Cette page a été traduite par l'API Cloud Translation.

Microsoft Graph Security

Ce document explique comment intégrer l'API Microsoft Graph Security à Google Security Operations (Google SecOps).

Version de l'intégration : 20.0

Ce document fait référence à l'API Microsoft Graph Security. Dans la plate-forme Google SecOps, l'intégration de l'API Microsoft Graph Security s'appelle Microsoft Graph Security.

‌Avant de commencer

Avant de configurer l'intégration dans la plate-forme Google SecOps, procédez comme suit :

Créez l'application Microsoft Entra.
Configurez les autorisations de l'API pour votre application.
Créez un code secret du client.

Créer une application Microsoft Entra

Pour créer l'application Microsoft Entra, procédez comme suit :

Connectez-vous au portail Azure en tant qu'administrateur d'utilisateurs ou administrateur de mots de passe.
Sélectionnez Microsoft Entra ID.
Accédez à Inscriptions d'applications > Nouvelle inscription.
Saisissez le nom de l'application.
Dans le champ URI de redirection, saisissez http://localhost/.
Cliquez sur S'inscrire.
Enregistrez les valeurs ID (client) de l'application et ID (de locataire) de l'annuaire pour les utiliser ultérieurement afin de configurer les paramètres d'intégration.

Configurer les autorisations de l'API

Pour configurer les autorisations d'API pour l'intégration, procédez comme suit :

Dans le portail Azure, accédez à Autorisations d'API > Ajouter une autorisation.
Sélectionnez Microsoft Graph > Autorisations de l'application.
Dans la section Sélectionner des autorisations, sélectionnez les autorisations requises suivantes :
- User.ReadWrite.All
- Mail.Read
- Directory.ReadWrite.All
- Directory.AccessAsUser.All
- SecurityEvents.ReadWrite.All
- SecurityEvents.Read.All
Cliquez sur Ajouter des autorisations.
Cliquez sur Accorder le consentement administrateur pour YOUR_ORGANIZATION_NAME.

Lorsque la boîte de dialogue Confirmation de l'accord de l'administrateur s'affiche, cliquez sur Oui.

Créer code secret du client

Pour créer un code secret du client, procédez comme suit :

Accédez à Certificats et codes secrets > Nouveau code secret du client.
Indiquez une description pour un code secret du client et définissez sa date d'expiration.
Cliquez sur Ajouter.
Enregistrez la valeur du code secret du client (et non l'ID du code secret) pour l'utiliser comme valeur du paramètre ID du code secret lors de la configuration de l'intégration. La valeur du code secret du client n'est affichée qu'une seule fois.

Intégrer l'API Microsoft Graph Security à Google SecOps

L'intégration nécessite les paramètres suivants :

Paramètre	Description
`Client ID`	Obligatoire ID client (application) de l'application Microsoft Entra à utiliser dans l'intégration.
`Secret ID`	Optional Valeur du code secret du client de l'application Microsoft Entra à utiliser dans l'intégration.
`Certificate Path`	Optional Si vous utilisez l'authentification basée sur des certificats au lieu du code secret du client, saisissez le chemin d'accès au certificat sur le serveur Google SecOps.
`Certificate Password`	Optional Si le certificat d'authentification que vous utilisez est protégé par un mot de passe, spécifiez-le pour ouvrir le fichier de certificat.
`Tenant`	Obligatoire Valeur de l'ID Microsoft Entra ID (ID de locataire).
`Use V2 API`	Optional Si cette option est activée, le connecteur utilisera les points de terminaison de l'API V2. Remarque : La structure des alertes et des événements va changer.

Pour obtenir des instructions sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.

Vous pourrez apporter des modifications ultérieurement si nécessaire. Une fois que vous avez configuré une instance d'intégration, vous pouvez l'utiliser dans des playbooks. Pour en savoir plus sur la configuration et la prise en charge de plusieurs instances, consultez Prise en charge de plusieurs instances.

Actions

Pour en savoir plus sur les actions, consultez Répondre aux actions en attente depuis votre bureau et Effectuer une action manuelle.

