Diese Seite wurde von der Cloud Translation API übersetzt.

Microsoft Graph Security

In diesem Dokument finden Sie eine Anleitung zur Integration der Microsoft Graph Security API in Google Security Operations (Google SecOps).

Integrationsversion: 20.0

Dieses Dokument bezieht sich auf die Microsoft Graph Security API. In der Google SecOps-Plattform heißt die Integration für die Microsoft Graph Security API Microsoft Graph Security.

‌Vorbereitung

Führen Sie die folgenden Schritte aus, bevor Sie die Integration in der Google SecOps-Plattform konfigurieren:

Erstellen Sie die Microsoft Entra-App.
Konfigurieren Sie die API-Berechtigungen für Ihre Anwendung.
Erstellen Sie einen Clientschlüssel.

Microsoft Entra-Anwendung erstellen

Führen Sie die folgenden Schritte aus, um die Microsoft Entra-Anwendung zu erstellen:

Melden Sie sich im Azure-Portal als Nutzeradministrator oder Passwortadministrator an.
Wählen Sie Microsoft Entra ID aus.
Rufen Sie App-Registrierungen > Neue Registrierung auf.
Geben Sie den Namen der Anwendung ein.
Geben Sie im Feld Weiterleitungs-URI den Wert http://localhost/ ein.
Klicken Sie auf Registrieren.
Speichern Sie die Werte für Anwendungs-ID (Client) und Verzeichnis-ID (Mandant), um sie später zum Konfigurieren der Integrationsparameter zu verwenden.

API-Berechtigungen konfigurieren

Führen Sie die folgenden Schritte aus, um die API-Berechtigungen für die Integration zu konfigurieren:

Klicken Sie im Azure-Portal auf API-Berechtigungen > Berechtigung hinzufügen.
Wählen Sie Microsoft Graph > Anwendungsberechtigungen aus.
Wählen Sie im Bereich Berechtigungen auswählen die folgenden erforderlichen Berechtigungen aus:
- User.ReadWrite.All
- Mail.Read
- Directory.ReadWrite.All
- Directory.AccessAsUser.All
- SecurityEvents.ReadWrite.All
- SecurityEvents.Read.All
Klicken Sie auf Berechtigungen hinzufügen.
Klicken Sie auf Einwilligung des Administrators für YOUR_ORGANIZATION_NAME erteilen.

Klicken Sie im Dialogfeld Bestätigung der Administratorzustimmung erteilen auf Ja.

Clientschlüssel erstellen

So erstellen Sie einen Clientschlüssel:

Rufen Sie Zertifikate und Secrets > Neuer Clientschlüssel auf.
Geben Sie eine Beschreibung für einen Clientschlüssel an und legen Sie das Ablaufdatum fest.
Klicken Sie auf Hinzufügen.
Speichern Sie den Wert des Clientschlüssels (nicht die Secret-ID), um ihn als Parameterwert für Secret-ID für die Konfiguration der Integration zu verwenden. Der Wert des Clientschlüssels wird nur einmal angezeigt.

Microsoft Graph Security API in Google SecOps einbinden

Für die Integration sind die folgenden Parameter erforderlich:

Parameter	Beschreibung
`Client ID`	Erforderlich Die Client-ID (Anwendungs-ID) der Microsoft Entra-Anwendung, die in der Integration verwendet werden soll.
`Secret ID`	Optional Der Clientschlüsselwert der Microsoft Entra-Anwendung, die in der Integration verwendet werden soll.
`Certificate Path`	Optional Wenn Sie die Authentifizierung auf Grundlage von Zertifikaten anstelle des Clientschlüssels verwenden, geben Sie den Pfad zum Zertifikat auf dem Google SecOps-Server ein.
`Certificate Password`	Optional Wenn das von Ihnen verwendete Authentifizierungszertifikat passwortgeschützt ist, geben Sie das Passwort zum Öffnen der Zertifikatdatei an.
`Tenant`	Erforderlich Der Wert für die Microsoft Entra ID (Mandanten-ID).
`Use V2 API`	Optional Wenn diese Option aktiviert ist, verwendet der Connector V2-API-Endpunkte. Hinweis: Die Struktur der Benachrichtigungen und Ereignisse wird sich ändern.

Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.

Aktionen

Weitere Informationen zu Aktionen finden Sie unter Auf ausstehende Aktionen in Ihrem Arbeitsbereich reagieren und Manuelle Aktion ausführen.

