Cette page a été traduite par l'API Cloud Translation.

Microsoft 365 Defender

Ce document explique comment intégrer Microsoft 365 Defender à Google Security Operations (Google SecOps).

Version de l'intégration : 19.0

Cas d'utilisation

L'intégration de Microsoft 365 Defender à Google SecOps peut vous aider à résoudre les cas d'utilisation suivants :

Réponse automatisée aux incidents : utilisez les fonctionnalités Google SecOps pour isoler automatiquement le point de terminaison concerné et lancer une analyse afin de détecter d'autres compromissions.
Enquête et correction du hameçonnage : utilisez les fonctionnalités Google SecOps pour extraire automatiquement les informations pertinentes, telles que l'expéditeur, l'objet et les pièces jointes, et les enrichir avec des données de renseignements sur les menaces.
Gestion des failles : utilisez les fonctionnalités Google SecOps pour automatiser les workflows d'analyse et de correction des failles.
Rapports et audits de conformité : utilisez les fonctionnalités Google SecOps pour automatiser la collecte et la création de rapports sur les données de sécurité de Microsoft 365 Defender. Vous simplifierez ainsi les audits de conformité et démontrerez votre respect des normes de sécurité.
Hiérarchisation et tri des alertes : utilisez les fonctionnalités Google SecOps pour analyser les alertes de Microsoft 365 Defender et les hiérarchiser en fonction de leur gravité et de leur impact potentiel.
Analyse automatisée des logiciels malveillants : utilisez les fonctionnalités Google SecOps pour envoyer automatiquement l'échantillon d'un logiciel malveillant détecté par Microsoft 365 Defender à un environnement de bac à sable pour une analyse dynamique.

Avant de commencer

Avant de configurer l'intégration dans la plate-forme Google SecOps, procédez comme suit :

Créez l'application Microsoft Entra.
Configurez les autorisations de l'API pour votre application.
Créez un code secret du client.

Créer l'application Microsoft Entra

Pour créer l'application Microsoft Entra, procédez comme suit :

Connectez-vous au portail Azure en tant qu'administrateur d'utilisateurs ou administrateur de mots de passe.
Sélectionnez Microsoft Entra ID.
Accédez à Inscriptions d'applications > Nouvelle inscription.
Saisissez le nom de l'application.
Cliquez sur S'inscrire.
Enregistrez les valeurs Application (client) ID (ID de l'application [client]) et Directory (tenant) ID (ID de répertoire [locataire]) pour les utiliser ultérieurement lors de la configuration des paramètres d'intégration.

Configurer les autorisations de l'API

Pour configurer les autorisations d'API pour l'intégration, procédez comme suit :

Dans le portail Azure, accédez à Gérer > Autorisations d'API > Ajouter une autorisation.
Dans la fenêtre Demander des autorisations d'API, sélectionnez API utilisées par mon organisation.
Sélectionnez Microsoft Graph > Autorisations de l'application.
Sélectionnez les autorisations suivantes :
- SecurityAlert.Read.All
- SecurityIncident.ReadWrite.All
Cliquez sur Ajouter des autorisations.
Dans la fenêtre Demander des autorisations d'API, sélectionnez API utilisées par mon organisation.
Sélectionnez Microsoft Threat Protection > Autorisations de l'application.
Sélectionnez l'autorisation suivante :
- ThreatHunting.Read.All
Cliquez sur Ajouter des autorisations.
Cliquez sur Accorder le consentement administrateur pour YOUR_ORGANIZATION_NAME.

Lorsque la boîte de dialogue Confirmation de l'accord de l'administrateur s'affiche, cliquez sur Oui.

Créer un code secret du client

Pour créer un code secret du client, procédez comme suit :

Accédez à Certificats et codes secrets > Nouveau code secret du client.
Indiquez une description pour un code secret du client et définissez sa date d'expiration.
Cliquez sur Ajouter.
Enregistrez la valeur du code secret du client (et non l'ID du code secret) pour l'utiliser comme valeur du paramètre Client Secret lors de la configuration de l'intégration.

La valeur du code secret du client n'est affichée qu'une seule fois.

