma string separada por vírgulas. |
| Gravidade | String | N/A | Não | Especifique a gravidade dos incidentes que você quer procurar. Se não for fornecido, a ação vai procurar todas as gravidades. O parâmetro aceita vários valores como uma string separada por vírgulas. Valores possíveis: UnSpecified, Informational, Low, Medium e High |
| Categoria | String | N/A | Não | Especifique a categoria de alerta que você quer procurar. Se não for fornecido, as ações vão procurar todas as categorias. O parâmetro aceita vários valores como uma string separada por vírgulas. Valores possíveis: "Collection", "CommandAndControl", "CredentialAccess", "DefenseEvasion", "Discovery", "Execution", "Exfiltration", "Exploit", "InitialAccess", "LateralMovement", "Malware", "Persistence", "PrivilegeEscalation", "Ransomware", "SuspiciousActivity", "UnwantedSoftware". |
| Código do incidente | Número inteiro | N/A | Não | Especifique o ID do incidente do Microsoft Defender para o qual você quer encontrar alertas relacionados. |
Casos de uso
A ação pode ser usada para analisar os avisos do Defender ATP no servidor do Google SecOps para um usuário final. Por exemplo, ao lidar com o aviso do conector do Defender ATP, o usuário configura a ação "List Warnings" (Listar avisos) para aceitar o IncidentId do alerta processado como o parâmetro de entrada para extrair detalhes do servidor do Defender ATP. Há outros avisos que fazem parte de um único incidente do Defender ATP.
Data de execução
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Alerts",
"value": [
{
"id": "example_id",
"incidentId": 2,
"investigationId": null,
"assignedTo": null,
"severity": "Medium",
"status": "New",
"classification": null,
"determination": null,
"investigationState": "UnsupportedAlertType",
"detectionSource": "WindowsDefenderAtp",
"category": "Execution",
"threatFamilyName": null,
"title": "Unexpected behavior observed by a process run with no command line arguments",
"description": "The legitimate process by this name does not normally exhibit this behavior when run with no command line arguments. \nSuch unexpected behavior may be a result of extraneous code injected into a legitimate process, or a malicious executable masquerading as the legitimate one by name.",
"alertCreationTime": "2019-11-19T03:56:35.3007009Z",
"firstEventTime": "2019-11-19T03:54:16.0441057Z",
"lastEventTime": "2019-11-19T03:54:16.0441057Z",
"lastUpdateTime": "2019-11-19T03:56:38.45Z",
"resolvedTime": null,
"machineId": "machine-id",
"alertUser": null,
"comments": [],
"alertFiles": [],
"alertDomains": [],
"alertIps": [],
"alertProcesses": []
}
]
}
Atualizar alerta
Atualiza um alerta específico do Microsoft Defender para Ponto de Extremidade. A ação pode ser usada para fechar um alerta no Microsoft Defender para Ponto de Extremidade.
Parâmetros
| Parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Código de alerta | String | N/A | Sim | Especifique o ID do alerta do Microsoft Defender para Ponto de Extremidade a ser atualizado. |
| Status | DDL | Novo Valores possíveis:
|
Não | Especifique o status do alerta a ser atualizado. |
| Atribuído a | String | N/A | Não | Especifique as informações do usuário se quiser atualizar esse campo. |
| Classificação | DDL | Desconhecido Valores possíveis:
|
Não | Especifique a classificação para atualizar o alerta. |
| Determinação | DDL | NotAvailable Valores possíveis:
|
Não | Especifique a determinação para atualizar o alerta. |
Casos de uso
Use a ação para atualizar um aviso do Defender ATP.
Use a ação para intervir em um fluxo de trabalho que envolva a análise de um aviso do Defender ATP.
Depois que o alerta for processado no Google SecOps, você poderá ignorar o alerta do Defender ATP para manter as listas de alertas do Defender ATP e do Google SecOps alinhadas. Além disso, é possível mudar o alerta para mostrar o progresso da análise (por exemplo, defina o atributo
assignedToou o status do alerta comoinProgress).
Data de execução
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Alerts/$entity",
"id": "example-id",
"incidentId": 1,
"investigationId": null,
"assignedTo": null,
"severity": "Informational",
"status": "Resolved",
"classification": null,
"determination": null,
"investigationState": "UnsupportedAlertType",
"detectionSource": "WindowsDefenderAtp",
"category": "Execution",
"threatFamilyName": null,
"title": "[Test Alert] Suspicious Powershell commandline",
"description": "*** This is a test alert ***\nA suspicious Powershell commandline was found on the machine. This commandline might be used during installation, exploration, or in some cases with lateral movement activities which are used by attackers to invoke modules, download external payloads, and get more information about the system. Attackers usually use Powershell to bypass security protection mechanisms by executing their payload in memory without touching the disk and leaving any trace.",
"alertCreationTime": "2019-11-18T11:17:48.287421Z",
"firstEventTime": "2019-11-18T11:15:06.5226815Z",
"lastEventTime": "2019-11-18T11:15:06.5226815Z",
"lastUpdateTime": "2019-11-20T04:12:03.6066667Z",
"resolvedTime": "2019-11-20T04:12:03.4976288Z",
"machineId": "machine-id",
"alertUser": {
"accountName": "Administrator",
"domainName": "example-domain"
},
"comments": [],
"alertFiles": [
{
"sha1": "3ce71813199abae99348f61f0caa34e2574f831c",
"sha256": "9a7c58bd98d70631aa1473f7b57b426db367d72429a5455b433a05ee251f3236",
"filePath": "C:\\Windows\\System32\\cmd.exe",
"fileName": "cmd.exe"
},
{
"sha1": "1b3b40fbc889fd4c645cc12c85d0805ac36ba254",
"sha256": "d3f8fade829d2b7bd596c4504a6dae5c034e789b6a3defbe013bda7d14466677",
"filePath": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
"fileName": "powershell.exe"
}
],
"alertDomains": [],
"alertIps": [],
"alertProcesses": []
}
Listar máquinas
Recebe informações sobre máquinas registradas no servidor do Microsoft Defender para Endpoint com base nos parâmetros fornecidos para a pesquisa.
