Halaman ini diterjemahkan oleh Cloud Translation API.

Microsoft Graph Security

Dokumen ini memberikan panduan tentang cara mengintegrasikan Microsoft Graph Security API dengan Google Security Operations (Google SecOps).

Versi integrasi: 20.0

Dokumen ini merujuk pada Microsoft Graph Security API. Di platform Google SecOps, integrasi untuk Microsoft Graph Security API disebut Microsoft Graph Security.

‌Sebelum memulai

Sebelum mengonfigurasi integrasi di platform Google SecOps, selesaikan langkah-langkah berikut:

Buat aplikasi Microsoft Entra.
Konfigurasi izin API untuk aplikasi Anda.
Buat rahasia klien.

Buat aplikasi Microsoft Entra

Untuk membuat aplikasi Microsoft Entra, selesaikan langkah-langkah berikut:

Login ke portal Azure sebagai administrator pengguna atau administrator sandi.
Pilih Microsoft Entra ID.
Buka App registrations > New registration.
Masukkan nama aplikasi.
Di kolom URI Pengalihan, masukkan http://localhost/.
Klik Daftar.
Simpan nilai Application (client) ID dan Directory (tenant) ID untuk menggunakannya nanti guna mengonfigurasi parameter integrasi.

Mengonfigurasi izin API

Untuk mengonfigurasi izin API untuk integrasi, selesaikan langkah-langkah berikut:

Di portal Azure, buka API Permissions > Add a permission.
Pilih Microsoft Graph > Izin aplikasi.
Di bagian Select Permissions, pilih izin wajib berikut:
- User.ReadWrite.All
- Mail.Read
- Directory.ReadWrite.All
- Directory.AccessAsUser.All
- SecurityEvents.ReadWrite.All
- SecurityEvents.Read.All
Klik Add permissions.
Klik Grant admin consent for YOUR_ORGANIZATION_NAME.

Saat dialog Konfirmasi pemberian izin admin muncul, klik Ya.

Buat rahasia klien

Untuk membuat rahasia klien, selesaikan langkah-langkah berikut:

Buka Certificates and secrets > New client secret.
Berikan deskripsi untuk rahasia klien dan tetapkan tenggat waktu habis masa berlakunya.
Klik Tambahkan.
Simpan nilai rahasia klien (bukan ID rahasia) untuk menggunakannya sebagai nilai parameter Secret ID untuk mengonfigurasi integrasi. Nilai rahasia klien hanya ditampilkan satu kali.

Mengintegrasikan Microsoft Graph Security API dengan Google SecOps

Integrasi memerlukan parameter berikut:

Parameter	Deskripsi
`Client ID`	Wajib ID klien (aplikasi) aplikasi Microsoft Entra yang akan digunakan dalam integrasi.
`Secret ID`	Opsional Nilai rahasia klien aplikasi Microsoft Entra yang akan digunakan dalam integrasi.
`Certificate Path`	Opsional Jika Anda menggunakan autentikasi berdasarkan sertifikat, bukan rahasia klien, masukkan jalur ke sertifikat di server Google SecOps.
`Certificate Password`	Opsional Jika sertifikat autentikasi yang Anda gunakan dilindungi sandi, tentukan sandi untuk membuka file sertifikat.
`Tenant`	Wajib Nilai Microsoft Entra ID (ID tenant).
`Use V2 API`	Opsional Jika diaktifkan, konektor akan menggunakan endpoint API V2. Catatan: struktur pemberitahuan dan peristiwa akan berubah.

Untuk mengetahui petunjuk tentang cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.

Anda dapat melakukan perubahan di tahap berikutnya jika diperlukan. Setelah mengonfigurasi instance integrasi, Anda dapat menggunakannya dalam playbook. Untuk mengetahui informasi selengkapnya tentang mengonfigurasi dan mendukung beberapa instance, lihat Mendukung beberapa instance.

Tindakan

Untuk mengetahui informasi selengkapnya tentang tindakan, lihat Merespons tindakan tertunda dari meja kerja Anda dan Melakukan tindakan manual.

