此页面由 Cloud Translation API 翻译。

Microsoft Defender ATP

集成版本：23.0

使用场景

在调查特定案例时，使用在 Microsoft Defender for Endpoint 中收集的数据进行丰富。

分析人员可以在调查中使用 Microsoft Defender for Endpoint 中收集和存储的数据，例如获取有关 Microsoft Defender for Endpoint 中检测到的提醒的信息，或列出在 Microsoft Defender for Endpoint 中注册的计算机。
在潜在安全事件中执行主动响应操作，例如将特定主机与网络隔离或运行防病毒扫描。
监控和检查 Microsoft Defender for Endpoint 提醒（作为相应连接器提取的 Google Security Operations 提醒）。

前提条件

在 Google SecOps 平台中配置集成之前，请务必完成以下前提步骤：

创建 Microsoft Entra 应用。
为应用配置 API 权限。
创建客户端密钥。

我们建议您在访问 Microsoft Defender for Endpoint API 时使用应用上下文，而不是用户上下文。

创建 Microsoft Entra 应用

以用户管理员或密码管理员身份登录 Azure 门户。
选择 Microsoft Entra ID。
依次前往应用注册 > 新注册。
输入应用的名称。
点击注册。

注意：本文档以单租户设置为例。集成支持的 OAuth 流程（客户端凭据）不需要重定向网址。
保存应用（客户端）ID 和目录（租户）ID 值，以便稍后在配置集成参数时使用。

配置 API 权限

依次前往 API 权限 > 添加权限 > 我组织使用的 API。系统随即会打开请求 API 权限对话框。
在搜索字段中，输入 WindowsDefenderATP。
依次选择 WindowsDefenderATP > 应用权限。
在提醒权限类型下，选择以下权限：
- Alert.Read.All
点击添加权限。
在 API 权限页面上，点击添加权限。
依次选择 Microsoft Graph > 委托权限。
在选择权限部分中，选择以下必需权限：
- User.Read
点击添加权限。
在 API 权限页面上，点击添加权限。
依次选择 WindowsDefenderATP > 应用权限。
在选择权限部分中，选择以下必需权限：
- AdvancedQuery.Read.All
- Alert.Read.All
- Alert.ReadWrite.All
- Event.Write
- File.Read.All
- Ip.Read.All
- Machine.Isolate
- Machine.Read.All
- Machine.ReadWrite.All
- Machine.Scan
- Machine.StopAndQuarantine
- Ti.ReadWrite
- Url.Read.All
- User.Read.All
点击为ORGANIZATION_NAME授予管理员同意书。

当系统显示授予管理员同意权限确认对话框时，点击是。

以下是用于获取 Defender ATP 提醒的 API 请求示例（请注意用于提取有关 IP 地址、网域和文件的数据的 $expand 参数）：

GET /api/alerts?$expand=files,ips,domains HTTP/1.1
Host: api.securitycenter.windows.com
Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJ...
User-Agent: PostmanRuntime/7.19.0
Accept: */ *
Cache-Control: no-cache
Postman-Token: 2dc0f885-068a-45d4-81a6-2da0d23a58ad,d3dd0e6e-83ab-4d27-94d2-0f3889dff324
Host: api.securitycenter.windows.com
Accept-Encoding: gzip, deflate
Connection: keep-alive
cache-control: no-cache

如需详细了解请求参数和请求选项（例如过滤条件或展开），请参阅 Microsoft 文档中的支持的 Microsoft Defender for Endpoint API。

创建客户端密钥

依次前往证书和密钥 > 新客户端密钥。
为客户端密钥提供说明并设置其失效期限。
点击 Add（添加）。
保存客户端密钥的值（而非密钥 ID），以便在配置集成时将其用作 Client Secret 参数值。客户端密钥值仅显示一次。

启用 SIEM 集成 - 已弃用

在导航窗格中，依次选择设置 > SIEM。

注意：如果您在尝试启用 SIEM 连接器应用时遇到错误，请检查浏览器的屏蔽设置。可能会阻止您在启用该功能时打开新窗口。
选择启用 SIEM 集成。

这会激活“SIEM 连接器访问详情”部分，其中预填充了值，并且会在您的 Azure AD 租户下创建一个应用。

选择“通用 API”作为 SIEM 类型。
复制各个值，或选择“将详细信息保存到文件”以下载包含所有值的文件。
您需要此页面上显示的值（客户端 ID、客户端密钥、资源）来生成令牌，以便访问检测数据。

将 Microsoft Defender ATP 与 Google SecOps 集成

有关如何在 Google SecOps 中配置集成的详细说明，请参阅配置集成。

集成参数

如需配置集成，请使用以下参数：

参数
`Client ID`	必需要用于集成的 Microsoft Entra 应用的客户端（应用）ID。
`Client Secret`	必需要用于集成的 Microsoft Entra 应用的客户端密钥值。
`Azure Active Directory ID`	必需 Microsoft Entra ID（租户 ID）值。
`Verify SSL`	可选如果选中，则验证与 Microsoft 365 Defender 服务器的连接的 SSL 证书是否有效。此选项将会默认选中。
`API Root`	必需要与集成搭配使用的 API 根网址。为了获得更好的性能，您可以使用离您最近的服务器： api-us.securitycenter.windows.com api-eu.securitycenter.windows.com api-uk.securitycenter.windows.com 默认值为 `https://api.securitycenter.windows.com`。

操作

Ping

使用集成配置页面上提供的参数测试与 Microsoft Defender for Endpoint 实例的连接。

参数

不适用

使用场景

此操作用于测试连接性，可以作为手动操作执行，不属于策略方案的一部分。

运行于

此操作会在所有实体上运行。

操作结果

脚本结果

脚本结果名称	值选项	示例
is_success	True/False	is_success:False

丰富实体

根据 Microsoft Defender for Endpoint 中的信息丰富 Google SecOps 主机、IP 地址或文件哈希实体。

参数

不适用

使用场景

此操作可用于调查设备上活动的 playbook。如果设备安装了 Microsoft Defender for Endpoint 代理，则该操作会从设备上的 Defender ATP 中提取信息，以丰富 Google SecOps 实体。该操作还可用于通过 Defender ATP 中的信息来丰富提醒文件哈希。

运行于

此操作适用于以下实体：

主机
IP 地址
Filehash

操作结果

脚本结果

脚本结果名称	值选项	示例
is_success	True/False	is_success:False

JSON 结果

如果富集功能适用于 IP 地址或主机：

[
    {
        "EntityResult": {
            "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Machines/$entity",
            "id": "example_id",
            "computerDnsName": "example-name",
            "firstSeen": "2019-11-18T11:13:04.0588699Z",
            "lastSeen": "2019-11-24T18:31:50.581058Z",
            "osPlatform": "Windows10",
            "osVersion": null,
            "osProcessor": "x64",
            "version": "1803",
            "lastIpAddress": "192.0.2.138",
            "lastExternalIpAddress": "203.0.113.28",
            "agentVersion": "10.4860.17134.982",
            "osBuild": 17134,
            "healthStatus": "Active",
            "rbacGroupId": 0,
            "rbacGroupName": null,
            "riskScore": "High",
            "exposureLevel": "Medium",
            "aadDeviceId": null,
            "machineTags": []
        }
    }
]

