本頁面由 Cloud Translation API 翻譯而成。

Microsoft Defender ATP

整合版本：23.0

用途

在調查特定案件時，使用 Microsoft Defender for Endpoint 收集的資料進行擴充。

分析師可以在調查中使用 Microsoft Defender for Endpoint 收集及儲存的資料，例如取得 Microsoft Defender for Endpoint 偵測到的快訊資訊，或列出 Microsoft Defender for Endpoint 中註冊的電腦。
在潛在安全事件中執行主動回應動作，例如將特定主機與網路隔離，或執行防毒掃描。
監控和檢查 Microsoft Defender for Endpoint 警示，因為這些警示是相應連接器擷取的 Google Security Operations 警示。

必要條件

在 Google SecOps 平台中設定整合功能前，請務必完成下列必要步驟：

建立 Microsoft Entra 應用程式。
設定應用程式的 API 權限。
建立用戶端密碼。

存取 Microsoft Defender for Endpoint API 時，建議使用應用程式內容，而非使用者內容。

建立 Microsoft Entra 應用程式

以使用者管理員或密碼管理員身分登入 Azure 入口網站。
選取「Microsoft Entra ID」。
依序前往「App registrations」>「New registration」。
輸入應用程式名稱。
按一下「註冊」。

注意： 本文以單一租戶設定為例。整合功能支援的 OAuth 流程 (用戶端憑證) 不需要重新導向網址。
儲存「Application (client) ID」和「Directory (tenant) ID」值，稍後設定整合參數時會用到。

設定 API 權限

依序前往「API Permissions」>「Add a permission」>「APIs my organization uses」。「Request API permissions」對話方塊隨即開啟。
在「搜尋」欄位中輸入 WindowsDefenderATP。
依序選取「WindowsDefenderATP」>「應用程式權限」。
在「快訊」權限類型下方，選取下列權限：
- Alert.Read.All
按一下「Add permissions」。
在「API Permissions」頁面中，按一下「Add a permission」。
依序選取「Microsoft Graph」>「Delegated permissions」。
在「選取權限」部分，選取下列必要權限：
- User.Read
按一下「Add permissions」。
在「API Permissions」頁面中，按一下「Add a permission」。
依序選取「WindowsDefenderATP」>「應用程式權限」。
在「選取權限」部分，選取下列必要權限：
- AdvancedQuery.Read.All
- Alert.Read.All
- Alert.ReadWrite.All
- Event.Write
- File.Read.All
- Ip.Read.All
- Machine.Isolate
- Machine.Read.All
- Machine.ReadWrite.All
- Machine.Scan
- Machine.StopAndQuarantine
- Ti.ReadWrite
- Url.Read.All
- User.Read.All
按一下「Grant admin consent for <租用戶>」ORGANIZATION_NAME。

畫面出現「授予管理員同意聲明確認」對話方塊時，按一下「是」。

以下是擷取 Defender ATP 快訊的 API 要求範例 (請注意，$expand 參數用於擷取 IP 位址、網域和檔案的相關資料)：

GET /api/alerts?$expand=files,ips,domains HTTP/1.1
Host: api.securitycenter.windows.com
Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJ...
User-Agent: PostmanRuntime/7.19.0
Accept: */ *
Cache-Control: no-cache
Postman-Token: 2dc0f885-068a-45d4-81a6-2da0d23a58ad,d3dd0e6e-83ab-4d27-94d2-0f3889dff324
Host: api.securitycenter.windows.com
Accept-Encoding: gzip, deflate
Connection: keep-alive
cache-control: no-cache

如要進一步瞭解要求參數和要求選項 (例如篩選器或展開)，請參閱 Microsoft 說明文件中的「Supported Microsoft Defender for Endpoint APIs」。

建立用戶端密鑰

依序前往「Certificates and secrets」(憑證和密鑰) >「New client secret」(新增用戶端密鑰)。
提供用戶端密鑰的說明，並設定到期期限。
按一下「新增」。
儲存用戶端密鑰的值 (而非密鑰 ID)，在設定整合時做為 Client Secret 參數值。用戶端密鑰值只會顯示一次。

啟用 SIEM 整合 - 已淘汰

在導覽窗格中，依序選取「設定」 >「SIEM」。

注意： 如果嘗試啟用 SIEM 連接器應用程式時發生錯誤，請檢查瀏覽器的封鎖設定。啟用這項功能時，可能會導致系統無法開啟新視窗。
選取「啟用 SIEM 整合」。

這會啟用「SIEM 連接器存取詳細資料」部分，其中預先填入值，且應用程式會在 Azure AD 租戶下建立。

選擇「Generic API」做為 SIEM 類型。
複製個別值，或選取「將詳細資料儲存到檔案」，下載包含所有值的檔案。
您需要這個頁面顯示的值，才能產生權杖來存取偵測資料：用戶端 ID、用戶端密鑰、資源。

整合 Microsoft Defender ATP 與 Google SecOps

如需在 Google SecOps 中設定整合功能的詳細操作說明，請參閱「設定整合功能」。

整合參數

如要設定整合，請使用下列參數：

參數
`Client ID`	必要用於整合的 Microsoft Entra 應用程式用戶端 (應用程式) ID。
`Client Secret`	必要要用於整合的 Microsoft Entra 應用程式用戶端密鑰值。
`Azure Active Directory ID`	必要 Microsoft Entra ID (租戶 ID) 值。
`Verify SSL`	選用如果選取這個選項，系統會驗證連線至 Microsoft 365 Defender 伺服器的 SSL 憑證是否有效。 (此為預設選項)。
`API Root`	必要用於整合的 API 根網址。為提高效能，你可以使用最靠近你所在位置的伺服器： api-us.securitycenter.windows.com api-eu.securitycenter.windows.com api-uk.securitycenter.windows.com 預設值為 `https://api.securitycenter.windows.com`。

動作

乒乓

使用整合設定頁面提供的參數，測試與 Microsoft Defender for Endpoint 執行個體的連線。

參數

不適用

用途

這項動作用於測試連線，可做為手動動作執行，不屬於應對手冊。

執行日期

這項操作會對所有實體執行。

動作結果

指令碼結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

充實實體

根據 Microsoft Defender for Endpoint 的資訊，擴充 Google SecOps 主機、IP 位址或檔案雜湊實體。

參數

不適用

用途

這項動作可用於調查裝置活動的劇本。如果裝置已安裝 Microsoft Defender for Endpoint 代理程式，這項動作就會從裝置上的 Defender ATP 擷取資訊，以擴充 Google SecOps 實體。這項動作也可用於透過 Defender ATP 的資訊，擴充快訊檔案雜湊。

執行日期

這項動作會對下列實體執行：

主機
IP 位址
Filehash

動作結果

指令碼結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

如果 IP 位址或主機的擴充功能正常運作：

[
    {
        "EntityResult": {
            "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Machines/$entity",
            "id": "example_id",
            "computerDnsName": "example-name",
            "firstSeen": "2019-11-18T11:13:04.0588699Z",
            "lastSeen": "2019-11-24T18:31:50.581058Z",
            "osPlatform": "Windows10",
            "osVersion": null,
            "osProcessor": "x64",
            "version": "1803",
            "lastIpAddress": "192.0.2.138",
            "lastExternalIpAddress": "203.0.113.28",
            "agentVersion": "10.4860.17134.982",
            "osBuild": 17134,
            "healthStatus": "Active",
            "rbacGroupId": 0,
            "rbacGroupName": null,
            "riskScore": "High",
            "exposureLevel": "Medium",
            "aadDeviceId": null,
            "machineTags": []
        }
    }
]

