Se usó la API de Cloud Translation para traducir esta página.

Seguridad de Microsoft Graph

En este documento, se proporciona orientación para integrar la API de Microsoft Graph Security en Google Security Operations (Google SecOps).

Versión de integración: 20.0

En este documento, se hace referencia a la API de Microsoft Graph Security. En la plataforma de Google SecOps, la integración de la API de Microsoft Graph Security se denomina Microsoft Graph Security.

‌Antes de comenzar

Antes de configurar la integración en la plataforma de SecOps de Google, completa los siguientes pasos:

Crea la app de Microsoft Entra.
Configura los permisos de la API para tu aplicación.
Crea un secreto del cliente.

Crea una aplicación de Microsoft Entra

Para crear la aplicación de Microsoft Entra, completa los siguientes pasos:

Accede al portal de Azure como administrador de usuarios o administrador de contraseñas.
Selecciona Microsoft Entra ID.
Ve a Registros de aplicaciones > Nuevo registro.
Ingresa el nombre de la aplicación.
En el campo URI de redireccionamiento, ingresa http://localhost/.
Haz clic en Registrar.
Guarda los valores de Application (client) ID y Directory (tenant) ID para usarlos más adelante y configurar los parámetros de integración.

Configura los permisos de API

Para configurar los permisos de la API para la integración, completa los siguientes pasos:

En Azure Portal, ve a Permisos de API > Agregar un permiso.
Selecciona Microsoft Graph > Permisos de aplicación.
En la sección Seleccionar permisos, selecciona los siguientes permisos obligatorios:
- User.ReadWrite.All
- Mail.Read
- Directory.ReadWrite.All
- Directory.AccessAsUser.All
- SecurityEvents.ReadWrite.All
- SecurityEvents.Read.All
Haz clic en Agregar permisos.
Haz clic en Otorgar consentimiento del administrador para YOUR_ORGANIZATION_NAME.

Cuando aparezca el diálogo Confirmación de consentimiento del administrador, haz clic en Sí.

Crea un secreto del cliente

Para crear un secreto del cliente, completa los siguientes pasos:

Navega a Certificados y secretos > Nuevo secreto del cliente.
Proporciona una descripción para un secreto del cliente y establece su fecha límite de vencimiento.
Haz clic en Agregar.
Guarda el valor del secreto del cliente (no el ID del secreto) para usarlo como el valor del parámetro ID del secreto para configurar la integración. El valor del secreto del cliente solo se muestra una vez.

Integra la API de Microsoft Graph Security con Google SecOps

La integración requiere los siguientes parámetros:

Parámetro	Descripción
`Client ID`	Obligatorio Es el ID de cliente (aplicación) de la aplicación de Microsoft Entra que se usará en la integración.
`Secret ID`	Optional Es el valor del secreto del cliente de la aplicación de Microsoft Entra que se usará en la integración.
`Certificate Path`	Optional Si usas la autenticación basada en certificados en lugar del secreto del cliente, ingresa la ruta de acceso al certificado en el servidor de Google SecOps.
`Certificate Password`	Optional Si el certificado de autenticación que usas está protegido con contraseña, especifica la contraseña para abrir el archivo del certificado.
`Tenant`	Obligatorio Es el valor del ID de Microsoft Entra (ID de usuario).
`Use V2 API`	Optional Si se habilita, el conector usará los extremos de la API de la versión 2. Nota: La estructura de las alertas y los eventos cambiará.

Si deseas obtener instrucciones para configurar una integración en Google SecOps, consulta Configura integraciones.

Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en las guías. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Compatibilidad con varias instancias.

Acciones

Para obtener más información sobre las acciones, consulta Cómo responder a las acciones pendientes desde tu estación de trabajo y Cómo realizar una acción manual.

Agregar comentario de alerta

Usa la acción Add Alert Comment para agregar un comentario a la alerta en Microsoft Graph.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Add Alert Comment requiere los siguientes parámetros:

Parámetro	Descripción
`Alert ID`	Obligatorio Es el ID de la alerta que se actualizará.
`Comment`	Obligatorio Comentario de la alerta.

