Office 365 Cloud App Security
Versão da integração: 19.0
Exemplos de utilização
- Monitorize alertas do ambiente do Office 365
- Use os dados do CloudApp Security para a investigação de incidentes de segurança.
Configure o Office 365 Cloud App Security para funcionar com o Google Security Operations
Para fazer pedidos à API, tem de se autenticar através de um token da API Cloud App Security. Este token é incluído no cabeçalho quando o Cloud App Security faz pedidos de API.
Para obter a chave da API de segurança, inicie sessão no portal do Microsoft Cloud App Security.
No menu Definições, selecione Extensões de segurança e, de seguida, Tokens API.
Clique no botão de mais para gerar um novo token e indique um nome para identificar o token no futuro. Clicar em Seguinte.
Depois de gerar um novo token, é-lhe fornecido um novo URL que pode usar para aceder ao portal do Cloud App Security.
Configure a integração do Office 365 Cloud App Security no Google SecOps
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância para a qual pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| URL do portal do Cloud App Security | String | N/A | Sim | Endereço URL do portal do Cloud App Security. |
| Token da API Cloud App Security | String | N/A | Sim | Um parâmetro para especificar o token da API Cloud App Security para estabelecer ligação à API. Para mais informações, consulte Tokens de API: https://go.microsoft.com/fwlink/?linkid=851419 |
| Executar remotamente | Caixa de verificação | Desmarcado | Não | Selecione o campo para executar a integração configurada remotamente. Depois de selecionada, a opção aparece para selecionar o utilizador remoto (agente). |
Ações
Resolva alertas em massa
Descrição
A ação é usada para resolver um ou mais alertas assim que forem investigados e o risco for mitigado.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do alerta | String | N/A | Sim | Identificador exclusivo do alerta. Pode receber vários IDs separados por vírgulas. |
| Comentário | String | Resolvido | Não | Um comentário para explicar por que motivo os alertas são resolvidos. |
Exemplos de utilização
O Office 365 Cloud App Security gera um alerta sobre uma viagem impossível. O utilizador investiga o alerta e não consegue identificar o utilizador que iniciou sessão a partir de uma localização desconhecida. O utilizador decide suspender o utilizador que foi usado para iniciar sessão até indicação em contrário. Por conseguinte, o utilizador resolve o alerta.
Passos no Google SecOps:
- O conector introduz o alerta no sistema.
- O utilizador abre o alerta e não consegue confirmar os nomes de utilizador dos utilizadores envolvidos e as localizações a partir das quais estão a iniciar sessão após uma investigação.
- Insatisfeito com a identidade do utilizador e a localização de início de sessão, o utilizador suspende o utilizador e define o alerta como resolvido.
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Se for bem-sucedido: 'Os seguintes alertas foram resolvidos com êxito:{Alert IDs}
Se existirem erros: "Ocorreram alguns erros. Verifique o registo." Se não for bem-sucedido: "Nenhum alerta foi resolvido" |
Geral |
Ignorar alerta
Descrição
A ação é usada para ignorar um alerta na segurança de apps na nuvem que não é considerado interessante ou relevante.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do alerta | String | N/A | Sim | Identificador exclusivo do alerta. O parâmetro aceita um único ID de alerta. |
| Comentário | String | N/A | Não | Um comentário para explicar o motivo pelo qual um alerta é ignorado. |
Exemplos de utilização
Dois utilizadores diferentes iniciam sessão no Office 365 Cloud App Security com a mesma conta a partir de dois países diferentes. Isto faz com que o sistema apresente um alerta de que ocorreu uma viagem impossível. No entanto, estes dois utilizadores já são conhecidos e confirmados, o que torna o alerta irrelevante. Por isso, o alerta é ignorado.
Passos no Google SecOps:
- O conector introduz o alerta no sistema.
- O utilizador abre o alerta e investiga para confirmar os nomes de utilizador dos utilizadores envolvidos e as localizações a partir das quais estão a iniciar sessão.
- Satisfeito com a respetiva identidade e localização, o utilizador ignora o alerta.
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Se for bem-sucedido: 'O seguinte alerta foi ignorado com êxito:{Alert ID} Se existirem erros: "Ocorreram alguns erros. Verifique o registo." Se não for bem-sucedido: "Nenhum alerta foi ignorado" |
Geral |
Obtenha atividades relacionadas com o IP
Descrição
A ação é usada para ver atividades relacionadas com um IP.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Limite de apresentação de atividade | String | 10 | Não | Limite do número de atividades a apresentar. |
| Nome do produto | String | TUDO | Não | Lista de produtos onde o utilizador pode selecionar uma app ligada à segurança de apps na nuvem para lhe permitir obter atividades relacionadas com o IP de uma app específica selecionada. O nome do produto tem de ser convertido/mapeado para o código do produto nos filtros de ações. Por exemplo, se o Office 365 estiver selecionado, deve ser convertido em 11161. |
| Intervalo de tempo | String | 24 | Sim | Especifique o valor para obter o número de atividades que ocorreram de acordo com o valor especificado de horas atrás. |
Exemplos de utilização
O sistema gera um alerta sobre uma "atividade de um país pouco frequente". O endereço IP envolvido na atividade está indicado no alerta, e o utilizador quer verificar mais atividade sobre este IP envolvido para ajudar na investigação.
Passos no Google SecOps:
- O sistema recebe o alerta.
- A partir do evento de alerta, o utilizador obtém mais enriquecimentos dos dados de eventos e decide investigar o endereço IP usado.
- O utilizador procura o enriquecimento de IP para verificar as atividades anteriores em que participou.
