Questa pagina è stata tradotta dall'API Cloud Translation.

Microsoft 365 Defender

Questo documento descrive come integrare Microsoft 365 Defender con Google Security Operations (Google SecOps).

Versione integrazione: 19.0

Casi d'uso

L'integrazione di Microsoft 365 Defender con Google SecOps può aiutarti a risolvere i seguenti casi d'uso:

Risposta automatica agli incidenti:utilizza le funzionalità di Google SecOps per isolare automaticamente l'endpoint interessato e avviare una scansione per ulteriori compromissioni.
Indagine e correzione del phishing:utilizza le funzionalità di Google SecOps per estrarre automaticamente informazioni pertinenti, come mittente, oggetto e allegati, e arricchirle con dati di threat intelligence.
Gestione delle vulnerabilità:utilizza le funzionalità di Google SecOps per automatizzare i flussi di lavoro di analisi e correzione delle vulnerabilità.
Report e audit di conformità:utilizza le funzionalità di Google SecOps per automatizzare la raccolta e la generazione di report sui dati di sicurezza da Microsoft 365 Defender, semplificando gli audit di conformità e dimostrando l'adesione agli standard di sicurezza.
Prioritizzazione e triage degli avvisi:utilizza le funzionalità di Google SecOps per analizzare gli avvisi di Microsoft 365 Defender e assegnare loro la priorità in base alla gravità e al potenziale impatto.
Analisi automatica del malware: utilizza le funzionalità di Google SecOps per inviare automaticamente il campione di un malware rilevato da Microsoft 365 Defender a un ambiente sandbox per l'analisi dinamica.

Prima di iniziare

Prima di configurare l'integrazione nella piattaforma Google SecOps, completa i seguenti passaggi:

Crea l'applicazione Microsoft Entra.
Configura le autorizzazioni API per la tua app.
Crea un client secret.

Crea l'applicazione Microsoft Entra

Per creare l'applicazione Microsoft Entra, completa i seguenti passaggi:

Accedi al portale Azure come amministratore utenti o amministratore password.
Seleziona Microsoft Entra ID.
Vai a Registrazioni app > Nuova registrazione.
Inserisci il nome dell'applicazione.
Fai clic su Register (Registrati).
Salva i valori ID applicazione (client) e ID directory (tenant) per utilizzarli in un secondo momento durante la configurazione dei parametri di integrazione.

Configurare le autorizzazioni API

Per configurare le autorizzazioni API per l'integrazione, completa i seguenti passaggi:

Nel portale Azure, vai a Gestisci > Autorizzazioni API > Aggiungi un'autorizzazione.
Nella finestra Autorizzazioni API, seleziona API usate dall'organizzazione.
Seleziona Microsoft Graph > Autorizzazioni applicazione.
Seleziona le seguenti autorizzazioni:
- SecurityAlert.Read.All
- SecurityIncident.ReadWrite.All
Fai clic su Aggiungi autorizzazioni.
Nella finestra Autorizzazioni API, seleziona API usate dall'organizzazione.
Seleziona Microsoft Threat Protection > Autorizzazioni applicazione.
Seleziona la seguente autorizzazione:
- ThreatHunting.Read.All
Fai clic su Aggiungi autorizzazioni.
Fai clic su Concedi il consenso amministratore per YOUR_ORGANIZATION_NAME.

Quando viene visualizzata la finestra di dialogo Conferma consenso amministratore, fai clic su Sì.

Crea un client secret

Per creare un client secret, completa i seguenti passaggi:

Vai a Certificati e secret > Nuovo client secret.
Fornisci una descrizione per un client secret e imposta la relativa scadenza.
Fai clic su Aggiungi.
Salva il valore del client secret (non l'ID secret) per utilizzarlo come valore parametro Client Secret durante la configurazione dell'integrazione.

Il valore del client secret viene visualizzato una sola volta.