如果富集功能适用于 Filehash：

[
    {
        "EntityResult": {
            "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Files/$entity",
            "sha1": "bdd0d38e113a0c7dd6213cf2e89e6cc6d66b5cdb",
            "sha256": "328954033456d5c13e58fb5bcc6c0232f9f62cb6d9185afa51c7913338992491",
            "md5": "9512e1cc66a1d36feb0a290cab09087b",
            "globalPrevalence": 5205000,
            "globalFirstObserved": "2018-06-22T12:59:21.6460311Z",
            "globalLastObserved": "2019-11-21T00:24:01.921338Z",
            "size": 245760,
            "fileType": "APP",
            "isPeFile": true,
            "filePublisher": "Microsoft Corporation",
            "fileProductName": "Microsoft Windows Operating System",
            "signer": "Microsoft Windows",
            "issuer": "Microsoft Windows Production PCA 2011",
            "signerHash": "419e77aed546a1a6cf4dc23c1f977542fe289cf7",
            "isValidCertificate": true
            },
        "EntityResult": {
            "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#microsoft.windowsDefenderATP.api.InOrgFileStats",
            "sha1": "bdd0d38e113a0c7dd6213cf2e89e6cc6d66b5cdb",
            "orgPrevalence": "1",
            "orgFirstSeen": "2019-11-19T03:54:15Z",
            "orgLastSeen": "2019-11-19T04:21:18Z",
            "globalPrevalence": "5205000",
            "globalFirstObserved": "2018-06-22T12:59:21.6460311Z",
            "globalLastObserved": "2019-11-21T00:24:01.921338Z",
            "topFileNames": ["notepad.exe"]
        }
    }
]

实体丰富化

IP 和主机

扩充项字段名称	逻辑 - 应用场景
Defender_ATP.sha1	返回 JSON 结果中是否存在相应值
Defender_ATP.sha256	返回 JSON 结果中是否存在相应值
Defender_ATP.md5	返回 JSON 结果中是否存在相应值
Defender_ATP.globalPrevalence	返回 JSON 结果中是否存在相应值
Defender_ATP.globalFirstObserved	返回 JSON 结果中是否存在相应值
Defender_ATP.globalLastObserved	返回 JSON 结果中是否存在相应值
Defender_ATP.size	返回 JSON 结果中是否存在相应值
Defender_ATP.fileType	返回 JSON 结果中是否存在相应值
Defender_ATP.isPeFile	返回 JSON 结果中是否存在相应值
Defender_ATP.filePublisher	返回 JSON 结果中是否存在相应值
Defender_ATP.fileProductName	返回 JSON 结果中是否存在相应值
Defender_ATP.signer	返回 JSON 结果中是否存在相应值
Defender_ATP.issuer	返回 JSON 结果中是否存在相应值
Defender_ATP.signerHash	返回 JSON 结果中是否存在相应值
Defender_ATP.isValidCertificate	返回 JSON 结果中是否存在相应值
Defender_ATP.orgPrevalence	返回 JSON 结果中是否存在相应值
Defender_ATP.orgFirstSeen	返回 JSON 结果中是否存在相应值
Defender_ATP.orgLastSeen	返回 JSON 结果中是否存在相应值
Defender_ATP.topFileNames	返回 JSON 结果中是否存在相应值

文件哈希值

扩充项字段名称	逻辑 - 应用场景
Defender_ATP.sha1	返回 JSON 结果中是否存在相应值
Defender_ATP.sha256	返回 JSON 结果中是否存在相应值
Defender_ATP.md5	返回 JSON 结果中是否存在相应值
Defender_ATP.globalPrevalence	返回 JSON 结果中是否存在相应值
Defender_ATP.globalFirstObserved	返回 JSON 结果中是否存在相应值
Defender_ATP.globalLastObserved	返回 JSON 结果中是否存在相应值
Defender_ATP.size	返回 JSON 结果中是否存在相应值
Defender_ATP.fileType	返回 JSON 结果中是否存在相应值
Defender_ATP.isPeFile	返回 JSON 结果中是否存在相应值
Defender_ATP.filePublisher	返回 JSON 结果中是否存在相应值
Defender_ATP.fileProductName	返回 JSON 结果中是否存在相应值
Defender_ATP.signer	返回 JSON 结果中是否存在相应值
Defender_ATP.issuer	返回 JSON 结果中是否存在相应值
Defender_ATP.signerHash	返回 JSON 结果中是否存在相应值
Defender_ATP.isValidCertificate	返回 JSON 结果中是否存在相应值
Defender_ATP.orgPrevalence	返回 JSON 结果中是否存在相应值
Defender_ATP.orgFirstSeen	返回 JSON 结果中是否存在相应值
Defender_ATP.orgLastSeen	返回 JSON 结果中是否存在相应值
Defender_ATP.topFileNames	返回 JSON 结果中是否存在相应值

列出提醒

根据提供的搜索条件列出 Microsoft Defender for Endpoint 警报。该操作会以表格和 JSON 视图的形式返回有关所发现的提醒的信息，作为操作输出，同时还会返回存储在操作输出 JSON 文件中并附加到该文件的原始提醒数据。

参数

参数显示名称	类型	默认值	是必填字段	说明
时间范围	整数	3	否	指定要提取提醒的时间范围（以小时为单位）。
状态	字符串	未知、新建、进行中、已解决	否	指定要查找的提醒的状态。参数接受以英文逗号分隔的字符串形式的多个值。
严重程度	字符串	不适用	否	指定要查找的突发事件的严重程度。如果未提供，则该操作会查找所有严重程度。参数接受以英文逗号分隔的字符串形式的多个值。可能的值：UnSpecified、Informational、Low、Medium 和 High
类别	字符串	不适用	否	指定要查找的提醒类别。如果未提供，则操作会查找所有类别。参数接受多个值，这些值以英文逗号分隔的字符串形式表示。可能的值：'Collection'、'CommandAndControl'、'CredentialAccess'、'DefenseEvasion'、'Discovery'、'Execution'、'Exfiltration'、'Exploit'、'InitialAccess'、'LateralMovement'、'Malware'、'Persistence'、'PrivilegeEscalation'、'Ransomware'、'SuspiciousActivity'、'UnwantedSoftware'。
突发事件 ID	整数	不适用	否	指定要查找相关提醒的 Microsoft Defender 突发事件 ID。

使用场景

此操作可用于查看最终用户的 Defender ATP 警告（发送到 Google SecOps 服务器）。例如，在处理来自 Defender ATP 连接器的警告时，用户将“列出警告”操作配置为接受已处理的提醒 IncidentId 作为输入参数，以从 Defender ATP 服务器提取详细信息 - 属于单个 Defender ATP 事件的任何其他警告。

运行于

此操作会在所有实体上运行。

操作结果

脚本结果

脚本结果名称	值选项	示例
is_success	True/False	is_success:False

JSON 结果

{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Alerts",
    "value": [
        {
            "id": "example_id",
            "incidentId": 2,
            "investigationId": null,
            "assignedTo": null,
            "severity": "Medium",
            "status": "New",
            "classification": null,
            "determination": null,
            "investigationState": "UnsupportedAlertType",
            "detectionSource": "WindowsDefenderAtp",
            "category": "Execution",
            "threatFamilyName": null,
            "title": "Unexpected behavior observed by a process run with no command line arguments",
            "description": "The legitimate process by this name does not normally exhibit this behavior when run with no command line arguments. \nSuch unexpected behavior may be a result of extraneous code injected into a legitimate process, or a malicious executable masquerading as the legitimate one by name.",
            "alertCreationTime": "2019-11-19T03:56:35.3007009Z",
            "firstEventTime": "2019-11-19T03:54:16.0441057Z",
            "lastEventTime": "2019-11-19T03:54:16.0441057Z",
            "lastUpdateTime": "2019-11-19T03:56:38.45Z",
            "resolvedTime": null,
            "machineId": "machine-id",
            "alertUser": null,
            "comments": [],
            "alertFiles": [],
            "alertDomains": [],
            "alertIps": [],
            "alertProcesses": []
            }
    ]
}

更新提醒

更新特定的 Microsoft Defender for Endpoint 提醒。该操作可用于在 Microsoft Defender for Endpoint 中关闭提醒。