Intégrer Microsoft 365 Defender à Google SecOps

L'intégration de Microsoft 365 Defender nécessite les paramètres suivants :

Paramètre	Description
`Login API Root`	Obligatoire Racine de l'API de connexion de l'instance Microsoft 365 Defender. La valeur par défaut est `https://login.microsoftonline.com`.
`Graph API Root`	Obligatoire Racine de l'API du service Microsoft Graph. La valeur par défaut est `https://graph.microsoft.com`.
`API Root`	Obligatoire Racine de l'API de l'instance Microsoft 365 Defender. La valeur par défaut est `https://api.security.microsoft.com`.
`Tenant ID`	Obligatoire Valeur Microsoft Entra ID (ID de locataire) de votre compte Microsoft Entra ID.
`Client ID`	Obligatoire Valeur de l'ID d'application (client) de votre compte Microsoft Entra ID.
`Client Secret`	Obligatoire Valeur du code secret du client de l'application Microsoft Entra ID.
`Verify SSL`	Optional Si cette option est sélectionnée, l'intégration vérifie que le certificat SSL pour la connexion au serveur Microsoft 365 Defender est valide. Cette option est sélectionnée par défaut.

Pour obtenir des instructions sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.

Vous pourrez apporter des modifications ultérieurement si nécessaire. Une fois que vous avez configuré une instance d'intégration, vous pouvez l'utiliser dans des playbooks. Pour en savoir plus sur la configuration et la prise en charge de plusieurs instances, consultez Prise en charge de plusieurs instances.

Actions

Pour en savoir plus sur les actions, consultez Répondre aux actions en attente depuis votre bureau et Effectuer une action manuelle.

Ajouter un commentaire à l'incident

Utilisez l'action Ajouter un commentaire à l'incident pour ajouter un commentaire à un incident dans Microsoft 365 Defender.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Ajouter un commentaire à l'incident nécessite les paramètres suivants :

Paramètre	Description
`Incident ID`	Obligatoire ID de l'incident auquel ajouter le commentaire.
`Comment`	Obligatoire Commentaire à ajouter à l'incident.

Sorties d'action

L'action Ajouter un commentaire à l'incident fournit les sorties suivantes :

Type de sortie de l'action	Disponibilité
Pièce jointe au mur des cas	Non disponible
Lien vers le mur des cas	Non disponible
Table du mur des cas	Non disponible
Table d'enrichissement	Non disponible
Résultat JSON	Non disponible
Messages de sortie	Disponible
Résultat du script	Disponible

Messages de sortie

L'action Ajouter un commentaire à l'incident peut renvoyer les messages de sortie suivants :

Message affiché Description du message

Successfully added comment to incident INCIDENT_ID in Microsoft 365 Defender. L'action a réussi.

Message affiché	Description du message
`Successfully added comment to incident INCIDENT_ID in Microsoft 365 Defender.`	L'action a réussi.
`Error executing action "Add Comment To Incident". Reason: ERROR_REASON`	Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Error executing action "Add Comment To Incident". Reason:
      ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Ajouter un commentaire à l'incident :

Nom du résultat du script	Valeur
`is_success`	`True` ou `False`

Exécuter une requête personnalisée

Utilisez l'action Exécuter une requête personnalisée pour exécuter une requête de recherche personnalisée dans Microsoft 365 Defender.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Exécuter une requête personnalisée nécessite les paramètres suivants :

Paramètre Description

Paramètre	Description
`Query`	Obligatoire Requête à exécuter dans Microsoft 365 Defender pour filtrer les résultats.
`Max Results To Return`	Optional Nombre maximal de résultats à renvoyer pour la requête. La valeur par défaut est "50".

Query

Obligatoire

Requête à exécuter dans Microsoft 365 Defender pour filtrer les résultats.

Max Results To Return

Optional

Nombre maximal de résultats à renvoyer pour la requête.

La valeur par défaut est "50".

