Microsoft Defender ATP
Versão de integração: 23.0
Exemplos de utilização
Use os dados recolhidos no Microsoft Defender for Endpoint para enriquecimentos durante a investigação de um caso específico.
Os analistas podem usar os dados recolhidos e armazenados no Microsoft Defender for Endpoint em investigações, por exemplo, para obter informações sobre alertas detetados no Microsoft Defender for Endpoint ou listar máquinas registadas no Microsoft Defender for Endpoint.
Realizar ações de resposta ativa em potenciais incidentes de segurança, como isolar um anfitrião específico de uma rede ou executar uma análise antivírus.
Monitorize e inspecione os alertas do Microsoft Defender for Endpoint como alertas do Google Security Operations obtidos pelo conetor respetivo.
Pré-requisitos
Antes de configurar a integração na plataforma Google SecOps, certifique-se de que conclui os seguintes passos de pré-requisito:
Crie a app Microsoft Entra.
Configure as autorizações da API para a sua app.
Crie um segredo do cliente.
Recomendamos que use o contexto da aplicação em vez do contexto do utilizador quando acede à API do Microsoft Defender for Endpoint.
Crie uma app do Microsoft Entra
Inicie sessão no portal do Azure como administrador de utilizadores ou administrador de palavras-passe.
Selecione Microsoft Entra ID.
Aceda a Registos de apps > Novo registo.
Introduza o nome da app.
Clique em Registar.
Guarde os valores do ID da aplicação (cliente) e do ID do diretório (inquilino) para os usar mais tarde quando configurar os parâmetros de integração.
Configure autorizações da API
Aceda a Autorizações da API > Adicionar uma autorização > APIs que a minha organização usa. É apresentada a caixa de diálogo Pedir autorizações da API.
No campo Pesquisar, introduza
WindowsDefenderATP.Selecione WindowsDefenderATP > Autorizações da aplicação.
No tipo de autorização Alerta, selecione a seguinte autorização:
Alert.Read.All
Clique em Adicionar autorizações.
Na página Autorizações da API, clique em Adicionar uma autorização.
Selecione Microsoft Graph > Autorizações delegadas.
Na secção Selecionar autorizações, selecione a seguinte autorização obrigatória:
User.Read
Clique em Adicionar autorizações.
Na página Autorizações da API, clique em Adicionar uma autorização.
Selecione WindowsDefenderATP > Autorizações da aplicação.
Na secção Selecionar autorizações, selecione as seguintes autorizações obrigatórias:
AdvancedQuery.Read.AllAlert.Read.AllAlert.ReadWrite.AllEvent.WriteFile.Read.AllIp.Read.AllMachine.IsolateMachine.Read.AllMachine.ReadWrite.AllMachine.ScanMachine.StopAndQuarantineTi.ReadWriteUrl.Read.AllUser.Read.All
Clique em Conceder consentimento de administrador para
ORGANIZATION_NAME.Quando for apresentada a caixa de diálogo Confirmação de concessão de consentimento do administrador, clique em Sim.
O exemplo de um pedido de API para obter os alertas do Defender ATP é o seguinte (tenha em atenção o parâmetro $expand que é usado para obter dados sobre endereços IP, domínios e ficheiros):
GET /api/alerts?$expand=files,ips,domains HTTP/1.1
Host: api.securitycenter.windows.com
Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJ...
User-Agent: PostmanRuntime/7.19.0
Accept: */ *
Cache-Control: no-cache
Postman-Token: 2dc0f885-068a-45d4-81a6-2da0d23a58ad,d3dd0e6e-83ab-4d27-94d2-0f3889dff324
Host: api.securitycenter.windows.com
Accept-Encoding: gzip, deflate
Connection: keep-alive
cache-control: no-cache
Para saber mais sobre os parâmetros de pedido e as opções de pedido, como filtrar ou expandir, consulte as APIs do Microsoft Defender for Endpoint suportadas na documentação da Microsoft.
Crie um segredo do cliente
Navegue para Certificados e segredos > Novo segredo do cliente.
Forneça uma descrição para um segredo do cliente e defina o respetivo prazo de validade.
Clique em Adicionar.
Guarde o valor do segredo do cliente (não o ID do segredo) para o usar como o valor do parâmetro
Client Secretao configurar a integração. O valor do segredo do cliente só é apresentado uma vez.
Ative a integração do SIEM – Descontinuado
No painel de navegação, selecione Definições > SIEM.
Selecione Ativar integração do SIEM.
Esta ação ativa a secção de detalhes de acesso do conetor SIEM com valores pré-preenchidos e é criada uma aplicação no seu inquilino do Azure AD.
- Escolha o tipo de SIEM como API genérica.
