Office 365 Cloud App Security
整合版本:19.0
應用實例
- 監控 Office 365 環境的警報
- 使用 CloudApp Security 資料調查安全性事件。
設定 Office 365 Cloud App Security,以便與 Google Security Operations 搭配使用
如要發出 API 要求,您必須使用 Cloud App Security API 權杖驗證身分。Cloud App Security 提出 API 要求時,這個權杖會包含在標頭中。
如要取得 Security API 權杖,請登入 Microsoft Cloud App Security 入口網站。
在「設定」選單中,依序選取「安全性擴充功能」和「API 權杖」。
按一下加號按鈕產生新權杖,並提供名稱,以便日後識別權杖。點選「下一步」。
產生新權杖後,系統會提供新的網址,供您存取 Cloud App Security 入口網站。
在 Google SecOps 中設定 Office 365 Cloud App Security 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合參數
請使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 執行個體名稱 | 字串 | 不適用 | 否 | 您要設定整合的執行個體名稱。 |
| 說明 | 字串 | 不適用 | 否 | 執行個體的說明。 |
| Cloud App Security 入口網站網址 | 字串 | 不適用 | 是 | Cloud App Security 入口網站的網址。 |
| Cloud App Security API 權杖 | 字串 | 不適用 | 是 | 指定 Cloud App Security API 權杖的參數,用於連線至 API。詳情請參閱「API 權杖」:https://go.microsoft.com/fwlink/?linkid=851419 |
| 遠端執行 | 核取方塊 | 已取消勾選 | 否 | 勾選這個欄位,即可遠端執行設定的整合項目。勾選後,系統會顯示選取遠端使用者 (服務專員) 的選項。 |
動作
大量解決警示
說明
調查並降低風險後,即可使用這項動作解決一或多個快訊。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 快訊 ID | 字串 | 不適用 | 是 | 快訊專屬 ID。可接受以半形逗號分隔的多個 ID。 |
| 註解 | 字串 | 已解決 | 否 | 說明警報已解決的留言。 |
用途
Office 365 Cloud App Security 會針對不可能的行程發出快訊。使用者調查快訊後,無法找出從不明位置登入的使用者。使用者決定暫停用來登入的使用者帳戶,直到另行通知為止。因此,使用者會繼續解決快訊。
Google SecOps 中的步驟:
- 連接器會將快訊擷取至系統。
- 使用者開啟快訊後,無法確認涉及的使用者名稱,以及調查後的使用者登入位置。
- 使用者對使用者身分和登入位置不滿意,因此停權使用者並將快訊設為已解決。
執行時間
這項操作不會對實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 如果成功: 'The following alerts were resolved successfully:{Alert IDs}
如果發生錯誤: 「發生一些錯誤。請檢查記錄。 如果未成功: 「沒有任何快訊已解決」 |
一般 |
關閉快訊
說明
這項動作用於在雲端應用程式安全性中關閉不重要或不相關的快訊。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 快訊 ID | 字串 | 不適用 | 是 | 快訊專屬 ID。這個參數會採用單一快訊 ID。 |
| 註解 | 字串 | 不適用 | 否 | 說明為何要解除快訊的備註。 |
用途
兩位不同使用者從兩個不同國家/地區,使用相同帳戶登入 Office 365 Cloud App Security。因此系統會發出警報,指出發生不可能的行程。不過,這兩位使用者已確認身分,因此這項快訊並不重要。因此系統會關閉警示。
Google SecOps 中的步驟:
- 連接器會將快訊擷取到系統中。
- 使用者開啟快訊並進行調查,確認相關使用者名稱和登入位置。
- 使用者確認身分和位置資訊無誤後,即可關閉快訊。
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 如果成功: '已成功關閉下列快訊:{Alert ID} 如果發生錯誤: 「發生一些錯誤。請檢查記錄。 如果未成功: 「沒有任何快訊遭到關閉」 |
一般 |
取得 IP 相關活動
說明
這項動作可用於查看與 IP 相關的活動。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 活動顯示限制 | 字串 | 10 | 否 | 顯示的活動數量上限。 |
| 產品名稱 | 字串 | 全部 | 否 | 使用者可從產品清單中選取與 Cloud App Security 連線的應用程式,以便取得特定所選應用程式的 IP 相關活動。產品名稱會轉換/對應至動作篩選器中的產品代碼。例如,如果選取 Office 365,則應轉換為 11161。 |
| 時間範圍 | 字串 | 24 | 是 | 指定要擷取活動數的值,這些活動發生在指定的小時數之前。 |
用途
系統會針對「來自不常造訪國家/地區的活動」發出警報。快訊會指出活動中涉及的 IP 位址,使用者想查看更多與該 IP 位址相關的活動,以利調查。
Google SecOps 中的步驟:
- 系統收到快訊。
- 使用者從快訊事件取得更多事件資料的擴充功能,並決定調查所用的 IP 位址。
- 使用者尋找 IP 擴充功能,以檢查先前參與的活動。
執行時間
這項操作會對 IP 位址實體執行。
動作執行結果
實體擴充
| 補充資料欄位名稱 | 邏輯 - 適用時機 |
|---|---|
| uid | 如果 JSON 結果中存在該值,則傳回該值 |
| eventRouting | 如果 JSON 結果中存在該值,則傳回該值 |
| appName | 如果 JSON 結果中存在該值,則傳回該值 |
| eventType | 如果 JSON 結果中存在該值,則傳回該值 |
| 內部 | 如果 JSON 結果中存在該值,則傳回該值 |
| aadTenantId | 如果 JSON 結果中存在該值,則傳回該值 |
| session | 如果 JSON 結果中存在該值,則傳回該值 |
| createdRaw | 如果 JSON 結果中存在該值,則傳回該值 |
| userAgent | 如果 JSON 結果中存在該值,則傳回該值 |
| resolvedActor | 如果 JSON 結果中存在該值,則傳回該值 |
| 說明 | 如果 JSON 結果中存在該值,則傳回該值 |
| 例項化 | 如果 JSON 結果中存在該值,則傳回該值 |
| 嚴重性 | 如果 JSON 結果中存在該值,則傳回該值 |
| saasId | 如果 JSON 結果中存在該值,則傳回該值 |
| 位置 | 如果 JSON 結果中存在該值,則傳回該值 |
| timestampRaw | 如果 JSON 結果中存在該值,則傳回該值 |
| eventTypeValue | 如果 JSON 結果中存在該值,則傳回該值 |
| description_id | 如果 JSON 結果中存在該值,則傳回該值 |
| 時間戳記 | 如果 JSON 結果中存在該值,則傳回該值 |
