Esta página se ha traducido con Cloud Translation API.

Microsoft 365 Defender

En este documento se describe cómo integrar Microsoft 365 Defender con Google Security Operations (Google SecOps).

Versión de integración: 19.0

Casos prácticos

Al integrar Microsoft 365 Defender con Google SecOps, puedes resolver los siguientes casos prácticos:

Respuesta a incidentes automatizada: usa las funciones de Google SecOps para aislar automáticamente el endpoint afectado e iniciar un análisis para detectar más vulneraciones.
Investigación y corrección de phishing: usa las funciones de Google SecOps para extraer automáticamente información relevante, como el remitente, el asunto y los archivos adjuntos, y enriquécela con datos de inteligencia sobre amenazas.
Gestión de vulnerabilidades: usa las funciones de Google SecOps para automatizar los flujos de trabajo de análisis y corrección de vulnerabilidades.
Informes y auditorías de cumplimiento: usa las funciones de Google SecOps para automatizar la recogida y la generación de informes de datos de seguridad de Microsoft 365 Defender, simplificar las auditorías de cumplimiento y demostrar el cumplimiento de los estándares de seguridad.
Priorización y clasificación de alertas: usa las funciones de Google SecOps para analizar las alertas de Microsoft 365 Defender y priorizarlas en función de su gravedad y su impacto potencial.
Análisis automatizado de malware: usa las funciones de Google SecOps para enviar automáticamente la muestra de malware que ha detectado Microsoft 365 Defender a un entorno aislado para realizar un análisis dinámico.

Antes de empezar

Antes de configurar la integración en la plataforma Google SecOps, completa los siguientes pasos:

Crea la aplicación de Microsoft Entra.
Configura los permisos de la API de tu aplicación.
Crea un secreto de cliente.

Crear la aplicación de Microsoft Entra

Para crear la aplicación Microsoft Entra, sigue estos pasos:

Inicia sesión en el portal de Azure como administrador de usuarios o administrador de contraseñas.
Selecciona ID de Microsoft Entra.
Ve a Registros de aplicaciones > Nuevo registro.
Introduce el nombre de la aplicación.
Haz clic en Registrarse.
Guarda los valores de ID de aplicación (cliente) e ID de directorio (inquilino) para usarlos más adelante al configurar los parámetros de integración.

Configurar los permisos de la API

Para configurar los permisos de API de la integración, sigue estos pasos:

En Azure Portal, ve a Administrar > Permisos de API > Añadir un permiso.
En la ventana Solicitud de permisos de API, selecciona APIs que utiliza mi organización.
Selecciona Microsoft Graph > Permisos de aplicación.
Selecciona los siguientes permisos:
- SecurityAlert.Read.All
- SecurityIncident.ReadWrite.All
Haz clic en Añadir permisos.
En la ventana Solicitud de permisos de API, selecciona APIs que utiliza mi organización.
Selecciona Microsoft Threat Protection > Permisos de aplicación.
Selecciona el siguiente permiso:
- ThreatHunting.Read.All
Haz clic en Añadir permisos.
Haz clic en Conceder consentimiento de administrador para YOUR_ORGANIZATION_NAME.

Cuando aparezca el cuadro de diálogo Confirmación de concesión de consentimiento de administrador, haz clic en Sí.

Crear un secreto de cliente

Para crear un secreto de cliente, sigue estos pasos:

Ve a Certificados y secretos > Nuevo secreto de cliente.
Proporciona una descripción del secreto de cliente y define su fecha de vencimiento.
Haz clic en Añadir.
Guarda el valor del secreto de cliente (no el ID del secreto) para usarlo como valor del parámetro Client Secret al configurar la integración.

El valor del secreto de cliente solo se muestra una vez.