参数

参数	类型	默认值	是必填字段	说明
提醒 ID	字符串	不适用	是	指定要更新的 Microsoft Defender for Endpoint 提醒 ID。
状态	DDL	新可能的值：新 InProgress 已解决	否	指定要更新为的提醒状态。
分配给	字符串	不适用	否	如果您想更新此字段，请指定用户个人资料信息。
分类	DDL	未知可能的值：未知 FalsePositive TruePositive	否	指定要更新的提醒分类。
Determination	DDL	NotAvailable 可能的值： NotAvailable Apt 恶意软件 SecurityPersonnel SecurityTesting UnwantedSoftware 其他	否	指定要更新相应提醒的判定。

使用场景

使用此操作更新 Defender ATP 警告。
使用此操作可介入涉及 Defender ATP 警告分析的工作流。

在 Google SecOps 中处理完相应提醒后，您可以忽略 Defender ATP 提醒，以使 Defender ATP 和 Google SecOps 提醒列表保持一致。此外，您还可以更改提醒，以显示提醒分析的进度（例如，设置 assignedTo 属性或将提醒状态设置为 inProgress）。

运行于

此操作会在所有实体上运行。

操作结果

脚本结果

脚本结果名称	值选项	示例
is_success	True/False	is_success:False

JSON 结果

{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Alerts/$entity",
    "id": "example-id",
    "incidentId": 1,
    "investigationId": null,
    "assignedTo": null,
    "severity": "Informational",
    "status": "Resolved",
    "classification": null,
    "determination": null,
    "investigationState": "UnsupportedAlertType",
    "detectionSource": "WindowsDefenderAtp",
    "category": "Execution",
    "threatFamilyName": null,
    "title": "[Test Alert] Suspicious Powershell commandline",
    "description": "*** This is a test alert ***\nA suspicious Powershell commandline was found on the machine. This commandline might be used during installation, exploration, or in some cases with lateral movement activities which are used by attackers to invoke modules, download external payloads, and get more information about the system. Attackers usually use Powershell to bypass security protection mechanisms by executing their payload in memory without touching the disk and leaving any trace.",
    "alertCreationTime": "2019-11-18T11:17:48.287421Z",
    "firstEventTime": "2019-11-18T11:15:06.5226815Z",
    "lastEventTime": "2019-11-18T11:15:06.5226815Z",
    "lastUpdateTime": "2019-11-20T04:12:03.6066667Z",
    "resolvedTime": "2019-11-20T04:12:03.4976288Z",
    "machineId": "machine-id",
    "alertUser": {
        "accountName": "Administrator",
        "domainName": "example-domain"
    },
    "comments": [],
    "alertFiles": [
        {
            "sha1": "3ce71813199abae99348f61f0caa34e2574f831c",
            "sha256": "9a7c58bd98d70631aa1473f7b57b426db367d72429a5455b433a05ee251f3236",
            "filePath": "C:\\Windows\\System32\\cmd.exe",
            "fileName": "cmd.exe"
        },
        {
            "sha1": "1b3b40fbc889fd4c645cc12c85d0805ac36ba254",
            "sha256": "d3f8fade829d2b7bd596c4504a6dae5c034e789b6a3defbe013bda7d14466677",
            "filePath": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
            "fileName": "powershell.exe"
        }
    ],
    "alertDomains": [],
    "alertIps": [],
    "alertProcesses": []
}

列出机器

根据给定的搜索参数，获取已向 Microsoft Defender for Endpoint 服务器注册的计算机的相关信息。

参数

参数	类型	默认值	是必填字段	说明
上次发现时间范围	整数	不适用	否	指定要查找的上次看到的时间范围（以小时为单位）。
机器名称	字符串	不适用	否	指定要查找的完整机器名称。
机器 IP 地址	字符串	不适用	否	指定要查找的机器 IP 地址。
机器风险得分	字符串	无、低、中、高	否	指定要查找的机器风险得分。参数接受多个值，这些值以英文逗号分隔的字符串形式表示。
机器运行状况	字符串	有效、无效、通信受损、无传感器数据、无传感器数据且通信受损	否	指定要查找的机器健康状况。参数接受多个值，这些值以英文逗号分隔的字符串形式表示。
设备操作系统平台	字符串	不适用	否	指定要查找的机器操作系统平台。
RBAC 群组 ID	字符串	不适用	否	指定要查找的 RBAC 群组 ID。

使用场景

此操作可用于调查目的，以获取有关在 Defender ATP 服务器上注册的设备的信息。此操作主要用作手动操作，以便用户不必切换回 Defender ATP 控制台并查找 Defender ATP 代理正在哪些计算机上运行。

运行于

此操作会在所有实体上运行。

操作结果

脚本结果

脚本结果名称	值选项	示例
is_success	True/False	is_success:False

JSON 结果

{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Machines",
    "value": [
        {
            "id": "example-id",
            "computerDnsName": "example-name",
            "firstSeen": "2019-11-18T11:13:04.0588699Z",
            "lastSeen": "2019-11-20T09:59:28.0646303Z",
            "osPlatform": "Windows10",
            "osVersion": null,
            "osProcessor": "x64",
            "version": "1803",
            "lastIpAddress": "192.0.2.138",
            "lastExternalIpAddress": "203.0.113.35",
            "agentVersion": "10.4860.17134.982",
            "osBuild": 17134,
            "healthStatus": "Active",
            "rbacGroupId": 0,
            "rbacGroupName": null,
            "riskScore": "High",
            "exposureLevel": "Medium",
            "aadDeviceId": null,
            "machineTags": []
        },{
            "id": "example-id",
            "computerDnsName": "example-name",
            "firstSeen": "2019-11-20T08:36:16.2721384Z",
            "lastSeen": "2019-11-20T08:36:52.7182837Z",
            "osPlatform": "Windows10",
            "osVersion": null,
            "osProcessor": "x64",
            "version": "1803",
            "lastIpAddress": "192.0.2.141",
            "lastExternalIpAddress": "203.0.113.35",
            "agentVersion": "10.4850.17134.191",
            "osBuild": 17134,
            "healthStatus": "Active",
            "rbacGroupId": 0,
            "rbacGroupName": null,
            "riskScore": "None",
            "exposureLevel": "Medium",
            "aadDeviceId": null,
            "machineTags": []
        }
    ]
}

获取用户在机器上的日志

获取有关用户在特定机器上登录的信息。

参数

不适用

使用场景

此操作可用于调查目的，以从 Defender ATP 服务器获取有关用户在相关计算机上登录的特定详细信息。

运行于

此操作适用于以下实体：

主机
IP 地址

操作结果

脚本结果

脚本结果名称	值选项	示例
is_success	True/False	is_success:False

JSON 结果

{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Users",
    "value": [
        {
            "id": "example\\example.user",
            "accountName": "example.user",
            "accountDomain": "example",
            "accountSid": null,
            "firstSeen": "2019-11-19T03:50:36Z",
            "lastSeen": "2019-11-19T03:50:36Z",
            "mostPrevalentMachineId": null,
            "leastPrevalentMachineId": null,
            "logonTypes": "Interactive",
            "logOnMachinesCount": 1,
            "isDomainAdmin": false,
            "isOnlyNetworkUser": null
        }
    ]
}

接收与机器相关的提醒

获取与 Defender ATP 中注册的特定计算机相关的警报。

参数

参数	类型	默认值	是必填字段	说明
状态	字符串	未知、新建、进行中、已解决	否	指定要查找的提醒的状态。参数接受多个值，这些值以英文逗号分隔的字符串形式表示。
严重程度	字符串	UnSpecified、Informational、Low、Medium、High	否	指定要查找的突发事件的严重程度。参数接受多个值，这些值以英文逗号分隔的字符串形式表示。
类别	字符串	不适用	否	指定要查找的提醒类别。如果未提供，则该操作会查找所有类别。参数接受多个值，这些值以英文逗号分隔的字符串形式提供。可能的值：'Collection'、'CommandAndControl'、'CredentialAccess'、'DefenseEvasion'、'Discovery'、'Execution'、'Exfiltration'、'Exploit'、'InitialAccess'、'LateralMovement'、'Malware'、'Persistence'、'PrivilegeEscalation'、'Ransomware'、'SuspiciousActivity'、'UnwantedSoftware'。
突发事件 ID	整数	不适用	否	指定要查找相关提醒的 Microsoft Defender 突发事件 ID。