Tambahkan Komentar Pemberitahuan

Gunakan tindakan Tambahkan Komentar Notifikasi untuk menambahkan komentar ke notifikasi di Microsoft Graph.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Add Alert Comment memerlukan parameter berikut:

Parameter	Deskripsi
`Alert ID`	Wajib ID pemberitahuan yang akan diperbarui.
`Comment`	Wajib Komentar untuk notifikasi.

Output tindakan

Tindakan Tambahkan Komentar Notifikasi memberikan output berikut:

Jenis output tindakan	Ketersediaan
Lampiran repositori kasus	Tidak tersedia
Link repositori kasus	Tidak tersedia
Tabel repositori kasus	Tidak tersedia
Tabel pengayaan	Tidak tersedia
Hasil JSON	Tidak tersedia
Pesan output	Tersedia
Hasil skrip	Tersedia

Pesan output

Tindakan Tambahkan Komentar Notifikasi dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan

Pesan output	Deskripsi pesan
`Successfully added comment to the alert ALERT_ID in Microsoft Graph.`	Tindakan berhasil.
`Error executing action "Add Alert Comment". Reason: ERROR_REASON`	Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial.

Successfully added comment to the alert ALERT_ID in Microsoft Graph.

Tindakan berhasil.

Error executing action "Add Alert Comment". Reason:
      ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Tambahkan Komentar Pemberitahuan:

Nama hasil skrip	Nilai
`is_success`	`True` atau `False`

Mendapatkan Izin Administrator

Gunakan tindakan Dapatkan Izin Administrator untuk memberikan izin aplikasi Anda di portal Azure.

Tindakan ini berjalan di semua entity Google SecOps.

Input tindakan

Tindakan Dapatkan Izin Administrator memerlukan parameter berikut:

Parameter	Deskripsi
`Redirect URL`	Wajib URL pengalihan yang Anda gunakan saat mendaftar di portal Azure.

Output tindakan

Tindakan Dapatkan Izin Administrator memberikan output berikut:

Jenis output tindakan	Ketersediaan
Lampiran repositori kasus	Tidak tersedia
Link repositori kasus	Tidak tersedia
Tabel repositori kasus	Tidak tersedia
Tabel pengayaan	Tidak tersedia
Hasil JSON	Tidak tersedia
Hasil skrip	Tersedia

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Dapatkan Izin Administrator:

Nama hasil skrip	Nilai
`is_connected`	`True` atau `False`

Mendapatkan Pemberitahuan

Gunakan tindakan Get Alert untuk mengambil properti dan hubungan pemberitahuan menggunakan ID pemberitahuan.

Tindakan ini berjalan di semua entity Google SecOps.

Input tindakan

Tindakan Get Alert memerlukan parameter berikut:

Parameter	Deskripsi
`Alert ID`	Wajib ID pemberitahuan untuk mengambil detailnya.

Output tindakan

Tindakan Get Alert memberikan output berikut:

Jenis output tindakan	Ketersediaan
Lampiran repositori kasus	Tidak tersedia
Link repositori kasus	Tidak tersedia
Tabel repositori kasus	Tidak tersedia
Tabel pengayaan	Tidak tersedia
Hasil JSON	Tidak tersedia
Hasil skrip	Tersedia

Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Get Alert:

{
  "feedback": "@odata.type: microsoft.graph.alertFeedback",
  "recommendedActions": ["String"],
  "networkConnections":
    [{
      "applicationName": "String",
      "natDestinationPort": "String",
      "destinationAddress": "String",
      "localDnsName": "String",
      "natDestinationAddress": "String",
      "destinationUrl": "String",
      "natSourceAddress": "String",
      "sourceAddress": "String",
      "direction": "@odata.type: microsoft.graph.connectionDirection",
      "domainRegisteredDateTime": "String (timestamp)",
      "status": "@odata.type: microsoft.graph.connectionStatus",
      "destinationDomain": "String",
      "destinationPort": "String",
      "sourcePort": "String",
      "protocol": "@odata.type: microsoft.graph.securityNetworkProtocol",
      "natSourcePort": "String",
      "riskScore": "String",
      "urlParameters": "String"
     }],
  "cloudAppStates":
    [{
      "destinationServiceIp": "String",
      "riskScore": "String",
      "destinationServiceName": "String"
     }],
  "detectionIds": ["String"],
  "id": "String (identifier)",
  "category": "String",
  "fileStates":
    [{
      "path": "String",
      "riskScore": "String",
      "name": "String",
      "fileHash":
        {
          "hashType": "@odata.type: microsoft.graph.fileHashType",
          "hashValue": "String"
         }
     }],
  "severity": "@odata.type: microsoft.graph.alertSeverity",
  "title": "String",
  "sourceMaterials": ["String"],
  "comments": ["String"],
  "assignedTo": "String",
  "eventDateTime": "String (timestamp)",
  "activityGroupName": "String",
  "status": "@odata.type: microsoft.graph.alertStatus",
  "description": "String",
  "tags": ["String"],
  "confidence": 1024,
  "vendorInformation":
      {
        "providerVersion": "String",
        "vendor": "String",
        "subProvider": "String",
        "provider": "String"
      },
  "userStates":
      [{
        "emailRole": "@odata.type: microsoft.graph.emailRole",
        "logonId": "String",
        "domainName": "String",
        "onPremisesSecurityIdentifier": "String",
        "userPrincipalName": "String",
        "userAccountType": "@odata.type: microsoft.graph.userAccountSecurityType",
        "logonIp": "String",
        "logonDateTime": "String (timestamp)",
        "logonType": "@odata.type: microsoft.graph.logonType",
        "logonLocation": "String",
        "aadUserId": "String",
        "accountName": "String",
        "riskScore": "String",
        "isVpn": "true"
        }],
 "malwareStates":
      [{
        "category": "String",
        "wasRunning": "true",
        "name": "String",
        "family": "String",
        "severity": "String"
       }],
  "processes":
      [{
        "processId": 1024,
        "integrityLevel": "@odata.type: microsoft.graph.processIntegrityLevel",
        "name": "String",
        "fileHash":
            {
              "hashType": "@odata.type: microsoft.graph.fileHashType",
              "hashValue": "String"
            },
       "parentProcessId": 1024,
       "createdDateTime": "String (timestamp)",
       "commandLine": "String",
       "parentProcessName": "String",
       "accountName": "String",
       "isElevated": "true",
       "path": "String",
       "parentProcessCreatedDateTime": "String (timestamp)"
      }],
  "azureTenantId": "String",
  "triggers":
     [{
       "type": "String",
       "name": "String",
       "value": "String"
      }],
  "createdDateTime": "String (timestamp)",
  "vulnerabilityStates":
     [{
       "cve": "String",
       "severity": "String",
       "wasRunning": "true"
     }],
  "hostStates":
     [{
       "isAzureAadRegistered": "true",
       "riskScore": "String",
       "fqdn": "String",
       "isHybridAzureDomainJoined": "true",
       "netBiosName": "String",
       "publicIpAddress": "String",
        "isAzureAadJoined": "true",
        "os": "String",
        "privateIpAddress": "String"
      }],
  "lastModifiedDateTime": "String (timestamp)",
  "registryKeyStates":
      [{
        "processId": 1024,
        "oldKey": "String",
        "oldValueName": "String",
         "valueType": "@odata.type: microsoft.graph.registryValueType",
        "oldValueData": "String",
        "hive": "@odata.type: microsoft.graph.registryHive",
        "valueData": "String",
        "key": "String",
        "valueName": "String",
        "operation": "@odata.type: microsoft.graph.registryOperation"
       }],
  "closedDateTime": "String (timestamp)",
  "azureSubscriptionId": "String"
}

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Get Alert:

Nama hasil skrip	Nilai
`alert_details`	`True` atau `False`

Mendapatkan Insiden

Gunakan tindakan Get Incident untuk mendapatkan detail insiden keamanan menggunakan ID insiden.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Get Incident memerlukan parameter berikut:

Parameter	Deskripsi
`Incident ID`	Wajib ID insiden untuk mendapatkan detailnya.

Output tindakan

Tindakan Get Incident memberikan output berikut:

Jenis output tindakan	Ketersediaan
Lampiran repositori kasus	Tidak tersedia
Link repositori kasus	Tidak tersedia
Tabel repositori kasus	Tidak tersedia
Tabel pengayaan	Tidak tersedia
Hasil JSON	Tidak tersedia
Pesan output	Tersedia
Hasil skrip	Tersedia

Pesan output

Tindakan Get Incident dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan

Pesan output	Deskripsi pesan
`Successfully returned information about the incident INCIDENT_ID.`	Tindakan berhasil.
`Error executing action "Get Incident". Reason: ERROR_REASON`	Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial.