Parâmetros
| Parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Período da última visualização | Número inteiro | N/A | Não | Especifique o período da última visualização a ser pesquisado em horas. |
| Nome da máquina | String | N/A | Não | Especifique o nome completo da máquina que você quer procurar. |
| Endereço IP da máquina | String | N/A | Não | Especifique o endereço IP da máquina que você quer procurar. |
| Pontuação de risco da máquina | String | Nenhum, baixo, médio, alto | Não | Especifique a pontuação de risco da máquina que você quer procurar. O parâmetro aceita vários valores como uma string separada por vírgulas. |
| Status de integridade da máquina | String | Active, Inactive, ImpairedCommunication, NoSensorData, NoSensorDataImpairedCommunication | Não | Especifique o status de integridade da máquina que você quer procurar. O parâmetro aceita vários valores como uma string separada por vírgulas. |
| Plataforma do SO da máquina | String | N/A | Não | Especifique a plataforma do SO da máquina que você quer procurar. |
| ID do grupo RBAC | String | N/A | Não | Especifique o ID do grupo de RBAC que você quer procurar. |
Casos de uso
A ação pode ser usada para fins de investigação e obter informações sobre dispositivos registrados no servidor do Defender ATP. Essa ação é usada principalmente como uma ação manual para que o usuário não precise voltar ao console do Defender ATP e procurar em quais máquinas o agente do Defender ATP está funcionando.
Data de execução
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Machines",
"value": [
{
"id": "example-id",
"computerDnsName": "example-name",
"firstSeen": "2019-11-18T11:13:04.0588699Z",
"lastSeen": "2019-11-20T09:59:28.0646303Z",
"osPlatform": "Windows10",
"osVersion": null,
"osProcessor": "x64",
"version": "1803",
"lastIpAddress": "192.0.2.138",
"lastExternalIpAddress": "203.0.113.35",
"agentVersion": "10.4860.17134.982",
"osBuild": 17134,
"healthStatus": "Active",
"rbacGroupId": 0,
"rbacGroupName": null,
"riskScore": "High",
"exposureLevel": "Medium",
"aadDeviceId": null,
"machineTags": []
},{
"id": "example-id",
"computerDnsName": "example-name",
"firstSeen": "2019-11-20T08:36:16.2721384Z",
"lastSeen": "2019-11-20T08:36:52.7182837Z",
"osPlatform": "Windows10",
"osVersion": null,
"osProcessor": "x64",
"version": "1803",
"lastIpAddress": "192.0.2.141",
"lastExternalIpAddress": "203.0.113.35",
"agentVersion": "10.4850.17134.191",
"osBuild": 17134,
"healthStatus": "Active",
"rbacGroupId": 0,
"rbacGroupName": null,
"riskScore": "None",
"exposureLevel": "Medium",
"aadDeviceId": null,
"machineTags": []
}
]
}
Receber registros da máquina dos usuários
Receba informações sobre o login de um usuário em uma máquina específica.
Parâmetros
N/A
Casos de uso
A ação pode ser usada para fins de investigação e obter detalhes específicos sobre o que os usuários fazem login em uma máquina em questão no servidor do Defender ATP.
Data de execução
Essa ação é executada nas seguintes entidades:
- Host
- Endereço IP
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Users",
"value": [
{
"id": "example\\example.user",
"accountName": "example.user",
"accountDomain": "example",
"accountSid": null,
"firstSeen": "2019-11-19T03:50:36Z",
"lastSeen": "2019-11-19T03:50:36Z",
"mostPrevalentMachineId": null,
"leastPrevalentMachineId": null,
"logonTypes": "Interactive",
"logOnMachinesCount": 1,
"isDomainAdmin": false,
"isOnlyNetworkUser": null
}
]
}
Receber alertas relacionados à máquina
Receba alertas relacionados a uma máquina específica registrada no Defender ATP.
Parâmetros
| Parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Status | String | Unknown, New, InProgress, Resolved | Não | Especifique os status dos alertas que você quer procurar. O parâmetro aceita vários valores como uma string separada por vírgulas. |
| Gravidade | String | UnSpecified, Informational, Low, Medium, High | Não | Especifique as gravidades dos incidentes que você quer procurar. O parâmetro aceita vários valores como uma string separada por vírgulas. |
| Categoria | String | N/A | Não | Especifique a categoria de alerta que você quer procurar. Se não for fornecida, a ação vai procurar todas as categorias. O parâmetro aceita vários valores como uma string separada por vírgulas. Valores possíveis: "Collection", "CommandAndControl", "CredentialAccess", "DefenseEvasion", "Discovery", "Execution", "Exfiltration", "Exploit", "InitialAccess", "LateralMovement", "Malware", "Persistence", "PrivilegeEscalation", "Ransomware", "SuspiciousActivity", "UnwantedSoftware". |
| Código do incidente | Número inteiro | N/A | Não | Especifique o ID do incidente do Microsoft Defender para o qual você quer encontrar alertas relacionados. |
Casos de uso
A ação pode ser usada para fins de investigação e receber alertas relacionados a uma máquina específica do servidor do Defender ATP.