Kommentar zu Benachrichtigung hinzufügen

Mit der Aktion Add Alert Comment (Benachrichtigungskommentar hinzufügen) können Sie der Benachrichtigung in Microsoft Graph einen Kommentar hinzufügen.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Add Alert Comment sind die folgenden Parameter erforderlich:

Parameter	Beschreibung
`Alert ID`	Erforderlich Die ID der zu aktualisierenden Benachrichtigung.
`Comment`	Erforderlich Der Kommentar zur Benachrichtigung.

Aktionsausgaben

Die Aktion Benachrichtigungskommentar hinzufügen liefert die folgenden Ausgaben:

Ausgabetyp der Aktion	Verfügbarkeit
Anhang im Fall-Repository	Nicht verfügbar
Link zum Fall‑Repository	Nicht verfügbar
Tabelle „Fall-Repository“	Nicht verfügbar
Anreicherungstabelle	Nicht verfügbar
JSON-Ergebnis	Nicht verfügbar
Ausgabemeldungen	Verfügbar
Scriptergebnis	Verfügbar

Ausgabemeldungen

Die Aktion Benachrichtigungskommentar hinzufügen kann die folgenden Ausgabemeldungen zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Ausgabemeldung	Nachrichtenbeschreibung
`Successfully added comment to the alert ALERT_ID in Microsoft Graph.`	Die Aktion wurde ausgeführt.
`Error executing action "Add Alert Comment". Reason: ERROR_REASON`	Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Successfully added comment to the alert ALERT_ID in Microsoft Graph.

Die Aktion wurde ausgeführt.

Error executing action "Add Alert Comment". Reason:
      ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Add Alert Comment (Benachrichtigungskommentar hinzufügen) verwendet wird:

Name des Scriptergebnisses	Wert
`is_success`	`True` oder `False`

Einwilligung des Administrators einholen

Verwenden Sie die Aktion Administratorzustimmung einholen, um Ihrer Anwendung die Berechtigungen im Azure-Portal zu gewähren.

Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Administratoreinwilligung einholen sind die folgenden Parameter erforderlich:

Parameter	Beschreibung
`Redirect URL`	Erforderlich Die Weiterleitungs-URL, die Sie bei der Registrierung im Azure-Portal verwendet haben.

Aktionsausgaben

Die Aktion Administratorzustimmung einholen liefert die folgenden Ausgaben:

Ausgabetyp der Aktion	Verfügbarkeit
Anhang im Fall-Repository	Nicht verfügbar
Link zum Fall‑Repository	Nicht verfügbar
Tabelle „Fall-Repository“	Nicht verfügbar
Anreicherungstabelle	Nicht verfügbar
JSON-Ergebnis	Nicht verfügbar
Scriptergebnis	Verfügbar

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Administratorzustimmung einholen verwendet wird:

Name des Scriptergebnisses	Wert
`is_connected`	`True` oder `False`

Benachrichtigung erhalten

Mit der Aktion Get Alert (Benachrichtigung abrufen) können Sie die Eigenschaften und Beziehungen einer Benachrichtigung anhand der Benachrichtigungs-ID abrufen.

Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Get Alert sind die folgenden Parameter erforderlich:

Parameter	Beschreibung
`Alert ID`	Erforderlich Die ID der Benachrichtigung, für die Details abgerufen werden sollen.

Aktionsausgaben

Die Aktion Get Alert (Benachrichtigung abrufen) liefert die folgenden Ausgaben:

Ausgabetyp der Aktion	Verfügbarkeit
Anhang im Fall-Repository	Nicht verfügbar
Link zum Fall‑Repository	Nicht verfügbar
Tabelle „Fall-Repository“	Nicht verfügbar
Anreicherungstabelle	Nicht verfügbar
JSON-Ergebnis	Nicht verfügbar
Scriptergebnis	Verfügbar

JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Get Alert (Benachrichtigung abrufen) empfangen wird:

{
  "feedback": "@odata.type: microsoft.graph.alertFeedback",
  "recommendedActions": ["String"],
  "networkConnections":
    [{
      "applicationName": "String",
      "natDestinationPort": "String",
      "destinationAddress": "String",
      "localDnsName": "String",
      "natDestinationAddress": "String",
      "destinationUrl": "String",
      "natSourceAddress": "String",
      "sourceAddress": "String",
      "direction": "@odata.type: microsoft.graph.connectionDirection",
      "domainRegisteredDateTime": "String (timestamp)",
      "status": "@odata.type: microsoft.graph.connectionStatus",
      "destinationDomain": "String",
      "destinationPort": "String",
      "sourcePort": "String",
      "protocol": "@odata.type: microsoft.graph.securityNetworkProtocol",
      "natSourcePort": "String",
      "riskScore": "String",
      "urlParameters": "String"
     }],
  "cloudAppStates":
    [{
      "destinationServiceIp": "String",
      "riskScore": "String",
      "destinationServiceName": "String"
     }],
  "detectionIds": ["String"],
  "id": "String (identifier)",
  "category": "String",
  "fileStates":
    [{
      "path": "String",
      "riskScore": "String",
      "name": "String",
      "fileHash":
        {
          "hashType": "@odata.type: microsoft.graph.fileHashType",
          "hashValue": "String"
         }
     }],
  "severity": "@odata.type: microsoft.graph.alertSeverity",
  "title": "String",
  "sourceMaterials": ["String"],
  "comments": ["String"],
  "assignedTo": "String",
  "eventDateTime": "String (timestamp)",
  "activityGroupName": "String",
  "status": "@odata.type: microsoft.graph.alertStatus",
  "description": "String",
  "tags": ["String"],
  "confidence": 1024,
  "vendorInformation":
      {
        "providerVersion": "String",
        "vendor": "String",
        "subProvider": "String",
        "provider": "String"
      },
  "userStates":
      [{
        "emailRole": "@odata.type: microsoft.graph.emailRole",
        "logonId": "String",
        "domainName": "String",
        "onPremisesSecurityIdentifier": "String",
        "userPrincipalName": "String",
        "userAccountType": "@odata.type: microsoft.graph.userAccountSecurityType",
        "logonIp": "String",
        "logonDateTime": "String (timestamp)",
        "logonType": "@odata.type: microsoft.graph.logonType",
        "logonLocation": "String",
        "aadUserId": "String",
        "accountName": "String",
        "riskScore": "String",
        "isVpn": "true"
        }],
 "malwareStates":
      [{
        "category": "String",
        "wasRunning": "true",
        "name": "String",
        "family": "String",
        "severity": "String"
       }],
  "processes":
      [{
        "processId": 1024,
        "integrityLevel": "@odata.type: microsoft.graph.processIntegrityLevel",
        "name": "String",
        "fileHash":
            {
              "hashType": "@odata.type: microsoft.graph.fileHashType",
              "hashValue": "String"
            },
       "parentProcessId": 1024,
       "createdDateTime": "String (timestamp)",
       "commandLine": "String",
       "parentProcessName": "String",
       "accountName": "String",
       "isElevated": "true",
       "path": "String",
       "parentProcessCreatedDateTime": "String (timestamp)"
      }],
  "azureTenantId": "String",
  "triggers":
     [{
       "type": "String",
       "name": "String",
       "value": "String"
      }],
  "createdDateTime": "String (timestamp)",
  "vulnerabilityStates":
     [{
       "cve": "String",
       "severity": "String",
       "wasRunning": "true"
     }],
  "hostStates":
     [{
       "isAzureAadRegistered": "true",
       "riskScore": "String",
       "fqdn": "String",
       "isHybridAzureDomainJoined": "true",
       "netBiosName": "String",
       "publicIpAddress": "String",
        "isAzureAadJoined": "true",
        "os": "String",
        "privateIpAddress": "String"
      }],
  "lastModifiedDateTime": "String (timestamp)",
  "registryKeyStates":
      [{
        "processId": 1024,
        "oldKey": "String",
        "oldValueName": "String",
         "valueType": "@odata.type: microsoft.graph.registryValueType",
        "oldValueData": "String",
        "hive": "@odata.type: microsoft.graph.registryHive",
        "valueData": "String",
        "key": "String",
        "valueName": "String",
        "operation": "@odata.type: microsoft.graph.registryOperation"
       }],
  "closedDateTime": "String (timestamp)",
  "azureSubscriptionId": "String"
}

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Get Alert verwendet wird:

Name des Scriptergebnisses	Wert
`alert_details`	`True` oder `False`

Vorfall abrufen

Mit der Aktion Get Incident (Vorfall abrufen) können Sie Details zu einem Sicherheitsvorfall anhand der Vorfall-ID abrufen.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Get Incident sind die folgenden Parameter erforderlich:

Parameter	Beschreibung
`Incident ID`	Erforderlich Die ID des Vorfalls, für den die Details abgerufen werden sollen.

Aktionsausgaben

Die Aktion Get Incident (Vorfälle abrufen) gibt Folgendes aus:

Ausgabetyp der Aktion	Verfügbarkeit
Anhang im Fall-Repository	Nicht verfügbar
Link zum Fall‑Repository	Nicht verfügbar
Tabelle „Fall-Repository“	Nicht verfügbar
Anreicherungstabelle	Nicht verfügbar
JSON-Ergebnis	Nicht verfügbar
Ausgabemeldungen	Verfügbar
Scriptergebnis	Verfügbar

Ausgabemeldungen

Die Aktion Get Incident (Vorfall abrufen) kann die folgenden Ausgabemeldungen zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Ausgabemeldung	Nachrichtenbeschreibung
`Successfully returned information about the incident INCIDENT_ID.`	Die Aktion wurde ausgeführt.
`Error executing action "Get Incident". Reason: ERROR_REASON`	Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Successfully returned information about the incident INCIDENT_ID.

