Office 365 Cloud App Security
Versión de integración: 19.0
Casos prácticos
- Monitorizar alertas del entorno de Office 365
- Usa los datos de Cloud App Security para investigar incidentes de seguridad.
Configurar Office 365 Cloud App Security para que funcione con Google Security Operations
Para hacer solicitudes a la API, debes poder autenticarte con un token de la API Cloud App Security. Este token se incluirá en el encabezado cuando Cloud App Security haga solicitudes a la API.
Para obtener tu token de API de seguridad, inicia sesión en el portal de Microsoft Cloud App Security.
En el menú Configuración, selecciona Extensiones de seguridad y, a continuación, Tokens de API.
Haga clic en el botón más para generar un token y asigne un nombre para identificarlo en el futuro. Haz clic en Siguiente.
Después de generar un nuevo token, se te proporcionará una nueva URL que podrás usar para acceder al portal de Cloud App Security.
Configurar la integración de Office 365 Cloud App Security en Google SecOps
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre de la instancia | Cadena | N/A | No | Nombre de la instancia para la que quiere configurar la integración. |
| Descripción | Cadena | N/A | No | Descripción de la instancia. |
| URL del portal de Cloud App Security | Cadena | N/A | Sí | Dirección URL del portal de Cloud App Security. |
| Token de la API de Cloud App Security | Cadena | N/A | Sí | Parámetro para especificar el token de la API Cloud App Security para conectarse a la API. Para obtener más información, consulta Tokens de API: https://go.microsoft.com/fwlink/?linkid=851419. |
| Ejecutar de forma remota | Casilla | Desmarcada | No | Marca el campo para ejecutar la integración configurada de forma remota. Una vez marcada, aparece la opción para seleccionar al usuario remoto (agente). |
Acciones
Resolver alertas en bloque
Descripción
Esta acción se usa para resolver una o varias alertas una vez que se han investigado y se ha mitigado el riesgo.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de alerta | Cadena | N/A | Sí | Identificador único de alerta. Puede aceptar varios IDs separados por comas. |
| Comentario | Cadena | Resuelto | No | Un comentario para explicar por qué se han resuelto las alertas. |
Casos prácticos
Office 365 Cloud App Security genera una alerta sobre un viaje imposible. El usuario investiga la alerta y no puede identificar al usuario que ha iniciado sesión desde una ubicación desconocida. El usuario decide suspender al usuario que se ha utilizado para iniciar sesión hasta nuevo aviso. Por lo tanto, el usuario procede a resolver la alerta.
Pasos en Google SecOps:
- El conector ingiere la alerta en el sistema.
- El usuario abre la alerta y, tras una investigación, no puede confirmar los nombres de usuario de los usuarios implicados ni las ubicaciones desde las que inician sesión.
- El usuario no está satisfecho con la identidad del usuario y la ubicación de inicio de sesión, por lo que suspende al usuario y marca la alerta como resuelta.
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Si se completa correctamente: 'Las siguientes alertas se han resuelto correctamente:{Alert IDs}
Si hay errores: "Se han producido algunos errores. Consulta el registro". Si no se resuelve: "No se ha resuelto ninguna alerta" |
General |
Cerrar alerta
Descripción
La acción se usa para descartar una alerta de seguridad de aplicaciones en la nube que no se considera interesante o relevante.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de alerta | Cadena | N/A | Sí | Identificador único de alerta. El parámetro toma un solo ID de alerta. |
| Comentario | Cadena | N/A | No | Un comentario para explicar por qué se ha descartado una alerta. |
Casos prácticos
Dos usuarios diferentes inician sesión en Office 365 Cloud App Security con la misma cuenta desde dos países diferentes. Como resultado, el sistema genera una alerta de que se ha producido un viaje imposible. Sin embargo, estos dos usuarios ya se conocen y se han confirmado, por lo que la alerta no es relevante. Por lo tanto, se ha cerrado la alerta.
Pasos en Google SecOps:
- El conector ingiere la alerta en el sistema.
- El usuario abre la alerta e investiga para confirmar los nombres de usuario de los usuarios implicados y las ubicaciones desde las que inician sesión.
- El usuario está conforme con su identidad y ubicación, por lo que cierra la alerta.
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Si se completa correctamente: "La siguiente alerta se ha cerrado correctamente:{Alert ID} Si hay errores: "Se han producido algunos errores. Consulta el registro". Si no se resuelve: "No se ha descartado ninguna alerta" |
General |
Get IP Related Activities
Descripción
La acción se usa para ver las actividades relacionadas con una IP.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Límite de visualización de la actividad | Cadena | 10 | No | Límite del número de actividades que se pueden mostrar. |
| Nombre del producto | Cadena | TODO | No | Lista de productos en la que el usuario puede seleccionar una aplicación conectada a la seguridad de aplicaciones en la nube para obtener las actividades relacionadas con la IP de una aplicación específica. El nombre del producto se debe convertir o asignar al código de producto en los filtros de acción. Por ejemplo, si se selecciona Office 365, debe convertirse en 11161. |
| Periodo | Cadena | 24 | Sí | Especifica el valor para obtener el número de actividades que se han producido según el valor especificado de hace horas. |
Casos prácticos
El sistema genera una alerta sobre una "actividad de un país poco frecuente". La dirección IP implicada en la actividad se indica en la alerta y el usuario quiere comprobar más actividad relacionada con esta IP para ayudar en la investigación.
Pasos en Google SecOps:
- El sistema recibe una alerta.
- A partir del evento de alerta, el usuario obtiene más información de los datos del evento y decide investigar la dirección IP utilizada.
- El usuario busca el enriquecimiento de IP para comprobar las actividades anteriores en las que ha participado.
Fecha de ejecución
Esta acción se ejecuta en la entidad Dirección IP.