| eventTypeName | 如果 JSON 結果中存在該值,則傳回該值 |
| 使用者 | 如果 JSON 結果中存在該值,則傳回該值 |
| appId | 如果 JSON 結果中存在該值,則傳回該值 |
| 裝置 | 如果 JSON 結果中存在該值,則傳回該值 |
| description_metadata | 如果 JSON 結果中存在該值,則傳回該值 |
| 分類 | 如果 JSON 結果中存在該值,則傳回該值 |
| 已建立 | 如果 JSON 結果中存在該值,則傳回該值 |
| entityData | 如果 JSON 結果中存在該值,則傳回該值 |
| tenantId | 如果 JSON 結果中存在該值,則傳回該值 |
| instantiationRaw | 如果 JSON 結果中存在該值,則傳回該值 |
| confidenceLevel | 如果 JSON 結果中存在該值,則傳回該值 |
| mainInfo | 如果 JSON 結果中存在該值,則傳回該值 |
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
{
"EntityResult": [
{
"uid": "88814735_1574155880562_520d653579254156823c4f21fe09a522",
"eventRouting":
{
"auditing": true
},
"appName": "Microsoft Cloud App Security",
"eventType": 917504,
"internals":
{
"otherIPs": ["8.8.8.8"]
},
"aadTenantId": "d48f52ca-5b1a-4708-8ed0-ebb98a26a46a",
"session":
{
"sessionId": "ad0bd5e207f2aaa97e7438ec2f6086310e2577842e711cb2a101b724d83ddd83"
},
"createdRaw": 1574156346552,
"userAgent":
{
"major": "78",
"family": "CHROME",
"nativeBrowser": false,
"os": "mac_os",
"typeName": "Browser",
"version": "78.0.3904.97",
"deviceType": "DESKTOP",
"browser": "CHROME",
"type": "Browser",
"operatingSystem":
{
"name": "OS X",
"family": "Mac OS"
},
"minor": "0",
"name": "Chrome"
},
"resolvedActor":
{
"resolved": true,
"name": "User Name - Test User Spec",
"tags": ["5da46fb69eb3f06b037b409a"],
"instanceId": "0",
"saasId": "11161",
"role": "4",
"objType": "23",
"id": "8ef1de18-71c0-4a88-88da-019c1fbf1308"
},
"description": "Log on",
"instantiation": 1574156346470,
"severity": "INFO",
"saasId": 20595,
"location":
{
"category": 0,
"city": "SomeCity",
"countryCode": "AM",
"region": "SomeCity",
"longitude": 11.1111,
"anonymousProxy": false,
"regionCode": "ER",
"isSatelliteProvider": false,
"latitude": 11.1111,
"categoryValue": "NONE",
"organizationSearchable": "GNC-Alfa CJSC"
},
"timestampRaw": 1574155880562,
"eventTypeValue": "EVENT_ADALLOM_LOGIN",
"description_id": "EVENT_DESCRIPTION_LOGIN",
"timestamp": 1574155880562,
"eventTypeName": "EVENT_CATEGORY_LOGIN",
"user":
{
"userName": "SomeCity",
"userTags": ["5da46fb69eb3f06b037b409a"]
},
"appId": 20595,
"device":
{
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.97 Safari/537.36",
"clientIP": "8.8.8.8",
"countryCode\": "AM"
},
"description_metadata":
{
"dash": " ",
"colon": " ",
"event_category": "Log on"
},
"classifications": ["access"],
"created": 1574156346552,
"entityData":
{
"1": null,
"0":
{
"resolved": true,
"displayName": "User Name - Test User Spec",
"id":
{
"saas": 11161, "inst": 0,
"id": "SomeCity"
}},
"2":
{
"resolved": true,
"displayName": "User Name - Test User Spec",
"id":
{
"saas": 11161,
"inst": 0,
"id": "8ef1de18-71c0-4a88-88da-019c1fbf1308"
}}},
"tenantId": 88814735,
"instantiationRaw": 1574156346470,
"confidenceLevel": 30,
"mainInfo":
{
"eventObjects": [
{
"resolved": true,
"name": "User Name - Test User Spec",
"tags": [],
"instanceId": 0,
"saasId": 11161,
"role": 4,
"objType": 21,
"link": -407163459,
"id": "SomeCity"
}, {
"resolved": true,
"name": "User Name - Test User Spec",
"tags": ["5da46fb69eb3f06b037b409a"],
"instanceId": 0,
"saasId": 11161,
"role": 4,
"objType": 23,
"link": -407163459,
"id": "8ef1de18-71c0-4a88-88da-019c1fbf1308"
}],
"rawOperationName": "login",
"activityResult":
{
"isSuccess": true
},
"type": "login",
"prettyOperationName": "login"
},
"_id": "88814735_1574155880562_520d653579254156823c4f21fe09a522",
