Microsoft Graph Security
本文档提供了有关如何将 Microsoft Graph 安全 API 与 Google Security Operations (Google SecOps) 集成的指南。
集成版本:20.0
本文档指的是 Microsoft Graph 安全 API。在 Google SecOps 平台中,Microsoft Graph 安全 API 的集成称为 Microsoft Graph Security。
准备工作
在 Google SecOps 平台中配置集成之前,请完成以下步骤:
创建 Microsoft Entra 应用。
为应用配置 API 权限。
创建客户端密钥。
创建 Microsoft Entra 应用
如需创建 Microsoft Entra 应用,请完成以下步骤:
以用户管理员或密码管理员身份登录 Azure 门户。
选择 Microsoft Entra ID。
依次前往应用注册 > 新注册。
输入应用的名称。
在重定向 URI 字段中,输入
http://localhost/。点击注册。
保存应用(客户端)ID 和目录(租户)ID 值,以便稍后用于配置集成参数。
配置 API 权限
如需为集成配置 API 权限,请完成以下步骤:
在 Azure 门户中,依次前往 API 权限 > 添加权限。
依次选择 Microsoft Graph > 应用权限。
在选择权限部分中,选择以下必需权限:
User.ReadWrite.AllMail.ReadDirectory.ReadWrite.AllDirectory.AccessAsUser.AllSecurityEvents.ReadWrite.AllSecurityEvents.Read.All
点击添加权限。
点击为
YOUR_ORGANIZATION_NAME授予管理员同意书。当系统显示授予管理员同意权限确认对话框时,点击是。
创建客户端密钥
如需创建客户端密钥,请完成以下步骤:
依次前往证书和密钥 > 新客户端密钥。
为客户端密钥提供说明并设置其失效期限。
点击 Add(添加)。
保存客户端密钥的值(而非密钥 ID),以便将其用作配置集成时的密钥 ID 参数值。客户端密钥值仅显示一次。
将 Microsoft Graph 安全 API 与 Google SecOps 集成
集成需要以下参数:
| 参数 | 说明 |
|---|---|
Client ID |
必需 要在集成中使用的 Microsoft Entra 应用的客户端(应用)ID。 |
Secret ID |
可选 要在集成中使用的 Microsoft Entra 应用的客户端密钥值。 |
Certificate Path |
可选 如果您使用基于证书的身份验证而非客户端密钥,请输入 Google SecOps 服务器上证书的路径。 |
Certificate Password |
可选 如果您使用的身份验证证书受密码保护,请指定打开证书文件的密码。 |
Tenant |
必需 Microsoft Entra ID(租户 ID)值。 |
Use V2 API |
可选 如果启用,连接器将使用 V2 API 端点。注意:提醒和事件的结构将会发生变化。 |
如需了解如何在 Google SecOps 中配置集成,请参阅配置集成。
如果需要,您可以在稍后阶段进行更改。配置集成实例后,您可以在剧本中使用该实例。如需详细了解如何配置和支持多个实例,请参阅支持多个实例。
操作
如需详细了解操作,请参阅处理工作台中的待处理操作和执行手动操作。
添加提醒评论
使用 Add Alert Comment 操作可向 Microsoft Graph 中的提醒添加评论。
此操作不适用于 Google SecOps 实体。
操作输入
添加提醒注释操作需要以下参数:
| 参数 | 说明 |
|---|---|
Alert ID |
必需 要更新的提醒的 ID。 |
Comment |
必需 相应提醒的评论。 |
操作输出
添加提醒评论操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
添加提醒注释操作可能会返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Add Alert Comment". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用添加提醒注释操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
获取管理员同意书
使用 Get Administrator Consent 操作在 Azure 门户中向您的应用授予权限。
此操作会在所有 Google SecOps 实体上运行。
操作输入
获取管理员同意操作需要以下参数:
| 参数 | 说明 |
|---|---|
Redirect URL |
必需 您在 Azure 门户中注册时使用的重定向网址。 |
操作输出
获取管理员同意操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 脚本结果 | 可用 |
脚本结果
下表列出了使用 Get Administrator Consent 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_connected |
True 或 False |
获取提醒
使用 Get Alert 操作,通过提醒 ID 检索提醒的属性和关系。
此操作会在所有 Google SecOps 实体上运行。
操作输入
获取提醒操作需要以下参数:
| 参数 | 说明 |
|---|---|
Alert ID |
必需 要检索详细信息的提醒的 ID。 |
操作输出
获取提醒操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用 Get Alert 操作时收到的 JSON 结果输出:
{
"feedback": "@odata.type: microsoft.graph.alertFeedback",
"recommendedActions": ["String"],
"networkConnections":
[{
"applicationName": "String",
"natDestinationPort": "String",
"destinationAddress": "String",
"localDnsName": "String",
"natDestinationAddress": "String",
"destinationUrl": "String",
"natSourceAddress": "String",
"sourceAddress": "String",