如果檔案雜湊值可正常進行擴充：

[
    {
        "EntityResult": {
            "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Files/$entity",
            "sha1": "bdd0d38e113a0c7dd6213cf2e89e6cc6d66b5cdb",
            "sha256": "328954033456d5c13e58fb5bcc6c0232f9f62cb6d9185afa51c7913338992491",
            "md5": "9512e1cc66a1d36feb0a290cab09087b",
            "globalPrevalence": 5205000,
            "globalFirstObserved": "2018-06-22T12:59:21.6460311Z",
            "globalLastObserved": "2019-11-21T00:24:01.921338Z",
            "size": 245760,
            "fileType": "APP",
            "isPeFile": true,
            "filePublisher": "Microsoft Corporation",
            "fileProductName": "Microsoft Windows Operating System",
            "signer": "Microsoft Windows",
            "issuer": "Microsoft Windows Production PCA 2011",
            "signerHash": "419e77aed546a1a6cf4dc23c1f977542fe289cf7",
            "isValidCertificate": true
            },
        "EntityResult": {
            "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#microsoft.windowsDefenderATP.api.InOrgFileStats",
            "sha1": "bdd0d38e113a0c7dd6213cf2e89e6cc6d66b5cdb",
            "orgPrevalence": "1",
            "orgFirstSeen": "2019-11-19T03:54:15Z",
            "orgLastSeen": "2019-11-19T04:21:18Z",
            "globalPrevalence": "5205000",
            "globalFirstObserved": "2018-06-22T12:59:21.6460311Z",
            "globalLastObserved": "2019-11-21T00:24:01.921338Z",
            "topFileNames": ["notepad.exe"]
        }
    }
]

實體充實

IP 和主機

補充資料欄位名稱	邏輯 - 應用時機
Defender_ATP.sha1	如果 JSON 結果中存在該值，則傳回該值
Defender_ATP.sha256	如果 JSON 結果中存在該值，則傳回該值
Defender_ATP.md5	如果 JSON 結果中存在該值，則傳回該值
Defender_ATP.globalPrevalence	如果 JSON 結果中存在該值，則傳回該值
Defender_ATP.globalFirstObserved	如果 JSON 結果中存在該值，則傳回該值
Defender_ATP.globalLastObserved	如果 JSON 結果中存在該值，則傳回該值
Defender_ATP.size	如果 JSON 結果中存在該值，則傳回該值
Defender_ATP.fileType	如果 JSON 結果中存在該值，則傳回該值
Defender_ATP.isPeFile	如果 JSON 結果中存在該值，則傳回該值
Defender_ATP.filePublisher	如果 JSON 結果中存在該值，則傳回該值
Defender_ATP.fileProductName	如果 JSON 結果中存在該值，則傳回該值
Defender_ATP.signer	如果 JSON 結果中存在該值，則傳回該值
Defender_ATP.issuer	如果 JSON 結果中存在該值，則傳回該值
Defender_ATP.signerHash	如果 JSON 結果中存在該值，則傳回該值
Defender_ATP.isValidCertificate	如果 JSON 結果中存在該值，則傳回該值
Defender_ATP.orgPrevalence	如果 JSON 結果中存在該值，則傳回該值
Defender_ATP.orgFirstSeen	如果 JSON 結果中存在該值，則傳回該值
Defender_ATP.orgLastSeen	如果 JSON 結果中存在該值，則傳回該值
Defender_ATP.topFileNames	如果 JSON 結果中存在該值，則傳回該值

檔案雜湊

補充資料欄位名稱	邏輯 - 應用時機
Defender_ATP.sha1	如果 JSON 結果中存在該值，則傳回該值
Defender_ATP.sha256	如果 JSON 結果中存在該值，則傳回該值
Defender_ATP.md5	如果 JSON 結果中存在該值，則傳回該值
Defender_ATP.globalPrevalence	如果 JSON 結果中存在該值，則傳回該值
Defender_ATP.globalFirstObserved	如果 JSON 結果中存在該值，則傳回該值
Defender_ATP.globalLastObserved	如果 JSON 結果中存在該值，則傳回該值
Defender_ATP.size	如果 JSON 結果中存在該值，則傳回該值
Defender_ATP.fileType	如果 JSON 結果中存在該值，則傳回該值
Defender_ATP.isPeFile	如果 JSON 結果中存在該值，則傳回該值
Defender_ATP.filePublisher	如果 JSON 結果中存在該值，則傳回該值
Defender_ATP.fileProductName	如果 JSON 結果中存在該值，則傳回該值
Defender_ATP.signer	如果 JSON 結果中存在該值，則傳回該值
Defender_ATP.issuer	如果 JSON 結果中存在該值，則傳回該值
Defender_ATP.signerHash	如果 JSON 結果中存在該值，則傳回該值
Defender_ATP.isValidCertificate	如果 JSON 結果中存在該值，則傳回該值
Defender_ATP.orgPrevalence	如果 JSON 結果中存在該值，則傳回該值
Defender_ATP.orgFirstSeen	如果 JSON 結果中存在該值，則傳回該值
Defender_ATP.orgLastSeen	如果 JSON 結果中存在該值，則傳回該值
Defender_ATP.topFileNames	如果 JSON 結果中存在該值，則傳回該值

列出快訊

根據提供的搜尋條件列出 Microsoft Defender for Endpoint 快訊。這項動作會以表格和 JSON 檢視表單的形式，傳回找到的快訊資訊做為動作輸出內容，並將原始快訊資料儲存及附加至動作輸出 JSON 檔案。

參數

參數顯示名稱	類型	預設值	是否為必要項目	說明
時間範圍	整數	3	否	指定要擷取快訊的時間範圍 (以小時為單位)。
狀態	字串	Unknown、New、InProgress、Resolved	否	指定要搜尋的快訊狀態。參數會以半形逗號分隔字串的形式接受多個值。
嚴重性	字串	不適用	否	指定要尋找的事件嚴重性。如未提供，動作會尋找所有嚴重程度。參數會以半形逗號分隔字串的形式接受多個值。可能的值：UnSpecified、Informational、Low、Medium 和 High
類別	字串	不適用	否	指定要尋找的快訊類別。如未提供，動作會尋找所有類別。參數接受多個值，並以半形逗號分隔。可能的值：「Collection」、「CommandAndControl」、「CredentialAccess」、「DefenseEvasion」、「Discovery」、「Execution」、「Exfiltration」、「Exploit」、「InitialAccess」、「LateralMovement」、「Malware」、「Persistence」、「PrivilegeEscalation」、「Ransomware」、「SuspiciousActivity」、「UnwantedSoftware」。
事件 ID	整數	不適用	否	指定要尋找相關快訊的 Microsoft Defender 事件 ID。

用途

這項動作可用於將 Defender ATP 警告傳送至 Google SecOps 伺服器，供使用者查看。舉例來說，處理來自 Defender ATP 連接器的警告時，使用者會設定「列出警告」動作，接受已處理的警報 IncidentId 做為輸入參數，從 Defender ATP 伺服器提取詳細資料，當中包含屬於單一 Defender ATP 事件的其他警告。

執行日期

這項操作會對所有實體執行。

動作結果

指令碼結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Alerts",
    "value": [
        {
            "id": "example_id",
            "incidentId": 2,
            "investigationId": null,
            "assignedTo": null,
            "severity": "Medium",
            "status": "New",
            "classification": null,
            "determination": null,
            "investigationState": "UnsupportedAlertType",
            "detectionSource": "WindowsDefenderAtp",
            "category": "Execution",
            "threatFamilyName": null,
            "title": "Unexpected behavior observed by a process run with no command line arguments",
            "description": "The legitimate process by this name does not normally exhibit this behavior when run with no command line arguments. \nSuch unexpected behavior may be a result of extraneous code injected into a legitimate process, or a malicious executable masquerading as the legitimate one by name.",
            "alertCreationTime": "2019-11-19T03:56:35.3007009Z",
            "firstEventTime": "2019-11-19T03:54:16.0441057Z",
            "lastEventTime": "2019-11-19T03:54:16.0441057Z",
            "lastUpdateTime": "2019-11-19T03:56:38.45Z",
            "resolvedTime": null,
            "machineId": "machine-id",
            "alertUser": null,
            "comments": [],
            "alertFiles": [],
            "alertDomains": [],
            "alertIps": [],
            "alertProcesses": []
            }
    ]
}