Successfully returned information about the incident INCIDENT_ID.

Tindakan berhasil.

Error executing action "Get Incident". Reason:
      ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Get Incident:

Nama hasil skrip	Nilai
`is_success`	`True` atau `False`

Menghentikan Sesi Pengguna

Gunakan tindakan Akhiri Sesi Pengguna untuk membatalkan semua token refresh yang dikeluarkan ke aplikasi untuk pengguna dengan mereset properti pengguna signInSessionsValidFromDateTime ke tanggal dan waktu saat ini.

Tindakan ini berjalan di semua entity Google SecOps.

Input tindakan

Tindakan Akhiri Sesi Pengguna memerlukan parameter berikut:

Parameter	Deskripsi
`userPrincipalName\| ID`	Wajib Nama pengguna atau nilai ID Unik pengguna yang digunakan di Microsoft Entra ID.

Output tindakan

Tindakan Akhiri Sesi Pengguna memberikan output berikut:

Jenis output tindakan	Ketersediaan
Lampiran repositori kasus	Tidak tersedia
Link repositori kasus	Tidak tersedia
Tabel repositori kasus	Tidak tersedia
Tabel pengayaan	Tidak tersedia
Hasil JSON	Tidak tersedia
Hasil skrip	Tersedia

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Kill User Session:

Nama hasil skrip	Nilai
`is_success`	`True` atau `False`

Daftar Pemberitahuan

Gunakan tindakan List Alerts untuk mencantumkan pemberitahuan yang tersedia di Microsoft Graph.

Tindakan ini berjalan di semua entity Google SecOps.

Proses pemfilteran terjadi di sisi Microsoft Graph API. Untuk produk yang memublikasikan pemberitahuan ke Microsoft Graph dan tidak mendukung pemfilteran, Microsoft Graph menambahkan semua pemberitahuan ke respons seolah-olah pemberitahuan tersebut telah melewati filter.

Input tindakan

Tindakan List Alerts memerlukan parameter berikut:

Parameter	Deskripsi
`Filter Key`	Opsional Tentukan kunci yang perlu digunakan untuk memfilter pemberitahuan. Catatan: Opsi "Judul" tidak didukung di API V2.
`Filter Logic`	Opsional Logika filter yang akan diterapkan. Logika filter didasarkan pada nilai parameter `Filter Key`. Kemungkinan nilainya adalah sebagai berikut: `Not Specified` `Equal` `Contains` Nilai defaultnya adalah `Not Specified`.
`Filter Value`	Opsional Nilai yang akan digunakan dalam filter. Jika Anda memilih `Equal`, tindakan akan mencoba menemukan kecocokan persis di antara hasil. Jika Anda memilih `Contains`, tindakan akan mencoba menemukan hasil yang berisi substring yang dipilih. Jika Anda tidak menetapkan nilai, filter tidak akan diterapkan. Logika filter didasarkan pada nilai parameter `Filter Key`.
`Max Records To Return`	Opsional Jumlah catatan yang akan ditampilkan untuk setiap tindakan yang dijalankan. Nilai defaultnya adalah 50.

Output tindakan

Tindakan List Alerts memberikan output berikut:

Jenis output tindakan	Ketersediaan
Lampiran repositori kasus	Tidak tersedia
Link repositori kasus	Tidak tersedia
Tabel repositori kasus	Tidak tersedia
Tabel pengayaan	Tidak tersedia
Hasil JSON	Tersedia
Pesan output	Tersedia
Hasil skrip	Tersedia

Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan List Alerts:

{
            "id": "ID",
            "azureTenantId": "TENANT_ID",
            "azureSubscriptionId": null,
            "riskScore": null,
            "tags": [],
            "activityGroupName": null,
            "assignedTo": null,
            "category": "ImpossibleTravel",
            "closedDateTime": null,
            "comments": [],
            "confidence": null,
            "createdDateTime": "2022-04-29T13:10:59.705Z",
            "description": "Sign-in from an atypical location based on the user's recent sign-ins",
            "detectionIds": [],
            "eventDateTime": "2022-04-29T11:36:59.1520667Z",
            "feedback": null,
            "incidentIds": [],
            "lastEventDateTime": null,
            "lastModifiedDateTime": "2022-04-30T14:44:43.4742002Z",
            "recommendedActions": [],
            "severity": "medium",
            "sourceMaterials": [],
            "status": "newAlert",
            "title": "Atypical travel",
            "vendorInformation": {
                "provider": "IPC",
                "providerVersion": null,
                "subProvider": null,
                "vendor": "Microsoft"
            },
            "alertDetections": [],
            "cloudAppStates": [],
            "fileStates": [],
            "hostStates": [],
            "historyStates": [],
            "investigationSecurityStates": [],
            "malwareStates": [],
            "messageSecurityStates": [],
            "networkConnections": [],
            "processes": [],
            "registryKeyStates": [],
            "securityResources": [],
            "triggers": [],
            "userStates": [
                {
                    "aadUserId": "b786d3cf-e97d-4511-b61c-0559e9f4da75",
                    "accountName": "example.user",
                    "domainName": "example.com",
                    "emailRole": "unknown",
                    "isVpn": null,
                    "logonDateTime": "2022-04-29T11:36:59.1520667Z",
                    "logonId": null,
                    "logonIp": "203.0.113.194",
                    "logonLocation": "1800 Amphibious Blvd, Mountain View, CA 94045",
                    "logonType": null,
                    "onPremisesSecurityIdentifier": null,
                    "riskScore": null,
                    "userAccountType": null,
                    "userPrincipalName": "example.user@example.com"
                },
                {
                    "aadUserId": "b786d3cf-e97d-4511-b61c-0559e9f4da75",
                    "accountName": "example.user",
                    "domainName": "example.com",
                    "emailRole": "unknown",
                    "isVpn": null,
                    "logonDateTime": "2022-04-29T11:15:00Z",
                    "logonId": null,
                    "logonIp": "192.0.2.160",
                    "logonLocation": "ES",
                    "logonType": null,
                    "onPremisesSecurityIdentifier": null,
                    "riskScore": null,
                    "userAccountType": null,
                    "userPrincipalName": "example.user@example.com"
                }
            ],
            "uriClickSecurityStates": [],
            "vulnerabilityStates": []
}

Pesan output

Tindakan List Alerts dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan

Pesan output	Deskripsi pesan
`Successfully found alerts for the provided criteria in Microsoft Graph.` `No alerts were found for the provided criteria in Microsoft Graph.` `The filter was not applied because the "Filter Value" parameter has an empty value.`	Tindakan berhasil.
`Error executing action "List Alerts". Reason: ERROR_REASON`	Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial.

Successfully found alerts for the provided criteria in Microsoft Graph.

No alerts were found for the provided criteria in Microsoft Graph.

The filter was not applied because the "Filter Value" parameter has an empty value.

Tindakan berhasil.

Error executing action "List Alerts". Reason:
      ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan List Alerts:

Nama hasil skrip	Nilai
`alerts_details`	`ALERT_DETAILS`

Mencantumkan Insiden

Gunakan tindakan List Incidents untuk mencantumkan insiden keamanan dari Microsoft Graph berdasarkan kriteria yang diberikan.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan List Incidents memerlukan parameter berikut:

Parameter	Deskripsi
`Filter Key`	Opsional Tentukan kunci yang perlu digunakan untuk memfilter notifikasi. Catatan: Opsi "Judul" tidak didukung di API V2.
`Filter Logic`	Opsional Logika filter yang akan diterapkan. Logika filter didasarkan pada nilai parameter `Filter Key`. Kemungkinan nilainya adalah sebagai berikut: `Not Specified` `Equal` `Contains` Nilai defaultnya adalah `Not Specified`.
`Filter Value`	Opsional Nilai yang akan digunakan dalam filter. Jika Anda memilih `Equal`, tindakan akan mencoba menemukan kecocokan persis di antara hasil. Jika Anda memilih `Contains`, tindakan akan mencoba menemukan hasil yang berisi substring yang dipilih. Jika Anda tidak menetapkan nilai, filter tidak akan diterapkan. Logika filter didasarkan pada nilai parameter `Filter Key`.
`Max Records To Return`	Opsional Jumlah catatan yang akan ditampilkan untuk setiap tindakan yang dijalankan. Nilai defaultnya adalah 50.

