Esta página foi traduzida pela API Cloud Translation.

Microsoft Graph Security

Neste documento, você encontra orientações sobre como integrar a API de segurança do Microsoft Graph ao Google Security Operations (Google SecOps).

Versão da integração: 20.0

Este documento se refere à API de segurança do Microsoft Graph. Na plataforma Google SecOps, a integração da API de segurança do Microsoft Graph é chamada de Microsoft Graph Security.

‌Antes de começar

Antes de configurar a integração na plataforma Google SecOps, siga estas etapas:

Crie o app do Microsoft Entra.
Configure as permissões da API para seu aplicativo.
Crie uma chave secreta do cliente.

Criar um aplicativo do Microsoft Entra

Para criar o aplicativo do Microsoft Entra, siga estas etapas:

Faça login no portal do Azure como administrador de usuários ou de senhas.
Selecione Microsoft Entra ID.
Acesse Registros de apps > Novo registro.
Digite o nome do aplicativo.
No campo URI de redirecionamento, insira http://localhost/.
Clique em Registrar.
Salve os valores de ID do aplicativo (cliente) e ID do diretório (locatário) para usar depois na configuração dos parâmetros de integração.

Configurar permissões da API

Para configurar as permissões de API da integração, siga estas etapas:

No portal do Azure, acesse Permissões da API > Adicionar uma permissão.
Selecione Microsoft Graph > Permissões do aplicativo.
Na seção Selecionar permissões, escolha as seguintes permissões obrigatórias:
- User.ReadWrite.All
- Mail.Read
- Directory.ReadWrite.All
- Directory.AccessAsUser.All
- SecurityEvents.ReadWrite.All
- SecurityEvents.Read.All
Clique em Adicionar permissões
Clique em Conceder consentimento de administrador para YOUR_ORGANIZATION_NAME.

Quando a caixa de diálogo Confirmação de concessão de consentimento de administrador aparecer, clique em Sim.

Criar chave secreta do cliente

Para criar uma chave secreta do cliente, siga estas etapas:

Navegue até Certificados e chaves secretas > Nova chave secreta do cliente.
Descreva uma chave secreta do cliente e defina o prazo de validade dela.
Clique em Adicionar.
Salve o valor da chave secreta do cliente (não o ID secreto) para usar como o valor do parâmetro ID secreto ao configurar a integração. O valor da chave secreta do cliente é mostrado apenas uma vez.

Integrar a API de segurança do Microsoft Graph ao Google SecOps

A integração requer os seguintes parâmetros:

Parâmetro	Descrição
`Client ID`	Obrigatório O ID do cliente (aplicativo) do aplicativo Microsoft Entra a ser usado na integração.
`Secret ID`	Opcional O valor da chave secreta do cliente do aplicativo Microsoft Entra a ser usado na integração.
`Certificate Path`	Opcional Se você usar a autenticação baseada em certificados em vez da chave secreta do cliente, insira o caminho para o certificado no servidor do Google SecOps.
`Certificate Password`	Opcional Se o certificado de autenticação usado estiver protegido por senha, especifique a senha para abrir o arquivo do certificado.
`Tenant`	Obrigatório O valor do Microsoft Entra ID (ID do locatário).
`Use V2 API`	Opcional Se ativado, o conector vai usar endpoints da API V2. Observação: a estrutura dos alertas e eventos vai mudar.

Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.

Você pode fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.

Ações

Para mais informações sobre ações, consulte Responder a ações pendentes na sua mesa de trabalho e Realizar uma ação manual.

Adicionar comentário de alerta

Use a ação Adicionar comentário de alerta para adicionar um comentário ao alerta no Microsoft Graph.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Adicionar comentário de alerta exige os seguintes parâmetros:

Parâmetro	Descrição
`Alert ID`	Obrigatório O ID do alerta a ser atualizado.
`Comment`	Obrigatório O comentário do alerta.

Saídas de ação

A ação Adicionar comentário de alerta fornece as seguintes saídas:

Tipo de saída da ação	Disponibilidade
Anexo do Painel de Casos	Indisponível
Link do Painel de Casos	Indisponível
Tabela do painel de casos	Indisponível
Tabela de enriquecimento	Indisponível
Resultado JSON	Indisponível
Mensagens de saída	Disponível
Resultado do script	Disponível

Mensagens de saída

A ação Adicionar comentário de alerta pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Mensagem de resposta	Descrição da mensagem
`Successfully added comment to the alert ALERT_ID in Microsoft Graph.`	A ação foi concluída.
`Error executing action "Add Alert Comment". Reason: ERROR_REASON`	A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Successfully added comment to the alert ALERT_ID in Microsoft Graph.

A ação foi concluída.

Error executing action "Add Alert Comment". Reason:
      ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Adicionar comentário de alerta:

Nome do resultado do script	Valor
`is_success`	`True` ou `False`

Receber consentimento do administrador

Use a ação Receber consentimento do administrador para conceder ao aplicativo as permissões no portal do Azure.

Essa ação é executada em todas as entidades do Google SecOps.

Entradas de ação

A ação Receber consentimento do administrador exige os seguintes parâmetros:

Parâmetro	Descrição
`Redirect URL`	Obrigatório O URL de redirecionamento que você usou ao se registrar no portal do Azure.

Saídas de ação

A ação Receber consentimento do administrador fornece as seguintes saídas:

Tipo de saída da ação	Disponibilidade
Anexo do Painel de Casos	Indisponível
Link do Painel de Casos	Indisponível
Tabela do painel de casos	Indisponível
Tabela de enriquecimento	Indisponível
Resultado JSON	Indisponível
Resultado do script	Disponível

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber consentimento do administrador:

Nome do resultado do script	Valor
`is_connected`	`True` ou `False`

Receber alerta

Use a ação Receber alerta para extrair as propriedades e relações de um alerta usando o ID dele.

Essa ação é executada em todas as entidades do Google SecOps.

Entradas de ação

A ação Receber alerta exige os seguintes parâmetros:

Parâmetro	Descrição
`Alert ID`	Obrigatório O ID do alerta para recuperar detalhes.

Saídas de ação

A ação Receber alerta fornece as seguintes saídas:

Tipo de saída da ação	Disponibilidade
Anexo do Painel de Casos	Indisponível
Link do Painel de Casos	Indisponível
Tabela do painel de casos	Indisponível
Tabela de enriquecimento	Indisponível
Resultado JSON	Indisponível
Resultado do script	Disponível

Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Receber alerta:

{
  "feedback": "@odata.type: microsoft.graph.alertFeedback",
  "recommendedActions": ["String"],
  "networkConnections":
    [{
      "applicationName": "String",
      "natDestinationPort": "String",
      "destinationAddress": "String",
      "localDnsName": "String",
      "natDestinationAddress": "String",
      "destinationUrl": "String",
      "natSourceAddress": "String",
      "sourceAddress": "String",
      "direction": "@odata.type: microsoft.graph.connectionDirection",
      "domainRegisteredDateTime": "String (timestamp)",
      "status": "@odata.type: microsoft.graph.connectionStatus",
      "destinationDomain": "String",
      "destinationPort": "String",
      "sourcePort": "String",
      "protocol": "@odata.type: microsoft.graph.securityNetworkProtocol",
      "natSourcePort": "String",
      "riskScore": "String",
      "urlParameters": "String"
     }],
  "cloudAppStates":
    [{
      "destinationServiceIp": "String",
      "riskScore": "String",
      "destinationServiceName": "String"
     }],
  "detectionIds": ["String"],
  "id": "String (identifier)",
  "category": "String",
  "fileStates":
    [{
      "path": "String",
      "riskScore": "String",
      "name": "String",
      "fileHash":
        {
          "hashType": "@odata.type: microsoft.graph.fileHashType",
          "hashValue": "String"
         }
     }],
  "severity": "@odata.type: microsoft.graph.alertSeverity",
  "title": "String",
  "sourceMaterials": ["String"],
  "comments": ["String"],
  "assignedTo": "String",
  "eventDateTime": "String (timestamp)",
  "activityGroupName": "String",
  "status": "@odata.type: microsoft.graph.alertStatus",
  "description": "String",
  "tags": ["String"],
  "confidence": 1024,
  "vendorInformation":
      {
        "providerVersion": "String",
        "vendor": "String",
        "subProvider": "String",
        "provider": "String"
      },
  "userStates":
      [{
        "emailRole": "@odata.type: microsoft.graph.emailRole",
        "logonId": "String",
        "domainName": "String",
        "onPremisesSecurityIdentifier": "String",
        "userPrincipalName": "String",
        "userAccountType": "@odata.type: microsoft.graph.userAccountSecurityType",
        "logonIp": "String",
        "logonDateTime": "String (timestamp)",
        "logonType": "@odata.type: microsoft.graph.logonType",
        "logonLocation": "String",
        "aadUserId": "String",
        "accountName": "String",
        "riskScore": "String",
        "isVpn": "true"
        }],
 "malwareStates":
      [{
        "category": "String",
        "wasRunning": "true",
        "name": "String",
        "family": "String",
        "severity": "String"
       }],
  "processes":
      [{
        "processId": 1024,
        "integrityLevel": "@odata.type: microsoft.graph.processIntegrityLevel",
        "name": "String",
        "fileHash":
            {
              "hashType": "@odata.type: microsoft.graph.fileHashType",
              "hashValue": "String"
            },
       "parentProcessId": 1024,
       "createdDateTime": "String (timestamp)",
       "commandLine": "String",
       "parentProcessName": "String",
       "accountName": "String",
       "isElevated": "true",
       "path": "String",
       "parentProcessCreatedDateTime": "String (timestamp)"
      }],
  "azureTenantId": "String",
  "triggers":
     [{
       "type": "String",
       "name": "String",
       "value": "String"
      }],
  "createdDateTime": "String (timestamp)",
  "vulnerabilityStates":
     [{
       "cve": "String",
       "severity": "String",
       "wasRunning": "true"
     }],
  "hostStates":
     [{
       "isAzureAadRegistered": "true",
       "riskScore": "String",
       "fqdn": "String",
       "isHybridAzureDomainJoined": "true",
       "netBiosName": "String",
       "publicIpAddress": "String",
        "isAzureAadJoined": "true",
        "os": "String",
        "privateIpAddress": "String"
      }],
  "lastModifiedDateTime": "String (timestamp)",
  "registryKeyStates":
      [{
        "processId": 1024,
        "oldKey": "String",
        "oldValueName": "String",
         "valueType": "@odata.type: microsoft.graph.registryValueType",
        "oldValueData": "String",
        "hive": "@odata.type: microsoft.graph.registryHive",
        "valueData": "String",
        "key": "String",
        "valueName": "String",
        "operation": "@odata.type: microsoft.graph.registryOperation"
       }],
  "closedDateTime": "String (timestamp)",
  "azureSubscriptionId": "String"
}

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber alerta:

Nome do resultado do script	Valor
`alert_details`	`True` ou `False`

Acessar incidente

Use a ação Get Incident para receber detalhes de um incidente de segurança usando o ID dele.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Receber incidente exige os seguintes parâmetros:

Parâmetro	Descrição
`Incident ID`	Obrigatório O ID do incidente para receber os detalhes.

Saídas de ação

A ação Get Incident fornece as seguintes saídas:

Tipo de saída da ação	Disponibilidade
Anexo do Painel de Casos	Indisponível
Link do Painel de Casos	Indisponível
Tabela do painel de casos	Indisponível
Tabela de enriquecimento	Indisponível
Resultado JSON	Indisponível
Mensagens de saída	Disponível
Resultado do script	Disponível

Mensagens de saída

A ação Receber incidente pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Mensagem de resposta	Descrição da mensagem
`Successfully returned information about the incident INCIDENT_ID.`	A ação foi concluída.
`Error executing action "Get Incident". Reason: ERROR_REASON`	A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Successfully returned information about the incident INCIDENT_ID.

A ação foi concluída.

Error executing action "Get Incident". Reason:
      ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber incidente:

Nome do resultado do script	Valor
`is_success`	`True` ou `False`

Encerrar sessão de usuário

Use a ação Encerrar sessão do usuário para invalidar todos os tokens de atualização emitidos para aplicativos de um usuário. Para isso, redefina a propriedade signInSessionsValidFromDateTime do usuário para a data e hora atuais.

Essa ação é executada em todas as entidades do Google SecOps.

Entradas de ação

A ação Encerrar sessão do usuário exige os seguintes parâmetros:

Parâmetro	Descrição
`userPrincipalName\| ID`	Obrigatório O nome de usuário ou o valor do ID exclusivo do usuário usado no Microsoft Entra ID.

Saídas de ação

A ação Encerrar sessão do usuário fornece as seguintes saídas:

Tipo de saída da ação	Disponibilidade
Anexo do Painel de Casos	Indisponível
Link do Painel de Casos	Indisponível
Tabela do painel de casos	Indisponível
Tabela de enriquecimento	Indisponível
Resultado JSON	Indisponível
Resultado do script	Disponível

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Encerrar sessão do usuário:

Nome do resultado do script	Valor
`is_success`	`True` ou `False`

Listar alertas

Use a ação Listar alertas para listar os alertas disponíveis no Microsoft Graph.

Essa ação é executada em todas as entidades do Google SecOps.

O processo de filtragem acontece no lado da API Microsoft Graph. Para produtos que publicam alertas no Microsoft Graph e não oferecem suporte à filtragem, o Microsoft Graph adiciona todos os alertas à resposta como se eles tivessem passado pelo filtro.

Entradas de ação

A ação Listar alertas exige os seguintes parâmetros:

Parâmetro	Descrição
`Filter Key`	Opcional Especifique a chave que precisa ser usada para filtrar alertas. Observação: a opção "Título" não é compatível com a API V2.
`Filter Logic`	Opcional A lógica de filtro a ser aplicada. A lógica de filtragem é baseada no valor do parâmetro `Filter Key`. Os valores possíveis são: `Not Specified` `Equal` `Contains` O valor padrão é `Not Specified`.
`Filter Value`	Opcional O valor a ser usado no filtro. Se você selecionar `Equal`, a ação vai tentar encontrar a correspondência exata entre os resultados. Se você selecionar `Contains`, a ação vai tentar encontrar resultados que contenham a substring selecionada. Se você não definir um valor, o filtro não será aplicado. A lógica de filtragem é baseada no valor do parâmetro `Filter Key`.
`Max Records To Return`	Opcional O número de registros a serem retornados para cada execução de ação. O valor padrão é 50.

Saídas de ação

A ação Listar alertas fornece as seguintes saídas:

Tipo de saída da ação	Disponibilidade
Anexo do Painel de Casos	Indisponível
Link do Painel de Casos	Indisponível
Tabela do painel de casos	Indisponível
Tabela de enriquecimento	Indisponível
Resultado JSON	Disponível
Mensagens de saída	Disponível
Resultado do script	Disponível

Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação List Alerts:

{
            "id": "ID",
            "azureTenantId": "TENANT_ID",
            "azureSubscriptionId": null,
            "riskScore": null,
            "tags": [],
            "activityGroupName": null,
            "assignedTo": null,
            "category": "ImpossibleTravel",
            "closedDateTime": null,
            "comments": [],
            "confidence": null,
            "createdDateTime": "2022-04-29T13:10:59.705Z",
            "description": "Sign-in from an atypical location based on the user's recent sign-ins",
            "detectionIds": [],
            "eventDateTime": "2022-04-29T11:36:59.1520667Z",
            "feedback": null,
            "incidentIds": [],
            "lastEventDateTime": null,
            "lastModifiedDateTime": "2022-04-30T14:44:43.4742002Z",
            "recommendedActions": [],
            "severity": "medium",
            "sourceMaterials": [],
            "status": "newAlert",
            "title": "Atypical travel",
            "vendorInformation": {
                "provider": "IPC",
                "providerVersion": null,
                "subProvider": null,
                "vendor": "Microsoft"
            },
            "alertDetections": [],
            "cloudAppStates": [],
            "fileStates": [],
            "hostStates": [],
            "historyStates": [],
            "investigationSecurityStates": [],
            "malwareStates": [],
            "messageSecurityStates": [],
            "networkConnections": [],
            "processes": [],
            "registryKeyStates": [],
            "securityResources": [],
            "triggers": [],
            "userStates": [
                {
                    "aadUserId": "b786d3cf-e97d-4511-b61c-0559e9f4da75",
                    "accountName": "example.user",
                    "domainName": "example.com",
                    "emailRole": "unknown",
                    "isVpn": null,
                    "logonDateTime": "2022-04-29T11:36:59.1520667Z",
                    "logonId": null,
                    "logonIp": "203.0.113.194",
                    "logonLocation": "1800 Amphibious Blvd, Mountain View, CA 94045",
                    "logonType": null,
                    "onPremisesSecurityIdentifier": null,
                    "riskScore": null,
                    "userAccountType": null,
                    "userPrincipalName": "example.user@example.com"
                },
                {
                    "aadUserId": "b786d3cf-e97d-4511-b61c-0559e9f4da75",
                    "accountName": "example.user",
                    "domainName": "example.com",
                    "emailRole": "unknown",
                    "isVpn": null,
                    "logonDateTime": "2022-04-29T11:15:00Z",
                    "logonId": null,
                    "logonIp": "192.0.2.160",
                    "logonLocation": "ES",
                    "logonType": null,
                    "onPremisesSecurityIdentifier": null,
                    "riskScore": null,
                    "userAccountType": null,
                    "userPrincipalName": "example.user@example.com"
                }
            ],
            "uriClickSecurityStates": [],
            "vulnerabilityStates": []
}

Mensagens de saída

A ação List Alerts pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Mensagem de resposta	Descrição da mensagem
`Successfully found alerts for the provided criteria in Microsoft Graph.` `No alerts were found for the provided criteria in Microsoft Graph.` `The filter was not applied because the "Filter Value" parameter has an empty value.`	A ação foi concluída.
`Error executing action "List Alerts". Reason: ERROR_REASON`	A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Successfully found alerts for the provided criteria in Microsoft Graph.

No alerts were found for the provided criteria in Microsoft Graph.

The filter was not applied because the "Filter Value" parameter has an empty value.

A ação foi concluída.

Error executing action "List Alerts". Reason:
      ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação List Alerts:

Nome do resultado do script	Valor
`alerts_details`	`ALERT_DETAILS`

Listar incidentes

Use a ação Listar incidentes para listar os incidentes de segurança do Microsoft Graph com base nos critérios fornecidos.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação List Incidents exige os seguintes parâmetros:

Parâmetro	Descrição
`Filter Key`	Opcional Especifique a chave que precisa ser usada para filtrar alertas. Observação: a opção "Título" não é compatível com a API V2.
`Filter Logic`	Opcional A lógica de filtro a ser aplicada. A lógica de filtragem é baseada no valor do parâmetro `Filter Key`. Os valores possíveis são: `Not Specified` `Equal` `Contains` O valor padrão é `Not Specified`.
`Filter Value`	Opcional O valor a ser usado no filtro. Se você selecionar `Equal`, a ação vai tentar encontrar a correspondência exata entre os resultados. Se você selecionar `Contains`, a ação vai tentar encontrar resultados que contenham a substring selecionada. Se você não definir um valor, o filtro não será aplicado. A lógica de filtragem é baseada no valor do parâmetro `Filter Key`.
`Max Records To Return`	Opcional O número de registros a serem retornados para cada execução de ação. O valor padrão é 50.

Saídas de ação

A ação List Incidents fornece as seguintes saídas:

Tipo de saída da ação	Disponibilidade
Anexo do Painel de Casos	Indisponível
Link do Painel de Casos	Indisponível
Tabela do painel de casos	Indisponível
Tabela de enriquecimento	Indisponível
Resultado JSON	Indisponível
Mensagens de saída	Disponível
Resultado do script	Disponível

Mensagens de saída

A ação List Incidents pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Mensagem de resposta	Descrição da mensagem
`Successfully found incidents for the provided criteria in Microsoft Graph.` `No incidents were found for the provided criteria in Microsoft Graph.` `The filter was not applied because the "Filter Value" parameter has an empty value.`	A ação foi concluída.
`Error executing action "List Incidents". Reason: ERROR_REASON`	A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Successfully found incidents for the provided criteria in Microsoft Graph.

No incidents were found for the provided criteria in Microsoft Graph.

The filter was not applied because the "Filter Value" parameter has an empty value.

A ação foi concluída.

Error executing action "List Incidents". Reason:
      ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação List Incidents:

Nome do resultado do script	Valor
`is_success`	`True` ou `False`

Ping

Use a ação Ping para testar a conectividade com o Microsoft Graph.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

Nenhuma.

Saídas de ação

A ação Ping fornece as seguintes saídas:

Tipo de saída da ação	Disponibilidade
Anexo do Painel de Casos	Indisponível
Link do Painel de Casos	Indisponível
Tabela do painel de casos	Indisponível
Tabela de enriquecimento	Indisponível
Resultado JSON	Indisponível
Resultado do script	Disponível

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Ping:

Nome do resultado do script	Valor
`is_success`	`True` ou `False`

Atualizar alerta

Use a ação Atualizar alerta para atualizar uma propriedade de alerta editável.

Essa ação é executada em todas as entidades do Google SecOps.

Entradas de ação

A ação Atualizar alerta exige os seguintes parâmetros:

Parâmetro	Descrição
`Alert ID`	Obrigatório O ID do alerta a ser atualizado.
`Assigned To`	Opcional O nome do analista a quem o alerta foi atribuído para triagem, investigação ou correção.
`Closed Date Time`	Opcional Hora em que o alerta foi fechado. O tipo Timestamp representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, a meia-noite UTC de 1º de janeiro de 2014 seria assim: "2014-01-01T00:00:00Z". Observação: esse parâmetro não é compatível com a versão V2 da API.
`Comments`	Opcional Comentários do analista sobre o alerta (para gerenciamento de alertas do cliente), separados por vírgula. Esse método só pode atualizar o campo de comentários com os seguintes valores: "Closed in IPC" e "Closed in MCAS". Observação: na versão V2 da API, esse parâmetro funciona como uma string, e um único comentário é adicionado ao alerta.
`Feedback`	Opcional Feedback do analista sobre o alerta. Os valores possíveis são: unknown, truePositive, falsePositive, benignPositive. Observação: na versão V2 da API, esse parâmetro é mapeado para "classification" e tem os seguintes valores possíveis: unknown, falsePositive, truePositive, informationalExpectedActivity, unknownFutureValue.
`Status`	Opcional O status do ciclo de vida do alerta. Os valores possíveis são os seguintes: `unknown` `newAlert` `inProgress` `resolved`
`Tags`	Opcional Rótulos definidos pelo usuário que podem ser aplicados a um alerta. Separados por vírgulas. Observação: esse parâmetro não é compatível com a versão V2 da API.

Saídas de ação

A ação Alerta de atualização fornece as seguintes saídas:

Tipo de saída da ação	Disponibilidade
Anexo do Painel de Casos	Indisponível
Link do Painel de Casos	Indisponível
Tabela do painel de casos	Indisponível
Tabela de enriquecimento	Indisponível
Resultado JSON	Indisponível
Resultado do script	Disponível

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Atualizar alerta:

Nome do resultado do script	Valor
`is_updated`	`True` ou `False`

Conectores

Para instruções detalhadas sobre como configurar um conector no Google SecOps, consulte Ingerir seus dados (conectores).

Conector de segurança do Microsoft Graph

Use o Conector de segurança do Microsoft Graph para ingerir alertas publicados na API de segurança do Microsoft Graph como alertas do Google SecOps. O conector se conecta periodicamente ao endpoint de segurança do Microsoft Graph e extrai uma lista de incidentes gerados para um período específico.

O conector de segurança do Microsoft Graph exige os seguintes parâmetros:

Parâmetro	Descrição
`Product Field Name`	Obrigatório O nome do campo em que o nome do produto é armazenado. O valor padrão é `ProductFieldName`.
`Event Field Name`	Obrigatório O nome do campo usado para determinar o nome do evento (subtipo). O valor padrão é `AlertName`.
`Script Timeout (Seconds)`	Obrigatório O limite de tempo (em segundos) para o processo do Python que executa o script atual. O valor padrão é de 30 segundos.
`Environment Field Name`	Opcional O nome do campo em que o nome do ambiente é armazenado. Se o campo de ambiente não for encontrado, ele será definido como `""`.
`Pattern`	Opcional Um padrão de expressão regular a ser executado no valor encontrado no campo `Environment Field Name`. Com esse parâmetro, é possível manipular o campo "environment" usando a lógica de expressão regular. Use o valor padrão `.*` para extrair o valor `Environment Field Name` bruto necessário. Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final do ambiente será `""`.
`Client ID`	Obrigatório O ID do cliente (aplicativo) do aplicativo Microsoft Entra a ser usado na integração.
`Client Secret`	Opcional O valor da chave secreta do cliente do aplicativo Microsoft Entra a ser usado na integração.
`Certificate Path`	Opcional Se você usar a autenticação baseada em certificados em vez da chave secreta do cliente, insira o caminho para o certificado no servidor do Google SecOps.
`Certificate Password`	Opcional Se o certificado de autenticação usado estiver protegido por senha, especifique a senha para abrir o arquivo do certificado.
`Azure Active Directory ID`	Obrigatório O valor do Microsoft Entra ID (ID do locatário).
`Offset Time In Hours`	Obrigatório O número de horas antes de agora para buscar alertas. O valor padrão é de 120 horas.
`Fetch Alerts only from`	Opcional Uma lista separada por vírgulas de provedores para extrair alertas do Microsoft Graph. Se você definir o parâmetro "Buscar alertas somente de" como "Segurança e conformidade do Office 365", o conector não vai aceitar vários valores nos parâmetros "Status dos alertas a serem buscados" ou "Gravidades dos alertas a serem buscadas". Se a opção "Usar API V2" estiver ativada, esse parâmetro vai funcionar com a propriedade "serviceSource" do alerta.
`Alert Statuses to fetch`	Obrigatório Uma lista separada por vírgulas de status de alerta para o servidor do Google SecOps recuperar. Os valores possíveis são: `unknown`, `newAlert`, `inProgress`, `resolved`.
`Alert Severities to fetch`	Obrigatório Uma lista separada por vírgulas de gravidades de alerta para o servidor do Google SecOps recuperar. Os valores possíveis são: `high`, `medium`, `low`, `informational`, `unknown`.
`Max Alerts Per Cycle`	Opcional O número máximo de alertas a serem processados em uma iteração de um conector. O valor padrão é 50.
`Proxy Server Address`	Opcional O endereço do servidor proxy a ser usado.
`Proxy Username`	Opcional O nome de usuário do proxy para autenticação.
`Proxy Password`	Opcional A senha do proxy para autenticação.
`Use V2 API`	Opcional Se ativado, o conector vai usar endpoints da API V2. Observação: a estrutura dos alertas e eventos vai mudar. Além disso, o parâmetro "Buscar alertas somente de" vai exigir valores diferentes.

Regras do conector

O conector não é compatível com as regras de lista dinâmica ou de bloqueio.

O conector é compatível com proxies.

Conector de segurança e conformidade do Microsoft Graph Office 365

Use o conector de segurança e conformidade do Microsoft Graph Office 365 para ingerir os alertas de segurança e conformidade do Office 365 usando a API Microsoft Graph.

O conector de segurança e compliance do Microsoft Graph Office 365 exige os seguintes parâmetros:

Parâmetro	Descrição
`Product Field Name`	Obrigatório O nome do campo em que o nome do produto é armazenado. O valor padrão é `ProductFieldName`.
`Event Field Name`	Obrigatório O nome do campo usado para determinar o nome do evento (subtipo). O valor padrão é `event_class`.
`Script Timeout (Seconds)`	Obrigatório O limite de tempo (em segundos) para o processo do Python que executa o script atual. O valor padrão é de 30 segundos.
`Environment Field Name`	Opcional O nome do campo em que o nome do ambiente é armazenado. Se o campo de ambiente não for encontrado, ele será definido como `""`.
`Environment Regex Pattern`	Opcional Um padrão de expressão regular a ser executado no valor encontrado no campo `Environment Field Name`. Com esse parâmetro, é possível manipular o campo "environment" usando a lógica de expressão regular. Use o valor padrão `.*` para extrair o valor `Environment Field Name` bruto necessário. Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final do ambiente será `""`.
`Client ID`	Obrigatório O ID do cliente (aplicativo) do aplicativo Microsoft Entra a ser usado na integração.
`Client Secret`	Opcional O valor da chave secreta do cliente do aplicativo Microsoft Entra a ser usado na integração.
`Certificate Path`	Opcional Se você usar a autenticação baseada em certificados em vez da chave secreta do cliente, insira o caminho para o certificado no servidor do Google SecOps.
`Certificate Password`	Opcional Se o certificado de autenticação usado estiver protegido por senha, especifique a senha para abrir o arquivo do certificado.
`Azure Active Directory ID`	Obrigatório O valor do Microsoft Entra ID (ID do locatário).
`Verify SSL`	Opcional Se selecionada, a integração verifica se o certificado SSL para a conexão com o servidor do Microsoft Graph é válido. Essa opção é selecionada por padrão.
`Offset Time In Hours`	Obrigatório O número de horas antes de agora para buscar alertas. O valor padrão é de 120 horas.
`Alert Statuses to fetch`	Opcional Uma lista separada por vírgulas de status de alerta para o servidor do Google SecOps recuperar. Os valores possíveis são: `Dismissed`, `Active`, `Investigating`, `Resolved`.
`Alert Severities to fetch`	Opcional Uma lista separada por vírgulas de gravidades de alerta para o servidor do Google SecOps recuperar. Os valores possíveis são: `high`, `medium`, `low`, `informational`, `unknown`.
`Max Alerts Per Cycle`	Obrigatório O número máximo de alertas a serem processados em uma iteração de um conector. O valor padrão é 50.
`Proxy Server Address`	Opcional O endereço do servidor proxy a ser usado.
`Proxy Username`	Opcional O nome de usuário do proxy para autenticação.
`Proxy Password`	Opcional A senha do proxy para autenticação.

Regras do conector

O conector não é compatível com as regras de lista dinâmica ou de bloqueio.

O conector é compatível com proxies.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.