Ajouter un commentaire à une alerte

Utilisez l'action Ajouter un commentaire à l'alerte pour ajouter un commentaire à l'alerte dans Microsoft Graph.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Ajouter un commentaire à l'alerte nécessite les paramètres suivants :

Paramètre	Description
`Alert ID`	Obligatoire ID de l'alerte à modifier.
`Comment`	Obligatoire Commentaire associé à l'alerte.

Sorties d'action

L'action Ajouter un commentaire à l'alerte fournit les résultats suivants :

Type de sortie de l'action	Disponibilité
Pièce jointe au mur des cas	Non disponible
Lien vers le mur des cas	Non disponible
Table du mur des cas	Non disponible
Table d'enrichissement	Non disponible
Résultat JSON	Non disponible
Messages de sortie	Disponible
Résultat du script	Disponible

Messages de sortie

L'action Ajouter un commentaire à l'alerte peut renvoyer les messages de sortie suivants :

Message affiché Description du message

Message affiché	Description du message
`Successfully added comment to the alert ALERT_ID in Microsoft Graph.`	L'action a réussi.
`Error executing action "Add Alert Comment". Reason: ERROR_REASON`	Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Successfully added comment to the alert ALERT_ID in Microsoft Graph.

L'action a réussi.

Error executing action "Add Alert Comment". Reason:
      ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Résultat du script

Le tableau suivant liste la valeur de la sortie du résultat du script lorsque vous utilisez l'action Ajouter un commentaire à l'alerte :

Nom du résultat du script	Valeur
`is_success`	`True` ou `False`

Obtenir le consentement de l'administrateur

Utilisez l'action Obtenir le consentement de l'administrateur pour accorder à votre application les autorisations sur le portail Azure.

Cette action s'exécute sur toutes les entités Google SecOps.

Entrées d'action

L'action Obtenir l'autorisation de l'administrateur nécessite les paramètres suivants :

Paramètre	Description
`Redirect URL`	Obligatoire URL de redirection que vous avez utilisée lors de l'enregistrement sur le portail Azure.

Sorties d'action

L'action Obtenir l'autorisation de l'administrateur fournit les sorties suivantes :

Type de sortie de l'action	Disponibilité
Pièce jointe au mur des cas	Non disponible
Lien vers le mur des cas	Non disponible
Table du mur des cas	Non disponible
Table d'enrichissement	Non disponible
Résultat JSON	Non disponible
Résultat du script	Disponible

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Obtenir le consentement de l'administrateur :

Nom du résultat du script	Valeur
`is_connected`	`True` ou `False`

Recevoir une alerte

Utilisez l'action Get Alert (Obtenir l'alerte) pour récupérer les propriétés et les relations d'une alerte à l'aide de son ID.

Cette action s'exécute sur toutes les entités Google SecOps.

Entrées d'action

L'action Obtenir l'alerte nécessite les paramètres suivants :

Paramètre	Description
`Alert ID`	Obligatoire ID de l'alerte dont vous souhaitez récupérer les détails.

Sorties d'action

L'action Obtenir l'alerte fournit les résultats suivants :

Type de sortie de l'action	Disponibilité
Pièce jointe au mur des cas	Non disponible
Lien vers le mur des cas	Non disponible
Table du mur des cas	Non disponible
Table d'enrichissement	Non disponible
Résultat JSON	Non disponible
Résultat du script	Disponible

Résultat JSON

L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Get Alert (Obtenir l'alerte) :