Resultados de la acción

La acción Add Alert Comment proporciona los siguientes resultados:

Tipo de salida de la acción	Disponibilidad
Adjunto del muro de casos	No disponible
Vínculo al muro de casos	No disponible
Tabla del muro de casos	No disponible
Tabla de enriquecimiento	No disponible
Resultado de JSON	No disponible
Mensajes de salida	Disponible
Resultado de secuencia de comandos	Disponible

Mensajes de salida

La acción Add Alert Comment puede devolver los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

Mensaje de salida	Descripción del mensaje
`Successfully added comment to the alert ALERT_ID in Microsoft Graph.`	La acción se completó correctamente.
`Error executing action "Add Alert Comment". Reason: ERROR_REASON`	No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Successfully added comment to the alert ALERT_ID in Microsoft Graph.

La acción se completó correctamente.

Error executing action "Add Alert Comment". Reason:
      ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Add Alert Comment:

Nombre del resultado de la secuencia de comandos	Valor
`is_success`	`True` o `False`

Cómo obtener el consentimiento del administrador

Usa la acción Get Administrator Consent para otorgar a tu aplicación los permisos en el portal de Azure.

Esta acción se ejecuta en todas las entidades de SecOps de Google.

Entradas de acción

La acción Get Administrator Consent requiere los siguientes parámetros:

Parámetro	Descripción
`Redirect URL`	Obligatorio La URL de redireccionamiento que usaste cuando te registraste en el portal de Azure.

Resultados de la acción

La acción Get Administrator Consent proporciona los siguientes resultados:

Tipo de salida de la acción	Disponibilidad
Adjunto del muro de casos	No disponible
Vínculo al muro de casos	No disponible
Tabla del muro de casos	No disponible
Tabla de enriquecimiento	No disponible
Resultado de JSON	No disponible
Resultado de secuencia de comandos	Disponible

Resultado de secuencia de comandos

En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Get Administrator Consent:

Nombre del resultado de la secuencia de comandos	Valor
`is_connected`	`True` o `False`

Obtener alerta

Usa la acción Get Alert para recuperar las propiedades y las relaciones de una alerta con su ID.

Esta acción se ejecuta en todas las entidades de SecOps de Google.

Entradas de acción

La acción Get Alert requiere los siguientes parámetros:

Parámetro	Descripción
`Alert ID`	Obligatorio Es el ID de la alerta de la que se recuperarán los detalles.

Resultados de la acción

La acción Get Alert proporciona los siguientes resultados:

Tipo de salida de la acción	Disponibilidad
Adjunto del muro de casos	No disponible
Vínculo al muro de casos	No disponible
Tabla del muro de casos	No disponible
Tabla de enriquecimiento	No disponible
Resultado de JSON	No disponible
Resultado de secuencia de comandos	Disponible

Resultado de JSON

En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Get Alert:

{
  "feedback": "@odata.type: microsoft.graph.alertFeedback",
  "recommendedActions": ["String"],
  "networkConnections":
    [{
      "applicationName": "String",
      "natDestinationPort": "String",
      "destinationAddress": "String",
      "localDnsName": "String",
      "natDestinationAddress": "String",
      "destinationUrl": "String",
      "natSourceAddress": "String",
      "sourceAddress": "String",
      "direction": "@odata.type: microsoft.graph.connectionDirection",
      "domainRegisteredDateTime": "String (timestamp)",
      "status": "@odata.type: microsoft.graph.connectionStatus",
      "destinationDomain": "String",
      "destinationPort": "String",
      "sourcePort": "String",
      "protocol": "@odata.type: microsoft.graph.securityNetworkProtocol",
      "natSourcePort": "String",
      "riskScore": "String",
      "urlParameters": "String"
     }],
  "cloudAppStates":
    [{
      "destinationServiceIp": "String",
      "riskScore": "String",
      "destinationServiceName": "String"
     }],
  "detectionIds": ["String"],
  "id": "String (identifier)",
  "category": "String",
  "fileStates":
    [{
      "path": "String",
      "riskScore": "String",
      "name": "String",
      "fileHash":
        {
          "hashType": "@odata.type: microsoft.graph.fileHashType",
          "hashValue": "String"
         }
     }],
  "severity": "@odata.type: microsoft.graph.alertSeverity",
  "title": "String",
  "sourceMaterials": ["String"],
  "comments": ["String"],
  "assignedTo": "String",
  "eventDateTime": "String (timestamp)",
  "activityGroupName": "String",
  "status": "@odata.type: microsoft.graph.alertStatus",
  "description": "String",
  "tags": ["String"],
  "confidence": 1024,
  "vendorInformation":
      {
        "providerVersion": "String",
        "vendor": "String",
        "subProvider": "String",
        "provider": "String"
      },
  "userStates":
      [{
        "emailRole": "@odata.type: microsoft.graph.emailRole",
        "logonId": "String",
        "domainName": "String",
        "onPremisesSecurityIdentifier": "String",
        "userPrincipalName": "String",
        "userAccountType": "@odata.type: microsoft.graph.userAccountSecurityType",
        "logonIp": "String",
        "logonDateTime": "String (timestamp)",
        "logonType": "@odata.type: microsoft.graph.logonType",
        "logonLocation": "String",
        "aadUserId": "String",
        "accountName": "String",
        "riskScore": "String",
        "isVpn": "true"
        }],
 "malwareStates":
      [{
        "category": "String",
        "wasRunning": "true",
        "name": "String",
        "family": "String",
        "severity": "String"
       }],
  "processes":
      [{
        "processId": 1024,
        "integrityLevel": "@odata.type: microsoft.graph.processIntegrityLevel",
        "name": "String",
        "fileHash":
            {
              "hashType": "@odata.type: microsoft.graph.fileHashType",
              "hashValue": "String"
            },
       "parentProcessId": 1024,
       "createdDateTime": "String (timestamp)",
       "commandLine": "String",
       "parentProcessName": "String",
       "accountName": "String",
       "isElevated": "true",
       "path": "String",
       "parentProcessCreatedDateTime": "String (timestamp)"
      }],
  "azureTenantId": "String",
  "triggers":
     [{
       "type": "String",
       "name": "String",
       "value": "String"
      }],
  "createdDateTime": "String (timestamp)",
  "vulnerabilityStates":
     [{
       "cve": "String",
       "severity": "String",
       "wasRunning": "true"
     }],
  "hostStates":
     [{
       "isAzureAadRegistered": "true",
       "riskScore": "String",
       "fqdn": "String",
       "isHybridAzureDomainJoined": "true",
       "netBiosName": "String",
       "publicIpAddress": "String",
        "isAzureAadJoined": "true",
        "os": "String",
        "privateIpAddress": "String"
      }],
  "lastModifiedDateTime": "String (timestamp)",
  "registryKeyStates":
      [{
        "processId": 1024,
        "oldKey": "String",
        "oldValueName": "String",
         "valueType": "@odata.type: microsoft.graph.registryValueType",
        "oldValueData": "String",
        "hive": "@odata.type: microsoft.graph.registryHive",
        "valueData": "String",
        "key": "String",
        "valueName": "String",
        "operation": "@odata.type: microsoft.graph.registryOperation"
       }],
  "closedDateTime": "String (timestamp)",
  "azureSubscriptionId": "String"
}

Resultado de secuencia de comandos

En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Get Alert:

Nombre del resultado de la secuencia de comandos	Valor
`alert_details`	`True` o `False`

Obtener incidente

Usa la acción Get Incident para obtener detalles de un incidente de seguridad con el ID del incidente.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Get Incident requiere los siguientes parámetros:

Parámetro	Descripción
`Incident ID`	Obligatorio ID del incidente del que se obtendrán los detalles.