Executar em
Esta ação é executada na entidade de endereço IP.
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| uid | Devolve se existir no resultado JSON |
| eventRouting | Devolve se existir no resultado JSON |
| appName | Devolve se existir no resultado JSON |
| eventType | Devolve se existir no resultado JSON |
| interna | Devolve se existir no resultado JSON |
| aadTenantId | Devolve se existir no resultado JSON |
| sessão | Devolve se existir no resultado JSON |
| createdRaw | Devolve se existir no resultado JSON |
| userAgent | Devolve se existir no resultado JSON |
| resolvedActor | Devolve se existir no resultado JSON |
| descrição | Devolve se existir no resultado JSON |
| instanciação | Devolve se existir no resultado JSON |
| gravidade | Devolve se existir no resultado JSON |
| saasId | Devolve se existir no resultado JSON |
| localização | Devolve se existir no resultado JSON |
| timestampRaw | Devolve se existir no resultado JSON |
| eventTypeValue | Devolve se existir no resultado JSON |
| description_id | Devolve se existir no resultado JSON |
| timestamp | Devolve se existir no resultado JSON |
| eventTypeName | Devolve se existir no resultado JSON |
| utilizador | Devolve se existir no resultado JSON |
| appId | Devolve se existir no resultado JSON |
| dispositivo | Devolve se existir no resultado JSON |
| description_metadata | Devolve se existir no resultado JSON |
| classificações | Devolve se existir no resultado JSON |
| criado | Devolve se existir no resultado JSON |
| entityData | Devolve se existir no resultado JSON |
| tenantId | Devolve se existir no resultado JSON |
| instantiationRaw | Devolve se existir no resultado JSON |
| confidenceLevel | Devolve se existir no resultado JSON |
| mainInfo | Devolve se existir no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
{
"EntityResult": [
{
"uid": "88814735_1574155880562_520d653579254156823c4f21fe09a522",
"eventRouting":
{
"auditing": true
},
"appName": "Microsoft Cloud App Security",
"eventType": 917504,
"internals":
{
"otherIPs": ["8.8.8.8"]
},
"aadTenantId": "d48f52ca-5b1a-4708-8ed0-ebb98a26a46a",
"session":
{
"sessionId": "ad0bd5e207f2aaa97e7438ec2f6086310e2577842e711cb2a101b724d83ddd83"
},
"createdRaw": 1574156346552,
"userAgent":
{
"major": "78",
"family": "CHROME",
"nativeBrowser": false,
"os": "mac_os",
"typeName": "Browser",
"version": "78.0.3904.97",
"deviceType": "DESKTOP",
"browser": "CHROME",
"type": "Browser",
"operatingSystem":
{
"name": "OS X",
"family": "Mac OS"
},
"minor": "0",
"name": "Chrome"
},
"resolvedActor":
{
"resolved": true,
"name": "User Name - Test User Spec",
"tags": ["5da46fb69eb3f06b037b409a"],
"instanceId": "0",
"saasId": "11161",
"role": "4",
"objType": "23",
"id": "8ef1de18-71c0-4a88-88da-019c1fbf1308"
},
"description": "Log on",
"instantiation": 1574156346470,
"severity": "INFO",
"saasId": 20595,
"location":
{
"category": 0,
"city": "SomeCity",
"countryCode": "AM",
"region": "SomeCity",
"longitude": 11.1111,
"anonymousProxy": false,
"regionCode": "ER",
"isSatelliteProvider": false,
"latitude": 11.1111,
"categoryValue": "NONE",
"organizationSearchable": "GNC-Alfa CJSC"
},
"timestampRaw": 1574155880562,
"eventTypeValue": "EVENT_ADALLOM_LOGIN",
"description_id": "EVENT_DESCRIPTION_LOGIN",
"timestamp": 1574155880562,
"eventTypeName": "EVENT_CATEGORY_LOGIN",
"user":
{
"userName": "SomeCity",
"userTags": ["5da46fb69eb3f06b037b409a"]
},
"appId": 20595,
"device":
{
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.97 Safari/537.36",
"clientIP": "8.8.8.8",
"countryCode\": "AM"
},
"description_metadata":
{
"dash": " ",
"colon": " ",
"event_category": "Log on"
},
"classifications": ["access"],
"created": 1574156346552,
"entityData":
{
"1": null,
"0":
{
"resolved": true,
"displayName": "User Name - Test User Spec",
"id":
{
"saas": 11161, "inst": 0,
"id": "SomeCity"
}},
"2":
{
"resolved": true,
"displayName": "User Name - Test User Spec",
"id":
{
"saas": 11161,
"inst": 0,
"id": "8ef1de18-71c0-4a88-88da-019c1fbf1308"
}}},
"tenantId": 88814735,
"instantiationRaw": 1574156346470,
"confidenceLevel": 30,
"mainInfo":
{
"eventObjects": [
{
"resolved": true,
"name": "User Name - Test User Spec",
"tags": [],
"instanceId": 0,
"saasId": 11161,
"role": 4,
"objType": 21,
"link": -407163459,
"id": "SomeCity"
}, {
"resolved": true,
"name": "User Name - Test User Spec",
"tags": ["5da46fb69eb3f06b037b409a"],
"instanceId": 0,
"saasId": 11161,
"role": 4,
"objType": 23,
"link": -407163459,
"id": "8ef1de18-71c0-4a88-88da-019c1fbf1308"
}],
"rawOperationName": "login",
"activityResult":
{
"isSuccess": true
},
"type": "login",
"prettyOperationName": "login"
},
"_id": "88814735_1574155880562_520d653579254156823c4f21fe09a522",
"genericEventType": "ENUM_ACTIVITY_GENERIC_TYPE_LOGIN"
}],
"Entity": "7.7.7.7"
}
]
Case Wall
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Se for bem-sucedido: 'Foram obtidas atividades relacionadas com o utilizador seguinte:{username}'
Se existirem erros: "Ocorreram alguns erros. Verifique o registo." Se não for bem-sucedido: "Não foram encontradas atividades relacionadas com alertas" |
Geral |
| Tabela | Colunas: atividade, utilizador, localização, endereço IP, dispositivo, data | Geral |
Obtenha atividades relacionadas com o utilizador
Descrição
A ação é usada para ver atividades relacionadas com um utilizador. O nome de utilizador do utilizador é usado nesta ação.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Limite de apresentação de atividade | String | 10 | Não | Limite do número de atividades a apresentar. |
| Intervalo de tempo | String | 24 | Sim | Especifique o valor para obter o número de atividades que ocorreram de acordo com o valor especificado de horas atrás. |
| Nome do produto | String | TUDO | Não | Lista de produtos onde o utilizador pode selecionar uma app ligada à segurança de apps na nuvem para lhe permitir obter atividades relacionadas com o utilizador de uma app específica selecionada. O nome do produto deve ser convertido/mapeado para o código do produto nos filtros de ações. Por exemplo, se o Office 365 for selecionado, deve ser convertido em 11161. |
Exemplos de utilização
O sistema gera um alerta sobre uma "atividade de um país pouco frequente". O nome de utilizador envolvido é registado e o utilizador quer verificar mais atividade sobre o nome de utilizador envolvido para ajudar na investigação.