{
  "feedback": "@odata.type: microsoft.graph.alertFeedback",
  "recommendedActions": ["String"],
  "networkConnections":
    [{
      "applicationName": "String",
      "natDestinationPort": "String",
      "destinationAddress": "String",
      "localDnsName": "String",
      "natDestinationAddress": "String",
      "destinationUrl": "String",
      "natSourceAddress": "String",
      "sourceAddress": "String",
      "direction": "@odata.type: microsoft.graph.connectionDirection",
      "domainRegisteredDateTime": "String (timestamp)",
      "status": "@odata.type: microsoft.graph.connectionStatus",
      "destinationDomain": "String",
      "destinationPort": "String",
      "sourcePort": "String",
      "protocol": "@odata.type: microsoft.graph.securityNetworkProtocol",
      "natSourcePort": "String",
      "riskScore": "String",
      "urlParameters": "String"
     }],
  "cloudAppStates":
    [{
      "destinationServiceIp": "String",
      "riskScore": "String",
      "destinationServiceName": "String"
     }],
  "detectionIds": ["String"],
  "id": "String (identifier)",
  "category": "String",
  "fileStates":
    [{
      "path": "String",
      "riskScore": "String",
      "name": "String",
      "fileHash":
        {
          "hashType": "@odata.type: microsoft.graph.fileHashType",
          "hashValue": "String"
         }
     }],
  "severity": "@odata.type: microsoft.graph.alertSeverity",
  "title": "String",
  "sourceMaterials": ["String"],
  "comments": ["String"],
  "assignedTo": "String",
  "eventDateTime": "String (timestamp)",
  "activityGroupName": "String",
  "status": "@odata.type: microsoft.graph.alertStatus",
  "description": "String",
  "tags": ["String"],
  "confidence": 1024,
  "vendorInformation":
      {
        "providerVersion": "String",
        "vendor": "String",
        "subProvider": "String",
        "provider": "String"
      },
  "userStates":
      [{
        "emailRole": "@odata.type: microsoft.graph.emailRole",
        "logonId": "String",
        "domainName": "String",
        "onPremisesSecurityIdentifier": "String",
        "userPrincipalName": "String",
        "userAccountType": "@odata.type: microsoft.graph.userAccountSecurityType",
        "logonIp": "String",
        "logonDateTime": "String (timestamp)",
        "logonType": "@odata.type: microsoft.graph.logonType",
        "logonLocation": "String",
        "aadUserId": "String",
        "accountName": "String",
        "riskScore": "String",
        "isVpn": "true"
        }],
 "malwareStates":
      [{
        "category": "String",
        "wasRunning": "true",
        "name": "String",
        "family": "String",
        "severity": "String"
       }],
  "processes":
      [{
        "processId": 1024,
        "integrityLevel": "@odata.type: microsoft.graph.processIntegrityLevel",
        "name": "String",
        "fileHash":
            {
              "hashType": "@odata.type: microsoft.graph.fileHashType",
              "hashValue": "String"
            },
       "parentProcessId": 1024,
       "createdDateTime": "String (timestamp)",
       "commandLine": "String",
       "parentProcessName": "String",
       "accountName": "String",
       "isElevated": "true",
       "path": "String",
       "parentProcessCreatedDateTime": "String (timestamp)"
      }],
  "azureTenantId": "String",
  "triggers":
     [{
       "type": "String",
       "name": "String",
       "value": "String"
      }],
  "createdDateTime": "String (timestamp)",
  "vulnerabilityStates":
     [{
       "cve": "String",
       "severity": "String",
       "wasRunning": "true"
     }],
  "hostStates":
     [{
       "isAzureAadRegistered": "true",
       "riskScore": "String",
       "fqdn": "String",
       "isHybridAzureDomainJoined": "true",
       "netBiosName": "String",
       "publicIpAddress": "String",
        "isAzureAadJoined": "true",
        "os": "String",
        "privateIpAddress": "String"
      }],
  "lastModifiedDateTime": "String (timestamp)",
  "registryKeyStates":
      [{
        "processId": 1024,
        "oldKey": "String",
        "oldValueName": "String",
         "valueType": "@odata.type: microsoft.graph.registryValueType",
        "oldValueData": "String",
        "hive": "@odata.type: microsoft.graph.registryHive",
        "valueData": "String",
        "key": "String",
        "valueName": "String",
        "operation": "@odata.type: microsoft.graph.registryOperation"
       }],
  "closedDateTime": "String (timestamp)",
  "azureSubscriptionId": "String"
}

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Obtenir l'alerte :

Nom du résultat du script	Valeur
`alert_details`	`True` ou `False`

Obtenir un incident

Utilisez l'action Get Incident (Obtenir l'incident) pour obtenir des informations sur un incident de sécurité à l'aide de son ID.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Obtenir l'incident nécessite les paramètres suivants :

Paramètre	Description
`Incident ID`	Obligatoire ID de l'incident pour lequel obtenir les détails.