"genericEventType": "ENUM_ACTIVITY_GENERIC_TYPE_LOGIN"
}],
"Entity": "7.7.7.7"
}
]
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 如果成功: 'User related activities for the following user were fetched:{username}'
如果發生錯誤: 「發生一些錯誤。請檢查記錄。 如果未成功: 「找不到與快訊相關的活動」 |
一般 |
| 資料表 | 欄:活動、使用者、位置、IP 位址、裝置、日期 | 一般 |
取得與使用者相關的活動
說明
這項動作可用來查看與使用者相關的活動。這項動作會使用使用者的使用者名稱。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 活動顯示限制 | 字串 | 10 | 否 | 顯示的活動數量上限。 |
| 時間範圍 | 字串 | 24 | 是 | 指定要擷取活動數的值,這些活動發生在指定的小時數之前。 |
| 產品名稱 | 字串 | 全部 | 否 | 產品清單,使用者可選取與 Cloudapp Security 連線的應用程式,以便取得特定所選應用程式的使用者相關活動。產品名稱應轉換/對應至動作篩選器中的產品代碼。舉例來說,如果選取 Office 365,應轉換為 11161。 |
用途
系統會針對「來自不常造訪國家/地區的活動」發出警報。系統會記錄相關使用者名稱,且使用者想查看該使用者名稱的更多活動,以利調查。
Google SecOps 中的步驟:
- 系統收到快訊。
- 使用者可從快訊事件取得更多資訊,包括使用者名稱,有助於調查異常活動。
- 使用者會根據自己參與的先前活動,尋找使用者強化功能。
執行時間
這項動作會對使用者實體執行。
動作執行結果
實體擴充
| 補充資料欄位名稱 | 邏輯 - 適用時機 |
|---|---|
| uid | 如果 JSON 結果中存在該值,則傳回該值 |
| eventRouting | 如果 JSON 結果中存在該值,則傳回該值 |
| appName | 如果 JSON 結果中存在該值,則傳回該值 |
| eventType | 如果 JSON 結果中存在該值,則傳回該值 |
| 內部 | 如果 JSON 結果中存在該值,則傳回該值 |
| aadTenantId | 如果 JSON 結果中存在該值,則傳回該值 |
| session | 如果 JSON 結果中存在該值,則傳回該值 |
| createdRaw | 如果 JSON 結果中存在該值,則傳回該值 |
| userAgent | 如果 JSON 結果中存在該值,則傳回該值 |
| resolvedActor | 如果 JSON 結果中存在該值,則傳回該值 |
| 說明 | 如果 JSON 結果中存在該值,則傳回該值 |
| 例項化 | 如果 JSON 結果中存在該值,則傳回該值 |
| 嚴重性 | 如果 JSON 結果中存在該值,則傳回該值 |
| saasId | 如果 JSON 結果中存在該值,則傳回該值 |
| 位置 | 如果 JSON 結果中存在該值,則傳回該值 |
| timestampRaw | 如果 JSON 結果中存在該值,則傳回該值 |
| eventTypeValue | 如果 JSON 結果中存在該值,則傳回該值 |
| description_id | 如果 JSON 結果中存在該值,則傳回該值 |
| 時間戳記 | 如果 JSON 結果中存在該值,則傳回該值 |
| eventTypeName | 如果 JSON 結果中存在該值,則傳回該值 |
| 使用者 | 如果 JSON 結果中存在該值,則傳回該值 |
| appId | 如果 JSON 結果中存在該值,則傳回該值 |
| 裝置 | 如果 JSON 結果中存在該值,則傳回該值 |
| description_metadata | 如果 JSON 結果中存在該值,則傳回該值 |
| 分類 | 如果 JSON 結果中存在該值,則傳回該值 |
| 已建立 | 如果 JSON 結果中存在該值,則傳回該值 |
| entityData | 如果 JSON 結果中存在該值,則傳回該值 |
| tenantId | 如果 JSON 結果中存在該值,則傳回該值 |
| instantiationRaw | 如果 JSON 結果中存在該值,則傳回該值 |
| confidenceLevel | 如果 JSON 結果中存在該值,則傳回該值 |
| mainInfo | 如果 JSON 結果中存在該值,則傳回該值 |
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
{
"EntityResult": [
{
"uid": "88814735_1574244328290_714fdcea1316483e88072f0f2a068ec7",
"eventRouting":
{
"auditing": true,
"adminEvent": true
},
"appName": "Microsoft Cloud App Security",
"eventType": 917544,
"internals":
{
"otherIPs": ["8.8.8.8"]
},
"aadTenantId": "d48f52ca-5b1a-4708-8ed0-ebb98a26a46a",
"session":
{
"sessionId": "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855"
},
"createdRaw": 1574244328339,
"userAgent":
{
"nativeBrowser": false,
"family": "UNKNOWN",
"os": "OTHER",
"typeName": "Unknown",
"deviceType": "OTHER",
"browser": "UNKNOWN",
"type": "Unknown",
"operatingSystem":
{
"name": "Unknown",
"family": "Unknown"
},
"name": "Unknown"
},
"resolvedActor":
{
"resolved": true,
"name": "User Name - Test User Spec",
"tags": ["5da46fb69eb3f06b037b409a"],
"instanceId": "0",
"saasId": "11161",
"role": "4",
"objType": "23",
"id": "8ef1de18-71c0-4a88-88da-019c1fbf1308"
},
"description": "Dismiss alert <b>Impossible travel activity</b>",
"instantiation": 1574244328322,
"severity": "INFO",
"saasId": 20595,
"location":
{
"category": 0,
"countryCode": "CY",
"longitude": 33.0,
"anonymousProxy": false,
"isSatelliteProvider": false,
"latitude": 11.0,
"categoryValue": "NONE",
"organizationSearchable": "SomeOrganization Ltd."