Resultados de la acción

La acción Get Incident proporciona los siguientes resultados:

Tipo de salida de la acción	Disponibilidad
Adjunto del muro de casos	No disponible
Vínculo al muro de casos	No disponible
Tabla del muro de casos	No disponible
Tabla de enriquecimiento	No disponible
Resultado de JSON	No disponible
Mensajes de salida	Disponible
Resultado de secuencia de comandos	Disponible

Mensajes de salida

La acción Get Incident puede devolver los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

Mensaje de salida	Descripción del mensaje
`Successfully returned information about the incident INCIDENT_ID.`	La acción se completó correctamente.
`Error executing action "Get Incident". Reason: ERROR_REASON`	No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Successfully returned information about the incident INCIDENT_ID.

La acción se completó correctamente.

Error executing action "Get Incident". Reason:
      ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Get Incident:

Nombre del resultado de la secuencia de comandos	Valor
`is_success`	`True` o `False`

Finalizar la sesión del usuario

Usa la acción Kill User Session para invalidar todos los tokens de actualización emitidos a las aplicaciones para un usuario. Para ello, restablece la propiedad del usuario signInSessionsValidFromDateTime a la fecha y hora actuales.

Esta acción se ejecuta en todas las entidades de SecOps de Google.

Entradas de acción

La acción Kill User Session requiere los siguientes parámetros:

Parámetro	Descripción
`userPrincipalName\| ID`	Obligatorio Nombre de usuario o valor del ID único del usuario que se usa en Microsoft Entra ID.

Resultados de la acción

La acción Kill User Session proporciona los siguientes resultados:

Tipo de salida de la acción	Disponibilidad
Adjunto del muro de casos	No disponible
Vínculo al muro de casos	No disponible
Tabla del muro de casos	No disponible
Tabla de enriquecimiento	No disponible
Resultado de JSON	No disponible
Resultado de secuencia de comandos	Disponible

Resultado de secuencia de comandos

En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Kill User Session:

Nombre del resultado de la secuencia de comandos	Valor
`is_success`	`True` o `False`

Enumera las alertas

Usa la acción List Alerts para enumerar las alertas disponibles en Microsoft Graph.

Esta acción se ejecuta en todas las entidades de SecOps de Google.

El proceso de filtrado se realiza en el lado de la API de Microsoft Graph. En el caso de los productos que publican alertas en Microsoft Graph y no admiten el filtrado, Microsoft Graph agrega todas las alertas a la respuesta como si hubieran pasado el filtro.

Entradas de acción

La acción List Alerts requiere los siguientes parámetros:

Parámetro	Descripción
`Filter Key`	Optional Especifica la clave que se debe usar para filtrar las alertas. Nota: La opción "Título" no es compatible con la API de la versión 2.
`Filter Logic`	Optional Es la lógica del filtro que se aplicará. La lógica del filtro se basa en el valor del parámetro `Filter Key`. Los valores posibles son los siguientes: `Not Specified` `Equal` `Contains` El valor predeterminado es `Not Specified`.
`Filter Value`	Optional Es el valor que se usará en el filtro. Si seleccionas `Equal`, la acción intentará encontrar la coincidencia exacta entre los resultados. Si seleccionas `Contains`, la acción intentará encontrar resultados que contengan la subcadena seleccionada. Si no estableces un valor, el filtro no se aplica. La lógica del filtro se basa en el valor del parámetro `Filter Key`.
`Max Records To Return`	Optional Es la cantidad de registros que se devolverán para cada ejecución de acción. El valor predeterminado es 50.

Resultados de la acción

La acción List Alerts proporciona los siguientes resultados:

Tipo de salida de la acción	Disponibilidad
Adjunto del muro de casos	No disponible
Vínculo al muro de casos	No disponible
Tabla del muro de casos	No disponible
Tabla de enriquecimiento	No disponible
Resultado de JSON	Disponible
Mensajes de salida	Disponible
Resultado de secuencia de comandos	Disponible

Resultado de JSON

En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción List Alerts:

{
            "id": "ID",
            "azureTenantId": "TENANT_ID",
            "azureSubscriptionId": null,
            "riskScore": null,
            "tags": [],
            "activityGroupName": null,
            "assignedTo": null,
            "category": "ImpossibleTravel",
            "closedDateTime": null,
            "comments": [],
            "confidence": null,
            "createdDateTime": "2022-04-29T13:10:59.705Z",
            "description": "Sign-in from an atypical location based on the user's recent sign-ins",
            "detectionIds": [],
            "eventDateTime": "2022-04-29T11:36:59.1520667Z",
            "feedback": null,
            "incidentIds": [],
            "lastEventDateTime": null,
            "lastModifiedDateTime": "2022-04-30T14:44:43.4742002Z",
            "recommendedActions": [],
            "severity": "medium",
            "sourceMaterials": [],
            "status": "newAlert",
            "title": "Atypical travel",
            "vendorInformation": {
                "provider": "IPC",
                "providerVersion": null,
                "subProvider": null,
                "vendor": "Microsoft"
            },
            "alertDetections": [],
            "cloudAppStates": [],
            "fileStates": [],
            "hostStates": [],
            "historyStates": [],
            "investigationSecurityStates": [],
            "malwareStates": [],
            "messageSecurityStates": [],
            "networkConnections": [],
            "processes": [],
            "registryKeyStates": [],
            "securityResources": [],
            "triggers": [],
            "userStates": [
                {
                    "aadUserId": "b786d3cf-e97d-4511-b61c-0559e9f4da75",
                    "accountName": "example.user",
                    "domainName": "example.com",
                    "emailRole": "unknown",
                    "isVpn": null,
                    "logonDateTime": "2022-04-29T11:36:59.1520667Z",
                    "logonId": null,
                    "logonIp": "203.0.113.194",
                    "logonLocation": "1800 Amphibious Blvd, Mountain View, CA 94045",
                    "logonType": null,
                    "onPremisesSecurityIdentifier": null,
                    "riskScore": null,
                    "userAccountType": null,
                    "userPrincipalName": "example.user@example.com"
                },
                {
                    "aadUserId": "b786d3cf-e97d-4511-b61c-0559e9f4da75",
                    "accountName": "example.user",
                    "domainName": "example.com",
                    "emailRole": "unknown",
                    "isVpn": null,
                    "logonDateTime": "2022-04-29T11:15:00Z",
                    "logonId": null,
                    "logonIp": "192.0.2.160",
                    "logonLocation": "ES",
                    "logonType": null,
                    "onPremisesSecurityIdentifier": null,
                    "riskScore": null,
                    "userAccountType": null,
                    "userPrincipalName": "example.user@example.com"
                }
            ],
            "uriClickSecurityStates": [],
            "vulnerabilityStates": []
}

Mensajes de salida

La acción List Alerts puede devolver los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

Mensaje de salida	Descripción del mensaje
`Successfully found alerts for the provided criteria in Microsoft Graph.` `No alerts were found for the provided criteria in Microsoft Graph.` `The filter was not applied because the "Filter Value" parameter has an empty value.`	La acción se completó correctamente.
`Error executing action "List Alerts". Reason: ERROR_REASON`	No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Successfully found alerts for the provided criteria in Microsoft Graph.

No alerts were found for the provided criteria in Microsoft Graph.

The filter was not applied because the "Filter Value" parameter has an empty value.

La acción se completó correctamente.

Error executing action "List Alerts". Reason:
      ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción List Alerts:

Nombre del resultado de la secuencia de comandos	Valor
`alerts_details`	`ALERT_DETAILS`

Enumera incidentes

Usa la acción List Incidents para enumerar los incidentes de seguridad de Microsoft Graph según los criterios proporcionados.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción List Incidents requiere los siguientes parámetros:

Parámetro	Descripción
`Filter Key`	Optional Especifica la clave que se debe usar para filtrar las alertas. Nota: La opción "Título" no es compatible con la API de la versión 2.
`Filter Logic`	Optional Es la lógica del filtro que se aplicará. La lógica del filtro se basa en el valor del parámetro `Filter Key`. Los valores posibles son los siguientes: `Not Specified` `Equal` `Contains` El valor predeterminado es `Not Specified`.
`Filter Value`	Optional Es el valor que se usará en el filtro. Si seleccionas `Equal`, la acción intentará encontrar la coincidencia exacta entre los resultados. Si seleccionas `Contains`, la acción intentará encontrar resultados que contengan la subcadena seleccionada. Si no estableces un valor, el filtro no se aplica. La lógica del filtro se basa en el valor del parámetro `Filter Key`.
`Max Records To Return`	Optional Es la cantidad de registros que se devolverán para cada ejecución de acción. El valor predeterminado es 50.