Integrar Microsoft 365 Defender con Google SecOps

La integración de Microsoft 365 Defender requiere los siguientes parámetros:

Parámetro	Descripción
`Login API Root`	Obligatorio La raíz de la API de inicio de sesión de la instancia de Microsoft 365 Defender. El valor predeterminado es `https://login.microsoftonline.com`.
`Graph API Root`	Obligatorio La raíz de la API del servicio Microsoft Graph. El valor predeterminado es `https://graph.microsoft.com`.
`API Root`	Obligatorio La raíz de la API de la instancia de Microsoft 365 Defender. El valor predeterminado es `https://api.security.microsoft.com`.
`Tenant ID`	Obligatorio El valor de Microsoft Entra ID (ID de cliente) de tu cuenta de Microsoft Entra ID.
`Client ID`	Obligatorio Valor del ID de aplicación (cliente) de tu cuenta de Microsoft Entra ID.
`Client Secret`	Obligatorio El valor del secreto de cliente de la aplicación de Microsoft Entra ID.
`Verify SSL`	Optional Si se selecciona, la integración verifica que el certificado SSL para conectarse al servidor de Microsoft 365 Defender sea válido. Esta opción está seleccionada de forma predeterminada.

Para obtener instrucciones sobre cómo configurar una integración en Google SecOps, consulta el artículo Configurar integraciones.

Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en los cuadernos de estrategias. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Admitir varias instancias.

Acciones

Para obtener más información sobre las acciones, consulta Responder a acciones pendientes desde tu mesa de trabajo y Realizar una acción manual.

Add Comment To Incident

Usa la acción Añadir comentario al incidente para añadir un comentario a un incidente en Microsoft 365 Defender.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Añadir comentario a incidencia requiere los siguientes parámetros:

Parámetro	Descripción
`Incident ID`	Obligatorio ID del incidente al que se va a añadir el comentario.
`Comment`	Obligatorio El comentario que se va a añadir a la incidencia.

Resultados de la acción

La acción Añadir comentario al incidente proporciona los siguientes resultados:

Tipo de salida de la acción	Disponibilidad
Adjunto del panel de casos	No disponible
Enlace del panel de casos	No disponible
Tabla del panel de casos	No disponible
Tabla de enriquecimiento	No disponible
Resultado de JSON	No disponible
Mensajes de salida	Disponible
Resultado de la secuencia de comandos	Disponible

Mensajes de salida

La acción Añadir comentario a incidencia puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Successfully added comment to incident INCIDENT_ID in Microsoft 365 Defender. La acción se ha realizado correctamente.

Mensaje resultante	Descripción del mensaje
`Successfully added comment to incident INCIDENT_ID in Microsoft 365 Defender.`	La acción se ha realizado correctamente.
`Error executing action "Add Comment To Incident". Reason: ERROR_REASON`	No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Error executing action "Add Comment To Incident". Reason:
      ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Añadir comentario a incidencia:

Nombre del resultado del script	Valor
`is_success`	`True` o `False`

Ejecutar consulta personalizada

Usa la acción Ejecutar consulta personalizada para ejecutar una consulta de búsqueda personalizada en Microsoft 365 Defender.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Ejecutar consulta personalizada requiere los siguientes parámetros:

Parámetro Descripción

Parámetro	Descripción
`Query`	Obligatorio Consulta que se va a ejecutar en Microsoft 365 Defender para filtrar los resultados.
`Max Results To Return`	Optional Número máximo de resultados que se devolverán de la consulta. El valor predeterminado es `50`.

Query

Obligatorio

Consulta que se va a ejecutar en Microsoft 365 Defender para filtrar los resultados.

Max Results To Return

Optional

Número máximo de resultados que se devolverán de la consulta.

El valor predeterminado es `50`.