Sorties d'action

L'action Obtenir l'incident fournit les sorties suivantes :

Type de sortie de l'action	Disponibilité
Pièce jointe au mur des cas	Non disponible
Lien vers le mur des cas	Non disponible
Table du mur des cas	Non disponible
Table d'enrichissement	Non disponible
Résultat JSON	Non disponible
Messages de sortie	Disponible
Résultat du script	Disponible

Messages de sortie

L'action Get Incident (Obtenir l'incident) peut renvoyer les messages de sortie suivants :

Message affiché Description du message

Message affiché	Description du message
`Successfully returned information about the incident INCIDENT_ID.`	L'action a réussi.
`Error executing action "Get Incident". Reason: ERROR_REASON`	Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Successfully returned information about the incident INCIDENT_ID.

L'action a réussi.

Error executing action "Get Incident". Reason:
      ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Get Incident (Obtenir l'incident) :

Nom du résultat du script	Valeur
`is_success`	`True` ou `False`

Mettre fin à la session utilisateur

Utilisez l'action Kill User Session (Mettre fin à la session utilisateur) pour invalider tous les jetons d'actualisation émis pour les applications d'un utilisateur en réinitialisant la propriété utilisateur signInSessionsValidFromDateTime sur la date et l'heure actuelles.

Cette action s'exécute sur toutes les entités Google SecOps.

Entrées d'action

L'action Mettre fin à la session utilisateur nécessite les paramètres suivants :

Paramètre	Description
`userPrincipalName\| ID`	Obligatoire Nom d'utilisateur ou valeur ID unique de l'utilisateur utilisé dans Microsoft Entra ID.

Sorties d'action

L'action Kill User Session (Mettre fin à la session utilisateur) fournit les sorties suivantes :

Type de sortie de l'action	Disponibilité
Pièce jointe au mur des cas	Non disponible
Lien vers le mur des cas	Non disponible
Table du mur des cas	Non disponible
Table d'enrichissement	Non disponible
Résultat JSON	Non disponible
Résultat du script	Disponible

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Kill User Session (Mettre fin à la session utilisateur) :

Nom du résultat du script	Valeur
`is_success`	`True` ou `False`

Lister les alertes

Utilisez l'action Lister les alertes pour lister les alertes disponibles dans Microsoft Graph.

Cette action s'exécute sur toutes les entités Google SecOps.

Le processus de filtrage a lieu côté API Microsoft Graph. Pour les produits qui publient des alertes sur Microsoft Graph et ne prennent pas en charge le filtrage, Microsoft Graph ajoute toutes les alertes à la réponse comme si elles avaient passé le filtre.

Entrées d'action

L'action Lister les alertes nécessite les paramètres suivants :

Paramètre	Description
`Filter Key`	Optional Spécifiez la clé à utiliser pour filtrer les alertes. Remarque : L'option "Titre" n'est pas disponible dans l'API V2.
`Filter Logic`	Optional Logique de filtre à appliquer. La logique de filtrage est basée sur la valeur du paramètre `Filter Key`. Les valeurs possibles sont les suivantes : `Not Specified` `Equal` `Contains` La valeur par défaut est `Not Specified`.
`Filter Value`	Optional Valeur à utiliser dans le filtre. Si vous sélectionnez `Equal`, l'action tente de trouver la correspondance exacte parmi les résultats. Si vous sélectionnez `Contains`, l'action tente de trouver des résultats contenant la sous-chaîne sélectionnée. Si vous ne définissez pas de valeur, le filtre ne s'applique pas. La logique de filtrage est basée sur la valeur du paramètre `Filter Key`.
`Max Records To Return`	Optional Nombre d'enregistrements à renvoyer pour chaque action exécutée. La valeur par défaut est 50.

Sorties d'action

L'action Lister les alertes fournit les sorties suivantes :

Type de sortie de l'action	Disponibilité
Pièce jointe au mur des cas	Non disponible
Lien vers le mur des cas	Non disponible
Table du mur des cas	Non disponible
Table d'enrichissement	Non disponible
Résultat JSON	Disponible
Messages de sortie	Disponible
Résultat du script	Disponible

Résultat JSON

L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Lister les alertes :