Passos no Google SecOps:
- O sistema recebe o alerta.
- A partir do evento de alerta, o utilizador obtém mais enriquecimentos com o nome de utilizador do utilizador, o que ajuda a investigar a atividade anómala.
- O utilizador procura o enriquecimento do utilizador em termos de atividades anteriores nas quais o utilizador está envolvido.
Executar em
Esta ação é executada na entidade User.
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| uid | Devolve se existir no resultado JSON |
| eventRouting | Devolve se existir no resultado JSON |
| appName | Devolve se existir no resultado JSON |
| eventType | Devolve se existir no resultado JSON |
| interna | Devolve se existir no resultado JSON |
| aadTenantId | Devolve se existir no resultado JSON |
| sessão | Devolve se existir no resultado JSON |
| createdRaw | Devolve se existir no resultado JSON |
| userAgent | Devolve se existir no resultado JSON |
| resolvedActor | Devolve se existir no resultado JSON |
| descrição | Devolve se existir no resultado JSON |
| instanciação | Devolve se existir no resultado JSON |
| gravidade | Devolve se existir no resultado JSON |
| saasId | Devolve se existir no resultado JSON |
| localização | Devolve se existir no resultado JSON |
| timestampRaw | Devolve se existir no resultado JSON |
| eventTypeValue | Devolve se existir no resultado JSON |
| description_id | Devolve se existir no resultado JSON |
| timestamp | Devolve se existir no resultado JSON |
| eventTypeName | Devolve se existir no resultado JSON |
| utilizador | Devolve se existir no resultado JSON |
| appId | Devolve se existir no resultado JSON |
| dispositivo | Devolve se existir no resultado JSON |
| description_metadata | Devolve se existir no resultado JSON |
| classificações | Devolve se existir no resultado JSON |
| criado | Devolve se existir no resultado JSON |
| entityData | Devolve se existir no resultado JSON |
| tenantId | Devolve se existir no resultado JSON |
| instantiationRaw | Devolve se existir no resultado JSON |
| confidenceLevel | Devolve se existir no resultado JSON |
| mainInfo | Devolve se existir no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
{
"EntityResult": [
{
"uid": "88814735_1574244328290_714fdcea1316483e88072f0f2a068ec7",
"eventRouting":
{
"auditing": true,
"adminEvent": true
},
"appName": "Microsoft Cloud App Security",
"eventType": 917544,
"internals":
{
"otherIPs": ["8.8.8.8"]
},
"aadTenantId": "d48f52ca-5b1a-4708-8ed0-ebb98a26a46a",
"session":
{
"sessionId": "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855"
},
"createdRaw": 1574244328339,
"userAgent":
{
"nativeBrowser": false,
"family": "UNKNOWN",
"os": "OTHER",
"typeName": "Unknown",
"deviceType": "OTHER",
"browser": "UNKNOWN",
"type": "Unknown",
"operatingSystem":
{
"name": "Unknown",
"family": "Unknown"
},
"name": "Unknown"
},
"resolvedActor":
{
"resolved": true,
"name": "User Name - Test User Spec",
"tags": ["5da46fb69eb3f06b037b409a"],
"instanceId": "0",
"saasId": "11161",
"role": "4",
"objType": "23",
"id": "8ef1de18-71c0-4a88-88da-019c1fbf1308"
},
"description": "Dismiss alert <b>Impossible travel activity</b>",
"instantiation": 1574244328322,
"severity": "INFO",
"saasId": 20595,
"location":
{
"category": 0,
"countryCode": "CY",
"longitude": 33.0,
"anonymousProxy": false,
"isSatelliteProvider": false,
"latitude": 11.0,
"categoryValue": "NONE",
"organizationSearchable": "SomeOrganization Ltd."