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo se aplica |
|---|---|
| uid | Devuelve si existe en el resultado JSON. |
| eventRouting | Devuelve si existe en el resultado JSON. |
| appName | Devuelve si existe en el resultado JSON. |
| eventType | Devuelve si existe en el resultado JSON. |
| Internos | Devuelve si existe en el resultado JSON. |
| aadTenantId | Devuelve si existe en el resultado JSON. |
| sesión | Devuelve si existe en el resultado JSON. |
| createdRaw | Devuelve si existe en el resultado JSON. |
| userAgent | Devuelve si existe en el resultado JSON. |
| resolvedActor | Devuelve si existe en el resultado JSON. |
| description | Devuelve si existe en el resultado JSON. |
| instanciación | Devuelve si existe en el resultado JSON. |
| gravedad | Devuelve si existe en el resultado JSON. |
| saasId | Devuelve si existe en el resultado JSON. |
| ubicación | Devuelve si existe en el resultado JSON. |
| timestampRaw | Devuelve si existe en el resultado JSON. |
| eventTypeValue | Devuelve si existe en el resultado JSON. |
| description_id | Devuelve si existe en el resultado JSON. |
| timestamp | Devuelve si existe en el resultado JSON. |
| eventTypeName | Devuelve si existe en el resultado JSON. |
| usuario | Devuelve si existe en el resultado JSON. |
| appId | Devuelve si existe en el resultado JSON. |
| dispositivo | Devuelve si existe en el resultado JSON. |
| description_metadata | Devuelve si existe en el resultado JSON. |
| clasificaciones | Devuelve si existe en el resultado JSON. |
| creado | Devuelve si existe en el resultado JSON. |
| entityData | Devuelve si existe en el resultado JSON. |
| tenantId | Devuelve si existe en el resultado JSON. |
| instantiationRaw | Devuelve si existe en el resultado JSON. |
| confidenceLevel | Devuelve si existe en el resultado JSON. |
| mainInfo | Devuelve si existe en el resultado JSON. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"EntityResult": [
{
"uid": "88814735_1574155880562_520d653579254156823c4f21fe09a522",
"eventRouting":
{
"auditing": true
},
"appName": "Microsoft Cloud App Security",
"eventType": 917504,
"internals":
{
"otherIPs": ["8.8.8.8"]
},
"aadTenantId": "d48f52ca-5b1a-4708-8ed0-ebb98a26a46a",
"session":
{
"sessionId": "ad0bd5e207f2aaa97e7438ec2f6086310e2577842e711cb2a101b724d83ddd83"
},
"createdRaw": 1574156346552,
"userAgent":
{
"major": "78",
"family": "CHROME",
"nativeBrowser": false,
"os": "mac_os",
"typeName": "Browser",
"version": "78.0.3904.97",
"deviceType": "DESKTOP",
"browser": "CHROME",
"type": "Browser",
"operatingSystem":
{
"name": "OS X",
"family": "Mac OS"
},
"minor": "0",
"name": "Chrome"
},
"resolvedActor":
{
"resolved": true,
"name": "User Name - Test User Spec",
"tags": ["5da46fb69eb3f06b037b409a"],
"instanceId": "0",
"saasId": "11161",
"role": "4",
"objType": "23",
"id": "8ef1de18-71c0-4a88-88da-019c1fbf1308"
},
"description": "Log on",
"instantiation": 1574156346470,
"severity": "INFO",
"saasId": 20595,
"location":
{
"category": 0,
"city": "SomeCity",
"countryCode": "AM",
"region": "SomeCity",
"longitude": 11.1111,
"anonymousProxy": false,
"regionCode": "ER",
"isSatelliteProvider": false,
"latitude": 11.1111,
"categoryValue": "NONE",
"organizationSearchable": "GNC-Alfa CJSC"
},
"timestampRaw": 1574155880562,
"eventTypeValue": "EVENT_ADALLOM_LOGIN",
"description_id": "EVENT_DESCRIPTION_LOGIN",
"timestamp": 1574155880562,
"eventTypeName": "EVENT_CATEGORY_LOGIN",
"user":
{
"userName": "SomeCity",
"userTags": ["5da46fb69eb3f06b037b409a"]
},
"appId": 20595,
"device":
{
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.97 Safari/537.36",
"clientIP": "8.8.8.8",
"countryCode\": "AM"
},
"description_metadata":
{
"dash": " ",
"colon": " ",
"event_category": "Log on"
},
"classifications": ["access"],
"created": 1574156346552,
"entityData":
{
"1": null,
"0":
{
"resolved": true,
"displayName": "User Name - Test User Spec",
"id":
{
"saas": 11161, "inst": 0,
"id": "SomeCity"
}},
"2":
{
"resolved": true,
"displayName": "User Name - Test User Spec",
"id":
{
"saas": 11161,
"inst": 0,
"id": "8ef1de18-71c0-4a88-88da-019c1fbf1308"
}}},
"tenantId": 88814735,
"instantiationRaw": 1574156346470,
"confidenceLevel": 30,
"mainInfo":
{
"eventObjects": [
{
"resolved": true,
"name": "User Name - Test User Spec",
"tags": [],
"instanceId": 0,
"saasId": 11161,
"role": 4,
"objType": 21,
"link": -407163459,
"id": "SomeCity"
}, {
"resolved": true,
"name": "User Name - Test User Spec",
"tags": ["5da46fb69eb3f06b037b409a"],
"instanceId": 0,
"saasId": 11161,
"role": 4,
"objType": 23,
"link": -407163459,
"id": "8ef1de18-71c0-4a88-88da-019c1fbf1308"
}],
"rawOperationName": "login",
"activityResult":
{
"isSuccess": true
},
"type": "login",
"prettyOperationName": "login"
},
"_id": "88814735_1574155880562_520d653579254156823c4f21fe09a522",
"genericEventType": "ENUM_ACTIVITY_GENERIC_TYPE_LOGIN"
}],
"Entity": "7.7.7.7"
}
]
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Si se completa correctamente: "Se han obtenido las actividades relacionadas con el usuario {username}"
Si hay errores: "Se han producido algunos errores. Consulta el registro". Si no se resuelve: "No se ha encontrado ninguna actividad relacionada con la alerta" |
General |
| Tabla | Columnas: Actividad, Usuario, Ubicación, Dirección IP, Dispositivo y Fecha | General |
Obtener actividades relacionadas con el usuario
Descripción
Esta acción se usa para ver las actividades relacionadas con un usuario. El nombre de usuario del usuario se utiliza en esta acción.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Límite de visualización de la actividad | Cadena | 10 | No | Límite del número de actividades que se pueden mostrar. |
| Periodo | Cadena | 24 | Sí | Especifica el valor para obtener el número de actividades que se han producido según el valor especificado de hace horas. |
| Nombre del producto | Cadena | TODO | No | Lista de productos en la que el usuario puede seleccionar una aplicación conectada a Cloud App Security para obtener las actividades relacionadas con el usuario de una aplicación específica. El nombre del producto se debe convertir o asignar al código de producto en los filtros de acción. Por ejemplo, si se selecciona Office 365, se debe convertir en 11161. |
Casos prácticos
El sistema genera una alerta sobre una "actividad de un país poco frecuente". Se ha registrado el nombre de usuario en cuestión y el usuario quiere consultar más actividad relacionada con él para ayudar en la investigación.