Integrare Microsoft 365 Defender con Google SecOps

L'integrazione di Microsoft 365 Defender richiede i seguenti parametri:

Parametro	Descrizione
`Login API Root`	Obbligatorio La radice dell'API di accesso dell'istanza di Microsoft 365 Defender. Il valore predefinito è `https://login.microsoftonline.com`.
`Graph API Root`	Obbligatorio La radice dell'API del servizio Microsoft Graph. Il valore predefinito è `https://graph.microsoft.com`.
`API Root`	Obbligatorio La radice dell'API dell'istanza di Microsoft 365 Defender. Il valore predefinito è `https://api.security.microsoft.com`.
`Tenant ID`	Obbligatorio Il valore di Microsoft Entra ID (ID tenant) del tuo account Microsoft Entra ID.
`Client ID`	Obbligatorio Il valore dell'ID applicazione (client) del tuo account Microsoft Entra ID.
`Client Secret`	Obbligatorio Il valore del client secret dell'applicazione Microsoft Entra ID.
`Verify SSL`	Optional Se selezionata, l'integrazione verifica che il certificato SSL per la connessione al server Microsoft 365 Defender sia valido. Questa opzione è selezionata per impostazione predefinita.

Per istruzioni sulla configurazione di un'integrazione in Google SecOps, consulta Configurare le integrazioni.

Se necessario, potrai apportare modifiche in un secondo momento. Dopo aver configurato un'istanza di integrazione, puoi utilizzarla nei playbook. Per saperne di più sulla configurazione e sul supporto di più istanze, consulta Supporto di più istanze.

Azioni

Per maggiori informazioni sulle azioni, vedi Rispondere alle azioni in attesa dalla tua postazione di lavoro ed Eseguire un'azione manuale.

Aggiungi commento all'incidente

Utilizza l'azione Aggiungi commento all'incidente per aggiungere un commento a un incidente in Microsoft 365 Defender.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Aggiungi commento all'incidente richiede i seguenti parametri:

Parametro	Descrizione
`Incident ID`	Obbligatorio L'ID dell'incidente a cui aggiungere il commento.
`Comment`	Obbligatorio Il commento da aggiungere all'incidente.

Output dell'azione

L'azione Aggiungi commento all'incidente fornisce i seguenti output:

Tipo di output dell'azione	Disponibilità
Allegato della bacheca casi	Non disponibile
Link alla bacheca richieste	Non disponibile
Tabella della bacheca casi	Non disponibile
Tabella di arricchimento	Non disponibile
Risultato JSON	Non disponibile
Messaggi di output	Disponibile
Risultato dello script	Disponibile

Messaggi di output

L'azione Aggiungi commento all'incidente può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Successfully added comment to incident INCIDENT_ID in Microsoft 365 Defender. L'azione è riuscita.

Messaggio di output	Descrizione del messaggio
`Successfully added comment to incident INCIDENT_ID in Microsoft 365 Defender.`	L'azione è riuscita.
`Error executing action "Add Comment To Incident". Reason: ERROR_REASON`	L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali.

Error executing action "Add Comment To Incident". Reason:
      ERROR_REASON

L'azione non è riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.

Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Aggiungi commento all'incidente:

Nome del risultato dello script	Valore
`is_success`	`True` o `False`

Esegui query personalizzata

Utilizza l'azione Esegui query personalizzata per eseguire una query di ricerca personalizzata in Microsoft 365 Defender.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Esegui query personalizzata richiede i seguenti parametri:

Parametro Descrizione

Parametro	Descrizione
`Query`	Obbligatorio La query da eseguire in Microsoft 365 Defender per il filtraggio dei risultati.
`Max Results To Return`	Optional Il numero massimo di risultati da restituire dalla query. Il valore predefinito è "50".

Query

Obbligatorio

La query da eseguire in Microsoft 365 Defender per il filtraggio dei risultati.

Max Results To Return

Optional

Il numero massimo di risultati da restituire dalla query.

Il valore predefinito è "50".