- Copie os valores individuais ou selecione Guardar detalhes no ficheiro para transferir um ficheiro que contenha todos os valores.
- Precisa dos valores apresentados nesta página para gerar um token para aceder aos dados de deteções: ID de cliente, segredo do cliente e recurso.
Integre o Microsoft Defender ATP com o Google SecOps
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Parâmetros de integração
Para configurar a integração, use os seguintes parâmetros:
| Parâmetros | |
|---|---|
Client ID |
Obrigatório ID de cliente (aplicação) da app Microsoft Entra a usar para a integração. |
Client Secret |
Obrigatório Valor do segredo do cliente da app Microsoft Entra a usar para a integração. |
Azure Active Directory ID |
Obrigatório Valor do Microsoft Entra ID (ID do inquilino). |
Verify SSL |
Opcional Se esta opção estiver selecionada, verifica se o certificado SSL para a ligação ao servidor do Microsoft 365 Defender é válido. Selecionado por predefinição. |
API Root |
Obrigatório URL raiz da API a usar com a integração. Para um melhor desempenho, pode usar um servidor mais próximo da sua localização:
O valor predefinido é |
Ações
Tchim-tchim
Teste a conetividade à instância do Microsoft Defender for Endpoint com os parâmetros fornecidos na página de configuração da integração.
Parâmetros
N/A
Exemplos de utilização
A ação é usada para testar a conetividade e pode ser executada como uma ação manual, que não faz parte dos manuais de procedimentos.
É apresentado em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Enriquecer entidades
Enriqueça as entidades de anfitrião, endereço IP ou hash de ficheiro do Google SecOps com base nas informações do Microsoft Defender for Endpoint.
Parâmetros
N/A
Exemplos de utilização
A ação pode ser usada nos manuais de procedimentos que investigam a atividade nos dispositivos. Se o dispositivo tiver o agente do Microsoft Defender for Endpoint instalado, a ação extrai informações do Defender ATP num dispositivo para enriquecer as entidades do Google SecOps. A ação também pode ser usada para enriquecer os hashes dos ficheiros de alerta com as informações do Defender ATP.
É apresentado em
Esta ação é executada nas seguintes entidades:
- Anfitrião
- Endereço IP
- Filehash
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
Se o enriquecimento funcionar no endereço IP ou no anfitrião:
[
{
"EntityResult": {
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Machines/$entity",
"id": "example_id",
"computerDnsName": "example-name",
"firstSeen": "2019-11-18T11:13:04.0588699Z",
"lastSeen": "2019-11-24T18:31:50.581058Z",
"osPlatform": "Windows10",
"osVersion": null,
"osProcessor": "x64",
"version": "1803",
"lastIpAddress": "192.0.2.138",
"lastExternalIpAddress": "203.0.113.28",
"agentVersion": "10.4860.17134.982",
"osBuild": 17134,
"healthStatus": "Active",
"rbacGroupId": 0,
"rbacGroupName": null,
"riskScore": "High",
"exposureLevel": "Medium",
"aadDeviceId": null,
"machineTags": []
}
}
]
Se o enriquecimento funcionar no Filehash:
[
{
"EntityResult": {
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Files/$entity",
"sha1": "bdd0d38e113a0c7dd6213cf2e89e6cc6d66b5cdb",
"sha256": "328954033456d5c13e58fb5bcc6c0232f9f62cb6d9185afa51c7913338992491",
"md5": "9512e1cc66a1d36feb0a290cab09087b",
"globalPrevalence": 5205000,
"globalFirstObserved": "2018-06-22T12:59:21.6460311Z",
"globalLastObserved": "2019-11-21T00:24:01.921338Z",
"size": 245760,
"fileType": "APP",
"isPeFile": true,
"filePublisher": "Microsoft Corporation",
"fileProductName": "Microsoft Windows Operating System",
"signer": "Microsoft Windows",
"issuer": "Microsoft Windows Production PCA 2011",
"signerHash": "419e77aed546a1a6cf4dc23c1f977542fe289cf7",
"isValidCertificate": true
},
"EntityResult": {
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#microsoft.windowsDefenderATP.api.InOrgFileStats",
"sha1": "bdd0d38e113a0c7dd6213cf2e89e6cc6d66b5cdb",
"orgPrevalence": "1",
"orgFirstSeen": "2019-11-19T03:54:15Z",
"orgLastSeen": "2019-11-19T04:21:18Z",
"globalPrevalence": "5205000",
"globalFirstObserved": "2018-06-22T12:59:21.6460311Z",
"globalLastObserved": "2019-11-21T00:24:01.921338Z",
"topFileNames": ["notepad.exe"]
}
}
]
Enriquecimento de entidades
IP e anfitrião
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| Defender_ATP.sha1 | Devolve se existir no resultado JSON |
| Defender_ATP.sha256 | Devolve se existir no resultado JSON |
| Defender_ATP.md5 | Devolve se existir no resultado JSON |
| Defender_ATP.globalPrevalence | Devolve se existir no resultado JSON |