Data de execução
Essa ação é executada nas seguintes entidades:
- Host
- Endereço IP
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Alerts",
"value": [
{
"id": "example-id",
"incidentId": 1,
"investigationId": null,
"assignedTo": "testuser@example.com",
"severity": "Informational",
"status": "Resolved",
"classification": "FalsePositive",
"determination": "SecurityTesting",
"investigationState": "UnsupportedAlertType",
"detectionSource": "WindowsDefenderAtp",
"category": "Execution",
"threatFamilyName": null,
"title": "[Test Alert] Suspicious Powershell commandline",
"description": "*** This is a test alert ***\nA suspicious Powershell commandline was found on the machine. This commandline might be used during installation, exploration, or in some cases with lateral movement activities which are used by attackers to invoke modules, download external payloads, and get more information about the system. Attackers usually use Powershell to bypass security protection mechanisms by executing their payload in memory without touching the disk and leaving any trace.",
"alertCreationTime": "2019-11-18T11:17:48.287421Z",
"firstEventTime": "2019-11-18T11:15:06.5226815Z",
"lastEventTime": "2019-11-18T11:15:06.5226815Z",
"lastUpdateTime": "2019-11-20T04:12:03.91Z",
"resolvedTime": "2019-11-20T04:12:03.4976288Z",
"machineId": "machine-id",
"alertUser": {
"accountName": "Administrator",
"domainName": "US-LT-V13007"
},
"comments": [],
"alertFiles": [
{
"sha1": "3ce71813199abae99348f61f0caa34e2574f831c",
"sha256": "9a7c58bd98d70631aa1473f7b57b426db367d72429a5455b433a05ee251f3236",
"filePath": "C:\\Windows\\System32\\cmd.exe",
"fileName": "cmd.exe"
},
{
"sha1": "1b3b40fbc889fd4c645cc12c85d0805ac36ba254",
"sha256": "d3f8fade829d2b7bd596c4504a6dae5c034e789b6a3defbe013bda7d14466677",
"filePath": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
"fileName": "powershell.exe"
}
],
"alertDomains": [],
"alertIps": [],
"alertProcesses": []
}
]
}
Isolar máquina
Isole uma máquina usando o Microsoft Defender para Ponto de Extremidade. A máquina pode ser definida com isolamento total ou seletivo. Os aplicativos Outlook, Skype for Business e Teams continuam funcionando em uma máquina isolada.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Tipo de isolamento | DDL | Completa Valores possíveis:
|
Sim | Especifique o tipo de isolamento. |
| Comentário | String | N/A | Sim | Especifique um comentário sobre por que a máquina precisa ser isolada. |
| Criar um insight? | Caixa de seleção | Selecionado | Se ativada, a ação cria um insight do Google SecOps com informações relacionadas se for executada com sucesso. |
Casos de uso
Isole uma máquina considerada infectada. Por exemplo, o alerta do conector do Defender ATP foi ingerido no servidor do Google SecOps e, durante uma análise de alerta, foi descoberto que a máquina relacionada ao alerta (entidade de caso) pode estar infectada e precisa ser isolada.
Data de execução
Essa ação é executada nas seguintes ações:
- Host
- Endereço IP
Resultados da ação
Resultado do script
True se o endpoint da API retornado para todas as entidades fornecidas em que ele foi executado, status 201, na resposta JSON "status": "Pending", o que indica que a solicitação da API foi executada com sucesso. Se a ação falhar para pelo menos uma das entidades, o resultado final será "falha" (False).
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#MachineActions/$entity",
"id": "example-id",
"type": "Isolate",
"requestor": "requestor-id",
"requestorComment": "Machine Isolation due to alert ...",
"status": "Pending",
"machineId": "machine-id",
"creationDateTimeUtc": "2019-11-21T03:55:59.5419077Z",
"lastUpdateDateTimeUtc": "2019-11-21T03:55:59.5419077Z",
"cancellationRequestor": null,
"cancellationComment": null,
"cancellationDateTimeUtc": null,
"errorHResult": 0,
"scope": null,
"relatedFileInfo": null
}
Insights
- Lógica do insight:se a máquina foi isolada usando o agente do Defender ATP, crie um insight para indicar isso.
- Tipo:entidade.
- Entidade Title (String).
- IdentifierMessage: "O host foi isolado usando o Microsoft Defender para Ponto de Extremidade".
Unisolate Machine
Remova o isolamento de uma máquina que foi isolada anteriormente usando o Microsoft Defender para Endpoint.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Comentário | String | N/A | Sim | Especifique um comentário sobre por que a máquina precisa ser isolada. |
| Criar um insight? | Caixa de seleção | Selecionado | Se ativada, a ação cria um insight do Google SecOps com informações relacionadas se for executada com sucesso. |
Casos de uso
A ação pode ser usada em situações em que a máquina já estava isolada, mas com os novos dados coletados durante o processamento do playbook (por exemplo, a primeira máquina foi isolada, depois criamos um indicador de ameaça para um arquivo suspeito e executamos a ação "Parar e colocar em quarentena" para remover esse arquivo da máquina afetada), podemos considerar seguro remover a máquina afetada do isolamento.
Data de execução
Essa ação é executada nas seguintes entidades:
- Host
- Endereço IP
Resultados da ação
Resultado do script
True se o endpoint da API retornado para todas as entidades fornecidas em que ele foi executado, status 201, na resposta JSON "status": "Pending", o que indica que a solicitação da API foi executada com sucesso. Se a ação falhar para pelo menos uma das entidades, o resultado final será "falha" (False).
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#MachineActions/$entity",
"id": "example-id",
"type": "Unisolate",
"requestor": "requestor-id",
"requestorComment": "Unisolate machine due to the following remediation measures taken...",
"status": "Pending",
"machineId": "machine-id",
"creationDateTimeUtc": "2019-11-21T03:59:34.7389352Z",
"lastUpdateDateTimeUtc": "2019-11-21T03:59:34.7389352Z",
"cancellationRequestor": null,
"cancellationComment": null,
"cancellationDateTimeUtc": null,
"errorHResult": 0,
"scope": null,
"relatedFileInfo": null
}
Insights
- Tipo:entidade
- Entidade Title.