Resultados de la acción

La acción List Incidents proporciona los siguientes resultados:

Tipo de salida de la acción	Disponibilidad
Adjunto del muro de casos	No disponible
Vínculo al muro de casos	No disponible
Tabla del muro de casos	No disponible
Tabla de enriquecimiento	No disponible
Resultado de JSON	No disponible
Mensajes de salida	Disponible
Resultado de secuencia de comandos	Disponible

Mensajes de salida

La acción List Incidents puede devolver los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

Mensaje de salida	Descripción del mensaje
`Successfully found incidents for the provided criteria in Microsoft Graph.` `No incidents were found for the provided criteria in Microsoft Graph.` `The filter was not applied because the "Filter Value" parameter has an empty value.`	La acción se completó correctamente.
`Error executing action "List Incidents". Reason: ERROR_REASON`	No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Successfully found incidents for the provided criteria in Microsoft Graph.

No incidents were found for the provided criteria in Microsoft Graph.

The filter was not applied because the "Filter Value" parameter has an empty value.

La acción se completó correctamente.

Error executing action "List Incidents". Reason:
      ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción List Incidents:

Nombre del resultado de la secuencia de comandos	Valor
`is_success`	`True` o `False`

Ping

Usa la acción Ping para probar la conectividad a Microsoft Graph.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

Ninguno

Resultados de la acción

La acción Ping proporciona los siguientes resultados:

Tipo de salida de la acción	Disponibilidad
Adjunto del muro de casos	No disponible
Vínculo al muro de casos	No disponible
Tabla del muro de casos	No disponible
Tabla de enriquecimiento	No disponible
Resultado de JSON	No disponible
Resultado de secuencia de comandos	Disponible

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Ping:

Nombre del resultado de la secuencia de comandos	Valor
`is_success`	`True` o `False`

Actualizar alerta

Usa la acción Update Alert para actualizar una propiedad de alerta editable.

Esta acción se ejecuta en todas las entidades de SecOps de Google.

Entradas de acción

La acción Update Alert requiere los siguientes parámetros:

Parámetro	Descripción
`Alert ID`	Obligatorio Es el ID de la alerta que se actualizará.
`Assigned To`	Optional Nombre del analista al que se le asigna la alerta para la clasificación, la investigación o la corrección.
`Closed Date Time`	Optional Fecha y hora en que se cerró la alerta. El tipo Timestamp representa información de fecha y hora con el formato ISO 8601 y siempre está en hora UTC. Por ejemplo, la medianoche UTC del 1 de enero de 2014 se vería así: "2014-01-01T00:00:00Z". Nota: Este parámetro no se admite en la versión 2 de la API.
`Comments`	Optional Comentarios del analista sobre la alerta (para la administración de alertas de clientes), separados por comas. Este método solo puede actualizar el campo de comentarios con los siguientes valores: Cerrado en IPC y Cerrado en MCAS. Nota: En la versión 2 de la API, este parámetro funciona como una cadena y se agregará un solo comentario a la alerta.
`Feedback`	Optional Comentarios del analista sobre la alerta. Los valores posibles son: unknown, truePositive, falsePositive, benignPositive. Nota: En la versión 2 de la API, este parámetro se asigna a "classification" y tiene los siguientes valores posibles: unknown, falsePositive, truePositive, informationalExpectedActivity y unknownFutureValue.
`Status`	Optional Es el estado del ciclo de vida de la alerta. Los valores posibles son los siguientes: `unknown` `newAlert` `inProgress` `resolved`
`Tags`	Optional Son etiquetas que el usuario puede definir y que se pueden aplicar a una alerta. Separados por comas. Nota: Este parámetro no se admite en la versión 2 de la API.

