Questa pagina è stata tradotta dall'API Cloud Translation.

Microsoft Graph Security

Questo documento fornisce indicazioni su come integrare l'API Microsoft Graph Security con Google Security Operations (Google SecOps).

Versione integrazione: 20.0

Questo documento si riferisce all'API Microsoft Graph Security. Nella piattaforma Google SecOps, l'integrazione per l'API Microsoft Graph Security si chiama Microsoft Graph Security.

‌Prima di iniziare

Prima di configurare l'integrazione nella piattaforma Google SecOps, completa i seguenti passaggi:

Crea l'app Microsoft Entra.
Configura le autorizzazioni API per la tua applicazione.
Crea un client secret.

Crea l'applicazione Microsoft Entra

Per creare l'applicazione Microsoft Entra, completa i seguenti passaggi:

Accedi al portale Azure come amministratore utenti o amministratore password.
Seleziona Microsoft Entra ID.
Vai a Registrazioni app > Nuova registrazione.
Inserisci il nome dell'applicazione.
Nel campo URI di reindirizzamento, inserisci http://localhost/.
Fai clic su Register (Registrati).
Salva i valori di ID applicazione (client) e ID directory (tenant) per utilizzarli in un secondo momento per configurare i parametri di integrazione.

Configura le autorizzazioni API

Per configurare le autorizzazioni API per l'integrazione, completa i seguenti passaggi:

Nel portale Azure, vai ad API Permissions (Autorizzazioni API) > Add a permission (Aggiungi un'autorizzazione).
Seleziona Microsoft Graph > Autorizzazioni applicazione.
Nella sezione Seleziona autorizzazioni, seleziona le seguenti autorizzazioni obbligatorie:
- User.ReadWrite.All
- Mail.Read
- Directory.ReadWrite.All
- Directory.AccessAsUser.All
- SecurityEvents.ReadWrite.All
- SecurityEvents.Read.All
Fai clic su Aggiungi autorizzazioni.
Fai clic su Concedi il consenso amministratore per YOUR_ORGANIZATION_NAME.

Quando viene visualizzata la finestra di dialogo Conferma consenso amministratore, fai clic su Sì.

Crea client secret

Per creare un client secret, completa i seguenti passaggi:

Vai a Certificati e secret > Nuovo client secret.
Fornisci una descrizione per un client secret e imposta la relativa scadenza.
Fai clic su Aggiungi.
Salva il valore del client secret (non l'ID secret) per utilizzarlo come valore parametro ID secret per configurare l'integrazione. Il valore del client secret viene visualizzato una sola volta.

Integrare l'API Microsoft Graph Security con Google SecOps

L'integrazione richiede i seguenti parametri:

Parametro	Descrizione
`Client ID`	Obbligatorio L'ID client (applicazione) dell'applicazione Microsoft Entra da utilizzare nell'integrazione.
`Secret ID`	Optional Il valore del client secret dell'applicazione Microsoft Entra da utilizzare nell'integrazione.
`Certificate Path`	Optional Se utilizzi l'autenticazione basata su certificati anziché sul client secret, inserisci il percorso del certificato sul server Google SecOps.
`Certificate Password`	Optional Se il certificato di autenticazione che utilizzi è protetto da password, specifica la password per aprire il file del certificato.
`Tenant`	Obbligatorio Il valore di Microsoft Entra ID (ID tenant).
`Use V2 API`	Optional Se abilitata, il connettore utilizzerà gli endpoint API V2. Nota: la struttura degli avvisi e degli eventi cambierà.

Per istruzioni sulla configurazione di un'integrazione in Google SecOps, consulta Configurare le integrazioni.

Se necessario, potrai apportare modifiche in un secondo momento. Dopo aver configurato un'istanza di integrazione, puoi utilizzarla nei playbook. Per saperne di più sulla configurazione e sul supporto di più istanze, consulta Supporto di più istanze.

Azioni

Per maggiori informazioni sulle azioni, vedi Rispondere alle azioni in attesa dalla tua postazione di lavoro ed Eseguire un'azione manuale.

