Microsoft Graph Security
이 문서에서는 Microsoft Graph 보안 API를 Google Security Operations (Google SecOps)와 통합하는 방법을 안내합니다.
통합 버전: 20.0
이 문서는 Microsoft Graph 보안 API를 참조합니다. Google SecOps 플랫폼에서 Microsoft Graph 보안 API 통합은 Microsoft Graph 보안이라고 합니다.
시작하기 전에
Google SecOps 플랫폼에서 통합을 구성하기 전에 다음 단계를 완료하세요.
Microsoft Entra 앱을 만듭니다.
애플리케이션의 API 권한을 구성합니다.
클라이언트 보안 비밀번호를 만듭니다.
Microsoft Entra 애플리케이션 만들기
Microsoft Entra 애플리케이션을 만들려면 다음 단계를 완료하세요.
사용자 관리자 또는 비밀번호 관리자로 Azure 포털에 로그인합니다.
Microsoft Entra ID를 선택합니다.
앱 등록 > 새 등록으로 이동합니다.
애플리케이션 이름을 입력합니다.
리디렉션 URI 필드에
http://localhost/를 입력합니다.등록을 클릭합니다.
나중에 통합 매개변수를 구성하는 데 사용할 수 있도록 애플리케이션 (클라이언트) ID 및 디렉터리 (테넌트) ID 값을 저장합니다.
API 권한 구성
통합의 API 권한을 구성하려면 다음 단계를 완료하세요.
Azure 포털에서 API 권한 > 권한 추가로 이동합니다.
Microsoft Graph > 애플리케이션 권한을 선택합니다.
권한 선택 섹션에서 다음 필수 권한을 선택합니다.
User.ReadWrite.AllMail.ReadDirectory.ReadWrite.AllDirectory.AccessAsUser.AllSecurityEvents.ReadWrite.AllSecurityEvents.Read.All
권한 추가를 클릭합니다.
YOUR_ORGANIZATION_NAME에 대한 관리자 동의 허용을 클릭합니다.관리자 동의 부여 확인 대화상자가 표시되면 예를 클릭합니다.
클라이언트 보안 비밀번호 만들기
클라이언트 보안 비밀을 만들려면 다음 단계를 완료하세요.
인증서 및 보안 비밀 > 새 클라이언트 보안 비밀번호로 이동합니다.
클라이언트 보안 비밀번호에 대한 설명을 입력하고 만료 기한을 설정합니다.
추가를 클릭합니다.
통합을 구성하기 위한 보안 비밀 ID 매개변수 값으로 사용하기 위해 보안 비밀 ID가 아닌 클라이언트 보안 비밀 값을 저장합니다. 클라이언트 보안 비밀번호 값은 한 번만 표시됩니다.
Microsoft Graph 보안 API를 Google SecOps와 통합
통합에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Client ID |
필수 통합에 사용할 Microsoft Entra 애플리케이션의 클라이언트 (애플리케이션) ID입니다. |
Secret ID |
선택사항 통합에 사용할 Microsoft Entra 애플리케이션의 클라이언트 보안 비밀번호 값입니다. |
Certificate Path |
선택사항 클라이언트 보안 비밀번호 대신 인증서 기반 인증을 사용하는 경우 Google SecOps 서버의 인증서 경로를 입력합니다. |
Certificate Password |
선택사항 사용하는 인증 인증서가 비밀번호로 보호된 경우 인증서 파일을 여는 비밀번호를 지정합니다. |
Tenant |
필수 Microsoft Entra ID (테넌트 ID) 값입니다. |
Use V2 API |
선택사항 사용 설정하면 커넥터가 V2 API 엔드포인트를 사용합니다. 참고: 알림 및 이벤트의 구조가 변경됩니다. |
Google SecOps에서 통합을 구성하는 방법에 대한 안내는 통합 구성을 참고하세요.
필요한 경우 이후 단계에서 변경할 수 있습니다. 통합 인스턴스를 구성한 후 플레이북에서 사용할 수 있습니다. 여러 인스턴스 구성 및 지원에 대한 자세한 내용은 다중 인스턴스 지원을 참고하세요.