Die Aktion wurde ausgeführt.

Error executing action "Get Incident". Reason:
      ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Get Incident aufgeführt:

Name des Scriptergebnisses	Wert
`is_success`	`True` oder `False`

Nutzersitzung beenden

Mit der Aktion Kill User Session (Nutzersitzung beenden) können Sie alle Aktualisierungstokens ungültig machen, die für Anwendungen für einen Nutzer ausgestellt wurden. Dazu wird die Nutzerproperty signInSessionsValidFromDateTime auf das aktuelle Datum und die aktuelle Uhrzeit zurückgesetzt.

Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Kill User Session sind die folgenden Parameter erforderlich:

Parameter	Beschreibung
`userPrincipalName\| ID`	Erforderlich Der Nutzername oder der Wert für die eindeutige Nutzer-ID, der in Microsoft Entra ID verwendet wird.

Aktionsausgaben

Die Aktion Kill User Session (Nutzersitzung beenden) bietet die folgenden Ausgaben:

Ausgabetyp der Aktion	Verfügbarkeit
Anhang im Fall-Repository	Nicht verfügbar
Link zum Fall‑Repository	Nicht verfügbar
Tabelle „Fall-Repository“	Nicht verfügbar
Anreicherungstabelle	Nicht verfügbar
JSON-Ergebnis	Nicht verfügbar
Scriptergebnis	Verfügbar

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Kill User Session (Nutzer-Sitzung beenden) verwendet wird:

Name des Scriptergebnisses	Wert
`is_success`	`True` oder `False`

Benachrichtigungen auflisten

Mit der Aktion List Alerts (Warnungen auflisten) können Sie verfügbare Warnungen in Microsoft Graph auflisten.

Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.

Die Filterung erfolgt auf der Seite der Microsoft Graph API. Bei Produkten, die Benachrichtigungen in Microsoft Graph veröffentlichen und keine Filterung unterstützen, fügt Microsoft Graph alle Benachrichtigungen in die Antwort ein, als ob die Benachrichtigungen den Filter bestanden hätten.

Aktionseingaben

Für die Aktion List Alerts sind die folgenden Parameter erforderlich:

Parameter	Beschreibung
`Filter Key`	Optional Geben Sie den Schlüssel an, der zum Filtern von Benachrichtigungen verwendet werden muss. Hinweis: Die Option „Titel“ wird in der V2 API nicht unterstützt.
`Filter Logic`	Optional Die anzuwendende Filterlogik. Die Filterlogik basiert auf dem Parameterwert `Filter Key`. Folgende Werte sind möglich: `Not Specified` `Equal` `Contains` Der Standardwert ist `Not Specified`.
`Filter Value`	Optional Der Wert, der im Filter verwendet werden soll. Wenn Sie `Equal` auswählen, wird versucht, in den Ergebnissen die genaue Übereinstimmung zu finden. Wenn Sie `Contains` auswählen, wird versucht, Ergebnisse zu finden, die den ausgewählten Teilstring enthalten. Wenn Sie keinen Wert festlegen, wird der Filter nicht angewendet. Die Filterlogik basiert auf dem Parameterwert `Filter Key`.
`Max Records To Return`	Optional Die Anzahl der Datensätze, die für jeden Aktionslauf zurückgegeben werden sollen. Der Standardwert ist 50.

Aktionsausgaben

Die Aktion List Alerts (Benachrichtigungen auflisten) gibt die folgenden Ausgaben zurück:

Ausgabetyp der Aktion	Verfügbarkeit
Anhang im Fall-Repository	Nicht verfügbar
Link zum Fall‑Repository	Nicht verfügbar
Tabelle „Fall-Repository“	Nicht verfügbar
Anreicherungstabelle	Nicht verfügbar
JSON-Ergebnis	Verfügbar
Ausgabemeldungen	Verfügbar
Scriptergebnis	Verfügbar

JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion List Alerts (Benachrichtigungen auflisten) empfangen wird:

{
            "id": "ID",
            "azureTenantId": "TENANT_ID",
            "azureSubscriptionId": null,
            "riskScore": null,
            "tags": [],
            "activityGroupName": null,
            "assignedTo": null,
            "category": "ImpossibleTravel",
            "closedDateTime": null,
            "comments": [],
            "confidence": null,
            "createdDateTime": "2022-04-29T13:10:59.705Z",
            "description": "Sign-in from an atypical location based on the user's recent sign-ins",
            "detectionIds": [],
            "eventDateTime": "2022-04-29T11:36:59.1520667Z",
            "feedback": null,
            "incidentIds": [],
            "lastEventDateTime": null,
            "lastModifiedDateTime": "2022-04-30T14:44:43.4742002Z",
            "recommendedActions": [],
            "severity": "medium",
            "sourceMaterials": [],
            "status": "newAlert",
            "title": "Atypical travel",
            "vendorInformation": {
                "provider": "IPC",
                "providerVersion": null,
                "subProvider": null,
                "vendor": "Microsoft"
            },
            "alertDetections": [],
            "cloudAppStates": [],
            "fileStates": [],
            "hostStates": [],
            "historyStates": [],
            "investigationSecurityStates": [],
            "malwareStates": [],
            "messageSecurityStates": [],
            "networkConnections": [],
            "processes": [],
            "registryKeyStates": [],
            "securityResources": [],
            "triggers": [],
            "userStates": [
                {
                    "aadUserId": "b786d3cf-e97d-4511-b61c-0559e9f4da75",
                    "accountName": "example.user",
                    "domainName": "example.com",
                    "emailRole": "unknown",
                    "isVpn": null,
                    "logonDateTime": "2022-04-29T11:36:59.1520667Z",
                    "logonId": null,
                    "logonIp": "203.0.113.194",
                    "logonLocation": "1800 Amphibious Blvd, Mountain View, CA 94045",
                    "logonType": null,
                    "onPremisesSecurityIdentifier": null,
                    "riskScore": null,
                    "userAccountType": null,
                    "userPrincipalName": "example.user@example.com"
                },
                {
                    "aadUserId": "b786d3cf-e97d-4511-b61c-0559e9f4da75",
                    "accountName": "example.user",
                    "domainName": "example.com",
                    "emailRole": "unknown",
                    "isVpn": null,
                    "logonDateTime": "2022-04-29T11:15:00Z",
                    "logonId": null,
                    "logonIp": "192.0.2.160",
                    "logonLocation": "ES",
                    "logonType": null,
                    "onPremisesSecurityIdentifier": null,
                    "riskScore": null,
                    "userAccountType": null,
                    "userPrincipalName": "example.user@example.com"
                }
            ],
            "uriClickSecurityStates": [],
            "vulnerabilityStates": []
}

Ausgabemeldungen

Die Aktion List Alerts kann die folgenden Ausgabenachrichten zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Ausgabemeldung	Nachrichtenbeschreibung
`Successfully found alerts for the provided criteria in Microsoft Graph.` `No alerts were found for the provided criteria in Microsoft Graph.` `The filter was not applied because the "Filter Value" parameter has an empty value.`	Die Aktion wurde ausgeführt.
`Error executing action "List Alerts". Reason: ERROR_REASON`	Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Successfully found alerts for the provided criteria in Microsoft Graph.

No alerts were found for the provided criteria in Microsoft Graph.

The filter was not applied because the "Filter Value" parameter has an empty value.

Die Aktion wurde ausgeführt.

Error executing action "List Alerts". Reason:
      ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion List Alerts aufgeführt:

Name des Scriptergebnisses	Wert
`alerts_details`	`ALERT_DETAILS`

Vorfälle auflisten

Mit der Aktion List Incidents (Vorfälle auflisten) können Sie die Sicherheitsvorfälle aus Microsoft Graph anhand der angegebenen Kriterien auflisten.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion List Incidents sind die folgenden Parameter erforderlich:

Parameter	Beschreibung
`Filter Key`	Optional Geben Sie den Schlüssel an, der zum Filtern von Benachrichtigungen verwendet werden muss. Hinweis: Die Option „Titel“ wird in der V2 API nicht unterstützt.
`Filter Logic`	Optional Die anzuwendende Filterlogik. Die Filterlogik basiert auf dem Parameterwert `Filter Key`. Folgende Werte sind möglich: `Not Specified` `Equal` `Contains` Der Standardwert ist `Not Specified`.
`Filter Value`	Optional Der Wert, der im Filter verwendet werden soll. Wenn Sie `Equal` auswählen, wird versucht, in den Ergebnissen die genaue Übereinstimmung zu finden. Wenn Sie `Contains` auswählen, wird versucht, Ergebnisse zu finden, die den ausgewählten Teilstring enthalten. Wenn Sie keinen Wert festlegen, wird der Filter nicht angewendet. Die Filterlogik basiert auf dem Parameterwert `Filter Key`.
`Max Records To Return`	Optional Die Anzahl der Datensätze, die für jeden Aktionslauf zurückgegeben werden sollen. Der Standardwert ist 50.