使用场景

此操作可用于调查目的，以从 Defender ATP 服务器获取与特定问题机器相关的提醒。

运行于

此操作适用于以下实体：

主机
IP 地址

操作结果

脚本结果

脚本结果名称	值选项	示例
is_success	True/False	is_success:False

JSON 结果

{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Alerts",
    "value": [
        {
            "id": "example-id",
            "incidentId": 1,
            "investigationId": null,
            "assignedTo": "testuser@example.com",
            "severity": "Informational",
            "status": "Resolved",
            "classification": "FalsePositive",
            "determination": "SecurityTesting",
            "investigationState": "UnsupportedAlertType",
            "detectionSource": "WindowsDefenderAtp",
            "category": "Execution",
            "threatFamilyName": null,
            "title": "[Test Alert] Suspicious Powershell commandline",
            "description": "*** This is a test alert ***\nA suspicious Powershell commandline was found on the machine. This commandline might be used during installation, exploration, or in some cases with lateral movement activities which are used by attackers to invoke modules, download external payloads, and get more information about the system. Attackers usually use Powershell to bypass security protection mechanisms by executing their payload in memory without touching the disk and leaving any trace.",
            "alertCreationTime": "2019-11-18T11:17:48.287421Z",
            "firstEventTime": "2019-11-18T11:15:06.5226815Z",
            "lastEventTime": "2019-11-18T11:15:06.5226815Z",
            "lastUpdateTime": "2019-11-20T04:12:03.91Z",
            "resolvedTime": "2019-11-20T04:12:03.4976288Z",
            "machineId": "machine-id",
            "alertUser": {
                "accountName": "Administrator",
                "domainName": "US-LT-V13007"
            },
            "comments": [],
            "alertFiles": [
                {
                    "sha1": "3ce71813199abae99348f61f0caa34e2574f831c",
                    "sha256": "9a7c58bd98d70631aa1473f7b57b426db367d72429a5455b433a05ee251f3236",
                    "filePath": "C:\\Windows\\System32\\cmd.exe",
                    "fileName": "cmd.exe"
                },
                {
                    "sha1": "1b3b40fbc889fd4c645cc12c85d0805ac36ba254",
                    "sha256": "d3f8fade829d2b7bd596c4504a6dae5c034e789b6a3defbe013bda7d14466677",
                    "filePath": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
                    "fileName": "powershell.exe"
                }
            ],
            "alertDomains": [],
            "alertIps": [],
            "alertProcesses": []
        }
    ]
}

隔离机器

使用 Microsoft Defender for Endpoint 隔离计算机。您可以将机器设置为完全隔离或选择性隔离。Outlook、Skype for Business 和 Teams 应用在隔离状态下继续在计算机上运行。

参数

参数显示名称	类型	默认值	是必填字段	说明
隔离类型	DDL	完整可能的值：完整选择性	是	指定隔离类型。
评论	字符串	不适用	是	指定有关为何需要隔离机器的注释。
创建分析洞见？	复选框	勾选		如果启用，则在成功执行操作后，该操作会创建包含相关信息的 Google SecOps 洞见。

参数显示名称

类型

默认值

是必填字段

说明

隔离类型

DDL

完整

可能的值：

完整
选择性

是

指定隔离类型。

字符串

不适用

是

指定有关为何需要隔离机器的注释。

创建分析洞见？

复选框

勾选

如果启用，则在成功执行操作后，该操作会创建包含相关信息的 Google SecOps 洞见。

使用场景

隔离被认为已感染的计算机。例如，Defender ATP 连接器提醒已提取到 Google SecOps 服务器，并且在提醒分析期间发现，与提醒机器（案例实体）相关的机器可能已感染，需要隔离。

运行于

此操作适用于以下操作：

主机
IP 地址

操作结果

脚本结果

如果 API 端点针对其运行的每个提供的实体都返回了状态 201，并且 JSON 响应中的“status”为“Pending”，则为 True，这表示 API 请求已成功执行。如果至少有一个实体的操作失败，最终结果应为失败 (False)。

脚本结果名称	值选项	示例
is_success	True/False	is_success:False

JSON 结果

{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#MachineActions/$entity",
    "id": "example-id",
    "type": "Isolate",
    "requestor": "requestor-id",
    "requestorComment": "Machine Isolation due to alert ...",
    "status": "Pending",
    "machineId": "machine-id",
    "creationDateTimeUtc": "2019-11-21T03:55:59.5419077Z",
    "lastUpdateDateTimeUtc": "2019-11-21T03:55:59.5419077Z",
    "cancellationRequestor": null,
    "cancellationComment": null,
    "cancellationDateTimeUtc": null,
    "errorHResult": 0,
    "scope": null,
    "relatedFileInfo": null
}

数据分析

洞察逻辑：如果使用 Defender ATP 代理隔离了计算机，则创建一条洞察来指示这一点。
类型：实体。
Title（字符串）：实体。
IdentifierMessage: "Host was isolated using Microsoft Defender for Endpoint."

Unisolate Machine

取消隔离之前使用 Microsoft Defender for Endpoint 隔离的计算机。

参数

参数显示名称	类型	默认值	是必填字段	说明
评论	字符串	不适用	是	指定注释，说明为何需要取消隔离相应机器。
创建分析洞见？	复选框	勾选		如果启用，则在成功执行操作后，该操作会创建包含相关信息的 Google SecOps 洞见。

使用场景

此操作可用于以下情况：机器已隔离，但在剧本处理期间收集了新数据（例如，首先隔离了机器，接下来我们为可疑文件创建了威胁指示器，并运行了“停止并隔离”操作以从受影响的机器中移除此文件），我们可以认为从隔离状态中移除受影响的机器是安全的。

运行于

此操作适用于以下实体：

主机
IP 地址

操作结果

脚本结果

脚本结果名称	值选项	示例
is_success	True/False	is_success:False

JSON 结果

{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#MachineActions/$entity",
    "id": "example-id",
    "type": "Unisolate",
    "requestor": "requestor-id",
    "requestorComment": "Unisolate machine due to the following remediation measures taken...",
    "status": "Pending",
    "machineId": "machine-id",
    "creationDateTimeUtc": "2019-11-21T03:59:34.7389352Z",
    "lastUpdateDateTimeUtc": "2019-11-21T03:59:34.7389352Z",
    "cancellationRequestor": null,
    "cancellationComment": null,
    "cancellationDateTimeUtc": null,
    "errorHResult": 0,
    "scope": null,
    "relatedFileInfo": null
}

数据分析

类型：实体
Title：实体。
IdentifierMessage: Microsoft Defender for Endpoint 隔离已移除。

运行防病毒扫描

使用 Microsoft Defender for Endpoint 在主机上启动防病毒扫描。Defender ATP 扫描有两种类型：完整扫描或快速扫描。

参数

参数显示名称	类型	默认值	是必填字段	说明
防病毒扫描类型	DDL	完整可能的值：完整快速	是	指定是在机器上开始完整还是快速防病毒扫描。
评论	字符串	不适用	是	指定注释，说明为何需要在机器上执行防病毒扫描。

参数显示名称

类型

默认值

是必填字段

说明

防病毒扫描类型

DDL

完整

可能的值：

完整
快速

是

指定是在机器上开始完整还是快速防病毒扫描。

字符串

不适用

是

指定注释，说明为何需要在机器上执行防病毒扫描。

使用场景

Defender ATP 连接器发出了提醒，在提醒处理期间，发现与 Google SecOps 支持服务请求实体相关的机器上存在恶意软件入侵迹象，因此用户决定在该机器上运行防病毒扫描，以尝试查找主机上的恶意软件。