Resultados de la acción

La acción Update Alert proporciona los siguientes resultados:

Tipo de salida de la acción	Disponibilidad
Adjunto del muro de casos	No disponible
Vínculo al muro de casos	No disponible
Tabla del muro de casos	No disponible
Tabla de enriquecimiento	No disponible
Resultado de JSON	No disponible
Resultado de secuencia de comandos	Disponible

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Update Alert:

Nombre del resultado de la secuencia de comandos	Valor
`is_updated`	`True` o `False`

Conectores

Si quieres obtener instrucciones detalladas para configurar un conector en Google SecOps, consulta Ingiere tus datos (conectores).

Conector de seguridad de Microsoft Graph

Usa el conector de seguridad de Microsoft Graph para transferir las alertas que se publican en la API de seguridad de Microsoft Graph como alertas de SecOps de Google. El conector se conecta periódicamente al extremo de seguridad de Microsoft Graph y extrae una lista de incidentes que se generan durante un período específico.

El conector de seguridad de Microsoft Graph requiere los siguientes parámetros:

Parámetro	Descripción
`Product Field Name`	Obligatorio Es el nombre del campo en el que se almacena el nombre del producto. El valor predeterminado es `ProductFieldName`.
`Event Field Name`	Obligatorio Es el nombre del campo que se usa para determinar el nombre del evento (subtipo). El valor predeterminado es `AlertName`.
`Script Timeout (Seconds)`	Obligatorio Es el límite de tiempo de espera (en segundos) para el proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es 30 segundos.
`Environment Field Name`	Optional Nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, se establece en `""`.
`Pattern`	Optional Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo `Environment Field Name`. Este parámetro te permite manipular el campo del entorno con la lógica de expresiones regulares. Usa el valor predeterminado `.*` para recuperar el valor `Environment Field Name` sin procesar requerido. Si el patrón de expresión regular es nulo o está vacío, o el valor del entorno es nulo, el resultado final del entorno es `""`.
`Client ID`	Obligatorio Es el ID de cliente (aplicación) de la aplicación de Microsoft Entra que se usará en la integración.
`Client Secret`	Optional Es el valor del secreto del cliente de la aplicación de Microsoft Entra que se usará en la integración.
`Certificate Path`	Optional Si usas la autenticación basada en certificados en lugar del secreto del cliente, ingresa la ruta de acceso al certificado en el servidor de Google SecOps.
`Certificate Password`	Optional Si el certificado de autenticación que usas está protegido con contraseña, especifica la contraseña para abrir el archivo del certificado.
`Azure Active Directory ID`	Obligatorio Es el valor del ID de Microsoft Entra (ID de usuario).
`Offset Time In Hours`	Obligatorio Cantidad de horas anteriores al momento actual desde las que se recuperan las alertas. El valor predeterminado es 120 horas.
`Fetch Alerts only from`	Optional Es una lista separada por comas de los proveedores de los que se extraerán las alertas de Microsoft Graph. Si configuras el parámetro "Fetch Alerts only from" en Office 365 Security and Compliance, el conector no admite varios valores en los parámetros Alert Statuses to fetch o Alert Severities to fetch. Si está habilitado "Usar la API v2", este parámetro funcionará con la propiedad "serviceSource" de la alerta.
`Alert Statuses to fetch`	Obligatorio Es una lista separada por comas de los estados de las alertas que debe recuperar el servidor de Google SecOps. Los valores posibles son los siguientes: `unknown`, `newAlert`, `inProgress`, `resolved`.
`Alert Severities to fetch`	Obligatorio Es una lista separada por comas de las gravedades de las alertas que el servidor de Google SecOps debe recuperar. Los valores posibles son los siguientes: `high`, `medium`, `low`, `informational`, `unknown`.
`Max Alerts Per Cycle`	Optional Es la cantidad máxima de alertas que se pueden procesar en una iteración de un conector. El valor predeterminado es 50.
`Proxy Server Address`	Optional Es la dirección del servidor proxy que se usará.
`Proxy Username`	Optional Nombre de usuario del proxy con el que se realizará la autenticación.
`Proxy Password`	Optional Contraseña del proxy para la autenticación.
`Use V2 API`	Optional Si se habilita, el conector usará los extremos de la API de la versión 2. Nota: La estructura de las alertas y los eventos cambiará. Además, el parámetro "Recuperar alertas solo desde" requerirá que se proporcionen valores diferentes.

