Microsoft Graph Security
本文提供相關指引,說明如何將 Microsoft Graph Security API 與 Google Security Operations (Google SecOps) 整合。
整合版本:20.0
本文是指 Microsoft Graph Security API。在 Google SecOps 平台中,Microsoft Graph 安全性 API 的整合稱為「Microsoft Graph Security」。
事前準備
在 Google SecOps 平台中設定整合功能前,請完成下列步驟:
建立 Microsoft Entra 應用程式。
設定應用程式的 API 權限。
建立用戶端密碼。
建立 Microsoft Entra 應用程式
如要建立 Microsoft Entra 應用程式,請完成下列步驟:
以使用者管理員或密碼管理員身分登入 Azure 入口網站。
選取「Microsoft Entra ID」。
依序前往「App registrations」>「New registration」。
輸入應用程式名稱。
在「Redirect URI」(重新導向 URI) 欄位中,輸入
http://localhost/。按一下「註冊」。
儲存「Application (client) ID」和「Directory (tenant) ID」值,稍後設定整合參數時會用到。
設定 API 權限
如要設定整合的 API 權限,請完成下列步驟:
在 Azure 入口網站中,依序前往「API 權限」>「新增權限」。
依序選取「Microsoft Graph」>「應用程式權限」。
在「選取權限」部分,選取下列必要權限:
User.ReadWrite.AllMail.ReadDirectory.ReadWrite.AllDirectory.AccessAsUser.AllSecurityEvents.ReadWrite.AllSecurityEvents.Read.All
按一下「Add permissions」。
按一下「Grant admin consent for <租用戶>」
YOUR_ORGANIZATION_NAME。畫面出現「授予管理員同意聲明確認」對話方塊時,按一下「是」。
建立用戶端密鑰
如要建立用戶端密鑰,請完成下列步驟:
依序前往「Certificates and secrets」(憑證和密鑰) >「New client secret」(新增用戶端密鑰)。
提供用戶端密鑰的說明,並設定到期期限。
按一下「新增」。
儲存用戶端密鑰的值 (而非密鑰 ID),並將其做為密鑰 ID 參數值,以設定整合功能。用戶端密鑰值只會顯示一次。
將 Microsoft Graph Security API 與 Google Security Operations 整合
整合作業需要下列參數:
| 參數 | 說明 |
|---|---|
Client ID |
必要 要在整合中使用的 Microsoft Entra 應用程式用戶端 (應用程式) ID。 |
Secret ID |
選用 要在整合中使用的 Microsoft Entra 應用程式用戶端密鑰值。 |
Certificate Path |
選用 如果您使用憑證進行驗證,而非用戶端密鑰,請在 Google SecOps 伺服器上輸入憑證路徑。 |
Certificate Password |
選用 如果您使用的驗證憑證受到密碼保護,請指定密碼來開啟憑證檔案。 |
Tenant |
必要 Microsoft Entra ID (租戶 ID) 值。 |
Use V2 API |
選用 啟用後,連接器會使用 V2 API 端點。注意:快訊和事件的結構會有所變更。 |
如需在 Google SecOps 中設定整合功能的操作說明,請參閱「設定整合功能」。
如有需要,您之後可以變更。設定整合執行個體後,您就可以在劇本中使用該執行個體。如要進一步瞭解如何設定及支援多個執行個體,請參閱「支援多個執行個體」。
動作
如要進一步瞭解動作,請參閱「從工作區回覆待處理動作」和「執行手動動作」。
新增快訊註解
使用「Add Alert Comment」動作,在 Microsoft Graph 中為快訊新增註解。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「新增快訊註解」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Alert ID |
必要 要更新的快訊 ID。 |
Comment |
必要 快訊的註解。 |
動作輸出內容
「新增快訊註解」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
輸出訊息
「新增快訊註解」動作可能會傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Add Alert Comment". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「新增快訊註解」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
取得管理員同意
使用「取得管理員同意聲明」動作,在 Azure 入口網站中授予應用程式權限。
這項操作會對所有 Google SecOps 實體執行。
動作輸入內容
「取得管理員同意聲明」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Redirect URL |
必要 您在 Azure 入口網站註冊時使用的重新導向網址。 |
動作輸出內容
「取得管理員同意聲明」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 指令碼結果 | 可用 |
指令碼結果
下表列出使用「取得管理員同意」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_connected |
True或False |
取得快訊
使用「Get Alert」(取得快訊) 動作,透過快訊 ID 擷取快訊的屬性和關係。
這項操作會對所有 Google SecOps 實體執行。
動作輸入內容
「取得快訊」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Alert ID |
必要 要擷取詳細資料的快訊 ID。 |
動作輸出內容
「Get Alert」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例顯示使用「取得快訊」動作時收到的 JSON 結果輸出內容:
{
"feedback": "@odata.type: microsoft.graph.alertFeedback",
"recommendedActions": ["String"],
"networkConnections":
[{
"applicationName": "String",
"natDestinationPort": "String",