},
"adallom":
{
"alertSeverityValue": 1,
"count": 1,
"sendFeedback": false,
"feedback": " ",
"alertDate": "2019-11-13T14:29:06.0520000Z",
"title": "Impossible travel activity",
"alertTypeId": 15859716,
"handledByUser": "some@address2.email",
"alertSeverity": 1,
"alertBulk": false,
"alertMongoId": "5dcc13ab47654055292459d7",
"alertTitle": "Impossible travel activity",
"contact_email": " ",
"allowContact": false,
"licenses": ["AdallomDiscovery",
"AdallomStandalone",
"AdallomForO365",
"AdallomForAATP"],
"isBulkDismissed": false,
"dismissId": "5dd50fe869d303b914d188ca",
"alertTimestamp": 1573655346052,
"alertUid": "VelocityDetection|88814735_11161_0_8ef1de18-71c0-4a88-88da-019c1fbf1308|[2019-11-13]_[(SK,US)]",
"alertScore": "32",
"alertActor": "11161|0|8ef1de18-71c0-4a88-88da-019c1fbf1308"
},
"timestampRaw": 1574244328290,
"eventTypeValue": "EVENT_ADALLOM_ALERT_DISMISSED",
"tags": ["000000110000000000000000"],
"description_id": "EVENT_ADALLOM_ALERT_DISMISSED",
"timestamp": 1574244328290,
"eventTypeName": "EVENT_CATEGORY_DISMISS_ALERT",
"user":
{
"userName": "some@address2.email",
"userTags": ["5da46fb69eb3f06b037b409a"]
},
"appId": 20595,
"device":
{
"userAgent": "unknown",
"clientIP": "8.8.8.8",
"countryCode": "CY"
},
"description_metadata":
{
"adallom_title": "Impossible travel activity"
},
"classifications": [],
"created": 1574244328339,
"entityData":
{
"1": null,
"0":
{
"resolved": true,
"displayName": "User Name - Test User Spec",
"id":
{
"saas": 11161,
"inst": 0,
"id": "some@address2.email"
}},
"2":
{
"resolved": true,
"displayName": "User Name - Test User Spec",
"id":
{
"saas": 11161,
"inst": 0,
"id": "8ef1de18-71c0-4a88-88da-019c1fbf1308"
}}},
"tenantId": 88814735,
"instantiationRaw": 1574244328322,
"mainInfo":
{
"eventObjects": [
{
"resolved": true,
"name": "User Name - Test User Spec",
"tags": [],
"instanceId": 0,
"saasId": 11161,
"role": 4,
"objType": 21,
"link": -407163459,
"id": "some@address2.email"
}, {
"resolved": true,
"name": "User Name - Test User Spec",
"tags": ["5da46fb69eb3f06b037b409a"],
"instanceId": 0,
"saasId": 11161,
"role": 4,
"objType": 23,
"link": -407163459,
"id": "8ef1de18-71c0-4a88-88da-019c1fbf1308"
}],
"type": "unknown"
},
"_id": "88814735_1574244328290_714fdcea1316483e88072f0f2a068ec7",
"genericEventType": "ENUM_ACTIVITY_GENERIC_TYPE_UNKNOWN"
},
"Entity": "some@email.address"
}
]
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Se for bem-sucedido: Foram obtidas atividades relacionadas com o alerta para o seguinte IP:{ip}'
Se existirem erros: "Ocorreram alguns erros. Verifique o registo." Se não for bem-sucedido: "Não foram encontradas atividades relacionadas com alertas" |
Geral |
| Tabela | Colunas: atividade, utilizador, localização, endereço IP, dispositivo, data | Geral |
Tchim-tchim
Descrição
A ação é usada para testar a conetividade.
Parâmetros
N/A
Exemplos de utilização
O utilizador altera as configurações do sistema e quer testar se a conetividade com as novas configurações é bem-sucedida.
Passos no Google SecOps:
- Modificar configurações do sistema.
- Teste a conetividade.
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultados JSON
N/A
Fechar alerta
Descrição
Feche o alerta no Microsoft Cloud App Security.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do alerta | String | N/A | Sim | Especifique o ID do alerta que tem de ser fechado e marcado como benigno. |
| Comentário | String | N/A | Não | Especifique um comentário sobre o motivo pelo qual os alertas são fechados e marcados como benignos. |
| Estado | LDD | Verdadeiro positivo Valores possíveis: Benigno Falso positivo Verdadeiro positivo |
Sim | Especifique qual deve ser o estado do alerta. |
| Motivo | LDD | Sem motivo Valores possíveis: Sem motivo A gravidade real é inferior Outro Confirmado com o utilizador final Acionado pelo teste Sem interesse Demasiados alertas semelhantes O alerta não está correto |
Não | Especifique um motivo pelo qual o alerta deve ser fechado. Nota: este parâmetro não tem impacto se o estado for "Verdadeiro positivo". |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Case Wall
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
Mensagem de saída* |
A ação não deve falhar nem parar a execução de um livro de regras: If closed_benign/close_false_positive/close_true_positive == 0: "Error executing action "{}". Reason: alert with ID {alert ID} was not found in Microsoft Cloud App Security" Se o motivo do estado "Benigno" estiver incorreto: "Erro ao executar a ação "{}". Motivo: foi selecionado um valor inválido no parâmetro "Motivo" para o estado "Benigno". Valores válidos: No Reason, Actual Severity Is Lower, Other, Confirmed With End User, Triggered By Test." Se o motivo do estado "Falso positivo" estiver incorreto: "Erro ao executar a ação "{}". Motivo: foi selecionado um valor inválido no parâmetro "Motivo" para o estado "Falso positivo". Valores válidos: No Reason, Not Of Interest, Too Many Similar Alerts, Alert Is Not Accurate, Other." (Sem motivo, Não é do meu interesse, Demasiados alertas semelhantes, O alerta não é preciso, Outro) |
Geral |
Enriquecer entidades
Descrição
Enriqueça as entidades com informações do Microsoft Cloud App Security. Entidades suportadas: nome de utilizador.