},
"adallom":
{
"alertSeverityValue": 1,
"count": 1,
"sendFeedback": false,
"feedback": " ",
"alertDate": "2019-11-13T14:29:06.0520000Z",
"title": "Impossible travel activity",
"alertTypeId": 15859716,
"handledByUser": "some@address2.email",
"alertSeverity": 1,
"alertBulk": false,
"alertMongoId": "5dcc13ab47654055292459d7",
"alertTitle": "Impossible travel activity",
"contact_email": " ",
"allowContact": false,
"licenses": ["AdallomDiscovery",
"AdallomStandalone",
"AdallomForO365",
"AdallomForAATP"],
"isBulkDismissed": false,
"dismissId": "5dd50fe869d303b914d188ca",
"alertTimestamp": 1573655346052,
"alertUid": "VelocityDetection|88814735_11161_0_8ef1de18-71c0-4a88-88da-019c1fbf1308|[2019-11-13]_[(SK,US)]",
"alertScore": "32",
"alertActor": "11161|0|8ef1de18-71c0-4a88-88da-019c1fbf1308"
},
"timestampRaw": 1574244328290,
"eventTypeValue": "EVENT_ADALLOM_ALERT_DISMISSED",
"tags": ["000000110000000000000000"],
"description_id": "EVENT_ADALLOM_ALERT_DISMISSED",
"timestamp": 1574244328290,
"eventTypeName": "EVENT_CATEGORY_DISMISS_ALERT",
"user":
{
"userName": "some@address2.email",
"userTags": ["5da46fb69eb3f06b037b409a"]
},
"appId": 20595,
"device":
{
"userAgent": "unknown",
"clientIP": "8.8.8.8",
"countryCode": "CY"
},
"description_metadata":
{
"adallom_title": "Impossible travel activity"
},
"classifications": [],
"created": 1574244328339,
"entityData":
{
"1": null,
"0":
{
"resolved": true,
"displayName": "User Name - Test User Spec",
"id":
{
"saas": 11161,
"inst": 0,
"id": "some@address2.email"
}},
"2":
{
"resolved": true,
"displayName": "User Name - Test User Spec",
"id":
{
"saas": 11161,
"inst": 0,
"id": "8ef1de18-71c0-4a88-88da-019c1fbf1308"
}}},
"tenantId": 88814735,
"instantiationRaw": 1574244328322,
"mainInfo":
{
"eventObjects": [
{
"resolved": true,
"name": "User Name - Test User Spec",
"tags": [],
"instanceId": 0,
"saasId": 11161,
"role": 4,
"objType": 21,
"link": -407163459,
"id": "some@address2.email"
}, {
"resolved": true,
"name": "User Name - Test User Spec",
"tags": ["5da46fb69eb3f06b037b409a"],
"instanceId": 0,
"saasId": 11161,
"role": 4,
"objType": 23,
"link": -407163459,
"id": "8ef1de18-71c0-4a88-88da-019c1fbf1308"
}],
"type": "unknown"
},
"_id": "88814735_1574244328290_714fdcea1316483e88072f0f2a068ec7",
"genericEventType": "ENUM_ACTIVITY_GENERIC_TYPE_UNKNOWN"
},
"Entity": "some@email.address"
}
]
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 如果成功: 系統已擷取下列 IP 的相關快訊活動:{ip}
如果發生錯誤: 「發生一些錯誤。請檢查記錄。 如果未成功: 「找不到與快訊相關的活動」 |
一般 |
| 資料表 | 欄:活動、使用者、位置、IP 位址、裝置、日期 | 一般 |
乒乓
說明
這項動作用於測試連線。
參數
不適用
用途
使用者變更系統設定,並想測試新設定是否能成功連線。
Google SecOps 中的步驟:
- 修改系統設定。
- 測試連線。
執行時間
這項操作會對所有實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
關閉快訊
說明
在 Microsoft Cloud App Security 中關閉快訊。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 快訊 ID | 字串 | 不適用 | 是 | 指定需要關閉並標示為良性的快訊 ID。 |
| 註解 | 字串 | 不適用 | 否 | 指定有關警報關閉並標示為良性的原因。 |
| 狀態 | DDL | 真陽性 可能的值: 良性 偽陽性 真陽性 |
是 | 指定快訊的狀態。 |
| 原因 | DDL | 沒有原因 可能的值: 沒有原因 實際嚴重程度較低 其他 已與使用者確認 由測試觸發 不感興趣 太多類似警示 快訊內容有誤 |
否 | 指定應關閉快訊的原因。注意:如果狀態為「True Positive」,這個參數不會有影響。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
輸出訊息* |
動作不應失敗或停止執行劇本: 如果 closed_benign/close_false_positive/close_true_positive == 0:「Error executing action "{}". Reason: alert with ID {alert ID} was not found in Microsoft Cloud App Security」(執行動作「{}」時發生錯誤。原因:Microsoft Cloud App Security 中找不到 ID 為 {alert ID} 的快訊) 如果「良性」狀態的原因不正確:「Error executing action "{}". Reason: invalid value was selected in the "Reason" parameter for state "Benign". 有效值:無原因、實際嚴重程度較低、其他、已向使用者確認、由測試觸發。」 如果「誤判」狀態的原因不正確:「Error executing action "{}". Reason: invalid value was selected in the "Reason" parameter for state "False Positive"」。有效值:「No Reason」(無原因)、「Not Of Interest」(不感興趣)、「Too Many Similar Alerts」(類似快訊過多)、「Alert Is Not Accurate」(快訊不準確)、「Other」(其他)。 |