更新警告內容

更新特定 Microsoft Defender for Endpoint 警示。這項動作可用於關閉 Microsoft Defender for Endpoint 中的快訊。

參數

參數	類型	預設值	是否為必要項目	說明
快訊 ID	字串	不適用	是	指定要更新的 Microsoft Defender for Endpoint 警示 ID。
狀態	DDL	新增可能的值：新增 InProgress 已解決	否	指定要更新的快訊狀態。
指派對象	字串	不適用	否	如要更新這個欄位，請指定使用者資訊。
分類	DDL	不明可能的值：不明 FalsePositive TruePositive	否	指定要更新快訊的分類。
決心	DDL	NotAvailable 可能的值： NotAvailable Apt 惡意軟體 SecurityPersonnel SecurityTesting UnwantedSoftware 其他	否	指定要用來更新快訊的判定結果。

用途

使用這項動作更新 Defender ATP 警告。
使用這項動作介入涉及 Defender ATP 警告分析的工作流程。

Google SecOps 處理完快訊後，您可以忽略 Defender ATP 快訊，讓 Defender ATP 和 Google SecOps 快訊清單保持一致。此外，您也可以變更快訊，顯示快訊分析的進度 (例如設定 assignedTo 屬性，或將快訊狀態設為 inProgress)。

執行日期

這項操作會對所有實體執行。

動作結果

指令碼結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Alerts/$entity",
    "id": "example-id",
    "incidentId": 1,
    "investigationId": null,
    "assignedTo": null,
    "severity": "Informational",
    "status": "Resolved",
    "classification": null,
    "determination": null,
    "investigationState": "UnsupportedAlertType",
    "detectionSource": "WindowsDefenderAtp",
    "category": "Execution",
    "threatFamilyName": null,
    "title": "[Test Alert] Suspicious Powershell commandline",
    "description": "*** This is a test alert ***\nA suspicious Powershell commandline was found on the machine. This commandline might be used during installation, exploration, or in some cases with lateral movement activities which are used by attackers to invoke modules, download external payloads, and get more information about the system. Attackers usually use Powershell to bypass security protection mechanisms by executing their payload in memory without touching the disk and leaving any trace.",
    "alertCreationTime": "2019-11-18T11:17:48.287421Z",
    "firstEventTime": "2019-11-18T11:15:06.5226815Z",
    "lastEventTime": "2019-11-18T11:15:06.5226815Z",
    "lastUpdateTime": "2019-11-20T04:12:03.6066667Z",
    "resolvedTime": "2019-11-20T04:12:03.4976288Z",
    "machineId": "machine-id",
    "alertUser": {
        "accountName": "Administrator",
        "domainName": "example-domain"
    },
    "comments": [],
    "alertFiles": [
        {
            "sha1": "3ce71813199abae99348f61f0caa34e2574f831c",
            "sha256": "9a7c58bd98d70631aa1473f7b57b426db367d72429a5455b433a05ee251f3236",
            "filePath": "C:\\Windows\\System32\\cmd.exe",
            "fileName": "cmd.exe"
        },
        {
            "sha1": "1b3b40fbc889fd4c645cc12c85d0805ac36ba254",
            "sha256": "d3f8fade829d2b7bd596c4504a6dae5c034e789b6a3defbe013bda7d14466677",
            "filePath": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
            "fileName": "powershell.exe"
        }
    ],
    "alertDomains": [],
    "alertIps": [],
    "alertProcesses": []
}

列出機器

根據搜尋參數，取得向 Microsoft Defender for Endpoint 伺服器註冊的電腦相關資訊。

參數

參數	類型	預設值	是否為必要項目	說明
上次瀏覽時間範圍	整數	不適用	否	以小時為單位，指定要搜尋的最後一次出現時間範圍。
機器名稱	字串	不適用	否	指定要尋找的完整電腦名稱。
電腦 IP 位址	字串	不適用	否	指定要尋找的電腦 IP 位址。
電腦風險分數	字串	無、低、中、高	否	指定要尋找的電腦風險分數。參數接受以半形逗號分隔的多個值。
電腦健康狀態	字串	Active、Inactive、ImpairedCommunication、NoSensorData、 NoSensorDataImpairedCommunication	否	指定要尋找的機器健康狀態。參數接受以半形逗號分隔的多個值。
機器 OS 平台	字串	不適用	否	指定要尋找的機器 OS 平台。
RBAC 群組 ID	字串	不適用	否	指定要尋找的 RBAC 群組 ID。

用途

這項動作可用於調查，取得在 Defender ATP 伺服器上註冊的裝置資訊。這項動作主要用於手動操作，讓使用者不必切換回 Defender ATP 控制台，並尋找 Defender ATP 代理程式正在運作的電腦。

執行日期

這項操作會對所有實體執行。

動作結果

指令碼結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Machines",
    "value": [
        {
            "id": "example-id",
            "computerDnsName": "example-name",
            "firstSeen": "2019-11-18T11:13:04.0588699Z",
            "lastSeen": "2019-11-20T09:59:28.0646303Z",
            "osPlatform": "Windows10",
            "osVersion": null,
            "osProcessor": "x64",
            "version": "1803",
            "lastIpAddress": "192.0.2.138",
            "lastExternalIpAddress": "203.0.113.35",
            "agentVersion": "10.4860.17134.982",
            "osBuild": 17134,
            "healthStatus": "Active",
            "rbacGroupId": 0,
            "rbacGroupName": null,
            "riskScore": "High",
            "exposureLevel": "Medium",
            "aadDeviceId": null,
            "machineTags": []
        },{
            "id": "example-id",
            "computerDnsName": "example-name",
            "firstSeen": "2019-11-20T08:36:16.2721384Z",
            "lastSeen": "2019-11-20T08:36:52.7182837Z",
            "osPlatform": "Windows10",
            "osVersion": null,
            "osProcessor": "x64",
            "version": "1803",
            "lastIpAddress": "192.0.2.141",
            "lastExternalIpAddress": "203.0.113.35",
            "agentVersion": "10.4850.17134.191",
            "osBuild": 17134,
            "healthStatus": "Active",
            "rbacGroupId": 0,
            "rbacGroupName": null,
            "riskScore": "None",
            "exposureLevel": "Medium",
            "aadDeviceId": null,
            "machineTags": []
        }
    ]
}

取得使用者的電腦記錄

取得特定電腦上使用者登入的相關資訊。

參數

不適用

用途

這項動作可用於調查，從 Defender ATP 伺服器取得使用者在有問題的電腦上登入的詳細資料。

執行日期

這項動作會對下列實體執行：

主機
IP 位址

動作結果

指令碼結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Users",
    "value": [
        {
            "id": "example\\example.user",
            "accountName": "example.user",
            "accountDomain": "example",
            "accountSid": null,
            "firstSeen": "2019-11-19T03:50:36Z",
            "lastSeen": "2019-11-19T03:50:36Z",
            "mostPrevalentMachineId": null,
            "leastPrevalentMachineId": null,
            "logonTypes": "Interactive",
            "logOnMachinesCount": 1,
            "isDomainAdmin": false,
            "isOnlyNetworkUser": null
        }
    ]
}