- IdentifierMessage:o isolamento do Microsoft Defender para Ponto de Extremidade foi removido.
Executar verificação de antivírus
Inicie uma verificação antivírus em um host usando o Microsoft Defender para Ponto de Extremidade. Dois tipos de verificações do Defender ATP estão disponíveis: completa ou rápida.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Tipo de verificação antivírus | DDL | Completa Valores possíveis:
|
Sim | Especifique se você quer iniciar uma verificação antivírus completa ou rápida na máquina. |
| Comentário | String | N/A | Sim | Especifique um comentário sobre por que uma verificação de antivírus precisa ser executada na máquina. |
Casos de uso
Um alerta veio do conector do Defender ATP. Durante o processamento do alerta, foram encontrados indicadores de comprometimento de malware na máquina relacionada à entidade do caso do Google SecOps. Por isso, o usuário decidiu executar uma verificação de antivírus na máquina para tentar encontrar malware no host.
Data de execução
Essa ação é executada nas seguintes entidades:
- Host
- Endereço IP
Resultados da ação
Resultado do script
True se o endpoint da API retornado para todas as entidades fornecidas em que ele foi executado, status 201, na resposta JSON "status": "Pending", o que indica que a solicitação da API foi executada com sucesso. Se a ação falhar para pelo menos uma das entidades, o resultado final será "falha" (False).
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#MachineActions/$entity",
"id": "example-id",
"type": "RunAntiVirusScan",
"requestor": "requestor_id",
"requestorComment": "Run antivirus scan on suspect",
"status": "Pending",
"machineId": "machine-id",
"creationDateTimeUtc": "2019-11-21T11:07:06.611628Z",
"lastUpdateDateTimeUtc": "2019-11-21T11:07:06.611628Z",
"cancellationRequestor": null,
"cancellationComment": null,
"cancellationDateTimeUtc": null,
"errorHResult": 0,
"scope": null,
"relatedFileInfo": null
}
Interromper e colocar em quarentena um arquivo em uma máquina específica
Interrompa a execução de um arquivo em uma máquina específica e coloque-o em quarentena usando o agente do Microsoft Defender ATP. A ação funciona com entidades de host ou IP do Google SecOps.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Hash de arquivo SHA1 para quarentena | String | N/A | Sim | Especifique o hash SHA-1 do arquivo a ser interrompido e colocado em quarentena. Observação:o hash SHA-1 precisa estar em letras minúsculas para que a ação encontre o arquivo correspondente. |
| Comentário | String | N/A | Sim | Especifique um comentário sobre por que uma verificação de antivírus precisa ser executada na máquina. |
| Criar um insight? | Caixa de seleção | Selecionado | Se ativada, a ação vai criar um insight do Google SecOps com informações relacionadas se for executada com sucesso. |
Casos de uso
Durante o processamento do alerta do conector do Defender ATP, a ação "Parar e colocar em quarentena o arquivo" pode ser usada para impedir a execução do arquivo específico e evitar a invasão da máquina. A necessidade dessa ação pode surgir da pesquisa avançada, e o usuário pode descobrir alguns arquivos potencialmente maliciosos que ele quer bloquear em uma única máquina.
Data de execução
Essa ação é executada nas seguintes entidades:
- Host
- Endereço IP
Resultados da ação
Resultado do script
Pode ser verdadeiro ou falso. "True" se o endpoint da API retornado para cada entidade fornecida em que foi executado, status 201, na resposta JSON "status": "Pending", o que indica que a solicitação da API foi executada com sucesso. Se a ação falhar para pelo menos uma das entidades, o resultado final será "falha" (False).
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#MachineActions/$entity",
"id": "example-id",
"type": "StopAndQuarantineFile",
"requestor": "requestor-id",
"requestorComment": "Stopping and quarantining putty",
"status": "Pending",
"machineId": "machine-id",
"creationDateTimeUtc": "2019-11-25T10:05:21.3641296Z",
"lastUpdateDateTimeUtc": "2019-11-25T10:05:21.3641296Z",
"cancellationRequestor": null,
"cancellationComment": null,
"cancellationDateTimeUtc": null,
"errorHResult": 0,
"scope": null,
"relatedFileInfo": {
"fileIdentifier": "d932604ab8e9debe475415851fd26929a0c0dcd1",
"fileIdentifierType": "Sha1"
}
}
Insights
- Tipo:entidade.
- Entidade Title (String).
- IdentifierMessage (String): "O arquivo com o hash de arquivo SHA-1 {0} foi interrompido e colocado em quarentena em {1}". format (filehash,entity.Identifier).
Receber alertas relacionados a arquivos
Receba alertas relacionados a um arquivo do Microsoft Defender para Ponto de Extremidade com base no hash do arquivo.
Parâmetros
| Valor de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Status | String | Unknown, New, InProgress, Resolved | Não | Especifique os status dos alertas que você quer procurar. O parâmetro aceita vários valores como uma string separada por vírgulas. |
| Gravidade | String | UnSpecified, Informational, Low, Medium, High | NÃO | Especifique as gravidades dos incidentes que você quer procurar. O parâmetro aceita vários valores como uma string separada por vírgulas. |
| Categoria | String | N/A | Não | Especifique a categoria de alerta que você quer procurar. Se não for fornecida, a ação vai procurar todas as categorias. O parâmetro aceita vários valores como uma string separada por vírgulas. Valores possíveis: "Collection", "CommandAndControl", "CredentialAccess", "DefenseEvasion", "Discovery", "Execution", "Exfiltration", "Exploit", "InitialAccess", "LateralMovement", "Malware", "Persistence", "PrivilegeEscalation", "Ransomware", "SuspiciousActivity", "UnwantedSoftware". |
| Código do incidente | Número inteiro | N/A | Não | Especifique o ID do incidente do Microsoft Defender para o qual você quer encontrar alertas relacionados. |
Casos de uso
Ao investigar um alerta do conector do Defender ATP, essa ação pode ser usada para coletar informações sobre se o arquivo está associado a alertas e descobrir se ele é malicioso ou não.