"direction": "@odata.type: microsoft.graph.connectionDirection",
"domainRegisteredDateTime": "String (timestamp)",
"status": "@odata.type: microsoft.graph.connectionStatus",
"destinationDomain": "String",
"destinationPort": "String",
"sourcePort": "String",
"protocol": "@odata.type: microsoft.graph.securityNetworkProtocol",
"natSourcePort": "String",
"riskScore": "String",
"urlParameters": "String"
}],
"cloudAppStates":
[{
"destinationServiceIp": "String",
"riskScore": "String",
"destinationServiceName": "String"
}],
"detectionIds": ["String"],
"id": "String (identifier)",
"category": "String",
"fileStates":
[{
"path": "String",
"riskScore": "String",
"name": "String",
"fileHash":
{
"hashType": "@odata.type: microsoft.graph.fileHashType",
"hashValue": "String"
}
}],
"severity": "@odata.type: microsoft.graph.alertSeverity",
"title": "String",
"sourceMaterials": ["String"],
"comments": ["String"],
"assignedTo": "String",
"eventDateTime": "String (timestamp)",
"activityGroupName": "String",
"status": "@odata.type: microsoft.graph.alertStatus",
"description": "String",
"tags": ["String"],
"confidence": 1024,
"vendorInformation":
{
"providerVersion": "String",
"vendor": "String",
"subProvider": "String",
"provider": "String"
},
"userStates":
[{
"emailRole": "@odata.type: microsoft.graph.emailRole",
"logonId": "String",
"domainName": "String",
"onPremisesSecurityIdentifier": "String",
"userPrincipalName": "String",
"userAccountType": "@odata.type: microsoft.graph.userAccountSecurityType",
"logonIp": "String",
"logonDateTime": "String (timestamp)",
"logonType": "@odata.type: microsoft.graph.logonType",
"logonLocation": "String",
"aadUserId": "String",
"accountName": "String",
"riskScore": "String",
"isVpn": "true"
}],
"malwareStates":
[{
"category": "String",
"wasRunning": "true",
"name": "String",
"family": "String",
"severity": "String"
}],
"processes":
[{
"processId": 1024,
"integrityLevel": "@odata.type: microsoft.graph.processIntegrityLevel",
"name": "String",
"fileHash":
{
"hashType": "@odata.type: microsoft.graph.fileHashType",
"hashValue": "String"
},
"parentProcessId": 1024,
"createdDateTime": "String (timestamp)",
"commandLine": "String",
"parentProcessName": "String",
"accountName": "String",
"isElevated": "true",
"path": "String",
"parentProcessCreatedDateTime": "String (timestamp)"
}],
"azureTenantId": "String",
"triggers":
[{
"type": "String",
"name": "String",
"value": "String"
}],
"createdDateTime": "String (timestamp)",
"vulnerabilityStates":
[{
"cve": "String",
"severity": "String",
"wasRunning": "true"
}],
"hostStates":
[{
"isAzureAadRegistered": "true",
"riskScore": "String",
"fqdn": "String",
"isHybridAzureDomainJoined": "true",
"netBiosName": "String",
"publicIpAddress": "String",
"isAzureAadJoined": "true",
"os": "String",
"privateIpAddress": "String"
}],
"lastModifiedDateTime": "String (timestamp)",
"registryKeyStates":
[{
"processId": 1024,
"oldKey": "String",
"oldValueName": "String",