Aktionsausgaben

Die Aktion List Incidents (Vorfälle auflisten) bietet die folgenden Ausgaben:

Ausgabetyp der Aktion	Verfügbarkeit
Anhang im Fall-Repository	Nicht verfügbar
Link zum Fall‑Repository	Nicht verfügbar
Tabelle „Fall-Repository“	Nicht verfügbar
Anreicherungstabelle	Nicht verfügbar
JSON-Ergebnis	Nicht verfügbar
Ausgabemeldungen	Verfügbar
Scriptergebnis	Verfügbar

Ausgabemeldungen

Die Aktion List Incidents (Vorfälle auflisten) kann die folgenden Ausgabemeldungen zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Ausgabemeldung	Nachrichtenbeschreibung
`Successfully found incidents for the provided criteria in Microsoft Graph.` `No incidents were found for the provided criteria in Microsoft Graph.` `The filter was not applied because the "Filter Value" parameter has an empty value.`	Die Aktion wurde ausgeführt.
`Error executing action "List Incidents". Reason: ERROR_REASON`	Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Successfully found incidents for the provided criteria in Microsoft Graph.

No incidents were found for the provided criteria in Microsoft Graph.

The filter was not applied because the "Filter Value" parameter has an empty value.

Die Aktion wurde ausgeführt.

Error executing action "List Incidents". Reason:
      ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion List Incidents verwendet wird:

Name des Scriptergebnisses	Wert
`is_success`	`True` oder `False`

Ping

Verwenden Sie die Aktion Ping, um die Verbindung zu Microsoft Graph zu testen.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Keine.

Aktionsausgaben

Die Aktion Ping bietet die folgenden Ausgaben:

Ausgabetyp der Aktion	Verfügbarkeit
Anhang im Fall-Repository	Nicht verfügbar
Link zum Fall‑Repository	Nicht verfügbar
Tabelle „Fall-Repository“	Nicht verfügbar
Anreicherungstabelle	Nicht verfügbar
JSON-Ergebnis	Nicht verfügbar
Scriptergebnis	Verfügbar

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Ping aufgeführt:

Name des Scriptergebnisses	Wert
`is_success`	`True` oder `False`

Benachrichtigung ändern

Mit der Aktion Update Alert (Benachrichtigung aktualisieren) können Sie eine bearbeitbare Benachrichtigungseigenschaft aktualisieren.

Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Update Alert sind die folgenden Parameter erforderlich:

Parameter	Beschreibung
`Alert ID`	Erforderlich Die ID der zu aktualisierenden Benachrichtigung.
`Assigned To`	Optional Der Name des Analysten, dem die Benachrichtigung zur Triage, Untersuchung oder Behebung zugewiesen ist.
`Closed Date Time`	Optional Zeitpunkt, zu dem die Benachrichtigung geschlossen wurde. Der Typ „Timestamp“ stellt Datums- und Zeitinformationen im ISO 8601-Format dar und ist immer in UTC-Zeit angegeben. Beispiel: Mitternacht UTC am 1. Januar 2014 würde so aussehen: '2014-01-01T00:00:00Z'. Hinweis: Dieser Parameter wird in der V2-Version der API nicht unterstützt.
`Comments`	Optional Analystenkommentare zur Benachrichtigung (für die Verwaltung von Kundenbenachrichtigungen), durch Kommas getrennt. Mit dieser Methode kann das Feld „comments“ nur mit den folgenden Werten aktualisiert werden: „Closed in IPC“ und „Closed in MCAS“. Hinweis: In der V2-Version der API funktioniert dieser Parameter als String und dem Alert wird ein einzelner Kommentar hinzugefügt.
`Feedback`	Optional Feedback des Analysten zur Benachrichtigung. Mögliche Werte: unknown, truePositive, falsePositive, benignPositive. Hinweis: In der V2-Version der API wird dieser Parameter auf „classification“ abgebildet und hat die folgenden möglichen Werte: „unknown“, „falsePositive“, „truePositive“, „informationalExpectedActivity“, „unknownFutureValue“.
`Status`	Optional Der Lebenszyklusstatus der Benachrichtigung. Folgende Werte sind möglich: `unknown` `newAlert` `inProgress` `resolved`
`Tags`	Optional Benutzerdefinierbare Labels, die auf eine Benachrichtigung angewendet werden können. Durch Komma getrennt. Hinweis: Dieser Parameter wird in der V2-Version der API nicht unterstützt.