Executar em
Essa ação é executada na entidade "Filehash".
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Alerts",
"value": [
{
"id": "example_id",
"incidentId": 2,
"investigationId": 1,
"assignedTo": null,
"severity": "Medium",
"status": "New",
"classification": null,
"determination": null,
"investigationState": "TerminatedBySystem",
"detectionSource": "WindowsDefenderAtp",
"category": "DefenseEvasion",
"threatFamilyName": null,
"title": "Suspicious process injection observed",
"description": "A process abnormally injected code into another process, As a result, unexpected code may be running in the target process memory. Injection is often used to hide malicious code execution within a trusted process. \nAs a result, the target process may exhibit abnormal behaviors such as opening a listening port or connecting to a command and control server.",
"alertCreationTime": "2019-11-19T03:56:37.7335862Z",
"firstEventTime": "2019-11-19T03:54:15.7698362Z",
"lastEventTime": "2019-11-19T03:54:15.7698362Z",
"lastUpdateTime": "2019-11-20T10:13:31.7266667Z",
"resolvedTime": null,
"machineId": "machine-id",
"alertUser": {
"accountName": "example.user",
"domainName": "EXAMPLELAB"
},
"comments": [],
"alertFiles": [
{
"sha1": "1b3b40fbc889fd4c645cc12c85d0805ac36ba254",
"sha256": "d3f8fade829d2b7bd596c4504a6dae5c034e789b6a3defbe013bda7d14466677",
"filePath": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
"fileName": "powershell.exe"
},{
"sha1": "bdd0d38e113a0c7dd6213cf2e89e6cc6d66b5cdb",
"sha256": "328954033456d5c13e58fb5bcc6c0232f9f62cb6d9185afa51c7913338992491",
"filePath": "C:\\Windows\\System32\\notepad.exe",
"fileName": "notepad.exe"
}
],
"alertDomains": [],
"alertIps": [],
"alertProcesses": []
}
]
}
Get File Related Machines
Recebe máquinas relacionadas a um arquivo do Microsoft Defender para Ponto de Extremidade com base no hash do arquivo.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da máquina | String | N/A | Não | Especifique o nome completo da máquina que você quer procurar. |
| Endereço IP da máquina | String | N/A | Não | Especifique o endereço IP da máquina que você quer procurar. |
| Pontuação de risco da máquina | String | N/A | Não | Especifique a pontuação de risco da máquina que você quer procurar. O parâmetro aceita vários valores como uma string separada por vírgulas. |
| Status de integridade da máquina | String | Active, Inactive, ImpairedCommunication, NoSensorData, NoSensorDataImpairedCommunication | Não | Especifique o status de integridade da máquina que você quer procurar. O parâmetro aceita vários valores como uma string separada por vírgulas. |
| Plataforma do SO da máquina | String | N/A | Não | Especifique a plataforma do SO da máquina que você quer procurar. |
| ID do grupo RBAC | String | N/A | Não | Especifique o ID do grupo de RBAC que você quer procurar. |
Casos de uso
Ao investigar um alerta do conector do Defender ATP, essa ação pode ser usada para coletar informações sobre em quais máquinas o arquivo foi registrado no Defender ATP.
Data de execução
Essa ação é executada na entidade "Filehash".
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Machines",
"value": [
{
"id": "example_id",
"computerDnsName": "example-name",
"firstSeen": "2019-11-18T11:13:04.0588699Z",
"lastSeen": "2019-11-20T19:35:36.4619266Z",
"osPlatform": "Windows10",
"osVersion": null,
"osProcessor": "x64",
"version": "1803",
"lastIpAddress": "192.0.2.1",
"lastExternalIpAddress": "203.0.113.121",
"agentVersion": "10.4860.17134.982",
"osBuild": 17134,
"healthStatus": "Active",
"rbacGroupId": 0,
"rbacGroupName": null,
"riskScore": "High",
"exposureLevel": "Medium",
"aadDeviceId": null,
"machineTags": []
}
]
}
Executar uma consulta de busca avançada
Execute a consulta de busca avançada do Microsoft Defender para Ponto de Extremidade. Aspas, novas linhas ou outros símbolos especiais precisam ser escapados. Por exemplo, use a barra invertida para escapar aspas.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
| Consulta | String | N/A | Sim | Consulta de busca avançada a ser executada. |
Casos de uso
O usuário pode ter consultas de busca que quer usar para consultar dados coletados no Defender ATP durante o processamento de um alerta específico do Defender. Com essa ação, o usuário pode executar essas consultas de busca avançada.