{
            "id": "ID",
            "azureTenantId": "TENANT_ID",
            "azureSubscriptionId": null,
            "riskScore": null,
            "tags": [],
            "activityGroupName": null,
            "assignedTo": null,
            "category": "ImpossibleTravel",
            "closedDateTime": null,
            "comments": [],
            "confidence": null,
            "createdDateTime": "2022-04-29T13:10:59.705Z",
            "description": "Sign-in from an atypical location based on the user's recent sign-ins",
            "detectionIds": [],
            "eventDateTime": "2022-04-29T11:36:59.1520667Z",
            "feedback": null,
            "incidentIds": [],
            "lastEventDateTime": null,
            "lastModifiedDateTime": "2022-04-30T14:44:43.4742002Z",
            "recommendedActions": [],
            "severity": "medium",
            "sourceMaterials": [],
            "status": "newAlert",
            "title": "Atypical travel",
            "vendorInformation": {
                "provider": "IPC",
                "providerVersion": null,
                "subProvider": null,
                "vendor": "Microsoft"
            },
            "alertDetections": [],
            "cloudAppStates": [],
            "fileStates": [],
            "hostStates": [],
            "historyStates": [],
            "investigationSecurityStates": [],
            "malwareStates": [],
            "messageSecurityStates": [],
            "networkConnections": [],
            "processes": [],
            "registryKeyStates": [],
            "securityResources": [],
            "triggers": [],
            "userStates": [
                {
                    "aadUserId": "b786d3cf-e97d-4511-b61c-0559e9f4da75",
                    "accountName": "example.user",
                    "domainName": "example.com",
                    "emailRole": "unknown",
                    "isVpn": null,
                    "logonDateTime": "2022-04-29T11:36:59.1520667Z",
                    "logonId": null,
                    "logonIp": "203.0.113.194",
                    "logonLocation": "1800 Amphibious Blvd, Mountain View, CA 94045",
                    "logonType": null,
                    "onPremisesSecurityIdentifier": null,
                    "riskScore": null,
                    "userAccountType": null,
                    "userPrincipalName": "example.user@example.com"
                },
                {
                    "aadUserId": "b786d3cf-e97d-4511-b61c-0559e9f4da75",
                    "accountName": "example.user",
                    "domainName": "example.com",
                    "emailRole": "unknown",
                    "isVpn": null,
                    "logonDateTime": "2022-04-29T11:15:00Z",
                    "logonId": null,
                    "logonIp": "192.0.2.160",
                    "logonLocation": "ES",
                    "logonType": null,
                    "onPremisesSecurityIdentifier": null,
                    "riskScore": null,
                    "userAccountType": null,
                    "userPrincipalName": "example.user@example.com"
                }
            ],
            "uriClickSecurityStates": [],
            "vulnerabilityStates": []
}

Messages de sortie

L'action Lister les alertes peut renvoyer les messages de sortie suivants :

Message affiché Description du message

Message affiché	Description du message
`Successfully found alerts for the provided criteria in Microsoft Graph.` `No alerts were found for the provided criteria in Microsoft Graph.` `The filter was not applied because the "Filter Value" parameter has an empty value.`	L'action a réussi.
`Error executing action "List Alerts". Reason: ERROR_REASON`	Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Successfully found alerts for the provided criteria in Microsoft Graph.

No alerts were found for the provided criteria in Microsoft Graph.

The filter was not applied because the "Filter Value" parameter has an empty value.

L'action a réussi.

Error executing action "List Alerts". Reason:
      ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Lister les alertes :

Nom du résultat du script	Valeur
`alerts_details`	`ALERT_DETAILS`

Lister les incidents

Utilisez l'action Lister les incidents pour lister les incidents de sécurité à partir de Microsoft Graph en fonction des critères fournis.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Lister les incidents nécessite les paramètres suivants :

Paramètre	Description
`Filter Key`	Optional Spécifiez la clé à utiliser pour filtrer les alertes. Remarque : L'option "Titre" n'est pas disponible dans l'API V2.
`Filter Logic`	Optional Logique de filtre à appliquer. La logique de filtrage est basée sur la valeur du paramètre `Filter Key`. Les valeurs possibles sont les suivantes : `Not Specified` `Equal` `Contains` La valeur par défaut est `Not Specified`.
`Filter Value`	Optional Valeur à utiliser dans le filtre. Si vous sélectionnez `Equal`, l'action tente de trouver la correspondance exacte parmi les résultats. Si vous sélectionnez `Contains`, l'action tente de trouver des résultats contenant la sous-chaîne sélectionnée. Si vous ne définissez pas de valeur, le filtre ne s'applique pas. La logique de filtrage est basée sur la valeur du paramètre `Filter Key`.
`Max Records To Return`	Optional Nombre d'enregistrements à renvoyer pour chaque action exécutée. La valeur par défaut est 50.