Aktionsausgaben

Die Aktion Update Alert (Benachrichtigung über Update) liefert die folgenden Ausgaben:

Ausgabetyp der Aktion	Verfügbarkeit
Anhang im Fall-Repository	Nicht verfügbar
Link zum Fall‑Repository	Nicht verfügbar
Tabelle „Fall-Repository“	Nicht verfügbar
Anreicherungstabelle	Nicht verfügbar
JSON-Ergebnis	Nicht verfügbar
Scriptergebnis	Verfügbar

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Update Alert verwendet wird:

Name des Scriptergebnisses	Wert
`is_updated`	`True` oder `False`

Connectors

Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Daten aufnehmen (Connectors).

Microsoft Graph Security Connector

Mit dem Microsoft Graph Security Connector können Sie Warnungen, die in der Microsoft Graph Security API veröffentlicht werden, als Google SecOps-Warnungen aufnehmen. Der Connector stellt regelmäßig eine Verbindung zum Microsoft Graph-Sicherheitsendpunkt her und ruft eine Liste der Vorfälle ab, die für einen bestimmten Zeitraum generiert wurden.

Für den Microsoft Graph Security Connector sind die folgenden Parameter erforderlich:

Parameter	Beschreibung
`Product Field Name`	Erforderlich Der Name des Felds, in dem der Produktname gespeichert ist. Der Standardwert ist `ProductFieldName`.
`Event Field Name`	Erforderlich Der Feldname, der zum Bestimmen des Ereignisnamens (Untertyp) verwendet wird. Der Standardwert ist `AlertName`.
`Script Timeout (Seconds)`	Erforderlich Das Zeitlimit (in Sekunden) für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. Der Standardwert beträgt 30 Sekunden.
`Environment Field Name`	Optional Der Name des Felds, in dem der Name der Umgebung gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, wird die Umgebung auf `""` gesetzt.
`Pattern`	Optional Ein reguläres Ausdrucksmuster, das auf den Wert im Feld `Environment Field Name` angewendet wird. Mit diesem Parameter können Sie das Feld „environment“ mithilfe der Logik für reguläre Ausdrücke bearbeiten. Verwenden Sie den Standardwert `.*`, um den erforderlichen Rohwert `Environment Field Name` abzurufen. Wenn das Muster des regulären Ausdrucks null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis `""`.
`Client ID`	Erforderlich Die Client-ID (Anwendungs-ID) der Microsoft Entra-Anwendung, die in der Integration verwendet werden soll.
`Client Secret`	Optional Der Clientschlüsselwert der Microsoft Entra-Anwendung, die in der Integration verwendet werden soll.
`Certificate Path`	Optional Wenn Sie die Authentifizierung auf Grundlage von Zertifikaten anstelle des Clientschlüssels verwenden, geben Sie den Pfad zum Zertifikat auf dem Google SecOps-Server ein.
`Certificate Password`	Optional Wenn das von Ihnen verwendete Authentifizierungszertifikat passwortgeschützt ist, geben Sie das Passwort zum Öffnen der Zertifikatdatei an.
`Azure Active Directory ID`	Erforderlich Der Wert für die Microsoft Entra ID (Mandanten-ID).
`Offset Time In Hours`	Erforderlich Die Anzahl der Stunden vor dem aktuellen Zeitpunkt, ab dem Benachrichtigungen abgerufen werden sollen. Der Standardwert ist 120 Stunden.
`Fetch Alerts only from`	Optional Eine durch Kommas getrennte Liste von Anbietern, von denen Warnungen aus Microsoft Graph abgerufen werden sollen. Wenn Sie den Parameter „Fetch Alerts only from“ (Benachrichtigungen nur abrufen von) auf „Office 365 Security and Compliance“ (Office 365 Security and Compliance) festlegen, unterstützt der Connector keine mehreren Werte in den Parametern „Alert Statuses to fetch“ (Abzurufende Benachrichtigungsstatus) oder „Alert Severities to fetch“ (Abzurufende Benachrichtigungsschweregrade). Wenn „V2 API verwenden“ aktiviert ist, funktioniert dieser Parameter mit dem Attribut „serviceSource“ der Benachrichtigung.
`Alert Statuses to fetch`	Erforderlich Eine durch Kommas getrennte Liste von Benachrichtigungsstatus, die vom Google SecOps-Server abgerufen werden sollen. Mögliche Werte: `unknown`, `newAlert`, `inProgress`, `resolved`.
`Alert Severities to fetch`	Erforderlich Eine durch Kommas getrennte Liste von Schweregraden für Benachrichtigungen, die vom Google SecOps-Server abgerufen werden sollen. Mögliche Werte: `high`, `medium`, `low`, `informational`, `unknown`.
`Max Alerts Per Cycle`	Optional Die maximale Anzahl von Benachrichtigungen, die in einer Connector-Iteration verarbeitet werden sollen. Der Standardwert ist 50.
`Proxy Server Address`	Optional Die Adresse des zu verwendenden Proxyservers.
`Proxy Username`	Optional Der Proxy-Nutzername für die Authentifizierung.
`Proxy Password`	Optional Das Proxy-Passwort für die Authentifizierung.
`Use V2 API`	Optional Wenn diese Option aktiviert ist, verwendet der Connector V2-API-Endpunkte. Hinweis: Die Struktur der Benachrichtigungen und Ereignisse wird sich ändern. Außerdem müssen für den Parameter „Benachrichtigungen nur abrufen ab“ andere Werte angegeben werden.