| Defender_ATP.globalFirstObserved | Devolve se existir no resultado JSON |
| Defender_ATP.globalLastObserved | Devolve se existir no resultado JSON |
| Defender_ATP.size | Devolve se existir no resultado JSON |
| Defender_ATP.fileType | Devolve se existir no resultado JSON |
| Defender_ATP.isPeFile | Devolve se existir no resultado JSON |
| Defender_ATP.filePublisher | Devolve se existir no resultado JSON |
| Defender_ATP.fileProductName | Devolve se existir no resultado JSON |
| Defender_ATP.signer | Devolve se existir no resultado JSON |
| Defender_ATP.issuer | Devolve se existir no resultado JSON |
| Defender_ATP.signerHash | Devolve se existir no resultado JSON |
| Defender_ATP.isValidCertificate | Devolve se existir no resultado JSON |
| Defender_ATP.orgPrevalence | Devolve se existir no resultado JSON |
| Defender_ATP.orgFirstSeen | Devolve se existir no resultado JSON |
| Defender_ATP.orgLastSeen | Devolve se existir no resultado JSON |
| Defender_ATP.topFileNames | Devolve se existir no resultado JSON |
Hash do ficheiro
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| Defender_ATP.sha1 | Devolve se existir no resultado JSON |
| Defender_ATP.sha256 | Devolve se existir no resultado JSON |
| Defender_ATP.md5 | Devolve se existir no resultado JSON |
| Defender_ATP.globalPrevalence | Devolve se existir no resultado JSON |
| Defender_ATP.globalFirstObserved | Devolve se existir no resultado JSON |
| Defender_ATP.globalLastObserved | Devolve se existir no resultado JSON |
| Defender_ATP.size | Devolve se existir no resultado JSON |
| Defender_ATP.fileType | Devolve se existir no resultado JSON |
| Defender_ATP.isPeFile | Devolve se existir no resultado JSON |
| Defender_ATP.filePublisher | Devolve se existir no resultado JSON |
| Defender_ATP.fileProductName | Devolve se existir no resultado JSON |
| Defender_ATP.signer | Devolve se existir no resultado JSON |
| Defender_ATP.issuer | Devolve se existir no resultado JSON |
| Defender_ATP.signerHash | Devolve se existir no resultado JSON |
| Defender_ATP.isValidCertificate | Devolve se existir no resultado JSON |
| Defender_ATP.orgPrevalence | Devolve se existir no resultado JSON |
| Defender_ATP.orgFirstSeen | Devolve se existir no resultado JSON |
| Defender_ATP.orgLastSeen | Devolve se existir no resultado JSON |
| Defender_ATP.topFileNames | Devolve se existir no resultado JSON |
Liste os alertas
Liste os alertas do Microsoft Defender para Ponto Final com base nos critérios de pesquisa fornecidos. A ação devolve informações sobre os alertas encontrados num formulário de tabela e vista JSON como resultado da ação, juntamente com dados de alertas não processados que são armazenados e anexados ao ficheiro JSON de resultado da ação.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Intervalo de tempo | Número inteiro | 3 | Não | Especifique um intervalo de tempo em horas para obter alertas. |
| Estado | String | Desconhecido, novo, em curso, resolvido | Não | Especifique os estados dos alertas que quer procurar. O parâmetro aceita vários valores como uma string separada por vírgulas. |
| Gravidade | String | N/A | Não | Especifique a gravidade dos incidentes a procurar. Se não for fornecido, a ação procura todas as gravidades. O parâmetro aceita vários valores como uma string separada por vírgulas. Valores possíveis: UnSpecified, Informational, Low, Medium e High |
| Categoria | String | N/A | Não | Especifique a categoria de alerta a procurar. Se não for fornecido, as ações procuram todas as categorias. O parâmetro aceita vários valores como uma string separada por vírgulas. Valores possíveis: 'Collection', 'CommandAndControl', 'CredentialAccess', 'DefenseEvasion', 'Discovery', 'Execution', 'Exfiltration', 'Exploit', 'InitialAccess', 'LateralMovement', 'Malware', 'Persistence', 'PrivilegeEscalation', 'Ransomware', 'SuspiciousActivity', 'UnwantedSoftware'. |
| ID de incidente | Número inteiro | N/A | Não | Especifique o ID do incidente do Microsoft Defender para o qual quer encontrar alertas relacionados. |
Exemplos de utilização
A ação pode ser usada para rever os avisos do Defender ATP no servidor do Google SecOps para um utilizador final. Por exemplo, quando lida com o aviso proveniente do conector do Defender ATP, o utilizador configura a ação "List Warnings" (Listar avisos) para aceitar o IncidentId do alerta processado como o parâmetro de entrada para extrair detalhes do servidor do Defender ATP. Existem outros avisos que fazem parte de um único incidente do Defender ATP.