작업
작업에 관한 자세한 내용은 Workdesk의 대기 중인 작업에 응답 및 수동 작업 실행을 참고하세요.
알림 댓글 추가
알림 댓글 추가 작업을 사용하여 Microsoft Graph의 알림에 댓글을 추가합니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
알림 댓글 추가 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Alert ID |
필수 업데이트할 알림의 ID입니다. |
Comment |
필수 알림에 대한 댓글입니다. |
작업 출력
알림 댓글 추가 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
출력 메시지
알림 댓글 추가 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Add Alert Comment". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 알림 댓글 추가 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
관리자 동의 받기
관리자 동의 받기 작업을 사용하여 Azure 포털에서 애플리케이션에 권한을 부여합니다.
이 작업은 모든 Google SecOps 항목에서 실행됩니다.
작업 입력
관리자 동의 받기 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Redirect URL |
필수 Azure 포털에 등록할 때 사용한 리디렉션 URL입니다. |
작업 출력
관리자 동의 받기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
다음 표에는 관리자 동의 받기 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_connected |
True 또는 False |
알림 가져오기
알림 가져오기 작업을 사용하여 알림 ID를 통해 알림의 속성과 관계를 가져옵니다.
이 작업은 모든 Google SecOps 항목에서 실행됩니다.
작업 입력
알림 가져오기 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Alert ID |
필수 세부정보를 가져올 알림의 ID입니다. |
작업 출력
알림 가져오기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예는 알림 가져오기 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"feedback": "@odata.type: microsoft.graph.alertFeedback",
"recommendedActions": ["String"],
"networkConnections":
[{
"applicationName": "String",
"natDestinationPort": "String",
"destinationAddress": "String",
"localDnsName": "String",
"natDestinationAddress": "String",
"destinationUrl": "String",
"natSourceAddress": "String",
"sourceAddress": "String",
"direction": "@odata.type: microsoft.graph.connectionDirection",
"domainRegisteredDateTime": "String (timestamp)",
"status": "@odata.type: microsoft.graph.connectionStatus",
"destinationDomain": "String",
"destinationPort": "String",
"sourcePort": "String",
"protocol": "@odata.type: microsoft.graph.securityNetworkProtocol",
"natSourcePort": "String",
"riskScore": "String",
"urlParameters": "String"
}],
"cloudAppStates":
[{
"destinationServiceIp": "String",
"riskScore": "String",
"destinationServiceName": "String"
}],
"detectionIds": ["String"],
"id": "String (identifier)",
"category": "String",
"fileStates":
[{
"path": "String",
"riskScore": "String",
"name": "String",
"fileHash":
{
"hashType": "@odata.type: microsoft.graph.fileHashType",
"hashValue": "String"
}
}],
"severity": "@odata.type: microsoft.graph.alertSeverity",
"title": "String",
"sourceMaterials": ["String"],
"comments": ["String"],
"assignedTo": "String",
"eventDateTime": "String (timestamp)",
"activityGroupName": "String",
"status": "@odata.type: microsoft.graph.alertStatus",
"description": "String",
"tags": ["String"],
"confidence": 1024,
"vendorInformation":
{
"providerVersion": "String",
"vendor": "String",
"subProvider": "String",
"provider": "String"
},
"userStates":
[{
"emailRole": "@odata.type: microsoft.graph.emailRole",
"logonId": "String",
"domainName": "String",
"onPremisesSecurityIdentifier": "String",
"userPrincipalName": "String",
"userAccountType": "@odata.type: microsoft.graph.userAccountSecurityType",
"logonIp": "String",
"logonDateTime": "String (timestamp)",
"logonType": "@odata.type: microsoft.graph.logonType",
"logonLocation": "String",
"aadUserId": "String",
"accountName": "String",
"riskScore": "String",
"isVpn": "true"
}],
"malwareStates":
[{
"category": "String",
"wasRunning": "true",
"name": "String",
"family": "String",
"severity": "String"
}],
"processes":
[{
"processId": 1024,
"integrityLevel": "@odata.type: microsoft.graph.processIntegrityLevel",
"name": "String",
"fileHash":
{
"hashType": "@odata.type: microsoft.graph.fileHashType",
"hashValue": "String"
},
"parentProcessId": 1024,
"createdDateTime": "String (timestamp)",
"commandLine": "String",
"parentProcessName": "String",
"accountName": "String",
"isElevated": "true",
"path": "String",
"parentProcessCreatedDateTime": "String (timestamp)"
}],
"azureTenantId": "String",
"triggers":
[{
"type": "String",
"name": "String",
"value": "String"
}],
"createdDateTime": "String (timestamp)",
"vulnerabilityStates":
[{
"cve": "String",
"severity": "String",
"wasRunning": "true"
}],
"hostStates":
[{
"isAzureAadRegistered": "true",
"riskScore": "String",
"fqdn": "String",
"isHybridAzureDomainJoined": "true",
"netBiosName": "String",
"publicIpAddress": "String",
"isAzureAadJoined": "true",
"os": "String",
"privateIpAddress": "String"
}],
"lastModifiedDateTime": "String (timestamp)",
"registryKeyStates":
[{
"processId": 1024,
"oldKey": "String",
"oldValueName": "String",
"valueType": "@odata.type: microsoft.graph.registryValueType",
"oldValueData": "String",
"hive": "@odata.type: microsoft.graph.registryHive",
"valueData": "String",
"key": "String",
"valueName": "String",
"operation": "@odata.type: microsoft.graph.registryOperation"
}],
"closedDateTime": "String (timestamp)",
"azureSubscriptionId": "String"
}
스크립트 결과
다음 표에는 알림 가져오기 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
alert_details |
True 또는 False |
Get Incident(인시던트 가져오기)
Get Incident(사고 가져오기) 작업을 사용하여 사고 ID를 통해 보안 사고의 세부정보를 가져옵니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
Get Incident(인시던트 가져오기) 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Incident ID |
필수 세부정보를 가져올 인시던트의 ID입니다. |
작업 출력
Get Incident 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
출력 메시지
Get Incident(인시던트 가져오기) 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Get Incident". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 Get Incident 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
사용자 세션 종료
사용자 세션 종료 작업을 사용하여 signInSessionsValidFromDateTime 사용자 속성을 현재 날짜와 시간으로 재설정하여 사용자에게 애플리케이션이 발급한 모든 새로고침 토큰을 무효화합니다.
이 작업은 모든 Google SecOps 항목에서 실행됩니다.
작업 입력
사용자 세션 종료 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
userPrincipalName| ID |
필수 Microsoft Entra ID에서 사용되는 사용자 이름 또는 사용자 고유 ID 값입니다. |
작업 출력
사용자 세션 종료 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
다음 표에는 사용자 세션 종료 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
알림 나열
알림 목록 작업을 사용하여 Microsoft Graph에서 사용 가능한 알림을 나열합니다.
이 작업은 모든 Google SecOps 항목에서 실행됩니다.
필터링 프로세스는 Microsoft Graph API 측에서 이루어집니다. Microsoft Graph에 알림을 게시하고 필터링을 지원하지 않는 제품의 경우 Microsoft Graph는 알림이 필터를 통과한 것처럼 모든 알림을 응답에 추가합니다.
작업 입력
알림 목록 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Filter Key |
선택사항 알림을 필터링하는 데 사용해야 하는 키를 지정합니다. 참고: V2 API에서는 '제목' 옵션이 지원되지 않습니다. |
Filter Logic |
선택사항 적용할 필터 논리입니다. 필터 로직은 가능한 값은 다음과 같습니다.
기본값은 |
Filter Value |
선택사항 필터에 사용할 값입니다.
값을 설정하지 않으면 필터가 적용되지 않습니다. 필터 로직은 |
Max Records To Return |
선택사항 각 작업 실행에 대해 반환할 레코드 수입니다. 기본값은 50개입니다. |
작업 출력
알림 목록 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예는 알림 목록 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"id": "ID",
"azureTenantId": "TENANT_ID",
"azureSubscriptionId": null,
"riskScore": null,
"tags": [],
"activityGroupName": null,
"assignedTo": null,
"category": "ImpossibleTravel",
"closedDateTime": null,
"comments": [],
"confidence": null,
"createdDateTime": "2022-04-29T13:10:59.705Z",
"description": "Sign-in from an atypical location based on the user's recent sign-ins",
"detectionIds": [],
"eventDateTime": "2022-04-29T11:36:59.1520667Z",
"feedback": null,
"incidentIds": [],
"lastEventDateTime": null,
"lastModifiedDateTime": "2022-04-30T14:44:43.4742002Z",
"recommendedActions": [],
"severity": "medium",
"sourceMaterials": [],
"status": "newAlert",
"title": "Atypical travel",
"vendorInformation": {
"provider": "IPC",
"providerVersion": null,
"subProvider": null,
"vendor": "Microsoft"
},
"alertDetections": [],
"cloudAppStates": [],
"fileStates": [],
"hostStates": [],
"historyStates": [],
"investigationSecurityStates": [],
"malwareStates": [],
"messageSecurityStates": [],
"networkConnections": [],
"processes": [],
"registryKeyStates": [],
"securityResources": [],
"triggers": [],
"userStates": [
{
"aadUserId": "b786d3cf-e97d-4511-b61c-0559e9f4da75",
"accountName": "example.user",
"domainName": "example.com",
"emailRole": "unknown",
"isVpn": null,
"logonDateTime": "2022-04-29T11:36:59.1520667Z",
"logonId": null,
"logonIp": "203.0.113.194",
"logonLocation": "1800 Amphibious Blvd, Mountain View, CA 94045",
"logonType": null,
"onPremisesSecurityIdentifier": null,
"riskScore": null,
"userAccountType": null,
"userPrincipalName": "example.user@example.com"
},
{
"aadUserId": "b786d3cf-e97d-4511-b61c-0559e9f4da75",
"accountName": "example.user",
"domainName": "example.com",
"emailRole": "unknown",
"isVpn": null,
"logonDateTime": "2022-04-29T11:15:00Z",
"logonId": null,
"logonIp": "192.0.2.160",
"logonLocation": "ES",
"logonType": null,
"onPremisesSecurityIdentifier": null,
"riskScore": null,
"userAccountType": null,
"userPrincipalName": "example.user@example.com"
}
],
"uriClickSecurityStates": [],
"vulnerabilityStates": []
}
출력 메시지
알림 목록 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "List Alerts". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 알림 목록 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
alerts_details |
ALERT_DETAILS |
인시던트 나열
사고 목록 작업을 사용하여 제공된 기준에 따라 Microsoft Graph의 보안 사고를 나열합니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
List Incidents 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Filter Key |
선택사항 알림을 필터링하는 데 사용해야 하는 키를 지정합니다. 참고: V2 API에서는 '제목' 옵션이 지원되지 않습니다. |
Filter Logic |
선택사항 적용할 필터 논리입니다. 필터 로직은 가능한 값은 다음과 같습니다.
기본값은 |
Filter Value |
선택사항 필터에 사용할 값입니다.
값을 설정하지 않으면 필터가 적용되지 않습니다. 필터 로직은 |
Max Records To Return |
선택사항 각 작업 실행에 대해 반환할 레코드 수입니다. 기본값은 50개입니다. |
작업 출력
List Incidents 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
출력 메시지
List Incidents 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "List Incidents". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 List Incidents 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
핑
Ping 작업을 사용하여 Microsoft Graph에 대한 연결을 테스트합니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
없음
작업 출력
Ping 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
다음 표에는 Ping 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
알림 업데이트
알림 업데이트 작업을 사용하여 수정 가능한 알림 속성을 업데이트합니다.
이 작업은 모든 Google SecOps 항목에서 실행됩니다.
작업 입력
알림 업데이트 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Alert ID |
필수
업데이트할 알림의 ID입니다. |
Assigned To |
선택사항
심사, 조사 또는 해결을 위해 알림이 할당된 분석가의 이름입니다. |
Closed Date Time |
선택사항
알림이 종료된 시간입니다. 타임스탬프 유형은 ISO 8601 형식을 사용하여 날짜 및 시간 정보를 나타내며 항상 UTC 시간입니다. 예를 들어 2014년 1월 1일 자정(UTC)은 '2014-01-01T00:00:00Z'로 표시됩니다. 참고: 이 매개변수는 API의 V2 버전에서 지원되지 않습니다. |
Comments |
선택사항
쉼표로 구분된 알림에 대한 분석가 의견 (고객 알림 관리용)입니다. 이 메서드는 댓글 필드를 IPC에서 종료됨, MCAS에서 종료됨 값으로만 업데이트할 수 있습니다. 참고: API의 V2 버전에서 이 매개변수는 문자열로 작동하며 알림에 단일 댓글이 추가됩니다. |
Feedback |
선택사항
알림에 대한 분석가의 의견입니다. 가능한 값은 unknown, truePositive, falsePositive, benignPositive입니다. 참고: API의 V2 버전에서 이 매개변수는 '분류'에 매핑되며 가능한 값은 unknown, falsePositive, truePositive, informationalExpectedActivity, unknownFutureValue입니다. |
Status |
선택사항
알림 수명 주기 상태입니다. 가능한 값은 다음과 같습니다.
|
Tags |
선택사항
알림에 적용할 수 있는 사용자 정의 라벨입니다. 쉼표로 구분됩니다. 참고: 이 매개변수는 API의 V2 버전에서 지원되지 않습니다. |
작업 출력
업데이트 알림 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
다음 표에는 알림 업데이트 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_updated |
True 또는 False |
커넥터
Google SecOps에서 커넥터를 구성하는 방법에 대한 자세한 내용은 데이터 수집(커넥터)을 참고하세요.
Microsoft Graph Security 커넥터
Microsoft Graph Security 커넥터를 사용하여 Microsoft Graph 보안 API에 게시된 알림을 Google SecOps 알림으로 수집합니다. 이 커넥터는 주기적으로 Microsoft Graph 보안 엔드포인트에 연결하고 특정 기간 동안 생성된 인시던트 목록을 가져옵니다.
Microsoft Graph Security Connector에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Product Field Name |
필수 제품 이름이 저장된 필드의 이름입니다. 기본값은 |
Event Field Name |
필수 이벤트 이름(하위 유형)을 결정하는 데 사용되는 필드 이름입니다. 기본값은 |
Script Timeout (Seconds) |
필수 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도 (초)입니다. 기본값은 30초입니다. |
Environment Field Name |
선택사항
환경 이름이 저장된 필드의 이름입니다. 환경 필드를 찾을 수 없는 경우 환경은 |
Pattern |
선택사항
기본값 정규 표현식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 |
Client ID |
필수 통합에 사용할 Microsoft Entra 애플리케이션의 클라이언트 (애플리케이션) ID입니다. |
Client Secret |
선택사항 통합에 사용할 Microsoft Entra 애플리케이션의 클라이언트 보안 비밀번호 값입니다. |
Certificate Path |
선택사항 클라이언트 보안 비밀번호 대신 인증서 기반 인증을 사용하는 경우 Google SecOps 서버의 인증서 경로를 입력합니다. |
Certificate Password |
선택사항 사용하는 인증 인증서가 비밀번호로 보호된 경우 인증서 파일을 여는 비밀번호를 지정합니다. |
Azure Active Directory ID |
필수 Microsoft Entra ID (테넌트 ID) 값입니다. |
Offset Time In Hours |
필수
현재 시간으로부터 알림을 가져올 시간입니다. 기본값은 120시간입니다. |
Fetch Alerts only from |
선택사항
Microsoft Graph에서 알림을 가져올 제공업체의 쉼표로 구분된 목록입니다. '다음에서만 알림 가져오기' 매개변수를 Office 365 Security and Compliance로 설정하면 커넥터가 가져올 알림 상태 또는 가져올 알림 심각도 매개변수의 여러 값을 지원하지 않습니다. 'V2 API 사용'이 사용 설정된 경우 이 매개변수는 알림의 'serviceSource' 속성과 함께 작동합니다. |
Alert Statuses to fetch |
필수
Google SecOps 서버에서 가져올 알림 상태의 쉼표로 구분된 목록입니다. 가능한 값은 |
Alert Severities to fetch |
필수
Google SecOps 서버에서 가져올 알림 심각도의 쉼표로 구분된 목록입니다. 가능한 값은 |
Max Alerts Per Cycle |
선택사항
단일 커넥터 반복에서 처리할 최대 알림 수입니다. 기본값은 50개입니다. |
Proxy Server Address |
선택사항 사용할 프록시 서버의 주소입니다. |
Proxy Username |
선택사항 인증할 프록시 사용자 이름입니다. |
Proxy Password |
선택사항 인증할 프록시 비밀번호입니다. |
Use V2 API |
선택사항 사용 설정하면 커넥터가 V2 API 엔드포인트를 사용합니다. 참고: 알림 및 이벤트의 구조가 변경됩니다. 또한 '다음에서만 알림 가져오기' 매개변수에는 다른 값을 제공해야 합니다. |
커넥터 규칙
커넥터는 동적 목록 또는 차단 목록 규칙을 지원하지 않습니다.
커넥터가 프록시를 지원합니다.
Microsoft Graph Office 365 보안 및 규정 준수 커넥터
Microsoft Graph Office 365 Security and Compliance Connector를 사용하여 Microsoft Graph API를 통해 Office 365 Security and Compliance 알림을 수집합니다.
Microsoft Graph Office 365 보안 및 규정 준수 커넥터에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Product Field Name |
필수 제품 이름이 저장된 필드의 이름입니다. 기본값은 |
Event Field Name |
필수 이벤트 이름(하위 유형)을 결정하는 데 사용되는 필드 이름입니다. 기본값은 |
Script Timeout (Seconds) |
필수 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도 (초)입니다. 기본값은 30초입니다. |
Environment Field Name |
선택사항
환경 이름이 저장된 필드의 이름입니다. 환경 필드를 찾을 수 없는 경우 환경은 |
Environment Regex Pattern |
선택사항
기본값 정규 표현식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 |
Client ID |
필수 통합에 사용할 Microsoft Entra 애플리케이션의 클라이언트 (애플리케이션) ID입니다. |
Client Secret |
선택사항 통합에 사용할 Microsoft Entra 애플리케이션의 클라이언트 보안 비밀번호 값입니다. |
Certificate Path |
선택사항 클라이언트 보안 비밀번호 대신 인증서 기반 인증을 사용하는 경우 Google SecOps 서버의 인증서 경로를 입력합니다. |
Certificate Password |
선택사항 사용하는 인증 인증서가 비밀번호로 보호된 경우 인증서 파일을 여는 비밀번호를 지정합니다. |
Azure Active Directory ID |
필수 Microsoft Entra ID (테넌트 ID) 값입니다. |
Verify SSL |
선택사항 선택하면 통합에서 Microsoft Graph 서버 연결에 사용되는 SSL 인증서가 유효한지 확인합니다. 기본적으로 선택되어 있습니다. |
Offset Time In Hours |
필수
현재 시간으로부터 몇 시간 전의 알림을 가져올지 나타냅니다. 기본값은 120시간입니다. |
Alert Statuses to fetch |
선택사항
Google SecOps 서버에서 가져올 알림 상태의 쉼표로 구분된 목록입니다. 가능한 값은 |
Alert Severities to fetch |
선택사항
Google SecOps 서버에서 가져올 알림 심각도의 쉼표로 구분된 목록입니다. 가능한 값은 |
Max Alerts Per Cycle |
필수
단일 커넥터 반복에서 처리할 최대 알림 수입니다. 기본값은 50개입니다. |
Proxy Server Address |
선택사항 사용할 프록시 서버의 주소입니다. |
Proxy Username |
선택사항 인증할 프록시 사용자 이름입니다. |
Proxy Password |
선택사항 인증할 프록시 비밀번호입니다. |
커넥터 규칙
커넥터는 동적 목록 또는 차단 목록 규칙을 지원하지 않습니다.
커넥터가 프록시를 지원합니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.