Data de execução
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"Stats": {
"ExecutionTime": 0.0156652,
"resource_usage": {
"cache": {
"memory": {
"hits": 13,
"misses": 0,
"total": 13
},
"disk": {
"hits": 0,
"misses": 0,
"total": 0
}
},
"cpu": {
"user": "00:00:00.0156250",
"kernel": "00:00:00",
"total cpu": "00:00:00.0156250"
},
"memory": {
"peak_per_node": 33554624
}
},
"dataset_statistics": [
{
"table_row_count": 2,
"table_size": 60
}
]
},
"Schema": [
{
"Name": "EventTime",
"Type": "DateTime"
},
{
"Name": "FileName",
"Type": "String"
},
{
"Name": "InitiatingProcessFileName",
"Type": "String"
}
],
"Results": [
{
"EventTime": "2019-11-18T11:13:07.043128Z",
"FileName": "csc.exe",
"InitiatingProcessFileName": "powershell.exe"
},
{
"EventTime": "2019-11-19T03:54:14.4256361Z",
"FileName": "csc.exe",
"InitiatingProcessFileName": "powershell.exe"
}
]
}
Aguardar o status da tarefa
Aguarde o status de uma tarefa.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| IDs de tarefas | String | N/A | Sim | A lista de IDs de tarefas aparece como uma string separada por vírgulas. |
Data de execução
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
{
"status": "Succeeded",
"creation_date_time_utc": "2020-02-08T03:24:52.8526634Z",
"cancellation_requestor": null,
"cancellation_date_time_utc": null,
"id": "2e39d22e-60a7-4267-899c-a1471e800000",
"last_update_date_time_utc": "2020-02-08T03:25:35.8345081Z",
"related_file_info": null,
"cancellation_comment": null,
"requestor": "e4fc6454-754d-47f7-bbdb-045fad600000",
"error_h_result": 0,
"scope": "Selective",
"machine_id": "fbc85cf3fbcc8bb14d1a84fcf7bbae4531f00000",
"type": "Isolate",
"requestor_comment": "test"
}
]
Receber o status da tarefa atual
Recebe o status atual de uma tarefa.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| IDs de tarefas | String | N/A | Sim | A lista de IDs de tarefas aparece como uma string separada por vírgulas. |
Data de execução
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
{
"status": "Succeeded",
"creation_date_time_utc": "2020-02-08T03:24:52.8526634Z",
"cancellation_requestor": null,
"cancellation_date_time_utc": null,
"id": "2e39d22e-60a7-4267-899c-a1471e800000",
"last_update_date_time_utc": "2020-02-08T03:25:35.8345081Z",
"related_file_info": null,
"cancellation_comment": null,
"requestor": "e4fc6454-754d-47f7-bbdb-045fad600000",
"error_h_result": 0,
"scope": "Selective",
"machine_id": "fbc85cf3fbcc8bb14d1a84fcf7bbae4531f00000",
"type": "Isolate",
"requestor_comment": "test"
}
]
Enviar indicadores de entidade
Enviar entidades como indicadores no Microsoft Defender para Ponto de Extremidade.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Ação | DDL | Bloquear Valores possíveis:
|
Sim | Especifique a ação que precisa ser aplicada às entidades. Observação:o valor "Bloquear e corrigir" é compatível apenas com as entidades filehash. |
| Gravidade | DDL | Alta Valores possíveis:
|
Sim | Especifique a gravidade das entidades encontradas. |
| Aplicativo | String | N/A | Não | Especifique um aplicativo relacionado às entidades. |
| Título do alerta do indicador | String | N/A | Sim | Especifique o título do alerta, se ele for identificado no ambiente. |
| Descrição | String | Remediação do Google SecOps | Sim | Especifique a descrição das entidades. |
| Ação recomendada | String | N/A | Não | Especifique as ações recomendadas para o processamento das entidades. |
Data de execução
Essa ação é executada nas seguintes entidades:
- Endereço IP
- URL
- Filehash
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se os dados estiverem disponíveis para uma entidade (is_success = true): "As seguintes entidades foram enviadas como indicadores ao Microsoft Defender para Endpoint: {entity.identifier}". Se os dados não estiverem disponíveis para uma entidade (is_success=true): "A ação não conseguiu enviar as seguintes entidades como indicadores para o Microsoft Defender para Endpoint: {entity.identifier}". Se o código de status 403 for informado para uma entidade: "A instância não tem permissões suficientes para enviar as seguintes entidades: {entity.identifier} Se os dados não estiverem disponíveis para todas as entidades (is_success=false): "Nenhuma das entidades fornecidas foi enviada como indicadores ao Microsoft Defender para Endpoint." Se uma entidade já for um indicador: "As seguintes entidades já são indicadores no Microsoft Defender para Endpoint: {entity.identifier}" A ação precisa falhar e interromper a execução de um playbook: Se for um erro fatal, como credenciais incorretas, sem conexão com o servidor, outro: "Erro ao executar a ação "Enviar indicadores de entidade". Motivo: {0}''.format(error.Stacktrace) Se o código de status 403 for informado para todas as entidades: "Erro ao executar a ação "Enviar indicadores de entidade". Motivo: nenhum dos indicadores foi criado devido a permissões de instância. Verifique a configuração. |
Geral |
Excluir indicadores de entidade
Exclua indicadores de entidade no Microsoft Defender para Ponto de Extremidade.