"valueType": "@odata.type: microsoft.graph.registryValueType",
"oldValueData": "String",
"hive": "@odata.type: microsoft.graph.registryHive",
"valueData": "String",
"key": "String",
"valueName": "String",
"operation": "@odata.type: microsoft.graph.registryOperation"
}],
"closedDateTime": "String (timestamp)",
"azureSubscriptionId": "String"
}
脚本结果
下表列出了使用 Get Alert 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
alert_details |
True 或 False |
获取突发事件
使用 Get Incident 操作,通过突发事件 ID 获取安全突发事件的详细信息。
此操作不适用于 Google SecOps 实体。
操作输入
获取突发事件操作需要以下参数:
| 参数 | 说明 |
|---|---|
Incident ID |
必需 要获取详细信息的突发事件的 ID。 |
操作输出
获取突发事件操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
获取突发事件操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Get Incident". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Get Incident 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
终止用户会话
使用 Kill User Session 操作,通过将 signInSessionsValidFromDateTime 用户属性重置为当前日期和时间,使为用户向应用签发的所有刷新令牌失效。
此操作会在所有 Google SecOps 实体上运行。
操作输入
终止用户会话操作需要以下参数:
| 参数 | 说明 |
|---|---|
userPrincipalName| ID |
必需 Microsoft Entra ID 中使用的用户名或用户唯一 ID 值。 |
操作输出
终止用户会话操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 脚本结果 | 可用 |
脚本结果
下表列出了使用终止用户会话操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
列出提醒
使用 List Alerts 操作列出 Microsoft Graph 中的可用提醒。
此操作会在所有 Google SecOps 实体上运行。
过滤流程在 Microsoft Graph API 端进行。对于将提醒发布到 Microsoft Graph 且不支持过滤的产品,Microsoft Graph 会将所有提醒添加到响应中,就好像这些提醒已通过过滤一样。
操作输入
列出提醒操作需要以下参数:
| 参数 | 说明 |
|---|---|
Filter Key |
可选 指定需要用于过滤提醒的键。 注意:V2 API 不支持“标题”选项。 |
Filter Logic |
可选 要应用的过滤逻辑。 过滤逻辑基于 可能的值如下:
默认值为 |
Filter Value |
可选 要在过滤条件中使用的值。 如果您选择 如果您选择 如果不设置值,则不会应用过滤条件。 过滤逻辑基于 |
Max Records To Return |
可选 每次操作运行要返回的记录数。 默认值为 50。 |
操作输出
列出提醒 操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用列出提醒操作时收到的 JSON 结果输出:
{
"id": "ID",
"azureTenantId": "TENANT_ID",
"azureSubscriptionId": null,
"riskScore": null,
"tags": [],
"activityGroupName": null,
"assignedTo": null,
"category": "ImpossibleTravel",
"closedDateTime": null,
"comments": [],
"confidence": null,
"createdDateTime": "2022-04-29T13:10:59.705Z",
"description": "Sign-in from an atypical location based on the user's recent sign-ins",
"detectionIds": [],
"eventDateTime": "2022-04-29T11:36:59.1520667Z",
"feedback": null,
"incidentIds": [],
"lastEventDateTime": null,
"lastModifiedDateTime": "2022-04-30T14:44:43.4742002Z",
"recommendedActions": [],
"severity": "medium",
"sourceMaterials": [],
"status": "newAlert",
"title": "Atypical travel",
"vendorInformation": {
"provider": "IPC",
"providerVersion": null,
"subProvider": null,
"vendor": "Microsoft"
},
"alertDetections": [],
"cloudAppStates": [],
"fileStates": [],
"hostStates": [],
"historyStates": [],
"investigationSecurityStates": [],
"malwareStates": [],
"messageSecurityStates": [],
"networkConnections": [],
"processes": [],
"registryKeyStates": [],
"securityResources": [],
"triggers": [],
"userStates": [
{
"aadUserId": "b786d3cf-e97d-4511-b61c-0559e9f4da75",