Sorties d'action

L'action Exécuter une requête personnalisée fournit les sorties suivantes :

Type de sortie de l'action	Disponibilité
Pièce jointe au mur des cas	Non disponible
Lien vers le mur des cas	Non disponible
Table du mur des cas	Non disponible
Table d'enrichissement	Non disponible
Résultat JSON	Disponible
Messages de sortie	Disponible
Résultat du script	Disponible

Résultat JSON

L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Exécuter une requête personnalisée :

{"Results": [
    {
        "Timestamp": "2021-04-12T07:25:00Z",
        "AlertId": "fa7a318954-6c4c-eaab-3200-08d8fd82af35",
        "Title": "CC_Sensitive information",
        "Category": "InitialAccess",
        "Severity": "Medium",
        "ServiceSource": "Microsoft Defender for Office 365",
        "DetectionSource": "Microsoft Defender for Office 365",
        "AttackTechniques": ""
    }
]}

Messages de sortie

L'action Exécuter une requête personnalisée peut renvoyer les messages de sortie suivants :

Message affiché Description du message

Message affiché	Description du message
`Successfully executed query "QUERY" in Microsoft 365 Defender.` `No data was found for the query "QUERY" in Microsoft 365 Defender.`	L'action a réussi.
`Error executing action "Execute Custom Query". Reason: ERROR_REASON`	Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Successfully executed query "QUERY" in Microsoft 365 Defender.

No data was found for the query "QUERY" in Microsoft 365 Defender.

L'action a réussi.

Error executing action "Execute Custom Query". Reason:
      ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Exécuter une requête personnalisée :

Nom du résultat du script	Valeur
`is_success`	`True` ou `False`

Exécuter une requête d'entité

Utilisez l'action Exécuter une requête sur les entités pour exécuter une requête de chasse basée sur des entités dans Microsoft 365 Defender.

Cette action utilise un filtre where basé sur des entités.

Cette action s'exécute sur les entités Google SecOps suivantes :

IP Address
Host
User
Hash
URL

Vous pouvez utiliser l'action Exécuter une requête d'entité pour récupérer des informations liées à des entités, par exemple les résultats d'un tableau et les filtrer en fonction des entités.

Contrairement à l'action Exécuter une requête qui vous oblige à utiliser une mise en forme spécifique, l'action Exécuter une requête d'entité n'utilise pas l'entrée de requête.

Lorsque vous utilisez l'action Exécuter la requête pour récupérer les alertes associées à un point de terminaison, mettez en forme la clause | where comme suit :

AlertInfo | where DeviceName == "Host-1" or IPAddress == "192.0.2.1" | top 100
by Timestamp desc

Pour récupérer les alertes associées à un point de terminaison, l'action Exécuter une requête d'entité vous demande de configurer les paramètres Table, IP Entity Key, Hostname Entity Key et Cross Entity Operator comme suit :

Paramètre	Valeur `AlertInfo`
`IP Entity Key`	`IPAddress`
`Hostname Entity Key`	`DeviceName`
`Cross Entity Operator`	`OR`

Pour vérifier le nombre de points de terminaison concernés par les hachages fournis, l'action Execute Entity Query vous demande de saisir la valeur SHA1 pour le paramètre File Hash Entity Key.

Cross Entity Operator n'a d'incidence sur la requête que lorsque vous configurez plusieurs valeurs pour le paramètre Entity Keys.

Entrées d'action

L'action Exécuter une requête d'entité nécessite les paramètres suivants :