Parâmetros
N/A
É apresentado em
Esta ação é executada na entidade Username.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"type": 2,
"status": 2,
"displayName": "Aviel",
"id": "2600d017-84a1-444f-94ba-4bebed30b09e",
"_id": "5ea18b77c84b3e8dd20ead9b",
"userGroups": [
{
"_id": "5da46fb69eb3f06b037b409b",
"id": "5da46fb69eb3f06b037b409a",
"name": "Office 365 administrator",
"description": "Company administrators, user account administrators, helpdesk administrators, service support administrators, and billing administrators",
"usersCount": 20,
"appId": 11161
}
],
"identifiers": [],
"sid": null,
"appData": {
"appId": 11161,
"name": "Office 365",
"saas": 11161,
"instance": 0
},
"isAdmin": true,
"isExternal": false,
"email": "john.doe@siemplifycyarx.onmicrosoft.com",
"role": "Global Administrator",
"organization": null,
"domain": "siemplifycyarx.onmicrosoft.com",
"scoreTrends": {
"20220609": {}
},
"subApps": [],
"threatScore": 0,
"idType": 1,
"isFake": false,
"ii": "11161|0|2600d017-84a1-444f-94ba-4bebed30b09e",
"actions": [
{
"task_name": "ConfirmUserCompromisedTask",
"display_title": "TASKS_ADALIBPY_CONFIRM_USER_COMPROMISED_DISPLAY_TITLE",
"type": "user",
"governance_type": null,
"bulk_support": null,
"has_icon": true,
"display_description": {
"template": "TASKS_ADALIBPY_CONFIRM_USER_COMPROMISED_DISPLAY_DESCRIPTION_O365",
"parameters": {
"user": "john.doe@siemplifycyarx.onmicrosoft.com"
}
},
"bulk_display_description": "TASKS_ADALIBPY_CONFIRM_USER_COMPROMISED_BULK_DISPLAY_DESCRIPTION_O365",
"preview_only": false,
"display_alert_text": "TASKS_ADALIBPY_CONFIRM_USER_COMPROMISED_DISPLAY_ALERT_TEXT",
"display_alert_success_text": "TASKS_ADALIBPY_CONFIRM_USER_COMPROMISED_DISPLAY_ALERT_SUCCESS_TEXT",
"is_blocking": null,
"confirm_button_style": "red",
"optional_notify": null,
"uiGovernanceCategory": null,
"alert_display_title": null,
"confirmation_button_text": null,
"confirmation_link": null
}
],
"username": "{\"id\": \"2600d017-84a1-444f-94ba-4bebed30b09e\", \"saas\": 11161, \"inst\": 0}",
"sctime": 1655255102926,
"accounts": [
{
"_id": "fa-5ea18b77c84b3e8dd20ead9b-12260",
"i": "2600d017-84a1-444f-94ba-4bebed30b09e",
"ii": "11161|0|2600d017-84a1-444f-94ba-4bebed30b09e",
"inst": 0,
"saas": 12260,
"t": 1,
"dn": "Aviel",
"ext": false,
"s": 2,
"aliases": [
"2600d017-84a1-444f-94ba-4bebed30b09e",
"aviel",
"john.doe@siemplifycyarx.onmicrosoft.com",
"john.doe"
],
"isFake": true,
"pa": "john.doe@siemplifycyarx.onmicrosoft.com",
"em": "john.doe@siemplifycyarx.onmicrosoft.com",
"sublst": [],
"p": "11161|0|2600d017-84a1-444f-94ba-4bebed30b09e",
"appData": {
"appId": 12260,
"name": "Microsoft Azure"
},
"actions": []
}
],
"threatScoreHistory": [
{
"dateFormatted": "20220719",
"dateUtc": 1658238168000,
"score": 0,
"percentile": 0,
"breakdown": {}
}
]
}
Enriquecimento de entidades – Prefixo MCAS_
| Nome do campo de enriquecimento | Lógica: quando aplicar | |
|---|---|---|
| is_admin | isAdmin | Quando estiver disponível em JSON |
| is_external | isExternal | Quando estiver disponível em JSON |
| função | função | Quando estiver disponível em JSON |
| Quando estiver disponível em JSON | ||
| domínio | domínio | Quando estiver disponível em JSON |
| threat_score | threatScore | Quando estiver disponível em JSON |
| is_fake | isFake | Quando estiver disponível em JSON |
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se os dados estiverem disponíveis para uma entidade (is_success=true): "As seguintes entidades foram enriquecidas com êxito através de informações do Microsoft Cloud App Security: {entity.identifier}". Se os dados não estiverem disponíveis para uma entidade (is_success=true): "Não foi possível enriquecer as seguintes entidades com informações do Microsoft Cloud App Security: {entity.identifier}". Se os dados não estiverem disponíveis para todas as entidades (is_success=false): "Nenhuma das entidades fornecidas foi enriquecida." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Enriquecer entidades". Motivo: {0}''.format(error.Stacktrace) |
Geral |
| Tabela de parede da caixa | Nome da tabela: {entity.identifier} Colunas da tabela:
|
Entidade |
Crie um intervalo de endereços IP
Descrição
Crie um intervalo de endereços IP no Microsoft Cloud App Security.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome | String | N/A | Sim | Especifique o nome do intervalo de endereços IP. |
| Categoria | LDD | Empresa Valores possíveis:
|
Sim | Especifique a categoria do intervalo de endereços IP. |
| Organização | String | N/A | Não | Especifique a organização para o intervalo de endereços IP. |
| Sub-redes | CSV | N/A | Sim | Especifique uma lista de sub-redes separadas por vírgulas para o intervalo de endereços IP. |
| Etiquetas | CSV | N/A | Não | Especifique uma lista de etiquetas separadas por vírgulas para o intervalo de endereços IP. |
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"_id": "62d684ac92adb26e3a84dd52",
"name": "range name",
"subnets": [