Pasos en Google SecOps:
- El sistema recibe una alerta.
- A partir del evento de alerta, el usuario obtiene más enriquecimientos con el nombre de usuario, lo que le ayudará a investigar la actividad anómala.
- El usuario busca información sobre el enriquecimiento de usuarios en términos de actividades anteriores en las que ha participado.
Fecha de ejecución
Esta acción se ejecuta en la entidad User.
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo se aplica |
|---|---|
| uid | Devuelve si existe en el resultado JSON. |
| eventRouting | Devuelve si existe en el resultado JSON. |
| appName | Devuelve si existe en el resultado JSON. |
| eventType | Devuelve si existe en el resultado JSON. |
| Internos | Devuelve si existe en el resultado JSON. |
| aadTenantId | Devuelve si existe en el resultado JSON. |
| sesión | Devuelve si existe en el resultado JSON. |
| createdRaw | Devuelve si existe en el resultado JSON. |
| userAgent | Devuelve si existe en el resultado JSON. |
| resolvedActor | Devuelve si existe en el resultado JSON. |
| description | Devuelve si existe en el resultado JSON. |
| instanciación | Devuelve si existe en el resultado JSON. |
| gravedad | Devuelve si existe en el resultado JSON. |
| saasId | Devuelve si existe en el resultado JSON. |
| ubicación | Devuelve si existe en el resultado JSON. |
| timestampRaw | Devuelve si existe en el resultado JSON. |
| eventTypeValue | Devuelve si existe en el resultado JSON. |
| description_id | Devuelve si existe en el resultado JSON. |
| timestamp | Devuelve si existe en el resultado JSON. |
| eventTypeName | Devuelve si existe en el resultado JSON. |
| usuario | Devuelve si existe en el resultado JSON. |
| appId | Devuelve si existe en el resultado JSON. |
| dispositivo | Devuelve si existe en el resultado JSON. |
| description_metadata | Devuelve si existe en el resultado JSON. |
| clasificaciones | Devuelve si existe en el resultado JSON. |
| creado | Devuelve si existe en el resultado JSON. |
| entityData | Devuelve si existe en el resultado JSON. |
| tenantId | Devuelve si existe en el resultado JSON. |
| instantiationRaw | Devuelve si existe en el resultado JSON. |
| confidenceLevel | Devuelve si existe en el resultado JSON. |
| mainInfo | Devuelve si existe en el resultado JSON. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"EntityResult": [
{
"uid": "88814735_1574244328290_714fdcea1316483e88072f0f2a068ec7",
"eventRouting":
{
"auditing": true,
"adminEvent": true
},
"appName": "Microsoft Cloud App Security",
"eventType": 917544,
"internals":
{
"otherIPs": ["8.8.8.8"]
},
"aadTenantId": "d48f52ca-5b1a-4708-8ed0-ebb98a26a46a",
"session":
{
"sessionId": "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855"
},
"createdRaw": 1574244328339,
"userAgent":
{
"nativeBrowser": false,
"family": "UNKNOWN",
"os": "OTHER",
"typeName": "Unknown",
"deviceType": "OTHER",
"browser": "UNKNOWN",
"type": "Unknown",
"operatingSystem":
{
"name": "Unknown",
"family": "Unknown"
},
"name": "Unknown"
},
"resolvedActor":
{
"resolved": true,
"name": "User Name - Test User Spec",
"tags": ["5da46fb69eb3f06b037b409a"],
"instanceId": "0",
"saasId": "11161",
"role": "4",
"objType": "23",
"id": "8ef1de18-71c0-4a88-88da-019c1fbf1308"
},
"description": "Dismiss alert <b>Impossible travel activity</b>",
"instantiation": 1574244328322,
"severity": "INFO",
"saasId": 20595,
"location":
{
"category": 0,
"countryCode": "CY",
"longitude": 33.0,
"anonymousProxy": false,
"isSatelliteProvider": false,
"latitude": 11.0,
"categoryValue": "NONE",
"organizationSearchable": "SomeOrganization Ltd."