"destinationAddress": "String",
"localDnsName": "String",
"natDestinationAddress": "String",
"destinationUrl": "String",
"natSourceAddress": "String",
"sourceAddress": "String",
"direction": "@odata.type: microsoft.graph.connectionDirection",
"domainRegisteredDateTime": "String (timestamp)",
"status": "@odata.type: microsoft.graph.connectionStatus",
"destinationDomain": "String",
"destinationPort": "String",
"sourcePort": "String",
"protocol": "@odata.type: microsoft.graph.securityNetworkProtocol",
"natSourcePort": "String",
"riskScore": "String",
"urlParameters": "String"
}],
"cloudAppStates":
[{
"destinationServiceIp": "String",
"riskScore": "String",
"destinationServiceName": "String"
}],
"detectionIds": ["String"],
"id": "String (identifier)",
"category": "String",
"fileStates":
[{
"path": "String",
"riskScore": "String",
"name": "String",
"fileHash":
{
"hashType": "@odata.type: microsoft.graph.fileHashType",
"hashValue": "String"
}
}],
"severity": "@odata.type: microsoft.graph.alertSeverity",
"title": "String",
"sourceMaterials": ["String"],
"comments": ["String"],
"assignedTo": "String",
"eventDateTime": "String (timestamp)",
"activityGroupName": "String",
"status": "@odata.type: microsoft.graph.alertStatus",
"description": "String",
"tags": ["String"],
"confidence": 1024,
"vendorInformation":
{
"providerVersion": "String",
"vendor": "String",
"subProvider": "String",
"provider": "String"
},
"userStates":
[{
"emailRole": "@odata.type: microsoft.graph.emailRole",
"logonId": "String",
"domainName": "String",
"onPremisesSecurityIdentifier": "String",
"userPrincipalName": "String",
"userAccountType": "@odata.type: microsoft.graph.userAccountSecurityType",
"logonIp": "String",
"logonDateTime": "String (timestamp)",
"logonType": "@odata.type: microsoft.graph.logonType",
"logonLocation": "String",
"aadUserId": "String",
"accountName": "String",
"riskScore": "String",
"isVpn": "true"
}],
"malwareStates":
[{
"category": "String",
"wasRunning": "true",
"name": "String",
"family": "String",
"severity": "String"
}],
"processes":
[{
"processId": 1024,
"integrityLevel": "@odata.type: microsoft.graph.processIntegrityLevel",
"name": "String",
"fileHash":
{
"hashType": "@odata.type: microsoft.graph.fileHashType",
"hashValue": "String"
},
"parentProcessId": 1024,
"createdDateTime": "String (timestamp)",
"commandLine": "String",
"parentProcessName": "String",
"accountName": "String",
"isElevated": "true",
"path": "String",
"parentProcessCreatedDateTime": "String (timestamp)"
}],
"azureTenantId": "String",
"triggers":
[{
"type": "String",
"name": "String",
"value": "String"
}],
"createdDateTime": "String (timestamp)",
"vulnerabilityStates":
[{
"cve": "String",
"severity": "String",
"wasRunning": "true"
}],
"hostStates":
[{
"isAzureAadRegistered": "true",
"riskScore": "String",
"fqdn": "String",
"isHybridAzureDomainJoined": "true",
"netBiosName": "String",
"publicIpAddress": "String",
"isAzureAadJoined": "true",
"os": "String",
"privateIpAddress": "String"
}],
"lastModifiedDateTime": "String (timestamp)",
"registryKeyStates":
[{
"processId": 1024,
"oldKey": "String",
"oldValueName": "String",
"valueType": "@odata.type: microsoft.graph.registryValueType",
"oldValueData": "String",
"hive": "@odata.type: microsoft.graph.registryHive",
"valueData": "String",
"key": "String",
"valueName": "String",
"operation": "@odata.type: microsoft.graph.registryOperation"
}],
"closedDateTime": "String (timestamp)",
"azureSubscriptionId": "String"
}
指令碼結果
下表列出使用「取得快訊」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
alert_details |
True或False |
取得事件
使用「取得事件」動作,透過事件 ID 取得安全事件的詳細資料。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「取得事件」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Incident ID |
必要 要取得詳細資料的事件 ID。 |
動作輸出內容
「Get Incident」(取得事件) 動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
輸出訊息
「Get Incident」動作可以傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Get Incident". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「Get Incident」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
終止使用者工作階段
使用「終止使用者工作階段」動作,將「signInSessionsValidFromDateTime 使用者」屬性重設為目前的日期和時間,藉此使核發給使用者應用程式的所有重新整理權杖失效。
這項操作會對所有 Google SecOps 實體執行。
動作輸入內容
「終止使用者工作階段」動作需要下列參數:
| 參數 | 說明 |
|---|---|
userPrincipalName| ID |
必要 在 Microsoft Entra ID 中使用的使用者名稱或使用者唯一 ID 值。 |
動作輸出內容
「終止使用者工作階段」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 指令碼結果 | 可用 |
指令碼結果
下表列出使用「終止使用者工作階段」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
列出快訊
使用「列出快訊」動作,列出 Microsoft Graph 中的可用快訊。
這項操作會對所有 Google SecOps 實體執行。
篩選程序會在 Microsoft Graph API 端進行。如果產品會將快訊發布至 Microsoft Graph,但又無法篩選快訊,Microsoft Graph 會將所有快訊新增至回應,就好像快訊已通過篩選器一樣。
動作輸入內容
「列出快訊」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Filter Key |
選用 指定用來篩選快訊的金鑰。 注意:V2 API 不支援「Title」選項。 |
Filter Logic |
選用 要套用的篩選器邏輯。 篩選邏輯是根據 可能的值如下:
預設值為 |
Filter Value |
選用 篩選器中使用的值。 如果選取 如果選取 如果未設定值,系統就不會套用篩選器。 篩選邏輯是根據 |
Max Records To Return |
選用 每次動作執行要傳回的記錄數。 預設值為 50。 |
動作輸出內容
「列出快訊」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
下列範例顯示使用「列出快訊」動作時收到的 JSON 結果輸出內容:
{
"id": "ID",
"azureTenantId": "TENANT_ID",
"azureSubscriptionId": null,
"riskScore": null,
"tags": [],
"activityGroupName": null,
"assignedTo": null,
"category": "ImpossibleTravel",
"closedDateTime": null,
"comments": [],
"confidence": null,
"createdDateTime": "2022-04-29T13:10:59.705Z",
"description": "Sign-in from an atypical location based on the user's recent sign-ins",
"detectionIds": [],
"eventDateTime": "2022-04-29T11:36:59.1520667Z",
"feedback": null,
"incidentIds": [],
"lastEventDateTime": null,
"lastModifiedDateTime": "2022-04-30T14:44:43.4742002Z",
"recommendedActions": [],
"severity": "medium",
"sourceMaterials": [],
"status": "newAlert",
"title": "Atypical travel",
"vendorInformation": {
"provider": "IPC",
"providerVersion": null,
"subProvider": null,
"vendor": "Microsoft"
},
"alertDetections": [],
"cloudAppStates": [],
"fileStates": [],
"hostStates": [],
"historyStates": [],
"investigationSecurityStates": [],
"malwareStates": [],
"messageSecurityStates": [],
"networkConnections": [],
"processes": [],
"registryKeyStates": [],
"securityResources": [],
"triggers": [],
"userStates": [
{