一般 |
充實實體
說明
使用 Microsoft Cloud App Security 的資訊充實實體。支援的實體:使用者名稱。
參數
不適用
執行日期
這項動作會對使用者名稱實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"type": 2,
"status": 2,
"displayName": "Aviel",
"id": "2600d017-84a1-444f-94ba-4bebed30b09e",
"_id": "5ea18b77c84b3e8dd20ead9b",
"userGroups": [
{
"_id": "5da46fb69eb3f06b037b409b",
"id": "5da46fb69eb3f06b037b409a",
"name": "Office 365 administrator",
"description": "Company administrators, user account administrators, helpdesk administrators, service support administrators, and billing administrators",
"usersCount": 20,
"appId": 11161
}
],
"identifiers": [],
"sid": null,
"appData": {
"appId": 11161,
"name": "Office 365",
"saas": 11161,
"instance": 0
},
"isAdmin": true,
"isExternal": false,
"email": "john.doe@siemplifycyarx.onmicrosoft.com",
"role": "Global Administrator",
"organization": null,
"domain": "siemplifycyarx.onmicrosoft.com",
"scoreTrends": {
"20220609": {}
},
"subApps": [],
"threatScore": 0,
"idType": 1,
"isFake": false,
"ii": "11161|0|2600d017-84a1-444f-94ba-4bebed30b09e",
"actions": [
{
"task_name": "ConfirmUserCompromisedTask",
"display_title": "TASKS_ADALIBPY_CONFIRM_USER_COMPROMISED_DISPLAY_TITLE",
"type": "user",
"governance_type": null,
"bulk_support": null,
"has_icon": true,
"display_description": {
"template": "TASKS_ADALIBPY_CONFIRM_USER_COMPROMISED_DISPLAY_DESCRIPTION_O365",
"parameters": {
"user": "john.doe@siemplifycyarx.onmicrosoft.com"
}
},
"bulk_display_description": "TASKS_ADALIBPY_CONFIRM_USER_COMPROMISED_BULK_DISPLAY_DESCRIPTION_O365",
"preview_only": false,
"display_alert_text": "TASKS_ADALIBPY_CONFIRM_USER_COMPROMISED_DISPLAY_ALERT_TEXT",
"display_alert_success_text": "TASKS_ADALIBPY_CONFIRM_USER_COMPROMISED_DISPLAY_ALERT_SUCCESS_TEXT",
"is_blocking": null,
"confirm_button_style": "red",
"optional_notify": null,
"uiGovernanceCategory": null,
"alert_display_title": null,
"confirmation_button_text": null,
"confirmation_link": null
}
],
"username": "{\"id\": \"2600d017-84a1-444f-94ba-4bebed30b09e\", \"saas\": 11161, \"inst\": 0}",
"sctime": 1655255102926,
"accounts": [
{
"_id": "fa-5ea18b77c84b3e8dd20ead9b-12260",
"i": "2600d017-84a1-444f-94ba-4bebed30b09e",
"ii": "11161|0|2600d017-84a1-444f-94ba-4bebed30b09e",
"inst": 0,
"saas": 12260,
"t": 1,
"dn": "Aviel",
"ext": false,
"s": 2,
"aliases": [
"2600d017-84a1-444f-94ba-4bebed30b09e",
"aviel",
"john.doe@siemplifycyarx.onmicrosoft.com",
"john.doe"
],
"isFake": true,
"pa": "john.doe@siemplifycyarx.onmicrosoft.com",
"em": "john.doe@siemplifycyarx.onmicrosoft.com",
"sublst": [],
"p": "11161|0|2600d017-84a1-444f-94ba-4bebed30b09e",
"appData": {
"appId": 12260,
"name": "Microsoft Azure"
},
"actions": []
}
],
"threatScoreHistory": [
{
"dateFormatted": "20220719",
"dateUtc": 1658238168000,
"score": 0,
"percentile": 0,
"breakdown": {}
}
]
}
實體擴充 - 前置字元 MCAS_
| 補充資料欄位名稱 | 邏輯 - 應用時機 | |
|---|---|---|
| is_admin | isAdmin | 以 JSON 格式提供時 |
| is_external | isExternal | 以 JSON 格式提供時 |
| 角色 | 角色 | 以 JSON 格式提供時 |
| 電子郵件 | 電子郵件 | 以 JSON 格式提供時 |
| 網域 | 網域 | 以 JSON 格式提供時 |
| threat_score | threatScore | 以 JSON 格式提供時 |
| is_fake | isFake | 以 JSON 格式提供時 |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果某個實體有資料 (is_success=true):「已使用 Microsoft Cloud App Security 的資訊,成功擴充下列實體:{entity.identifier}」。 如果某個實體沒有資料 (is_success=true):「Action wasn't able to enrich the following entities using information from Microsoft Cloud App Security: {entity.identifier}」。 如果所有實體都沒有資料 (is_success=false):「提供的實體皆未經過擴充。」 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「執行『Enrich Entities』動作時發生錯誤。原因:{0}''.format(error.Stacktrace) |