Parâmetros
N/A
Data de execução
Essa ação é executada nas seguintes entidades:
- Endereço IP
- URL
- Filehash
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se o código de status 204 for informado (is_success=true): "As seguintes entidades foram excluídas como indicadores no Microsoft Defender para Endpoint: {entity.identifier}. Se o incidente não for encontrado (is_success=true): "As seguintes entidades não existem como indicadores no Microsoft Defender para Endpoint: {entity.identifier}. A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro problema, for informado: "Erro ao executar a ação "Excluir indicadores de entidade". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Listar indicadores
Listar indicadores no Microsoft Defender para Ponto de Extremidade.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Indicadores | CSV | N/A | Não | Especifique uma lista separada por vírgulas de indicadores que você quer recuperar. |
| Tipos de indicadores | CSV | FileSha1,FileSha256,FileMd5,CertificateThumbprint,IpAddress,DomainName, Url | Não | Especifique uma lista separada por vírgulas de tipos de indicadores que você quer recuperar. Valores possíveis: FileSha1, FileSha256, FileMd5, CertificateThumbprint, IpAddress,DomainName, Url. |
| Ações | CSV | Warn,Block,Audit,Alert,AlertAndBlock,BlockAndRemediate,Allowed | Não | Especifique uma lista separada por vírgulas de ações de indicadores que você quer usar para filtragem. Valores possíveis: Warn,Block,Audit,Alert, AlertAndBlock,BlockAndRemediate,Allowed |
| Gravidade | CSV | Informativo,baixo,médio,alto | Não | Especifique uma lista separada por vírgulas de gravidades que você quer usar para filtrar. Valores possíveis: Informational,Low,Medium,High |
| Número máximo de resultados a serem retornados | Número inteiro | 50 | Não | Especifique o número de indicadores a serem retornados. |
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"id": "18",
"indicatorValue": "110e7d15b011d7fac48f2bd61114db1022197f7a",
"indicatorType": "FileSha1",
"action": "Audit",
"createdBy": "45e9773c-100e-4a9f-ad37-d8e182e9ed26",
"severity": "Informational",
"category": 1,
"application": "demo-test",
"educateUrl": null,
"bypassDurationHours": null,
"title": "test",
"description": "test",
"recommendedActions": "nothing",
"creationTimeDateTimeUtc": "2022-02-08T14:20:34.9071582Z",
"expirationTime": null,
"lastUpdateTime": "2022-02-08T14:20:34.9151307Z",
"lastUpdatedBy": null,
"rbacGroupNames": [],
"rbacGroupIds": [],
"notificationId": null,
"notificationBody": null,
"version": null,
"mitreTechniques": [],
"historicalDetection": false,
"lookBackPeriod": null,
"generateAlert": true,
"additionalInfo": null,
"createdByDisplayName": "Example Defender ATP",
"externalId": null,
"createdBySource": "PublicApi",
"certificateInfo": null
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se os dados estiverem disponíveis (is_success=true): "Indicadores encontrados com sucesso para os critérios fornecidos no Microsoft Defender para Endpoint". Se os dados não estiverem disponíveis (is_success=false): "Nenhum indicador foi encontrado para os critérios fornecidos no Microsoft Defender para Endpoint". A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, nenhuma conexão com o servidor, outro for informado: "Erro ao executar a ação "List Indicators". Motivo: {0}''.format(error.Stacktrace) Se um parâmetro "Tipos de indicadores" inválido for fornecido: "Erro ao executar a ação "Listar indicadores". Motivo: valor inválido para o parâmetro "Tipos de indicadores". Valores possíveis: FileSha1, FileSha256, FileMd5, CertificateThumbprint, IpAddress, DomainName, Url. Se um parâmetro "Actions" inválido for fornecido: "Erro ao executar a ação "List Indicators". Motivo: valor inválido para o parâmetro "Actions". Valores possíveis: Warn, Block, Audit, Alert, AlertAndBlock, BlockAndRemediate, Allowed. Se um parâmetro "Gravidade" inválido for fornecido: "Erro ao executar a ação "ListIndicators". Motivo: valor inválido para o parâmetro "Actions". Valores possíveis: Informações, Baixa, Média, Alta. |
Geral |
| Tabela do painel de casos | Indicadores encontrados Tipo: indicatorType Ação: action Gravidade: gravidade Descrição: descrição Título: título Recomendação: recommendedActions |
Entidade |
Conectores
Para instruções detalhadas sobre como configurar um conector no Google SecOps, consulte Configurar o conector.
Para configurar o conector selecionado, use os parâmetros específicos dele listados nas tabelas a seguir:
- Parâmetros de configuração do conector do Microsoft Defender ATP
- Parâmetros de configuração do conector do Microsoft Defender ATP v2
Conector do Microsoft Defender ATP
A API SIEM do Defender ATP usada no conector do Microsoft Defender ATP para eventos foi descontinuada em 1º de março de 2022.
O conector se conecta periodicamente ao endpoint de API do Defender ATP e extrai
uma lista de alertas gerados para um período específico. Para os alertas processados, o conector em uma solicitação separada extrai as informações sobre as detecções do Defender ATP. As detecções têm um campo AlertId que pode ser usado para associar as detecções a alertas específicos.
Parâmetros do conector
Use os seguintes parâmetros para configurar o conector:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | ProductName | Sim | Descreve o nome do campo em que o nome do produto está armazenado. |
| Nome do campo do evento | String | AlertName | Sim | Descreve o nome do campo em que o nome do evento é armazenado. |
| Nome do campo de ambiente | String | "" | Não | Descreve o nome do campo em que o nome do ambiente é armazenado. Se o campo de ambiente não for encontrado, o ambiente será "". |
| Padrão de regex do ambiente | String | .* | Não | Um padrão de expressão regular a ser executado no valor encontrado no campo O padrão é ".*" para capturar tudo e retornar o valor sem alterações. Usado para permitir que o usuário manipule o campo de ambiente usando a lógica de expressão regular. Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final do ambiente será "". |
| Raiz da API | String | https://api.securitycenter.windows.com | Sim | URL raiz da API a ser usado com a integração. Para melhorar o desempenho, use um servidor mais próximo da sua localização:
|
| ID do Azure Active Directory | String | N/A | Sim | O ID do locatário do Microsoft Entra pode ser encontrado em Active Directory > Registro de app > Seu aplicativo > ID do diretório (locatário). |
| ID do cliente de integração | String | N/A | Sim | ID do cliente (aplicativo) adicionado para registro do app no Microsoft Entra para a integração. |
| Chave secreta do cliente de integração | Senha | N/A | Sim | Chave secreta inserida para o registro do app do Azure AD na integração. |
| ID do cliente do SIEM | String | N/A | Sim | ID do cliente (aplicativo) para a integração do SIEM ativada no Microsoft Defender para Ponto de Extremidade. |
| Chave secreta do cliente do SIEM | Senha | N/A | Sim | Secret para a integração do SIEM ativada no Microsoft Defender para Ponto de Extremidade. |
| Ajuste de tempo em horas | Número inteiro | 24 | Sim | Buscar alertas das últimas X horas. |
| Máximo de alertas por ciclo | Número inteiro | 100 | Sim | Número de alertas processados durante uma execução do conector. |
| Status de alerta a serem buscados | String | Unknown, New, InProgress, Resolved | Sim | Especifique os status dos alertas do Defender ATP que devem ser buscados pelo servidor do Google SecOps. O parâmetro pode receber vários valores como uma string separada por vírgulas. |
| Gravidades de alerta a serem buscadas | String | UnSpecified, Informational, Low, Medium, High | Sim | Especifique as gravidades dos alertas do Defender ATP que devem ser buscados pelo servidor do Google SecOps. O parâmetro pode receber vários valores como uma string separada por vírgulas. |
| Endereço do servidor proxy | IP_OR_HOST | N/A | Não | Servidor proxy a ser usado para a conexão. |
| Nome de usuário do servidor proxy | String | N/A | Não | Nome de usuário do servidor proxy. |
| Senha do servidor proxy | Senha | N/A | Não | Senha do servidor proxy. |
Regras do conector
O conector não é compatível com regras de lista de bloqueio ou lista dinâmica.