"aadUserId": "b786d3cf-e97d-4511-b61c-0559e9f4da75",
"accountName": "example.user",
"domainName": "example.com",
"emailRole": "unknown",
"isVpn": null,
"logonDateTime": "2022-04-29T11:36:59.1520667Z",
"logonId": null,
"logonIp": "203.0.113.194",
"logonLocation": "1800 Amphibious Blvd, Mountain View, CA 94045",
"logonType": null,
"onPremisesSecurityIdentifier": null,
"riskScore": null,
"userAccountType": null,
"userPrincipalName": "example.user@example.com"
},
{
"aadUserId": "b786d3cf-e97d-4511-b61c-0559e9f4da75",
"accountName": "example.user",
"domainName": "example.com",
"emailRole": "unknown",
"isVpn": null,
"logonDateTime": "2022-04-29T11:15:00Z",
"logonId": null,
"logonIp": "192.0.2.160",
"logonLocation": "ES",
"logonType": null,
"onPremisesSecurityIdentifier": null,
"riskScore": null,
"userAccountType": null,
"userPrincipalName": "example.user@example.com"
}
],
"uriClickSecurityStates": [],
"vulnerabilityStates": []
}
輸出訊息
「列出快訊」動作可能會傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "List Alerts". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「列出快訊」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
alerts_details |
ALERT_DETAILS |
列出事件
使用「列出事件」動作,根據提供的條件列出 Microsoft Graph 的安全事件。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「列出事件」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Filter Key |
選用 指定用來篩選快訊的金鑰。注意:V2 API 不支援「Title」選項。 |
Filter Logic |
選用 要套用的篩選器邏輯。 篩選邏輯是根據 可能的值如下:
預設值為 |
Filter Value |
選用 篩選器中使用的值。 如果選取 如果選取 如果未設定值,系統就不會套用篩選器。 篩選邏輯是根據 |
Max Records To Return |
選用 每次動作執行要傳回的記錄數。 預設值為 50。 |
動作輸出內容
「列出事件」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
輸出訊息
「列出事件」動作可以傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "List Incidents". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「列出事件」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
乒乓
使用「Ping」動作測試與 Microsoft Graph 的連線。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
無
動作輸出內容
「Ping」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 指令碼結果 | 可用 |
指令碼結果
下表列出使用「Ping」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
更新警告內容
使用「更新快訊」動作更新可編輯的快訊屬性。
這項操作會對所有 Google SecOps 實體執行。
動作輸入內容
「更新快訊」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Alert ID |
必要
要更新的快訊 ID。 |
Assigned To |
選填
快訊指派給分析師的名稱,用於分類、調查或補救。 |
Closed Date Time |
選填
警告關閉的時間。Timestamp 型別會使用 ISO 8601 格式表示日期和時間資訊,且一律採用世界標準時間 (UTC)。舉例來說,2014 年 1 月 1 日世界標準時間午夜 12 點會顯示為「2014-01-01T00:00:00Z」。注意:API V2 版不支援這個參數。 |
Comments |
選填
分析師對快訊的評論 (供客戶管理快訊),以半形逗號分隔。這個方法只能使用下列值更新 comments 欄位:Closed in IPC、Closed in MCAS。注意:在 V2 版 API 中,這個參數會以字串形式運作,且系統會在快訊中新增單一註解。 |
Feedback |
選填
分析師對快訊的意見回饋。可能的值包括:unknown、truePositive、 falsePositive、benignPositive。注意:在 API V2 版中,這個參數會對應至「classification」,可能的值如下:unknown、falsePositive、truePositive、informationalExpectedActivity、unknownFutureValue。 |
Status |
選填
快訊生命週期狀態。 可能的值如下:
|
Tags |
選填
可套用至快訊的使用者定義標籤。以半形逗號分隔。 注意:API V2 版不支援這個參數。 |
動作輸出內容
「更新快訊」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 指令碼結果 | 可用 |
指令碼結果
下表列出使用「更新快訊」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_updated |
True或False |
連接器
如需在 Google SecOps 中設定連接器的詳細操作說明,請參閱「擷取資料 (連接器)」。