Resultados de la acción

La acción Ejecutar consulta personalizada proporciona los siguientes resultados:

Tipo de salida de la acción	Disponibilidad
Adjunto del panel de casos	No disponible
Enlace del panel de casos	No disponible
Tabla del panel de casos	No disponible
Tabla de enriquecimiento	No disponible
Resultado de JSON	Disponible
Mensajes de salida	Disponible
Resultado de la secuencia de comandos	Disponible

Resultado de JSON

En el siguiente ejemplo se muestra el resultado JSON que se obtiene al usar la acción Ejecutar consulta personalizada:

{"Results": [
    {
        "Timestamp": "2021-04-12T07:25:00Z",
        "AlertId": "fa7a318954-6c4c-eaab-3200-08d8fd82af35",
        "Title": "CC_Sensitive information",
        "Category": "InitialAccess",
        "Severity": "Medium",
        "ServiceSource": "Microsoft Defender for Office 365",
        "DetectionSource": "Microsoft Defender for Office 365",
        "AttackTechniques": ""
    }
]}

Mensajes de salida

La acción Ejecutar consulta personalizada puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Mensaje resultante	Descripción del mensaje
`Successfully executed query "QUERY" in Microsoft 365 Defender.` `No data was found for the query "QUERY" in Microsoft 365 Defender.`	La acción se ha realizado correctamente.
`Error executing action "Execute Custom Query". Reason: ERROR_REASON`	No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Successfully executed query "QUERY" in Microsoft 365 Defender.

No data was found for the query "QUERY" in Microsoft 365 Defender.

La acción se ha realizado correctamente.

Error executing action "Execute Custom Query". Reason:
      ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Ejecutar consulta personalizada:

Nombre del resultado del script	Valor
`is_success`	`True` o `False`

Ejecutar consulta de entidad

Usa la acción Ejecutar consulta de entidad para ejecutar una consulta de búsqueda basada en entidades de Microsoft 365 Defender.

Esta acción usa un filtro where basado en entidades.

Esta acción se ejecuta en las siguientes entidades de Google SecOps:

IP Address
Host
User
Hash
URL

Puedes usar la acción Ejecutar consulta de entidad para obtener información relacionada con entidades, como los resultados de una tabla, y filtrar los resultados en función de las entidades.

A diferencia de la acción Ejecutar consulta, que requiere que uses un formato específico, la acción Ejecutar consulta de entidad no usa la entrada de consulta.

Cuando uses la acción Ejecutar consulta para recuperar las alertas relacionadas con un endpoint, da formato a la cláusula | where de la siguiente manera:

AlertInfo | where DeviceName == "Host-1" or IPAddress == "192.0.2.1" | top 100
by Timestamp desc

Para recuperar las alertas relacionadas con un endpoint, la acción Ejecutar consulta de entidad requiere que configure los parámetros Table, IP Entity Key, Hostname Entity Key y Cross Entity Operator de la siguiente manera:

Parámetro	Valor de `AlertInfo`
`IP Entity Key`	`IPAddress`
`Hostname Entity Key`	`DeviceName`
`Cross Entity Operator`	`OR`

Para comprobar a cuántos endpoints afectan los hashes proporcionados, la acción Ejecutar consulta de entidad requiere que introduzca el valor SHA1 del parámetro File Hash Entity Key.

El Cross Entity Operator solo afecta a la consulta cuando se configuran varios valores para el parámetro Entity Keys.

Entradas de acciones

La acción Ejecutar consulta de entidad requiere los siguientes parámetros:

Parámetro	Descripción
`Table Names`	Obligatorio Lista de tablas separadas por comas que se van a consultar en Microsoft 365 Defender.
`Time Frame`	Optional El periodo de los resultados de la consulta. El valor predeterminado es `Last Hour`. Estos son los valores posibles: `Last Hour` `Last 6 Hours` `Last 24 Hours` `Last Week` `Last Month` `Custom`
`Start Time`	Optional Hora de inicio de los resultados de la consulta. Si asignas el valor `Custom` al parámetro `Time Frame`, este parámetro es obligatorio.
`End Time`	Optional La hora de finalización de los resultados de la consulta. Si no define ningún valor y asigna el valor `Custom` al parámetro `Time Frame`, la acción asignará a este parámetro el valor de la hora actual de forma predeterminada.
`Fields To Return`	Optional Lista separada por comas de los campos que se incluirán en los resultados.
`Sort Field`	Optional Campo por el que se ordenarán los resultados. El valor predeterminado es `Timestamp`.
`Sort Order`	Optional El orden en el que se deben ordenar los resultados (ascendente o descendente). El valor predeterminado es `ASC`. Estos son los valores posibles: `ASC` `DESC`
`Max Results To Return`	Optional Número máximo de resultados que se devolverán. El valor predeterminado es `50`.
`IP Entity Key`	Optional Clave que se usa para filtrar por la entidad `IP Address`.
`Hostname Entity Key`	Optional Clave que se usa para filtrar por la entidad `Hostname`.
`File Hash Entity Key`	Optional Clave que se usa para filtrar por la entidad `File Hash`.
`User Entity Key`	Optional Clave que se usa para filtrar por la entidad `User`.
`URL Entity Key`	Optional Clave que se usa para filtrar por la entidad `URL`.
`Email Address Entity Key`	Optional Clave que se usa para filtrar por la entidad `Email Address`. La acción acepta la entidad `User` que coincide con la expresión regular del correo electrónico.
`Stop If Not Enough Entities`	Optional Si se selecciona esta opción, la acción se ejecuta si están presentes todos los tipos de entidad especificados. Esta opción está seleccionada de forma predeterminada.
`Cross Entity Operator`	Obligatorio El operador lógico que se debe usar entre los diferentes tipos de entidades de la consulta. El valor predeterminado es `OR`. Estos son los valores posibles: `OR` `AND`

Resultados de la acción

La acción Ejecutar consulta de entidad proporciona los siguientes resultados:

Tipo de salida de la acción	Disponibilidad
Adjunto del panel de casos	No disponible
Enlace del panel de casos	No disponible
Tabla del panel de casos	No disponible
Tabla de enriquecimiento	No disponible
Resultado de JSON	Disponible
Mensajes de salida	Disponible
Resultado de la secuencia de comandos	Disponible

Resultado de JSON

En el siguiente ejemplo se muestra el resultado JSON que se recibe al usar la acción Ejecutar consulta de entidad:

 {
        "Timestamp": "2021-04-12T07:25:00Z",
        "AlertId": "fa7a318954-6c4c-eaab-3200-08d8fd82af35",
        "Title": "CC_Sensitive information",
        "Category": "InitialAccess",
        "Severity": "Medium",
        "ServiceSource": "Microsoft Defender for Office 365",
        "DetectionSource": "Microsoft Defender for Office 365",
        "AttackTechniques": ""
  }

Mensajes de salida

La acción Ejecutar consulta de entidad puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Mensaje resultante	Descripción del mensaje
`Successfully executed query "QUERY" in Microsoft 365 Defender.` `Action wasn't able to build the query, because not enough entity types were supplied for the specified "ENTITY_KEYS". Please disable the "Stop If Not Enough Entities" parameter or provide at least one entity for each specified ENTITY_KEY.` `No data was found for the query "QUERY" in Microsoft 365 Defender."`	La acción se ha realizado correctamente.
`Error executing action "Execute Entity Query". Reason: ERROR_REASON`	No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Successfully executed query "QUERY" in Microsoft 365 Defender.

Action wasn't able to build the query, because not enough entity types were supplied for the specified "ENTITY_KEYS". Please disable the "Stop If Not Enough Entities" parameter or provide at least one entity for each specified ENTITY_KEY.

No data was found for the query "QUERY" in Microsoft 365 Defender."

La acción se ha realizado correctamente.

Error executing action "Execute Entity Query". Reason:
      ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Ejecutar consulta de entidad:

Nombre del resultado del script	Valor
`is_success`	`True` o `False`

Ejecutar consulta

Usa la acción Ejecutar consulta para ejecutar consultas de búsqueda en Microsoft 365 Defender.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Ejecutar consulta requiere los siguientes parámetros:

Parámetro	Descripción
`Table Names`	Obligatorio Lista de nombres de tablas separados por comas para consultar en Microsoft 365 Defender.
`Query`	Optional Consulta que se va a ejecutar. Utilice este parámetro para proporcionar la cláusula `\| where`. El filtro de tiempo, la limitación y la ordenación son opcionales.
`Time Frame`	Optional El periodo de los resultados de la consulta. El valor predeterminado es `Last Hour`. Estos son los valores posibles: `Last Hour` `Last 6 Hours` `Last 24 Hours` `Last Week` `Last Month` `Custom`
`Start Time`	Optional Hora de inicio de los resultados de la consulta en formato ISO 8601. Si asignas el valor `Custom` al parámetro `Time Frame`, este parámetro es obligatorio.
`End Time`	Optional Hora de finalización de los resultados de la consulta en formato ISO 8601. Si no define ningún valor y asigna el valor `Custom` al parámetro `Time Frame`, la acción asignará a este parámetro el valor de la hora actual de forma predeterminada.
`Fields To Return`	Optional Lista separada por comas de los campos que se incluirán en los resultados.
`Sort Field`	Optional Campo por el que se ordenarán los resultados. El valor predeterminado es `Timestamp`.
`Sort Order`	Optional El orden en el que se deben ordenar los resultados (ascendente o descendente). El valor predeterminado es `ASC`. Estos son los valores posibles: `ASC` `DESC`
`Max Results To Return`	Optional Número máximo de resultados que se devolverán. El valor predeterminado es `50`.

Resultados de la acción

La acción Ejecutar consulta proporciona los siguientes resultados:

Tipo de salida de la acción	Disponibilidad
Adjunto del panel de casos	No disponible
Enlace del panel de casos	No disponible
Tabla del panel de casos	No disponible
Tabla de enriquecimiento	No disponible
Resultado de JSON	Disponible
Mensajes de salida	Disponible
Resultado de la secuencia de comandos	Disponible

Resultado de JSON

En el siguiente ejemplo se muestra la salida del resultado JSON que se recibe al usar la acción Ejecutar consulta:

{"Results": [
    {
        "Timestamp": "2021-04-12T07:25:00Z",
        "AlertId": "fa7a318954-6c4c-eaab-3200-08d8fd82af35",
        "Title": "CC_Sensitive information",
        "Category": "InitialAccess",
        "Severity": "Medium",
        "ServiceSource": "Microsoft Defender for Office 365",
        "DetectionSource": "Microsoft Defender for Office 365",
        "AttackTechniques": ""
    }
]}

Mensajes de salida

La acción Ejecutar consulta puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Mensaje resultante	Descripción del mensaje
`Successfully executed query "QUERY" in Microsoft 365 Defender.` `No data was found for the query "QUERY" in Microsoft 365 Defender."`	La acción se ha realizado correctamente.
`Error executing action "Execute Query". Reason: ERROR_REASON`	No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Successfully executed query "QUERY" in Microsoft 365 Defender.

No data was found for the query "QUERY" in Microsoft 365 Defender."

La acción se ha realizado correctamente.

Error executing action "Execute Query". Reason:
      ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Ejecutar consulta:

Nombre del resultado del script	Valor
`is_success`	`True` o `False`

Ping

Usa la acción Ping para probar la conectividad con Microsoft 365 Defender.

La acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

Ninguno

Resultados de la acción

La acción Ping proporciona las siguientes salidas:

Tipo de salida de la acción	Disponibilidad
Adjunto del panel de casos	No disponible
Enlace del panel de casos	No disponible
Tabla del panel de casos	No disponible
Tabla de enriquecimiento	No disponible
Resultado de JSON	No disponible
Mensajes de salida	Disponible
Resultado de la secuencia de comandos	Disponible

Resultado de JSON

En el siguiente ejemplo se muestra la salida del resultado JSON que se recibe al usar la acción Ping:

Mensajes de salida

La acción Ping puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Successfully connected to the Microsoft 365 Defender server with the provided connection parameters! La acción se ha realizado correctamente.