Paramètre	Description
`Table Names`	Obligatoire Liste de tables à interroger dans Microsoft 365 Defender, séparées par une virgule.
`Time Frame`	Optional Période des résultats de la requête. La valeur par défaut est `Last Hour`. Les valeurs possibles sont les suivantes : `Last Hour` `Last 6 Hours` `Last 24 Hours` `Last Week` `Last Month` `Custom`
`Start Time`	Optional Heure de début des résultats de la requête. Ce paramètre est obligatoire si vous définissez le paramètre `Time Frame` sur `Custom`.
`End Time`	Optional Heure de fin des résultats de la requête. Si vous ne définissez pas de valeur et que vous définissez le paramètre `Time Frame` sur `Custom`, l'action définit ce paramètre sur la valeur temporelle actuelle par défaut.
`Fields To Return`	Optional Liste de champs à inclure dans les résultats, séparés par une virgule.
`Sort Field`	Optional Champ selon lequel trier les résultats. La valeur par défaut est `Timestamp`.
`Sort Order`	Optional Ordre de tri des résultats (croissant ou décroissant). La valeur par défaut est `ASC`. Les valeurs possibles sont les suivantes : `ASC` `DESC`
`Max Results To Return`	Optional Nombre maximal de résultats à renvoyer. La valeur par défaut est `50`.
`IP Entity Key`	Optional Clé à utiliser pour filtrer par l'entité `IP Address`.
`Hostname Entity Key`	Optional Clé à utiliser pour filtrer par l'entité `Hostname`.
`File Hash Entity Key`	Optional Clé à utiliser pour filtrer par l'entité `File Hash`.
`User Entity Key`	Optional Clé à utiliser pour filtrer par l'entité `User`.
`URL Entity Key`	Optional Clé à utiliser pour filtrer par l'entité `URL`.
`Email Address Entity Key`	Optional Clé à utiliser pour filtrer par l'entité `Email Address`. L'action accepte l'entité `User` qui correspond à l'expression régulière de l'e-mail.
`Stop If Not Enough Entities`	Optional Si cette option est sélectionnée, l'action s'exécute si tous les types d'entités spécifiés sont présents. Cette option est sélectionnée par défaut.
`Cross Entity Operator`	Obligatoire Opérateur logique à utiliser entre différents types d'entités dans la requête. La valeur par défaut est `OR`. Les valeurs possibles sont les suivantes : `OR` `AND`

Sorties d'action

L'action Exécuter la requête d'entité fournit les sorties suivantes :

Type de sortie de l'action	Disponibilité
Pièce jointe au mur des cas	Non disponible
Lien vers le mur des cas	Non disponible
Table du mur des cas	Non disponible
Table d'enrichissement	Non disponible
Résultat JSON	Disponible
Messages de sortie	Disponible
Résultat du script	Disponible

Résultat JSON

L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Exécuter une requête d'entité :

 {
        "Timestamp": "2021-04-12T07:25:00Z",
        "AlertId": "fa7a318954-6c4c-eaab-3200-08d8fd82af35",
        "Title": "CC_Sensitive information",
        "Category": "InitialAccess",
        "Severity": "Medium",
        "ServiceSource": "Microsoft Defender for Office 365",
        "DetectionSource": "Microsoft Defender for Office 365",
        "AttackTechniques": ""
  }

Messages de sortie

L'action Exécuter une requête d'entité peut renvoyer les messages de sortie suivants :

Message affiché Description du message

Message affiché	Description du message
`Successfully executed query "QUERY" in Microsoft 365 Defender.` `Action wasn't able to build the query, because not enough entity types were supplied for the specified "ENTITY_KEYS". Please disable the "Stop If Not Enough Entities" parameter or provide at least one entity for each specified ENTITY_KEY.` `No data was found for the query "QUERY" in Microsoft 365 Defender."`	L'action a réussi.
`Error executing action "Execute Entity Query". Reason: ERROR_REASON`	Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Successfully executed query "QUERY" in Microsoft 365 Defender.

Action wasn't able to build the query, because not enough entity types were supplied for the specified "ENTITY_KEYS". Please disable the "Stop If Not Enough Entities" parameter or provide at least one entity for each specified ENTITY_KEY.

No data was found for the query "QUERY" in Microsoft 365 Defender."

L'action a réussi.

Error executing action "Execute Entity Query". Reason:
      ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Exécuter une requête d'entité :

Nom du résultat du script	Valeur
`is_success`	`True` ou `False`

Exécuter la requête

Utilisez l'action Exécuter la requête pour exécuter des requêtes de recherche dans Microsoft 365 Defender.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Exécuter la requête nécessite les paramètres suivants :