É apresentado em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Alerts",
"value": [
{
"id": "example_id",
"incidentId": 2,
"investigationId": null,
"assignedTo": null,
"severity": "Medium",
"status": "New",
"classification": null,
"determination": null,
"investigationState": "UnsupportedAlertType",
"detectionSource": "WindowsDefenderAtp",
"category": "Execution",
"threatFamilyName": null,
"title": "Unexpected behavior observed by a process run with no command line arguments",
"description": "The legitimate process by this name does not normally exhibit this behavior when run with no command line arguments. \nSuch unexpected behavior may be a result of extraneous code injected into a legitimate process, or a malicious executable masquerading as the legitimate one by name.",
"alertCreationTime": "2019-11-19T03:56:35.3007009Z",
"firstEventTime": "2019-11-19T03:54:16.0441057Z",
"lastEventTime": "2019-11-19T03:54:16.0441057Z",
"lastUpdateTime": "2019-11-19T03:56:38.45Z",
"resolvedTime": null,
"machineId": "machine-id",
"alertUser": null,
"comments": [],
"alertFiles": [],
"alertDomains": [],
"alertIps": [],
"alertProcesses": []
}
]
}
Atualizar alerta
Atualize um alerta específico do Microsoft Defender for Endpoint. A ação pode ser usada para fechar um alerta no Microsoft Defender para Ponto Final.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do alerta | String | N/A | Sim | Especifique o ID do alerta do Microsoft Defender for Endpoint a atualizar. |
| Estado | LDD | Novo Valores possíveis:
|
Não | Especifique o estado para o qual quer atualizar o alerta. |
| Atribuído a | String | N/A | Não | Especifique as informações do utilizador se quiser atualizar este campo. |
| Classificação | LDD | Desconhecido Valores possíveis:
|
Não | Especifique a classificação com a qual quer atualizar o alerta. |
| Determinação | LDD | NotAvailable Valores possíveis:
|
Não | Especifique a determinação com a qual quer atualizar o alerta. |
Exemplos de utilização
Use a ação para atualizar um aviso do Defender ATP.
Use a ação para intervir num fluxo de trabalho que envolva a análise de avisos do Defender ATP.
Depois de o alerta ser processado no Google SecOps, pode ignorar o alerta do Defender ATP para manter as listas de alertas do Defender ATP e do Google SecOps alinhadas. Além disso, pode alterar o alerta para mostrar o progresso da análise de alertas (por exemplo, definir o atributo
assignedToou definir o estado do alerta comoinProgress).
É apresentado em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Alerts/$entity",
"id": "example-id",
"incidentId": 1,
"investigationId": null,
"assignedTo": null,
"severity": "Informational",
"status": "Resolved",
"classification": null,
"determination": null,
"investigationState": "UnsupportedAlertType",
"detectionSource": "WindowsDefenderAtp",
"category": "Execution",
"threatFamilyName": null,
"title": "[Test Alert] Suspicious Powershell commandline",
"description": "*** This is a test alert ***\nA suspicious Powershell commandline was found on the machine. This commandline might be used during installation, exploration, or in some cases with lateral movement activities which are used by attackers to invoke modules, download external payloads, and get more information about the system. Attackers usually use Powershell to bypass security protection mechanisms by executing their payload in memory without touching the disk and leaving any trace.",
"alertCreationTime": "2019-11-18T11:17:48.287421Z",
"firstEventTime": "2019-11-18T11:15:06.5226815Z",
"lastEventTime": "2019-11-18T11:15:06.5226815Z",
"lastUpdateTime": "2019-11-20T04:12:03.6066667Z",
"resolvedTime": "2019-11-20T04:12:03.4976288Z",
"machineId": "machine-id",
"alertUser": {
"accountName": "Administrator",
"domainName": "example-domain"
},
"comments": [],
"alertFiles": [
{
"sha1": "3ce71813199abae99348f61f0caa34e2574f831c",
"sha256": "9a7c58bd98d70631aa1473f7b57b426db367d72429a5455b433a05ee251f3236",
"filePath": "C:\\Windows\\System32\\cmd.exe",
"fileName": "cmd.exe"
},
{
"sha1": "1b3b40fbc889fd4c645cc12c85d0805ac36ba254",
"sha256": "d3f8fade829d2b7bd596c4504a6dae5c034e789b6a3defbe013bda7d14466677",
"filePath": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
"fileName": "powershell.exe"
}
],
"alertDomains": [],
"alertIps": [],
"alertProcesses": []
}
Listar máquinas
Receber informações sobre máquinas registadas no servidor do Microsoft Defender for Endpoint com base nos parâmetros fornecidos para a pesquisa.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Intervalo de tempo da última visualização | Número inteiro | N/A | Não | Especifique o período de tempo desde a última vez que o dispositivo foi visto para procurar em horas. |
