Azure Security Center

통합 버전: 9.0

사용 사례

  1. 조사를 위해 Google SecOps에 보안 알림을 수집합니다.

  2. 알림을 업데이트합니다.

  3. 표준 규정 준수에 대한 정보를 가져옵니다.

기본 요건

Google SecOps 플랫폼에서 통합을 구성하기 전에 Azure 사용자 계정에 필요한 권한을 부여하고 비밀번호 인증 또는 OAuth 인증을 구성해야 합니다.

권한 구성

이 통합에는 Azure 리소스에 대한 위임된 액세스 권한이 필요합니다. 통합을 구성하는 데 사용되는 Azure 사용자 계정에 다음 필수 권한을 부여해야 합니다.

  1. 사용자 계정은 다음 Azure 역할의 활성 구성원이어야 합니다.

    • Security Reader
    • Security Admin

  2. Azure 구독 수준에서 사용자에게 Management Group Reader IAM 역할을 부여해야 합니다.

비밀번호 인증 구성

Microsoft Defender for Cloud의 비밀번호 인증을 구성하려면 다음 단계를 완료하세요.

  1. Microsoft Entra 앱을 만듭니다.

  2. 앱의 API 권한을 구성합니다.

  3. 클라이언트 보안 비밀번호를 만듭니다.

  4. Azure 구독 ID를 해당 통합 매개변수의 값으로 사용합니다.

Microsoft Entra 앱 만들기

  1. 사용자 관리자 또는 비밀번호 관리자로 Azure 포털에 로그인합니다.

  2. Microsoft Entra ID를 선택합니다.

  3. 앱 등록 > 새 등록으로 이동합니다.

  4. 앱 이름을 입력합니다.

  5. 등록을 클릭합니다.

  6. 통합 매개변수를 구성할 때 나중에 사용할 수 있도록 애플리케이션 (클라이언트) ID디렉터리 (테넌트) ID 값을 저장합니다.

API 권한 구성

  1. API 권한 > 권한 추가로 이동합니다.

  2. Azure Service Management > Delegated permissions(위임된 권한)를 선택합니다.

  3. 권한 선택 섹션에서 다음 권한을 선택합니다.

    • user_impersonation

  4. Microsoft Graph> 위임된 권한을 선택합니다.

  5. 권한 선택 섹션에서 다음 권한을 선택합니다.

    • SecurityEvents.Read.All
    • SecurityEvents.ReadWrite.All
    • User.Read

  6. Microsoft Graph > 애플리케이션 권한을 선택합니다.

  7. 권한 선택 섹션에서 다음 권한을 선택합니다.

    • SecurityEvents.Read.All
    • SecurityEvents.ReadWrite.All

  8. 권한 추가를 클릭합니다.

  9. YOUR_ORGANIZATION_NAME에 대한 관리자 동의 허용을 클릭합니다.

    관리자 동의 부여 확인 대화상자가 표시되면 를 클릭합니다.

클라이언트 보안 비밀번호 만들기

  1. 인증서 및 보안 비밀 > 새 클라이언트 보안 비밀번호로 이동합니다.

  2. 클라이언트 보안 비밀번호에 대한 설명을 입력하고 만료 기한을 설정합니다.

  3. 추가를 클릭합니다.

  4. 통합을 구성할 때 Client Secret 매개변수 값으로 사용할 수 있도록 클라이언트 보안 비밀번호 (보안 비밀번호 ID 아님) 값을 저장합니다. 클라이언트 보안 비밀번호 값은 한 번만 표시됩니다.

Azure 구독 ID와의 통합 구성

  1. Microsoft Defender for Cloud에서 개요 탭으로 이동합니다.

  2. Azure 구독을 클릭합니다.

  3. Azure 구독 ID 값을 복사하여 통합 매개변수를 구성할 때 Subscription ID 매개변수에 입력합니다.

OAuth 인증 구성

Microsoft Defender for Cloud의 OAuth 인증을 구성하려면 다음 단계를 완료하세요.

  1. Microsoft Entra 앱을 만듭니다.

  2. 앱의 API 권한을 구성합니다.

  3. 클라이언트 보안 비밀번호를 만듭니다.

  4. Azure 구독 ID를 해당 통합 매개변수의 값으로 사용합니다.

Microsoft Entra 앱 만들기

애플리케이션을 만들고 선택한 사용자를 가장하려면 다음 단계를 따르세요.