Aggiungi commento all'avviso

Utilizza l'azione Aggiungi commento avviso per aggiungere un commento all'avviso in Microsoft Graph.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Aggiungi commento avviso richiede i seguenti parametri:

Parametro	Descrizione
`Alert ID`	Obbligatorio L'ID dell'avviso da aggiornare.
`Comment`	Obbligatorio Il commento per l'avviso.

Output dell'azione

L'azione Aggiungi commento all'avviso fornisce i seguenti output:

Tipo di output dell'azione	Disponibilità
Allegato della bacheca casi	Non disponibile
Link alla bacheca richieste	Non disponibile
Tabella della bacheca casi	Non disponibile
Tabella di arricchimento	Non disponibile
Risultato JSON	Non disponibile
Messaggi di output	Disponibile
Risultato dello script	Disponibile

Messaggi di output

L'azione Aggiungi commento avviso può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Messaggio di output	Descrizione del messaggio
`Successfully added comment to the alert ALERT_ID in Microsoft Graph.`	L'azione è riuscita.
`Error executing action "Add Alert Comment". Reason: ERROR_REASON`	L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali.

Successfully added comment to the alert ALERT_ID in Microsoft Graph.

L'azione è riuscita.

Error executing action "Add Alert Comment". Reason:
      ERROR_REASON

L'azione non è riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.

Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Aggiungi commento avviso:

Nome del risultato dello script	Valore
`is_success`	`True` o `False`

Ottenere il consenso amministratore

Utilizza l'azione Ottieni consenso amministratore per concedere all'applicazione le autorizzazioni nel portale Azure.

Questa azione viene eseguita su tutte le entità Google SecOps.

Input azione

L'azione Ottieni consenso amministratore richiede i seguenti parametri:

Parametro	Descrizione
`Redirect URL`	Obbligatorio L'URL di reindirizzamento che hai utilizzato durante la registrazione nel portale di Azure.

Output dell'azione

L'azione Ottieni consenso amministratore fornisce i seguenti output:

Tipo di output dell'azione	Disponibilità
Allegato della bacheca casi	Non disponibile
Link alla bacheca richieste	Non disponibile
Tabella della bacheca casi	Non disponibile
Tabella di arricchimento	Non disponibile
Risultato JSON	Non disponibile
Risultato dello script	Disponibile

Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ottieni consenso amministratore:

Nome del risultato dello script	Valore
`is_connected`	`True` o `False`

Ricevi avviso

Utilizza l'azione Recupera avviso per recuperare le proprietà e le relazioni di un avviso utilizzando l'ID avviso.

Questa azione viene eseguita su tutte le entità Google SecOps.

Input azione

L'azione Ricevi avviso richiede i seguenti parametri:

Parametro	Descrizione
`Alert ID`	Obbligatorio L'ID dell'avviso di cui recuperare i dettagli.

Output dell'azione

L'azione Ricevi avviso fornisce i seguenti output:

Tipo di output dell'azione	Disponibilità
Allegato della bacheca casi	Non disponibile
Link alla bacheca richieste	Non disponibile
Tabella della bacheca casi	Non disponibile
Tabella di arricchimento	Non disponibile
Risultato JSON	Non disponibile
Risultato dello script	Disponibile

Risultato JSON

Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Get Alert:

{
  "feedback": "@odata.type: microsoft.graph.alertFeedback",
  "recommendedActions": ["String"],
  "networkConnections":
    [{
      "applicationName": "String",
      "natDestinationPort": "String",
      "destinationAddress": "String",
      "localDnsName": "String",
      "natDestinationAddress": "String",
      "destinationUrl": "String",
      "natSourceAddress": "String",
      "sourceAddress": "String",
      "direction": "@odata.type: microsoft.graph.connectionDirection",
      "domainRegisteredDateTime": "String (timestamp)",
      "status": "@odata.type: microsoft.graph.connectionStatus",
      "destinationDomain": "String",
      "destinationPort": "String",
      "sourcePort": "String",
      "protocol": "@odata.type: microsoft.graph.securityNetworkProtocol",
      "natSourcePort": "String",
      "riskScore": "String",
      "urlParameters": "String"
     }],
  "cloudAppStates":
    [{
      "destinationServiceIp": "String",
      "riskScore": "String",
      "destinationServiceName": "String"
     }],
  "detectionIds": ["String"],
  "id": "String (identifier)",
  "category": "String",
  "fileStates":
    [{
      "path": "String",
      "riskScore": "String",
      "name": "String",
      "fileHash":
        {
          "hashType": "@odata.type: microsoft.graph.fileHashType",
          "hashValue": "String"
         }
     }],
  "severity": "@odata.type: microsoft.graph.alertSeverity",
  "title": "String",
  "sourceMaterials": ["String"],
  "comments": ["String"],
  "assignedTo": "String",
  "eventDateTime": "String (timestamp)",
  "activityGroupName": "String",
  "status": "@odata.type: microsoft.graph.alertStatus",
  "description": "String",
  "tags": ["String"],
  "confidence": 1024,
  "vendorInformation":
      {
        "providerVersion": "String",
        "vendor": "String",
        "subProvider": "String",
        "provider": "String"
      },
  "userStates":
      [{
        "emailRole": "@odata.type: microsoft.graph.emailRole",
        "logonId": "String",
        "domainName": "String",
        "onPremisesSecurityIdentifier": "String",
        "userPrincipalName": "String",
        "userAccountType": "@odata.type: microsoft.graph.userAccountSecurityType",
        "logonIp": "String",
        "logonDateTime": "String (timestamp)",
        "logonType": "@odata.type: microsoft.graph.logonType",
        "logonLocation": "String",
        "aadUserId": "String",
        "accountName": "String",
        "riskScore": "String",
        "isVpn": "true"
        }],
 "malwareStates":
      [{
        "category": "String",
        "wasRunning": "true",
        "name": "String",
        "family": "String",
        "severity": "String"
       }],
  "processes":
      [{
        "processId": 1024,
        "integrityLevel": "@odata.type: microsoft.graph.processIntegrityLevel",
        "name": "String",
        "fileHash":
            {
              "hashType": "@odata.type: microsoft.graph.fileHashType",
              "hashValue": "String"
            },
       "parentProcessId": 1024,
       "createdDateTime": "String (timestamp)",
       "commandLine": "String",
       "parentProcessName": "String",
       "accountName": "String",
       "isElevated": "true",
       "path": "String",
       "parentProcessCreatedDateTime": "String (timestamp)"
      }],
  "azureTenantId": "String",
  "triggers":
     [{
       "type": "String",
       "name": "String",
       "value": "String"
      }],
  "createdDateTime": "String (timestamp)",
  "vulnerabilityStates":
     [{
       "cve": "String",
       "severity": "String",
       "wasRunning": "true"
     }],
  "hostStates":
     [{
       "isAzureAadRegistered": "true",
       "riskScore": "String",
       "fqdn": "String",
       "isHybridAzureDomainJoined": "true",
       "netBiosName": "String",
       "publicIpAddress": "String",
        "isAzureAadJoined": "true",
        "os": "String",
        "privateIpAddress": "String"
      }],
  "lastModifiedDateTime": "String (timestamp)",
  "registryKeyStates":
      [{
        "processId": 1024,
        "oldKey": "String",
        "oldValueName": "String",
         "valueType": "@odata.type: microsoft.graph.registryValueType",
        "oldValueData": "String",
        "hive": "@odata.type: microsoft.graph.registryHive",
        "valueData": "String",
        "key": "String",
        "valueName": "String",
        "operation": "@odata.type: microsoft.graph.registryOperation"
       }],
  "closedDateTime": "String (timestamp)",
  "azureSubscriptionId": "String"
}

Risultato dello script

La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Recupera avviso:

Nome del risultato dello script	Valore
`alert_details`	`True` o `False`

Recupero incidente

Utilizza l'azione Ottieni incidente per ottenere i dettagli di un incidente di sicurezza utilizzando l'ID incidente.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Ottieni incidente richiede i seguenti parametri:

Parametro	Descrizione
`Incident ID`	Obbligatorio L'ID dell'incidente per ottenere i dettagli.