一般 |
| 案件總覽表格 | 資料表名稱:{entity.identifier} 資料表資料欄:
|
實體 |
建立 IP 位址範圍
說明
在 Microsoft Cloud App Security 中建立 IP 位址範圍。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 名稱 | 字串 | 不適用 | 是 | 指定 IP 位址範圍的名稱。 |
| 類別 | DDL | 企業 可能的值:
|
是 | 指定 IP 位址範圍的類別。 |
| 機構 | 字串 | 不適用 | 否 | 指定 IP 位址範圍的機構。 |
| 子網路 | CSV | 不適用 | 是 | 指定以半形逗號分隔的子網路清單,做為 IP 位址範圍。 |
| 標記 | CSV | 不適用 | 否 | 指定以逗號分隔的 IP 位址範圍標記清單。 |
執行日期
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"_id": "62d684ac92adb26e3a84dd52",
"name": "range name",
"subnets": [
{
"mask": 120,
"address": "0000:0000:0000:0000:0000:ffff:c0a8:0100",
"originalString": "192.168.1.0/24"
},
{
"mask": 112,
"address": "0000:0000:0000:0000:0000:ffff:c0a8:0000",
"originalString": "192.168.2.0/16"
}
],
"location": null,
"organization": "Microsoft",
"tags": [
{
"_id": "62d684ac6025f11b4b3a4a3b",
"_tid": 88814735,
"name": "existing tag",
"target": 1,
"type": 0,
"id": "62d684ac92adb26e3a84dd51",
"status": 0
}
],
"category": 5,
"lastModified": 1658225836921.4104,
"_tid": 88814735
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果回報 200 狀態碼 (is_success=true):「已在 Microsoft Cloud App Security 中成功建立 IP 位址範圍」。 動作應會失敗並停止執行應對手冊: 如果系統回報重大錯誤:「Error executing action "{}". Reason: " {0}".format(exception.stacktrace)」 如果回應中回報錯誤:「Error executing action "{}". Reason: " {0}".format(csv of errors/error)」 |
一般 |
將 IP 新增至 IP 位址範圍
說明
在 Microsoft Cloud App Security 中,將 IP 位址新增至 IP 位址範圍。支援的實體:IP 位址。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 名稱 | 字串 | 不適用 | 是 | 指定要更新的 IP 位址範圍名稱。 |
執行日期
這項操作會對 IP 位址實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"_id": "62d684ac92adb26e3a84dd52",
"name": "range name",
"subnets": [
{
"mask": 120,
"address": "0000:0000:0000:0000:0000:ffff:c0a8:0100",
"originalString": "192.168.1.0/24"
},
{
"mask": 112,
"address": "0000:0000:0000:0000:0000:ffff:c0a8:0000",
"originalString": "192.168.2.0/16"
}
],
"location": null,
"organization": "Microsoft",
"tags": [
{
"_id": "62d684ac6025f11b4b3a4a3b",
"_tid": 88814735,
"name": "existing tag",
"target": 1,
"type": 0,
"id": "62d684ac92adb26e3a84dd51",
"status": 0
}
],
"category": 5,
"lastModified": 1658225836921.4104,
"_tid": 88814735
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果一個實體成功 (is_success=true): 「已成功將下列 IP 新增至 Microsoft Cloud App Security 中的 {name} IP 位址範圍:{entity.identifier}」。 如果某個實體未成功 (is_success=true): 「Action wasn't able to add the following IPs to the {name} IP Address Range in Microsoft Cloud App Security: {entity.identifier}」(動作無法將下列 IP 新增至 Microsoft Cloud App Security 中的「{name}」IP 位址範圍:{entity.identifier})。 如果 IP 位址已存在 (is_success=true): 「下列 IP 已是 Microsoft Cloud App Security 中 {name} IP 位址範圍的一部分:{entity.identifier}」。 如果未新增任何 IP (is_success=false): print "None of the IPs were added to the IP Address Range in Microsoft Cloud App Security." 動作應會失敗並停止執行應對手冊: 如果系統回報重大錯誤:「Error executing action "{}". Reason: " {0}".format(exception.stacktrace)」 如果找不到 IP 位址範圍:「Error executing action "{}". Reason: IP address range {name} wasn't found in Microsoft Cloud App Security. 請檢查拼字。」{0}".format(exception.stacktrace) |
一般 |
從 IP 位址範圍中移除 IP
說明
從 Microsoft Cloud App Security 的 IP 位址範圍中移除 IP 位址。 支援的實體:IP 位址。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 名稱 | 字串 | 不適用 | 是 | 指定要更新的 IP 位址範圍名稱。 |
執行日期
這項操作會對 IP 位址實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"_id": "62d684ac92adb26e3a84dd52",
"name": "range name",
"subnets": [
{
"mask": 120,
"address": "0000:0000:0000:0000:0000:ffff:c0a8:0100",
"originalString": "192.168.1.0/24"
},
{
"mask": 112,
"address": "0000:0000:0000:0000:0000:ffff:c0a8:0000",
"originalString": "192.168.2.0/16"
}
],
"location": null,
"organization": "Microsoft",