  1. 사용자 관리자 또는 비밀번호 관리자로 Azure 포털에 로그인합니다.

  2. Microsoft Entra ID를 선택합니다.

  3. 앱 등록 > 새 등록으로 이동합니다.

  4. 앱 이름을 입력합니다.

  5. 적절한 지원되는 계정 유형을 선택합니다.

  6. 리디렉션 URLhttp://localhost 값을 입력합니다.

  7. 등록을 클릭합니다.

  8. 나중에 통합을 구성하는 데 사용할 수 있도록 애플리케이션 (클라이언트) ID디렉터리 (테넌트) ID 값을 저장합니다.

API 권한 구성

  1. API 권한 > 권한 추가로 이동합니다.

  2. Azure Service Management > Delegated permissions(위임된 권한)를 선택합니다.

  3. 권한 선택 섹션에서 다음 권한을 선택합니다.

    • user_impersonation

  4. Microsoft Graph> 위임된 권한을 선택합니다.

  5. 권한 선택 섹션에서 다음 권한을 선택합니다.

    • SecurityEvents.Read.All
    • SecurityEvents.ReadWrite.All
    • User.Read

  6. Microsoft Graph > 애플리케이션 권한을 선택합니다.

  7. 권한 선택 섹션에서 다음 권한을 선택합니다.

    • SecurityEvents.Read.All
    • SecurityEvents.ReadWrite.All

  8. 권한 추가를 클릭합니다.

  9. YOUR_ORGANIZATION_NAME에 대한 관리자 동의 허용을 클릭합니다.

    관리자 동의 부여 확인 대화상자가 표시되면 를 클릭합니다.

클라이언트 보안 비밀번호 만들기

  1. 인증서 및 보안 비밀 > 새 클라이언트 보안 비밀번호로 이동합니다.

  2. 클라이언트 보안 비밀번호에 대한 설명을 입력하고 만료 기한을 설정합니다.

  3. 추가를 클릭합니다.

  4. 통합을 구성할 때 Client Secret 매개변수 값으로 사용할 수 있도록 클라이언트 보안 비밀번호 (보안 비밀번호 ID 아님) 값을 저장합니다. 클라이언트 보안 비밀번호 값은 한 번만 표시됩니다.

Azure 구독 ID와의 통합 구성

  1. Microsoft Defender for Cloud에서 개요 탭으로 이동합니다.

  2. Azure 구독을 클릭합니다.

  3. Azure 구독 ID 값을 복사하여 통합을 구성할 때 Subscription ID 매개변수에 입력합니다.

Google SecOps에서 OAuth 인증 구성

Google SecOps 플랫폼에서 Microsoft Defender for Cloud의 OAuth 인증을 구성하려면 다음 단계를 완료하세요.

  1. 통합 파라미터를 구성하고 저장합니다.

  2. 갱신 토큰을 생성합니다.

    • 선택사항: Google SecOps에서 케이스를 시뮬레이션합니다.

    • OAuth 승인 코드 가져오기 작업을 수동으로 실행합니다.

    • 토큰 생성 작업을 수동으로 실행합니다.

  3. 획득한 새로고침 토큰을 Refresh Token 매개변수 값으로 입력하고 구성을 저장합니다.

통합 파라미터 구성

Google SecOps에서 이전 단계에서 획득한 클라이언트 ID, 클라이언트 보안 비밀번호, 테넌트 ID, 구독 ID 값으로 통합 매개변수를 구성합니다.

갱신 토큰 생성

갱신 토큰을 생성하려면 기존 케이스에서 수동 작업을 실행해야 합니다. Google Security Operations 인스턴스가 새로 만들어졌고 기존 케이스가 없는 경우 케이스를 시뮬레이션합니다.

케이스 시뮬레이션

Google SecOps에서 케이스를 시뮬레이션하려면 다음 단계를 따르세요.

  1. 왼쪽 탐색 메뉴에서 케이스를 선택합니다.

  2. 케이스 페이지에서 추가 > 케이스 시뮬레이션을 클릭합니다.

  3. 기본 케이스를 선택하고 만들기를 클릭합니다. 어떤 사례를 시뮬레이션하든 상관없습니다.

  4. 시뮬레이션을 클릭합니다.