运行于

此操作适用于以下实体：

主机
IP 地址

操作结果

脚本结果

脚本结果名称	值选项	示例
is_success	True/False	is_success:False

JSON 结果

{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#MachineActions/$entity",
    "id": "example-id",
    "type": "RunAntiVirusScan",
    "requestor": "requestor_id",
    "requestorComment": "Run antivirus scan on suspect",
    "status": "Pending",
    "machineId": "machine-id",
    "creationDateTimeUtc": "2019-11-21T11:07:06.611628Z",
    "lastUpdateDateTimeUtc": "2019-11-21T11:07:06.611628Z",
    "cancellationRequestor": null,
    "cancellationComment": null,
    "cancellationDateTimeUtc": null,
    "errorHResult": 0,
    "scope": null,
    "relatedFileInfo": null
}

停止并隔离特定计算机上的文件

使用 Microsoft Defender ATP 代理停止特定计算机上文件的执行并隔离该文件。操作适用于主机或 IP Google SecOps 实体。

参数

参数显示名称	类型	默认值	是必填字段	说明
要隔离的 SHA1 文件哈希	字符串	不适用	是	指定要停止并隔离的文件的 SHA-1 文件哈希。注意：SHA-1 哈希值需要采用小写形式，以便操作找到匹配的文件。
评论	字符串	不适用	是	指定注释，说明为何需要在机器上执行防病毒扫描。
创建分析洞见？	复选框	勾选		如果启用，此操作在成功执行后会创建包含相关信息的 Google SecOps 洞见。

参数显示名称

类型

默认值

是必填字段

说明

要隔离的 SHA1 文件哈希

字符串

不适用

是

指定要停止并隔离的文件的 SHA-1 文件哈希。

注意：SHA-1 哈希值需要采用小写形式，以便操作找到匹配的文件。

字符串

不适用

是

指定注释，说明为何需要在机器上执行防病毒扫描。

创建分析洞见？

复选框

勾选

如果启用，此操作在成功执行后会创建包含相关信息的 Google SecOps 洞见。

使用场景

在处理来自 Defender ATP 连接器的提醒时，可以使用“停止并隔离文件”操作来阻止特定文件的执行，以防止计算机受到入侵。用户可能需要执行此操作，因为他们通过高级搜寻发现了一些可能具有恶意性的文件，并希望立即在单台计算机上屏蔽这些文件。

运行于

此操作适用于以下实体：

主机
IP 地址

操作结果

脚本结果

可以是 True 或 False。如果 API 端点针对其运行的每个提供的实体都返回了 status 201，并且 JSON 响应中的“status”为“Pending”，则为 True，这表示 API 请求已成功执行。如果至少有一个实体的操作失败，最终结果应为失败 (False)。

脚本结果名称	值选项	示例
is_success	True/False	is_success:False

JSON 结果

{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#MachineActions/$entity",
    "id": "example-id",
    "type": "StopAndQuarantineFile",
    "requestor": "requestor-id",
    "requestorComment": "Stopping and quarantining putty",
    "status": "Pending",
    "machineId": "machine-id",
    "creationDateTimeUtc": "2019-11-25T10:05:21.3641296Z",
    "lastUpdateDateTimeUtc": "2019-11-25T10:05:21.3641296Z",
    "cancellationRequestor": null,
    "cancellationComment": null,
    "cancellationDateTimeUtc": null,
    "errorHResult": 0,
    "scope": null,
    "relatedFileInfo": {
        "fileIdentifier": "d932604ab8e9debe475415851fd26929a0c0dcd1",
        "fileIdentifierType": "Sha1"
    }
}

数据分析

类型：实体。
Title（字符串）：实体。
IdentifierMessage（字符串）：“具有 SHA-1 文件哈希值 {0} 的文件已于 {1} 停止并隔离”。格式 (filehash,entity.Identifier)。

接收文件相关提醒

根据文件哈希从 Microsoft Defender for Endpoint 获取与文件相关的提醒。

参数

参数显示值	类型	默认值	是必填字段	说明
状态	字符串	未知、新建、进行中、已解决	否	指定要查找的提醒的状态。参数接受多个值，这些值以英文逗号分隔的字符串形式表示。
严重程度	字符串	UnSpecified、Informational、Low、Medium、High	否	指定要查找的突发事件的严重程度。参数接受多个值，这些值以英文逗号分隔的字符串形式表示。
类别	字符串	不适用	否	指定要查找的提醒类别。如果未提供，则该操作会查找所有类别。参数接受多个值，这些值以英文逗号分隔的字符串形式提供。可能的值：'Collection'、'CommandAndControl'、'CredentialAccess'、'DefenseEvasion'、'Discovery'、'Execution'、'Exfiltration'、'Exploit'、'InitialAccess'、'LateralMovement'、'Malware'、'Persistence'、'PrivilegeEscalation'、'Ransomware'、'SuspiciousActivity'、'UnwantedSoftware'。
突发事件 ID	整数	不适用	否	指定要查找相关提醒的 Microsoft Defender 突发事件 ID。

使用场景

在调查来自 Defender ATP 连接器的提醒时，可以使用此操作来收集信息，了解相应文件是否与任何提醒相关联，从而深入了解该文件是否为恶意文件。

运行于

此操作在 Filehash 实体上运行。

操作结果

脚本结果

脚本结果名称	值选项	示例
is_success	True/False	is_success:False

JSON 结果

{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Alerts",
    "value": [
        {
            "id": "example_id",
            "incidentId": 2,
            "investigationId": 1,
            "assignedTo": null,
            "severity": "Medium",
            "status": "New",
            "classification": null,
            "determination": null,
            "investigationState": "TerminatedBySystem",
            "detectionSource": "WindowsDefenderAtp",
            "category": "DefenseEvasion",
            "threatFamilyName": null,
            "title": "Suspicious process injection observed",
            "description": "A process abnormally injected code into another process, As a result, unexpected code may be running in the target process memory. Injection is often used to hide malicious code execution within a trusted process. \nAs a result, the target process may exhibit abnormal behaviors such as opening a listening port or connecting to a command and control server.",
            "alertCreationTime": "2019-11-19T03:56:37.7335862Z",
            "firstEventTime": "2019-11-19T03:54:15.7698362Z",
            "lastEventTime": "2019-11-19T03:54:15.7698362Z",
            "lastUpdateTime": "2019-11-20T10:13:31.7266667Z",
            "resolvedTime": null,
            "machineId": "machine-id",
            "alertUser": {
                "accountName": "example.user",
                "domainName": "EXAMPLELAB"
            },
            "comments": [],
            "alertFiles": [
                {
                    "sha1": "1b3b40fbc889fd4c645cc12c85d0805ac36ba254",
                    "sha256": "d3f8fade829d2b7bd596c4504a6dae5c034e789b6a3defbe013bda7d14466677",
                    "filePath": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
                    "fileName": "powershell.exe"
                },{
                    "sha1": "bdd0d38e113a0c7dd6213cf2e89e6cc6d66b5cdb",
                    "sha256": "328954033456d5c13e58fb5bcc6c0232f9f62cb6d9185afa51c7913338992491",
                    "filePath": "C:\\Windows\\System32\\notepad.exe",
                    "fileName": "notepad.exe"
                }
            ],
            "alertDomains": [],
            "alertIps": [],
            "alertProcesses": []
        }
    ]
}