Output dell'azione

L'azione Recupera incidente fornisce i seguenti output:

Tipo di output dell'azione	Disponibilità
Allegato della bacheca casi	Non disponibile
Link alla bacheca richieste	Non disponibile
Tabella della bacheca casi	Non disponibile
Tabella di arricchimento	Non disponibile
Risultato JSON	Non disponibile
Messaggi di output	Disponibile
Risultato dello script	Disponibile

Messaggi di output

L'azione Ottieni incidente può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Messaggio di output	Descrizione del messaggio
`Successfully returned information about the incident INCIDENT_ID.`	L'azione è riuscita.
`Error executing action "Get Incident". Reason: ERROR_REASON`	L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali.

Successfully returned information about the incident INCIDENT_ID.

L'azione è riuscita.

Error executing action "Get Incident". Reason:
      ERROR_REASON

L'azione non è riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.

Risultato dello script

La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Recupera incidente:

Nome del risultato dello script	Valore
`is_success`	`True` o `False`

Termina sessione utente

Utilizza l'azione Termina sessione utente per invalidare tutti i token di aggiornamento emessi per le applicazioni per un utente reimpostando la proprietà utente signInSessionsValidFromDateTime alla data e all'ora correnti.

Questa azione viene eseguita su tutte le entità Google SecOps.

Input azione

L'azione Termina sessione utente richiede i seguenti parametri:

Parametro	Descrizione
`userPrincipalName\| ID`	Obbligatorio Il nome utente o il valore dell'ID univoco dell'utente utilizzato in Microsoft Entra ID.

Output dell'azione

L'azione Termina sessione utente fornisce i seguenti output:

Tipo di output dell'azione	Disponibilità
Allegato della bacheca casi	Non disponibile
Link alla bacheca richieste	Non disponibile
Tabella della bacheca casi	Non disponibile
Tabella di arricchimento	Non disponibile
Risultato JSON	Non disponibile
Risultato dello script	Disponibile

Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Termina sessione utente:

Nome del risultato dello script	Valore
`is_success`	`True` o `False`

Elenco avvisi

Utilizza l'azione Elenca avvisi per elencare gli avvisi disponibili in Microsoft Graph.

Questa azione viene eseguita su tutte le entità Google SecOps.

La procedura di filtraggio avviene sul lato dell'API Microsoft Graph. Per i prodotti che pubblicano avvisi su Microsoft Graph e non supportano il filtro, Microsoft Graph aggiunge tutti gli avvisi alla risposta come se avessero superato il filtro.

Input azione

L'azione Elenca avvisi richiede i seguenti parametri:

Parametro	Descrizione
`Filter Key`	Optional Specifica la chiave da utilizzare per filtrare gli avvisi. Nota: l'opzione "Titolo" non è supportata nell'API V2.
`Filter Logic`	Optional La logica di filtro da applicare. La logica del filtro si basa sul valore parametro `Filter Key`. I valori possibili sono: `Not Specified` `Equal` `Contains` Il valore predefinito è `Not Specified`.
`Filter Value`	Optional Il valore da utilizzare nel filtro. Se selezioni `Equal`, l'azione tenta di trovare la corrispondenza esatta tra i risultati. Se selezioni `Contains`, l'azione tenta di trovare risultati che contengono la sottostringa selezionata. Se non imposti un valore, il filtro non viene applicato. La logica del filtro si basa sul valore parametro `Filter Key`.
`Max Records To Return`	Optional Il numero di record da restituire per ogni esecuzione dell'azione. Il valore predefinito è 50.

Output dell'azione

L'azione Elenca avvisi fornisce i seguenti output:

Tipo di output dell'azione	Disponibilità
Allegato della bacheca casi	Non disponibile
Link alla bacheca richieste	Non disponibile
Tabella della bacheca casi	Non disponibile
Tabella di arricchimento	Non disponibile
Risultato JSON	Disponibile
Messaggi di output	Disponibile
Risultato dello script	Disponibile

Risultato JSON

Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Elenca avvisi:

{
            "id": "ID",
            "azureTenantId": "TENANT_ID",
            "azureSubscriptionId": null,
            "riskScore": null,
            "tags": [],
            "activityGroupName": null,
            "assignedTo": null,
            "category": "ImpossibleTravel",
            "closedDateTime": null,
            "comments": [],
            "confidence": null,
            "createdDateTime": "2022-04-29T13:10:59.705Z",
            "description": "Sign-in from an atypical location based on the user's recent sign-ins",
            "detectionIds": [],
            "eventDateTime": "2022-04-29T11:36:59.1520667Z",
            "feedback": null,
            "incidentIds": [],
            "lastEventDateTime": null,
            "lastModifiedDateTime": "2022-04-30T14:44:43.4742002Z",
            "recommendedActions": [],
            "severity": "medium",
            "sourceMaterials": [],
            "status": "newAlert",
            "title": "Atypical travel",
            "vendorInformation": {
                "provider": "IPC",
                "providerVersion": null,
                "subProvider": null,
                "vendor": "Microsoft"
            },
            "alertDetections": [],
            "cloudAppStates": [],
            "fileStates": [],
            "hostStates": [],
            "historyStates": [],
            "investigationSecurityStates": [],
            "malwareStates": [],
            "messageSecurityStates": [],
            "networkConnections": [],
            "processes": [],
            "registryKeyStates": [],
            "securityResources": [],
            "triggers": [],
            "userStates": [
                {
                    "aadUserId": "b786d3cf-e97d-4511-b61c-0559e9f4da75",
                    "accountName": "example.user",
                    "domainName": "example.com",
                    "emailRole": "unknown",
                    "isVpn": null,
                    "logonDateTime": "2022-04-29T11:36:59.1520667Z",
                    "logonId": null,
                    "logonIp": "203.0.113.194",
                    "logonLocation": "1800 Amphibious Blvd, Mountain View, CA 94045",
                    "logonType": null,
                    "onPremisesSecurityIdentifier": null,
                    "riskScore": null,
                    "userAccountType": null,
                    "userPrincipalName": "example.user@example.com"
                },
                {
                    "aadUserId": "b786d3cf-e97d-4511-b61c-0559e9f4da75",
                    "accountName": "example.user",
                    "domainName": "example.com",
                    "emailRole": "unknown",
                    "isVpn": null,
                    "logonDateTime": "2022-04-29T11:15:00Z",
                    "logonId": null,
                    "logonIp": "192.0.2.160",
                    "logonLocation": "ES",
                    "logonType": null,
                    "onPremisesSecurityIdentifier": null,
                    "riskScore": null,
                    "userAccountType": null,
                    "userPrincipalName": "example.user@example.com"
                }
            ],
            "uriClickSecurityStates": [],
            "vulnerabilityStates": []
}

Messaggi di output

L'azione Elenca avvisi può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Messaggio di output	Descrizione del messaggio
`Successfully found alerts for the provided criteria in Microsoft Graph.` `No alerts were found for the provided criteria in Microsoft Graph.` `The filter was not applied because the "Filter Value" parameter has an empty value.`	L'azione è riuscita.
`Error executing action "List Alerts". Reason: ERROR_REASON`	L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali.

Successfully found alerts for the provided criteria in Microsoft Graph.

No alerts were found for the provided criteria in Microsoft Graph.

The filter was not applied because the "Filter Value" parameter has an empty value.

L'azione è riuscita.

Error executing action "List Alerts". Reason:
      ERROR_REASON

L'azione non è riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.

Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando si utilizza l'azione Elenca avvisi:

Nome del risultato dello script	Valore
`alerts_details`	`ALERT_DETAILS`

Elenca incidenti

Utilizza l'azione Elenca incidenti per elencare gli incidenti di sicurezza di Microsoft Graph in base ai criteri forniti.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Elenca incidenti richiede i seguenti parametri:

Parametro	Descrizione
`Filter Key`	Optional Specifica la chiave da utilizzare per filtrare gli avvisi. Nota: l'opzione "Titolo" non è supportata nell'API V2.
`Filter Logic`	Optional La logica di filtro da applicare. La logica del filtro si basa sul valore parametro `Filter Key`. I valori possibili sono: `Not Specified` `Equal` `Contains` Il valore predefinito è `Not Specified`.
`Filter Value`	Optional Il valore da utilizzare nel filtro. Se selezioni `Equal`, l'azione tenta di trovare la corrispondenza esatta tra i risultati. Se selezioni `Contains`, l'azione tenta di trovare risultati che contengono la sottostringa selezionata. Se non imposti un valore, il filtro non viene applicato. La logica del filtro si basa sul valore parametro `Filter Key`.
`Max Records To Return`	Optional Il numero di record da restituire per ogni esecuzione dell'azione. Il valore predefinito è 50.

