Esta página foi traduzida pela API Cloud Translation.

Microsoft Graph Security

Este documento fornece orientações sobre como integrar a API Microsoft Graph Security com o Google Security Operations (Google SecOps).

Versão de integração: 20.0

Este documento refere-se à API Microsoft Graph Security. Na plataforma Google SecOps, a integração para a API Microsoft Graph Security chama-se Microsoft Graph Security.

‌Antes de começar

Antes de configurar a integração na plataforma Google SecOps, conclua os seguintes passos:

Crie a app Microsoft Entra.
Configure as autorizações da API para a sua aplicação.
Crie um segredo do cliente.

Crie uma aplicação do Microsoft Entra

Para criar a aplicação Microsoft Entra, conclua os seguintes passos:

Inicie sessão no portal do Azure como administrador de utilizadores ou administrador de palavras-passe.
Selecione Microsoft Entra ID.
Aceda a Registos de apps > Novo registo.
Introduza o nome da aplicação.
No campo URI de redirecionamento, introduza http://localhost/.
Clique em Registar.
Guarde os valores do ID da aplicação (cliente) e do ID do diretório (inquilino) para os usar mais tarde na configuração dos parâmetros de integração.

Configure autorizações da API

Para configurar as autorizações da API para a integração, conclua os seguintes passos:

No portal do Azure, aceda a Autorizações da API > Adicionar uma autorização.
Selecione Microsoft Graph > Autorizações da aplicação.
Na secção Selecionar autorizações, selecione as seguintes autorizações obrigatórias:
- User.ReadWrite.All
- Mail.Read
- Directory.ReadWrite.All
- Directory.AccessAsUser.All
- SecurityEvents.ReadWrite.All
- SecurityEvents.Read.All
Clique em Adicionar autorizações.
Clique em Conceder consentimento de administrador para YOUR_ORGANIZATION_NAME.

Quando for apresentada a caixa de diálogo Confirmação de concessão de consentimento do administrador, clique em Sim.

Crie um segredo do cliente

Para criar um segredo do cliente, conclua os seguintes passos:

Navegue para Certificados e segredos > Novo segredo do cliente.
Forneça uma descrição para um segredo do cliente e defina o respetivo prazo de validade.
Clique em Adicionar.
Guarde o valor do segredo do cliente (não o ID do segredo) para o usar como o valor do parâmetro ID do segredo para configurar a integração. O valor do segredo do cliente só é apresentado uma vez.

Integre a API Microsoft Graph Security com o Google SecOps

A integração requer os seguintes parâmetros:

Parâmetro	Descrição
`Client ID`	Obrigatório O ID de cliente (aplicação) da aplicação Microsoft Entra a usar na integração.
`Secret ID`	Opcional O valor do segredo do cliente da aplicação Microsoft Entra a usar na integração.
`Certificate Path`	Opcional Se usar a autenticação baseada em certificados em vez do segredo do cliente, introduza o caminho para o certificado no servidor do Google SecOps.
`Certificate Password`	Opcional Se o certificado de autenticação que usa estiver protegido por palavra-passe, especifique a palavra-passe para abrir o ficheiro do certificado.
`Tenant`	Obrigatório O valor do Microsoft Entra ID (ID do inquilino).
`Use V2 API`	Opcional Se estiver ativada, o conector usa pontos finais da API V2. Nota: a estrutura dos alertas e eventos vai mudar.

Para ver instruções sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.

Se necessário, pode fazer alterações numa fase posterior. Depois de configurar uma instância de integração, pode usá-la em manuais de soluções. Para mais informações sobre a configuração e o suporte de várias instâncias, consulte o artigo Suporte de várias instâncias.

Ações

Para mais informações sobre ações, consulte os artigos Responda a ações pendentes a partir do seu espaço de trabalho e Execute uma ação manual.

Adicionar comentário de alerta

Use a ação Adicionar comentário de alerta para adicionar um comentário ao alerta no Microsoft Graph.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

A ação Adicionar comentário de alerta requer os seguintes parâmetros:

Parâmetro	Descrição
`Alert ID`	Obrigatório O ID do alerta a atualizar.
`Comment`	Obrigatório O comentário para o alerta.

Resultados da ação

A ação Adicionar comentário de alerta fornece os seguintes resultados:

Tipo de saída da ação	Disponibilidade
Fixação à parede da caixa	Não disponível
Link da parede da caixa	Não disponível
Mesa de parede para caixas	Não disponível
Tabela de enriquecimento	Não disponível
Resultado JSON	Não disponível
Mensagens de saída	Disponível
Resultado do script	Disponível

Mensagens de saída

A ação Adicionar comentário de alerta pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Mensagem de saída	Descrição da mensagem
`Successfully added comment to the alert ALERT_ID in Microsoft Graph.`	A ação foi bem-sucedida.
`Error executing action "Add Alert Comment". Reason: ERROR_REASON`	A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Successfully added comment to the alert ALERT_ID in Microsoft Graph.

A ação foi bem-sucedida.

Error executing action "Add Alert Comment". Reason:
      ERROR_REASON

A ação falhou.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela seguinte indica o valor do resultado do script quando usa a ação Adicionar comentário de alerta:

Nome do resultado do script	Valor
`is_success`	`True` ou `False`

Obtenha o consentimento do administrador

Use a ação Obter consentimento do administrador para conceder à sua aplicação as autorizações no portal do Azure.

Esta ação é executada em todas as entidades do Google SecOps.

Dados de ações

A ação Get Administrator Consent requer os seguintes parâmetros:

Parâmetro	Descrição
`Redirect URL`	Obrigatório O URL de redirecionamento que usou quando se registou no portal do Azure.

Resultados da ação

A ação Obter consentimento do administrador fornece os seguintes resultados:

Tipo de saída da ação	Disponibilidade
Fixação à parede da caixa	Não disponível
Link da parede da caixa	Não disponível
Mesa de parede para caixas	Não disponível
Tabela de enriquecimento	Não disponível
Resultado JSON	Não disponível
Resultado do script	Disponível

Resultado do script

A tabela seguinte indica o valor do resultado do script quando usa a ação Get Administrator Consent:

Nome do resultado do script	Valor
`is_connected`	`True` ou `False`

Receber alerta

Use a ação Get Alert para obter as propriedades e as relações de um alerta através do ID do alerta.

Esta ação é executada em todas as entidades do Google SecOps.

Dados de ações

A ação Get Alert requer os seguintes parâmetros:

Parâmetro	Descrição
`Alert ID`	Obrigatório O ID do alerta para o qual pretende obter detalhes.

Resultados da ação

A ação Get Alert fornece os seguintes resultados:

Tipo de saída da ação	Disponibilidade
Fixação à parede da caixa	Não disponível
Link da parede da caixa	Não disponível
Mesa de parede para caixas	Não disponível
Tabela de enriquecimento	Não disponível
Resultado JSON	Não disponível
Resultado do script	Disponível

Resultado JSON

O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Get Alert:

{
  "feedback": "@odata.type: microsoft.graph.alertFeedback",
  "recommendedActions": ["String"],
  "networkConnections":
    [{
      "applicationName": "String",
      "natDestinationPort": "String",
      "destinationAddress": "String",
      "localDnsName": "String",
      "natDestinationAddress": "String",
      "destinationUrl": "String",
      "natSourceAddress": "String",
      "sourceAddress": "String",
      "direction": "@odata.type: microsoft.graph.connectionDirection",
      "domainRegisteredDateTime": "String (timestamp)",
      "status": "@odata.type: microsoft.graph.connectionStatus",
      "destinationDomain": "String",
      "destinationPort": "String",
      "sourcePort": "String",
      "protocol": "@odata.type: microsoft.graph.securityNetworkProtocol",
      "natSourcePort": "String",
      "riskScore": "String",
      "urlParameters": "String"
     }],
  "cloudAppStates":
    [{
      "destinationServiceIp": "String",
      "riskScore": "String",
      "destinationServiceName": "String"
     }],
  "detectionIds": ["String"],
  "id": "String (identifier)",
  "category": "String",
  "fileStates":
    [{
      "path": "String",
      "riskScore": "String",
      "name": "String",
      "fileHash":
        {
          "hashType": "@odata.type: microsoft.graph.fileHashType",
          "hashValue": "String"
         }
     }],
  "severity": "@odata.type: microsoft.graph.alertSeverity",
  "title": "String",
  "sourceMaterials": ["String"],
  "comments": ["String"],
  "assignedTo": "String",
  "eventDateTime": "String (timestamp)",
  "activityGroupName": "String",
  "status": "@odata.type: microsoft.graph.alertStatus",
  "description": "String",
  "tags": ["String"],
  "confidence": 1024,
  "vendorInformation":
      {
        "providerVersion": "String",
        "vendor": "String",
        "subProvider": "String",
        "provider": "String"
      },
  "userStates":
      [{
        "emailRole": "@odata.type: microsoft.graph.emailRole",
        "logonId": "String",
        "domainName": "String",
        "onPremisesSecurityIdentifier": "String",
        "userPrincipalName": "String",
        "userAccountType": "@odata.type: microsoft.graph.userAccountSecurityType",
        "logonIp": "String",
        "logonDateTime": "String (timestamp)",
        "logonType": "@odata.type: microsoft.graph.logonType",
        "logonLocation": "String",
        "aadUserId": "String",
        "accountName": "String",
        "riskScore": "String",
        "isVpn": "true"
        }],
 "malwareStates":
      [{
        "category": "String",
        "wasRunning": "true",
        "name": "String",
        "family": "String",
        "severity": "String"
       }],
  "processes":
      [{
        "processId": 1024,
        "integrityLevel": "@odata.type: microsoft.graph.processIntegrityLevel",
        "name": "String",
        "fileHash":
            {
              "hashType": "@odata.type: microsoft.graph.fileHashType",
              "hashValue": "String"
            },
       "parentProcessId": 1024,
       "createdDateTime": "String (timestamp)",
       "commandLine": "String",
       "parentProcessName": "String",
       "accountName": "String",
       "isElevated": "true",
       "path": "String",
       "parentProcessCreatedDateTime": "String (timestamp)"
      }],
  "azureTenantId": "String",
  "triggers":
     [{
       "type": "String",
       "name": "String",
       "value": "String"
      }],
  "createdDateTime": "String (timestamp)",
  "vulnerabilityStates":
     [{
       "cve": "String",
       "severity": "String",
       "wasRunning": "true"
     }],
  "hostStates":
     [{
       "isAzureAadRegistered": "true",
       "riskScore": "String",
       "fqdn": "String",
       "isHybridAzureDomainJoined": "true",
       "netBiosName": "String",
       "publicIpAddress": "String",
        "isAzureAadJoined": "true",
        "os": "String",
        "privateIpAddress": "String"
      }],
  "lastModifiedDateTime": "String (timestamp)",
  "registryKeyStates":
      [{
        "processId": 1024,
        "oldKey": "String",
        "oldValueName": "String",
         "valueType": "@odata.type: microsoft.graph.registryValueType",
        "oldValueData": "String",
        "hive": "@odata.type: microsoft.graph.registryHive",
        "valueData": "String",
        "key": "String",
        "valueName": "String",
        "operation": "@odata.type: microsoft.graph.registryOperation"
       }],
  "closedDateTime": "String (timestamp)",
  "azureSubscriptionId": "String"
}

Resultado do script

A tabela seguinte lista o valor do resultado do script quando usa a ação Get Alert:

Nome do resultado do script	Valor
`alert_details`	`True` ou `False`

Get Incident

Use a ação Get Incident para obter detalhes de um incidente de segurança através do ID do incidente.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

A ação Get Incident requer os seguintes parâmetros:

Parâmetro	Descrição
`Incident ID`	Obrigatório O ID do incidente para obter os detalhes.

Resultados da ação

A ação Get Incident fornece os seguintes resultados:

Tipo de saída da ação	Disponibilidade
Fixação à parede da caixa	Não disponível
Link da parede da caixa	Não disponível
Mesa de parede para caixas	Não disponível
Tabela de enriquecimento	Não disponível
Resultado JSON	Não disponível
Mensagens de saída	Disponível
Resultado do script	Disponível

Mensagens de saída

A ação Get Incident pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Mensagem de saída	Descrição da mensagem
`Successfully returned information about the incident INCIDENT_ID.`	A ação foi bem-sucedida.
`Error executing action "Get Incident". Reason: ERROR_REASON`	A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Successfully returned information about the incident INCIDENT_ID.

A ação foi bem-sucedida.

Error executing action "Get Incident". Reason:
      ERROR_REASON

A ação falhou.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela seguinte lista o valor do resultado do script quando usa a ação Get Incident:

Nome do resultado do script	Valor
`is_success`	`True` ou `False`

Terminar sessão do utilizador

Use a ação Kill User Session para invalidar todas as chaves de atualização emitidas para aplicações para um utilizador ao repor a propriedade signInSessionsValidFromDateTime do utilizador para a data e hora atuais.

Esta ação é executada em todas as entidades do Google SecOps.

Dados de ações

A ação Terminar sessão do utilizador requer os seguintes parâmetros:

Parâmetro	Descrição
`userPrincipalName\| ID`	Obrigatório O nome de utilizador ou o valor do ID exclusivo do utilizador usado no Microsoft Entra ID.

Resultados da ação

A ação Terminar sessão do utilizador fornece os seguintes resultados:

Tipo de saída da ação	Disponibilidade
Fixação à parede da caixa	Não disponível
Link da parede da caixa	Não disponível
Mesa de parede para caixas	Não disponível
Tabela de enriquecimento	Não disponível
Resultado JSON	Não disponível
Resultado do script	Disponível

Resultado do script

A tabela seguinte indica o valor do resultado do script quando usa a ação Kill User Session (Terminar sessão do utilizador):

Nome do resultado do script	Valor
`is_success`	`True` ou `False`

Liste os alertas

Use a ação List Alerts para listar os alertas disponíveis no Microsoft Graph.

Esta ação é executada em todas as entidades do Google SecOps.

O processo de filtragem ocorre no lado da API Microsoft Graph. Para produtos que publicam alertas no Microsoft Graph e não suportam filtragem, o Microsoft Graph adiciona todos os alertas à resposta como se os alertas tivessem passado no filtro.

Dados de ações

A ação List Alerts requer os seguintes parâmetros:

Parâmetro	Descrição
`Filter Key`	Opcional Especifique a chave que tem de ser usada para filtrar alertas. Nota: a opção "Título" não é suportada na API V2.
`Filter Logic`	Opcional A lógica do filtro a aplicar. A lógica de filtragem baseia-se no valor do parâmetro `Filter Key`. Os valores possíveis são os seguintes: `Not Specified` `Equal` `Contains` O valor predefinido é `Not Specified`.
`Filter Value`	Opcional O valor a usar no filtro. Se selecionar `Equal`, a ação tenta encontrar a correspondência exata entre os resultados. Se selecionar `Contains`, a ação tenta encontrar resultados que contenham a substring selecionada. Se não definir um valor, o filtro não é aplicado. A lógica de filtragem baseia-se no valor do parâmetro `Filter Key`.
`Max Records To Return`	Opcional O número de registos a devolver para cada execução de ação. O valor predefinido é 50.

Resultados da ação

A ação List Alerts fornece os seguintes resultados:

Tipo de saída da ação	Disponibilidade
Fixação à parede da caixa	Não disponível
Link da parede da caixa	Não disponível
Mesa de parede para caixas	Não disponível
Tabela de enriquecimento	Não disponível
Resultado JSON	Disponível
Mensagens de saída	Disponível
Resultado do script	Disponível

Resultado JSON

O exemplo seguinte mostra o resultado JSON recebido quando usa a ação List Alerts:

{
            "id": "ID",
            "azureTenantId": "TENANT_ID",
            "azureSubscriptionId": null,
            "riskScore": null,
            "tags": [],
            "activityGroupName": null,
            "assignedTo": null,
            "category": "ImpossibleTravel",
            "closedDateTime": null,
            "comments": [],
            "confidence": null,
            "createdDateTime": "2022-04-29T13:10:59.705Z",
            "description": "Sign-in from an atypical location based on the user's recent sign-ins",
            "detectionIds": [],
            "eventDateTime": "2022-04-29T11:36:59.1520667Z",
            "feedback": null,
            "incidentIds": [],
            "lastEventDateTime": null,
            "lastModifiedDateTime": "2022-04-30T14:44:43.4742002Z",
            "recommendedActions": [],
            "severity": "medium",
            "sourceMaterials": [],
            "status": "newAlert",
            "title": "Atypical travel",
            "vendorInformation": {
                "provider": "IPC",
                "providerVersion": null,
                "subProvider": null,
                "vendor": "Microsoft"
            },
            "alertDetections": [],
            "cloudAppStates": [],
            "fileStates": [],
            "hostStates": [],
            "historyStates": [],
            "investigationSecurityStates": [],
            "malwareStates": [],
            "messageSecurityStates": [],
            "networkConnections": [],
            "processes": [],
            "registryKeyStates": [],
            "securityResources": [],
            "triggers": [],
            "userStates": [
                {
                    "aadUserId": "b786d3cf-e97d-4511-b61c-0559e9f4da75",
                    "accountName": "example.user",
                    "domainName": "example.com",
                    "emailRole": "unknown",
                    "isVpn": null,
                    "logonDateTime": "2022-04-29T11:36:59.1520667Z",
                    "logonId": null,
                    "logonIp": "203.0.113.194",
                    "logonLocation": "1800 Amphibious Blvd, Mountain View, CA 94045",
                    "logonType": null,
                    "onPremisesSecurityIdentifier": null,
                    "riskScore": null,
                    "userAccountType": null,
                    "userPrincipalName": "example.user@example.com"
                },
                {
                    "aadUserId": "b786d3cf-e97d-4511-b61c-0559e9f4da75",
                    "accountName": "example.user",
                    "domainName": "example.com",
                    "emailRole": "unknown",
                    "isVpn": null,
                    "logonDateTime": "2022-04-29T11:15:00Z",
                    "logonId": null,
                    "logonIp": "192.0.2.160",
                    "logonLocation": "ES",
                    "logonType": null,
                    "onPremisesSecurityIdentifier": null,
                    "riskScore": null,
                    "userAccountType": null,
                    "userPrincipalName": "example.user@example.com"
                }
            ],
            "uriClickSecurityStates": [],
            "vulnerabilityStates": []
}

Mensagens de saída

A ação List Alerts pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Mensagem de saída	Descrição da mensagem
`Successfully found alerts for the provided criteria in Microsoft Graph.` `No alerts were found for the provided criteria in Microsoft Graph.` `The filter was not applied because the "Filter Value" parameter has an empty value.`	A ação foi bem-sucedida.
`Error executing action "List Alerts". Reason: ERROR_REASON`	A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Successfully found alerts for the provided criteria in Microsoft Graph.

No alerts were found for the provided criteria in Microsoft Graph.

The filter was not applied because the "Filter Value" parameter has an empty value.

A ação foi bem-sucedida.

Error executing action "List Alerts". Reason:
      ERROR_REASON

A ação falhou.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela seguinte lista o valor da saída do resultado do script quando usa a ação List Alerts:

Nome do resultado do script	Valor
`alerts_details`	`ALERT_DETAILS`

Listar incidentes

Use a ação Listar incidentes para listar os incidentes de segurança do Microsoft Graph com base nos critérios fornecidos.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

A ação List Incidents requer os seguintes parâmetros:

Parâmetro	Descrição
`Filter Key`	Opcional Especifique a chave que tem de ser usada para filtrar alertas. Nota: a opção "Título" não é suportada na API V2.
`Filter Logic`	Opcional A lógica do filtro a aplicar. A lógica de filtragem baseia-se no valor do parâmetro `Filter Key`. Os valores possíveis são os seguintes: `Not Specified` `Equal` `Contains` O valor predefinido é `Not Specified`.
`Filter Value`	Opcional O valor a usar no filtro. Se selecionar `Equal`, a ação tenta encontrar a correspondência exata entre os resultados. Se selecionar `Contains`, a ação tenta encontrar resultados que contenham a substring selecionada. Se não definir um valor, o filtro não é aplicado. A lógica de filtragem baseia-se no valor do parâmetro `Filter Key`.
`Max Records To Return`	Opcional O número de registos a devolver para cada execução de ação. O valor predefinido é 50.

Resultados da ação

A ação List Incidents fornece os seguintes resultados:

Tipo de saída da ação	Disponibilidade
Fixação à parede da caixa	Não disponível
Link da parede da caixa	Não disponível
Mesa de parede para caixas	Não disponível
Tabela de enriquecimento	Não disponível
Resultado JSON	Não disponível
Mensagens de saída	Disponível
Resultado do script	Disponível

Mensagens de saída

A ação List Incidents pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Mensagem de saída	Descrição da mensagem
`Successfully found incidents for the provided criteria in Microsoft Graph.` `No incidents were found for the provided criteria in Microsoft Graph.` `The filter was not applied because the "Filter Value" parameter has an empty value.`	A ação foi bem-sucedida.
`Error executing action "List Incidents". Reason: ERROR_REASON`	A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Successfully found incidents for the provided criteria in Microsoft Graph.

No incidents were found for the provided criteria in Microsoft Graph.

The filter was not applied because the "Filter Value" parameter has an empty value.

A ação foi bem-sucedida.

Error executing action "List Incidents". Reason:
      ERROR_REASON

A ação falhou.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela seguinte lista o valor do resultado do script quando usa a ação List Incidents:

Nome do resultado do script	Valor
`is_success`	`True` ou `False`

Tchim-tchim

Use a ação Ping para testar a conetividade ao Microsoft Graph.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

Nenhum.

Resultados da ação

A ação Ping fornece os seguintes resultados:

Tipo de saída da ação	Disponibilidade
Fixação à parede da caixa	Não disponível
Link da parede da caixa	Não disponível
Mesa de parede para caixas	Não disponível
Tabela de enriquecimento	Não disponível
Resultado JSON	Não disponível
Resultado do script	Disponível

Resultado do script

A tabela seguinte lista o valor do resultado do script quando usa a ação Ping:

Nome do resultado do script	Valor
`is_success`	`True` ou `False`

Atualizar alerta

Use a ação Atualizar alerta para atualizar uma propriedade de alerta editável.

Esta ação é executada em todas as entidades do Google SecOps.

Dados de ações

A ação Update Alert requer os seguintes parâmetros:

Parâmetro	Descrição
`Alert ID`	Obrigatório O ID do alerta a atualizar.
`Assigned To`	Opcional O nome do analista ao qual o alerta está atribuído para triagem, investigação ou correção.
`Closed Date Time`	Opcional Hora em que o alerta foi fechado. O tipo Timestamp representa informações de data e hora no formato ISO 8601 e está sempre na hora UTC. Por exemplo, a meia-noite UTC de 1 de janeiro de 2014 teria o seguinte aspeto: "2014-01-01T00:00:00Z". Nota: este parâmetro não é suportado na versão V2 da API.
`Comments`	Opcional Comentários do analista sobre o alerta (para gestão de alertas de clientes), separados por vírgula. Este método só pode atualizar o campo de comentários com os seguintes valores: Closed in IPC, Closed in MCAS. Nota: na versão V2 da API, este parâmetro funciona como uma string e é adicionado um único comentário ao alerta.
`Feedback`	Opcional Feedback do analista sobre o alerta. Os valores possíveis são: unknown, truePositive, falsePositive, benignPositive. Nota: na versão V2 da API, este parâmetro é mapeado para "classification" e tem os seguintes valores possíveis: unknown, falsePositive, truePositive, informationalExpectedActivity, unknownFutureValue.
`Status`	Opcional O estado do ciclo de vida do alerta. Os valores possíveis são os seguintes: `unknown` `newAlert` `inProgress` `resolved`
`Tags`	Opcional Etiquetas definíveis pelo utilizador que podem ser aplicadas a um alerta. Separados por vírgulas. Nota: este parâmetro não é suportado na versão V2 da API.

Resultados da ação

A ação Atualizar alerta fornece os seguintes resultados:

Tipo de saída da ação	Disponibilidade
Fixação à parede da caixa	Não disponível
Link da parede da caixa	Não disponível
Mesa de parede para caixas	Não disponível
Tabela de enriquecimento	Não disponível
Resultado JSON	Não disponível
Resultado do script	Disponível

Resultado do script

A tabela seguinte indica o valor da saída do resultado do script quando usa a ação Atualizar alerta:

Nome do resultado do script	Valor
`is_updated`	`True` ou `False`

Conetores

Para ver instruções detalhadas sobre como configurar um conector no Google SecOps, consulte o artigo Carregue os seus dados (conectores).

Conetor de segurança do Microsoft Graph

Use o conector de segurança do Microsoft Graph para carregar alertas publicados na API Microsoft Graph Security como alertas do Google SecOps. O conetor liga-se periodicamente ao ponto final de segurança do Microsoft Graph e extrai uma lista de incidentes gerados para um período específico.

O Conector de segurança do Microsoft Graph requer os seguintes parâmetros:

Parâmetro	Descrição
`Product Field Name`	Obrigatório O nome do campo onde o nome do produto está armazenado. O valor predefinido é `ProductFieldName`.
`Event Field Name`	Obrigatório O nome do campo usado para determinar o nome do evento (subtipo). O valor predefinido é `AlertName`.
`Script Timeout (Seconds)`	Obrigatório O limite de tempo limite (em segundos) para o processo do Python que executa o script atual. O valor predefinido é 30 segundos.
`Environment Field Name`	Opcional O nome do campo onde o nome do ambiente está armazenado. Se o campo de ambiente não for encontrado, o ambiente é definido como `""`.
`Pattern`	Opcional Um padrão de expressão regular a executar no valor encontrado no campo `Environment Field Name`. Este parâmetro permite-lhe manipular o campo de ambiente através da lógica de expressão regular. Use o valor predefinido `.*` para obter o valor bruto `Environment Field Name` necessário. Se o padrão de expressão regular for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é `""`.
`Client ID`	Obrigatório O ID de cliente (aplicação) da aplicação Microsoft Entra a usar na integração.
`Client Secret`	Opcional O valor do segredo do cliente da aplicação Microsoft Entra a usar na integração.
`Certificate Path`	Opcional Se usar a autenticação baseada em certificados em vez do segredo do cliente, introduza o caminho para o certificado no servidor do Google SecOps.
`Certificate Password`	Opcional Se o certificado de autenticação que usa estiver protegido por palavra-passe, especifique a palavra-passe para abrir o ficheiro do certificado.
`Azure Active Directory ID`	Obrigatório O valor do Microsoft Entra ID (ID do inquilino).
`Offset Time In Hours`	Obrigatório O número de horas antes do momento atual a partir do qual obter alertas. O valor predefinido é 120 horas.
`Fetch Alerts only from`	Opcional Uma lista de fornecedores separados por vírgulas a partir dos quais receber alertas do Microsoft Graph. Se definir o parâmetro "Obter alertas apenas de" para Office 365 Security and Compliance, o conector não suporta vários valores nos parâmetros Alert Statuses to fetch nem Alert Severities to fetch. Se a opção "Usar API V2" estiver ativada, este parâmetro funciona com a propriedade "serviceSource" do alerta.
`Alert Statuses to fetch`	Obrigatório Uma lista separada por vírgulas de estados de alerta para o servidor do Google SecOps obter. Os valores possíveis são os seguintes: `unknown`, `newAlert`, `inProgress`, `resolved`.
`Alert Severities to fetch`	Obrigatório Uma lista separada por vírgulas de gravidades de alertas para o servidor do Google SecOps obter. Os valores possíveis são os seguintes: `high`, `medium`, `low`, `informational`, `unknown`.
`Max Alerts Per Cycle`	Opcional O número máximo de alertas a processar numa iteração de um conector. O valor predefinido é 50.
`Proxy Server Address`	Opcional O endereço do servidor proxy a usar.
`Proxy Username`	Opcional O nome de utilizador do proxy para autenticação.
`Proxy Password`	Opcional A palavra-passe do proxy para autenticação.
`Use V2 API`	Opcional Se estiver ativada, o conector usa pontos finais da API V2. Nota: a estrutura dos alertas e eventos vai mudar. Além disso, o parâmetro "Obter alertas apenas de" requer a indicação de valores diferentes.

Regras de conector

O conetor não suporta as regras de listas dinâmicas nem de bloqueio.

O conetor suporta proxies.

Conetor de segurança e conformidade do Microsoft Graph Office 365

Use o conector de segurança e conformidade do Microsoft Graph Office 365 para carregar os alertas de segurança e conformidade do Office 365 através da API Microsoft Graph.

O conector de segurança e conformidade do Microsoft Graph Office 365 requer os seguintes parâmetros:

Parâmetro	Descrição
`Product Field Name`	Obrigatório O nome do campo onde o nome do produto está armazenado. O valor predefinido é `ProductFieldName`.
`Event Field Name`	Obrigatório O nome do campo usado para determinar o nome do evento (subtipo). O valor predefinido é `event_class`.
`Script Timeout (Seconds)`	Obrigatório O limite de tempo limite (em segundos) para o processo do Python que executa o script atual. O valor predefinido é 30 segundos.
`Environment Field Name`	Opcional O nome do campo onde o nome do ambiente está armazenado. Se o campo de ambiente não for encontrado, o ambiente é definido como `""`.
`Environment Regex Pattern`	Opcional Um padrão de expressão regular a executar no valor encontrado no campo `Environment Field Name`. Este parâmetro permite-lhe manipular o campo de ambiente através da lógica de expressão regular. Use o valor predefinido `.*` para obter o valor bruto `Environment Field Name` necessário. Se o padrão de expressão regular for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é `""`.
`Client ID`	Obrigatório O ID de cliente (aplicação) da aplicação Microsoft Entra a usar na integração.
`Client Secret`	Opcional O valor do segredo do cliente da aplicação Microsoft Entra a usar na integração.
`Certificate Path`	Opcional Se usar a autenticação baseada em certificados em vez do segredo do cliente, introduza o caminho para o certificado no servidor do Google SecOps.
`Certificate Password`	Opcional Se o certificado de autenticação que usa estiver protegido por palavra-passe, especifique a palavra-passe para abrir o ficheiro do certificado.
`Azure Active Directory ID`	Obrigatório O valor do Microsoft Entra ID (ID do inquilino).
`Verify SSL`	Opcional Se estiver selecionada, a integração verifica se o certificado SSL para a ligação ao servidor do Microsoft Graph é válido. Selecionado por predefinição.
`Offset Time In Hours`	Obrigatório O número de horas antes do momento atual para obter alertas. O valor predefinido é 120 horas.
`Alert Statuses to fetch`	Opcional Uma lista separada por vírgulas de estados de alerta para o servidor do Google SecOps obter. Os valores possíveis são os seguintes: `Dismissed`, `Active`, `Investigating`, `Resolved`.
`Alert Severities to fetch`	Opcional Uma lista separada por vírgulas de gravidades de alertas para o servidor do Google SecOps obter. Os valores possíveis são os seguintes: `high`, `medium`, `low`, `informational`, `unknown`.
`Max Alerts Per Cycle`	Obrigatório O número máximo de alertas a processar numa iteração de um conector. O valor predefinido é 50.
`Proxy Server Address`	Opcional O endereço do servidor proxy a usar.
`Proxy Username`	Opcional O nome de utilizador do proxy para autenticação.
`Proxy Password`	Opcional A palavra-passe do proxy para autenticação.

Regras de conector

O conetor não suporta as regras de listas dinâmicas nem de bloqueio.

O conetor suporta proxies.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.