获取文件相关机器

根据文件哈希从 Microsoft Defender for Endpoint 获取与文件相关的计算机。

参数

参数显示名称	类型	默认值	是必填字段	说明
机器名称	字符串	不适用	否	指定要查找的完整机器名称。
机器 IP 地址	字符串	不适用	否	指定要查找的机器 IP 地址。
机器风险得分	字符串	不适用	否	指定要查找的机器风险得分。参数接受多个值，这些值以英文逗号分隔的字符串形式表示。
机器运行状况	字符串	有效、无效、通信受损、无传感器数据、无传感器数据且通信受损	否	指定要查找的机器健康状态。参数接受多个值，这些值以英文逗号分隔的字符串形式表示。
设备操作系统平台	字符串	不适用	否	指定要查找的机器操作系统平台。
RBAC 群组 ID	字符串	不适用	否	指定要查找的 RBAC 群组 ID。

使用场景

在调查来自 Defender ATP 连接器的提醒时，可以使用此操作来收集有关相应文件在 Defender ATP 中注册到哪些计算机的信息。

运行于

此操作在 Filehash 实体上运行。

操作结果

脚本结果

脚本结果名称	值选项	示例
is_success	True/False	is_success:False

JSON 结果

{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Machines",
    "value": [
        {
            "id": "example_id",
            "computerDnsName": "example-name",
            "firstSeen": "2019-11-18T11:13:04.0588699Z",
            "lastSeen": "2019-11-20T19:35:36.4619266Z",
            "osPlatform": "Windows10",
            "osVersion": null,
            "osProcessor": "x64",
            "version": "1803",
            "lastIpAddress": "192.0.2.1",
            "lastExternalIpAddress": "203.0.113.121",
            "agentVersion": "10.4860.17134.982",
            "osBuild": 17134,
            "healthStatus": "Active",
            "rbacGroupId": 0,
            "rbacGroupName": null,
            "riskScore": "High",
            "exposureLevel": "Medium",
            "aadDeviceId": null,
            "machineTags": []
        }
    ]
}

运行高级搜寻查询

运行 Microsoft Defender for Endpoint 高级搜索查询。请注意，引号、换行符或其他特殊符号需要进行转义，例如，使用反斜杠转义引号。

参数

参数显示名称	类型	默认值	是否为必需属性	说明
参数显示名称	类型	默认值	是必填字段	说明
查询	字符串	不适用	是	要执行的高级搜寻查询。

使用场景

用户可能希望使用一些搜索查询来查询在处理特定 Defender 警报期间在 Defender ATP 中收集的数据，通过此操作，用户可以运行这些高级搜索查询。

运行于

此操作会在所有实体上运行。

操作结果

脚本结果

脚本结果名称	值选项	示例
is_success	True/False	is_success:False

JSON 结果

{
    "Stats": {
        "ExecutionTime": 0.0156652,
        "resource_usage": {
            "cache": {
                "memory": {
                    "hits": 13,
                    "misses": 0,
                    "total": 13
                },
                "disk": {
                    "hits": 0,
                    "misses": 0,
                    "total": 0
                }
            },
            "cpu": {
                "user": "00:00:00.0156250",
                "kernel": "00:00:00",
                "total cpu": "00:00:00.0156250"
            },
            "memory": {
                "peak_per_node": 33554624
            }
        },
        "dataset_statistics": [
            {
                "table_row_count": 2,
                "table_size": 60
            }
        ]
    },
    "Schema": [
        {
            "Name": "EventTime",
            "Type": "DateTime"
        },
        {
            "Name": "FileName",
            "Type": "String"
        },
        {
            "Name": "InitiatingProcessFileName",
            "Type": "String"
        }
    ],
    "Results": [
        {
            "EventTime": "2019-11-18T11:13:07.043128Z",
            "FileName": "csc.exe",
            "InitiatingProcessFileName": "powershell.exe"
        },
        {
            "EventTime": "2019-11-19T03:54:14.4256361Z",
            "FileName": "csc.exe",
            "InitiatingProcessFileName": "powershell.exe"
        }
    ]
}

等待任务状态

等待任务的状态。

参数

参数显示名称	类型	默认值	是必填字段	说明
任务 ID	字符串	不适用	是	任务 ID 列表，以英文逗号分隔的字符串形式表示。

运行于

此操作会在所有实体上运行。

操作结果

脚本结果

脚本结果名称	值选项	示例
is_success	True/False	is_success:False

JSON 结果

[
    {
        "status": "Succeeded",
        "creation_date_time_utc": "2020-02-08T03:24:52.8526634Z",
        "cancellation_requestor": null,
        "cancellation_date_time_utc": null,
        "id": "2e39d22e-60a7-4267-899c-a1471e800000",
        "last_update_date_time_utc": "2020-02-08T03:25:35.8345081Z",
        "related_file_info": null,
        "cancellation_comment": null,
        "requestor": "e4fc6454-754d-47f7-bbdb-045fad600000",
        "error_h_result": 0,
        "scope": "Selective",
        "machine_id": "fbc85cf3fbcc8bb14d1a84fcf7bbae4531f00000",
        "type": "Isolate",
        "requestor_comment": "test"
    }
]

获取当前任务状态

获取任务的当前状态。

参数

参数显示名称	类型	默认值	是必填字段	说明
任务 ID	字符串	不适用	是	任务 ID 列表，以英文逗号分隔的字符串形式表示。

运行于

此操作会在所有实体上运行。

操作结果

脚本结果

脚本结果名称	值选项	示例
is_success	True/False	is_success:False

JSON 结果

[
    {
        "status": "Succeeded",
        "creation_date_time_utc": "2020-02-08T03:24:52.8526634Z",
        "cancellation_requestor": null,
        "cancellation_date_time_utc": null,
        "id": "2e39d22e-60a7-4267-899c-a1471e800000",
        "last_update_date_time_utc": "2020-02-08T03:25:35.8345081Z",
        "related_file_info": null,
        "cancellation_comment": null,
        "requestor": "e4fc6454-754d-47f7-bbdb-045fad600000",
        "error_h_result": 0,
        "scope": "Selective",
        "machine_id": "fbc85cf3fbcc8bb14d1a84fcf7bbae4531f00000",
        "type": "Isolate",
        "requestor_comment": "test"
    }
]

提交实体指标

在 Microsoft Defender for Endpoint 中提交实体作为指示器。

参数

参数显示名称	类型	默认值	是必填字段	说明
操作	DDL	禁止可能的值：屏蔽审核屏蔽并修复允许	是	指定需要对实体应用的操作。注意：“Block And Remediate”值仅适用于 filehash 实体。
严重程度	DDL	高可能的值：高中低信息	是	指定所发现实体的严重程度。
应用	字符串	不适用	否	指定与实体相关的应用。
指示器提醒标题	字符串	不适用	是	指定提醒的标题（如果在环境中识别到提醒）。
说明	字符串	Google SecOps 补救	是	指定实体的说明。
建议执行的操作	字符串	不适用	否	指定处理实体的建议操作。

运行于

此操作适用于以下实体：

IP 地址
网址
Filehash

操作结果

脚本结果

脚本结果名称	值选项	示例
is_success	True/False	is_success:False

案例墙

结果类型	值 / 说明	类型
输出消息*	操作不应失败，也不应停止 playbook 执行：如果某个实体有数据（is_success = true）：“已成功将以下实体作为指示器提交给 Microsoft Defender for Endpoint：{entity.identifier}”。如果某个实体没有数据 (is_success=true)：“操作无法将以下实体作为指示器提交给 Microsoft Defender for Endpoint：{entity.identifier}”。如果一个实体的状态代码为 403：“实例没有足够的权限来提交以下实体：{entity.identifier} 如果并非所有实体都有数据 (is_success=false)："None of the provided entities were submitted as indicators to Microsoft Defender for Endpoint." 如果实体已是指示器：“以下实体已是 Microsoft Defender for Endpoint 中的指示器：{entity.identifier}” 操作应失败并停止 playbook 执行：如果出现致命错误（例如凭据错误、无法连接到服务器、其他错误）：“Error executing action "Submit Entity Indicators"”（执行操作“提交实体指示器”时出错）。原因： {0}''.format(error.Stacktrace) 如果所有实体的状态代码均为 403：“执行操作‘提交实体指标’时出错。原因：由于实例权限，未创建任何指标，请检查配置。	常规

结果类型

值 / 说明

类型

输出消息*

操作不应失败，也不应停止 playbook 执行：

如果某个实体有数据（is_success = true）：“已成功将以下实体作为指示器提交给 Microsoft Defender for Endpoint：{entity.identifier}”。

如果某个实体没有数据 (is_success=true)：“操作无法将以下实体作为指示器提交给 Microsoft Defender for Endpoint：{entity.identifier}”。

如果一个实体的状态代码为 403：“实例没有足够的权限来提交以下实体：{entity.identifier}

如果并非所有实体都有数据 (is_success=false)："None of the provided entities were submitted as indicators to Microsoft Defender for Endpoint."