"tags": [
{
"_id": "62d684ac6025f11b4b3a4a3b",
"_tid": 88814735,
"name": "existing tag",
"target": 1,
"type": 0,
"id": "62d684ac92adb26e3a84dd51",
"status": 0
}
],
"category": 5,
"lastModified": 1658225836921.4104,
"_tid": 88814735
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功移除一個實體 (is_success=true):「Successfully removed the following IPs from the {name} IP Address Range in Microsoft Cloud App Security: {entity.identifier}」。 如果某個實體未成功 (is_success=true): 「Action wasn't able to find and remove the following IPs from the {name} IP Address Range in Microsoft Cloud App Security: {entity.identifier}」(動作無法在 Microsoft Cloud App Security 中,從「{name}」IP 位址範圍找出並移除下列 IP:{entity.identifier})。 如果並非所有實體都成功 (is_success=true): 「Microsoft Cloud App Security 中找不到任何 IP,因此未移除」。 動作應會失敗並停止執行應對手冊: 如果系統回報重大錯誤:「Error executing action "{}". Reason: " {0}".format(exception.stacktrace)」 如果找不到位址範圍:「Error executing action "{}". Reason: IP address range {name} wasn't found in Microsoft Cloud App Security. 請檢查拼字。」{0}".format(exception.stacktrace) |
一般 |
可列出檔案
說明
列出 Microsoft Cloud App Security 中的可用檔案。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 篩選鍵 | DDL | 請選取一項 可能的值:
|
否 | 指定用於篩選檔案的金鑰。 「檔案類型」可能的值:Other、Document、Spreadsheet、Presentation、Text、Image、Folder。 「分享狀態」可能的值:公開 (網際網路)、公開、外部、內部、私人。 |
| 篩選邏輯 | DDL | 未指定 可能的值:
|
否 | 指定要套用的篩選器邏輯。 篩選邏輯會根據「篩選鍵」參數中提供的值。 注意:只有「檔案名稱」和「ID」篩選器鍵適用於「包含」邏輯。 |
| 篩選條件值 | 字串 | 不適用 | 否 | 指定篩選條件中應使用的值。 如果選取「等於」,動作會嘗試在結果中尋找完全相符的項目。 如果選取「包含」,動作會嘗試尋找包含該子字串的結果。 如果這個參數未提供任何值,系統就不會套用篩選條件。 篩選邏輯會根據「篩選鍵」參數中提供的值。 |
| 要傳回的記錄數量上限 | 整數 | 50 | 否 | 指定要傳回的記錄數。 如未提供任何內容,這項動作會傳回 50 筆記錄。 注意:如果是「包含」邏輯,連接器只會查看 1000 個結果是否相符。 |
執行日期
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"_id": "62cffdf1c0ff22b978334963",
"_tid": 88814735,
"appId": 15600,
"id": "c58ea974-5511-4cf3-b12b-e1e0cabce8a0|187525f2-5280-4076-adc7-c85311daed1a",
"alternateLink": "https://siemplifycyarx-my.sharepoint.com/personal/james_bond_siemplifycyarx_onmicrosoft_com/Documents/Malvertisement-master",
"collaborators": [],
"createdDate": 1657797767000,
"domains": [
"siemplifycyarx.onmicrosoft.com"
],
"driveId": "c58ea974-5511-4cf3-b12b-e1e0cabce8a0|eca285b0-1cc1-49e5-a178-7a77507cbdea",
"effectiveParents": [
"c58ea974-5511-4cf3-b12b-e1e0cabce8a0|862dfe31-b358-4e27-9660-52ed97fb4955",
"c58ea974-5511-4cf3-b12b-e1e0cabce8a0|eca285b0-1cc1-49e5-a178-7a77507cbdea"
],
"emails": [
"james.bond@siemplifycyarx.onmicrosoft.com"
],
"externalShares": [],
"facl": 0,
"fileAccessLevel": [
0,
"PRIVATE"
],
"filePath": "/personal/james_bond_siemplifycyarx_onmicrosoft_com/Documents/Malvertisement-master",
"fileSize": null,
"fileStatus": [
0,
"EXISTS"
],
"fstat": 0,
"graphId": "016XQ77WHSEV2RRACSOZAK3R6IKMI5V3I2",
"groupIds": [],
"groups": [],
"instId": 0,
"isFolder": true,
"isForeign": false,
"listId": "374dcd9b-dcff-46c6-b927-ad5411695361",
"modifiedDate": 1657797768000,
"name": "Malvertisement-master",
"noGovernance": false,
"ownerAddress": "james.bond@siemplifycyarx.onmicrosoft.com",
"ownerExternal": false,
"ownerName": "ג'יימס בונד",
"parentId": "c58ea974-5511-4cf3-b12b-e1e0cabce8a0|862dfe31-b358-4e27-9660-52ed97fb4955",
"parentIds": [
"c58ea974-5511-4cf3-b12b-e1e0cabce8a0|862dfe31-b358-4e27-9660-52ed97fb4955"
],
"saasId": 15600,
"scanVersion": 4,
"sharepointItem": {
"UniqueId": "187525f2-5280-4076-adc7-c85311daed1a",
"hasUniqueRoleAssignments": false,
"Author": {
"name": "ג'יימס בונד",
"idInSiteCollection": "4",
"sipAddress": "james.bond@siemplifycyarx.onmicrosoft.com",
"sourceBitmask": 0,
"trueEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"externalUser": false,
"oneDriveEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"LoginName": "i:0#.f|membership|james.bond@siemplifycyarx.onmicrosoft.com",