接收機器相關快訊

接收在 Defender ATP 中註冊的特定電腦相關快訊。

參數

參數	類型	預設值	是否為必要項目	說明
狀態	字串	Unknown、New、InProgress、Resolved	否	指定要搜尋的快訊狀態。參數接受以半形逗號分隔的多個值。
嚴重性	字串	UnSpecified、Informational、Low、Medium、High	否	指定要尋找的事件嚴重程度。參數接受以半形逗號分隔的多個值。
類別	字串	不適用	否	指定要尋找的快訊類別。如未提供，動作會尋找所有類別。參數接受多個值，並以半形逗號分隔。可能的值：「Collection」、「CommandAndControl」、「CredentialAccess」、「DefenseEvasion」、「Discovery」、「Execution」、「Exfiltration」、「Exploit」、「InitialAccess」、「LateralMovement」、「Malware」、「Persistence」、「PrivilegeEscalation」、「Ransomware」、「SuspiciousActivity」、「UnwantedSoftware」。
事件 ID	整數	不適用	否	指定要尋找相關快訊的 Microsoft Defender 事件 ID。

用途

這項動作可用於調查，從 Defender ATP 伺服器取得與特定機器相關的快訊。

執行日期

這項動作會對下列實體執行：

主機
IP 位址

動作結果

指令碼結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Alerts",
    "value": [
        {
            "id": "example-id",
            "incidentId": 1,
            "investigationId": null,
            "assignedTo": "testuser@example.com",
            "severity": "Informational",
            "status": "Resolved",
            "classification": "FalsePositive",
            "determination": "SecurityTesting",
            "investigationState": "UnsupportedAlertType",
            "detectionSource": "WindowsDefenderAtp",
            "category": "Execution",
            "threatFamilyName": null,
            "title": "[Test Alert] Suspicious Powershell commandline",
            "description": "*** This is a test alert ***\nA suspicious Powershell commandline was found on the machine. This commandline might be used during installation, exploration, or in some cases with lateral movement activities which are used by attackers to invoke modules, download external payloads, and get more information about the system. Attackers usually use Powershell to bypass security protection mechanisms by executing their payload in memory without touching the disk and leaving any trace.",
            "alertCreationTime": "2019-11-18T11:17:48.287421Z",
            "firstEventTime": "2019-11-18T11:15:06.5226815Z",
            "lastEventTime": "2019-11-18T11:15:06.5226815Z",
            "lastUpdateTime": "2019-11-20T04:12:03.91Z",
            "resolvedTime": "2019-11-20T04:12:03.4976288Z",
            "machineId": "machine-id",
            "alertUser": {
                "accountName": "Administrator",
                "domainName": "US-LT-V13007"
            },
            "comments": [],
            "alertFiles": [
                {
                    "sha1": "3ce71813199abae99348f61f0caa34e2574f831c",
                    "sha256": "9a7c58bd98d70631aa1473f7b57b426db367d72429a5455b433a05ee251f3236",
                    "filePath": "C:\\Windows\\System32\\cmd.exe",
                    "fileName": "cmd.exe"
                },
                {
                    "sha1": "1b3b40fbc889fd4c645cc12c85d0805ac36ba254",
                    "sha256": "d3f8fade829d2b7bd596c4504a6dae5c034e789b6a3defbe013bda7d14466677",
                    "filePath": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
                    "fileName": "powershell.exe"
                }
            ],
            "alertDomains": [],
            "alertIps": [],
            "alertProcesses": []
        }
    ]
}

隔離電腦

使用適用於端點的 Microsoft Defender 隔離電腦。機器可以設為完全隔離或選擇性隔離。Outlook、商務用 Skype 和 Teams 應用程式在隔離狀態下仍可運作。

參數

參數顯示名稱	類型	預設值	是否為必要項目	說明
隔離類型	DDL	完整可能的值：完整選擇性	是	指定隔離類型。
註解	字串	不適用	是	請說明機器需要隔離的原因。
建立洞察資料？	核取方塊	已勾選		如果啟用，這項動作成功執行後，就會建立含有相關資訊的 Google SecOps Insight。

參數顯示名稱

類型

預設值

是否為必要項目

說明

隔離類型

DDL

完整

可能的值：

完整
選擇性

是

指定隔離類型。

註解

字串

不適用

是

請說明機器需要隔離的原因。

建立洞察資料？

核取方塊

已勾選

如果啟用，這項動作成功執行後，就會建立含有相關資訊的 Google SecOps Insight。

用途

隔離疑似受感染的電腦。舉例來說，Defender ATP 連接器快訊已擷取至 Google SecOps 伺服器，且在快訊分析期間，發現與快訊機器 (案件實體) 相關，可能受到感染且需要隔離。

執行日期

這項動作會對下列動作執行作業：

主機
IP 位址

動作結果

指令碼結果

如果 API 端點為每個提供的實體傳回狀態 201，且 JSON 回應中的「status」為「Pending」，則為 True，表示 API 要求已順利執行。如果至少有一個實體的動作失敗，最終結果應為失敗 (False)。

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#MachineActions/$entity",
    "id": "example-id",
    "type": "Isolate",
    "requestor": "requestor-id",
    "requestorComment": "Machine Isolation due to alert ...",
    "status": "Pending",
    "machineId": "machine-id",
    "creationDateTimeUtc": "2019-11-21T03:55:59.5419077Z",
    "lastUpdateDateTimeUtc": "2019-11-21T03:55:59.5419077Z",
    "cancellationRequestor": null,
    "cancellationComment": null,
    "cancellationDateTimeUtc": null,
    "errorHResult": 0,
    "scope": null,
    "relatedFileInfo": null
}

深入分析

洞察邏輯：如果機器是使用 Defender ATP 代理程式隔離，請建立洞察來指出這點。
類型：實體。
標題 (字串)：實體。
IdentifierMessage：「Host was isolated using Microsoft Defender for Endpoint.」(主機已使用 Microsoft Defender for Endpoint 隔離)。

取消隔離電腦

解除先前使用 Microsoft Defender for Endpoint 隔離的電腦。

參數

參數顯示名稱	類型	預設值	是否為必要項目	說明
註解	字串	不適用	是	請說明機器需要解除隔離的原因。
建立洞察資料？	核取方塊	已勾選		如果啟用，這項動作成功執行後，就會建立含有相關資訊的 Google SecOps Insight。

用途

如果機器已遭隔離，但我們在劇本處理期間收集到新資料 (例如，先隔離機器，接著為可疑檔案建立威脅指標，然後執行「停止並隔離」動作，從受影響的機器中移除該檔案)，即可使用這項動作，將受影響的機器從隔離狀態中移除，視為安全。

執行日期

這項動作會對下列實體執行：

主機
IP 位址

動作結果

指令碼結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#MachineActions/$entity",
    "id": "example-id",
    "type": "Unisolate",
    "requestor": "requestor-id",
    "requestorComment": "Unisolate machine due to the following remediation measures taken...",
    "status": "Pending",
    "machineId": "machine-id",
    "creationDateTimeUtc": "2019-11-21T03:59:34.7389352Z",
    "lastUpdateDateTimeUtc": "2019-11-21T03:59:34.7389352Z",
    "cancellationRequestor": null,
    "cancellationComment": null,
    "cancellationDateTimeUtc": null,
    "errorHResult": 0,
    "scope": null,
    "relatedFileInfo": null
}

深入分析

類型：實體
標題：實體。
IdentifierMessage：已移除 Microsoft Defender for Endpoint 隔離功能。

執行防毒掃描

使用 Microsoft Defender for Endpoint 在主機上啟動防毒掃描。Defender ATP 掃描有兩種：完整掃描或快速掃描。

參數

參數顯示名稱	類型	預設值	是否為必要項目	說明
防毒掃描類型	DDL	完整可能的值：完整速成	是	指定要在電腦上啟動完整或快速防毒掃描。
註解	字串	不適用	是	請指定備註，說明為何需要在電腦上執行防毒掃描。