| Nome do computador | String | N/A | Não | Especifique o nome completo do computador a procurar. |
| Endereço IP do computador | String | N/A | Não | Especifique o endereço IP do computador a procurar. |
| Pontuação de risco da máquina | String | Nenhuma, Baixa, Média, Elevada | Não | Especifique a pontuação de risco da máquina a procurar. O parâmetro aceita vários valores como uma string separada por vírgulas. |
| Estado de funcionamento da máquina | String | Active, Inactive, ImpairedCommunication, NoSensorData, NoSensorDataImpairedCommunication | Não | Especifique o estado de funcionamento da máquina que quer procurar. O parâmetro aceita vários valores como uma string separada por vírgulas. |
| Plataforma do SO do computador | String | N/A | Não | Especifique a plataforma de SO do computador a procurar. |
| ID do grupo RBAC | String | N/A | Não | Especifique o ID do grupo RBAC a procurar. |
Exemplos de utilização
A ação pode ser usada para fins de investigação para obter informações sobre os dispositivos registados no servidor do Defender ATP. Esta ação é usada principalmente como ação manual para que o utilizador não tenha de voltar à consola do Defender ATP e procurar em que máquinas o agente do Defender ATP está a funcionar.
É apresentado em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Machines",
"value": [
{
"id": "example-id",
"computerDnsName": "example-name",
"firstSeen": "2019-11-18T11:13:04.0588699Z",
"lastSeen": "2019-11-20T09:59:28.0646303Z",
"osPlatform": "Windows10",
"osVersion": null,
"osProcessor": "x64",
"version": "1803",
"lastIpAddress": "192.0.2.138",
"lastExternalIpAddress": "203.0.113.35",
"agentVersion": "10.4860.17134.982",
"osBuild": 17134,
"healthStatus": "Active",
"rbacGroupId": 0,
"rbacGroupName": null,
"riskScore": "High",
"exposureLevel": "Medium",
"aadDeviceId": null,
"machineTags": []
},{
"id": "example-id",
"computerDnsName": "example-name",
"firstSeen": "2019-11-20T08:36:16.2721384Z",
"lastSeen": "2019-11-20T08:36:52.7182837Z",
"osPlatform": "Windows10",
"osVersion": null,
"osProcessor": "x64",
"version": "1803",
"lastIpAddress": "192.0.2.141",
"lastExternalIpAddress": "203.0.113.35",
"agentVersion": "10.4850.17134.191",
"osBuild": 17134,
"healthStatus": "Active",
"rbacGroupId": 0,
"rbacGroupName": null,
"riskScore": "None",
"exposureLevel": "Medium",
"aadDeviceId": null,
"machineTags": []
}
]
}
Obtenha o registo da máquina dos utilizadores
Obter informações sobre o início de sessão de um utilizador numa máquina específica.
Parâmetros
N/A
Exemplos de utilização
A ação pode ser usada para fins de investigação para obter detalhes específicos sobre os utilizadores que iniciam sessão numa máquina em questão a partir do servidor do Defender ATP.
É apresentado em
Esta ação é executada nas seguintes entidades:
- Anfitrião
- Endereço IP
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Users",
"value": [
{
"id": "example\\example.user",
"accountName": "example.user",
"accountDomain": "example",
"accountSid": null,
"firstSeen": "2019-11-19T03:50:36Z",
"lastSeen": "2019-11-19T03:50:36Z",
"mostPrevalentMachineId": null,
"leastPrevalentMachineId": null,
"logonTypes": "Interactive",
"logOnMachinesCount": 1,
"isDomainAdmin": false,
"isOnlyNetworkUser": null
}
]
}
Receba alertas relacionados com máquinas
Receber alertas relacionados com uma máquina específica registada no Defender ATP.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Estado | String | Desconhecido, novo, em curso, resolvido | Não | Especifique os estados dos alertas que quer procurar. O parâmetro aceita vários valores como uma string separada por vírgulas. |
| Gravidade | String | UnSpecified, Informational, Low, Medium, High | Não | Especifique os níveis de gravidade dos incidentes que quer procurar. O parâmetro aceita vários valores como uma string separada por vírgulas. |
| Categoria | String | N/A | Não | Especifique a categoria de alerta a procurar. Se não for fornecido, a ação procura todas as categorias. O parâmetro aceita vários valores como uma string separada por vírgulas. Valores possíveis: "Collection", "CommandAndControl", "CredentialAccess", "DefenseEvasion", "Discovery", "Execution", "Exfiltration", "Exploit", "InitialAccess", "LateralMovement", "Malware", "Persistence", "PrivilegeEscalation", "Ransomware", "SuspiciousActivity", "UnwantedSoftware". |
| ID de incidente | Número inteiro | N/A | Não | Especifique o ID do incidente do Microsoft Defender para o qual quer encontrar alertas relacionados. |
Exemplos de utilização
A ação pode ser usada para fins de investigação para receber alertas relacionados com uma máquina específica em questão a partir do servidor do Defender ATP.
É apresentado em
Esta ação é executada nas seguintes entidades:
- Anfitrião
- Endereço IP
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Alerts",
"value": [
{
"id": "example-id",
"incidentId": 1,
"investigationId": null,
"assignedTo": "testuser@example.com",
"severity": "Informational",
"status": "Resolved",
"classification": "FalsePositive",
"determination": "SecurityTesting",
"investigationState": "UnsupportedAlertType",
"detectionSource": "WindowsDefenderAtp",
"category": "Execution",
"threatFamilyName": null,
"title": "[Test Alert] Suspicious Powershell commandline",
"description": "*** This is a test alert ***\nA suspicious Powershell commandline was found on the machine. This commandline might be used during installation, exploration, or in some cases with lateral movement activities which are used by attackers to invoke modules, download external payloads, and get more information about the system. Attackers usually use Powershell to bypass security protection mechanisms by executing their payload in memory without touching the disk and leaving any trace.",
"alertCreationTime": "2019-11-18T11:17:48.287421Z",
"firstEventTime": "2019-11-18T11:15:06.5226815Z",
"lastEventTime": "2019-11-18T11:15:06.5226815Z",
"lastUpdateTime": "2019-11-20T04:12:03.91Z",
"resolvedTime": "2019-11-20T04:12:03.4976288Z",
"machineId": "machine-id",
"alertUser": {
"accountName": "Administrator",
"domainName": "US-LT-V13007"
},
"comments": [],
"alertFiles": [
{
"sha1": "3ce71813199abae99348f61f0caa34e2574f831c",
"sha256": "9a7c58bd98d70631aa1473f7b57b426db367d72429a5455b433a05ee251f3236",
"filePath": "C:\\Windows\\System32\\cmd.exe",
"fileName": "cmd.exe"
},
{
"sha1": "1b3b40fbc889fd4c645cc12c85d0805ac36ba254",
"sha256": "d3f8fade829d2b7bd596c4504a6dae5c034e789b6a3defbe013bda7d14466677",
"filePath": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
"fileName": "powershell.exe"
}
],
"alertDomains": [],
"alertIps": [],
"alertProcesses": []
}
]
}
Isole o computador
Isolar um computador através do Microsoft Defender for Endpoint. A máquina pode ser definida com isolamento total ou isolamento seletivo. As aplicações Outlook, Skype para Empresas e Teams continuam a funcionar num computador em isolamento.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Tipo de isolamento | LDD | Completo Valores possíveis:
|
Sim | Especifique o tipo de isolamento. |
| Comentário | String | N/A | Sim | Especifique um comentário sobre o motivo pelo qual a máquina tem de ser isolada. |
| Criar uma estatística? | Caixa de verificação | Marcado | Se estiver ativada, a ação cria uma estatística do Google SecOps com informações relacionadas se for executada com êxito. |
Exemplos de utilização
Isolar uma máquina que seja considerada infetada. Por exemplo, o alerta do conector do Defender ATP foi carregado para o servidor do Google SecOps e, durante uma análise de alertas, descobriu-se que a máquina relacionada com o alerta (entidade de registo) pode estar infetada e precisa de ser isolada.
É apresentado em
Esta ação é executada nas seguintes ações:
- Anfitrião
- Endereço IP
Resultados da ação
Resultado do script
Verdadeiro se o ponto final da API devolveu para todas as entidades fornecidas em que foi executado o estado 201, na resposta JSON "status": "Pending", o que indica que o pedido da API foi executado com êxito. Se a ação falhar para, pelo menos, uma das entidades, o resultado final deve ser falha (Falso).
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#MachineActions/$entity",
"id": "example-id",
"type": "Isolate",
"requestor": "requestor-id",
"requestorComment": "Machine Isolation due to alert ...",
"status": "Pending",
"machineId": "machine-id",
"creationDateTimeUtc": "2019-11-21T03:55:59.5419077Z",
"lastUpdateDateTimeUtc": "2019-11-21T03:55:59.5419077Z",
"cancellationRequestor": null,
"cancellationComment": null,
"cancellationDateTimeUtc": null,
"errorHResult": 0,
"scope": null,
"relatedFileInfo": null
}
Estatísticas
- Lógica de estatísticas: se a máquina foi isolada através do agente do ATP do Defender, crie uma estatística para o indicar.
- Tipo: entidade.
- Title (String): entity.
- IdentifierMessage: "O anfitrião foi isolado através do Microsoft Defender for Endpoint."
Unisolate Machine
Anule o isolamento de uma máquina que foi isolada anteriormente com o Microsoft Defender for Endpoint.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Comentário | String | N/A | Sim | Especifique um comentário sobre o motivo pelo qual a máquina tem de ser desisolada. |
| Criar uma estatística? | Caixa de verificação | Marcado | Se estiver ativada, a ação cria uma estatística do Google SecOps com informações relacionadas se for executada com êxito. |
Exemplos de utilização
A ação pode ser usada em situações em que a máquina já estava isolada, mas com os novos dados recolhidos durante o processamento do livro de regras (por exemplo, a primeira máquina foi isolada, em seguida, criámos um indicador de ameaça para um ficheiro suspeito e executámos a ação "Parar e colocar em quarentena" para remover este ficheiro da máquina afetada), podemos considerar que é seguro remover a máquina afetada do isolamento.
É apresentado em
Esta ação é executada nas seguintes entidades:
- Anfitrião
- Endereço IP
Resultados da ação
Resultado do script
Verdadeiro se o ponto final da API devolveu para todas as entidades fornecidas em que foi executado o estado 201, na resposta JSON "status": "Pending", o que indica que o pedido da API foi executado com êxito. Se a ação falhar para, pelo menos, uma das entidades, o resultado final deve ser falha (Falso).
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#MachineActions/$entity",
"id": "example-id",
"type": "Unisolate",
"requestor": "requestor-id",
"requestorComment": "Unisolate machine due to the following remediation measures taken...",
"status": "Pending",
"machineId": "machine-id",
"creationDateTimeUtc": "2019-11-21T03:59:34.7389352Z",
"lastUpdateDateTimeUtc": "2019-11-21T03:59:34.7389352Z",
"cancellationRequestor": null,
"cancellationComment": null,
"cancellationDateTimeUtc": null,
"errorHResult": 0,
"scope": null,
"relatedFileInfo": null
}
Estatísticas
- Tipo: entidade
- Title: entidade.
- IdentifierMessage: o isolamento do Microsoft Defender for Endpoint foi removido.
Executar análise antivírus
Inicie uma análise de antivírus num anfitrião através do Microsoft Defender for Endpoint. Estão disponíveis dois tipos de análises do Defender ATP: completa ou rápida.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Tipo de análise antivírus | LDD | Completo Valores possíveis:
|
Sim | Especifique se quer iniciar uma análise antivírus completa ou rápida no computador. |
| Comentário | String | N/A | Sim | Especifique um comentário sobre o motivo pelo qual é necessário executar uma análise antivírus no computador. |
Exemplos de utilização
Foi emitido um alerta do conector do Defender ATP durante o processamento de alertas. Foram encontrados indicadores de comprometimentos de software malicioso na máquina relacionados com a entidade do registo do Google SecOps e, por esse motivo, o utilizador decidiu executar uma análise de antivírus na máquina para tentar encontrar software malicioso no anfitrião.
É apresentado em
Esta ação é executada nas seguintes entidades:
- Anfitrião
- Endereço IP
Resultados da ação
Resultado do script
Verdadeiro se o ponto final da API devolveu para todas as entidades fornecidas em que foi executado o estado 201, na resposta JSON "status": "Pending", o que indica que o pedido da API foi executado com êxito. Se a ação falhar para, pelo menos, uma das entidades, o resultado final deve ser falha (Falso).