Mensaje resultante	Descripción del mensaje
`Successfully connected to the Microsoft 365 Defender server with the provided connection parameters!`	La acción se ha realizado correctamente.
`Failed to connect to the Microsoft 365 Defender server! Error is ERROR_REASON`	No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Failed to connect to the Microsoft 365 Defender server! Error is
      ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Ping:

Nombre del resultado del script	Valor
`is_success`	`True` o `False`

Actualizar incidente

Usa la acción Actualizar incidente para actualizar incidentes en Microsoft 365 Defender.

De acuerdo con las limitaciones de la API, esta acción no falla aunque asigne un valor de nombre de usuario no válido al parámetro Assign To.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Update Incident (Actualizar incidencia) requiere los siguientes parámetros:

Parámetro	Descripción
`Incident ID`	Obligatorio El ID del incidente que se va a actualizar en Microsoft 365 Defender.
`Status`	Optional El estado que se va a definir para el incidente en Microsoft 365 Defender. El valor predeterminado es `Select One`. Estos son los valores posibles: `Select One` `Active` `Resolved`
`Classification`	Optional Clasificación que se va a definir para el incidente en Microsoft 365 Defender. El valor predeterminado es `Select One`. Estos son los valores posibles: `Select One` `False Positive` `True Positive`
`Determination`	Optional La determinación que se va a establecer para el incidente en Microsoft 365 Defender. Este parámetro solo se aplica si el valor del parámetro `Classification` es `True Positive`. El valor predeterminado es `Select One`. Estos son los valores posibles: `Select One` `Not Available` `Apt` `Malware` `Security Personnel` `Security Testing` `Unwanted Software` `Other`
`Assign To`	Optional El usuario al que se asignará el incidente en Microsoft 365 Defender.

Resultados de la acción

La acción Actualizar incidencia proporciona los siguientes resultados:

Tipo de salida de la acción	Disponibilidad
Adjunto del panel de casos	No disponible
Enlace del panel de casos	No disponible
Tabla del panel de casos	No disponible
Tabla de enriquecimiento	No disponible
Resultado de JSON	No disponible
Mensajes de salida	Disponible
Resultado de la secuencia de comandos	Disponible

Mensajes de salida

La acción Actualizar incidencia puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Successfully updated incident INCIDENT_ID in Microsoft 365 Defender. La acción se ha realizado correctamente.

Mensaje resultante	Descripción del mensaje
`Successfully updated incident INCIDENT_ID in Microsoft 365 Defender.`	La acción se ha realizado correctamente.
`Error executing action "Update Incident". Reason: ERROR_REASON`	No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Error executing action "Update Incident". Reason:
      ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Conectores

Para obtener instrucciones detalladas sobre cómo configurar un conector en Google SecOps, consulta el artículo Ingerir datos (conectores).

Microsoft 365 Defender: conector de incidentes

Usa el conector de incidentes de Microsoft 365 Defender para extraer información sobre los incidentes y las alertas relacionadas de Microsoft 365 Defender.

La lista dinámica funciona con un nombre de incidencia.

Limitaciones del conector

El conector de incidentes de Microsoft 365 Defender usa las solicitudes de API con límites estrictos. Para estabilizar el conector, asigna el valor 10 al parámetro Max Incidents To Fetch y el valor 1 minute al parámetro Run Every. Aun así, puedes alcanzar el límite de frecuencia, ya que el endpoint de la API Microsoft Graph que se usa para obtener alertas solo permite 20 solicitudes por minuto.

Para evitar la pérdida de datos cuando se alcanza el límite de frecuencia, el conector deja de procesar el incidente actual y espera 90 segundos antes de procesar otro incidente. En 90 segundos, el límite de frecuencia vuelve a su valor máximo y el conector vuelve a procesar el incidente que no se procesó correctamente en la iteración anterior.

Entradas de conectores

El conector de incidentes de Microsoft 365 Defender requiere los siguientes parámetros:

En la mayoría de los casos, los incidentes redirigidos pueden estar vacíos.

Parámetro	Descripción
`Product Field Name`	Obligatorio Nombre del campo en el que se almacena el nombre del producto. El valor predeterminado es `event_type`.
`Event Field Name`	Obligatorio Nombre del campo que se usa para determinar el nombre del evento (subtipo). El valor predeterminado es `@odata.type`.
`Login API Root`	Obligatorio La raíz de la API de inicio de sesión de la instancia de Microsoft 365 Defender. El valor predeterminado es `https://login.microsoftonline.com`.
`Graph API Root`	Obligatorio La raíz de la API del servicio Microsoft Graph. El valor predeterminado es `https://graph.microsoft.com`.
`API Root`	Obligatorio La raíz de la API de la instancia de Microsoft 365 Defender. El valor predeterminado es `https://api.security.microsoft.com`.
`Tenant ID`	Obligatorio El valor de Microsoft Entra ID (ID de cliente) de tu cuenta de Microsoft Entra ID.
`Client ID`	Obligatorio Valor del ID de aplicación (cliente) de tu cuenta de Microsoft Entra ID.
`Client Secret`	Obligatorio El valor del secreto de cliente de la aplicación de Microsoft Entra ID.
`Verify SSL`	Optional Si se selecciona, la integración verifica que el certificado SSL para conectarse al servidor de Microsoft 365 Defender sea válido. Esta opción está seleccionada de forma predeterminada.
`Lowest Severity To Fetch`	Optional La gravedad más baja de los incidentes que se van a obtener.
`Max Hours Backwards`	Optional Número de horas antes de la primera iteración del conector para obtener los incidentes. Este parámetro se aplica a la iteración inicial del conector después de habilitarlo por primera vez o al valor de respaldo de una marca de tiempo del conector caducada. El valor predeterminado es `1`.
`Max Incidents To Fetch`	Optional Número máximo de incidencias que se van a obtener en cada iteración del conector. El valor predeterminado es `10`.
`Incident Status Filter`	Optional Lista separada por comas de los estados de los incidentes que se van a ingerir. El valor predeterminado es `active, inProgress`. Estos son los valores posibles: `active` `inProgress` `resolved` `redirected`
`Use whitelist as a blacklist`	Optional Si se selecciona esta opción, el conector usará la lista dinámica como lista de bloqueo. No está seleccionada de forma predeterminada.
`Lowest Alert Severity To Fetch`	Optional La gravedad más baja de las alertas que se van a obtener.
`Disable Alert Tracking`	Optional Si se habilita, el conector dejará de monitorizar las actualizaciones de las alertas. Inhabilitada de forma predeterminada.
`Environment Field Name`	Optional Nombre del campo que contiene el nombre del entorno.
`Environment Regex Pattern`	Optional Un patrón de expresión regular que se aplica al valor encontrado en el campo `Environment Field Name`. Este parámetro te permite manipular el campo de entorno mediante la lógica de expresiones regulares. Usa el valor predeterminado `.*` para obtener el valor sin formato `Environment Field Name` necesario. Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado.
`PythonProcessTimeout`	Obligatorio El límite de tiempo de espera en segundos del proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es `180`.
`Dynamic List Field`	Optional Valor que usa la lista dinámica para filtrar. Los valores posibles son `Incident Name` y `Alert Name`. El valor predeterminado es `Incident Name`.
`Alert Detection Source Filter`	Optional Lista separada por comas de fuentes de detección de alertas que se van a ingerir, como `antivirus, microsoftDefenderForEndpoint`.
`Alert Service Source Filter`	Optional Lista separada por comas de fuentes de servicios de alertas que se van a ingerir, como `antivirus, microsoftDefenderForEndpoint`.
`Disable Overflow`	Optional Si se selecciona esta opción, el conector ignora el mecanismo de desbordamiento de Google SecOps durante la creación de alertas. Esta opción está habilitada de forma predeterminada.
`Proxy Server Address`	Optional Dirección del servidor proxy que se va a usar.
`Proxy Username`	Optional Nombre de usuario del proxy para autenticarse.
`Proxy Password`	Optional La contraseña del proxy para autenticarte.

Reglas de conectores

El conector admite proxies.
El conector admite listas dinámicas y listas de bloqueo.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.