{
"mask": 120,
"address": "0000:0000:0000:0000:0000:ffff:c0a8:0100",
"originalString": "192.168.1.0/24"
},
{
"mask": 112,
"address": "0000:0000:0000:0000:0000:ffff:c0a8:0000",
"originalString": "192.168.2.0/16"
}
],
"location": null,
"organization": "Microsoft",
"tags": [
{
"_id": "62d684ac6025f11b4b3a4a3b",
"_tid": 88814735,
"name": "existing tag",
"target": 1,
"type": 0,
"id": "62d684ac92adb26e3a84dd51",
"status": 0
}
],
"category": 5,
"lastModified": 1658225836921.4104,
"_tid": 88814735
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se o código de estado 200 for comunicado (is_success=true): "Successfully created an IP Address Range in Microsoft Cloud App Security " (Intervalo de endereços IP criado com êxito no Microsoft Cloud App Security). A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro crítico: "Error executing action "{}". Reason: " {0}".format(exception.stacktrace) Se for comunicado um erro na resposta: "Error executing action "{}". Reason: " {0}".format(csv of errors/error) |
Geral |
Adicione o IP ao intervalo de endereços IP
Descrição
Adicione o endereço IP ao intervalo de endereços IP no Microsoft Cloud App Security. Entidades suportadas: endereço IP.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome | String | N/A | Sim | Especifique o nome do intervalo de endereços IP que tem de ser atualizado. |
É apresentado em
Esta ação é executada na entidade de endereço IP.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"_id": "62d684ac92adb26e3a84dd52",
"name": "range name",
"subnets": [
{
"mask": 120,
"address": "0000:0000:0000:0000:0000:ffff:c0a8:0100",
"originalString": "192.168.1.0/24"
},
{
"mask": 112,
"address": "0000:0000:0000:0000:0000:ffff:c0a8:0000",
"originalString": "192.168.2.0/16"
}
],
"location": null,
"organization": "Microsoft",
"tags": [
{
"_id": "62d684ac6025f11b4b3a4a3b",
"_tid": 88814735,
"name": "existing tag",
"target": 1,
"type": 0,
"id": "62d684ac92adb26e3a84dd51",
"status": 0
}
],
"category": 5,
"lastModified": 1658225836921.4104,
"_tid": 88814735
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido para uma entidade (is_success=true): "Os seguintes IPs foram adicionados com êxito ao intervalo de endereços IP {name} no Microsoft Cloud App Security: {entity.identifier}". Se não for bem-sucedido para uma entidade (is_success=true): "Não foi possível adicionar os seguintes IPs ao intervalo de endereços IP {name} no Microsoft Cloud App Security: {entity.identifier}". Se o endereço IP já existir (is_success=true): "Os seguintes IPs já fazem parte do intervalo de endereços IP {name} no Microsoft Cloud App Security: {entity.identifier}". If no IPs are added (is_success=false): print "Nenhum dos IPs foi adicionado ao intervalo de endereços IP no Microsoft Cloud App Security." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro crítico: "Error executing action "{}". Reason: " {0}".format(exception.stacktrace) Se o intervalo de endereços IP não for encontrado: "Erro ao executar a ação "{}". Motivo: o intervalo de endereços IP {name} não foi encontrado no Microsoft Cloud App Security. Verifique a ortografia." {0}".format(exception.stacktrace) |
Geral |
Remova o IP do intervalo de endereços IP
Descrição
Remova o endereço IP do intervalo de endereços IP no Microsoft Cloud App Security. Entidades suportadas: endereço IP.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome | String | N/A | Sim | Especifique o nome do intervalo de endereços IP que tem de ser atualizado. |
É apresentado em
Esta ação é executada na entidade de endereço IP.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"_id": "62d684ac92adb26e3a84dd52",
"name": "range name",
"subnets": [
{
"mask": 120,
"address": "0000:0000:0000:0000:0000:ffff:c0a8:0100",
"originalString": "192.168.1.0/24"
},
{
"mask": 112,
"address": "0000:0000:0000:0000:0000:ffff:c0a8:0000",
"originalString": "192.168.2.0/16"
}
],
"location": null,
"organization": "Microsoft",
"tags": [
{
"_id": "62d684ac6025f11b4b3a4a3b",
"_tid": 88814735,
"name": "existing tag",
"target": 1,
"type": 0,
"id": "62d684ac92adb26e3a84dd51",
"status": 0
}
],
"category": 5,
"lastModified": 1658225836921.4104,
"_tid": 88814735
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido para uma entidade (is_success=true): "Os seguintes IPs foram removidos com êxito do intervalo de endereços IP {name} no Microsoft Cloud App Security: {entity.identifier}". Se não for bem-sucedido para uma entidade (is_success=true): "A ação não conseguiu encontrar nem remover os seguintes IPs do intervalo de endereços IP {name} no Microsoft Cloud App Security: {entity.identifier}". Se não for bem-sucedido para todas as entidades (is_success=true): "Nenhum dos IPs foi encontrado nem removido no Microsoft Cloud App Security". A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro crítico: "Error executing action "{}". Reason: " {0}".format(exception.stacktrace) Se o intervalo de endereços não for encontrado: "Erro ao executar a ação "{}". Motivo: o intervalo de endereços IP {name} não foi encontrado no Microsoft Cloud App Security. Verifique a ortografia." {0}".format(exception.stacktrace) |