O conector é compatível com proxies.
Conector V2 do Microsoft Defender ATP
Extraia os alertas do Defender ATP usando a API de incidentes do 365 Defender para receber os dados de eventos. Use a lista dinâmica de conectores para ingerir apenas tipos específicos de
alertas com base no valor do atributo detectionSource do alerta.
O atributo conector SourceGroupIdentifier pode ser usado para agrupar alertas
com base no ID do incidente do Defender ATP.
Pré-requisitos
Antes de configurar o conector, conceda permissões adicionais ao aplicativo Microsoft Entra:
Faça login no portal do Azure como administrador de usuários ou de senhas.
Selecione Microsoft Entra ID.
Acesse Permissões da API > Adicionar uma permissão > APIs que minha organização usa.
Selecione Microsoft Threat Protection > Permissões do aplicativo.
Na seção Selecionar permissões, escolha as seguintes permissões obrigatórias:
Incident.Read.AllIncident.ReadWrite.All
Clique em Adicionar permissões
Clique em Conceder consentimento de administrador para
YOUR_ORGANIZATION_NAME.
Parâmetros do conector
Use os seguintes parâmetros para configurar o conector:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | :: | Sim | Descreve o nome do campo em que o nome do produto está armazenado. |
| Nome do campo do evento | String | EventName | Sim | Descreve o nome do campo em que o nome do evento é armazenado. |
| Nome do campo de ambiente | String | "" | Não | Descreve o nome do campo em que o nome do ambiente é armazenado. Se o campo de ambiente não for encontrado, o ambiente será "". |
| Padrão de regex do ambiente | String | .* | Não | Um padrão de expressão regular a ser executado no valor encontrado no campo O padrão é ".*" para capturar tudo e retornar o valor sem alterações. Usado para permitir que o usuário manipule o campo de ambiente usando a lógica de expressão regular. Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final do ambiente será "". |
| Raiz da API do Defender ATP | String | https://api.securitycenter.windows.com | Sim | URL raiz da API a ser usado com a integração Para melhorar o desempenho, use um servidor mais próximo da sua localização:
|
| Raiz da API do 365 Defender | String | https://api.security.microsoft.com | Sim | Raiz da API da instância do Microsoft 365 Defender usada para receber os dados de eventos do Google SecOps. |
| ID do Azure Active Directory | String | N/A | Sim | ID do locatário do Microsoft Entra, que pode ser encontrado em Microsoft Entra > Registro de app > Seu aplicativo > ID do diretório (locatário). |
| ID do cliente de integração | String | N/A | Sim | ID do cliente (aplicativo) adicionado para registro do app no Microsoft Entra para a integração. |
| Chave secreta do cliente de integração | Senha | N/A | Sim | Chave secreta inserida para o registro do app do Azure AD na integração. |
| Verificar SSL | Caixa de seleção | Selecionado | Sim | Se ativada, verifica se o certificado SSL da conexão com o servidor do Microsoft 365 Defender é válido. |
| Ajuste de tempo em horas | Número inteiro | 24 | Sim | Buscar alertas das últimas X horas. |
| Máximo de alertas por ciclo | Número inteiro | 10 | Sim | Número de alertas processados durante uma execução do conector. |
| Status de alerta a serem buscados | String | Unknown, New, InProgress, Resolved | Sim | Especifique os status dos alertas do Defender ATP que precisam ser buscados pelo servidor do Google SecOps. O parâmetro pode receber vários valores como uma string separada por vírgulas. |
| Gravidades de alerta a serem buscadas | String | UnSpecified, Informational, Low, Medium, High | Sim | Especifique as gravidades dos alertas do Defender ATP que devem ser buscados pelo servidor do Google SecOps. O parâmetro pode receber vários valores como uma string separada por vírgulas. |
| Desativar o estouro | Caixa de seleção | Desmarcado | Não | Se ativado, o conector vai ignorar o mecanismo de estouro. |
| Script de tempo limite | Número inteiro | 300 | Sim | Especifique o tempo limite para a execução do conector. |
| Usar a lista de permissões como uma lista de proibições | Caixa de seleção | Desmarcado | Não | Se ativada, a lista dinâmica será usada como uma lista de bloqueio. |
| Endereço do servidor proxy | IP_OR_HOST | N/A | Não | Servidor proxy a ser usado para a conexão. |
| Nome de usuário do servidor proxy | String | N/A | Não | Nome de usuário do servidor proxy. |
| Senha do servidor proxy | Senha | N/A | Não | Senha do servidor proxy. |
Regras do conector
O conector é compatível com uma lógica de lista dinâmica com base no valor do campo de alerta do detectionSource
Defender ATP.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.