Sorties d'action

L'action Lister les incidents fournit les sorties suivantes :

Type de sortie de l'action	Disponibilité
Pièce jointe au mur des cas	Non disponible
Lien vers le mur des cas	Non disponible
Table du mur des cas	Non disponible
Table d'enrichissement	Non disponible
Résultat JSON	Non disponible
Messages de sortie	Disponible
Résultat du script	Disponible

Messages de sortie

L'action Lister les incidents peut renvoyer les messages de sortie suivants :

Message affiché Description du message

Message affiché	Description du message
`Successfully found incidents for the provided criteria in Microsoft Graph.` `No incidents were found for the provided criteria in Microsoft Graph.` `The filter was not applied because the "Filter Value" parameter has an empty value.`	L'action a réussi.
`Error executing action "List Incidents". Reason: ERROR_REASON`	Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Successfully found incidents for the provided criteria in Microsoft Graph.

No incidents were found for the provided criteria in Microsoft Graph.

The filter was not applied because the "Filter Value" parameter has an empty value.

L'action a réussi.

Error executing action "List Incidents". Reason:
      ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Lister les incidents :

Nom du résultat du script	Valeur
`is_success`	`True` ou `False`

Ping

Utilisez l'action Ping pour tester la connectivité à Microsoft Graph.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

Aucun

Sorties d'action

L'action Ping fournit les résultats suivants :

Type de sortie de l'action	Disponibilité
Pièce jointe au mur des cas	Non disponible
Lien vers le mur des cas	Non disponible
Table du mur des cas	Non disponible
Table d'enrichissement	Non disponible
Résultat JSON	Non disponible
Résultat du script	Disponible

Résultat du script

Le tableau suivant répertorie la valeur du résultat du script lorsque vous utilisez l'action Ping :

Nom du résultat du script	Valeur
`is_success`	`True` ou `False`

Mettre à jour l'alerte

Utilisez l'action Mettre à jour l'alerte pour mettre à jour une propriété d'alerte modifiable.

Cette action s'exécute sur toutes les entités Google SecOps.

Entrées d'action

L'action Mettre à jour l'alerte nécessite les paramètres suivants :

Paramètre	Description
`Alert ID`	Obligatoire ID de l'alerte à modifier.
`Assigned To`	Optional Nom de l'analyste auquel l'alerte est attribuée pour le tri, l'investigation ou la correction.
`Closed Date Time`	Optional Heure à laquelle l'alerte a été fermée. Le type Timestamp représente des informations de date et d'heure au format ISO 8601 et est toujours exprimé en heure UTC. Par exemple, minuit UTC le 1er janvier 2014 se présenterait comme suit : "2014-01-01T00:00:00Z". Remarque : Ce paramètre n'est pas compatible avec la version V2 de l'API.
`Comments`	Optional Commentaires de l'analyste sur l'alerte (pour la gestion des alertes client), séparés par une virgule. Cette méthode ne peut mettre à jour le champ "Commentaires" qu'avec les valeurs suivantes : "Clôturé dans IPC" et "Clôturé dans MCAS". Remarque : Dans la version V2 de l'API, ce paramètre fonctionne comme une chaîne et un seul commentaire sera ajouté à l'alerte.
`Feedback`	Optional Commentaires de l'analyste sur l'alerte. Les valeurs possibles sont : unknown, truePositive, falsePositive, benignPositive. Remarque : Dans la version V2 de l'API, ce paramètre est mappé sur "classification" et peut prendre les valeurs suivantes : unknown, falsePositive, truePositive, informationalExpectedActivity, unknownFutureValue.
`Status`	Optional État du cycle de vie de l'alerte. Les valeurs possibles sont les suivantes : `unknown` `newAlert` `inProgress` `resolved`
`Tags`	Optional Libellés définissables par l'utilisateur et pouvant être appliqués à une alerte. Séparés par une virgule. Remarque : Ce paramètre n'est pas compatible avec la version V2 de l'API.