    기본값이 아닌 환경이 있고 이를 사용하려면 올바른 환경을 선택하고 시뮬레이션을 클릭합니다.

  5. 케이스 탭에서 새로고침을 클릭합니다. 시뮬레이션한 케이스가 케이스 목록에 표시됩니다.

OAuth 승인 코드 가져오기 작업 실행

시뮬레이션한 Google SecOps 케이스 또는 기존 케이스를 사용하여 OAuth 승인 코드 가져오기 작업을 수동으로 실행합니다.

  1. Cases 탭에서 시뮬레이션된 케이스를 선택하여 케이스 보기를 엽니다.

  2. 수동 작업을 클릭합니다.

  3. 직접 조치 검색 필드에 Azure Security Center를 입력합니다.

  4. Azure Security Center 통합 아래의 검색 결과에서 OAuth 승인 코드 가져오기를 선택합니다. 이 작업은 Microsoft Entra 앱에 대화형으로 로그인하는 데 사용되는 승인 링크를 반환합니다.

  5. Redirect URL 매개변수 필드에 Microsoft Entra 앱을 만들 때 사용한 URL을 입력합니다.

  6. 실행을 클릭합니다.

  7. 작업이 실행된 후 시뮬레이션된 케이스의 케이스 월로 이동합니다. Azure Security Center_Get OAuth Authorization Code 작업 레코드에서 View More를 클릭하고 승인 링크를 복사합니다.

  8. 시크릿 모드에서 새 브라우저 창을 열고 생성된 승인 URL을 붙여넣습니다. Azure 로그인 페이지가 열립니다.

  9. 통합에 선택한 사용자 인증 정보로 로그인합니다. 로그인하면 브라우저가 주소 표시줄에 코드를 포함하여 리디렉션됩니다.

    코드가 포함된 결과 URL의 예는 다음과 같습니다.

    http://localhost/?code=0.ATwAylKP1BpbCEeO0Ou5iiakalBV.......nIAA&state=12345&session_state=28084547-3dea-449a-8b4c-c1671342a39d#

  10. URL에서 http://localhost/?code= 뒤에 나오는 액세스 코드 부분을 복사합니다. OAuth 갱신 토큰 가져오기 작업을 실행하려면 이 액세스 코드가 필요합니다.

OAuth 갱신 토큰 가져오기 작업을 실행합니다.

시뮬레이션한 Google SecOps 케이스를 사용하여 OAuth 갱신 토큰 가져오기 작업을 수동으로 실행합니다.

  1. Cases 탭에서 시뮬레이션된 케이스를 선택하여 케이스 보기를 엽니다.

  2. 수동 작업을 클릭합니다.

  3. 직접 조치 검색 필드에 Azure Security Center를 입력합니다.

  4. Azure Security Center 통합 아래의 검색 결과에서 OAuth 새로고침 토큰 가져오기를 선택합니다.

  5. Authorization Code 매개변수 필드에 OAuth 승인 코드 가져오기 작업을 실행한 후 획득한 액세스 코드를 입력합니다.

  6. 실행을 클릭합니다.

  7. 작업이 실행된 후 시뮬레이션된 케이스의 케이스 월로 이동합니다. Azure Security Center_Get OAuth Refresh Token 작업 레코드에서 더보기를 클릭합니다.

  8. 생성된 갱신 토큰의 전체 값을 복사합니다.

새로고침 토큰 매개변수 구성

  1. Azure Security Center 통합의 구성 대화상자로 이동합니다.

  2. 이전 단계의 새로고침 토큰 값을 새로고침 토큰 필드에 입력합니다.

  3. 저장을 클릭합니다.

Google SecOps와 Azure Security Center 통합

Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.

통합 입력

다음 매개변수를 사용하여 통합을 구성합니다.

매개변수 표시 이름 유형 기본값 필수 항목 설명
클라이언트 ID 문자열 해당 사항 없음 Microsoft Entra 애플리케이션의 클라이언트 ID입니다.
클라이언트 보안 비밀번호 비밀번호 해당 사항 없음 Microsoft Entra 애플리케이션의 클라이언트 보안 비밀번호입니다.
사용자 이름 문자열 해당 사항 없음 아니요 Microsoft Entra 계정의 사용자 이름입니다.
비밀번호 비밀번호 해당 사항 없음 아니요 Microsoft Entra 계정의 비밀번호입니다.
구독 ID 문자열 해당 사항 없음

정보를 쿼리하려는 구독의 ID입니다.