},
"adallom":
{
"alertSeverityValue": 1,
"count": 1,
"sendFeedback": false,
"feedback": " ",
"alertDate": "2019-11-13T14:29:06.0520000Z",
"title": "Impossible travel activity",
"alertTypeId": 15859716,
"handledByUser": "some@address2.email",
"alertSeverity": 1,
"alertBulk": false,
"alertMongoId": "5dcc13ab47654055292459d7",
"alertTitle": "Impossible travel activity",
"contact_email": " ",
"allowContact": false,
"licenses": ["AdallomDiscovery",
"AdallomStandalone",
"AdallomForO365",
"AdallomForAATP"],
"isBulkDismissed": false,
"dismissId": "5dd50fe869d303b914d188ca",
"alertTimestamp": 1573655346052,
"alertUid": "VelocityDetection|88814735_11161_0_8ef1de18-71c0-4a88-88da-019c1fbf1308|[2019-11-13]_[(SK,US)]",
"alertScore": "32",
"alertActor": "11161|0|8ef1de18-71c0-4a88-88da-019c1fbf1308"
},
"timestampRaw": 1574244328290,
"eventTypeValue": "EVENT_ADALLOM_ALERT_DISMISSED",
"tags": ["000000110000000000000000"],
"description_id": "EVENT_ADALLOM_ALERT_DISMISSED",
"timestamp": 1574244328290,
"eventTypeName": "EVENT_CATEGORY_DISMISS_ALERT",
"user":
{
"userName": "some@address2.email",
"userTags": ["5da46fb69eb3f06b037b409a"]
},
"appId": 20595,
"device":
{
"userAgent": "unknown",
"clientIP": "8.8.8.8",
"countryCode": "CY"
},
"description_metadata":
{
"adallom_title": "Impossible travel activity"
},
"classifications": [],
"created": 1574244328339,
"entityData":
{
"1": null,
"0":
{
"resolved": true,
"displayName": "User Name - Test User Spec",
"id":
{
"saas": 11161,
"inst": 0,
"id": "some@address2.email"
}},
"2":
{
"resolved": true,
"displayName": "User Name - Test User Spec",
"id":
{
"saas": 11161,
"inst": 0,
"id": "8ef1de18-71c0-4a88-88da-019c1fbf1308"
}}},
"tenantId": 88814735,
"instantiationRaw": 1574244328322,
"mainInfo":
{
"eventObjects": [
{
"resolved": true,
"name": "User Name - Test User Spec",
"tags": [],
"instanceId": 0,
"saasId": 11161,
"role": 4,
"objType": 21,
"link": -407163459,
"id": "some@address2.email"
}, {
"resolved": true,
"name": "User Name - Test User Spec",
"tags": ["5da46fb69eb3f06b037b409a"],
"instanceId": 0,
"saasId": 11161,
"role": 4,
"objType": 23,
"link": -407163459,
"id": "8ef1de18-71c0-4a88-88da-019c1fbf1308"
}],
"type": "unknown"
},
"_id": "88814735_1574244328290_714fdcea1316483e88072f0f2a068ec7",
"genericEventType": "ENUM_ACTIVITY_GENERIC_TYPE_UNKNOWN"
},
"Entity": "some@email.address"
}
]
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Si se completa correctamente: Se han obtenido las actividades relacionadas con la alerta de la siguiente IP:{ip}'
Si hay errores: "Se han producido algunos errores. Consulta el registro". Si no se resuelve: "No se ha encontrado ninguna actividad relacionada con la alerta" |
General |
| Tabla | Columnas: Actividad, Usuario, Ubicación, Dirección IP, Dispositivo y Fecha | General |
Ping
Descripción
La acción se usa para probar la conectividad.
Parámetros
N/A
Casos prácticos
El usuario cambia las configuraciones del sistema y quiere comprobar si la conectividad con las nuevas configuraciones se establece correctamente.
Pasos en Google SecOps:
- Modificar las configuraciones del sistema.
- Prueba la conectividad.
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultados de JSON
N/A
Cerrar alerta
Descripción
Cierra la alerta en Microsoft Cloud App Security.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de alerta | Cadena | N/A | Sí | Especifica el ID de la alerta que se debe cerrar y marcar como benigna. |
| Comentario | Cadena | N/A | No | Especifica un comentario sobre por qué se cierran las alertas y se marcan como benignas. |
| Estado | DDL | Positivo verdadero Valores posibles: Benigno Falso positivo Positivo verdadero |
Sí | Especifica el estado de la alerta. |
| Motivo | DDL | Sin motivo Valores posibles: Sin motivo La gravedad real es inferior Otro Confirmado con el usuario final Activado por prueba No me interesa Demasiadas alertas similares La alerta no es precisa |
No | Especifica el motivo por el que se debe cerrar la alerta. Nota: Este parámetro no tiene ningún efecto si el estado es "Verdadero positivo". |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
Mensaje de salida* |
La acción no debe fallar ni detener la ejecución de un runbook: Si closed_benign/close_false_positive/close_true_positive == 0: "Error al ejecutar la acción "{}". Motivo: no se ha encontrado la alerta con el ID {alert ID} en Microsoft Cloud App Security" Si el motivo del estado "Benigno" es incorrecto: "Error al ejecutar la acción "{}". Motivo: se ha seleccionado un valor no válido en el parámetro "Motivo" del estado "Benigno". Valores válidos: No Reason, Actual Severity Is Lower, Other, Confirmed With End User, Triggered By Test." Si el motivo del estado "Falso positivo" es incorrecto: "Error al ejecutar la acción "{}". Motivo: se ha seleccionado un valor no válido en el parámetro "Motivo" del estado "Falso positivo". Valores válidos: "No Reason" (Sin motivo), "Not Of Interest" (No me interesa), "Too Many Similar Alerts" (Demasiadas alertas similares), "Alert Is Not Accurate" (La alerta no es precisa) y "Other" (Otro)." |
General |
Enriquecer entidades
Descripción