Sorties d'action

L'action Alerte de mise à jour fournit les résultats suivants :

Type de sortie de l'action	Disponibilité
Pièce jointe au mur des cas	Non disponible
Lien vers le mur des cas	Non disponible
Table du mur des cas	Non disponible
Table d'enrichissement	Non disponible
Résultat JSON	Non disponible
Résultat du script	Disponible

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Mettre à jour l'alerte :

Nom du résultat du script	Valeur
`is_updated`	`True` ou `False`

Connecteurs

Pour obtenir des instructions détaillées sur la configuration d'un connecteur dans Google SecOps, consultez Ingérer vos données (connecteurs).

Connecteur Microsoft Graph Security

Utilisez le connecteur Microsoft Graph Security pour ingérer les alertes publiées dans l'API Microsoft Graph Security en tant qu'alertes Google SecOps. Le connecteur se connecte régulièrement au point de terminaison de sécurité Microsoft Graph et extrait la liste des incidents générés pour une période spécifique.

Le connecteur Microsoft Graph Security nécessite les paramètres suivants :

Paramètre	Description
`Product Field Name`	Obligatoire Nom du champ dans lequel le nom du produit est stocké. La valeur par défaut est `ProductFieldName`.
`Event Field Name`	Obligatoire Nom du champ utilisé pour déterminer le nom de l'événement (sous-type). La valeur par défaut est `AlertName`.
`Script Timeout (Seconds)`	Obligatoire Délai limite (en secondes) pour le processus Python exécutant le script actuel. La valeur par défaut est de 30 secondes.
`Environment Field Name`	Optional Nom du champ dans lequel le nom de l'environnement est stocké. Si le champ d'environnement n'est pas trouvé, l'environnement est défini sur `""`.
`Pattern`	Optional Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ `Environment Field Name`. Ce paramètre vous permet de manipuler le champ "environment" à l'aide de la logique d'expression régulière. Utilisez la valeur par défaut `.*` pour récupérer la valeur `Environment Field Name` brute requise. Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, le résultat final de l'environnement est `""`.
`Client ID`	Obligatoire ID client (application) de l'application Microsoft Entra à utiliser dans l'intégration.
`Client Secret`	Optional Valeur du code secret du client de l'application Microsoft Entra à utiliser dans l'intégration.
`Certificate Path`	Optional Si vous utilisez l'authentification basée sur des certificats au lieu du code secret du client, saisissez le chemin d'accès au certificat sur le serveur Google SecOps.
`Certificate Password`	Optional Si le certificat d'authentification que vous utilisez est protégé par un mot de passe, spécifiez-le pour ouvrir le fichier de certificat.
`Azure Active Directory ID`	Obligatoire Valeur de l'ID Microsoft Entra ID (ID de locataire).
`Offset Time In Hours`	Obligatoire Nombre d'heures avant l'heure actuelle à partir desquelles récupérer les alertes. La valeur par défaut est de 120 heures.
`Fetch Alerts only from`	Optional Liste de fournisseurs séparés par une virgule à partir desquels extraire les alertes Microsoft Graph. Si vous définissez le paramètre "Récupérer les alertes uniquement à partir de" sur Office 365 Security and Compliance, le connecteur n'accepte pas plusieurs valeurs dans les paramètres "États des alertes à récupérer" ou "Niveaux de gravité des alertes à récupérer". Si l'option "Utiliser l'API V2" est activée, ce paramètre fonctionnera avec la propriété "serviceSource" de l'alerte.
`Alert Statuses to fetch`	Obligatoire Liste des états d'alerte à récupérer pour le serveur Google SecOps, séparés par une virgule. Les valeurs possibles sont les suivantes : `unknown`, `newAlert`, `inProgress`, `resolved`.
`Alert Severities to fetch`	Obligatoire Liste des niveaux de gravité des alertes à récupérer pour le serveur Google SecOps, séparés par une virgule. Les valeurs possibles sont les suivantes : `high`, `medium`, `low`, `informational`, `unknown`.
`Max Alerts Per Cycle`	Optional Nombre maximal d'alertes à traiter dans une itération de connecteur. La valeur par défaut est 50.
`Proxy Server Address`	Optional Adresse du serveur proxy à utiliser.
`Proxy Username`	Optional Nom d'utilisateur du proxy pour l'authentification.
`Proxy Password`	Optional Mot de passe du proxy pour l'authentification.
`Use V2 API`	Optional Si cette option est activée, le connecteur utilisera les points de terminaison de l'API V2. Remarque : La structure des alertes et des événements va changer. De plus, le paramètre "Récupérer les alertes uniquement à partir de" nécessitera de fournir différentes valeurs.