Output dell'azione

L'azione Esegui query personalizzata fornisce i seguenti output:

Tipo di output dell'azione	Disponibilità
Allegato della bacheca casi	Non disponibile
Link alla bacheca richieste	Non disponibile
Tabella della bacheca casi	Non disponibile
Tabella di arricchimento	Non disponibile
Risultato JSON	Disponibile
Messaggi di output	Disponibile
Risultato dello script	Disponibile

Risultato JSON

L'esempio seguente mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Esegui query personalizzata:

{"Results": [
    {
        "Timestamp": "2021-04-12T07:25:00Z",
        "AlertId": "fa7a318954-6c4c-eaab-3200-08d8fd82af35",
        "Title": "CC_Sensitive information",
        "Category": "InitialAccess",
        "Severity": "Medium",
        "ServiceSource": "Microsoft Defender for Office 365",
        "DetectionSource": "Microsoft Defender for Office 365",
        "AttackTechniques": ""
    }
]}

Messaggi di output

L'azione Esegui query personalizzata può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Messaggio di output	Descrizione del messaggio
`Successfully executed query "QUERY" in Microsoft 365 Defender.` `No data was found for the query "QUERY" in Microsoft 365 Defender.`	L'azione è riuscita.
`Error executing action "Execute Custom Query". Reason: ERROR_REASON`	L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali.

Successfully executed query "QUERY" in Microsoft 365 Defender.

No data was found for the query "QUERY" in Microsoft 365 Defender.

L'azione è riuscita.

Error executing action "Execute Custom Query". Reason:
      ERROR_REASON

L'azione non è riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.

Risultato dello script

La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Esegui query personalizzata:

Nome del risultato dello script	Valore
`is_success`	`True` o `False`

Esegui query entità

Utilizza l'azione Esegui query entità per eseguire una query di ricerca basata su entità in Microsoft 365 Defender.

Questa azione utilizza un filtro where basato sulle entità.

Questa azione viene eseguita sulle seguenti entità Google SecOps:

IP Address
Host
User
Hash
URL

Puoi utilizzare l'azione Esegui query entità per recuperare informazioni correlate alle entità, ad esempio recuperare i risultati da una tabella e filtrarli in base alle entità.

A differenza dell'azione Esegui query che richiede l'utilizzo di una formattazione specifica, l'azione Esegui query entità non utilizza l'input della query.

Quando utilizzi l'azione Esegui query per recuperare gli avvisi correlati a un endpoint, formatta la clausola | where nel seguente modo:

AlertInfo | where DeviceName == "Host-1" or IPAddress == "192.0.2.1" | top 100
by Timestamp desc

Per recuperare gli avvisi correlati a un endpoint, l'azione Esegui query entità richiede di configurare i parametri Table, IP Entity Key, Hostname Entity Key e Cross Entity Operator nel seguente modo:

Parametro	Valore `AlertInfo`
`IP Entity Key`	`IPAddress`
`Hostname Entity Key`	`DeviceName`
`Cross Entity Operator`	`OR`

Per verificare il numero di endpoint interessati dagli hash forniti, l'azione Esegui query entità richiede l'inserimento del valore SHA1 per il parametro File Hash Entity Key.

Cross Entity Operator influisce sulla query solo quando configuri più valori per il parametro Entity Keys.

Input azione

L'azione Esegui query entità richiede i seguenti parametri:

Parametro	Descrizione
`Table Names`	Obbligatorio Un elenco separato da virgole di tabelle da interrogare in Microsoft 365 Defender.
`Time Frame`	Optional Il periodo di tempo per i risultati della query. Il valore predefinito è `Last Hour`. I valori possibili sono: `Last Hour` `Last 6 Hours` `Last 24 Hours` `Last Week` `Last Month` `Custom`
`Start Time`	Optional L'ora di inizio dei risultati della query. Se imposti il parametro `Time Frame` su `Custom`, questo parametro è obbligatorio.
`End Time`	Optional L'ora di fine dei risultati della query. Se non imposti un valore e imposti il parametro `Time Frame` su `Custom`, l'azione imposta questo parametro sul valore dell'ora corrente per impostazione predefinita.
`Fields To Return`	Optional Un elenco separato da virgole di campi da includere nei risultati.
`Sort Field`	Optional Il campo in base al quale ordinare i risultati. Il valore predefinito è `Timestamp`.
`Sort Order`	Optional L'ordine in cui ordinare i risultati (crescente o decrescente). Il valore predefinito è `ASC`. I valori possibili sono: `ASC` `DESC`
`Max Results To Return`	Optional Il numero massimo di risultati da restituire. Il valore predefinito è `50`.
`IP Entity Key`	Optional La chiave da utilizzare per il filtro in base all'entità `IP Address`.
`Hostname Entity Key`	Optional La chiave da utilizzare per il filtro in base all'entità `Hostname`.
`File Hash Entity Key`	Optional La chiave da utilizzare per il filtro in base all'entità `File Hash`.
`User Entity Key`	Optional La chiave da utilizzare per il filtro in base all'entità `User`.
`URL Entity Key`	Optional La chiave da utilizzare per il filtro in base all'entità `URL`.
`Email Address Entity Key`	Optional La chiave da utilizzare per il filtro in base all'entità `Email Address`. L'azione accetta l'entità `User` che corrisponde all'espressione regolare dell'email.
`Stop If Not Enough Entities`	Optional Se selezionata, l'azione viene eseguita se sono presenti tutti i tipi di entità specificati. Questa opzione è selezionata per impostazione predefinita.
`Cross Entity Operator`	Obbligatorio L'operatore logico da utilizzare tra diversi tipi di entità nella query. Il valore predefinito è `OR`. I valori possibili sono: `OR` `AND`

Output dell'azione

L'azione Esegui query entità fornisce i seguenti output:

Tipo di output dell'azione	Disponibilità
Allegato della bacheca casi	Non disponibile
Link alla bacheca richieste	Non disponibile
Tabella della bacheca casi	Non disponibile
Tabella di arricchimento	Non disponibile
Risultato JSON	Disponibile
Messaggi di output	Disponibile
Risultato dello script	Disponibile

Risultato JSON

Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Esegui query entità:

 {
        "Timestamp": "2021-04-12T07:25:00Z",
        "AlertId": "fa7a318954-6c4c-eaab-3200-08d8fd82af35",
        "Title": "CC_Sensitive information",
        "Category": "InitialAccess",
        "Severity": "Medium",
        "ServiceSource": "Microsoft Defender for Office 365",
        "DetectionSource": "Microsoft Defender for Office 365",
        "AttackTechniques": ""
  }

Messaggi di output

L'azione Esegui query entità può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Messaggio di output	Descrizione del messaggio
`Successfully executed query "QUERY" in Microsoft 365 Defender.` `Action wasn't able to build the query, because not enough entity types were supplied for the specified "ENTITY_KEYS". Please disable the "Stop If Not Enough Entities" parameter or provide at least one entity for each specified ENTITY_KEY.` `No data was found for the query "QUERY" in Microsoft 365 Defender."`	L'azione è riuscita.
`Error executing action "Execute Entity Query". Reason: ERROR_REASON`	L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali.

Successfully executed query "QUERY" in Microsoft 365 Defender.

Action wasn't able to build the query, because not enough entity types were supplied for the specified "ENTITY_KEYS". Please disable the "Stop If Not Enough Entities" parameter or provide at least one entity for each specified ENTITY_KEY.

No data was found for the query "QUERY" in Microsoft 365 Defender."

L'azione è riuscita.

Error executing action "Execute Entity Query". Reason:
      ERROR_REASON

L'azione non è riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.

Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Esegui query entità:

Nome del risultato dello script	Valore
`is_success`	`True` o `False`

Esegui query

Utilizza l'azione Esegui query per eseguire query di ricerca in Microsoft 365 Defender.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Esegui query richiede i seguenti parametri:

Parametro	Descrizione
`Table Names`	Obbligatorio Un elenco di nomi di tabelle separati da virgole da interrogare in Microsoft 365 Defender.
`Query`	Optional Una query da eseguire. Utilizza questo parametro per fornire la clausola `\| where`. Il filtro temporale, la limitazione e l'ordinamento sono facoltativi.
`Time Frame`	Optional Il periodo di tempo per i risultati della query. Il valore predefinito è `Last Hour`. I valori possibili sono: `Last Hour` `Last 6 Hours` `Last 24 Hours` `Last Week` `Last Month` `Custom`
`Start Time`	Optional L'ora di inizio dei risultati della query nel formato ISO 8601. Se imposti il parametro `Time Frame` su `Custom`, questo parametro è obbligatorio.
`End Time`	Optional L'ora di fine dei risultati della query nel formato ISO 8601. Se non imposti un valore e imposti il parametro `Time Frame` su `Custom`, l'azione imposta questo parametro sul valore dell'ora corrente per impostazione predefinita.
`Fields To Return`	Optional Un elenco separato da virgole di campi da includere nei risultati.
`Sort Field`	Optional Il campo in base al quale ordinare i risultati. Il valore predefinito è `Timestamp`.
`Sort Order`	Optional L'ordine in cui ordinare i risultati (crescente o decrescente). Il valore predefinito è `ASC`. I valori possibili sono: `ASC` `DESC`
`Max Results To Return`	Optional Il numero massimo di risultati da restituire. Il valore predefinito è `50`.

Output dell'azione

L'azione Esegui query fornisce i seguenti output:

Tipo di output dell'azione	Disponibilità
Allegato della bacheca casi	Non disponibile
Link alla bacheca richieste	Non disponibile
Tabella della bacheca casi	Non disponibile
Tabella di arricchimento	Non disponibile
Risultato JSON	Disponibile
Messaggi di output	Disponibile
Risultato dello script	Disponibile

Risultato JSON

L'esempio seguente mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Esegui query:

{"Results": [
    {
        "Timestamp": "2021-04-12T07:25:00Z",
        "AlertId": "fa7a318954-6c4c-eaab-3200-08d8fd82af35",
        "Title": "CC_Sensitive information",
        "Category": "InitialAccess",
        "Severity": "Medium",
        "ServiceSource": "Microsoft Defender for Office 365",
        "DetectionSource": "Microsoft Defender for Office 365",
        "AttackTechniques": ""
    }
]}

Messaggi di output

L'azione Esegui query può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Messaggio di output	Descrizione del messaggio
`Successfully executed query "QUERY" in Microsoft 365 Defender.` `No data was found for the query "QUERY" in Microsoft 365 Defender."`	L'azione è riuscita.
`Error executing action "Execute Query". Reason: ERROR_REASON`	L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali.

Successfully executed query "QUERY" in Microsoft 365 Defender.

No data was found for the query "QUERY" in Microsoft 365 Defender."

L'azione è riuscita.

Error executing action "Execute Query". Reason:
      ERROR_REASON

L'azione non è riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.

Risultato dello script

La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Esegui query:

Nome del risultato dello script	Valore
`is_success`	`True` o `False`

Dindin

Utilizza l'azione Ping per testare la connettività a Microsoft 365 Defender.

L'azione non viene eseguita sulle entità Google SecOps.

Input azione

Nessuno.

Output dell'azione

L'azione Ping fornisce i seguenti output:

Tipo di output dell'azione	Disponibilità
Allegato della bacheca casi	Non disponibile
Link alla bacheca richieste	Non disponibile
Tabella della bacheca casi	Non disponibile
Tabella di arricchimento	Non disponibile
Risultato JSON	Non disponibile
Messaggi di output	Disponibile
Risultato dello script	Disponibile

Risultato JSON

Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Ping:

Messaggi di output

L'azione Ping può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Successfully connected to the Microsoft 365 Defender server with the provided connection parameters! L'azione è riuscita.

Messaggio di output	Descrizione del messaggio
`Successfully connected to the Microsoft 365 Defender server with the provided connection parameters!`	L'azione è riuscita.
`Failed to connect to the Microsoft 365 Defender server! Error is ERROR_REASON`	L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali.

Failed to connect to the Microsoft 365 Defender server! Error is
      ERROR_REASON

L'azione non è riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.

Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ping:

Nome del risultato dello script	Valore
`is_success`	`True` o `False`

Aggiorna incidente

Utilizza l'azione Aggiorna incidente per aggiornare gli incidenti in Microsoft 365 Defender.

In seguito alle limitazioni dell'API, questa azione non ha esito negativo anche se imposti un valore del nome utente non valido per il parametro Assign To.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Aggiorna incidente richiede i seguenti parametri:

Parametro	Descrizione
`Incident ID`	Obbligatorio L'ID dell'incidente da aggiornare in Microsoft 365 Defender.
`Status`	Optional Lo stato da impostare per l'incidente in Microsoft 365 Defender. Il valore predefinito è `Select One`. I valori possibili sono: `Select One` `Active` `Resolved`
`Classification`	Optional La classificazione da impostare per l'incidente in Microsoft 365 Defender. Il valore predefinito è `Select One`. I valori possibili sono: `Select One` `False Positive` `True Positive`
`Determination`	Optional La determinazione da impostare per l'incidente in Microsoft 365 Defender. Questo parametro si applica solo se il valore del parametro `Classification` è `True Positive`. Il valore predefinito è `Select One`. I valori possibili sono: `Select One` `Not Available` `Apt` `Malware` `Security Personnel` `Security Testing` `Unwanted Software` `Other`
`Assign To`	Optional L'utente a cui assegnare l'incidente in Microsoft 365 Defender.

Output dell'azione

L'azione Aggiorna incidente fornisce i seguenti output:

Tipo di output dell'azione	Disponibilità
Allegato della bacheca casi	Non disponibile
Link alla bacheca richieste	Non disponibile
Tabella della bacheca casi	Non disponibile
Tabella di arricchimento	Non disponibile
Risultato JSON	Non disponibile
Messaggi di output	Disponibile
Risultato dello script	Disponibile

Messaggi di output

L'azione Aggiorna incidente può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Successfully updated incident INCIDENT_ID in Microsoft 365 Defender. L'azione è riuscita.

Messaggio di output	Descrizione del messaggio
`Successfully updated incident INCIDENT_ID in Microsoft 365 Defender.`	L'azione è riuscita.
`Error executing action "Update Incident". Reason: ERROR_REASON`	L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali.

Error executing action "Update Incident". Reason:
      ERROR_REASON

L'azione non è riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.

Connettori

Per istruzioni dettagliate su come configurare un connettore in Google SecOps, consulta Importare i dati (connettori).

Microsoft 365 Defender - Incidents Connector

Utilizza il connettore Microsoft 365 Defender - Incidenti per estrarre informazioni sugli incidenti e sui relativi avvisi da Microsoft 365 Defender.

L'elenco dinamico funziona con un nome di incidente.

Limitazioni del connettore

Microsoft 365 Defender – Incidents Connector utilizza le richieste API con limiti API rigorosi. Per stabilizzare il connettore, imposta il parametro Max Incidents To Fetch su 10 e il parametro Run Every su 1 minute. Puoi comunque raggiungere il limite di frequenza perché l'endpoint API Microsoft Graph utilizzato per recuperare gli avvisi consente solo 20 richieste al minuto.

Per evitare la perdita di dati al raggiungimento del limite di frequenza, il connettore interrompe l'elaborazione dell'incidente corrente e attende 90 secondi prima di elaborare qualsiasi altro incidente. In 90 secondi, il limite di frequenza torna al valore massimo e il connettore rielabora l'incidente che non è stato elaborato correttamente nell'iterazione precedente.

Input del connettore

Il connettore Microsoft 365 Defender - Incidenti richiede i seguenti parametri:

Nella maggior parte dei casi, gli incidenti reindirizzati possono essere vuoti.