"accountName": "example.user",
"domainName": "example.com",
"emailRole": "unknown",
"isVpn": null,
"logonDateTime": "2022-04-29T11:36:59.1520667Z",
"logonId": null,
"logonIp": "203.0.113.194",
"logonLocation": "1800 Amphibious Blvd, Mountain View, CA 94045",
"logonType": null,
"onPremisesSecurityIdentifier": null,
"riskScore": null,
"userAccountType": null,
"userPrincipalName": "example.user@example.com"
},
{
"aadUserId": "b786d3cf-e97d-4511-b61c-0559e9f4da75",
"accountName": "example.user",
"domainName": "example.com",
"emailRole": "unknown",
"isVpn": null,
"logonDateTime": "2022-04-29T11:15:00Z",
"logonId": null,
"logonIp": "192.0.2.160",
"logonLocation": "ES",
"logonType": null,
"onPremisesSecurityIdentifier": null,
"riskScore": null,
"userAccountType": null,
"userPrincipalName": "example.user@example.com"
}
],
"uriClickSecurityStates": [],
"vulnerabilityStates": []
}
输出消息
列出提醒操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "List Alerts". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 列出提醒操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
alerts_details |
ALERT_DETAILS |
列出突发事件
使用 List Incidents 操作可根据提供的条件列出 Microsoft Graph 中的安全事件。
此操作不适用于 Google SecOps 实体。
操作输入
列出突发事件操作需要以下参数:
| 参数 | 说明 |
|---|---|
Filter Key |
可选 指定需要用于过滤提醒的键。注意:V2 API 不支持“标题”选项。 |
Filter Logic |
可选 要应用的过滤逻辑。 过滤逻辑基于 可能的值如下:
默认值为 |
Filter Value |
可选 要在过滤条件中使用的值。 如果您选择 如果您选择 如果不设置值,则不会应用过滤条件。 过滤逻辑基于 |
Max Records To Return |
可选 每次操作运行要返回的记录数。 默认值为 50。 |
操作输出
列出突发事件操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
列出突发事件操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "List Incidents". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用列出突发事件操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
Ping
使用 Ping 操作测试与 Microsoft Graph 的连接。
此操作不适用于 Google SecOps 实体。
操作输入
无。
操作输出
Ping 操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 脚本结果 | 可用 |
脚本结果
下表列出了使用 Ping 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
更新提醒
使用 Update Alert 操作更新可修改的提醒属性。
此操作会在所有 Google SecOps 实体上运行。
操作输入
更新提醒操作需要以下参数:
| 参数 | 说明 |
|---|---|
Alert ID |
必需
要更新的提醒的 ID。 |
Assigned To |
可选
提醒分配到的分析师的名称,用于分诊、调查或补救。 |
Closed Date Time |
可选
提醒关闭的时间。Timestamp 类型使用 ISO 8601 格式表示日期和时间信息,并且始终采用 UTC 时间。例如,2014 年 1 月 1 日午夜 UTC 的格式如下:'2014-01-01T00:00:00Z'。注意:此参数在 API 的 V2 版本中不受支持。 |
Comments |
可选
分析师对提醒的评论(用于客户提醒管理),以英文逗号分隔。此方法只能使用以下值更新 comments 字段:Closed in IPC、Closed in MCAS。注意:在 API 的 V2 版本中,此参数以字符串形式运作,并且系统会向提醒添加一条注释。 |
Feedback |
可选
分析师针对相应提醒提供的反馈。可能的值包括:unknown、truePositive、falsePositive、benignPositive。注意:在 API 的 V2 版本中,此参数会映射到“classification”,并且具有以下可能的值:unknown、falsePositive、truePositive、informationalExpectedActivity、unknownFutureValue。 |
Status |
可选
提醒生命周期状态。 可能的值如下:
|
Tags |
可选
可应用于提醒的用户可定义标签。以英文逗号分隔。 注意:此参数在 API 的 V2 版本中不受支持。 |
操作输出
更新提醒操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 脚本结果 | 可用 |
脚本结果
下表列出了使用更新提醒操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_updated |
True 或 False |
连接器
如需详细了解如何在 Google SecOps 中配置连接器,请参阅提取数据(连接器)。
Microsoft Graph 安全连接器
使用 Microsoft Graph Security 连接器,将 Microsoft Graph Security API 中发布的提醒作为 Google SecOps 提醒注入。连接器会定期连接到 Microsoft Graph 安全端点,并提取在特定时间段内生成的突发事件列表。
Microsoft Graph 安全连接器需要以下参数:
| 参数 | 说明 |
|---|---|
Product Field Name |
必需 存储商品名称的字段的名称。 默认值为 |
Event Field Name |
必需 用于确定事件名称(子类型)的字段名称。 默认值为 |
Script Timeout (Seconds) |
必需 运行当前脚本的 Python 进程的超时限制(以秒为单位)。 默认值为 30 秒。 |
Environment Field Name |
可选
存储环境名称的字段的名称。 如果未找到环境字段,则将环境设置为 |
Pattern |
可选
要对 使用默认值 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为 |
Client ID |
必需 要在集成中使用的 Microsoft Entra 应用的客户端(应用)ID。 |
Client Secret |
可选 要在集成中使用的 Microsoft Entra 应用的客户端密钥值。 |
Certificate Path |
可选 如果您使用基于证书的身份验证而非客户端密钥,请输入 Google SecOps 服务器上证书的路径。 |
Certificate Password |
可选 如果您使用的身份验证证书受密码保护,请指定打开证书文件的密码。 |
Azure Active Directory ID |
必需 Microsoft Entra ID(租户 ID)值。 |
Offset Time In Hours |
必需
提取提醒的小时数(从现在开始算起)。 默认值为 120 小时。 |
Fetch Alerts only from |
可选
要从 Microsoft Graph 中拉取提醒的提供商的逗号分隔列表。 如果您将“仅从以下来源提取提醒”参数设置为“Office 365 安全与合规”,则连接器不支持在“要提取的提醒状态”或“要提取的提醒严重程度”参数中设置多个值。如果启用了“使用 V2 API”,则此参数将与提醒的“serviceSource”属性搭配使用。 |
Alert Statuses to fetch |
必需
Google SecOps 服务器要检索的提醒状态的逗号分隔列表。 可能的值如下所示: |
Alert Severities to fetch |
必需
Google SecOps 服务器要检索的提醒严重程度的英文逗号分隔列表。 可能的值如下所示:
|
Max Alerts Per Cycle |
可选
一次连接器迭代中要处理的提醒数量上限。 默认值为 50。 |
Proxy Server Address |
可选 要使用的代理服务器的地址。 |
Proxy Username |
可选 用于进行身份验证的代理用户名。 |
Proxy Password |
可选 用于进行身份验证的代理密码。 |
Use V2 API |
可选 如果启用,连接器将使用 V2 API 端点。 注意:提醒和事件的结构将会发生变化。此外,“仅从以下来源获取提醒”参数将需要提供不同的值。 |
连接器规则
连接器不支持动态列表或屏蔽列表规则。
连接器支持代理。
Microsoft Graph Office 365 安全与合规连接器
使用 Microsoft Graph Office 365 安全和合规性连接器,通过 Microsoft Graph API 注入 Office 365 安全和合规性提醒。
Microsoft Graph Office 365 安全与合规性连接器需要以下参数:
| 参数 | 说明 |
|---|---|
Product Field Name |
必需 存储商品名称的字段的名称。 默认值为 |
Event Field Name |
必需 用于确定事件名称(子类型)的字段名称。 默认值为 |
Script Timeout (Seconds) |
必需 运行当前脚本的 Python 进程的超时限制(以秒为单位)。 默认值为 30 秒。 |
Environment Field Name |
可选
存储环境名称的字段的名称。 如果未找到环境字段,则将环境设置为 |
Environment Regex Pattern |
可选
要对 使用默认值 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为 |
Client ID |
必需 要在集成中使用的 Microsoft Entra 应用的客户端(应用)ID。 |
Client Secret |
可选 要在集成中使用的 Microsoft Entra 应用的客户端密钥值。 |
Certificate Path |
可选 如果您使用基于证书的身份验证而非客户端密钥,请输入 Google SecOps 服务器上证书的路径。 |
Certificate Password |
可选 如果您使用的身份验证证书受密码保护,请指定打开证书文件的密码。 |
Azure Active Directory ID |
必需 Microsoft Entra ID(租户 ID)值。 |
Verify SSL |
可选 如果选择此选项,集成会验证与 Microsoft Graph 服务器的连接所用的 SSL 证书是否有效。 此选项将会默认选中。 |
Offset Time In Hours |
必需
提取提醒的小时数(相对于当前时间)。 默认值为 120 小时。 |
Alert Statuses to fetch |
可选
Google SecOps 服务器要检索的提醒状态的逗号分隔列表。 可能的值如下所示: |
Alert Severities to fetch |
可选
Google SecOps 服务器要检索的提醒严重程度的英文逗号分隔列表。 可能的值如下所示:
|
Max Alerts Per Cycle |
必需
一次连接器迭代中要处理的提醒数量上限。 默认值为 50。 |
Proxy Server Address |
可选 要使用的代理服务器的地址。 |
Proxy Username |
可选 用于进行身份验证的代理用户名。 |
Proxy Password |
可选 用于进行身份验证的代理密码。 |
连接器规则
连接器不支持动态列表或屏蔽列表规则。
连接器支持代理。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。