Reglas del conector

El conector no admite las reglas de listas dinámicas ni de bloqueo.

El conector admite proxies.

Conector de seguridad y cumplimiento de Office 365 de Microsoft Graph

Usa el conector de seguridad y cumplimiento de Office 365 de Microsoft Graph para transferir las alertas de seguridad y cumplimiento de Office 365 con la API de Microsoft Graph.

El conector de Microsoft Graph Office 365 Security and Compliance requiere los siguientes parámetros:

Parámetro	Descripción
`Product Field Name`	Obligatorio Es el nombre del campo en el que se almacena el nombre del producto. El valor predeterminado es `ProductFieldName`.
`Event Field Name`	Obligatorio Es el nombre del campo que se usa para determinar el nombre del evento (subtipo). El valor predeterminado es `event_class`.
`Script Timeout (Seconds)`	Obligatorio Es el límite de tiempo de espera (en segundos) para el proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es 30 segundos.
`Environment Field Name`	Optional Nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, se establece en `""`.
`Environment Regex Pattern`	Optional Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo `Environment Field Name`. Este parámetro te permite manipular el campo del entorno con la lógica de expresiones regulares. Usa el valor predeterminado `.*` para recuperar el valor `Environment Field Name` sin procesar requerido. Si el patrón de expresión regular es nulo o está vacío, o el valor del entorno es nulo, el resultado final del entorno es `""`.
`Client ID`	Obligatorio Es el ID de cliente (aplicación) de la aplicación de Microsoft Entra que se usará en la integración.
`Client Secret`	Optional Es el valor del secreto del cliente de la aplicación de Microsoft Entra que se usará en la integración.
`Certificate Path`	Optional Si usas la autenticación basada en certificados en lugar del secreto del cliente, ingresa la ruta de acceso al certificado en el servidor de Google SecOps.
`Certificate Password`	Optional Si el certificado de autenticación que usas está protegido con contraseña, especifica la contraseña para abrir el archivo del certificado.
`Azure Active Directory ID`	Obligatorio Es el valor del ID de Microsoft Entra (ID de usuario).
`Verify SSL`	Optional Si se selecciona, la integración verifica que el certificado SSL para la conexión al servidor de Microsoft Graph sea válido. Esta opción se selecciona de forma predeterminada.
`Offset Time In Hours`	Obligatorio Cantidad de horas anteriores al momento actual para recuperar alertas. El valor predeterminado es 120 horas.
`Alert Statuses to fetch`	Optional Es una lista separada por comas de los estados de las alertas que debe recuperar el servidor de Google SecOps. Los valores posibles son los siguientes: `Dismissed`, `Active`, `Investigating`, `Resolved`.
`Alert Severities to fetch`	Optional Es una lista separada por comas de las gravedades de las alertas que el servidor de Google SecOps debe recuperar. Los valores posibles son los siguientes: `high`, `medium`, `low`, `informational`, `unknown`.
`Max Alerts Per Cycle`	Obligatorio Es la cantidad máxima de alertas que se pueden procesar en una iteración de un conector. El valor predeterminado es 50.
`Proxy Server Address`	Optional Es la dirección del servidor proxy que se usará.
`Proxy Username`	Optional Nombre de usuario del proxy con el que se realizará la autenticación.
`Proxy Password`	Optional Contraseña del proxy para la autenticación.

Reglas del conector

El conector no admite las reglas de listas dinámicas ni de bloqueo.

El conector admite proxies.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.