Paramètre	Description
`Table Names`	Obligatoire Liste de noms de tables à interroger dans Microsoft 365 Defender, séparés par une virgule.
`Query`	Optional Requête à exécuter. Utilisez ce paramètre pour fournir la clause `\| where`. Le filtre temporel, la limitation et le tri sont facultatifs.
`Time Frame`	Optional Période des résultats de la requête. La valeur par défaut est `Last Hour`. Les valeurs possibles sont les suivantes : `Last Hour` `Last 6 Hours` `Last 24 Hours` `Last Week` `Last Month` `Custom`
`Start Time`	Optional Heure de début des résultats de la requête au format ISO 8601. Ce paramètre est obligatoire si vous définissez le paramètre `Time Frame` sur `Custom`.
`End Time`	Optional Heure de fin des résultats de la requête au format ISO 8601. Si vous ne définissez pas de valeur et que vous définissez le paramètre `Time Frame` sur `Custom`, l'action définit ce paramètre sur la valeur de l'heure actuelle par défaut.
`Fields To Return`	Optional Liste de champs à inclure dans les résultats, séparés par une virgule.
`Sort Field`	Optional Champ selon lequel trier les résultats. La valeur par défaut est `Timestamp`.
`Sort Order`	Optional Ordre de tri des résultats (croissant ou décroissant). La valeur par défaut est `ASC`. Les valeurs possibles sont les suivantes : `ASC` `DESC`
`Max Results To Return`	Optional Nombre maximal de résultats à renvoyer. La valeur par défaut est `50`.

Sorties d'action

L'action Exécuter la requête fournit les sorties suivantes :

Type de sortie de l'action	Disponibilité
Pièce jointe au mur des cas	Non disponible
Lien vers le mur des cas	Non disponible
Table du mur des cas	Non disponible
Table d'enrichissement	Non disponible
Résultat JSON	Disponible
Messages de sortie	Disponible
Résultat du script	Disponible

Résultat JSON

L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Exécuter la requête :

{"Results": [
    {
        "Timestamp": "2021-04-12T07:25:00Z",
        "AlertId": "fa7a318954-6c4c-eaab-3200-08d8fd82af35",
        "Title": "CC_Sensitive information",
        "Category": "InitialAccess",
        "Severity": "Medium",
        "ServiceSource": "Microsoft Defender for Office 365",
        "DetectionSource": "Microsoft Defender for Office 365",
        "AttackTechniques": ""
    }
]}

Messages de sortie

L'action Exécuter la requête peut renvoyer les messages de sortie suivants :

Message affiché Description du message

Message affiché	Description du message
`Successfully executed query "QUERY" in Microsoft 365 Defender.` `No data was found for the query "QUERY" in Microsoft 365 Defender."`	L'action a réussi.
`Error executing action "Execute Query". Reason: ERROR_REASON`	Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Successfully executed query "QUERY" in Microsoft 365 Defender.

No data was found for the query "QUERY" in Microsoft 365 Defender."

L'action a réussi.

Error executing action "Execute Query". Reason:
      ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Résultat du script

Le tableau suivant répertorie la valeur de la sortie des résultats du script lorsque vous utilisez l'action Exécuter la requête :

Nom du résultat du script	Valeur
`is_success`	`True` ou `False`

Ping

Utilisez l'action Ping pour tester la connectivité à Microsoft 365 Defender.

L'action ne s'exécute pas sur les entités Google SecOps.

Entrées d'action

Aucun

Sorties d'action

L'action Ping fournit les résultats suivants :

Type de sortie de l'action	Disponibilité
Pièce jointe au mur des cas	Non disponible
Lien vers le mur des cas	Non disponible
Table du mur des cas	Non disponible
Table d'enrichissement	Non disponible
Résultat JSON	Non disponible
Messages de sortie	Disponible
Résultat du script	Disponible

Résultat JSON

L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Ping :

Messages de sortie

L'action Ping peut renvoyer les messages de résultat suivants :

Message affiché Description du message

Successfully connected to the Microsoft 365 Defender server with the provided connection parameters! L'action a réussi.