Règles du connecteur

Le connecteur n'est pas compatible avec les règles de listes dynamiques ou de listes de blocage.

Le connecteur est compatible avec les proxys.

Connecteur Microsoft Graph Office 365 Security and Compliance

Utilisez le connecteur Microsoft Graph Office 365 Security and Compliance pour ingérer les alertes Office 365 Security and Compliance à l'aide de l'API Microsoft Graph.

Le connecteur Microsoft Graph Office 365 Security and Compliance nécessite les paramètres suivants :

Paramètre	Description
`Product Field Name`	Obligatoire Nom du champ dans lequel le nom du produit est stocké. La valeur par défaut est `ProductFieldName`.
`Event Field Name`	Obligatoire Nom du champ utilisé pour déterminer le nom de l'événement (sous-type). La valeur par défaut est `event_class`.
`Script Timeout (Seconds)`	Obligatoire Délai limite (en secondes) pour le processus Python exécutant le script actuel. La valeur par défaut est de 30 secondes.
`Environment Field Name`	Optional Nom du champ dans lequel le nom de l'environnement est stocké. Si le champ d'environnement n'est pas trouvé, l'environnement est défini sur `""`.
`Environment Regex Pattern`	Optional Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ `Environment Field Name`. Ce paramètre vous permet de manipuler le champ "environment" à l'aide de la logique d'expression régulière. Utilisez la valeur par défaut `.*` pour récupérer la valeur `Environment Field Name` brute requise. Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, le résultat final de l'environnement est `""`.
`Client ID`	Obligatoire ID client (application) de l'application Microsoft Entra à utiliser dans l'intégration.
`Client Secret`	Optional Valeur du code secret du client de l'application Microsoft Entra à utiliser dans l'intégration.
`Certificate Path`	Optional Si vous utilisez l'authentification basée sur des certificats au lieu du code secret du client, saisissez le chemin d'accès au certificat sur le serveur Google SecOps.
`Certificate Password`	Optional Si le certificat d'authentification que vous utilisez est protégé par un mot de passe, spécifiez-le pour ouvrir le fichier de certificat.
`Azure Active Directory ID`	Obligatoire Valeur de l'ID Microsoft Entra ID (ID de locataire).
`Verify SSL`	Optional Si cette option est sélectionnée, l'intégration vérifie que le certificat SSL pour la connexion au serveur Microsoft Graph est valide. Cette option est sélectionnée par défaut.
`Offset Time In Hours`	Obligatoire Nombre d'heures avant l'heure actuelle pour récupérer les alertes. La valeur par défaut est de 120 heures.
`Alert Statuses to fetch`	Optional Liste des états d'alerte à récupérer pour le serveur Google SecOps, séparés par une virgule. Les valeurs possibles sont les suivantes : `Dismissed`, `Active`, `Investigating`, `Resolved`.
`Alert Severities to fetch`	Optional Liste des niveaux de gravité des alertes à récupérer pour le serveur Google SecOps, séparés par une virgule. Les valeurs possibles sont les suivantes : `high`, `medium`, `low`, `informational`, `unknown`.
`Max Alerts Per Cycle`	Obligatoire Nombre maximal d'alertes à traiter dans une itération de connecteur. La valeur par défaut est 50.
`Proxy Server Address`	Optional Adresse du serveur proxy à utiliser.
`Proxy Username`	Optional Nom d'utilisateur du proxy pour l'authentification.
`Proxy Password`	Optional Mot de passe du proxy pour l'authentification.

Règles du connecteur

Le connecteur n'est pas compatible avec les règles de listes dynamiques ou de listes de blocage.

Le connecteur est compatible avec les proxys.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.