참고: 구독 ID가 통합 수준 및 작업 수준에서 제공되는 경우 작업 구성이 우선합니다.
테넌트 ID 문자열 해당 사항 없음 Microsoft Entra 애플리케이션의 테넌트 ID입니다.
갱신 토큰 비밀번호 해당 사항 없음 OAuth 승인의 갱신 토큰입니다.
SSL 확인 체크박스 선택 해제 사용 설정하면 Microsoft Defender for Cloud 서버 연결에 사용되는 SSL 인증서가 유효한지 확인합니다.

작업

OAuth 승인 코드 가져오기

갱신 토큰을 가져오기 위해 OAuth 승인 코드를 생성합니다.

매개변수

매개변수 표시 이름 유형 기본값 필수 항목 설명
리디렉션 URL 문자열 https://localhost Microsoft Entra 앱을 만들 때 사용한 리디렉션 URL을 지정합니다.

실행

이 작업은 항목에서 실행되지 않습니다.

작업 결과

스크립트 결과
스크립트 결과 이름 값 옵션
is_success is_success=False
is_success is_success=True
케이스 월
결과 유형 값/설명 유형(항목 \ 일반)
출력 메시지* 작업이 실패하지 않거나 플레이북 실행을 중지하지 않아야 합니다. 'Azure Security Center에서 승인 코드 URL이 생성되었습니다. 복사하여 브라우저에 붙여넣으세요. 그런 다음 URL에서 '코드' 부분을 복사합니다. 이 승인 코드는 'OAuth 갱신 토큰 가져오기' 작업에 사용됩니다.' ". 일반
링크

이름: 승인 코드 링크
URL: {generated link}

OAuth 갱신 토큰 가져오기

통합 구성에 필요한 갱신 토큰을 생성합니다. OAuth 승인 코드 가져오기 작업을 사용하여 승인 코드를 생성할 수 있습니다.

매개변수

매개변수 표시 이름 유형 기본값 필수 항목 설명
리디렉션 URL 문자열 https://localhost 앱을 만들 때 사용한 리디렉션 URL을 지정합니다.
승인 코드 문자열 'OAuth 승인 코드 가져오기' 작업의 승인 코드를 지정합니다.

실행

이 작업은 항목에서 실행되지 않습니다.

작업 결과

스크립트 결과
스크립트 결과 이름 값 옵션
is_success is_success=False
is_success is_success=True
JSON 결과
{
    "token_type": "Bearer",
    "scope": "user_impersonation",
    "expires_in": "3599",
    "ext_expires_in": "3599",
    "expires_on": "1628514482",
    "not_before": "1628510582",
    "resource": "https://management.azure.com",
    "access_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Im5PbzNaRH",
    "refresh_token": "0.ATwAylKP1BpbCEeO0Ou5iiakalBVs4hy5YpMhS4OVguFb9Y8AGw",
    "id_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJub25lIn0.eyJhdWQiOiI4OGIzNTU1MC1"
}
케이스 월
결과 유형 값/설명 유형(항목 \ 일반)
출력 메시지*

작업이 실패하거나 플레이북 실행을 중지하지 않습니다.

200 상태 코드가 보고된 경우(is_success = true): 'Azure Security Center에서 갱신 토큰을 생성했습니다.'

작업이 실패하고 플레이북 실행을 중지합니다.

잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류: ''OAuth 갱신 토큰 가져오기' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace)

상태 코드가 200이 아닌 경우: ''OAuth 갱신 토큰 가져오기' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error_description)

 일반

규제 표준 나열

Microsoft Defender for Cloud에서 사용 가능한 규제 표준을 나열합니다.

매개변수

매개변수 표시 이름 유형 기본값 필수 항목 설명
구독 ID 문자열 해당 사항 없음 아니요

정보를 쿼리하려는 구독의 ID를 지정합니다.

참고: 구독 ID가 통합 수준 및 작업 수준에서 제공되는 경우 작업 구성이 우선합니다.
상태 필터 CSV 실패 아니요

쉼표로 구분된 상태 목록을 지정합니다. 예시: Failed, Skipped. 상태가 일치하는 표준만 반환됩니다. 예를 들어 'Failed'를 지정하면 실패한 표준만 반환됩니다.

가능한 값: Passed,Failed,Unsupported,Skipped
반환할 최대 표준 수 문자열 50 아니요 반환할 표준 수를 지정합니다.

실행

이 작업은 항목에서 실행되지 않습니다.

작업 결과

스크립트 결과
스크립트 결과 이름 값 옵션
is_success is_success=False
is_success is_success=True
JSON 결과
{
    "value": [
        {
            "id": "/subscriptions/a052d33b-b7c4-4dc7-9e17-5c89ea594669/providers/Microsoft.Security/regulatoryComplianceStandards/Azure-CIS-1.1.0",
            "name": "Azure-CIS-1.1.0",
            "type": "Microsoft.Security/regulatoryComplianceStandards",
            "properties": {
                "state": "Failed",
                "passedControls": 21,
                "failedControls": 3,
                "skippedControls": 0,
                "unsupportedControls": 87
            }
        }
    ]
}
케이스 월
결과 유형 값/설명 유형(항목 \ 일반)
출력 메시지*

작업이 실패하거나 플레이북 실행을 중지하지 않습니다.

상태 코드가 200이고 필터링 후에 데이터가 있는 경우: 'Microsoft Azure Security Center에서 제공된 표준에 대한 규제 제어를 성공적으로 검색했습니다.'

상태 코드가 200이고 필터링 후 데이터가 없는 경우: 'Microsoft Azure Security Center에서 규제 표준을 찾을 수 없습니다.'

작업이 실패하고 플레이북 실행을 중지합니다.

치명적인 오류, 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 SDK 오류가 보고되는 경우: ''규제 표준 나열' 작업을 실행하는 중에 오류가 발생했습니다.' 이유: {0}'.format(error.Stacktrace)

상태 필터에 잘못된 값이 포함된 경우: ''규제 표준 나열' 작업을 실행하는 중에 오류가 발생했습니다. 이유: '상태 필터' 매개변수는 'Passed', 'Failed', 'Skipped', 'Unsupported' 값만 포함해야 합니다.'

 일반
케이스 월 테이블

이름: 규제 표준

열:

  • 이름
  • 상태
  • 통과된 제어
  • 실패한 컨트롤
  • 건너뛴 제어
  • 지원되지 않는 제어
 일반

규제 표준 제어 나열

Microsoft Defender for Cloud의 표준과 관련된 사용 가능한 컨트롤을 나열합니다.

매개변수

매개변수 표시 이름 유형 기본값 필수 항목 설명
구독 ID 문자열 해당 사항 없음 아니요

정보를 쿼리하려는 구독의 ID를 지정합니다.

참고: 구독 ID가 통합 수준 및 작업 수준에서 제공되는 경우 작업 구성이 우선합니다.
표준 이름 CSV 세부정보를 검색할 쉼표로 구분된 표준 이름 목록을 지정합니다. 예시: Azure-CIS-1.1.0
상태 필터 CSV 실패 아니요

쉼표로 구분된 상태 목록을 지정합니다. 예시: Failed, Skipped. 상태가 일치하는 제어만 반환됩니다. 예를 들어 'Failed'로 지정하면 실패한 제어만 반환됩니다.

가능한 값: Passed,Failed,Unsupported,Skipped
반환할 최대 제어 수 문자열 50 아니요 표준별로 반환할 제어 수를 지정합니다.

실행

이 작업은 항목에서 실행되지 않습니다.

작업 결과

스크립트 결과
스크립트 결과 이름 값 옵션
is_success is_success=False
is_success is_success=True
JSON 결과
{
    "results": [
      "Name": "{Standard_name}",
      "Controls":
[
        {
            "id": "/subscriptions/a052d33b-b7c4-4dc7-9e17-5c89ea594669/providers/Microsoft.Security/regulatoryComplianceStandards/Azure-CIS-1.1.0",
            "name": "Azure-CIS-1.1.0",
            "type": "Microsoft.Security/regulatoryComplianceStandards",
            "properties": {
                "state": "Failed",
                "passedControls": 21,
                "failedControls": 3,
                "skippedControls": 0,
                "unsupportedControls": 87
            }
        }
    ]
}
케이스 월
결과 유형 값/설명 유형(항목 \ 일반)
출력 메시지*

작업이 실패하거나 플레이북 실행을 중지하지 않습니다.