Enriquece las entidades con información de Microsoft Cloud App Security. Entidades admitidas: nombre de usuario.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en la entidad Username.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"type": 2,
"status": 2,
"displayName": "Aviel",
"id": "2600d017-84a1-444f-94ba-4bebed30b09e",
"_id": "5ea18b77c84b3e8dd20ead9b",
"userGroups": [
{
"_id": "5da46fb69eb3f06b037b409b",
"id": "5da46fb69eb3f06b037b409a",
"name": "Office 365 administrator",
"description": "Company administrators, user account administrators, helpdesk administrators, service support administrators, and billing administrators",
"usersCount": 20,
"appId": 11161
}
],
"identifiers": [],
"sid": null,
"appData": {
"appId": 11161,
"name": "Office 365",
"saas": 11161,
"instance": 0
},
"isAdmin": true,
"isExternal": false,
"email": "john.doe@siemplifycyarx.onmicrosoft.com",
"role": "Global Administrator",
"organization": null,
"domain": "siemplifycyarx.onmicrosoft.com",
"scoreTrends": {
"20220609": {}
},
"subApps": [],
"threatScore": 0,
"idType": 1,
"isFake": false,
"ii": "11161|0|2600d017-84a1-444f-94ba-4bebed30b09e",
"actions": [
{
"task_name": "ConfirmUserCompromisedTask",
"display_title": "TASKS_ADALIBPY_CONFIRM_USER_COMPROMISED_DISPLAY_TITLE",
"type": "user",
"governance_type": null,
"bulk_support": null,
"has_icon": true,
"display_description": {
"template": "TASKS_ADALIBPY_CONFIRM_USER_COMPROMISED_DISPLAY_DESCRIPTION_O365",
"parameters": {
"user": "john.doe@siemplifycyarx.onmicrosoft.com"
}
},
"bulk_display_description": "TASKS_ADALIBPY_CONFIRM_USER_COMPROMISED_BULK_DISPLAY_DESCRIPTION_O365",
"preview_only": false,
"display_alert_text": "TASKS_ADALIBPY_CONFIRM_USER_COMPROMISED_DISPLAY_ALERT_TEXT",
"display_alert_success_text": "TASKS_ADALIBPY_CONFIRM_USER_COMPROMISED_DISPLAY_ALERT_SUCCESS_TEXT",
"is_blocking": null,
"confirm_button_style": "red",
"optional_notify": null,
"uiGovernanceCategory": null,
"alert_display_title": null,
"confirmation_button_text": null,
"confirmation_link": null
}
],
"username": "{\"id\": \"2600d017-84a1-444f-94ba-4bebed30b09e\", \"saas\": 11161, \"inst\": 0}",
"sctime": 1655255102926,
"accounts": [
{
"_id": "fa-5ea18b77c84b3e8dd20ead9b-12260",
"i": "2600d017-84a1-444f-94ba-4bebed30b09e",
"ii": "11161|0|2600d017-84a1-444f-94ba-4bebed30b09e",
"inst": 0,
"saas": 12260,
"t": 1,
"dn": "Aviel",
"ext": false,
"s": 2,
"aliases": [
"2600d017-84a1-444f-94ba-4bebed30b09e",
"aviel",
"john.doe@siemplifycyarx.onmicrosoft.com",
"john.doe"
],
"isFake": true,
"pa": "john.doe@siemplifycyarx.onmicrosoft.com",
"em": "john.doe@siemplifycyarx.onmicrosoft.com",
"sublst": [],
"p": "11161|0|2600d017-84a1-444f-94ba-4bebed30b09e",
"appData": {
"appId": 12260,
"name": "Microsoft Azure"
},
"actions": []
}
],
"threatScoreHistory": [
{
"dateFormatted": "20220719",
"dateUtc": 1658238168000,
"score": 0,
"percentile": 0,
"breakdown": {}
}
]
}
Enriquecimiento de entidades: prefijo MCAS_
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar | |
|---|---|---|
| is_admin | isAdmin | Cuando esté disponible en JSON |
| is_external | isExternal | Cuando esté disponible en JSON |
| role | role | Cuando esté disponible en JSON |
| correo electrónico | correo electrónico | Cuando esté disponible en JSON |
| dominio | dominio | Cuando esté disponible en JSON |
| threat_score | threatScore | Cuando esté disponible en JSON |
| is_fake | isFake | Cuando esté disponible en JSON |
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si hay datos disponibles para una entidad (is_success=true): "Se han enriquecido correctamente las siguientes entidades con información de Microsoft Cloud App Security: {entity.identifier}". Si no hay datos disponibles para una entidad (is_success=true): "Action wasn't able to enrich the following entities using information from Microsoft Cloud App Security: {entity.identifier}" ("No se ha podido enriquecer la siguiente entidad con información de Microsoft Cloud App Security: {entity.identifier}"). Si los datos no están disponibles para todas las entidades (is_success=false): "None of the provided entities were enriched." ("Ninguna de las entidades proporcionadas se ha enriquecido"). La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Enrich Entities". Motivo: {0}''.format(error.Stacktrace) |
General |
| Tabla del panel de casos | Nombre de la tabla: {entity.identifier} Columnas de tabla:
|
Entidad |
Crear intervalo de direcciones IP
Descripción
Crea un intervalo de direcciones IP en Microsoft Cloud App Security.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre | Cadena | N/A | Sí | Especifica el nombre del intervalo de direcciones IP. |
| Categoría | DDL | Corporativa Valores posibles:
|
Sí | Especifica la categoría del intervalo de direcciones IP. |
| Organización | Cadena | N/A | No | Especifica la organización del intervalo de direcciones IP. |
| Subredes | CSV | N/A | Sí | Especifica una lista de subredes separada por comas para el intervalo de direcciones IP. |
| Etiquetas | CSV | N/A | No | Especifica una lista de etiquetas separadas por comas para el intervalo de direcciones IP. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"_id": "62d684ac92adb26e3a84dd52",
"name": "range name",