參數顯示名稱

類型

預設值

是否為必要項目

說明

防毒掃描類型

DDL

完整

可能的值：

完整
速成

是

指定要在電腦上啟動完整或快速防毒掃描。

註解

字串

不適用

是

請指定備註，說明為何需要在電腦上執行防毒掃描。

用途

Defender ATP 連接器發出快訊，在處理快訊期間，發現與 Google SecOps 案件實體相關的電腦有惡意軟體入侵跡象，因此使用者決定在電腦上執行防毒掃描，嘗試找出主機上的惡意軟體。

執行日期

這項動作會對下列實體執行：

主機
IP 位址

動作結果

指令碼結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#MachineActions/$entity",
    "id": "example-id",
    "type": "RunAntiVirusScan",
    "requestor": "requestor_id",
    "requestorComment": "Run antivirus scan on suspect",
    "status": "Pending",
    "machineId": "machine-id",
    "creationDateTimeUtc": "2019-11-21T11:07:06.611628Z",
    "lastUpdateDateTimeUtc": "2019-11-21T11:07:06.611628Z",
    "cancellationRequestor": null,
    "cancellationComment": null,
    "cancellationDateTimeUtc": null,
    "errorHResult": 0,
    "scope": null,
    "relatedFileInfo": null
}

停止並隔離特定電腦上的檔案

使用 Microsoft Defender ATP 代理程式，停止在特定電腦上執行檔案並隔離檔案。這項動作適用於主機或 IP Google SecOps 實體。

參數

參數顯示名稱	類型	預設值	是否為必要項目	說明
SHA1 檔案雜湊值 (隔離)	字串	不適用	是	指定要停止並隔離的檔案的 SHA-1 檔案雜湊。注意：SHA-1 雜湊必須為小寫，動作才能找到相符的檔案。
註解	字串	不適用	是	請指定備註，說明為何需要在電腦上執行防毒掃描。
建立洞察資料？	核取方塊	已勾選		如果啟用，動作成功執行後，系統會建立含有相關資訊的 Google SecOps Insight。

參數顯示名稱

類型

預設值

是否為必要項目

說明

SHA1 檔案雜湊值 (隔離)

字串

不適用

是

指定要停止並隔離的檔案的 SHA-1 檔案雜湊。

注意：SHA-1 雜湊必須為小寫，動作才能找到相符的檔案。

註解

字串

不適用

是

請指定備註，說明為何需要在電腦上執行防毒掃描。

建立洞察資料？

核取方塊

已勾選

如果啟用，動作成功執行後，系統會建立含有相關資訊的 Google SecOps Insight。

用途

處理來自 Defender ATP 連接器的快訊時，可以使用「停止並隔離檔案」動作，封鎖特定檔案的執行作業，避免電腦遭到入侵。這項動作的需求可能來自進階搜尋，使用者可能會發現一些可能有害的檔案，並想在單一電腦上封鎖這些檔案。

執行日期

這項動作會對下列實體執行：

主機
IP 位址

動作結果

指令碼結果

可以是 True 或 False。如果 API 端點為每個提供的實體傳回狀態 201，且 JSON 回應中的「status」為「Pending」，表示 API 要求已順利執行，則為 True。如果至少有一個實體的動作失敗，最終結果應為失敗 (False)。

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#MachineActions/$entity",
    "id": "example-id",
    "type": "StopAndQuarantineFile",
    "requestor": "requestor-id",
    "requestorComment": "Stopping and quarantining putty",
    "status": "Pending",
    "machineId": "machine-id",
    "creationDateTimeUtc": "2019-11-25T10:05:21.3641296Z",
    "lastUpdateDateTimeUtc": "2019-11-25T10:05:21.3641296Z",
    "cancellationRequestor": null,
    "cancellationComment": null,
    "cancellationDateTimeUtc": null,
    "errorHResult": 0,
    "scope": null,
    "relatedFileInfo": {
        "fileIdentifier": "d932604ab8e9debe475415851fd26929a0c0dcd1",
        "fileIdentifierType": "Sha1"
    }
}

深入分析

類型：實體。
標題 (字串)：實體。
IdentifierMessage (String)：「File with SHA-1 Filehash {0} was stopped and quarantined on {1}」(已停止並隔離 SHA-1 檔案雜湊值為 {0} 的檔案，時間為 {1})。format (filehash,entity.Identifier)。

接收檔案相關快訊

根據檔案雜湊，從適用於端點的 Microsoft Defender 取得與檔案相關的快訊。

參數

參數顯示值	類型	預設值	是否為必要項目	說明
狀態	字串	Unknown、New、InProgress、Resolved	否	指定要尋找的快訊狀態。參數接受以半形逗號分隔的多個值。
嚴重性	字串	UnSpecified、Informational、Low、Medium、High	否	指定要尋找的事件嚴重程度。參數接受以半形逗號分隔的多個值。
類別	字串	不適用	否	指定要尋找的快訊類別。如未提供，動作會尋找所有類別。參數接受多個值，並以半形逗號分隔。可能的值：「Collection」、「CommandAndControl」、「CredentialAccess」、「DefenseEvasion」、「Discovery」、「Execution」、「Exfiltration」、「Exploit」、「InitialAccess」、「LateralMovement」、「Malware」、「Persistence」、「PrivilegeEscalation」、「Ransomware」、「SuspiciousActivity」、「UnwantedSoftware」。
事件 ID	整數	不適用	否	指定要尋找相關快訊的 Microsoft Defender 事件 ID。

用途

調查來自 Defender ATP 連接器的快訊時，如果檔案與任何快訊相關聯，可以使用這項動作收集資訊，深入瞭解檔案是否惡意。

執行時間

這項動作會對 Filehash 實體執行。

動作結果

指令碼結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Alerts",
    "value": [
        {
            "id": "example_id",
            "incidentId": 2,
            "investigationId": 1,
            "assignedTo": null,
            "severity": "Medium",
            "status": "New",
            "classification": null,
            "determination": null,
            "investigationState": "TerminatedBySystem",
            "detectionSource": "WindowsDefenderAtp",
            "category": "DefenseEvasion",
            "threatFamilyName": null,
            "title": "Suspicious process injection observed",
            "description": "A process abnormally injected code into another process, As a result, unexpected code may be running in the target process memory. Injection is often used to hide malicious code execution within a trusted process. \nAs a result, the target process may exhibit abnormal behaviors such as opening a listening port or connecting to a command and control server.",
            "alertCreationTime": "2019-11-19T03:56:37.7335862Z",
            "firstEventTime": "2019-11-19T03:54:15.7698362Z",
            "lastEventTime": "2019-11-19T03:54:15.7698362Z",
            "lastUpdateTime": "2019-11-20T10:13:31.7266667Z",
            "resolvedTime": null,
            "machineId": "machine-id",
            "alertUser": {
                "accountName": "example.user",
                "domainName": "EXAMPLELAB"
            },
            "comments": [],
            "alertFiles": [
                {
                    "sha1": "1b3b40fbc889fd4c645cc12c85d0805ac36ba254",
                    "sha256": "d3f8fade829d2b7bd596c4504a6dae5c034e789b6a3defbe013bda7d14466677",
                    "filePath": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
                    "fileName": "powershell.exe"
                },{
                    "sha1": "bdd0d38e113a0c7dd6213cf2e89e6cc6d66b5cdb",
                    "sha256": "328954033456d5c13e58fb5bcc6c0232f9f62cb6d9185afa51c7913338992491",
                    "filePath": "C:\\Windows\\System32\\notepad.exe",
                    "fileName": "notepad.exe"
                }
            ],
            "alertDomains": [],
            "alertIps": [],
            "alertProcesses": []
        }
    ]
}