Geral |
Listar ficheiros
Descrição
Liste os ficheiros disponíveis no Microsoft Cloud App Security.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Tecla de filtro | LDD | Selecione uma opção Valores possíveis:
|
Não | Especifique a chave que tem de ser usada para filtrar ficheiros. Valores possíveis para "Tipo de ficheiro": Other,Document,Spreadsheet,Presentation,Text,Image,Folder. Valores possíveis para "Share Status": Public (Internet),Public,External,Internal,Private. |
| Lógica de filtragem | LDD | Não especificado Valores possíveis:
|
Não | Especifique a lógica de filtro que deve ser aplicada. A lógica de filtragem baseia-se no valor fornecido no parâmetro "Chave do filtro". Nota: apenas as chaves de filtro "Nome do ficheiro" e "ID" funcionam com a lógica "Contém". |
| Valor do filtro | String | N/A | Não | Especifique o valor que deve ser usado no filtro. Se a opção "Igual a" estiver selecionada, a ação tenta encontrar a correspondência exata entre os resultados. Se a opção "Contém" estiver selecionada, a ação tenta encontrar resultados que contenham essa subcadeia de carateres. Se não for fornecido nada neste parâmetro, o filtro não é aplicado. A lógica de filtragem baseia-se no valor fornecido no parâmetro "Chave do filtro". |
| Máximo de registos a devolver | Número inteiro | 50 | Não | Especifique o número de registos a devolver. Se não for fornecido nada, a ação devolve 50 registos. Nota: para a lógica de contém, o conector apenas analisa 1000 resultados para correspondência. |
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"_id": "62cffdf1c0ff22b978334963",
"_tid": 88814735,
"appId": 15600,
"id": "c58ea974-5511-4cf3-b12b-e1e0cabce8a0|187525f2-5280-4076-adc7-c85311daed1a",
"alternateLink": "https://siemplifycyarx-my.sharepoint.com/personal/james_bond_siemplifycyarx_onmicrosoft_com/Documents/Malvertisement-master",
"collaborators": [],
"createdDate": 1657797767000,
"domains": [
"siemplifycyarx.onmicrosoft.com"
],
"driveId": "c58ea974-5511-4cf3-b12b-e1e0cabce8a0|eca285b0-1cc1-49e5-a178-7a77507cbdea",
"effectiveParents": [
"c58ea974-5511-4cf3-b12b-e1e0cabce8a0|862dfe31-b358-4e27-9660-52ed97fb4955",
"c58ea974-5511-4cf3-b12b-e1e0cabce8a0|eca285b0-1cc1-49e5-a178-7a77507cbdea"
],
"emails": [
"james.bond@siemplifycyarx.onmicrosoft.com"
],
"externalShares": [],
"facl": 0,
"fileAccessLevel": [
0,
"PRIVATE"
],
"filePath": "/personal/james_bond_siemplifycyarx_onmicrosoft_com/Documents/Malvertisement-master",
"fileSize": null,
"fileStatus": [
0,
"EXISTS"
],
"fstat": 0,
"graphId": "016XQ77WHSEV2RRACSOZAK3R6IKMI5V3I2",
"groupIds": [],
"groups": [],
"instId": 0,
"isFolder": true,
"isForeign": false,
"listId": "374dcd9b-dcff-46c6-b927-ad5411695361",
"modifiedDate": 1657797768000,
"name": "Malvertisement-master",
"noGovernance": false,
"ownerAddress": "james.bond@siemplifycyarx.onmicrosoft.com",
"ownerExternal": false,
"ownerName": "ג'יימס בונד",
"parentId": "c58ea974-5511-4cf3-b12b-e1e0cabce8a0|862dfe31-b358-4e27-9660-52ed97fb4955",
"parentIds": [
"c58ea974-5511-4cf3-b12b-e1e0cabce8a0|862dfe31-b358-4e27-9660-52ed97fb4955"
],
"saasId": 15600,
"scanVersion": 4,
"sharepointItem": {
"UniqueId": "187525f2-5280-4076-adc7-c85311daed1a",
"hasUniqueRoleAssignments": false,
"Author": {
"name": "ג'יימס בונד",
"idInSiteCollection": "4",
"sipAddress": "james.bond@siemplifycyarx.onmicrosoft.com",
"sourceBitmask": 0,
"trueEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"externalUser": false,
"oneDriveEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"LoginName": "i:0#.f|membership|james.bond@siemplifycyarx.onmicrosoft.com",
"Email": "james.bond@siemplifycyarx.onmicrosoft.com",
"Title": "ג'יימס בונד"
}
},
"siteCollection": "/personal/james_bond_siemplifycyarx_onmicrosoft_com",
"siteCollectionId": "c58ea974-5511-4cf3-b12b-e1e0cabce8a0",
"sitePath": "/personal/james_bond_siemplifycyarx_onmicrosoft_com",
"snapshotLastModifiedDate": "2022-07-14T13:12:14.906Z",
"spDomain": "https://siemplifycyarx-my.sharepoint.com",
"unseenScans": 0,
"cabinetMatchedRuleVersions": [
"605362e8dace7f169f3b05b0"
],
"cabinetState": [
"605362e8dace7f169f3b05b1"
],
"lastGlobalMatchDate": "2022-07-14T11:29:11.206Z",
"name_l": "malvertisement-master",
"originalId": "62cffdf1c0ff22b978334963",
"dlpScanResults": [],
"fTags": [],
"enriched": true,
"display_collaborators": [],
"appName": "Microsoft OneDrive for Business",
"actions": [
{
"task_name": "RescanFileTask",
"display_title": "TASKS_ADALIBPY_RESCAN_FILE_DISPLAY_TITLE",
"type": "file",
"governance_type": null,
"bulk_support": true,
"has_icon": true,
"display_description": null,
"bulk_display_description": null,
"preview_only": false,
"display_alert_text": null,
"display_alert_success_text": null,
"is_blocking": null,
"confirm_button_style": "red",