Parametro	Descrizione
`Product Field Name`	Obbligatorio Il nome del campo in cui è memorizzato il nome del prodotto. Il valore predefinito è `event_type`.
`Event Field Name`	Obbligatorio Il nome del campo utilizzato per determinare il nome dell'evento (sottotipo). Il valore predefinito è `@odata.type`.
`Login API Root`	Obbligatorio La radice dell'API di accesso dell'istanza di Microsoft 365 Defender. Il valore predefinito è `https://login.microsoftonline.com`.
`Graph API Root`	Obbligatorio La radice dell'API del servizio Microsoft Graph. Il valore predefinito è `https://graph.microsoft.com`.
`API Root`	Obbligatorio La radice dell'API dell'istanza di Microsoft 365 Defender. Il valore predefinito è `https://api.security.microsoft.com`.
`Tenant ID`	Obbligatorio Il valore di Microsoft Entra ID (ID tenant) del tuo account Microsoft Entra ID.
`Client ID`	Obbligatorio Il valore dell'ID applicazione (client) del tuo account Microsoft Entra ID.
`Client Secret`	Obbligatorio Il valore del client secret dell'applicazione Microsoft Entra ID.
`Verify SSL`	Optional Se selezionata, l'integrazione verifica che il certificato SSL per la connessione al server Microsoft 365 Defender sia valido. Questa opzione è selezionata per impostazione predefinita.
`Lowest Severity To Fetch`	Optional La gravità minima degli incidenti da recuperare.
`Max Hours Backwards`	Optional Il numero di ore prima della prima iterazione del connettore per recuperare gli incidenti. Questo parametro si applica all'iterazione iniziale del connettore dopo l'attivazione del connettore per la prima volta o al valore di riserva per un timestamp del connettore scaduto. Il valore predefinito è `1`.
`Max Incidents To Fetch`	Optional Il numero massimo di incidenti da recuperare per ogni iterazione del connettore. Il valore predefinito è `10`.
`Incident Status Filter`	Optional Un elenco separato da virgole di stati degli incidenti da importare. Il valore predefinito è `active, inProgress`. I valori possibili sono: `active` `inProgress` `resolved` `redirected`
`Use whitelist as a blacklist`	Optional Se selezionato, il connettore utilizza l'elenco dinamico come blocklist. Non selezionato per impostazione predefinita.
`Lowest Alert Severity To Fetch`	Optional La gravità minima degli avvisi da recuperare.
`Disable Alert Tracking`	Optional Se attivato, il connettore interrompe il monitoraggio degli aggiornamenti per gli avvisi. Disabilitato per impostazione predefinita.
`Environment Field Name`	Optional Il nome del campo contenente il nome dell'ambiente.
`Environment Regex Pattern`	Optional Un pattern di espressione regolare da eseguire sul valore trovato nel campo `Environment Field Name`. Questo parametro ti consente di manipolare il campo dell'ambiente utilizzando la logica delle espressioni regolari. Utilizza il valore predefinito `.*` per recuperare il valore `Environment Field Name` grezzo richiesto. Se il pattern dell'espressione regolare è nullo o vuoto oppure il valore dell'ambiente è nullo, l'ambiente finale è quello predefinito.
`PythonProcessTimeout`	Obbligatorio Il limite di timeout in secondi per il processo Python che esegue lo script corrente. Il valore predefinito è `180`.
`Dynamic List Field`	Optional Il valore utilizzato dall'elenco dinamico per il filtro. I valori possibili sono `Incident Name` e `Alert Name`. Il valore predefinito è `Incident Name`.
`Alert Detection Source Filter`	Optional Un elenco separato da virgole di origini di rilevamento degli avvisi da importare, ad esempio `antivirus, microsoftDefenderForEndpoint`.
`Alert Service Source Filter`	Optional Un elenco separato da virgole di origini del servizio di avvisi da importare, ad esempio `antivirus, microsoftDefenderForEndpoint`.
`Disable Overflow`	Optional Se selezionato, il connettore ignora il meccanismo di overflow di Google SecOps durante la creazione degli avvisi. Abilitato per impostazione predefinita.
`Proxy Server Address`	Optional L'indirizzo del server proxy da utilizzare.
`Proxy Username`	Optional Il nome utente del proxy con cui eseguire l'autenticazione.
`Proxy Password`	Optional La password del proxy per l'autenticazione.

Regole del connettore

Il connettore supporta i proxy.
Il connettore supporta le liste dinamiche e le liste bloccate.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.