如果实体已是指示器：“以下实体已是 Microsoft Defender for Endpoint 中的指示器：{entity.identifier}”

操作应失败并停止 playbook 执行：

如果出现致命错误（例如凭据错误、无法连接到服务器、其他错误）：“Error executing action "Submit Entity Indicators"”（执行操作“提交实体指示器”时出错）。原因： {0}''.format(error.Stacktrace)

如果所有实体的状态代码均为 403：“执行操作‘提交实体指标’时出错。原因：由于实例权限，未创建任何指标，请检查配置。

常规

删除实体指示器

在 Microsoft Defender for Endpoint 中删除实体指示器。

参数

不适用

运行于

此操作适用于以下实体：

IP 地址
网址
Filehash

操作结果

脚本结果

脚本结果名称	值选项	示例
is_success	True/False	is_success:False

案例墙

结果类型	值 / 说明	类型
输出消息*	操作不应失败，也不应停止 playbook 执行：如果报告了 204 状态代码 (is_success=true)：“已成功删除 Microsoft Defender for Endpoint 中的以下实体作为指示器：{entity.identifier}。如果未找到事件 (is_success=true)：“以下实体在 Microsoft Defender for Endpoint 中不存在，无法作为指示器：{entity.identifier}。操作应失败并停止 playbook 执行：如果报告了致命错误（例如凭据错误、无法连接到服务器、其他错误）：“Error executing action "Delete Entity Indicators". 原因： {0}''.format(error.Stacktrace)	常规

结果类型

值 / 说明

类型

输出消息*

操作不应失败，也不应停止 playbook 执行：

如果报告了 204 状态代码 (is_success=true)：“已成功删除 Microsoft Defender for Endpoint 中的以下实体作为指示器：{entity.identifier}。

如果未找到事件 (is_success=true)：“以下实体在 Microsoft Defender for Endpoint 中不存在，无法作为指示器：{entity.identifier}。

操作应失败并停止 playbook 执行：

如果报告了致命错误（例如凭据错误、无法连接到服务器、其他错误）：“Error executing action "Delete Entity Indicators". 原因： {0}''.format(error.Stacktrace)

常规

列出指标

列出 Microsoft Defender for Endpoint 中的指示器。

参数

参数显示名称	类型	默认值	是必填字段	说明
指标	CSV	不适用	否	指定要检索的指标的英文逗号分隔列表。
指标类型	CSV	FileSha1、FileSha256、FileMd5、CertificateThumbprint、IpAddress、DomainName、Url	否	指定要检索的指标类型的英文逗号分隔列表。可能的值：FileSha1、FileSha256、FileMd5、CertificateThumbprint、IpAddress、DomainName、Url。
操作	CSV	警告、屏蔽、审核、提醒、提醒并屏蔽、屏蔽并补救、允许	否	指定要用于过滤的指示器操作的逗号分隔列表。可能的值：Warn、Block、Audit、Alert、AlertAndBlock、BlockAndRemediate、Allowed
严重程度	CSV	信息、低、中、高	否	指定要用于过滤的严重程度的英文逗号分隔列表。可能的值：Informational、Low、Medium、High
要返回的结果数上限	整数	50	否	指定要返回的指标数量。

运行于

此操作不会在实体上运行。

操作结果

脚本结果

脚本结果名称	值选项	示例
is_success	True/False	is_success:False

JSON 结果

{
    "id": "18",
    "indicatorValue": "110e7d15b011d7fac48f2bd61114db1022197f7a",
    "indicatorType": "FileSha1",
    "action": "Audit",
    "createdBy": "45e9773c-100e-4a9f-ad37-d8e182e9ed26",
    "severity": "Informational",
    "category": 1,
    "application": "demo-test",
    "educateUrl": null,
    "bypassDurationHours": null,
    "title": "test",
    "description": "test",
    "recommendedActions": "nothing",
    "creationTimeDateTimeUtc": "2022-02-08T14:20:34.9071582Z",
    "expirationTime": null,
    "lastUpdateTime": "2022-02-08T14:20:34.9151307Z",
    "lastUpdatedBy": null,
    "rbacGroupNames": [],
    "rbacGroupIds": [],
    "notificationId": null,
    "notificationBody": null,
    "version": null,
    "mitreTechniques": [],
    "historicalDetection": false,
    "lookBackPeriod": null,
    "generateAlert": true,
    "additionalInfo": null,
    "createdByDisplayName": "Example Defender ATP",
    "externalId": null,
    "createdBySource": "PublicApi",
    "certificateInfo": null
}

案例墙

结果类型	值 / 说明	类型
输出消息*	操作不应失败，也不应停止 playbook 执行：如果数据可用 (is_success=true)：“已在 Microsoft Defender for Endpoint 中成功找到符合所提供条件的指标。”。如果数据不可用 (is_success=false)：“Microsoft Defender for Endpoint 中未找到符合所提供条件的指标。” 操作应失败并停止 playbook 执行：如果报告了致命错误（例如凭据错误、无法连接到服务器或其他错误），则会显示以下消息：“Error executing action "List Indicators".”（执行操作“列出指示器”时出错。）原因：{0}''.format(error.Stacktrace) 如果提供的“指示器类型”参数无效：“执行操作‘列出指示器’时出错。”原因：参数“Indicator Types”（指标类型）的值无效。可能的值：FileSha1、FileSha256、FileMd5、CertificateThumbprint、IpAddress、DomainName、Url。如果提供的“操作”参数无效：“执行操作‘列出指标’时出错。”原因：参数“操作”的值无效。可能的值：Warn、Block、Audit、Alert、AlertAndBlock、BlockAndRemediate、Allowed。如果提供的“严重程度”参数无效：“执行操作‘列出指标’时出错。”原因：参数“操作”的值无效。可能的值：信息性、低、中、高。	常规
“案例墙”表格	找到的指示器类型：indicatorType 操作：操作严重程度：severity 说明：description 标题：title 建议：recommendedActions	实体

结果类型

值 / 说明

类型

输出消息*

操作不应失败，也不应停止 playbook 执行：

如果数据可用 (is_success=true)：“已在 Microsoft Defender for Endpoint 中成功找到符合所提供条件的指标。”。

如果数据不可用 (is_success=false)：“Microsoft Defender for Endpoint 中未找到符合所提供条件的指标。”

操作应失败并停止 playbook 执行：

如果报告了致命错误（例如凭据错误、 无法连接到服务器或其他错误），则会显示以下消息：“Error executing action "List Indicators".”（执行操作“列出指示器”时出错。）原因：{0}''.format(error.Stacktrace)

如果提供的“指示器类型”参数无效：“执行操作‘列出指示器’时出错。”原因：参数“Indicator Types”（指标类型）的值无效。可能的值：FileSha1、FileSha256、FileMd5、CertificateThumbprint、IpAddress、DomainName、Url。