Connector-Regeln

Der Connector unterstützt keine dynamischen Listen- oder Blocklistenregeln.

Der Connector unterstützt Proxys.

Microsoft Graph Office 365 Security and Compliance Connector

Verwenden Sie den Microsoft Graph Office 365 Security and Compliance Connector, um die Office 365 Security and Compliance-Benachrichtigungen über die Microsoft Graph API aufzunehmen.

Für den Microsoft Graph Office 365 Security and Compliance Connector sind die folgenden Parameter erforderlich:

Parameter	Beschreibung
`Product Field Name`	Erforderlich Der Name des Felds, in dem der Produktname gespeichert ist. Der Standardwert ist `ProductFieldName`.
`Event Field Name`	Erforderlich Der Feldname, der zum Bestimmen des Ereignisnamens (Untertyp) verwendet wird. Der Standardwert ist `event_class`.
`Script Timeout (Seconds)`	Erforderlich Das Zeitlimit (in Sekunden) für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. Der Standardwert beträgt 30 Sekunden.
`Environment Field Name`	Optional Der Name des Felds, in dem der Name der Umgebung gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, wird die Umgebung auf `""` gesetzt.
`Environment Regex Pattern`	Optional Ein reguläres Ausdrucksmuster, das auf den Wert im Feld `Environment Field Name` angewendet wird. Mit diesem Parameter können Sie das Feld „environment“ mithilfe der Logik für reguläre Ausdrücke bearbeiten. Verwenden Sie den Standardwert `.*`, um den erforderlichen Rohwert `Environment Field Name` abzurufen. Wenn das Muster des regulären Ausdrucks null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis `""`.
`Client ID`	Erforderlich Die Client-ID (Anwendungs-ID) der Microsoft Entra-Anwendung, die in der Integration verwendet werden soll.
`Client Secret`	Optional Der Clientschlüsselwert der Microsoft Entra-Anwendung, die in der Integration verwendet werden soll.
`Certificate Path`	Optional Wenn Sie die Authentifizierung auf Grundlage von Zertifikaten anstelle des Clientschlüssels verwenden, geben Sie den Pfad zum Zertifikat auf dem Google SecOps-Server ein.
`Certificate Password`	Optional Wenn das von Ihnen verwendete Authentifizierungszertifikat passwortgeschützt ist, geben Sie das Passwort zum Öffnen der Zertifikatdatei an.
`Azure Active Directory ID`	Erforderlich Der Wert für die Microsoft Entra ID (Mandanten-ID).
`Verify SSL`	Optional Wenn diese Option ausgewählt ist, wird überprüft, ob das SSL-Zertifikat für die Verbindung zum Microsoft Graph-Server gültig ist. Standardmäßig ausgewählt.
`Offset Time In Hours`	Erforderlich Die Anzahl der Stunden vor dem aktuellen Zeitpunkt, für die Benachrichtigungen abgerufen werden sollen. Der Standardwert ist 120 Stunden.
`Alert Statuses to fetch`	Optional Eine durch Kommas getrennte Liste von Benachrichtigungsstatus, die vom Google SecOps-Server abgerufen werden sollen. Mögliche Werte: `Dismissed`, `Active`, `Investigating`, `Resolved`.
`Alert Severities to fetch`	Optional Eine durch Kommas getrennte Liste von Schweregraden für Benachrichtigungen, die vom Google SecOps-Server abgerufen werden sollen. Mögliche Werte: `high`, `medium`, `low`, `informational`, `unknown`.
`Max Alerts Per Cycle`	Erforderlich Die maximale Anzahl von Benachrichtigungen, die in einer Connector-Iteration verarbeitet werden sollen. Der Standardwert ist 50.
`Proxy Server Address`	Optional Die Adresse des zu verwendenden Proxyservers.
`Proxy Username`	Optional Der Proxy-Nutzername für die Authentifizierung.
`Proxy Password`	Optional Das Proxy-Passwort für die Authentifizierung.

Connector-Regeln

Der Connector unterstützt keine dynamischen Listen- oder Blocklistenregeln.

Der Connector unterstützt Proxys.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten