Microsoft Azure Sentinel
Versión de integración: 44.0
Esta integración usa uno o varios componentes de código abierto. Puede descargar una copia comprimida del código fuente completo de esta integración desde el segmento de Cloud Storage.
Casos prácticos
- Monitoriza e inspecciona las alertas creadas en Sentinel en función de los eventos procedentes de hosts locales y de servicios de Microsoft basados en la nube, como Microsoft 365 y Microsoft 365 Cloud App Security.
- Usa los datos recogidos y correlacionados en Sentinel para enriquecer la información mientras investigas un incidente concreto. Los analistas pueden usar los datos que se han recogido y almacenado en Sentinel en las investigaciones. Por ejemplo, pueden desglosar la información para acceder a datos concretos (como los datos de alertas o los registros Syslog) o consultar la actividad de un periodo específico o de hosts concretos.
Requisitos previos
Necesitas autorización en Microsoft Entra ID para configurarlo primero y, después, ejecutar solicitudes en la API Microsoft Security Insights. Deberá configurar los permisos:
- Crea la aplicación de Microsoft Entra.
- Crea un secreto de cliente.
- Concede a la aplicación de Microsoft Entra registrada acceso al espacio de trabajo de Microsoft Sentinel.
- Usa la aplicación Microsoft Entra para obtener un token de acceso.
Crear una aplicación de Microsoft Entra
Inicia sesión en el portal de Azure como administrador de usuarios o administrador de contraseñas.
Selecciona ID de Microsoft Entra.
Ve a Registros de aplicaciones > Nuevo registro.
Introduce el nombre de la aplicación.
Seleccione el Tipo de cuenta admitido que corresponda.
Haz clic en Registrarse.
Guarda los valores de ID de aplicación (cliente) y ID de directorio (inquilino) para usarlos más adelante al configurar los parámetros de integración.
Crear secreto de cliente
Ve a Certificados y secretos > Nuevo secreto de cliente.
Proporciona una descripción del secreto de cliente y define su fecha de vencimiento.
Haz clic en Añadir.
Guarda el valor del secreto de cliente (no el ID del secreto) para usarlo como valor del parámetro
Client Secretal configurar la integración. El valor de client_secret solo se muestra una vez.
Dar acceso registrado a Microsoft Entra al espacio de trabajo de Microsoft Sentinel
Ve a la página Información general de Microsoft Sentinel.
Haz clic en Settings (Configuración).
Haz clic en Control de acceso (IAM).
En la sección Añadir una asignación de rol, haz clic en Añadir.
Configure los siguientes parámetros:
Rol =
Azure Sentinel Contributor.Asignar acceso a =
default, Microsoft Entra ID user group, or service principal.
En la sección Seleccionar, proporciona una condición de búsqueda para encontrar tu aplicación y añade una asignación de rol para ella.
Ve a la página de espacios de trabajo de Microsoft Sentinel. Busca y configura los siguientes parámetros:
Azure Resource GroupAzure Sentinel Workspace Name
Integrar Microsoft Azure Sentinel con Google SecOps SOAR
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google Security Operations, consulta Configurar integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre de la instancia | Cadena | N/A | No | Nombre de la instancia para la que quiere configurar la integración. |
| Descripción | Cadena | N/A | No | Descripción de la instancia. |
| ID de suscripción de Azure | Cadena | N/A | Sí | ID de suscripción de Microsoft Azure. Se puede consultar en Portal de Azure > Suscripciones > <Tu suscripción> ID de suscripción. |
| ID de Azure Active Directory | Cadena | N/A | Sí | El ID de cliente de Microsoft Entra se puede ver en Microsoft Entra > Registro de aplicaciones > <Aplicación que has configurado para tu integración> ID de directorio (cliente). |
| Raíz de la API | Cadena | https://management.azure.com | Sí | URL raíz de la API Management.azure.com que se va a usar con la integración. |
| Grupo de recursos de Azure | Cadena | N/A | Sí | Nombre del grupo de recursos de Azure en el que se encuentra Microsoft Sentinel. |
| Nombre del área de trabajo de Azure Sentinel | Cadena | N/A | Sí | Nombre del espacio de trabajo de Microsoft Sentinel con el que se va a trabajar. Se puede ver en Azure Portal > Microsoft Sentinel > Espacios de trabajo de Microsoft Sentinel. |
| ID de cliente | Cadena | N/A | Sí | ID de cliente (aplicación) que se ha añadido para el registro de la aplicación en Microsoft Entra para esta integración. |
| Secreto de cliente | Contraseña | N/A | Sí | Un secreto que se ha introducido para el registro de la aplicación Azure Sentinel. |
| Ejecutar de forma remota | Casilla | Desmarcada | No | Marca el campo para ejecutar la integración configurada de forma remota. Una vez marcada, aparece la opción para seleccionar al usuario remoto (agente). |
Acciones
Ping
Prueba la conectividad con el espacio de trabajo de Microsoft Sentinel con los parámetros proporcionados en la página de configuración de la integración de la pestaña Google Security Operations Marketplace.
Casos prácticos
La acción se usa para probar la conectividad en la página de configuración de la integración de la pestaña Google Security Operations Marketplace y se puede ejecutar como una acción manual, que no se usa en las guías.
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Si se realiza correctamente: imprime "Successfully connected to the
Microsoft Sentinel Workspace with the provided connection parameters!" (Se ha conectado correctamente al espacio de trabajo de Microsoft Sentinel con los parámetros de conexión proporcionados). Si no se ha podido conectar: imprime "Failed to connect to the Microsoft Sentinel Workspace! Error: {0}".format(exception.stacktrace). |
General |
List Incidents
Lista los incidentes de Microsoft Sentinel en función de los criterios de búsqueda proporcionados.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Periodo | Entero | 3 | No | Especifica un periodo de tiempo en horas para obtener los incidentes. |
| Estado | Cadena | Nuevas, Activas y Cerradas | No | Especifica los estados de los incidentes que quieres buscar. El parámetro acepta varios valores como una cadena separada por comas. |
| Gravedad | Cadena | Informativo, Bajo, Medio, Alto | No | Especifica la gravedad de los incidentes que quieres buscar. El parámetro acepta varios valores como una cadena separada por comas. |
| Número de incidentes que se van a obtener | Entero | 200 | No | Número de incidentes que se van a obtener. De forma predeterminada, se devuelven los 200 incidentes más recientes. |
Casos prácticos
Esta acción se puede usar para enumerar los incidentes de Microsoft Sentinel desde el playbook de Google SecOps.
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"value": [
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases/323032be-5b0d-4661-944f-ff9557597e50",
"name": "323032be-5b0d-4661-944f-ff9557597e50",
"etag": "\"2100e65a-0000-0d00-0000-5de3b1bf0000\"",
"type": "Microsoft.SecurityInsights/Cases",
"properties": {
"title": "Suspicious process injection observed",
"description": "A process abnormally injected code into another process, As a result, unexpected code may be running in the target process memory. Injection is often used to hide malicious code execution within a trusted process. \nAs a result, the target process may exhibit abnormal behaviors such as opening a listening port or connecting to a command and control server.",
"severity": "Medium",
"status": "New",
"labels": ["add_tag"],
"endTimeUtc": "2019-11-29T03:42:05Z",
"startTimeUtc": "2019-11-29T03:42:05Z",
"owner": {
"objectId": null
},
"lastUpdatedTimeUtc": "2019-12-01T12:27:43Z",
"createdTimeUtc": "2019-11-29T07:13:32.0266519Z",
"relatedAlertIds": ["2462474c-b6d9-6937-17ee-c2a62671c2f8"],
"relatedAlertProductNames": ["Microsoft Defender Advanced Threat Protection"],
"caseNumber": 2276,
"totalComments": 0,
"metrics": {
"SecurityAlert": 1
},
"firstAlertTimeGenerated": "2019-11-29T07:13:31.961602Z",
"lastAlertTimeGenerated": "2019-11-29T07:13:31.961602Z"
}
},{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases/c7939be8-32fb-415c-9f7c-c13325d6c48b",
"name": "c7939be8-32fb-415c-9f7c-c13325d6c48b",
"etag": "\"1900f5e2-0000-0d00-0000-5de0c5110000\"",
"type": "Microsoft.SecurityInsights/Cases",
"properties": {
"title": "Suspicious Power Shell command line",
"description": "A suspicious PowerShell activity was observed on the machine. \nThis behavior may indicate that PowerShell was used during installation, exploration, or in some cases in lateral movement activities which are used by attackers to invoke modules, download external payloads, or get more information about the system. Attackers usually use PowerShell to bypass security protection mechanisms by executing their payload in memory without touching the disk and leaving any trace.\r\nOur algorithms found the behaviors of this process to be suspicious due to the following factors:\nSuspicious memory activity\nExecutes suspicious PowerShell commands",
"severity": "Medium",
"status": "New",
"labels": [],
"endTimeUtc": "2019-11-29T03:42:04.9552017Z",
"startTimeUtc": "2019-11-29T03:42:04.9552017Z",
"owner": {
"objectId": null
},
"lastUpdatedTimeUtc": "2019-11-29T07:13:21Z",
"createdTimeUtc": "2019-11-29T07:13:21.6858164Z",
"relatedAlertIds": [
"d053f17e-6153-d171-9f4d-82389442aa35"
],
"relatedAlertProductNames": [
"Microsoft Defender Advanced Threat Protection"
],
"caseNumber": 2275,
"totalComments": 0,
"metrics": {
"SecurityAlert": 1
},
"firstAlertTimeGenerated": "2019-11-29T07:13:21.5885314Z",
"lastAlertTimeGenerated": "2019-11-29T07:13:21.5885314Z"
}
}
],
"nextLink": "https://management.azure.com:443/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases?api-version=2019-01-01-preview&$skipToken=H4sIAAAAAAAEAE1VTVMiSxD8MR45LIstukbsIbvnqxmGcRgR2xsiFqA44soiHt5vf1nzfOwaQUg31fWRlVnVGfvo8p-Jf5jhavBejW1_jQvon5OfP0_G15ffT67H7rLX7fIQXQ4P64vB583efZqXUSo7zGaRvS4-inWzK9Z-V3ze3RSfxfko8ufFdfy7jIpu8Snd8vkXTnx9c9k78XF52T87O-2fJFdXlxCZfMUDItN-zflJ2m9o-EmRx13Efi52cvw9Fnf2LBmvkW0-aBJwK8kUSYPp0R88pm_m9s-5gg2uKx9y9PMMu1yuOqgNaklrOGPfBDtMAu4FfawNZpJ2EDXWChZYGCwl2iBt7EpQovKARD1k3pb6u_Vqt4ELdqy_nw7mhSQ7pN5e6RnGbQQ9PDUYSNpHEnAjaQzUtiM2x71HLoMNoXCVoMZMz4wHg6FkueaXCrZYBHiJWYG3tEuRVke8Dog69ccs9uJ2wNxaJJ55OsASmmDvBB3F7VaQoarQ0XzjyiKOe4gDluo0laO_HN752wa_5a6-Ow3x_R88BYU_yOt7b1B6PPyN-_Ps6fHv8_ez7vLv876R1fFs2fftaLqsFjgPUV9GNevPzqRc4D1EvyXvYGPYN2yHfv9_XnYBt7A77ddgh-fgSin6tM_mEh3sqcFaHrb4HqI7sStrGvcm-RafjTMy7GHl7d262WDR2B-Sl9g27pcMD3gI2TfGsYx_LqMF3kJUSdnjO2QyP-DdR5EMd1gaPB3zT0E_5Uz9PjXsc1TiNtieDDroBdr73AafXMg0tXUTL-Wxr_cdGfUYN5qITzEPvXu51fjOyjDFKkSPks6Ytw1S9e0oJE4ea4xDZsgje9bikdqdd-eS7zA49p_0Sxb-1KdP4nd4CW4pfoVNg0TmM-JD-0GNZXAHGXbw4l0jWY1n40T9rIx7krRXLrwbiZ_ixdAuW9A-Wio-pyZKJT_gYNyH5n0d0ldJOuxnJFLMGMd2xYWjvgbChG5XSWPcWP3Q316GW5SGOEe5fQxJLVXqbkzcl3pnfcjexP3R5w9KvfkgPw3GcLHyc6p-Jh5d1ZElXwUrXDX4IW6hI8SL7ek82JIHuDKq4xWyVrf6X_WZwXueaVc2eBe3Jf8hjufU41yiVOPYPa9UD3oeNvgU6sex7-JKeMN41OWQI-br_lTiKUaN6qqGb_W9UOndq95co_lu4APIx43ml4lVnmMjrsbIMB5lmhvOA94XBhOxrBfVs7gp-45X9RMFjj47o36t0zmVCGXrVVH4T5AxgmAILdDZVOfUTmTl8yM_CNLryj4aFzSfNGgczolf0FkQZ4orpcU4HIZWtVqJc_qSw3elcWDhUATOI-LP_DPBTOvjHDogC4j2joOWqei7rFGdMNv2HVxpiBftaB8RX1bIy2SF2qOnOHLOpWKd4hjEliyWzxolAeMRp0x5gIHmfa15JgbcC6nyICiuxOmpzXdOXPh-oPOSc5D2Y62F9U2UF8OAR84FjRfpPGU_K-0reVBVbqV822nfuU_4Tir2s5R4q3lM27447gX6rwxG4gqlJhQh8uWXuI32nfypHPMrxXW03y-ijPb8nXhfeRjtq9V-sq_s00RxoX2u8xzKD3fQep-Ur2xFrf1ivE_pLLJXk1SSpyga9bsD56KNW9nJN9UBeeR4pa2qFNdE9wd5ETOBmPyhXu7b-i-YpDYV1VL3j2_76cA7r3WQ13eKD_F0MXk58Lj6wtdXxD1S3nP_MQ-397E2vmr3o2e-xIlbhfEP2s_f4mbah1jrJL573a_EdSRc2eTDWnXoW35wL7X17rT-i5YXc8ut1Oqzrzrm3nRfOA0Vp6TlH3kvvrUbNHhWnCOv_c25l6lL8iXlnod6t1i1um9QtHwMzIP99OrHFvTrFBTV1rnyKt4zb8VJ9cX6klYPFR2pJJzydy12q3ik6geqa-ojbeeItbTnHnfUVfXzX2qVoX91CQAA"
}
Panel de casos
| Tipo de resultado | Valor/ Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Si se realiza correctamente y obtiene datos, imprime "Se han devuelto correctamente los incidentes de Microsoft Sentinel". Si no se encuentra nada, imprime "Action was not able to
find any incidents". if error: print "Failed to list Microsoft Sentinel incidents! Error: {0}".format(exception.stacktrace). |
General |
| Tabla | Título de la tabla: Incidentes de Microsoft Sentinel encontrados: Columnas: incident_number, incident_id, title, description, severity, status, labels, assigned to, alert product names, created time, last updated time |
General |
| Archivos adjuntos | List_Incidents.json: contiene los datos JSON técnicos devueltos por la acción. | General |
Visor de JSON |
Muestra el visor JSON del resultado de la consulta. | General |
Actualizar detalles del incidente
Actualiza un incidente de Microsoft Sentinel.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Número de caso del incidente | Entero | N/A | Sí | Especifica el número de incidente de Azure Sentinel que quieres actualizar. |
| Título | Cadena | N/A | No | Especifica un nuevo título para el incidente de Azure Sentinel. |
| Gravedad | DDL | No actualizado (valores posibles: No actualizado, Informativo, Bajo, Medio o Alto) |
No | Especifica la nueva gravedad del incidente de Azure Sentinel. |
| Descripción | Cadena | N/A | No | Especifica una nueva descripción para el incidente de Azure Sentinel. |
| Asignado a | Cadena | N/A | No | Especifica el usuario al que se asignará el incidente. |
| Estado | DDL | No actualizado (valores posibles: No actualizado, Nuevo, Activo, Cerrado) | No | Especifica el nuevo estado del incidente de Azure Sentinel. |
| Motivo del cierre | DDL | No actualizado (valores posibles: |
No | Si el estado de la incidencia es Cerrada, indica el motivo por el que se ha cerrado. |
| Comentario final | Cadena | N/A | No | Comentario de cierre opcional para el incidente de Azure Sentinel cerrado. |
| Número de reintentos | Entero | 1 | Sí | Especifica el número de reintentos que debe realizar la acción si no se ha podido actualizar el incidente. |
| Reintentar cada | Entero | 20 | Sí | Especifica el periodo de tiempo que debe esperar la acción entre reintentos de actualización de incidentes. |
Casos prácticos
Esta acción se puede usar para actualizar un incidente de Microsoft Sentinel desde el runbook de Google SecOps. Se puede usar como acción resultante en un flujo de trabajo que implique el análisis de un incidente de Microsoft Sentinel. Una vez que se hayan procesado los incidentes en Google SecOps, se pueden actualizar para indicar el progreso del análisis del incidente (por ejemplo, se puede asignar a un usuario o cambiar el estado a "En curso").
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
Se devuelve el resultado JSON de la solicitud 2, que contiene los siguientes detalles actualizados del incidente:
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases/9e5c0afc-b7a6-4eac-8164-9242ad710a66",
"name": "9e5c0afc-b7a6-4eac-8164-9242ad710a66",
"etag": "\"12002b5c-0000-0d00-0000-5dde83730000\"",
"type": "Microsoft.SecurityInsights/Cases",
"properties": {
"title": "Activity from a Tor IP address",
"description": "A failed sign in was detected from a Tor IP addressThe Tor IP address 203.0.113.200 was used by Example User - Test User Spec (user@example.com).",
"severity": "Informational",
"status": "InProgress",
"assignedTo": "test@example.com",
"labels": [],
"closeReason": "Resolved",
"endTimeUtc": "2019-11-27T01:56:03.4651258Z",
"startTimeUtc": "2019-11-27T01:56:03.4651258Z",
"owner": {
"objectId": null,
"email": "test@example.com"
},
"lastUpdatedTimeUtc": "2019-11-27T14:08:51Z",
"createdTimeUtc": "2019-11-27T05:01:11.1139394Z",
"relatedAlertIds": [
"2a96343c-e551-4529-96f1-18d6f734470d"
],
"relatedAlertProductNames": [
"Azure Sentinel"
],
"caseNumber": 2274,
"totalComments": 0,
"metrics": {
"SecurityAlert": 1
},
"firstAlertTimeGenerated": "2019-11-27T05:01:10.2574659Z",
"lastAlertTimeGenerated": "2019-11-27T05:01:10.2574659Z"
}
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Si se realiza correctamente: imprime "Se ha actualizado correctamente el incidente {0} de Microsoft Sentinel".format(IncidentID). Si no encuentras el incidente con el número de caso proporcionado: imprime "No se ha encontrado el incidente de Microsoft Sentinel con el número de caso {0}".format(incident_case_number). Si se produce un error: imprime "No se ha podido actualizar el incidente de Microsoft Sentinel. Error: {0}".format(exception.stacktrace). |
General |
Actualizar etiquetas de incidentes
Actualizar las etiquetas de un incidente específico de Microsoft Sentinel.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Número de caso del incidente | Entero | 2273 | Sí | Especifique el número de incidente de Azure Sentinel que quiera actualizar con las nuevas etiquetas. |
| Etiquetas | Cadena | se instale malware | Sí | Especifica las nuevas etiquetas que se deben añadir al incidente. El parámetro acepta varios valores como una cadena separada por comas. |
| Número de reintentos | Entero | 1 | Sí | Especifica el número de intentos que debe realizar la acción si no se ha podido actualizar el incidente. |
| Reintentar cada | Entero | 20 | Sí | Especifica el periodo de tiempo que debe esperar la acción entre los reintentos de actualización de incidentes. |
Casos prácticos
Esta acción se puede usar para actualizar las etiquetas de incidentes de Microsoft Sentinel desde el playbook de Google SecOps. El usuario puede usar esta acción para asignar etiquetas específicas a incidentes concretos si es necesario. Por ejemplo, si hay hosts específicos que forman parte de este incidente, debe haber una etiqueta específica.
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
Se devuelve un resultado JSON para la solicitud 2, que contiene los detalles actualizados del incidente:
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases/9e5c0afc-b7a6-4eac-8164-9242ad710a66",
"name": "9e5c0afc-b7a6-4eac-8164-9242ad710a66",
"etag": "\"12002b5c-0000-0d00-0000-5dde83730000\"",
"type": "Microsoft.SecurityInsights/Cases",
"properties": {
"title": "Activity from a Tor IP address",
"severity": "Informational",
"status": "InProgress",
"labels": [
"malware",
"trojan"
],
"endTimeUtc": "2019-11-27T01:56:03.4651258Z",
"startTimeUtc": "2019-11-27T01:56:03.4651258Z",
"owner": {
"objectId": null,
},
"lastUpdatedTimeUtc": "2019-11-27T14:08:51Z",
"createdTimeUtc": "2019-11-27T05:01:11.1139394Z",
"relatedAlertIds": [
"2a96343c-e551-4529-96f1-18d6f734470d"
],
"relatedAlertProductNames": [
"Azure Sentinel"
],
"caseNumber": 2274,
"totalComments": 0,
"metrics": {
"SecurityAlert": 1
},
"firstAlertTimeGenerated": "2019-11-27T05:01:10.2574659Z",
"lastAlertTimeGenerated": "2019-11-27T05:01:10.2574659Z"
}
}
Panel de casos
| Tipo de resultado | Valor/ Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Si se ha completado correctamente: "Successfully updated Microsoft Sentinel
incident {0} with the following labels: {1}".format(IncidentID, [labels_list]).
Si no encuentra el incidente por el número de caso proporcionado: "No se ha encontrado el incidente de Microsoft Sentinel con el número de caso {0}".format(incident_case_number). Si el usuario ha proporcionado una etiqueta que ya existe en el incidente (isSuccess=False): "Las siguientes etiquetas no se han añadido a las etiquetas de Microsoft Sentinel del incidente {0} porque ya existen: {1}".format(IncidentID, [labels_list]) Si se produce un error: "Failed to update Microsoft Sentinel incident labels! Error: {0}".format(exception.stacktrace). |
General |
Obtener estadísticas de incidentes
Obtiene estadísticas de incidentes de Azure Sentinel.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Periodo | Entero | 3 | No | Especifica el periodo durante el que se deben mostrar las estadísticas. |
Casos prácticos
Esta acción se puede usar para mostrar informes de Google SecOps Playbook sobre eventos de Microsoft Sentinel. Esta acción formará parte del cuaderno de estrategias en el que un usuario interactúa con la alarma de Microsoft Sentinel creada cuando, por ejemplo, se ha procesado y eliminado una advertencia. Esta acción se puede implementar para ver el resultado de los incidentes de Microsoft Sentinel en la página "Lecciones aprendidas".
Por el contrario, puede ser el método de interfaz de un usuario para permanecer en Google SecOps en lugar de usar la aplicación Windows Sentinel.
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Aggregations/Cases",
"name": "Cases",
"type": "Microsoft.SecurityInsights/Aggregations",
"kind": "CasesAggregation",
"properties": {
"aggregationBySeverity": {
"totalCriticalSeverity": 1,
"totalHighSeverity": 2,
"totalMediumSeverity": 554,
"totalLowSeverity": 1714,
"totalInformationalSeverity": 1
},
"aggregationByStatus": {
"totalNewStatus": 2268,
"totalInProgressStatus": 4,
"totalResolvedStatus": 1,
"totalDismissedStatus": 0,
"totalTruePositiveStatus": 2,
"totalFalsePositiveStatus": 1
}
}
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Si se ha completado correctamente y se han obtenido datos: imprime "Successfully
returned Microsoft Sentinel incident statistics". Si se produce un error: imprime "No se han podido obtener las estadísticas de incidentes de Microsoft Sentinel. Error: {0}".format(exception.stacktrace). |
General |
| Tabla 1 | Título de la tabla: Estadísticas de incidentes de Microsoft Sentinel por gravedad: Columnas: Crítica (asignada a totalCriticalSeverity), Alta (asignada a totalHighSeverity), Media (asignada a totalMediumSeverity), Baja(asignada a totalLowSeverity) e Informativa(asignada a totalInformationalSeverity). |
General |
| Tabla 2 | Título de la tabla: Estadísticas de incidentes de Microsoft Sentinel por estado: Columnas: New(Nuevo, asignado a totalNewStatus), InProgress(En curso, asignado a totalInProgressStatus), Resolved(Resuelto, asignado a totalResolvedStatus), Dismissed(Rechazado, asignado a totalDismissedStatus) y TruePositive(Verdadero positivo, asignado a totalTruePositiveStatus). FalsePositive(asignado a totaFalsePositiveStatus) |
General |
Visor de JSON |
Muestra el visor JSON del resultado de la consulta. | General |
Mostrar reglas de alertas
Obtiene la lista de reglas programadas de Azure Sentinel.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Gravedad de la regla de alerta | Cadena | Informativa, Baja, Media, Alta y Crítica | No | Especifica las gravedades de las reglas de alerta que quieres buscar. El parámetro acepta varios valores en forma de cadena separada por comas. |
| Obtener tipos de reglas de alertas específicas | Cadena | N/A | No | Especifica qué tipos de alertas debe devolver la acción. El parámetro acepta varios valores como una cadena separada por comas. Si no se proporciona ningún valor, se devuelven todos los tipos de alerta posibles. |
| Obtener tácticas de una regla de alerta específica | Cadena | N/A | No | Especifica qué tácticas debe devolver la acción de la regla de alerta. El parámetro acepta varios valores en forma de cadena separada por comas. Si no se proporciona ningún valor, se devuelven todos los tipos de alerta posibles. |
| ¿Obtener solo las reglas de alerta habilitadas? | Casilla | Desmarcada | No | Especifica si la acción solo debe devolver las reglas de alerta habilitadas. |
| Número máximo de reglas que se devolverán | Entero | N/A | No | Número de reglas de alerta programadas que debe devolver la acción (por ejemplo, 50). |
Casos prácticos
Esta acción se puede usar para enumerar las reglas de alerta de Microsoft Sentinel del playbook de Google SecOps. Puedes enumerar las reglas de alerta para asegurarte de que has preparado una regla de alerta para cada tipo de amenaza y anomalía sospechosa en tu entorno. Si ves que algunas situaciones no se gestionan correctamente, puedes actualizar inmediatamente las reglas de alerta o crear una nueva. La regla de alerta de Microsoft Sentinel se asegura de que recibas una notificación de inmediato para que puedas clasificar, investigar y corregir las amenazas.
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"value": [
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/alertRules/4bdce24d-7837-4f02-9f7a-10824f376517",
"name": "4bdce24d-7837-4f02-9f7a-10824f376517",
"etag": "\"00002f05-0000-0d00-0000-5d9db9970000\"",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "MicrosoftSecurityIncidentCreation",
"properties": {
"productFilter": "Azure Active Directory Identity Protection",
"severitiesFilter": null,
"displayNamesFilter": null,
"displayName": "Create incidents based on Azure Active Directory Identity Protection alerts",
"enabled": true,
"description": "Create incidents based on all alerts generated in Azure Active Directory Identity Protection",
"tactics": null,
"alertRuleTemplateName": "532c1811-79ee-4d9f-8d4d-6304c840daa1",
"lastModifiedUtc": "2019-10-09T10:42:31.5264376Z"
}
},
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/alertRules/540f68c9-9397-49c7-8953-8efce08d6e62",
"name": "540f68c9-9397-49c7-8953-8efce08d6e62",
"etag": "\"00003105-0000-0d00-0000-5d9db9ad0000\"",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "MicrosoftSecurityIncidentCreation",
"properties": {
"productFilter": "Azure Security Center",
"severitiesFilter": null,
"displayNamesFilter": null,
"displayName": "Create incidents based on Azure Security Center alerts",
"enabled": true,
"description": "Create incidents based on all alerts generated in Azure Security Center",
"tactics": null,
"alertRuleTemplateName": "90586451-7ba8-4c1e-9904-7d1b7c3cc4d6",
"lastModifiedUtc": "2019-10-09T10:42:53.9014288Z"
}
}
]
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Si se ha completado correctamente: imprime "Successfully listed Microsoft
Sentinel alert rules configured". Si se produce un error: print "No se han podido enumerar las reglas de alerta de Microsoft Sentinel. Error: {0}".format(exception.stacktrace). |
General |
| Tabla | Título de la tabla: reglas de alerta de Microsoft Sentinel encontradas: Columnas: AlertID (asignado a name), Name (asignado a displayName), Enabled, Description, Tactics y Last Modification Time (asignado a lastModificationUtc) |
General |
| Archivos adjuntos | List_AlertRules.json: contiene los datos JSON técnicos devueltos por la acción. | General |
Visor de JSON |
Muestra el visor JSON del resultado de la consulta. | General |
Obtener detalles de la regla de alerta
Obtiene los detalles de la regla de alerta programada de Azure Sentinel.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| AlertRuleID | Cadena | N/A | Sí | Especifica el ID de la regla de alerta. |
Casos prácticos
La acción se puede usar para obtener detalles sobre la regla de alerta de Microsoft Sentinel del runbook de Google SecOps. Por ejemplo, si observas que algunas alertas son cada vez más frecuentes y la mayoría son falsos positivos, o si una regla de alerta gestiona demasiadas situaciones y quieres separarlas para que sea más fácil identificar la amenaza, puedes usar esta acción para comprender correctamente la configuración de la regla de alerta. En función de los resultados de la regla de alerta, puedes decidir si quieres actualizarla, eliminarla o dejarla sin cambios.
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/alertRules/8dce4dbd-0ba6-4c93-943a-8da49f7d0aa4",
"name": "8dce4dbd-0ba6-4c93-943a-8da49f7d0aa4",
"etag": "\"0200c767-0000-0d00-0000-5ddf3b160000\"",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "Scheduled",
"properties": {
"severity": "High",
"query": "SecurityEvent\r\n| where Activity startswith \"4625\"\r\n| summarize count() by IpAddress, Computer\r\n| where count_ >3\r\n| extend HostCustomEntity = Computer\r\n| extend IPCustomEntity = IpAddress",
"queryFrequency": "PT1H",
"queryPeriod": "P5D",
"triggerOperator": "GreaterThan",
"triggerThreshold": 0,
"suppressionDuration": "PT5H",
"suppressionEnabled": false,
"displayName": "Multiple failed login attempts from the same IP",
"enabled": false,
"description": "",
"tactics": [
"InitialAccess"
],
"alertRuleTemplateName": null,
"lastModifiedUtc": "2019-11-28T03:12:21.9276927Z"
}
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Si se obtiene la información correctamente: imprime "Se han devuelto correctamente los detalles de la regla de alerta de Microsoft Sentinel {0}".format(AlertRuleID). Si no encuentra la regla de alerta por el AlertID proporcionado: imprima
"No se ha encontrado la regla de alerta de Microsoft Sentinel con el ID "{0}".format(AlertRuleID).
Si se produce un error: imprime "No se han podido obtener los detalles de la regla de alerta de Microsoft Sentinel. Error: {0}".format(exception.stacktrace). |
General |
| Tabla | Título de la tabla: Detalles de la regla de alerta de Microsoft Sentinel Columnas: AlertID (asignado a name), Name (asignado a displayName), Enabled, Description, Query, Frequency(asignado a queryFrequency), Period of Lookup data(asignado a queryPeriod), Trigger (asignado como combinación de triggerOperator y triggerThreshold), Tactics, Enable Suppression(asignado a "suppressionEnabled"), Suppression Duration(asignado a suppressionDuration) y Last Modification Time (asignado a lastModificationUtc). |
General |
Visor de JSON |
Muestra el visor JSON del resultado de la consulta. | General |
Crear regla de alerta
Crea una regla de alerta programada de Azure Sentinel.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Habilitar regla de alerta | DDL | N/A | Sí | Especifica si quieres inhabilitar o habilitar esta regla de alerta. |
| Nombre | Cadena | N/A | Sí | Especifica el nombre visible de la regla de alerta. |
| Gravedad | DDL | N/A | Sí | Especifica la gravedad de esta regla de alerta. |
| Consulta | Cadena | N/A | Sí | Especifica la consulta de esta regla de alerta. |
| Frecuencia | Cadena | N/A | Sí | Especifica la frecuencia con la que se debe ejecutar la consulta. Para ello, usa el siguiente formato: PT + número + (M, H, D). donde M son los minutos, H las horas y D los días. El mínimo es de 5 minutos y el máximo es de 14 días. |
| Periodo de los datos de búsqueda | Cadena | N/A | Sí | Especifica la hora de los últimos datos de búsqueda con el siguiente formato: P + número + (M, H, D). donde M son los minutos, H las horas y D los días. El mínimo es de 5 minutos y el máximo, de 14 días. |
| Operador de activación | DDL | N/A | Sí | Especifica el operador de activación de esta regla de alerta. |
| Umbral de activación | Entero | N/A | Sí | Especifica el umbral de activación de esta regla de alerta. |
| Habilitar supresión | DDL | N/A | Sí | Especifica si quieres detener la consulta después de que se genere la alerta. |
| Duración de la supresión | Cadena | N/A | Sí | Especifica durante cuánto tiempo quieres detener la consulta después de que se genere la alerta. Utiliza el siguiente formato: PT + número + (M, H, D). donde M: minutos, H: horas y D: días. Ejemplos: P1M - 1 minuto P10H - 10 horas P2D - 2 días. El mínimo es de 5 minutos y el máximo, de 14 días. |
| Descripción | Cadena | N/A | No | Especifica la descripción de esta regla de alerta. |
| Tácticas | Cadena | N/A | No | Especifica las tácticas de esta regla de alerta. El parámetro puede tener varios valores separados por comas. |
Casos prácticos
Esta acción se puede usar para crear reglas de alerta de Microsoft Sentinel a partir del playbook de Google SecOps. Puedes crear reglas de alerta personalizadas para buscar los tipos de amenazas y anomalías que sean sospechosos en tu entorno. La regla de alerta de Microsoft Sentinel se asegura de que recibas una notificación de inmediato para que puedas clasificar, investigar y corregir las amenazas.
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Si se ha completado correctamente: imprime "Se ha creado correctamente la regla de alerta de Microsoft Sentinel". Si se produce un error: imprime "No se ha podido crear la regla de alerta de Microsoft Sentinel." Error: {0}".format(exception.stacktrace). |
General |
Update Alert Rule
Actualiza una regla de alerta programada de Azure Sentinel.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| AlertRuleID | Cadena | N/A | Sí | Especifique el AlertRuleID de la regla de alerta. |
| Nombre | Cadena | N/A | No | Especifica el nombre visible de la regla de alerta. |
| Habilitar regla de alerta | DDL | N/A | No | Especifica si quieres inhabilitar o habilitar esta regla de alerta. |
| Gravedad | DDL | N/A | No | Especifica la gravedad de esta regla de alerta. |
| Consulta | Cadena | N/A | No | Especifica la consulta de esta regla de alerta. |
| Frecuencia | Cadena | N/A | No | Especifica la frecuencia con la que se debe ejecutar la consulta. Para ello, usa el siguiente formato: PT + número + (M, H, D). donde M son los minutos, H las horas y D los días. Ejemplos: PT1M: ejecuta la consulta cada minuto PT10H: ejecuta la consulta cada 10 horas PT2D: ejecuta la consulta cada 2 días. El mínimo es de 5 minutos y el máximo es de 14 días. |
| Periodo de los datos de búsqueda | Cadena | N/A | No | Especifica la hora de los últimos datos de búsqueda con el siguiente formato: P + número + (M, H, D). donde M son los minutos, H las horas y D los días. . Ejemplos: P1M - 1 minuto P10H - 10 horas P2D - 2 días. El mínimo es de 5 minutos y el máximo es de 14 días. |
| Operador de activación | DDL | N/A | No | Especifica el operador de activación de esta regla de alerta. |
| Umbral de activación | Entero | N/A | No | Especifica el umbral de activación de esta regla de alerta. |
| Habilitar supresión | DDL | N/A | No | Especifica si quieres detener la consulta después de que se genere la alerta. |
| Duración de la supresión | Cadena | N/A | No | Especifica durante cuánto tiempo quieres detener la consulta después de que se genere la alerta. Utiliza el siguiente formato: PT + número + (M, H, D). donde M: minutos, H: horas y D: días. Ejemplos: P1M - 1 minuto P10H - 10 horas P2D - 2 días. El mínimo es de 5 minutos y el máximo es de 14 días. |
| Descripción | Cadena | N/A | No | Especifica la descripción de esta regla de alerta. |
| Tácticas | Cadena | Ninguno | No | Especifica las tácticas de esta regla de alerta. El parámetro acepta varios valores separados por comas. |
Casos prácticos
Esta acción se puede usar para actualizar las reglas de alerta de Microsoft Sentinel desde el playbook de Google SecOps. Por ejemplo, si observa que algunas alertas son cada vez más frecuentes y la mayoría de ellas son falsos positivos, puede usar esta acción para actualizar la configuración de la regla de alerta de forma que se ajuste a sus necesidades y preferencias. La regla de alerta de Microsoft Sentinel se asegura de que recibas una notificación de inmediato para que puedas clasificar, investigar y corregir las amenazas.
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Si se ha completado correctamente: imprime "Se ha actualizado correctamente la regla de alerta de Microsoft Sentinel con el ID {0}".format(AlertRuleID). Si no se encuentra una regla de alerta con el AlertID proporcionado: imprime "No se ha encontrado la regla de alerta de Microsoft Sentinel con el ID "{0}"!".format(AlertRuleID). Si se produce un error: imprime "No se ha podido actualizar la regla de alerta de Microsoft Sentinel. Error is {0}".format(exception.stacktrace). |
General |
Eliminar regla de alerta
Elimina una regla de alerta programada de Azure Sentinel.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| AlertRuleID | Cadena | N/A | Sí | Especifica el ID de la regla de alerta que quieres eliminar. |
Casos prácticos
Esta acción se puede usar para eliminar una regla de alerta de Microsoft Sentinel de Google SecOps. Si una regla de alerta está muy desactualizada y no cumple su función o si una regla solo crea falsos positivos, puedes eliminarla con esta acción.
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Si se ha completado correctamente: imprime "Se ha eliminado correctamente la regla de alerta de Microsoft Sentinel {0}".format(AlertRuleID). Si no se encuentra la regla de alerta con el AlertID proporcionado: imprime "No se ha encontrado la regla de alerta de Microsoft Sentinel con el ID "{0}"!".format(AlertRuleID). Si error: imprime "No se ha podido eliminar la regla de alerta de Microsoft Sentinel. Error is {0}".format(exception.stacktrace). |
General |
List Custom Hunting Rules
Obtiene la lista de reglas de búsqueda personalizadas de Azure Sentinel.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombres de las reglas de búsqueda que se van a devolver | Cadena | N/A | No | Especifica los nombres de las reglas de búsqueda que debe devolver la acción. El parámetro acepta varios valores como una cadena separada por comas. Si no se proporciona ningún valor, se devuelven todos los tipos de alerta posibles. |
| Obtener tácticas de reglas de búsqueda específicas | Cadena | N/A | No | Especifica qué tácticas debe devolver la acción de la regla de búsqueda. El parámetro acepta varios valores como una cadena separada por comas. Si no se proporciona ningún valor, se devuelven todos los tipos de alerta posibles. |
| Número máximo de reglas que se devolverán | Entero | N/A | No | Número de reglas de alerta programadas que debe devolver la acción (por ejemplo, 50). |
Casos prácticos
Esta acción se puede usar para enumerar las reglas de búsqueda personalizadas y favoritas del manual de procedimientos de Google SecOps para Microsoft Sentinel. Para asegurarte de que has establecido todas las reglas de búsqueda de datos sobre los procesos más raros, pero muy importantes, que se ejecutan en tu red, debes mencionar las reglas de búsqueda personalizadas y preferidas. Puede actualizar y crear reglas de búsqueda inmediatamente si observa que algunas situaciones no se gestionan correctamente.
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"__metadata": {},
"value": [
{
"id": "subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/savedSearches/0c5bd7e1-0e13-4e7d-9e32-88baf9589192",
"etag": "W/\"datetime'2019-12-02T10%3A14%3A10.5299491Z'\"",
"properties": {
"Category": "Hunting Queries",
"DisplayName": "Hunting Query 1",
"Query": "\r\nlet timeframe = 7d;\r\nAWSCloudTrail\r\n| where TimeGenerated >= ago(timeframe)\r\n| where EventName in~ (\"AttachGroupPolicy\", \"AttachRolePolicy\", \"AttachUserPolicy\", \"CreatePolicy\",\r\n\"DeleteGroupPolicy\", \"DeletePolicy\", \"DeleteRolePolicy\", \"DeleteUserPolicy\", \"DetachGroupPolicy\",\r\n\"PutUserPolicy\", \"PutGroupPolicy\", \"CreatePolicyVersion\", \"DeletePolicyVersion\", \"DetachRolePolicy\", \"CreatePolicy\")\r\n| project TimeGenerated, EventName, EventTypeName, UserIdentityAccountId, UserIdentityPrincipalid, UserAgent, \r\nUserIdentityUserName, SessionMfaAuthenticated, SourceIpAddress, AWSRegion, EventSource, AdditionalEventData, ResponseElements\r\n| extend timestamp = TimeGenerated, IPCustomEntity = SourceIpAddress, AccountCustomEntity = UserIdentityAccountId\r\n",
"Tags": [
{
"Name": "description",
"Value": "1234"
},
{
"Name": "tactics",
"Value": "DefenseEvasion"
},
{
"Name": "createdTimeUtc",
"Value": "12/02/2019 09:21:18"
}
],
"Version": 2
},
"name": "0c5bd7e1-0e13-4e7d-9e32-88baf9589192"
},
{
"id": "subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/savedSearches/30a94796-a573-4e6e-9385-fb96d0aa5ea2",
"etag": "W/\"datetime'2019-12-02T10%3A10%3A18.4761379Z'\"",
"properties": {
"Category": "Hunting Queries",
"DisplayName": "Hunting Query 1",
"Query": "\r\nlet timeframe = 7d;\r\nAWSCloudTrail\r\n| where TimeGenerated >= ago(timeframe)\r\n| where EventName in~ (\"AttachGroupPolicy\", \"AttachRolePolicy\", \"AttachUserPolicy\", \"CreatePolicy\",\r\n\"DeleteGroupPolicy\", \"DeletePolicy\", \"DeleteRolePolicy\", \"DeleteUserPolicy\", \"DetachGroupPolicy\",\r\n\"PutUserPolicy\", \"PutGroupPolicy\", \"CreatePolicyVersion\", \"DeletePolicyVersion\", \"DetachRolePolicy\", \"CreatePolicy\")\r\n| project TimeGenerated, EventName, EventTypeName, UserIdentityAccountId, UserIdentityPrincipalid, UserAgent, \r\nUserIdentityUserName, SessionMfaAuthenticated, SourceIpAddress, AWSRegion, EventSource, AdditionalEventData, ResponseElements\r\n| extend timestamp = TimeGenerated, IPCustomEntity = SourceIpAddress, AccountCustomEntity = UserIdentityAccountId\r\n",
"Tags": [
{
"Name": "description",
"Value": "1234"
},
{
"Name": "tactics",
"Value": "DefenseEvasion"
},
{
"Name": "createdTimeUtc",
"Value": "12/02/2019 09:21:18"
}
],
"Version": 2
},
"name": "30a94796-a573-4e6e-9385-fb96d0aa5ea2"
}
]
}
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Si se realiza correctamente: imprime "Successfully returned Microsoft
Sentinel hunting rules". Si se produce un error: imprime "No se han podido listar las reglas de búsqueda de Microsoft Sentinel. Error: {0}".format(exception.stacktrace). |
General |
| Tabla | Título de la tabla: reglas de búsqueda de Microsoft Sentinel encontradas: Columnas: HuntingRuleID(asignado al nombre), título (asignado a displayName), categoría, descripción (asignado al parámetro de descripción en el diccionario de etiquetas), tácticas(asignado al parámetro de tácticas en el diccionario de etiquetas), consulta y hora de creación (asignado al parámetro CreatedTimeUtc en el diccionario de etiquetas). |
General |
| Archivos adjuntos | List_HuntingRules.json: contiene los datos JSON técnicos devueltos por la acción. | General |
Visor de JSON |
Muestra el visor JSON del resultado de la consulta. | General |
Obtener detalles de reglas de búsqueda personalizadas
Obtiene los detalles de la regla de búsqueda personalizada de Azure Sentinel.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| HuntingRuleID | Cadena | N/A | Sí | Especifica el ID de la regla de búsqueda. |
Casos prácticos
Se puede acceder a la información sobre las reglas de búsqueda estándar o preferidas de Microsoft Sentinel mediante el cuaderno de estrategias de Google SecOps. Usa esta herramienta, por ejemplo, si ves detalles que recibes de reglas de búsqueda que no son adecuados para el análisis o si quieres comprobar si tu regla de búsqueda está configurada correctamente. En función de los resultados, decidirás si quieres editarla, eliminarla o dejarla como está.
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"id": "subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/savedSearches/30a94796-a573-4e6e-9385-fb96d0aa5ea2",
"etag": "W/\"datetime'2019-12-02T10%3A14%3A10.5299491Z'\"",
"properties": {
"Category": "Log Management",
"DisplayName": "Multiple Password Reset by user",
"Query": "\nlet timeframe = 7d;\nAWSCloudTrail\n| where TimeGenerated >= ago(timeframe)\n| where EventName in~ (\"AttachGroupPolicy\", \"AttachRolePolicy\", \"AttachUserPolicy\", \"CreatePolicy\",\n\"DeleteGroupPolicy\", \"DeletePolicy\", \"DeleteRolePolicy\", \"DeleteUserPolicy\", \"DetachGroupPolicy\",\n\"PutUserPolicy\", \"PutGroupPolicy\", \"CreatePolicyVersion\", \"DeletePolicyVersion\", \"DetachRolePolicy\", \"CreatePolicy\")\n| project TimeGenerated, EventName, EventTypeName, UserIdentityAccountId, UserIdentityPrincipalid, UserAgent, \nUserIdentityUserName, SessionMfaAuthenticated, SourceIpAddress, AWSRegion, EventSource, AdditionalEventData, ResponseElements\n| extend timestamp = TimeGenerated, IPCustomEntity = SourceIpAddress, AccountCustomEntity = UserIdentityAccountId\n",
"Tags": [
{
"Name": "description",
"Value": "Identity and Access Management (IAM) securely manages access to AWS services and resources."
},
{
"Name": "tactics",
"Value": "DefenseEvasion"
},
{
"Name": "createdTimeUtc",
"Value": "12/02/2019 09:21:18"
}
],
"Version": 2
}
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Si se ha completado correctamente: imprime "Se han devuelto correctamente los detalles de la regla de búsqueda de Microsoft Sentinel {0}".format(HuntingRuleID). Si no se encuentra la regla de alerta con el AlertID proporcionado: imprime "No se ha encontrado la regla de búsqueda de Microsoft Sentinel con el ID "{0}"".format(HuntingRuleID). Si se produce un error: imprime "No se han podido obtener los detalles de la regla de búsqueda de Microsoft Sentinel. Error: {0}".format(exception.stacktrace). |
General |
| Tabla | Título de la tabla: Detalles de la regla de búsqueda de Microsoft Sentinel: Columnas: HuntingRuleID (asignado a name), Name (asignado a displayName), Description, Query, Tactic y Creation Time |
General |
| Archivos adjuntos | List_HuntingRules.json: contiene los datos JSON técnicos devueltos por la acción. | General |
Visor de JSON |
Muestra el visor JSON del resultado de la consulta. | General |
Crear una regla de búsqueda personalizada
Crea una regla de búsqueda personalizada de Azure Sentinel.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Consulta | Cadena | N/A | Sí | Especifica la consulta que se ejecutará en esta regla de búsqueda. |
| Nombre visible | Cadena | N/A | Sí | Especifica el nombre visible de la regla de búsqueda. |
| Descripción | Cadena | N/A | No | Especifica una descripción para la regla de búsqueda. |
| Tácticas | Cadena | N/A | No | Especifica las tácticas de esta regla de búsqueda. El parámetro acepta varios valores separados por comas. |
Casos prácticos
Esta acción se puede usar para crear una regla de búsqueda de Microsoft Sentinel a partir del cuaderno de estrategias de Google SecOps. Por ejemplo, las reglas de búsqueda contienen una consulta que puede proporcionar datos sobre los procesos menos comunes que se ejecutan en tu infraestructura. No querrás recibir una alerta cada vez que se ejecuten, ya que podrían ser completamente inocentes, pero puede que quieras echar un vistazo a la consulta de vez en cuando para ver si hay algo inusual. Esto significa que se pueden usar para recopilar más información de tu entorno de red.
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Si se ha creado correctamente: imprime "Se ha creado correctamente la regla de búsqueda de Microsoft Sentinel". Si se produce un error: imprime "No se ha podido crear la regla de búsqueda de Microsoft Sentinel." Error: {0}".format(exception.stacktrace). |
General |
Update Custom Hunting Rule
Actualiza una regla de búsqueda personalizada de Azure Sentinel.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| HuntingRuleID | Cadena | N/A | Sí | Especifica el ID de la regla de búsqueda. |
| Nombre visible | Cadena | N/A | No | Especifica el nombre visible de la regla de búsqueda. |
| Consulta | Cadena | N/A | No | Especifica la consulta que se ejecutará en esta regla de búsqueda. |
| Descripción | Cadena | N/A | No | Especifica la descripción. |
| Tácticas | Cadena | N/A | No | Especifica las tácticas de esta regla de búsqueda. El parámetro puede adoptar
varios valores separados por comas. |
Casos prácticos
Esta acción se puede usar para actualizar una regla de búsqueda personalizada de Microsoft Sentinel desde el libro de jugadas de Google SecOps. Usa esta acción si crees, por ejemplo, que una regla de búsqueda está muy desactualizada y quieres actualizar varios parámetros, como una consulta o una descripción. La información es fundamental a la hora de investigar incidentes, por lo que todas las reglas de búsqueda deben actualizarse para mostrar información relevante.
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Si se realiza correctamente: imprime "Se ha actualizado correctamente la regla de búsqueda de Microsoft Sentinel con el ID {0}".format(HuntingRuleID). Si
no se encuentra la regla de búsqueda con el HuntingRuleID proporcionado: imprime "No se ha encontrado la regla de búsqueda de Microsoft
Sentinel con el ID "{0}"!".format(HuntingRuleID). Si se produce un error: imprime "No se ha podido actualizar la regla de búsqueda de Microsoft Sentinel. Error: {0}".format(exception.stacktrace). |
General |
Eliminar regla de búsqueda personalizada
Elimina una regla de búsqueda personalizada de Azure Sentinel.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| HuntingRuleID | Cadena | N/A | Sí | Especifica el ID de la regla de búsqueda que quieras eliminar. |
Casos prácticos
Esta acción se puede usar para eliminar una regla de búsqueda personalizada de Microsoft Sentinel de Google SecOps. Por ejemplo, si crees que una regla de caza está muy obsoleta y no es necesaria para el proceso de investigación, lo mejor es eliminarla.
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Si se completa correctamente: imprime "Se ha eliminado correctamente la regla de búsqueda de Microsoft Sentinel con el ID {0}".format(HuntingRuleID). Si
no se encuentra la regla de búsqueda con el HuntingRuleID proporcionado: imprime "No se ha encontrado la regla de búsqueda de Microsoft
Sentinel con el ID "{0}"!".format(HuntingRuleID). Si se produce un error, imprime "No se ha podido eliminar la regla de búsqueda de Microsoft Sentinel. Error: {0}".format(exception.stacktrace). |
General |
Ejecutar una regla de búsqueda personalizada
Ejecuta una regla de búsqueda personalizada o favorita de Microsoft Sentinel.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| HuntingRuleID | Cadena | N/A | Sí | Especifica el ID de la regla de búsqueda. |
| Tiempo de espera | Entero | N/A | No | Parámetro que se usa para especificar un valor de tiempo de espera para la llamada a la API de reglas de búsqueda de Azure Sentinel. |
Casos prácticos
La acción se puede usar para ejecutar reglas de búsqueda de Microsoft Sentinel desde el playbook de Google SecOps. Al ejecutar una consulta de reglas de caza, se proporcionan datos sobre los procesos menos comunes que se ejecutan en tu infraestructura. No querrás recibir una alerta cada vez que se ejecuten, ya que podrían ser completamente inocentes, pero puede que quieras echar un vistazo a la consulta de vez en cuando para ver si hay algo inusual. Esto significa que se puede usar para recoger más información de tu entorno de red, lo que ayudará a los investigadores a determinar todos los matices relacionados con un incidente y a tomar más decisiones.
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"tables": [
{
"name": "PrimaryResult",
"columns": [
{
"name": "timerange",
"type": "datetime"
},
{
"name": "AppDisplayName",
"type": "string"
},
{
"name": "UserPrincipalName",
"type": "string"
},
{
"name": "threeDayWindowLocationCount",
"type": "long"
},
{
"name": "locationList",
"type": "dynamic"
},
{
"name": "timestamp",
"type": "datetime"
},
{
"name": "AccountCustomEntity",
"type": "string"
}
],
"rows": [
[
"2019-11-29T00:00:00Z",
"WindowsDefenderATP Portal",
"user@example.com",
2,
"[\"US/Florida/Miami;\",\"AM/Kotayk'/Abovyan;\"]",
"2019-11-29T00:00:00Z",
"user@example.com"
],
[
"2019-12-02T00:00:00Z",
"WindowsDefenderATP Portal",
"user@example.com",
1,
"[\"US/Florida/Miami;\"]",
"2019-12-02T00:00:00Z",
"user@example.com"
],
[
"2019-11-29T00:00:00Z",
"Azure Portal",
"example@example.com",
1,
"[\"UA/Kyiv Misto/Kyiv;\"]",
"2019-11-29T00:00:00Z",
"example@example.com"
],
[
"2019-12-02T00:00:00Z",
"Azure Portal",
"example@example.com",
2,
"[\"UA/Kyiv Misto/Kyiv;\",\"UA/Kyivs'ka Oblast'/Boryspil';\"]",
"2019-12-02T00:00:00Z",
"example@example.com"
],
[
"2019-11-29T00:00:00Z",
"Azure Portal",
"user@example.com",
1,
"[\"RU/Sverdlovskaya Oblast'/Yekaterinburg;\"]",
"2019-11-29T00:00:00Z",
"user@example.com"
],
[
"2019-12-02T00:00:00Z",
"Azure Portal",
"user@example.com",
1,
"[\"RU/Sverdlovskaya Oblast'/Yekaterinburg;\"]",
"2019-12-02T00:00:00Z",
"user@example.com"
]
]
}
]
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Si se ejecuta correctamente: imprime "Hunting rule executed
successfully". Si no se encuentra la regla de búsqueda con el HuntingRuleID proporcionado, imprime "No se ha encontrado la regla de búsqueda de Microsoft Sentinel con el ID "{0}"!".format(HuntingRuleID). Si no se encuentra nada: imprime
"La regla de búsqueda se ha ejecutado correctamente, pero no ha devuelto ningún resultado."
if error: print "Hunting rule didn't completed due to error:
{0}".format(exception.stacktrace) Si se agota el tiempo de espera: print
"La regla de búsqueda no se ha completado debido al tiempo de espera agotado: {0}".format(exception.stacktrace)
Si los resultados de la consulta se han truncado: imprime "Hunting rule results exceeded limits and were truncated, please rewrite your query!" ("Los resultados de la regla de caza han superado los límites y se han truncado. Vuelve a escribir tu consulta"). |
General |
| Tabla | Título de la tabla: Resultados de reglas de búsqueda de Microsoft Sentinel Columnas: genera columnas de forma dinámica en función del resultado de la consulta. |
General |
| Archivos adjuntos | Run_Hunting_rule_{HuntingRuleID}_response.json: contiene los datos JSON técnicos devueltos por la acción. | General |
Visor de JSON |
Muestra el visor JSON del resultado de la consulta. | General |
Ejecutar una consulta KQL
Ejecuta una consulta KQL de Azure Sentinel basada en los parámetros de entrada de la acción proporcionados.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Consulta KQL | Cadena | N/A | Sí | Una consulta KQL que se va a ejecutar en Azure Sentinel. Por ejemplo, para obtener alertas de seguridad disponibles en Sentinel, la consulta será \"SecurityAlert\". Usa otros parámetros de entrada de acción (intervalo de tiempo, límite) para filtrar los resultados de la consulta. Para ver ejemplos de consultas KQL, consulta la página web "Registros" de Sentinel. |
| Periodo | Cadena | N/A | No | Especifica EL intervalo de tiempo que quieres buscar. El valor de tiempo debe cumplir la norma ISO 8601. Por ejemplo, se puede usar para especificar que se busque en las últimas 10 horas o en un intervalo de tiempo. Utiliza el siguiente formato: PT + número + (M, H, D), donde M son los minutos, H las horas y D los días. |
| Tiempo de espera de la consulta | Entero | 180 | No | Valor de tiempo de espera de la llamada a la API de reglas de búsqueda de Azure Sentinel. Ten en cuenta que el tiempo de espera del proceso de Python de la acción de Google SecOps debe ajustarse en consecuencia para este parámetro, de modo que la acción no se agote antes del valor especificado debido al tiempo de espera del proceso de Python. |
| Límite de registros | Entero | 100 | No | Cuántos registros se deben obtener. Parámetro opcional. Si se define, añade \"| limit x\" a la consulta KQL, donde x es el valor definido para el límite de registros. Se puede quitar si \"limit\" ya está definido en la consulta KQL o no es necesario. |
Casos prácticos
Ejecutar consultas avanzadas durante la investigación del caso.
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"tables": [
{
"name": "PrimaryResult",
"columns": [
{
"name": "Reason",
"type": "string"
},
{
"name": "StartTimeUtc",
"type": "datetime"
},
{
"name": "EndTimeUtc",
"type": "datetime"
},
{
"name": "count_",
"type": "long"
},
{
"name": "timestamp",
"type": "datetime"
}
],
"rows": [
[
"Incorrect password",
"2019-10-22T06:38:30.837Z",
"2019-10-22T11:57:00.003Z",
28,
"2019-10-22T06:38:30.837Z"
],
[
"Account name does not exist",
"2019-10-21T15:19:33.727Z",
"2019-10-22T06:40:13.51Z",
3,
"2019-10-21T15:19:33.727Z"
]
]
}
]
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Si se ejecuta correctamente: imprime "Query executed successfully" (Consulta ejecutada correctamente). Si no se encuentra nada: imprime "Query executed successfully,
but did not return any results." (Consulta ejecutada correctamente,
pero no ha devuelto ningún resultado). Si se produce un error: imprime
"No se ha completado la consulta debido a un error: {0}".format(exception.stacktrace). Si se agota el tiempo de espera: imprime "La consulta no se ha completado debido al tiempo de espera:
{0}".format(exception.stacktrace). Si los resultados de la consulta se han truncado: imprime "Query results exceeded limits and were truncated, please rewrite your query!" ("Los resultados de la consulta han superado los límites y se han truncado. Vuelve a escribir la consulta"). |
|
| Tabla | Título de la tabla: Resultados de la consulta KQL Columnas: genera columnas de forma dinámica en función del resultado de la consulta. |
General |
| Archivos adjuntos | Run_KQL_query_response.json: contiene los datos JSON técnicos devueltos por la acción. | General |
Visor de JSON |
Muestra el visor JSON del resultado de la consulta. | General |
Añadir comentario a incidente
Añade un comentario a un incidente de Azure Sentinel.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Número de incidente | Entero | N/A | Sí | Especifica el número de incidencia al que quieres añadir el comentario. |
| Comentario que se va a añadir | Cadena | N/A | Sí | Especifica el comentario que quieres añadir al incidente |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Incidents/00cfebdc-c677-463f-8355-cb7f23472c06/Comments/f0f31d1a-d32b-4774-a21d-3279240c7c33",
"name": "f0f31d1a-d32b-4774-a21d-3279240c7c33",
"etag": "\"7e000812-0000-0c00-0000-606fc83f0000\"",
"type": "Microsoft.SecurityInsights/Incidents/Comments",
"properties": {
"message": "Some message",
"createdTimeUtc": "2021-04-09T03:21:35.0894288Z",
"lastModifiedTimeUtc": "2021-04-09T03:21:35.0894288Z",
"author": {
"objectId": "f6ce2f43-6f77-4b30-9a4a-de1a069b2560",
"email": null,
"name": "Comment created from external application - log_analytics_rest_api_for_sentinel",
"userPrincipalName": null
}
}
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía:
La acción debería fallar y detener la ejecución de una guía:
|
General |
Conectores
Para obtener instrucciones detalladas sobre cómo configurar un conector en Google SecOps, consulta el artículo Configurar el conector.
Conector de incidentes de Microsoft Azure Sentinel (obsoleto)
En Google SecOps SOAR, Microsoft Azure Sentinel Incidents Connector ingiere incidentes del espacio de trabajo específico de Microsoft Sentinel como alertas mediante la API Azure Security Insights.
El conector usa funciones similares a las acciones List Incidents y Get Incident Details, y se conecta al endpoint de Azure Security Insights para obtener una lista de incidentes generados durante un periodo específico.
Caso práctico de conector
Usa el conector para monitorizar los espacios de trabajo de Microsoft Sentinel en busca de incidentes nuevos e ingerirlos en el servidor SOAR de Google SecOps.
Para asegurar el flujo de tipos de eventos específicos, añada el conector de datos a Microsoft Sentinel. Por ejemplo, para añadir eventos de seguridad de hosts de Windows como uno de los conectores de datos, instale un agente de Microsoft Sentinel en un host de Windows y configure los tipos de eventos que quiere ingerir: eventos de seguridad, eventos de firewall, eventos de DNS u otros.
Para generar alertas basadas en condiciones específicas, define reglas de alerta mediante consultas de reglas. Cuando las reglas de alerta crean advertencias, se activa Microsoft Sentinel para generar eventos, almacenar accidentes de datos y mostrar incidentes en la página de incidentes del portal.
Para leer y escribir datos de incidentes de forma programática, usa la API REST de Estadísticas de seguridad.
Parámetros del conector
Para configurar el conector, usa los siguientes parámetros:
| Parámetros | |
|---|---|
Product Field Name |
Obligatorio
Nombre del campo en el que se almacena el nombre del producto. El valor predeterminado es |
Event Field Name |
Obligatorio
Nombre del campo en el que se almacena el nombre del evento. El valor predeterminado es |
Environment Field Name |
Optional
Nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, se usa el entorno predeterminado. El valor predeterminado es |
Environment Regex Pattern |
Optional
Un patrón de expresión regular que se aplica al valor encontrado en el campo El valor predeterminado Este parámetro te permite manipular el campo de entorno mediante la lógica de expresiones regulares. Si el patrón de la expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno será el entorno predeterminado. |
Azure Subscription ID |
Obligatorio ID de suscripción de Azure. |
Azure Active Directory ID |
Obligatorio ID de cliente de Microsoft Entra. |
Api Root |
Obligatorio La URL raíz de la API management.azure.com que se va a usar con la integración. El valor predeterminado es |
Azure Resource Group |
Obligatorio Nombre del grupo de recursos de Azure en el que se encuentra Microsoft Sentinel. |
Azure Sentinel Workspace Name |
Obligatorio Nombre del espacio de trabajo de Microsoft Sentinel con el que se va a trabajar. |
Client ID |
Obligatorio ID de la aplicación (cliente) de Microsoft Entra que se usa en esta integración. |
Client Secret |
Obligatorio Valor del secreto de cliente de Microsoft Entra. |
Script Timeout (Seconds) |
Obligatorio Límite de tiempo de espera del proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es de 180 segundos. |
Offset Time In Hours |
Obligatorio
Número de horas anteriores al momento actual desde el que se recuperarán los incidentes. El valor predeterminado es 24 horas. |
Incident Statuses to Fetch |
Obligatorio
Estados de los incidentes que se van a obtener. Este parámetro acepta varios valores como una cadena separada por comas. El valor predeterminado es |
Incident Severities to Fetch |
Obligatorio
Gravedad de los incidentes que se van a obtener. Este parámetro acepta varios valores como una cadena separada por comas. El valor predeterminado es |
Max Incidents per Cycle |
Obligatorio
Número de incidentes que se deben procesar durante una ejecución del conector. Este parámetro acepta varios valores como una cadena separada por comas. El valor predeterminado es 10. |
Proxy Server Address |
Optional
Dirección del servidor proxy que se va a usar. |
Proxy Server Username |
Optional
Nombre de usuario del proxy para autenticarte. |
Proxy Server Password |
Optional
Contraseña del proxy para autenticarte. |
Reglas de conectores
El conector no admite listas de bloqueo ni listas dinámicas.
El conector admite proxies.
Conector de incidentes de Microsoft Azure Sentinel v2
Microsoft Azure Sentinel Incidents Connector v2 es un conector recomendado para usar cuando se trabaja con Microsoft Sentinel. Entre los cambios más importantes se incluyen la migración a los nuevos endpoints de incidentes de la API de Microsoft Sentinel y la introducción de la lógica de gestión y análisis de entidades de conectores. Para filtrar incidentes específicos de Microsoft Sentinel y obtenerlos en función de los nombres de los incidentes, usa la lista dinámica.
Es posible que la interfaz de usuario de Microsoft Sentinel muestre las entidades del incidente, pero que la API no las devuelva (la lista de entidades está vacía). Por lo tanto, el conector necesita más tiempo para ingerir estos incidentes y consultarlos en la lista de pendientes para las siguientes ejecuciones del conector. Una vez que la información de las entidades está disponible en la respuesta de la API, el conector ingiere los incidentes.
Procesamiento de alertas de Sentinel programadas y no programadas
Para resolver un problema en el conector de incidencias de Microsoft Azure Sentinel cuando mostraba entidades erróneamente para todas las alertas que no eran alertas programadas de Azure Sentinel, el conector de incidencias de Microsoft Azure Sentinel v2 añade un evento adicional por cada entidad.
Esto significa que, si el conector recibe una entidad IP, Account o Hostname en el evento de Google SecOps, añade un evento de Google SecOps adicional por cada entidad encontrada. El evento recién creado se puede usar para crear entidades y asignar propiedades de entidad en Google SecOps SOAR. Los eventos iniciales no se modifican. Los eventos nuevos solo se añaden a la alerta de Google SecOps. Este cambio no afecta a otros tipos de entidades, que permanecen en el evento inicial sin que se creen eventos adicionales.
Para habilitar la creación de eventos adicionales, el conector usa el endpoint de la API entity Sentinel
para obtener los datos. Tanto las alertas programadas como las casi en tiempo real se ingieren de forma predeterminada mediante las consultas KQL de analíticas de registros para obtener datos de alertas y eventos. Si se selecciona esta opción, el parámetro ¿Usar el mismo método de creación de eventos para todos los tipos de alertas? de la configuración del conector usará el mismo método basado en entidades para todas las alertas, incluidas las programadas y las no programadas. Te recomendamos que uses esta opción con precaución.
Parámetros del conector
Para configurar el conector, usa los siguientes parámetros:
| Parámetros | |
|---|---|
Product Field Name |
Obligatorio
Nombre del campo en el que se almacena el nombre del producto. El valor predeterminado es |
Event Field Name |
Obligatorio
Nombre del campo en el que se almacena el nombre del evento. El valor predeterminado es |
Environment Field Name |
Optional
Nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, se usa el entorno predeterminado. El valor predeterminado es |
Environment Regex Pattern |
Optional
Un patrón de expresión regular que se aplica al valor encontrado en el campo El valor predeterminado Este parámetro te permite manipular el campo de entorno mediante la lógica de expresiones regulares. Si el patrón de la expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno será el entorno predeterminado. |
Azure Subscription ID |
Obligatorio ID de suscripción de Azure. |
Azure Active Directory ID |
Obligatorio ID de cliente de Microsoft Entra. |
Api Root |
Obligatorio La URL raíz de la API que se va a usar con la integración. El valor predeterminado es |
OAUTH2 Login Endpoint Url |
Obligatorio URL del endpoint que se va a usar para la autenticación de OAuth 2.0. |
Azure Resource Group |
Obligatorio Nombre del grupo de recursos de Azure en el que se encuentra Microsoft Sentinel. |
Azure Sentinel Workspace Name |
Obligatorio Nombre del espacio de trabajo de Microsoft Sentinel con el que se va a trabajar. |
Client ID |
Obligatorio ID de la aplicación (cliente) de Microsoft Entra que se usa en esta integración. |
Client Secret |
Obligatorio Valor del secreto de cliente de Microsoft Entra. |
Script Timeout (Seconds) |
Obligatorio Límite de tiempo de espera del proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es de 180 segundos. |
Offset Time In Hours |
Obligatorio
Número de horas anteriores al momento actual desde el que se recuperarán los incidentes. El valor predeterminado es 24 horas. |
Incident Statuses to Fetch |
Obligatorio
Estados de los incidentes que se van a obtener. Este parámetro acepta varios valores como una cadena separada por comas. El valor predeterminado es |
Incident Severities to Fetch |
Obligatorio
Gravedad de los incidentes que se van a obtener. Este parámetro acepta varios valores como una cadena separada por comas. El valor predeterminado es |
Use the same approach with event creation for all alert types?
|
Optional Si se marca esta opción, el conector usará el mismo método para todos los tipos de alertas. Si no se marca, el conector usa un enfoque diferente para el tipo de alerta programada de Azure Sentinel e intenta obtener los eventos que han provocado la alerta ejecutando la consulta especificada en los detalles de la alerta. Está desmarcada de forma predeterminada. |
Use whitelist as a blacklist |
Obligatorio
Si se marca, la lista dinámica se usa como lista de bloqueo. Está desmarcada de forma predeterminada. |
Alerts padding period |
Obligatorio
Intervalo de tiempo en minutos para que el conector obtenga alertas de incidentes. El valor predeterminado es 60 minutos. |
Proxy Server Address |
Optional
Dirección del servidor proxy que se va a usar. |
Proxy Server Username |
Optional
Nombre de usuario del proxy para autenticarte. |
Proxy Server Password |
Optional
Contraseña del proxy para autenticarte. |
Max Backlog Incidents per Cycle |
Obligatorio
Número de incidencias que se deben obtener del registro pendiente durante una ejecución del conector. El valor predeterminado es 10. |
StartTimeFallback |
Obligatorio
Lista separada por comas de atributos de incidentes o alertas que se utilizarán como alternativa para el campo de alerta Si no se encuentra ninguno de los campos de respaldo, el conector usa el atributo El valor predeterminado es |
EndTimeFallback |
Obligatorio
Lista separada por comas de atributos de incidentes o alertas que se utilizarán como alternativa para el campo de alerta Si no se encuentra ninguno de los campos de respaldo, el conector usa el atributo El valor predeterminado es |
Enable Fallback Logic Debug? |
Optional
Si se marca esta casilla, el conector añade campos de depuración que contienen los valores usados para la alternativa de los eventos creados. Está desmarcada de forma predeterminada. |
VendorFieldFallback |
Obligatorio
Lista separada por comas de atributos de incidentes que se usarán como alternativa para el campo El valor predeterminado es |
ProductFieldFallback |
Obligatorio
Lista separada por comas de atributos de incidentes que se usarán como alternativa para el campo El valor predeterminado es |
EventFieldFallback |
Obligatorio
Lista separada por comas de atributos de incidentes que se usará como alternativa para el parámetro El valor predeterminado es |
Max New Incidents per cycle |
Obligatorio
Número de incidentes que se procesarán en una ejecución del conector. El valor predeterminado es 10. |
Wait For Scheduled/NRT Alert Object |
Optional
Si está habilitada, el conector espera hasta que haya disponible un objeto de alerta programada o casi en tiempo real. |
Scheduled Alerts Events Limit to Ingest |
Optional
Número máximo de eventos que se pueden ingerir en una sola alerta programada o alerta casi en tiempo real de Azure Sentinel. El valor predeterminado es 100. |
Incidents Padding Period (minutes) |
Optional
Periodo de tiempo en minutos durante el que el conector obtiene incidentes y los devuelve. Estos incidentes no están en orden cronológico. |
Create Siemplify Alerts for Sentinel incidents that do not have
entities? |
Optional
Si se marca, el conector crea alertas de Google SecOps a partir de incidentes de Microsoft Sentinel que no tienen entidades. De lo contrario, el conector solo crea alertas de Google SecOps para las alertas programadas y las alertas casi en tiempo real, y omite todos los demás tipos de incidentes de Microsoft Sentinel. Está desmarcada de forma predeterminada. |
Incident's Alerts Limit to Ingest |
Optional
Número máximo de alertas que se pueden ingerir por cada incidente de Microsoft Sentinel. |
Alert Name Template |
Optional
Si se especifica, el conector usa este valor de los datos del incidente
devueltos en la respuesta de la API de Microsoft Sentinel para rellenar el campo
Puedes proporcionar un marcador de posición con el siguiente formato:
La longitud máxima del campo es de 256 caracteres. Si no se proporciona ningún valor o se proporciona una plantilla no válida, el conector usará el nombre de alerta predeterminado. |
Rule Generator Template |
Optional
Si se especifica, el conector usa este valor de los datos del incidente
devueltos en la respuesta de la API de Microsoft Sentinel para rellenar el campo
Puedes proporcionar un marcador de posición con el siguiente formato:
La longitud máxima del campo es de 256 caracteres. Si no se proporciona ningún valor o se proporciona una plantilla no válida, el conector usará el valor predeterminado del generador de reglas. |
Personaliza los campos Nombre de alerta y Generador de reglas
El conector te permite personalizar los valores de los campos Nombre de alerta de Siemplify y Generador de reglas mediante los parámetros Plantilla de nombre de alerta y Plantilla de generador de reglas. En el caso de las plantillas, el conector obtiene información de los datos de incidentes de Microsoft Sentinel devueltos por la API.
En el siguiente ejemplo se muestran los datos de incidentes tal como los devuelve la API para hacer referencia a los campos que están disponibles en la alerta y que se pueden usar en las plantillas:
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Incidents/d4f632be-0689-93f7-57a6-f27bfabbbad1",
"name": "d4f632be-0689-93f7-57a6-f27bfabbbad1",
"etag": "\"79004534-0000-0d00-0000-63590d610000\"",
"type": "Microsoft.SecurityInsights/Incidents",
"properties": {
"title": "Incident title",
"description": "",
"severity": "Low",
"status": "New",
"owner": {
"objectId": null,
"email": null,
"assignedTo": null,
"userPrincipalName": null
},
"labels": [],
"firstActivityTimeUtc": "2022-10-26T07:00:09.3857965Z",
"lastActivityTimeUtc": "2022-10-26T09:07:02.1083312Z",
"lastModifiedTimeUtc": "2022-10-26T10:35:13.0254798Z",
"createdTimeUtc": "2022-10-26T10:34:55.7454638Z",
"incidentNumber": 380925,
"additionalData": {
"alertsCount": 102,
"bookmarksCount": 0,
"commentsCount": 0,
"alertProductNames": [
"Azure Sentinel"
],
"tactics": [
"InitialAccess",
"Persistence"
]
},
"relatedAnalyticRuleIds": [
"/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/Microsoft.SecurityInsights/alertRules/8a3ca5c5-7875-466e-accd-3bcb2881cdb0"
],
"incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/Microsoft.SecurityInsights/Incidents/d4f632be-0689-93f7-57a6-f27bfabbbad1",
"providerName": "Azure Sentinel",
"providerIncidentId": "380925"
}
}
Reglas de conectores
El conector admite la lista de bloqueo y la lista dinámica.
El conector admite proxies.
Conector de seguimiento de incidentes de Microsoft Sentinel
Usa el conector de seguimiento de incidentes de Microsoft Sentinel para trabajar con incidentes de Microsoft Sentinel y obtener actualizaciones de los incidentes de Sentinel como nuevas alertas de Google SecOps. Puedes usar la lista dinámica para especificar los nombres de los incidentes que quieras recuperar. En este conector, te recomendamos que configures la agrupación de alertas de Google SecOps en función del parámetro SourceGroupIdentifier.
Entradas de conectores
Para configurar el conector, usa los siguientes parámetros:
| Parámetros | |
|---|---|
Product Field Name |
Obligatorio
Nombre del campo en el que se almacena el nombre del producto. El valor predeterminado es |
Event Field Name |
Obligatorio
Nombre del campo en el que se almacena el nombre del evento. El valor predeterminado es |
Environment Field Name |
Optional
Nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, se usa el entorno predeterminado. El valor predeterminado es |
Environment Regex Pattern |
Optional
Un patrón de expresión regular que se aplica al valor encontrado en el campo El valor predeterminado Este parámetro te permite manipular el campo de entorno mediante la lógica de expresiones regulares. Si el patrón de la expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno será el entorno predeterminado. |
Azure Subscription ID |
Obligatorio ID de suscripción de Azure. |
Entra ID Directory ID |
Obligatorio ID de cliente de Microsoft Entra. |
Api Root |
Obligatorio La URL raíz de la API que se va a usar con la integración. El valor predeterminado es |
OAUTH2 Login Endpoint Url |
Obligatorio URL del endpoint que se va a usar para la autenticación de OAuth 2.0. |
Azure Resource Group |
Obligatorio Nombre del grupo de recursos de Azure en el que se encuentra Microsoft Sentinel. |
Azure Sentinel Workspace Name |
Obligatorio Nombre del espacio de trabajo de Microsoft Sentinel con el que se va a trabajar. |
Client ID |
Obligatorio ID de la aplicación (cliente) de Microsoft Entra que se usa en esta integración. |
Client Secret |
Obligatorio Valor del secreto de cliente de Microsoft Entra. |
Script Timeout (Seconds) |
Obligatorio Tiempo de espera del proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es 480 segundos. |
Verify SSL |
Optional Si se selecciona esta opción, la integración verifica que el certificado SSL de la conexión al servidor de Microsoft sea válido. Esta opción está seleccionada de forma predeterminada. |
Max Hours Backwards |
Obligatorio
Número de horas antes de la primera iteración del conector para recuperar los incidentes. Este parámetro solo se aplica una vez a la iteración inicial del conector después de habilitarlo por primera vez. El valor predeterminado es de 24 horas. |
Incident Statuses to Fetch |
Obligatorio
Estados de los incidentes que se van a obtener. Este parámetro acepta varios valores como una cadena separada por comas. El valor predeterminado es |
Incident Severities to Fetch |
Obligatorio
Gravedad de los incidentes que se van a obtener. Este parámetro acepta varios valores como una cadena separada por comas. El valor predeterminado es |
Max Incidents per Cycle |
Obligatorio
Número de incidentes que se deben obtener del backlog durante una ejecución del conector. El valor predeterminado es 10. |
Use the same approach with event creation for all alert types?
|
Optional Si se selecciona esta opción, el conector usará el mismo método para todos los tipos de alertas. Si no se selecciona, el conector usa un enfoque diferente para el tipo de alerta programada de Microsoft Sentinel e intenta obtener los eventos que han provocado la alerta ejecutando la consulta especificada en los detalles de la alerta. No está seleccionada de forma predeterminada. |
Incidents Tags To Ingest |
Optional
Lista de etiquetas de incidentes separadas por comas que se van a ingerir. El conector ignora los incidentes que no tienen las etiquetas de esta lista. |
Use whitelist as a blacklist |
Obligatorio
Si se selecciona, la lista dinámica se usa como lista de bloqueo. No está seleccionada de forma predeterminada. |
Backlog Expiration Timer |
Obligatorio
Periodo en minutos durante el que el conector mantiene los incidentes en una cartera. El valor predeterminado es 60 minutos. |
StartTimeFallback |
Obligatorio
Lista separada por comas de atributos de incidentes o alertas que se utilizará como alternativa para el campo de alerta Si no se encuentra ninguno de los campos de respaldo, el conector usa el atributo El valor predeterminado es |
EndTimeFallback |
Obligatorio
Lista separada por comas de atributos de incidentes o alertas que se utilizarán como
alternativa
para el campo de alerta Si no se encuentra ninguno de los campos de respaldo, el conector usa el atributo El valor predeterminado es |
Enable Fallback Logic Debug? |
Optional
Si se selecciona esta opción, el conector añade campos de depuración que contienen los valores usados para la alternativa de los eventos creados. No está seleccionada de forma predeterminada. |
VendorFieldFallback |
Obligatorio
Lista separada por comas de atributos de incidentes que se usarán como alternativa para el campo El valor predeterminado es |
ProductFieldFallback |
Obligatorio
Lista separada por comas de atributos de incidentes que se usarán como alternativa para el campo El valor predeterminado es |
EventFieldFallback |
Obligatorio
Lista separada por comas de atributos de incidentes que se va a usar como alternativa para el parámetro El valor predeterminado es |
Max Backlog Incidents per cycle |
Obligatorio
Número de incidentes que se deben recuperar del backlog en una ejecución del conector. El valor predeterminado es 10. |
Disable Overflow |
Optional Si se selecciona, el conector inhabilita un desbordamiento de eventos. No está seleccionada de forma predeterminada. |
Total Number of Scheduled Alerts Events Limit to Ingest |
Optional
El número máximo de eventos que se pueden ingerir en una sola alerta programada o alerta casi en tiempo real de Microsoft Sentinel. El valor predeterminado es 100. |
Create Chronicle SOAR Alerts for Sentinel incidents that do not
have entities? |
Optional
Si se selecciona esta opción, el conector crea alertas de Google SecOps a partir de incidentes de Microsoft Sentinel que no tienen entidades. De lo contrario, el conector solo crea alertas de Google SecOps para las alertas programadas y las alertas casi en tiempo real, y omite todos los demás tipos de incidentes de Microsoft Sentinel. No está seleccionada de forma predeterminada. |
Incident's Alerts Limit to Ingest |
Optional
El número máximo de alertas que se pueden ingerir por cada incidente de Microsoft Sentinel. |
Incidents Padding Period (minutes) |
Optional
Periodo en minutos anterior a la hora actual para que el conector obtenga incidentes y los devuelva. El conector no devuelve los incidentes en orden cronológico. |
Alert Name Template |
Optional
Si se especifica, el conector usa este valor de los datos del incidente devueltos en la respuesta de la API de Microsoft Sentinel para el nombre de una alerta de SOAR de Google SecOps. Puedes proporcionar un marcador de posición con el siguiente formato:
La longitud máxima del campo es de 256 caracteres. Si no se proporciona ningún valor o se proporciona una plantilla no válida, el conector usará el nombre de alerta predeterminado. |
Rule Generator Template |
Optional
Si se especifica, el conector usa este valor de los datos del incidente devueltos en la respuesta de la API de Microsoft Sentinel para un generador de reglas SOAR de Google SecOps. Puedes proporcionar un marcador de posición con el siguiente formato:
La longitud máxima del campo es de 256 caracteres. Si no se proporciona ningún valor o se proporciona una plantilla no válida, el conector usará el valor predeterminado del generador de reglas. |
How many hours to track ingested incident for updates |
Obligatorio
Periodo durante el que el conector debe monitorizar los incidentes de Sentinel ya ingeridos para detectar actualizaciones, como la adición de nuevos eventos o entidades, o detalles de los incidentes. El valor predeterminado es de 24 horas. |
Wait For Scheduled/NRT Alert Object |
Optional
Si está habilitada, el conector espera hasta que haya disponible un objeto de alerta programada o casi en tiempo real. |
Proxy Server Address |
Optional
Dirección del servidor proxy que se va a usar. |
Proxy Server Username |
Optional
Nombre de usuario del proxy para autenticarte. |
Proxy Server Password |
Optional
Contraseña del proxy para autenticarte. |
Reglas de conectores
El conector de seguimiento de incidentes de Microsoft Sentinel admite listas de bloqueo y listas dinámicas.
Empleo
La integración de Microsoft Sentinel admite el trabajo Microsoft Sentinel - Sincronizar incidentes.
Microsoft Sentinel - Sincronizar incidentes
Usa el trabajo Microsoft Sentinel - Sincronizar incidentes para sincronizar las alertas de Google SecOps con los incidentes de Microsoft Sentinel. De esta forma, los comentarios, el estado y las etiquetas se mantienen sincronizados entre los dos sistemas.
Para que el trabajo identifique la información correcta, el caso de SecOps de Google debe tener la etiqueta Microsoft Sentinel Incident. Si una alerta no procede de Microsoft Azure Sentinel Incident Connector v2, debes añadir un valor de contexto Incident_ID al caso para que la tarea encuentre la información correcta.
Comportamiento de las tareas
Este trabajo consta de dos partes principales: 1. El trabajo sincroniza los estados de las alertas, los comentarios y las etiquetas de Microsoft Sentinel con Google SecOps. 1. El trabajo sincroniza cualquier actualización de Google SecOps con Microsoft Sentinel.
El trabajo procesa un número máximo de casos por iteración para asegurar un rendimiento estable. Se basa en la hora de la última modificación de un caso para asegurarse de que no se pierda ninguna actualización.
Cuando se cierra una alerta en cualquiera de los sistemas, el trabajo sincroniza el cierre. La asignación de estados es la siguiente:
Maliciousse asigna al estadoClosedde Microsoft Sentinel con unTrue Positive.Not Maliciousse asigna al estadoClosedde Microsoft Sentinel con unFalse Positive.- Cualquier otro valor de cierre se asigna al estado
Closedde Microsoft Sentinel con el motivoUnknown.
Los comentarios se sincronizan bidireccionalmente. Para evitar un bucle de sincronización, el trabajo aplica un prefijo a cada comentario.
Las etiquetas también se sincronizan con los mismos prefijos para distinguir su origen.
Notas importantes sobre la limitación de frecuencia de la API
Este trabajo aprovecha la API Microsoft Graph para gestionar incidentes, que tiene un límite de frecuencia de 20 solicitudes por minuto. Para reducir el riesgo de alcanzar este límite y afectar a otros componentes de la integración, te recomendamos que configures una aplicación de Microsoft Entra ID independiente específicamente para este trabajo.
El único permiso necesario es SecurityIncident.ReadWrite.All.
Parámetros de tareas
El trabajo Microsoft Sentinel - Sincronizar incidentes requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Environment Name |
Obligatorio. Nombre del entorno desde el que se sincronizarán los incidentes. El valor predeterminado es |
Azure Active Directory ID |
Obligatorio. Tu ID de directorio único en Azure. También se conoce como ID de arrendatario. |
OAUTH2 Login Endpoint Url |
Obligatorio. URL del endpoint de OAuth 2.0 donde el trabajo solicita un token de autenticación. El valor predeterminado es |
API Root |
Obligatorio. La URL base de la API Graph. El trabajo añade llamadas a APIs específicas a esta URL raíz para obtener datos. El valor predeterminado es |
Client ID |
Obligatorio. ID único de la aplicación registrada en Azure Active Directory. Este ID se usa para autenticar y conceder a tu aplicación acceso a Microsoft Sentinel. |
Client Secret |
Obligatorio. La clave confidencial que se usa con |
Max Hours Backwards |
Obligatorio. Número de horas anteriores a partir de las cuales se sincronizarán los incidentes. El valor predeterminado es |
Verify SSL |
Obligatorio u opcional. Si se selecciona esta opción, la integración valida el certificado SSL al conectarse al servidor de Microsoft Sentinel. Esta opción está habilitada de forma predeterminada. |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.