Message affiché	Description du message
`Successfully connected to the Microsoft 365 Defender server with the provided connection parameters!`	L'action a réussi.
`Failed to connect to the Microsoft 365 Defender server! Error is ERROR_REASON`	Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Failed to connect to the Microsoft 365 Defender server! Error is
      ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Résultat du script

Le tableau suivant répertorie la valeur du résultat du script lorsque vous utilisez l'action Ping :

Nom du résultat du script	Valeur
`is_success`	`True` ou `False`

Mettre à jour un incident

Utilisez l'action Mettre à jour l'incident pour mettre à jour les incidents dans Microsoft 365 Defender.

Conformément aux limites de l'API, cette action n'échoue pas même si vous définissez une valeur de nom d'utilisateur non valide pour le paramètre Assign To.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Mettre à jour l'incident nécessite les paramètres suivants :

Paramètre	Description
`Incident ID`	Obligatoire ID de l'incident à mettre à jour dans Microsoft 365 Defender.
`Status`	Optional État à définir pour l'incident dans Microsoft 365 Defender. La valeur par défaut est `Select One`. Les valeurs possibles sont les suivantes : `Select One` `Active` `Resolved`
`Classification`	Optional Classification à définir pour l'incident dans Microsoft 365 Defender. La valeur par défaut est `Select One`. Les valeurs possibles sont les suivantes : `Select One` `False Positive` `True Positive`
`Determination`	Optional Détermination à définir pour l'incident dans Microsoft 365 Defender. Ce paramètre ne s'applique que si la valeur du paramètre `Classification` est `True Positive`. La valeur par défaut est `Select One`. Les valeurs possibles sont les suivantes : `Select One` `Not Available` `Apt` `Malware` `Security Personnel` `Security Testing` `Unwanted Software` `Other`
`Assign To`	Optional Utilisateur auquel attribuer l'incident dans Microsoft 365 Defender.

Sorties d'action

L'action Mettre à jour l'incident fournit les résultats suivants :

Type de sortie de l'action	Disponibilité
Pièce jointe au mur des cas	Non disponible
Lien vers le mur des cas	Non disponible
Table du mur des cas	Non disponible
Table d'enrichissement	Non disponible
Résultat JSON	Non disponible
Messages de sortie	Disponible
Résultat du script	Disponible

Messages de sortie

L'action Mettre à jour l'incident peut renvoyer les messages de résultat suivants :

Message affiché Description du message

Successfully updated incident INCIDENT_ID in Microsoft 365 Defender. L'action a réussi.

Message affiché	Description du message
`Successfully updated incident INCIDENT_ID in Microsoft 365 Defender.`	L'action a réussi.
`Error executing action "Update Incident". Reason: ERROR_REASON`	Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Error executing action "Update Incident". Reason:
      ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Connecteurs

Pour obtenir des instructions détaillées sur la configuration d'un connecteur dans Google SecOps, consultez Ingérer vos données (connecteurs).

Connecteur Microsoft 365 Defender – Incidents

Utilisez le connecteur d'incidents Microsoft 365 Defender pour extraire des informations sur les incidents et les alertes associées depuis Microsoft 365 Defender.

La liste dynamique fonctionne avec un nom d'incident.

Limites des connecteurs

Le connecteur Microsoft 365 Defender – Incidents utilise les requêtes API avec des limites strictes. Pour stabiliser le connecteur, définissez le paramètre Max Incidents To Fetch sur 10 et le paramètre Run Every sur 1 minute. Vous pouvez toujours atteindre la limite de débit, car le point de terminaison de l'API Microsoft Graph utilisé pour récupérer les alertes n'autorise que 20 requêtes par minute.

Pour éviter toute perte de données lorsque la limite de fréquence est atteinte, le connecteur arrête de traiter l'incident en cours et attend 90 secondes avant de traiter un autre incident. Au bout de 90 secondes, la limite de débit revient à sa valeur maximale et le connecteur retraite l'incident qui n'a pas été traité correctement lors de l'itération précédente.

Entrées du connecteur

Le connecteur Microsoft 365 Defender – Incidents nécessite les paramètres suivants :

Dans la plupart des cas, les incidents redirigés peuvent être vides.

Paramètre	Description
`Product Field Name`	Obligatoire Nom du champ dans lequel le nom du produit est stocké. La valeur par défaut est `event_type`.
`Event Field Name`	Obligatoire Nom du champ utilisé pour déterminer le nom de l'événement (sous-type). La valeur par défaut est `@odata.type`.
`Login API Root`	Obligatoire Racine de l'API de connexion de l'instance Microsoft 365 Defender. La valeur par défaut est `https://login.microsoftonline.com`.
`Graph API Root`	Obligatoire Racine de l'API du service Microsoft Graph. La valeur par défaut est `https://graph.microsoft.com`.
`API Root`	Obligatoire Racine de l'API de l'instance Microsoft 365 Defender. La valeur par défaut est `https://api.security.microsoft.com`.
`Tenant ID`	Obligatoire Valeur Microsoft Entra ID (ID de locataire) de votre compte Microsoft Entra ID.
`Client ID`	Obligatoire Valeur de l'ID d'application (client) de votre compte Microsoft Entra ID.
`Client Secret`	Obligatoire Valeur du code secret du client de l'application Microsoft Entra ID.
`Verify SSL`	Optional Si cette option est sélectionnée, l'intégration vérifie que le certificat SSL pour la connexion au serveur Microsoft 365 Defender est valide. Cette option est sélectionnée par défaut.
`Lowest Severity To Fetch`	Optional Niveau de gravité le plus faible des incidents à extraire.
`Max Hours Backwards`	Optional Nombre d'heures avant la première itération du connecteur à partir desquelles récupérer les incidents. Ce paramètre s'applique à la première itération du connecteur après l'avoir activé pour la première fois ou à la valeur de remplacement pour un code temporel de connecteur expiré. La valeur par défaut est `1`.
`Max Incidents To Fetch`	Optional Nombre maximal d'incidents à extraire pour chaque itération du connecteur. La valeur par défaut est `10`.
`Incident Status Filter`	Optional Liste des états d'incident à ingérer, séparés par une virgule. La valeur par défaut est `active, inProgress`. Les valeurs possibles sont les suivantes : `active` `inProgress` `resolved` `redirected`
`Use whitelist as a blacklist`	Optional Si cette option est sélectionnée, le connecteur utilise la liste dynamique comme liste de blocage. (non sélectionnée par défaut).
`Lowest Alert Severity To Fetch`	Optional Gravité minimale des alertes à récupérer.
`Disable Alert Tracking`	Optional Si cette option est activée, le connecteur cesse de suivre les mises à jour des alertes. Désactivé par défaut
`Environment Field Name`	Optional Nom du champ contenant le nom de l'environnement.
`Environment Regex Pattern`	Optional Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ `Environment Field Name`. Ce paramètre vous permet de manipuler le champ "environment" à l'aide de la logique d'expression régulière. Utilisez la valeur par défaut `.*` pour récupérer la valeur `Environment Field Name` brute requise. Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, le résultat final de l'environnement est l'environnement par défaut.
`PythonProcessTimeout`	Obligatoire Délai limite en secondes pour le processus Python qui exécute le script actuel. La valeur par défaut est `180`.
`Dynamic List Field`	Optional Valeur utilisée par la liste dynamique pour le filtrage. Les valeurs possibles sont `Incident Name` et `Alert Name`. La valeur par défaut est `Incident Name`.
`Alert Detection Source Filter`	Optional Liste de sources de détection d'alertes à ingérer, séparées par une virgule, telles que `antivirus, microsoftDefenderForEndpoint`.
`Alert Service Source Filter`	Optional Liste de sources de services d'alerte à ingérer, séparées par une virgule, telles que `antivirus, microsoftDefenderForEndpoint`.
`Disable Overflow`	Optional Si cette option est sélectionnée, le connecteur ignore le mécanisme de dépassement de capacité de Google SecOps lors de la création d'alertes. Cette option est activée par défaut.
`Proxy Server Address`	Optional Adresse du serveur proxy à utiliser.
`Proxy Username`	Optional Nom d'utilisateur du proxy pour l'authentification.
`Proxy Password`	Optional Mot de passe du proxy pour l'authentification.

Règles du connecteur

Le connecteur est compatible avec les proxys.
Le connecteur est compatible avec les listes dynamiques d'autorisation et de blocage.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.