取得檔案相關機器

根據檔案雜湊，從適用於端點的 Microsoft Defender 取得與檔案相關的電腦。

參數

參數顯示名稱	類型	預設值	是否為必要項目	說明
機器名稱	字串	不適用	否	指定要尋找的完整電腦名稱。
電腦 IP 位址	字串	不適用	否	指定要尋找的電腦 IP 位址。
電腦風險分數	字串	不適用	否	指定要尋找的電腦風險分數。參數接受以半形逗號分隔的多個值。
電腦健康狀態	字串	Active、Inactive、ImpairedCommunication、NoSensorData、 NoSensorDataImpairedCommunication	否	指定要尋找的機器健康狀態。參數接受以半形逗號分隔的多個值。
機器 OS 平台	字串	不適用	否	指定要尋找的機器 OS 平台。
RBAC 群組 ID	字串	不適用	否	指定要尋找的 RBAC 群組 ID。

用途

調查來自 Defender ATP 連接器的快訊時，這項動作可用於收集資訊，瞭解檔案在 Defender ATP 中註冊的裝置。

執行日期

這項動作會對 Filehash 實體執行。

動作結果

指令碼結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

{
    "@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Machines",
    "value": [
        {
            "id": "example_id",
            "computerDnsName": "example-name",
            "firstSeen": "2019-11-18T11:13:04.0588699Z",
            "lastSeen": "2019-11-20T19:35:36.4619266Z",
            "osPlatform": "Windows10",
            "osVersion": null,
            "osProcessor": "x64",
            "version": "1803",
            "lastIpAddress": "192.0.2.1",
            "lastExternalIpAddress": "203.0.113.121",
            "agentVersion": "10.4860.17134.982",
            "osBuild": 17134,
            "healthStatus": "Active",
            "rbacGroupId": 0,
            "rbacGroupName": null,
            "riskScore": "High",
            "exposureLevel": "Medium",
            "aadDeviceId": null,
            "machineTags": []
        }
    ]
}

執行進階搜尋查詢

執行適用於端點的 Microsoft Defender 進階搜尋查詢。請注意，引號、換行或其他特殊符號需要逸出，例如使用反斜線逸出引號。

參數

參數顯示名稱	類型	預設值	為必填項目	說明
參數顯示名稱	類型	預設值	是否為必要項目	說明
查詢	字串	不適用	是	要執行的進階搜尋查詢。

用途

使用者可以擁有想用來查詢 Defender ATP 在處理特定 Defender 警示期間所收集資料的搜尋查詢，透過這項動作執行這些進階搜尋查詢。

執行日期

這項操作會對所有實體執行。

動作結果

指令碼結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

{
    "Stats": {
        "ExecutionTime": 0.0156652,
        "resource_usage": {
            "cache": {
                "memory": {
                    "hits": 13,
                    "misses": 0,
                    "total": 13
                },
                "disk": {
                    "hits": 0,
                    "misses": 0,
                    "total": 0
                }
            },
            "cpu": {
                "user": "00:00:00.0156250",
                "kernel": "00:00:00",
                "total cpu": "00:00:00.0156250"
            },
            "memory": {
                "peak_per_node": 33554624
            }
        },
        "dataset_statistics": [
            {
                "table_row_count": 2,
                "table_size": 60
            }
        ]
    },
    "Schema": [
        {
            "Name": "EventTime",
            "Type": "DateTime"
        },
        {
            "Name": "FileName",
            "Type": "String"
        },
        {
            "Name": "InitiatingProcessFileName",
            "Type": "String"
        }
    ],
    "Results": [
        {
            "EventTime": "2019-11-18T11:13:07.043128Z",
            "FileName": "csc.exe",
            "InitiatingProcessFileName": "powershell.exe"
        },
        {
            "EventTime": "2019-11-19T03:54:14.4256361Z",
            "FileName": "csc.exe",
            "InitiatingProcessFileName": "powershell.exe"
        }
    ]
}

等待工作狀態

等待工作狀態。

參數

參數顯示名稱	類型	預設值	是否為必要項目	說明
工作 ID	字串	不適用	是	工作 ID 清單，以半形逗號分隔的字串形式表示。

執行日期

這項操作會對所有實體執行。

動作結果

指令碼結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

[
    {
        "status": "Succeeded",
        "creation_date_time_utc": "2020-02-08T03:24:52.8526634Z",
        "cancellation_requestor": null,
        "cancellation_date_time_utc": null,
        "id": "2e39d22e-60a7-4267-899c-a1471e800000",
        "last_update_date_time_utc": "2020-02-08T03:25:35.8345081Z",
        "related_file_info": null,
        "cancellation_comment": null,
        "requestor": "e4fc6454-754d-47f7-bbdb-045fad600000",
        "error_h_result": 0,
        "scope": "Selective",
        "machine_id": "fbc85cf3fbcc8bb14d1a84fcf7bbae4531f00000",
        "type": "Isolate",
        "requestor_comment": "test"
    }
]

取得目前的工作狀態

取得工作目前的狀態。

參數

參數顯示名稱	類型	預設值	是否為必要項目	說明
工作 ID	字串	不適用	是	工作 ID 清單，以半形逗號分隔的字串形式表示。

執行日期

這項操作會對所有實體執行。

動作結果

指令碼結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

[
    {
        "status": "Succeeded",
        "creation_date_time_utc": "2020-02-08T03:24:52.8526634Z",
        "cancellation_requestor": null,
        "cancellation_date_time_utc": null,
        "id": "2e39d22e-60a7-4267-899c-a1471e800000",
        "last_update_date_time_utc": "2020-02-08T03:25:35.8345081Z",
        "related_file_info": null,
        "cancellation_comment": null,
        "requestor": "e4fc6454-754d-47f7-bbdb-045fad600000",
        "error_h_result": 0,
        "scope": "Selective",
        "machine_id": "fbc85cf3fbcc8bb14d1a84fcf7bbae4531f00000",
        "type": "Isolate",
        "requestor_comment": "test"
    }
]

提交實體指標

在適用於端點的 Microsoft Defender 中，將實體做為指標提交。

參數

參數顯示名稱	類型	預設值	是否為必要項目	說明
動作	DDL	封鎖可能的值：封鎖稽核封鎖並修復允許	是	指定要對實體套用的動作。注意：「封鎖並修正」值僅適用於 filehash 實體。
嚴重性	DDL	高可能的值：高中低參考用	是	指定找到的實體嚴重程度。
應用程式	字串	不適用	否	指定與實體相關的應用程式。
指標快訊標題	字串	不適用	是	如果環境中已識別出警報，請指定警報標題。
說明	字串	Google SecOps Remediation	是	指定實體的說明。
建議做法	字串	不適用	否	指定處理實體的建議動作。

執行日期

這項動作會對下列實體執行：

IP 位址
網址
Filehash

動作結果

指令碼結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

案件總覽

結果類型	值 / 說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果有一個實體有可用資料 (is_success = true)：「已成功將下列實體做為指標提交至 Microsoft Defender for Endpoint：{entity.identifier}」。如果某個實體沒有資料 (is_success=true)：「Action wasn't able to submit the following entities as indicators to Microsoft Defender for Endpoint: {entity.identifier}」。如果某個實體回報 403 狀態碼：「Instance doesn't have enough permissions to submit for the following entities: {entity.identifier} 如果所有實體都沒有資料 (is_success=false)："None of the provided entities were submitted as indicators to Microsoft Defender for Endpoint." 如果實體已是指標：「下列實體已是 Microsoft Defender for Endpoint 中的指標：{entity.identifier}」動作應會失敗並停止執行應對手冊：如果發生重大錯誤，例如憑證有誤、無法連線至伺服器等：「Error executing action "Submit Entity Indicators"」。原因： {0}''.format(error.Stacktrace) 如果所有實體都回報 403 狀態代碼：「Error executing action "Submit Entity Indicators"」。原因：由於執行個體權限，系統未建立任何指標，請檢查設定。	一般

結果類型

值 / 說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果有一個實體有可用資料 (is_success = true)：「已成功將下列實體做為指標提交至 Microsoft Defender for Endpoint：{entity.identifier}」。

如果某個實體沒有資料 (is_success=true)：「Action wasn't able to submit the following entities as indicators to Microsoft Defender for Endpoint: {entity.identifier}」。

如果某個實體回報 403 狀態碼： 「Instance doesn't have enough permissions to submit for the following entities: {entity.identifier}

如果所有實體都沒有資料 (is_success=false)："None of the provided entities were submitted as indicators to Microsoft Defender for Endpoint."

如果實體已是指標：「下列實體已是 Microsoft Defender for Endpoint 中的指標：{entity.identifier}」

動作應會失敗並停止執行應對手冊：

如果發生重大錯誤，例如憑證有誤、無法連線至伺服器等：「Error executing action "Submit Entity Indicators"」。原因： {0}''.format(error.Stacktrace)

如果所有實體都回報 403 狀態代碼：「Error executing action "Submit Entity Indicators"」。原因：由於執行個體權限，系統未建立任何指標，請檢查設定。

一般

刪除實體指標

在適用於端點的 Microsoft Defender 中刪除實體指標。

參數

不適用

執行日期

這項動作會對下列實體執行：

IP 位址
網址
Filehash

動作結果

指令碼結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

案件總覽

結果類型	值 / 說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果系統回報 204 狀態碼 (is_success=true)：「已成功刪除 Microsoft Defender for Endpoint 中的下列實體做為指標：{entity.identifier}。如果找不到事件 (is_success=true)：「下列實體在 Microsoft Defender for Endpoint 中不存在指標：{entity.identifier}。動作應會失敗，並停止執行應對手冊：如果系統回報嚴重錯誤，例如憑證錯誤、無法連線至伺服器或其他錯誤：「Error executing action "Delete Entity Indicators". 原因： {0}''.format(error.Stacktrace)	一般

結果類型

值 / 說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果系統回報 204 狀態碼 (is_success=true)：「已成功刪除 Microsoft Defender for Endpoint 中的下列實體做為指標：{entity.identifier}。

如果找不到事件 (is_success=true)：「下列實體在 Microsoft Defender for Endpoint 中不存在指標：{entity.identifier}。

動作應會失敗，並停止執行應對手冊：

如果系統回報嚴重錯誤，例如憑證錯誤、無法連線至伺服器或其他錯誤： 「Error executing action "Delete Entity Indicators". 原因： {0}''.format(error.Stacktrace)

一般

列出指標

在適用於端點的 Microsoft Defender 中列出指標。

參數

參數顯示名稱	類型	預設值	是否為必要項目	說明
指標	CSV	不適用	否	指定要擷取的指標清單 (以半形逗號分隔)。
指標類型	CSV	FileSha1、FileSha256、FileMd5、CertificateThumbprint、IpAddress、DomainName、 Url	否	指定要擷取的指標類型清單 (以半形逗號分隔)。可能的值：FileSha1、FileSha256、FileMd5、CertificateThumbprint、IpAddress、DomainName、Url。
動作	CSV	Warn、Block、Audit、Alert、AlertAndBlock、BlockAndRemediate、Allowed	否	指定要用於篩選的指標動作清單 (以半形逗號分隔)。可能的值：Warn、Block、Audit、Alert、 AlertAndBlock、BlockAndRemediate、Allowed
嚴重性	CSV	資訊、低、中、高	否	指定要用於篩選的嚴重程度清單 (以半形逗號分隔)。可能的值：Informational、Low、Medium、High
要傳回的結果數量上限	整數	50	否	指定要傳回的指標數量。

執行日期

這項操作不會對實體執行。

動作結果

指令碼結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

{
    "id": "18",
    "indicatorValue": "110e7d15b011d7fac48f2bd61114db1022197f7a",
    "indicatorType": "FileSha1",
    "action": "Audit",
    "createdBy": "45e9773c-100e-4a9f-ad37-d8e182e9ed26",
    "severity": "Informational",
    "category": 1,
    "application": "demo-test",
    "educateUrl": null,
    "bypassDurationHours": null,
    "title": "test",
    "description": "test",
    "recommendedActions": "nothing",
    "creationTimeDateTimeUtc": "2022-02-08T14:20:34.9071582Z",
    "expirationTime": null,
    "lastUpdateTime": "2022-02-08T14:20:34.9151307Z",
    "lastUpdatedBy": null,
    "rbacGroupNames": [],
    "rbacGroupIds": [],
    "notificationId": null,
    "notificationBody": null,
    "version": null,
    "mitreTechniques": [],
    "historicalDetection": false,
    "lookBackPeriod": null,
    "generateAlert": true,
    "additionalInfo": null,
    "createdByDisplayName": "Example Defender ATP",
    "externalId": null,
    "createdBySource": "PublicApi",
    "certificateInfo": null
}

案件總覽

結果類型	值 / 說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果資料可用 (is_success=true)：「Successfully found indicators for the provided criteria in Microsoft Defender for Endpoint.」(已在 Microsoft Defender for Endpoint 中，成功找到符合所提供條件的指標)。如果沒有資料 (is_success=false)：「Microsoft Defender for Endpoint 中未找到符合所提供條件的指標。」動作應會失敗並停止執行應對手冊：如果系統回報嚴重錯誤，例如憑證錯誤、無法連線至伺服器或其他錯誤：「Error executing action "List Indicators" (執行「列出指標」動作時發生錯誤)。原因：{0}''.format(error.Stacktrace) 如果提供的「指標類型」參數無效：「執行動作『列出指標』時發生錯誤」。原因：參數「指標類型」的值無效。可能的值：FileSha1、FileSha256、FileMd5、CertificateThumbprint、IpAddress、DomainName、Url。如果提供無效的「Actions」參數：「Error executing action "List Indicators". 原因：參數「Actions」的值無效。可能的值：Warn、Block、Audit、Alert、AlertAndBlock、BlockAndRemediate、Allowed。如果提供無效的「嚴重程度」參數：「Error executing action "List Indicators"」。原因：參數「Actions」的值無效。可能的值：Informational、Low、Medium、High。	一般
案件總覽表格	發現的指標類型：indicatorType 動作：動作嚴重性：嚴重性說明：說明標題：標題建議：recommendedActions	實體

結果類型

值 / 說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果資料可用 (is_success=true)：「Successfully found indicators for the provided criteria in Microsoft Defender for Endpoint.」(已在 Microsoft Defender for Endpoint 中，成功找到符合所提供條件的指標)。

如果沒有資料 (is_success=false)：「Microsoft Defender for Endpoint 中未找到符合所提供條件的指標。」

動作應會失敗並停止執行應對手冊：

如果系統回報嚴重錯誤，例如憑證錯誤、無法連線至伺服器或其他錯誤：「Error executing action "List Indicators" (執行「列出指標」動作時發生錯誤)。原因：{0}''.format(error.Stacktrace)

如果提供的「指標類型」參數無效：「執行動作『列出指標』時發生錯誤」。原因：參數「指標類型」的值無效。可能的值：FileSha1、FileSha256、FileMd5、CertificateThumbprint、IpAddress、DomainName、Url。

如果提供無效的「Actions」參數：「Error executing action "List Indicators". 原因：參數「Actions」的值無效。可能的值：Warn、Block、Audit、Alert、AlertAndBlock、BlockAndRemediate、Allowed。

如果提供無效的「嚴重程度」參數：「Error executing action "List Indicators"」。原因：參數「Actions」的值無效。可能的值：Informational、Low、Medium、High。

一般

案件總覽表格

發現的指標

類型：indicatorType

動作：動作

嚴重性：嚴重性說明：說明標題：標題建議：recommendedActions

實體

連接器

如需在 Google SecOps 中設定連接器的詳細操作說明，請參閱設定連接器。

如要設定所選連結器，請使用下表列出的連結器專屬參數：

Microsoft Defender ATP 連接器設定參數
Microsoft Defender ATP 連接器第 2 版設定參數

Microsoft Defender ATP 連接器

自 2022 年 3 月 1 日起，Microsoft Defender ATP 連接器用於事件的 Defender ATP SIEM API 已淘汰。

連接器會定期連線至 Defender ATP API 端點，並擷取特定時間範圍內產生的警報清單。對於處理的快訊，連接器會在個別要求中從 Defender ATP 提取偵測資訊。偵測結果具有 AlertId 欄位，可用於將偵測結果與特定快訊建立關聯。

連接器參數

請使用下列參數設定連接器：

參數顯示名稱	類型	預設值	為必填項目	說明
產品欄位名稱	字串	ProductName	是	說明儲存產品名稱的欄位名稱。
事件欄位名稱	字串	AlertName	是	說明儲存事件名稱的欄位名稱。
環境欄位名稱	字串	""	否	說明儲存環境名稱的欄位名稱。如果找不到環境欄位，環境會是「」。
環境規則運算式模式	字串	.*	否	要在「`Environment Field Name`」欄位中找到的值上執行的規則運算式模式。預設值為 .*，可擷取所有內容並傳回未變更的值。用於允許使用者透過規則運算式邏輯操控環境欄位。如果規則運算式模式為空值或空白，或環境值為空值，最終環境結果為「」。
API 根層級	字串	https://api.securitycenter.windows.com	是	用於整合的 API 根網址。為提高效能，請使用最靠近您所在位置的伺服器： api-us.securitycenter.windows.com api-eu.securitycenter.windows.com api-uk.securitycenter.windows.com
Azure Active Directory ID	字串	不適用	是	Microsoft Entra 租戶 ID 可在「Active Directory」>「應用程式註冊」>「您的應用程式」>「目錄 (租戶) ID」中查看。
整合用戶端 ID	字串	不適用	是	在 Microsoft Entra 中註冊應用程式時新增的用戶端 (應用程式) ID，用於整合。
整合用戶端密鑰	密碼	不適用	是	為整合項目輸入的 Azure AD 應用程式註冊密鑰。
SIEM 用戶端 ID	字串	不適用	是	在適用於端點的 Microsoft Defender 中，啟用 SIEM 整合功能時的用戶端 (應用程式) ID。
SIEM 用戶端密鑰	密碼	不適用	是	適用於端點的 Microsoft Defender 中已啟用 SIEM 整合功能的密鑰。
時差 (以小時為單位)	整數	24	是	擷取 X 小時前的快訊。
每個週期最多可發出的快訊數	整數	100	是	單一連接器執行期間處理的快訊數量。
要擷取的快訊狀態	字串	Unknown、New、InProgress、Resolved	是	指定 Google SecOps 伺服器應擷取的 Defender ATP 快訊狀態。參數可以採用以半形逗號分隔的字串形式，接受多個值。
要擷取的警示嚴重程度	字串	UnSpecified、Informational、Low、Medium、High	是	指定 Google SecOps 伺服器應擷取的 Defender ATP 快訊嚴重程度。參數可以採用以半形逗號分隔的字串形式，接受多個值。
Proxy 伺服器位址	IP_OR_HOST	不適用	否	用於連線的 Proxy 伺服器。
Proxy 伺服器使用者名稱	字串	不適用	否	Proxy 伺服器使用者名稱。
Proxy 伺服器密碼	密碼	不適用	否	Proxy 伺服器密碼。

連接器規則

連接器不支援封鎖清單或動態清單規則。
連接器支援 Proxy。

Microsoft Defender ATP 連接器 V2

使用 365 Defender 事件 API 擷取 Defender ATP 快訊，取得事件資料。使用連接器動態清單，根據快訊 detectionSource 屬性值，只擷取特定類型的快訊。

連接器 SourceGroupIdentifier 屬性可用於根據 Defender ATP 事件 ID 將快訊分組。

必要條件

設定連接器前，請務必授予 Microsoft Entra 應用程式其他權限：

以使用者管理員或密碼管理員身分登入 Azure 入口網站。
選取「Microsoft Entra ID」。
依序前往「API Permissions」>「Add a permission」>「APIs my organization uses」。
依序選取「Microsoft Threat Protection」>「Application permissions」。
在「選取權限」部分，選取下列必要權限：
- Incident.Read.All
- Incident.ReadWrite.All
按一下「Add permissions」。
按一下「Grant admin consent for <租用戶>」YOUR_ORGANIZATION_NAME。

連接器參數

請使用下列參數設定連接器：

參數顯示名稱	類型	預設值	為必填項目	說明
產品欄位名稱	字串	::	是	說明儲存產品名稱的欄位名稱。
事件欄位名稱	字串	EventName	是	說明儲存事件名稱的欄位名稱。
環境欄位名稱	字串	""	否	說明儲存環境名稱的欄位名稱。如果找不到環境欄位，環境會是「」。
環境規則運算式模式	字串	.*	否	要在「`Environment Field Name`」欄位中找到的值上執行的規則運算式模式。預設值為 .*，可擷取所有內容並傳回未變更的值。用於允許使用者透過規則運算式邏輯操控環境欄位。如果規則運算式模式為空值或空白，或環境值為空值，最終環境結果為「」。
Defender ATP API 根層級	字串	https://api.securitycenter.windows.com	是	用於整合的 API 根網址為提高效能，你可以使用最靠近你所在位置的伺服器： api-us.securitycenter.windows.com api-eu.securitycenter.windows.com api-uk.securitycenter.windows.com
365 Defender API 根層級	字串	https://api.security.microsoft.com	是	用於取得 Google SecOps 事件資料的 Microsoft 365 Defender 執行個體 API 根目錄。
Azure Active Directory ID	字串	不適用	是	Microsoft Entra 用戶群 ID，位於「Microsoft Entra」>「應用程式註冊」>「您的應用程式」>「目錄 (用戶群) ID」。
整合用戶端 ID	字串	不適用	是	在 Microsoft Entra 中註冊應用程式時新增的用戶端 (應用程式) ID，用於整合。
整合用戶端密鑰	密碼	不適用	是	為整合項目輸入的 Azure AD 應用程式註冊密鑰。
驗證 SSL	核取方塊	已勾選	是	如果啟用，系統會驗證連線至 Microsoft 365 Defender 伺服器的 SSL 憑證是否有效。
時差 (以小時為單位)	整數	24	是	擷取 X 小時前的快訊。
每個週期最多可發出的快訊數	整數	10	是	單一連接器執行期間處理的快訊數量。
要擷取的快訊狀態	字串	Unknown、New、InProgress、Resolved	是	指定 Google SecOps 伺服器應擷取的 Defender ATP 快訊狀態。參數可以採用以半形逗號分隔的字串形式，接受多個值。
要擷取的警示嚴重程度	字串	UnSpecified、Informational、Low、Medium、High	是	指定 Google SecOps 伺服器應擷取的 Defender ATP 警示嚴重程度。參數可以採用以半形逗號分隔的字串形式，接受多個值。
停用溢位	核取方塊	已取消勾選	否	啟用後，連接器會忽略溢位機制。
指令碼逾時	整數	300	是	指定連接器的執行逾時時間。
將許可清單當做封鎖清單使用	核取方塊	已取消勾選	否	如果啟用，系統會將動態清單做為封鎖清單。
Proxy 伺服器位址	IP_OR_HOST	不適用	否	用於連線的 Proxy 伺服器。
Proxy 伺服器使用者名稱	字串	不適用	否	Proxy 伺服器使用者名稱。
Proxy 伺服器密碼	密碼	不適用	否	Proxy 伺服器密碼。

連接器規則

連接器支援以 detectionSource Defender ATP 警報欄位值為依據的動態清單邏輯。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。