Output tindakan

Tindakan List Incidents memberikan output berikut:

Jenis output tindakan	Ketersediaan
Lampiran repositori kasus	Tidak tersedia
Link repositori kasus	Tidak tersedia
Tabel repositori kasus	Tidak tersedia
Tabel pengayaan	Tidak tersedia
Hasil JSON	Tidak tersedia
Pesan output	Tersedia
Hasil skrip	Tersedia

Pesan output

Tindakan List Incidents dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan

Pesan output	Deskripsi pesan
`Successfully found incidents for the provided criteria in Microsoft Graph.` `No incidents were found for the provided criteria in Microsoft Graph.` `The filter was not applied because the "Filter Value" parameter has an empty value.`	Tindakan berhasil.
`Error executing action "List Incidents". Reason: ERROR_REASON`	Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial.

Successfully found incidents for the provided criteria in Microsoft Graph.

No incidents were found for the provided criteria in Microsoft Graph.

The filter was not applied because the "Filter Value" parameter has an empty value.

Tindakan berhasil.

Error executing action "List Incidents". Reason:
      ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan List Incidents:

Nama hasil skrip	Nilai
`is_success`	`True` atau `False`

Ping

Gunakan tindakan Ping untuk menguji konektivitas ke Microsoft Graph.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tidak ada.

Output tindakan

Tindakan Ping memberikan output berikut:

Jenis output tindakan	Ketersediaan
Lampiran repositori kasus	Tidak tersedia
Link repositori kasus	Tidak tersedia
Tabel repositori kasus	Tidak tersedia
Tabel pengayaan	Tidak tersedia
Hasil JSON	Tidak tersedia
Hasil skrip	Tersedia

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Ping:

Nama hasil skrip	Nilai
`is_success`	`True` atau `False`

Perbarui Notifikasi

Gunakan tindakan Perbarui Pemberitahuan untuk memperbarui properti pemberitahuan yang dapat diedit.

Tindakan ini berjalan di semua entity Google SecOps.

Input tindakan

Tindakan Update Alert memerlukan parameter berikut:

Parameter	Deskripsi
`Alert ID`	Wajib ID pemberitahuan yang akan diperbarui.
`Assigned To`	Opsional Nama analis yang ditugaskan untuk melakukan triase, penyelidikan, atau perbaikan terhadap pemberitahuan.
`Closed Date Time`	Opsional Waktu saat pemberitahuan ditutup. Jenis Stempel Waktu merepresentasikan informasi tanggal dan waktu menggunakan format ISO 8601 dan selalu dalam waktu UTC. Misalnya, tengah malam UTC pada 1 Januari 2014 akan terlihat seperti ini: '2014-01-01T00:00:00Z'. Catatan: parameter ini tidak didukung di API versi V2.
`Comments`	Opsional Komentar analis tentang pemberitahuan (untuk pengelolaan pemberitahuan pelanggan), dipisahkan dengan koma. Metode ini hanya dapat memperbarui kolom komentar dengan nilai berikut: Ditutup di IPC, Ditutup di MCAS. Catatan: di versi V2 API, parameter ini berfungsi sebagai string dan satu komentar akan ditambahkan ke Notifikasi.
`Feedback`	Opsional Masukan analis tentang pemberitahuan. Nilai yang mungkin adalah: unknown, truePositive, falsePositive, benignPositive. Catatan: di API versi V2, parameter ini dipetakan ke "classification" dan memiliki kemungkinan nilai berikut: unknown, falsePositive, truePositive, informationalExpectedActivity, unknownFutureValue.
`Status`	Opsional Status siklus proses pemberitahuan. Kemungkinan nilainya adalah sebagai berikut: `unknown` `newAlert` `inProgress` `resolved`
`Tags`	Opsional Label yang dapat ditentukan pengguna yang dapat diterapkan pada pemberitahuan. Dipisahkan dengan koma. Catatan: parameter ini tidak didukung di API versi V2.

Output tindakan

Tindakan Update Alert memberikan output berikut:

Jenis output tindakan	Ketersediaan
Lampiran repositori kasus	Tidak tersedia
Link repositori kasus	Tidak tersedia
Tabel repositori kasus	Tidak tersedia
Tabel pengayaan	Tidak tersedia
Hasil JSON	Tidak tersedia
Hasil skrip	Tersedia

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Perbarui Pemberitahuan:

Nama hasil skrip	Nilai
`is_updated`	`True` atau `False`

Konektor

Untuk mengetahui petunjuk mendetail tentang cara mengonfigurasi konektor di Google SecOps, lihat Menyerap data Anda (konektor).

Konektor Keamanan Microsoft Graph

Gunakan Microsoft Graph Security Connector untuk menyerap pemberitahuan yang dipublikasikan di Microsoft Graph Security API sebagai pemberitahuan Google SecOps. Konektor secara berkala terhubung ke endpoint keamanan Microsoft Graph dan menarik daftar insiden yang dibuat untuk jangka waktu tertentu.

Microsoft Graph Security Connector memerlukan parameter berikut:

Parameter	Deskripsi
`Product Field Name`	Wajib Nama kolom tempat nama produk disimpan. Nilai defaultnya adalah `ProductFieldName`.
`Event Field Name`	Wajib Nama kolom yang digunakan untuk menentukan nama peristiwa (subjenis). Nilai defaultnya adalah `AlertName`.
`Script Timeout (Seconds)`	Wajib Batas waktu tunggu (dalam detik) untuk proses Python yang menjalankan skrip saat ini. Nilai default-nya adalah 30 detik.
`Environment Field Name`	Opsional Nama kolom tempat nama lingkungan disimpan. Jika kolom lingkungan tidak ditemukan, lingkungan akan disetel ke `""`.
`Pattern`	Opsional Pola ekspresi reguler untuk dijalankan pada nilai yang ditemukan di kolom `Environment Field Name`. Dengan parameter ini, Anda dapat memanipulasi kolom lingkungan menggunakan logika ekspresi reguler. Gunakan nilai default `.*` untuk mengambil nilai `Environment Field Name` mentah yang diperlukan. Jika pola ekspresi reguler adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah `""`.
`Client ID`	Wajib ID klien (aplikasi) aplikasi Microsoft Entra yang akan digunakan dalam integrasi.
`Client Secret`	Opsional Nilai rahasia klien aplikasi Microsoft Entra yang akan digunakan dalam integrasi.
`Certificate Path`	Opsional Jika Anda menggunakan autentikasi berdasarkan sertifikat, bukan rahasia klien, masukkan jalur ke sertifikat di server Google SecOps.
`Certificate Password`	Opsional Jika sertifikat autentikasi yang Anda gunakan dilindungi sandi, tentukan sandi untuk membuka file sertifikat.
`Azure Active Directory ID`	Wajib Nilai Microsoft Entra ID (ID tenant).
`Offset Time In Hours`	Wajib Jumlah jam sebelum sekarang untuk mengambil pemberitahuan. Nilai defaultnya adalah 120 jam.
`Fetch Alerts only from`	Opsional Daftar penyedia yang dipisahkan koma untuk menarik pemberitahuan dari Microsoft Graph. Jika Anda menyetel parameter 'Ambil Hanya Pemberitahuan dari' ke Office 365 Security and Compliance, konektor tidak mendukung beberapa nilai dalam parameter Status Pemberitahuan yang akan diambil atau Tingkat Keparahan Pemberitahuan yang akan diambil. Jika 'Gunakan API V2' diaktifkan, parameter ini akan berfungsi dengan properti 'serviceSource' dari pemberitahuan.
`Alert Statuses to fetch`	Wajib Daftar status pemberitahuan yang dipisahkan koma untuk diambil oleh server Google SecOps. Nilai yang mungkin adalah sebagai berikut: `unknown`, `newAlert`, `inProgress`, `resolved`.
`Alert Severities to fetch`	Wajib Daftar tingkat keparahan pemberitahuan yang dipisahkan koma untuk diambil oleh server Google SecOps. Nilai yang mungkin adalah sebagai berikut: `high`, `medium`, `low`, `informational`, `unknown`.
`Max Alerts Per Cycle`	Opsional Jumlah maksimum pemberitahuan yang akan diproses dalam satu iterasi konektor. Nilai defaultnya adalah 50.
`Proxy Server Address`	Opsional Alamat server proxy yang akan digunakan.
`Proxy Username`	Opsional Nama pengguna proxy untuk melakukan autentikasi.
`Proxy Password`	Opsional Sandi proxy untuk mengautentikasi.
`Use V2 API`	Opsional Jika diaktifkan, konektor akan menggunakan endpoint API V2. Catatan: struktur pemberitahuan dan peristiwa akan berubah. Selain itu, parameter 'Ambil Pemberitahuan hanya dari' akan memerlukan nilai yang berbeda.

Aturan konektor

Konektor tidak mendukung aturan daftar dinamis atau daftar blokir.

Konektor mendukung proxy.

Konektor Kepatuhan dan Keamanan Microsoft Graph Office 365

Gunakan Microsoft Graph Office 365 Security and Compliance Connector untuk menyerap pemberitahuan Office 365 Security and Compliance menggunakan Microsoft Graph API.

Microsoft Graph Office 365 Security and Compliance Connector memerlukan parameter berikut:

Parameter	Deskripsi
`Product Field Name`	Wajib Nama kolom tempat nama produk disimpan. Nilai defaultnya adalah `ProductFieldName`.
`Event Field Name`	Wajib Nama kolom yang digunakan untuk menentukan nama peristiwa (subjenis). Nilai defaultnya adalah `event_class`.
`Script Timeout (Seconds)`	Wajib Batas waktu tunggu (dalam detik) untuk proses Python yang menjalankan skrip saat ini. Nilai default-nya adalah 30 detik.
`Environment Field Name`	Opsional Nama kolom tempat nama lingkungan disimpan. Jika kolom lingkungan tidak ditemukan, lingkungan akan disetel ke `""`.
`Environment Regex Pattern`	Opsional Pola ekspresi reguler untuk dijalankan pada nilai yang ditemukan di kolom `Environment Field Name`. Dengan parameter ini, Anda dapat memanipulasi kolom lingkungan menggunakan logika ekspresi reguler. Gunakan nilai default `.*` untuk mengambil nilai `Environment Field Name` mentah yang diperlukan. Jika pola ekspresi reguler adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah `""`.
`Client ID`	Wajib ID klien (aplikasi) aplikasi Microsoft Entra yang akan digunakan dalam integrasi.
`Client Secret`	Opsional Nilai rahasia klien aplikasi Microsoft Entra yang akan digunakan dalam integrasi.
`Certificate Path`	Opsional Jika Anda menggunakan autentikasi berdasarkan sertifikat, bukan rahasia klien, masukkan jalur ke sertifikat di server Google SecOps.
`Certificate Password`	Opsional Jika sertifikat autentikasi yang Anda gunakan dilindungi sandi, tentukan sandi untuk membuka file sertifikat.
`Azure Active Directory ID`	Wajib Nilai Microsoft Entra ID (ID tenant).
`Verify SSL`	Opsional Jika dipilih, integrasi akan memverifikasi bahwa sertifikat SSL untuk koneksi ke server Microsoft Graph valid. Dipilih secara default.
`Offset Time In Hours`	Wajib Jumlah jam sebelum sekarang untuk mengambil pemberitahuan. Nilai defaultnya adalah 120 jam.
`Alert Statuses to fetch`	Opsional Daftar status pemberitahuan yang dipisahkan koma untuk diambil oleh server Google SecOps. Nilai yang mungkin adalah sebagai berikut: `Dismissed`, `Active`, `Investigating`, `Resolved`.
`Alert Severities to fetch`	Opsional Daftar tingkat keparahan pemberitahuan yang dipisahkan koma untuk diambil oleh server Google SecOps. Nilai yang mungkin adalah sebagai berikut: `high`, `medium`, `low`, `informational`, `unknown`.
`Max Alerts Per Cycle`	Wajib Jumlah maksimum pemberitahuan yang akan diproses dalam satu iterasi konektor. Nilai defaultnya adalah 50.
`Proxy Server Address`	Opsional Alamat server proxy yang akan digunakan.
`Proxy Username`	Opsional Nama pengguna proxy untuk melakukan autentikasi.
`Proxy Password`	Opsional Sandi proxy untuk mengautentikasi.

Aturan konektor

Konektor tidak mendukung aturan daftar dinamis atau daftar blokir.

Konektor mendukung proxy.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.