"subnets": [
{
"mask": 120,
"address": "0000:0000:0000:0000:0000:ffff:c0a8:0100",
"originalString": "192.168.1.0/24"
},
{
"mask": 112,
"address": "0000:0000:0000:0000:0000:ffff:c0a8:0000",
"originalString": "192.168.2.0/16"
}
],
"location": null,
"organization": "Microsoft",
"tags": [
{
"_id": "62d684ac6025f11b4b3a4a3b",
"_tid": 88814735,
"name": "existing tag",
"target": 1,
"type": 0,
"id": "62d684ac92adb26e3a84dd51",
"status": 0
}
],
"category": 5,
"lastModified": 1658225836921.4104,
"_tid": 88814735
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se devuelve el código de estado 200 (is_success=true): "Se ha creado correctamente un intervalo de direcciones IP en Microsoft Cloud App Security ". La acción debería fallar y detener la ejecución de la guía: Si se informa de un error crítico: "Error al ejecutar la acción "{}". Motivo: " {0}".format(exception.stacktrace) Si se informa de un error en la respuesta: "Error al ejecutar la acción "{}". Motivo: " {0}".format(csv de errores/error) |
General |
Añadir IP al intervalo de direcciones IP
Descripción
Añadir una dirección IP a un intervalo de direcciones IP en Microsoft Cloud App Security. Entidades admitidas: dirección IP.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre | Cadena | N/A | Sí | Especifica el nombre del intervalo de direcciones IP que quieras actualizar. |
Fecha de ejecución
Esta acción se ejecuta en la entidad Dirección IP.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"_id": "62d684ac92adb26e3a84dd52",
"name": "range name",
"subnets": [
{
"mask": 120,
"address": "0000:0000:0000:0000:0000:ffff:c0a8:0100",
"originalString": "192.168.1.0/24"
},
{
"mask": 112,
"address": "0000:0000:0000:0000:0000:ffff:c0a8:0000",
"originalString": "192.168.2.0/16"
}
],
"location": null,
"organization": "Microsoft",
"tags": [
{
"_id": "62d684ac6025f11b4b3a4a3b",
"_tid": 88814735,
"name": "existing tag",
"target": 1,
"type": 0,
"id": "62d684ac92adb26e3a84dd51",
"status": 0
}
],
"category": 5,
"lastModified": 1658225836921.4104,
"_tid": 88814735
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se ha completado correctamente para una entidad (is_success=true): "Se han añadido correctamente las siguientes IPs al intervalo de direcciones IP {name} en Microsoft Cloud App Security: {entity.identifier}". Si no se resuelve correctamente para una entidad (is_success=true): "Action wasn't able to add the following IPs to the {name} IP Address Range in Microsoft Cloud App Security: {entity.identifier}" ("No se ha podido añadir las siguientes IPs al intervalo de direcciones IP {name} en Microsoft Cloud App Security: {entity.identifier}"). Si la dirección IP ya existe (is_success=true): "Las siguientes IPs ya forman parte del intervalo de direcciones IP {name} en Microsoft Cloud App Security: {entity.identifier}". Si no se añade ninguna IP (is_success=false): print "None of the IPs were added to the IP Address Range in Microsoft Cloud App Security." La acción debería fallar y detener la ejecución de la guía: Si se informa de un error crítico: "Error al ejecutar la acción "{}". Motivo: " {0}".format(exception.stacktrace) Si no se encuentra el intervalo de direcciones IP: "Error al ejecutar la acción "{}". Motivo: no se ha encontrado el intervalo de direcciones IP {name} en Microsoft Cloud App Security. Comprueba la ortografía". {0}".format(exception.stacktrace) |
General |
Eliminar IP de intervalo de direcciones IP
Descripción
Quitar una dirección IP de un intervalo de direcciones IP en Microsoft Cloud App Security. Entidades admitidas: dirección IP.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre | Cadena | N/A | Sí | Especifica el nombre del intervalo de direcciones IP que quieras actualizar. |
Fecha de ejecución
Esta acción se ejecuta en la entidad Dirección IP.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"_id": "62d684ac92adb26e3a84dd52",
"name": "range name",
"subnets": [
{
"mask": 120,
"address": "0000:0000:0000:0000:0000:ffff:c0a8:0100",
"originalString": "192.168.1.0/24"
},
{
"mask": 112,
"address": "0000:0000:0000:0000:0000:ffff:c0a8:0000",
"originalString": "192.168.2.0/16"
}
],
"location": null,
"organization": "Microsoft",
"tags": [
{
"_id": "62d684ac6025f11b4b3a4a3b",
"_tid": 88814735,
"name": "existing tag",
"target": 1,
"type": 0,
"id": "62d684ac92adb26e3a84dd51",
"status": 0
}
],
"category": 5,
"lastModified": 1658225836921.4104,
"_tid": 88814735
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se ha completado correctamente para una entidad (is_success=true): "Se han quitado correctamente las siguientes IPs del intervalo de direcciones IP {name} en Microsoft Cloud App Security: {entity.identifier}". Si no se resuelve correctamente para una entidad (is_success=true): "La acción no ha podido encontrar ni eliminar las siguientes IPs del intervalo de direcciones IP {name} en Microsoft Cloud App Security: {entity.identifier}". Si no se resuelve correctamente para todas las entidades (is_success=true): "No se ha encontrado ni eliminado ninguna IP en Microsoft Cloud App Security". La acción debería fallar y detener la ejecución de la guía: Si se informa de un error crítico: "Error al ejecutar la acción "{}". Motivo: " {0}".format(exception.stacktrace) Si no se encuentra el intervalo de direcciones: "Error al ejecutar la acción "{}". Motivo: no se ha encontrado el intervalo de direcciones IP {name} en Microsoft Cloud App Security. Comprueba la ortografía". {0}".format(exception.stacktrace) |