Microsoft Graph Security 連接器
使用 Microsoft Graph Security Connector,將 Microsoft Graph Security API 中發布的快訊,以 Google SecOps 快訊的形式擷取。連接器會定期連線至 Microsoft Graph 安全性端點,並提取特定期間產生的事件清單。
Microsoft Graph Security Connector 需要下列參數:
| 參數 | 說明 |
|---|---|
Product Field Name |
必要 儲存產品名稱的欄位名稱。 預設值為 |
Event Field Name |
必要 用於判斷事件名稱 (子類型) 的欄位名稱。 預設值為 |
Script Timeout (Seconds) |
必要 執行目前指令碼的 Python 程序逾時限制 (以秒為單位)。 預設值為 30 秒。 |
Environment Field Name |
選填
儲存環境名稱的欄位名稱。 如果找不到環境欄位,環境會設為 |
Pattern |
選填
要在 使用預設值 如果規則運算式模式為空值或空白,或環境值為空值,最終環境結果為 |
Client ID |
必要 要在整合中使用的 Microsoft Entra 應用程式用戶端 (應用程式) ID。 |
Client Secret |
選用 要在整合中使用的 Microsoft Entra 應用程式用戶端密鑰值。 |
Certificate Path |
選用 如果您使用憑證進行驗證,而非用戶端密鑰,請在 Google SecOps 伺服器上輸入憑證路徑。 |
Certificate Password |
選用 如果您使用的驗證憑證受到密碼保護,請指定密碼來開啟憑證檔案。 |
Azure Active Directory ID |
必要 Microsoft Entra ID (租戶 ID) 值。 |
Offset Time In Hours |
必要
要從現在起回溯幾小時來擷取快訊。 預設值為 120 小時。 |
Fetch Alerts only from |
選填
以半形逗號分隔的供應商清單,可從 Microsoft Graph 擷取快訊。 如果將「Fetch Alerts only from」(僅從以下來源擷取快訊) 參數設為 Office 365 Security and Compliance,連接器就不支援「Alert Statuses to fetch」(要擷取的快訊狀態) 或「Alert Severities to fetch」(要擷取的快訊嚴重程度) 參數中的多個值。如果啟用「使用 V2 API」,這項參數會與快訊的「serviceSource」屬性搭配運作。 |
Alert Statuses to fetch |
必要
以半形逗號分隔的警報狀態清單,供 Google SecOps 伺服器擷取。 可能的值如下: |
Alert Severities to fetch |
必要
以半形逗號分隔的警報嚴重程度清單,供 Google SecOps 伺服器擷取。 可能的值如下:
|
Max Alerts Per Cycle |
選填
單一連接器疊代中可處理的警報數量上限。 預設值為 50。 |
Proxy Server Address |
選用 要使用的 Proxy 伺服器位址。 |
Proxy Username |
選用 用於驗證的 Proxy 使用者名稱。 |
Proxy Password |
選用 用於驗證的 Proxy 密碼。 |
Use V2 API |
選用 啟用後,連接器會使用 V2 API 端點。 注意:快訊和事件的結構會有所變更。此外,「僅從以下來源擷取快訊」參數也需要提供不同的值。 |
連接器規則
連接器不支援動態清單或封鎖清單規則。
連接器支援 Proxy。
Microsoft Graph Office 365 安全與法規遵循連接器
使用 Microsoft Graph Office 365 Security and Compliance 連接器,透過 Microsoft Graph API 擷取 Office 365 Security and Compliance 快訊。
Microsoft Graph Office 365 Security and Compliance 連接器需要下列參數:
| 參數 | 說明 |
|---|---|
Product Field Name |
必要 儲存產品名稱的欄位名稱。 預設值為 |
Event Field Name |
必要 用於判斷事件名稱 (子類型) 的欄位名稱。 預設值為 |
Script Timeout (Seconds) |
必要 執行目前指令碼的 Python 程序逾時限制 (以秒為單位)。 預設值為 30 秒。 |
Environment Field Name |
選填
儲存環境名稱的欄位名稱。 如果找不到環境欄位,環境會設為 |
Environment Regex Pattern |
選填
要在 使用預設值 如果規則運算式模式為空值或空白,或環境值為空值,最終環境結果為 |
Client ID |
必要 要在整合中使用的 Microsoft Entra 應用程式用戶端 (應用程式) ID。 |
Client Secret |
選用 要在整合中使用的 Microsoft Entra 應用程式用戶端密鑰值。 |
Certificate Path |
選用 如果您使用憑證進行驗證,而非用戶端密鑰,請在 Google SecOps 伺服器上輸入憑證路徑。 |
Certificate Password |
選用 如果您使用的驗證憑證受到密碼保護,請指定密碼來開啟憑證檔案。 |
Azure Active Directory ID |
必要 Microsoft Entra ID (租戶 ID) 值。 |
Verify SSL |
選用 如果選取這個選項,整合功能會驗證連線至 Microsoft Graph 伺服器的 SSL 憑證是否有效。 (此為預設選項)。 |
Offset Time In Hours |
必要
擷取快訊的時間範圍 (以小時為單位)。 預設值為 120 小時。 |
Alert Statuses to fetch |
選填
以半形逗號分隔的警報狀態清單,供 Google SecOps 伺服器擷取。 可能的值如下: |
Alert Severities to fetch |
選填
以半形逗號分隔的警報嚴重程度清單,供 Google SecOps 伺服器擷取。 可能的值如下:
|
Max Alerts Per Cycle |
必要
單一連接器疊代中可處理的警報數量上限。 預設值為 50。 |
Proxy Server Address |
選用 要使用的 Proxy 伺服器位址。 |
Proxy Username |
選用 用於驗證的 Proxy 使用者名稱。 |
Proxy Password |
選用 用於驗證的 Proxy 密碼。 |
連接器規則
連接器不支援動態清單或封鎖清單規則。
連接器支援 Proxy。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。