"Email": "james.bond@siemplifycyarx.onmicrosoft.com",
"Title": "ג'יימס בונד"
}
},
"siteCollection": "/personal/james_bond_siemplifycyarx_onmicrosoft_com",
"siteCollectionId": "c58ea974-5511-4cf3-b12b-e1e0cabce8a0",
"sitePath": "/personal/james_bond_siemplifycyarx_onmicrosoft_com",
"snapshotLastModifiedDate": "2022-07-14T13:12:14.906Z",
"spDomain": "https://siemplifycyarx-my.sharepoint.com",
"unseenScans": 0,
"cabinetMatchedRuleVersions": [
"605362e8dace7f169f3b05b0"
],
"cabinetState": [
"605362e8dace7f169f3b05b1"
],
"lastGlobalMatchDate": "2022-07-14T11:29:11.206Z",
"name_l": "malvertisement-master",
"originalId": "62cffdf1c0ff22b978334963",
"dlpScanResults": [],
"fTags": [],
"enriched": true,
"display_collaborators": [],
"appName": "Microsoft OneDrive for Business",
"actions": [
{
"task_name": "RescanFileTask",
"display_title": "TASKS_ADALIBPY_RESCAN_FILE_DISPLAY_TITLE",
"type": "file",
"governance_type": null,
"bulk_support": true,
"has_icon": true,
"display_description": null,
"bulk_display_description": null,
"preview_only": false,
"display_alert_text": null,
"display_alert_success_text": null,
"is_blocking": null,
"confirm_button_style": "red",
"optional_notify": null,
"uiGovernanceCategory": 0,
"alert_display_title": null,
"confirmation_button_text": null,
"confirmation_link": null
}
]
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果資料可用 (is_success=true):「Successfully found files for the provided criteria in Microsoft Cloud App Security」(已在 Microsoft Cloud App Security 中,根據提供的條件成功找到檔案)。 如果沒有可用資料 (is_success=false):「Microsoft Cloud App Security 中沒有符合所提供條件的檔案」 如果「篩選值」參數為空 (is_success=true): 「篩選器未套用,因為參數『篩選器值』的值為空白。」 動作應會失敗並停止執行應對手冊: 如果「篩選鍵」設為「選取一項」,且「篩選邏輯」設為「等於」或「包含」:執行動作「{動作名稱}」時發生錯誤。原因:您需要從「篩選鍵」參數中選取欄位。 如果為「要傳回的最多記錄數」參數提供無效值:「執行動作『{動作名稱}』時發生錯誤。原因:為「要傳回的記錄數上限」提供的值無效:。請提供正數」。 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤: 「執行動作『{動作名稱}』時發生錯誤。原因:{0}''.format(error.Stacktrace) 如果「篩選鍵」設為「共用狀態」或「檔案類型」,且「篩選邏輯」設為「包含」:「執行動作『{動作名稱}』時發生錯誤。原因:只有「ID」和「檔案名稱」支援「包含」篩選器邏輯。 如果「分享狀態」參數的值無效:「執行動作『{動作名稱}』時發生錯誤。原因:為「分享狀態」篩選器提供的值無效。可能的值:Public (Internet)、Public、External、Internal、Private。」 如果「分享狀態」參數的值無效:「執行動作『{動作名稱}』時發生錯誤。原因:為「分享狀態」篩選器提供的值無效。「檔案類型」可能的值:Other、Document、Spreadsheet、Presentation、Text、Image、Folder。 |
一般 |
| 案件總覽表格 | 表格名稱:可用檔案 資料表資料欄:
|
一般 |
連接器
Office 365 Cloud App Security Connector
說明
Office 365 Cloud App Security 連接器會擷取 Office 365 CloudApp Security 平台產生的快訊,並傳送至 Google SecOps 伺服器。
在 Google SecOps 中設定 Office 365 Cloud App Security 連接器
如需在 Google SecOps 中設定連接器的詳細操作說明,請參閱設定連接器。
連接器參數
請使用下列參數設定連接器:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 環境 | DDL | 不適用 | 是 | 選取所需環境。例如「Customer One」。 如果警報的「環境」欄位空白,警報就會插入此環境。 |
| 執行頻率 | 整數 | 0:0:0:10 | 否 | 選取執行連線的時間。 |
| 產品欄位名稱 | 字串 | 不支援 | 是 | 目前不支援。產品會填入快訊服務類型實體的標籤。 |
| 事件欄位名稱 | 字串 | 說明 | 是 | 用於判斷事件名稱 (子類型) 的欄位名稱。 |
| 指令碼逾時 (秒) | 字串 | 60 | 是 | 執行目前指令碼的 Python 程序逾時限制 (以秒為單位)。 |
| Cloud App Security 入口網站網址 | 字串 | 不適用 | 是 | Office 365 Cloud App Security 入口網站的網址。 |
| API 權杖 | 密碼 | 不適用 | 是 | 用於向 Office 365 Cloud App Security 進行驗證的 API 權杖。 |
| 驗證 SSL | 核取方塊 | 已取消勾選 | 否 | 驗證對 Office 365 Cloud App Security 的 HTTPS 要求所用的 SSL 憑證。 |
| 每個週期最多可發出幾次快訊 | 整數 | 10 | 是 | 一次連接器執行作業應處理多少警報。預設值為 10。 |
| 時差 (以小時為單位) | 整數 | 24 | 是 | 擷取 X 小時前的快訊。預設值為 24 小時。 |
| 環境欄位名稱 | 字串 | 不適用 | 否 | 說明儲存環境名稱的欄位名稱。 |
| 環境規則運算式模式 | 整數 | 不適用 | 否 | 如果已定義,連接器會在「環境欄位」的資料上實作特定 RegEx 模式,以擷取特定字串。舉例來說,從寄件者地址擷取網域:「(?<=@)(\S+$) |
| Proxy 伺服器位址 | 字串 | 不適用 | 否 | 要使用的 Proxy 伺服器位址。 |
| Proxy 使用者名稱 | 字串 | 不適用 | 否 | 用於驗證的 Proxy 使用者名稱。 |
| Proxy 密碼 | 密碼 | 不適用 | 否 | 用於驗證的 Proxy 密碼。 |
連接器規則
Proxy 支援
連接器支援 Proxy。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。