Output dell'azione

L'azione Elenca incidenti fornisce i seguenti output:

Tipo di output dell'azione	Disponibilità
Allegato della bacheca casi	Non disponibile
Link alla bacheca richieste	Non disponibile
Tabella della bacheca casi	Non disponibile
Tabella di arricchimento	Non disponibile
Risultato JSON	Non disponibile
Messaggi di output	Disponibile
Risultato dello script	Disponibile

Messaggi di output

L'azione Elenca incidenti può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Messaggio di output	Descrizione del messaggio
`Successfully found incidents for the provided criteria in Microsoft Graph.` `No incidents were found for the provided criteria in Microsoft Graph.` `The filter was not applied because the "Filter Value" parameter has an empty value.`	L'azione è riuscita.
`Error executing action "List Incidents". Reason: ERROR_REASON`	L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali.

Successfully found incidents for the provided criteria in Microsoft Graph.

No incidents were found for the provided criteria in Microsoft Graph.

The filter was not applied because the "Filter Value" parameter has an empty value.

L'azione è riuscita.

Error executing action "List Incidents". Reason:
      ERROR_REASON

L'azione non è riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.

Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Elenca incidenti:

Nome del risultato dello script	Valore
`is_success`	`True` o `False`

Dindin

Utilizza l'azione Ping per testare la connettività a Microsoft Graph.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

Nessuno.

Output dell'azione

L'azione Ping fornisce i seguenti output:

Tipo di output dell'azione	Disponibilità
Allegato della bacheca casi	Non disponibile
Link alla bacheca richieste	Non disponibile
Tabella della bacheca casi	Non disponibile
Tabella di arricchimento	Non disponibile
Risultato JSON	Non disponibile
Risultato dello script	Disponibile

Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ping:

Nome del risultato dello script	Valore
`is_success`	`True` o `False`

Aggiorna avviso

Utilizza l'azione Aggiorna avviso per aggiornare una proprietà di avviso modificabile.

Questa azione viene eseguita su tutte le entità Google SecOps.

Input azione

L'azione Aggiorna avviso richiede i seguenti parametri:

Parametro	Descrizione
`Alert ID`	Obbligatorio L'ID dell'avviso da aggiornare.
`Assigned To`	Optional Il nome dell'analista a cui è assegnato l'avviso per il triage, l'indagine o la correzione.
`Closed Date Time`	Optional L'ora in cui è stato chiuso l'avviso. Il tipo Timestamp rappresenta le informazioni su data e ora utilizzando il formato ISO 8601 ed è sempre in formato UTC. Ad esempio, la mezzanotte UTC del 1° gennaio 2014 avrebbe il seguente aspetto: "2014-01-01T00:00:00Z". Nota: questo parametro non è supportato nella versione V2 dell'API.
`Comments`	Optional Commenti dell'analista sull'avviso (per la gestione degli avvisi dei clienti), separati da una virgola. Questo metodo può aggiornare il campo dei commenti solo con i seguenti valori: Chiuso in IPC, Chiuso in MCAS. Nota: nella versione V2 dell'API questo parametro funziona come stringa e all'avviso verrà aggiunto un singolo commento.
`Feedback`	Optional Feedback dell'analista sull'avviso. I valori possibili sono: unknown, truePositive, falsePositive, benignPositive. Nota: nella versione V2 dell'API questo parametro è mappato a "classification" e ha i seguenti valori possibili: unknown, falsePositive, truePositive, informationalExpectedActivity, unknownFutureValue.
`Status`	Optional Lo stato del ciclo di vita dell'avviso. I valori possibili sono: `unknown` `newAlert` `inProgress` `resolved`
`Tags`	Optional Etichette definibili dall'utente che possono essere applicate a un avviso. Separati da virgole. Nota: questo parametro non è supportato nella versione V2 dell'API.

Output dell'azione

L'azione Aggiorna avviso fornisce i seguenti output:

Tipo di output dell'azione	Disponibilità
Allegato della bacheca casi	Non disponibile
Link alla bacheca richieste	Non disponibile
Tabella della bacheca casi	Non disponibile
Tabella di arricchimento	Non disponibile
Risultato JSON	Non disponibile
Risultato dello script	Disponibile

Risultato dello script

La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Aggiorna avviso:

Nome del risultato dello script	Valore
`is_updated`	`True` o `False`

Connettori

Per istruzioni dettagliate su come configurare un connettore in Google SecOps, consulta Importare i dati (connettori).

Connettore di sicurezza Microsoft Graph

Utilizza il connettore di sicurezza Microsoft Graph per importare gli avvisi pubblicati nell'API Microsoft Graph Security come avvisi Google SecOps. Il connettore si connette periodicamente all'endpoint di sicurezza di Microsoft Graph e recupera un elenco di incidenti generati per un periodo specifico.

Il connettore di sicurezza Microsoft Graph richiede i seguenti parametri:

Parametro	Descrizione
`Product Field Name`	Obbligatorio Il nome del campo in cui è memorizzato il nome del prodotto. Il valore predefinito è `ProductFieldName`.
`Event Field Name`	Obbligatorio Il nome del campo utilizzato per determinare il nome dell'evento (sottotipo). Il valore predefinito è `AlertName`.
`Script Timeout (Seconds)`	Obbligatorio Il limite di timeout (in secondi) per il processo Python che esegue lo script corrente. Il valore predefinito è 30 secondi.
`Environment Field Name`	Optional Il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo ambiente non viene trovato, l'ambiente viene impostato su `""`.
`Pattern`	Optional Un pattern di espressione regolare da eseguire sul valore trovato nel campo `Environment Field Name`. Questo parametro ti consente di manipolare il campo dell'ambiente utilizzando la logica delle espressioni regolari. Utilizza il valore predefinito `.*` per recuperare il valore `Environment Field Name` grezzo richiesto. Se il pattern dell'espressione regolare è nullo o vuoto oppure il valore dell'ambiente è nullo, il risultato finale dell'ambiente è `""`.
`Client ID`	Obbligatorio L'ID client (applicazione) dell'applicazione Microsoft Entra da utilizzare nell'integrazione.
`Client Secret`	Optional Il valore del client secret dell'applicazione Microsoft Entra da utilizzare nell'integrazione.
`Certificate Path`	Optional Se utilizzi l'autenticazione basata su certificati anziché sul client secret, inserisci il percorso del certificato sul server Google SecOps.
`Certificate Password`	Optional Se il certificato di autenticazione che utilizzi è protetto da password, specifica la password per aprire il file del certificato.
`Azure Active Directory ID`	Obbligatorio Il valore di Microsoft Entra ID (ID tenant).
`Offset Time In Hours`	Obbligatorio Il numero di ore prima di ora da cui recuperare gli avvisi. Il valore predefinito è 120 ore.
`Fetch Alerts only from`	Optional Un elenco separato da virgole di fornitori da cui estrarre gli avvisi da Microsoft Graph. Se imposti il parametro "Recupera avvisi solo da" su Office 365 Security and Compliance, il connettore non supporta più valori nei parametri Stati avviso da recuperare o Gravità avviso da recuperare. Se l'opzione "Utilizza l'API V2" è attivata, questo parametro funzionerà con la proprietà "serviceSource" dell'avviso.
`Alert Statuses to fetch`	Obbligatorio Un elenco separato da virgole di stati di avviso per il server Google SecOps da recuperare. I valori possibili sono i seguenti: `unknown`, `newAlert`, `inProgress`, `resolved`.
`Alert Severities to fetch`	Obbligatorio Un elenco separato da virgole delle gravità degli avvisi che il server Google SecOps deve recuperare. I valori possibili sono i seguenti: `high`, `medium`, `low`, `informational`, `unknown`.
`Max Alerts Per Cycle`	Optional Il numero massimo di avvisi da elaborare in un'iterazione del connettore. Il valore predefinito è 50.
`Proxy Server Address`	Optional L'indirizzo del server proxy da utilizzare.
`Proxy Username`	Optional Il nome utente del proxy con cui eseguire l'autenticazione.
`Proxy Password`	Optional La password del proxy per l'autenticazione.
`Use V2 API`	Optional Se abilitata, il connettore utilizzerà gli endpoint API V2. Nota: la struttura degli avvisi e degli eventi cambierà. Inoltre, il parametro "Recupera avvisi solo da" richiederà la fornitura di valori diversi.

Regole del connettore

Il connettore non supporta le regole di elenchi dinamici o blocklist.

Il connettore supporta i proxy.

Connettore di sicurezza e conformità di Microsoft Graph Office 365

Utilizza il connettore Microsoft Graph Office 365 Security and Compliance per inserire gli avvisi di Office 365 Security and Compliance utilizzando l'API Microsoft Graph.

Il connettore Microsoft Graph Office 365 Security and Compliance richiede i seguenti parametri:

Parametro	Descrizione
`Product Field Name`	Obbligatorio Il nome del campo in cui è memorizzato il nome del prodotto. Il valore predefinito è `ProductFieldName`.
`Event Field Name`	Obbligatorio Il nome del campo utilizzato per determinare il nome dell'evento (sottotipo). Il valore predefinito è `event_class`.
`Script Timeout (Seconds)`	Obbligatorio Il limite di timeout (in secondi) per il processo Python che esegue lo script corrente. Il valore predefinito è 30 secondi.
`Environment Field Name`	Optional Il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo ambiente non viene trovato, l'ambiente viene impostato su `""`.
`Environment Regex Pattern`	Optional Un pattern di espressione regolare da eseguire sul valore trovato nel campo `Environment Field Name`. Questo parametro ti consente di manipolare il campo dell'ambiente utilizzando la logica delle espressioni regolari. Utilizza il valore predefinito `.*` per recuperare il valore `Environment Field Name` grezzo richiesto. Se il pattern dell'espressione regolare è nullo o vuoto oppure il valore dell'ambiente è nullo, il risultato finale dell'ambiente è `""`.
`Client ID`	Obbligatorio L'ID client (applicazione) dell'applicazione Microsoft Entra da utilizzare nell'integrazione.
`Client Secret`	Optional Il valore del client secret dell'applicazione Microsoft Entra da utilizzare nell'integrazione.
`Certificate Path`	Optional Se utilizzi l'autenticazione basata su certificati anziché sul client secret, inserisci il percorso del certificato sul server Google SecOps.
`Certificate Password`	Optional Se il certificato di autenticazione che utilizzi è protetto da password, specifica la password per aprire il file del certificato.
`Azure Active Directory ID`	Obbligatorio Il valore di Microsoft Entra ID (ID tenant).
`Verify SSL`	Optional Se selezionata, l'integrazione verifica che il certificato SSL per la connessione al server Microsoft Graph sia valido. Questa opzione è selezionata per impostazione predefinita.
`Offset Time In Hours`	Obbligatorio Il numero di ore prima di ora per recuperare gli avvisi. Il valore predefinito è 120 ore.
`Alert Statuses to fetch`	Optional Un elenco separato da virgole di stati di avviso per il server Google SecOps da recuperare. I valori possibili sono i seguenti: `Dismissed`, `Active`, `Investigating`, `Resolved`.
`Alert Severities to fetch`	Optional Un elenco separato da virgole delle gravità degli avvisi che il server Google SecOps deve recuperare. I valori possibili sono i seguenti: `high`, `medium`, `low`, `informational`, `unknown`.
`Max Alerts Per Cycle`	Obbligatorio Il numero massimo di avvisi da elaborare in un'iterazione del connettore. Il valore predefinito è 50.
`Proxy Server Address`	Optional L'indirizzo del server proxy da utilizzare.
`Proxy Username`	Optional Il nome utente del proxy con cui eseguire l'autenticazione.
`Proxy Password`	Optional La password del proxy per l'autenticazione.

Regole del connettore

Il connettore non supporta le regole di elenchi dinamici o blocklist.

Il connettore supporta i proxy.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.