상태 코드가 200이고 필터링 후 하나 이상의 표준에 대한 데이터가 있는 경우(is_success = true): 'Microsoft Azure Security Center에서 다음 표준에 대한 규제 제어를 성공적으로 검색했습니다.:\n {0}'.format(standard)

표준 실패(is_success = true): '작업에서 Microsoft Azure Security Center의 다음 표준에 대한 규제 제어를 검색할 수 없습니다.\n {0}'.format(standard)

필터링 후 일부 표준에 대한 데이터가 없는 경우(is_success=true): 'Microsoft Azure Security Center에서 다음 표준에 대한 규제 제어를 찾을 수 없습니다.\n {0}'.format(standard)

필터를 기반으로 모든 표준에 대한 데이터가 발견되지 않은 경우: '제공된 표준에 대한 규제 제어를 찾을 수 없습니다.'

작업이 실패하고 플레이북 실행을 중지합니다.

치명적인 오류, 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 SDK 오류가 보고되는 경우: ''규제 표준 제어 나열' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace)

상태 필터에 잘못된 값이 포함된 경우: ''규제 표준 제어 나열' 작업을 실행하는 중에 오류가 발생했습니다. 이유: '상태 필터' 매개변수는 'Passed', 'Failed', 'Skipped', 'Unsupported' 값만 포함해야 합니다.'

 일반
케이스 월 테이블

표 이름: '규제 관리: {0}'.format(Standard)

열:

  • 이름
  • 상태
  • 설명
  • 통과된 평가
  • 평가 실패
  • 건너뛴 평가
 일반

Google Security Operations Marketplace 탭의 통합 구성 페이지에서 제공된 매개변수를 사용하여 Microsoft Defender for Cloud에 대한 연결을 테스트합니다.

실행

이 작업은 항목에서 실행되지 않습니다.

작업 결과

스크립트 결과
스크립트 결과 이름 값 옵션
is_success is_success=False
is_success is_success=True
케이스 월
결과 유형 값 / 설명 유형
출력 메시지*

작업이 실패하거나 플레이북 실행을 중지하지 않습니다.

성공한 경우: '제공된 연결 매개변수를 사용하여 Azure Security Center 서버에 성공적으로 연결했습니다.'

작업이 실패하고 플레이북 실행을 중지합니다.

실패한 경우: 'Azure Security Center 서버에 연결하지 못했습니다. 오류: {0}".format(exception.stacktrace)

 일반

알림 상태 업데이트

Microsoft Defender for Cloud에서 알림 상태를 업데이트합니다.

매개변수

매개변수 표시 이름 유형 기본값 필수 항목 설명
구독 ID 문자열 해당 사항 없음 아니요

정보를 쿼리하려는 구독의 ID를 지정합니다.

참고: 구독 ID가 통합 수준 및 작업 수준에서 제공되는 경우 작업 구성이 우선합니다.
알림 ID 문자열 해당 사항 없음 상태를 업데이트할 알림의 ID를 지정합니다.
위치 문자열 해당 사항 없음 알림의 위치를 지정합니다. 예시: centralus.
상태 DDL

해결

가능한 값은 다음과 같습니다.

  • 닫기
  • 재활성화
  • 해결
 알림 상태를 지정합니다.

실행

이 작업은 항목에서 실행되지 않습니다.

작업 결과

스크립트 결과
스크립트 결과 이름 값 옵션
is_success is_success=False
is_success is_success=True
케이스 월
결과 유형 값 / 설명 유형
출력 메시지*

작업이 실패하거나 플레이북 실행을 중지하지 않습니다.

상태 코드 204 (is_success = true) : 'Microsoft Azure Security Center에서 ID가 {1}인 알림에 {0} 성공:\n {0}'.format(dismissed/resolved/reactivated, alert_id)

응답에 '오류' 있음 (is_success = false) : 'Microsoft Azure Security Center에서 ID가 {1}인 알림에 {0} 실패. 이유: {2}'.format(dismiss/resolve/reactivate, alert_id, errors/message)

작업이 실패하고 플레이북 실행을 중지합니다.

치명적인 오류, 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 SDK 오류가 보고되는 경우: ''알림 상태 업데이트' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace)

 일반

커넥터

Google SecOps에서 커넥터를 구성하는 방법에 대한 자세한 내용은 커넥터 구성을 참고하세요.

Azure Security Center - 보안 알림 커넥터

Microsoft Defender for Cloud에서 보안 알림을 가져옵니다.

커넥터 매개변수

다음 매개변수를 사용하여 커넥터를 구성합니다.

매개변수 표시 이름 유형 기본값 필수 항목 설명
제품 필드 이름 문자열 제품 이름 제품 필드 이름을 가져오려면 소스 필드 이름을 입력합니다.
이벤트 필드 이름 문자열 resourceType 이벤트 필드 이름을 가져오려면 소스 필드 이름을 입력합니다.
환경 필드 이름 문자열 "" 아니요

환경 이름이 저장된 필드의 이름을 설명합니다.

환경 필드를 찾을 수 없으면 환경이 기본 환경입니다.
환경 정규식 패턴 문자열 .* 아니요

'환경 필드 이름' 필드에 있는 값에서 실행할 정규식 패턴입니다.

기본값은 .*로서 모두 포착하고 변경되지 않은 값을 반환합니다.

사용자가 정규식 로직을 통해 환경 필드를 조작할 수 있도록 허용하는 데 사용됩니다.

정규식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다.
스크립트 제한 시간(초) 정수 180 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도입니다.
클라이언트 ID 문자열 해당 사항 없음 Microsoft Entra 애플리케이션의 클라이언트 ID입니다.
클라이언트 보안 비밀번호 비밀번호 해당 사항 없음 Microsoft Entra 애플리케이션의 클라이언트 보안 비밀번호입니다.
사용자 이름 문자열 해당 사항 없음 Microsoft Entra 계정의 사용자 이름입니다.
비밀번호 비밀번호 해당 사항 없음 Microsoft Entra 계정의 비밀번호입니다.
구독 ID 문자열 해당 사항 없음 Microsoft Entra 애플리케이션의 구독 ID
테넌트 ID 문자열 해당 사항 없음 Microsoft Entra 애플리케이션의 테넌트 ID입니다.
가져올 가장 낮은 심각도 문자열 적음

알림을 가져오는 데 사용할 가장 낮은 심각도입니다.

가능한 값: Low, Medium, High
가져올 최대 알림 수 정수 50 아니요 커넥터 반복당 처리할 알림 수입니다.
최대 이전 시간 정수 1 아니요 알림을 가져올 이전 시간입니다.
허용 목록을 차단 목록으로 사용 체크박스 선택 해제 사용 설정하면 동적 목록이 차단 목록으로 사용됩니다.
SSL 확인 체크박스 선택 해제 사용 설정하면 Microsoft Defender for Cloud 서버 연결에 대한 SSL 인증서가 유효한지 확인합니다.
프록시 서버 주소 문자열 해당 사항 없음 아니요 사용할 프록시 서버의 주소입니다.
프록시 사용자 이름 문자열 해당 사항 없음 아니요 인증할 프록시 사용자 이름입니다.
프록시 비밀번호 비밀번호 해당 사항 없음 아니요 인증할 프록시 비밀번호입니다.
토큰 갱신 비밀번호 해당 사항 없음 아니요 OAuth 승인의 갱신 토큰입니다.

커넥터 규칙

프록시 지원

커넥터가 프록시를 지원합니다.

작업

Google 보안 운영에서 작업을 구성하려면 응답 > 작업 스케줄러로 이동합니다.

갱신 토큰 갱신 작업

갱신 토큰 갱신 작업의 목표는 통합에 사용되는 갱신 토큰을 주기적으로 업데이트하는 것입니다.

기본적으로 갱신 토큰은 90일마다 만료되므로 만료되면 통합을 사용할 수 없습니다. 갱신 토큰이 최신 상태인지 확인하려면 7일 또는 14일마다 이 작업을 실행하는 것이 좋습니다.

작업 입력

작업을 구성하려면 다음 매개변수를 사용하세요.

매개변수
통합 환경 선택사항

작업이 갱신 토큰을 업데이트하는 통합 환경입니다.

이 매개변수는 여러 값을 쉼표로 구분된 문자열로 허용합니다. 개별 값을 따옴표 (" ")로 묶습니다.
커넥터 이름 선택사항

작업에서 갱신 토큰을 업데이트하는 커넥터 이름입니다.

이 매개변수는 여러 값을 쉼표로 구분된 문자열로 허용합니다. 개별 값을 따옴표 (" ")로 묶습니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.