如果提供的“操作”参数无效：“执行操作‘列出指标’时出错。”原因：参数“操作”的值无效。可能的值：Warn、Block、Audit、Alert、AlertAndBlock、BlockAndRemediate、Allowed。

如果提供的“严重程度”参数无效：“执行操作‘列出指标’时出错。”原因：参数“操作”的值无效。可能的值：信息性、低、中、高。

常规

“案例墙”表格

找到的指示器

类型：indicatorType

操作：操作

严重程度：severity 说明：description 标题：title 建议：recommendedActions

实体

连接器

有关如何在 Google SecOps 中配置连接器的详细说明，请参阅配置连接器。

如需配置所选连接器，请使用下表中所列的连接器专用参数：

Microsoft Defender ATP 连接器配置参数
Microsoft Defender ATP 连接器 v2 配置参数

Microsoft Defender ATP 连接器

自 2022 年 3 月 1 日起，Microsoft Defender ATP 连接器中用于事件的 Defender ATP SIEM API 已被弃用。

连接器会定期连接到 Defender ATP API 端点，并提取在特定时间段内生成的警报列表。对于已处理的提醒，连接器会在单独的请求中从 Defender ATP 拉取有关检测的信息。检测结果具有 AlertId 字段，可用于将检测结果与特定提醒相关联。

连接器参数

使用以下参数配置连接器：

参数显示名称	类型	默认值	是否为必需属性	说明
商品字段名称	字符串	ProductName	是	用于描述存储商品名称的字段的名称。
事件字段名称	字符串	AlertName	是	描述存储事件名称的字段的名称。
环境字段名称	字符串	""	否	描述存储环境名称的字段的名称。如果找不到环境字段，则环境为“”。
环境正则表达式模式	字符串	.*	否	要对 `Environment Field Name` 字段中的值运行的正则表达式模式。默认值为 .*，用于捕获所有内容并返回未更改的值。用于允许用户使用正则表达式逻辑来操纵环境字段。如果正则表达式模式为 null 或空，或者环境值为 null，则最终环境结果为“”。
API 根	字符串	https://api.securitycenter.windows.com	是	要与集成搭配使用的 API 根网址。为了获得更好的性能，您可以使用离您最近的服务器： api-us.securitycenter.windows.com api-eu.securitycenter.windows.com api-uk.securitycenter.windows.com
Azure Active Directory ID	字符串	不适用	是	Microsoft Entra 租户 ID，可在“Active Directory”>“应用注册”>“您的应用”>“目录（租户）ID”中查看。
集成客户端 ID	字符串	不适用	是	在 Microsoft Entra 中为集成添加的应用注册的客户端（应用）ID。
集成客户端密钥	密码	不适用	是	为集成输入的 Azure AD 应用注册的密钥。
SIEM 客户端 ID	字符串	不适用	是	Microsoft Defender for Endpoint 中已启用的 SIEM 集成的客户端（应用）ID。
SIEM 客户端密钥	密码	不适用	是	Microsoft Defender for Endpoint 中已启用的 SIEM 集成的 Secret。
以小时为单位的偏移时间	整数	24	是	从 X 小时前开始提取提醒。
每个周期的提醒数量上限	整数	100	是	一次连接器运行期间处理的提醒数量。
要提取的提醒状态	字符串	未知、新建、进行中、已解决	是	指定 Google SecOps 服务器应提取的 Defender ATP 提醒的状态。参数可以采用以英文逗号分隔的字符串形式接受多个值。
要提取的提醒严重程度	字符串	UnSpecified、Informational、Low、Medium、High	是	指定 Google SecOps 服务器应提取的 Defender ATP 提醒的严重程度。参数可以采用以英文逗号分隔的字符串形式接受多个值。
代理服务器地址	IP_OR_HOST	不适用	否	用于连接的代理服务器。
代理服务器用户名	字符串	不适用	否	代理服务器用户名。
代理服务器密码	密码	不适用	否	代理服务器密码。

连接器规则

连接器不支持屏蔽列表或动态列表规则。
连接器支持代理。

Microsoft Defender ATP 连接器 V2

使用 365 Defender 突发事件 API 获取 Defender ATP 提醒，以获取事件数据。使用连接器动态列表可仅根据提醒的 detectionSource 属性值注入特定类型的提醒。

连接器 SourceGroupIdentifier 属性可用于根据 Defender ATP 突发事件 ID 对提醒进行分组。

前提条件

在配置连接器之前，请务必向 Microsoft Entra 应用授予其他权限：

以用户管理员或密码管理员身份登录 Azure 门户。
选择 Microsoft Entra ID。
依次前往 API 权限> 添加权限 > 组织使用的 API。
依次选择 Microsoft Threat Protection > 应用权限。
在选择权限部分中，选择以下必需权限：
- Incident.Read.All
- Incident.ReadWrite.All
点击添加权限。
点击为YOUR_ORGANIZATION_NAME授予管理员同意书。

连接器参数

使用以下参数配置连接器：

参数显示名称	类型	默认值	是否为必需属性	说明
商品字段名称	字符串	::	是	用于描述存储商品名称的字段的名称。
事件字段名称	字符串	EventName	是	描述存储事件名称的字段的名称。
环境字段名称	字符串	""	否	描述存储环境名称的字段的名称。如果找不到环境字段，则环境为“”。
环境正则表达式模式	字符串	.*	否	要对 `Environment Field Name` 字段中的值运行的正则表达式模式。默认值为 .*，用于捕获所有内容并返回未更改的值。用于允许用户使用正则表达式逻辑来操纵环境字段。如果正则表达式模式为 null 或空，或者环境值为 null，则最终环境结果为“”。
Defender ATP API 根地址	字符串	https://api.securitycenter.windows.com	是	要与集成搭配使用的 API 根网址为了获得更好的性能，您可以使用离您最近的服务器： api-us.securitycenter.windows.com api-eu.securitycenter.windows.com api-uk.securitycenter.windows.com
365 Defender API 根地址	字符串	https://api.security.microsoft.com	是	用于获取 Google SecOps 事件数据的 Microsoft 365 Defender 实例的 API 根。
Azure Active Directory ID	字符串	不适用	是	Microsoft Entra 租户 ID，可在 Microsoft Entra > 应用注册 > 您的应用 > 目录（租户）ID 中找到。
集成客户端 ID	字符串	不适用	是	在 Microsoft Entra 中为集成添加的应用注册的客户端（应用）ID。
集成客户端密钥	密码	不适用	是	为集成输入的 Azure AD 应用注册的密钥。
验证 SSL	复选框	勾选	是	如果启用，则验证与 Microsoft 365 Defender 服务器的连接的 SSL 证书是否有效。
以小时为单位的偏移时间	整数	24	是	从 X 小时前开始提取提醒。
每个周期的提醒数量上限	整数	10	是	一次连接器运行期间处理的提醒数量。
要提取的提醒状态	字符串	未知、新建、进行中、已解决	是	指定 Google SecOps 服务器应提取的 Defender ATP 提醒的状态。参数可以采用以英文逗号分隔的字符串形式接受多个值。
要提取的提醒严重程度	字符串	UnSpecified、Informational、Low、Medium、High	是	指定 Google SecOps 服务器应提取的 Defender ATP 提醒的严重程度。参数可以采用以英文逗号分隔的字符串形式接受多个值。
停用溢出	复选框	尚未核查	否	如果启用，连接器会忽略溢出机制。
脚本超时	整数	300	是	指定连接器运行的超时时间。
将白名单用作黑名单	复选框	尚未核查	否	如果启用，动态列表将用作屏蔽列表。
代理服务器地址	IP_OR_HOST	不适用	否	用于连接的代理服务器。
代理服务器用户名	字符串	不适用	否	代理服务器用户名。
代理服务器密码	密码	不适用	否	代理服务器密码。

连接器规则

连接器支持基于 detectionSource Defender ATP 提醒字段值的动态列表逻辑。