General |
Mostrar archivos
Descripción
Lista los archivos disponibles en Microsoft Cloud App Security.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Teclas de filtro | DDL | Selecciona una opción. Valores posibles:
|
No | Especifica la clave que se debe usar para filtrar archivos. Valores posibles de "Tipo de archivo": Otro, Documento, Hoja de cálculo, Presentación, Texto, Imagen y Carpeta. Valores posibles de "Estado de uso compartido": Público (Internet), Público, Externo, Interno y Privado. |
| Lógica de filtro | DDL | Sin especificar Valores posibles:
|
No | Especifica la lógica del filtro que se debe aplicar. La lógica de filtrado se basa en el valor proporcionado en el parámetro "Clave de filtro". Nota: Solo las claves de filtro "Nombre de archivo" e "ID" funcionan con la lógica "Contiene". |
| Valor de filtro | Cadena | N/A | No | Especifica el valor que se debe usar en el filtro. Si se selecciona "Igual", la acción intentará encontrar la coincidencia exacta entre los resultados. Si se selecciona "Contiene", la acción intenta encontrar resultados que contengan esa subcadena. Si no se proporciona nada en este parámetro, el filtro no se aplica. La lógica de filtrado se basa en el valor proporcionado en el parámetro "Clave de filtro". |
| Número máximo de registros que se devolverán | Entero | 50 | No | Especifica el número de registros que se deben devolver. Si no se proporciona nada, la acción devuelve 50 registros. Nota: En el caso de la lógica de "contiene", el conector solo tiene en cuenta 1000 resultados para buscar coincidencias. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"_id": "62cffdf1c0ff22b978334963",
"_tid": 88814735,
"appId": 15600,
"id": "c58ea974-5511-4cf3-b12b-e1e0cabce8a0|187525f2-5280-4076-adc7-c85311daed1a",
"alternateLink": "https://siemplifycyarx-my.sharepoint.com/personal/james_bond_siemplifycyarx_onmicrosoft_com/Documents/Malvertisement-master",
"collaborators": [],
"createdDate": 1657797767000,
"domains": [
"siemplifycyarx.onmicrosoft.com"
],
"driveId": "c58ea974-5511-4cf3-b12b-e1e0cabce8a0|eca285b0-1cc1-49e5-a178-7a77507cbdea",
"effectiveParents": [
"c58ea974-5511-4cf3-b12b-e1e0cabce8a0|862dfe31-b358-4e27-9660-52ed97fb4955",
"c58ea974-5511-4cf3-b12b-e1e0cabce8a0|eca285b0-1cc1-49e5-a178-7a77507cbdea"
],
"emails": [
"james.bond@siemplifycyarx.onmicrosoft.com"
],
"externalShares": [],
"facl": 0,
"fileAccessLevel": [
0,
"PRIVATE"
],
"filePath": "/personal/james_bond_siemplifycyarx_onmicrosoft_com/Documents/Malvertisement-master",
"fileSize": null,
"fileStatus": [
0,
"EXISTS"
],
"fstat": 0,
"graphId": "016XQ77WHSEV2RRACSOZAK3R6IKMI5V3I2",
"groupIds": [],
"groups": [],
"instId": 0,
"isFolder": true,
"isForeign": false,
"listId": "374dcd9b-dcff-46c6-b927-ad5411695361",
"modifiedDate": 1657797768000,
"name": "Malvertisement-master",
"noGovernance": false,
"ownerAddress": "james.bond@siemplifycyarx.onmicrosoft.com",
"ownerExternal": false,
"ownerName": "ג'יימס בונד",
"parentId": "c58ea974-5511-4cf3-b12b-e1e0cabce8a0|862dfe31-b358-4e27-9660-52ed97fb4955",
"parentIds": [
"c58ea974-5511-4cf3-b12b-e1e0cabce8a0|862dfe31-b358-4e27-9660-52ed97fb4955"
],
"saasId": 15600,
"scanVersion": 4,
"sharepointItem": {
"UniqueId": "187525f2-5280-4076-adc7-c85311daed1a",
"hasUniqueRoleAssignments": false,
"Author": {
"name": "ג'יימס בונד",
"idInSiteCollection": "4",
"sipAddress": "james.bond@siemplifycyarx.onmicrosoft.com",
"sourceBitmask": 0,
"trueEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"externalUser": false,
"oneDriveEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"LoginName": "i:0#.f|membership|james.bond@siemplifycyarx.onmicrosoft.com",
"Email": "james.bond@siemplifycyarx.onmicrosoft.com",
"Title": "ג'יימס בונד"
}
},
"siteCollection": "/personal/james_bond_siemplifycyarx_onmicrosoft_com",
"siteCollectionId": "c58ea974-5511-4cf3-b12b-e1e0cabce8a0",
"sitePath": "/personal/james_bond_siemplifycyarx_onmicrosoft_com",
"snapshotLastModifiedDate": "2022-07-14T13:12:14.906Z",
"spDomain": "https://siemplifycyarx-my.sharepoint.com",
"unseenScans": 0,
"cabinetMatchedRuleVersions": [
"605362e8dace7f169f3b05b0"
],
"cabinetState": [
"605362e8dace7f169f3b05b1"
],
"lastGlobalMatchDate": "2022-07-14T11:29:11.206Z",
"name_l": "malvertisement-master",
"originalId": "62cffdf1c0ff22b978334963",
"dlpScanResults": [],
"fTags": [],
"enriched": true,
"display_collaborators": [],
"appName": "Microsoft OneDrive for Business",
"actions": [
{
"task_name": "RescanFileTask",
"display_title": "TASKS_ADALIBPY_RESCAN_FILE_DISPLAY_TITLE",
"type": "file",
"governance_type": null,
"bulk_support": true,
"has_icon": true,
"display_description": null,
"bulk_display_description": null,
"preview_only": false,
"display_alert_text": null,
"display_alert_success_text": null,
"is_blocking": null,
"confirm_button_style": "red",
"optional_notify": null,
"uiGovernanceCategory": 0,