"optional_notify": null,
"uiGovernanceCategory": 0,
"alert_display_title": null,
"confirmation_button_text": null,
"confirmation_link": null
}
]
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se os dados estiverem disponíveis (is_success=true): "Foram encontrados ficheiros com êxito para os critérios fornecidos no Microsoft Cloud App Security". Se os dados não estiverem disponíveis (is_success=false): "Não foram encontrados ficheiros para os critérios fornecidos no Microsoft Cloud App Security" Se o parâmetro "Valor do filtro" estiver vazio (is_success=true): "O filtro não foi aplicado porque o parâmetro "Valor do filtro" tem um valor vazio." A ação deve falhar e parar a execução de um guia interativo: Se a "Chave de filtro" estiver definida como "Selecionar uma" e a "Lógica de filtro" estiver definida como "Igual a" ou "Contém": erro ao executar a ação "{action name}". Motivo: tem de selecionar um campo no parâmetro "Chave de filtro". Se for fornecido um valor inválido para o parâmetro "Max Records to Return" (Máximo de registos a devolver): "Error executing action "{action name}". Motivo: foi fornecido um valor inválido para "Max Records to Return": . Deve ser fornecido um número positivo". Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "{action name}". Motivo: {0}''.format(error.Stacktrace) Se a "Chave de filtro" estiver definida como "Estado de partilha" ou "Tipo de ficheiro" e a "Lógica de filtro" estiver definida como"Contém": "Erro ao executar a ação "{action name}". Motivo: apenas "ID" e "Nome do ficheiro" são suportados para a lógica de filtro "Contém"." Se for fornecido um valor inválido para o parâmetro "Share Status": "Erro ao executar a ação "{action name}". Motivo: foi indicado um valor inválido para o filtro "Estado de partilha". Valores possíveis: Public (Internet), Public, External, Internal, Private." Se for fornecido um valor inválido para o parâmetro "Share Status": "Erro ao executar a ação "{action name}". Motivo: foi indicado um valor inválido para o filtro "Estado de partilha". Valores possíveis de "File Type": Other, Document, Spreadsheet, Presentation, Text, Image, Folder." |
Geral |
| Tabela de parede da caixa | Nome da tabela: ficheiros disponíveis Colunas da tabela:
|
Geral |
Conetores
Conetor do Office 365 Cloud App Security
Descrição
O conetor do Office 365 Cloud App Security carrega alertas gerados na plataforma Office 365 CloudApp Security para o servidor do Google SecOps.
Configure o conetor do Office 365 Cloud App Security no Google SecOps
Para ver instruções detalhadas sobre como configurar um conetor no Google SecOps, consulte o artigo Configurar o conetor.
Parâmetros do conetor
Use os seguintes parâmetros para configurar o conector:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Ambiente | LDD | N/A | Sim | Selecione o ambiente necessário. Por exemplo, "Cliente um". Caso o campo Ambiente do alerta esteja vazio, este alerta é injetado neste ambiente. |
| Executar a cada | Número inteiro | 0:0:0:10 | Não | Selecione a hora para executar a associação. |
| Nome do campo do produto | String | Não suportado | Sim | Atualmente NÃO SUPORTADO. O produto é preenchido com a etiqueta da entidade do tipo de serviço do alerta. |
| Nome do campo de evento | String | descrição | Sim | O nome do campo usado para determinar o nome do evento (subtipo). |
| Limite de tempo do script (segundos) | String | 60 | Sim | O limite de tempo limite (em segundos) para o processo Python que executa o script atual. |
| URL do portal do Cloud App Security | String | N/A | Sim | O URL do portal do Office 365 Cloud App Security. |
| Chave da API | Palavra-passe | N/A | Sim | Token de API que vai ser usado para autenticar com o Office 365 Cloud App Security. |
| Validar SSL | Caixa de verificação | Desmarcado | Não | Valide os certificados SSL para pedidos HTTPS ao Office 365 Cloud App Security. |
| Máximo de alertas por ciclo | Número inteiro | 10 | Sim | Quantos alertas devem ser processados durante uma execução do conetor. Predefinição: 10. |
| Tempo de desvio em horas | Número inteiro | 24 | Sim | Obter alertas de X horas anteriores. Valor predefinido: 24 horas. |
| Nome do campo do ambiente | String | N/A | Não | Descreve o nome do campo onde o nome do ambiente está armazenado. |
| Padrão de regex do ambiente | Número inteiro | N/A | Não | Se estiver definido, o conector implementa o padrão RegEx específico nos dados do "campo de ambiente" para extrair uma string específica. Por exemplo, extrair o domínio do endereço do remetente: "(?<=@)(\S+$) |
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a usar. |
| Nome de utilizador do proxy | String | N/A | Não | O nome de utilizador do proxy para autenticação. |
| Palavra-passe do proxy | Palavra-passe | N/A | Não | A palavra-passe do proxy para autenticação. |
Regras de conector
Suporte de proxy
O conetor suporta proxy.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.