"alert_display_title": null,
"confirmation_button_text": null,
"confirmation_link": null
}
]
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si hay datos disponibles (is_success=true): "Se han encontrado archivos que cumplen los criterios proporcionados en Microsoft Cloud App Security". Si no hay datos disponibles (is_success=false): "No se han encontrado archivos que cumplan los criterios proporcionados en Microsoft Cloud App Security" Si el parámetro "Filter Value" está vacío (is_success=true): "No se ha aplicado el filtro porque el parámetro "Valor del filtro" tiene un valor vacío". La acción debería fallar y detener la ejecución de la guía: Si "Clave de filtro" tiene el valor "Seleccionar uno" y "Lógica de filtro" tiene el valor "Igual" o "Contiene": error al ejecutar la acción "{nombre de la acción}". Motivo: debes seleccionar un campo del parámetro "Clave de filtro". Si se proporciona un valor no válido para el parámetro "Número máximo de registros que se devolverán": "Error al ejecutar la acción "{nombre de la acción}". Motivo: Se ha proporcionado un valor no válido para "Número máximo de registros que se devolverán": . Se debe proporcionar un número positivo". Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "{action name}". Motivo: {0}''.format(error.Stacktrace) Si "Clave de filtro" es "Estado de uso compartido" o "Tipo de archivo" y "Lógica de filtro" es"Contiene": "Error al ejecutar la acción "{nombre de la acción}". Motivo: solo se admiten "ID" y "Nombre de archivo" en la lógica del filtro "Contiene". Si se proporciona un valor no válido para el parámetro "Estado de la compartición": "Error al ejecutar la acción "{nombre de la acción}". Motivo: se ha proporcionado un valor no válido para el filtro "Estado de uso compartido". Valores posibles: Public (Internet), Public, External, Internal y Private." Si se proporciona un valor no válido para el parámetro "Estado de la compartición": "Error al ejecutar la acción "{nombre de la acción}". Motivo: se ha proporcionado un valor no válido para el filtro "Estado de uso compartido". Valores posibles de "Tipo de archivo": Other, Document, Spreadsheet, Presentation, Text, Image, Folder." |
General |
| Tabla del panel de casos | Nombre de la tabla: Available Files Columnas de tabla:
|
General |
Conectores
Conector de Office 365 Cloud App Security
Descripción
El conector de Office 365 Cloud App Security ingiere las alertas generadas en la plataforma Office 365 Cloud App Security en el servidor de Google SecOps.
Configurar el conector de seguridad de aplicaciones en la nube de Office 365 en Google SecOps
Para obtener instrucciones detalladas sobre cómo configurar un conector en Google SecOps, consulta el artículo Configurar el conector.
Parámetros del conector
Utiliza los siguientes parámetros para configurar el conector:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Entorno | DDL | N/A | Sí | Seleccione el entorno que quiera. Por ejemplo, "Cliente uno". Si el campo de entorno de la alerta está vacío, la alerta se inyectará en este entorno. |
| Ejecutar cada | Entero | 0:0:0:10 | No | Selecciona la hora a la que quieres que se ejecute la conexión. |
| Nombre del campo de producto | Cadena | No admitida | Sí | Actualmente NO SE ADMITE. El producto se rellenará con la etiqueta de la entidad de tipo de servicio de la alerta. |
| Nombre del campo de evento | Cadena | description | Sí | Nombre del campo que se usa para determinar el nombre del evento (subtipo). |
| Tiempo de espera de secuencia de comandos (segundos) | Cadena | 60 | Sí | El límite de tiempo de espera (en segundos) del proceso de Python que ejecuta la secuencia de comandos actual. |
| URL del portal de Cloud App Security | Cadena | N/A | Sí | La URL del portal de Office 365 Cloud App Security. |
| Token de API | Contraseña | N/A | Sí | Token de API que se usará para autenticarse en Office 365 Cloud App Security. |
| Verificar SSL | Casilla | Desmarcada | No | Verifica los certificados SSL de las solicitudes HTTPS a Office 365 Cloud App Security. |
| Número máximo de alertas por ciclo | Entero | 10 | Sí | Número de alertas que se deben procesar durante una ejecución del conector. Valor predeterminado: 10. |
| Diferencia horaria | Entero | 24 | Sí | Obtener alertas de las últimas X horas. Valor predeterminado: 24 horas. |
| Nombre del campo de entorno | Cadena | N/A | No | Describe el nombre del campo en el que se almacena el nombre del entorno. |
| Patrón de regex de entorno | Entero | N/A | No | Si se define, el conector implementará el patrón de expresión regular específico en los datos del campo de entorno para extraer una cadena específica. Por ejemplo, para extraer el dominio de la dirección del remitente: "(?<=@)(\S+$) |
| Dirección del servidor proxy | Cadena | N/A | No | Dirección del servidor proxy que se va a usar. |
| Nombre de usuario del proxy | Cadena | N/A | No | Nombre de usuario del proxy para autenticarse. |
| Contraseña del proxy | Contraseña | N/A | No | La contraseña del proxy para autenticarte. |
Reglas de conectores
Compatibilidad con proxies
El conector admite proxies.
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.