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#MachineActions/$entity",
"id": "example-id",
"type": "RunAntiVirusScan",
"requestor": "requestor_id",
"requestorComment": "Run antivirus scan on suspect",
"status": "Pending",
"machineId": "machine-id",
"creationDateTimeUtc": "2019-11-21T11:07:06.611628Z",
"lastUpdateDateTimeUtc": "2019-11-21T11:07:06.611628Z",
"cancellationRequestor": null,
"cancellationComment": null,
"cancellationDateTimeUtc": null,
"errorHResult": 0,
"scope": null,
"relatedFileInfo": null
}
Pare e coloque em quarentena um ficheiro numa máquina específica
Pare a execução de um ficheiro numa máquina específica e coloque-o em quarentena através do agente do Microsoft Defender ATP. A ação funciona com entidades de anfitrião ou IP Google SecOps.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Hash do ficheiro SHA1 para quarentena | String | N/A | Sim | Especifique o hash SHA-1 do ficheiro a parar e colocar em quarentena. Nota: o hash SHA-1 tem de estar em minúsculas para que a ação encontre o ficheiro correspondente. |
| Comentário | String | N/A | Sim | Especifique um comentário sobre o motivo pelo qual é necessário executar uma análise antivírus no computador. |
| Criar uma estatística? | Caixa de verificação | Marcado | Se estiver ativada, a ação cria uma estatística do Google SecOps com informações relacionadas se for executada com êxito. |
Exemplos de utilização
Durante o processamento do alerta proveniente do conector do Defender ATP, a ação "Parar e colocar em quarentena o ficheiro" pode ser usada para bloquear a execução do ficheiro específico e evitar a comprometimento do computador. A necessidade desta ação pode resultar da procura avançada, e o utilizador pode descobrir alguns ficheiros potencialmente maliciosos que, neste momento, quer bloquear numa única máquina.
É apresentado em
Esta ação é executada nas seguintes entidades:
- Anfitrião
- Endereço IP
Resultados da ação
Resultado do script
Pode ser verdadeiro ou falso. Verdadeiro se o ponto final da API devolveu para todas as entidades fornecidas em que foi executado o estado 201, na resposta JSON "status": "Pending", o que indica que o pedido da API foi executado com êxito. Se a ação falhar para, pelo menos, uma das entidades, o resultado final deve ser uma falha (Falso).
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#MachineActions/$entity",
"id": "example-id",
"type": "StopAndQuarantineFile",
"requestor": "requestor-id",
"requestorComment": "Stopping and quarantining putty",
"status": "Pending",
"machineId": "machine-id",
"creationDateTimeUtc": "2019-11-25T10:05:21.3641296Z",
"lastUpdateDateTimeUtc": "2019-11-25T10:05:21.3641296Z",
"cancellationRequestor": null,
"cancellationComment": null,
"cancellationDateTimeUtc": null,
"errorHResult": 0,
"scope": null,
"relatedFileInfo": {
"fileIdentifier": "d932604ab8e9debe475415851fd26929a0c0dcd1",
"fileIdentifierType": "Sha1"
}
}
Estatísticas
- Tipo: entidade.
- Title (String): entity.
- IdentifierMessage (String): "O ficheiro com o hash SHA-1 {0} foi parado e posto em quarentena em {1}". format (filehash,entity.Identifier).
Receba alertas relacionados com ficheiros
Receba alertas relacionados com um ficheiro do Microsoft Defender for Endpoint com base no hash do ficheiro.
Parâmetros
| Valor de apresentação do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Estado | String | Desconhecido, novo, em curso, resolvido | Não | Especifique os estados dos alertas que quer procurar. O parâmetro aceita vários valores como uma string separada por vírgulas. |
| Gravidade | String | UnSpecified, Informational, Low, Medium, High | NÃO | Especifique os níveis de gravidade dos incidentes que quer procurar. O parâmetro aceita vários valores como uma string separada por vírgulas. |
| Categoria | String | N/A | Não | Especifique a categoria de alerta a procurar. Se não for fornecido, a ação procura todas as categorias. O parâmetro aceita vários valores como uma string separada por vírgulas. Valores possíveis: "Collection", "CommandAndControl", "CredentialAccess", "DefenseEvasion", "Discovery", "Execution", "Exfiltration", "Exploit", "InitialAccess", "LateralMovement", "Malware", "Persistence", "PrivilegeEscalation", "Ransomware", "SuspiciousActivity", "UnwantedSoftware". |
| ID de incidente | Número inteiro | N/A | Não | Especifique o ID do incidente do Microsoft Defender para o qual quer encontrar alertas relacionados. |
Exemplos de utilização
Ao investigar um alerta proveniente do conetor do Defender ATP, esta ação pode ser usada para recolher informações se este ficheiro estiver associado a alertas para obter informações sobre se o ficheiro é malicioso ou não.
Executar em
Esta ação é executada na entidade Filehash.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Alerts",
"value": [
{
"id": "example_id",
"incidentId": 2,
"investigationId": 1,
"assignedTo": null,
"severity": "Medium",
"status": "New",
"classification": null,
"determination": null,
"investigationState": "TerminatedBySystem",
"detectionSource": "WindowsDefenderAtp",
"category": "DefenseEvasion",
"threatFamilyName": null,
"title": "Suspicious process injection observed",
"description": "A process abnormally injected code into another process, As a result, unexpected code may be running in the target process memory. Injection is often used to hide malicious code execution within a trusted process. \nAs a result, the target process may exhibit abnormal behaviors such as opening a listening port or connecting to a command and control server.",
"alertCreationTime": "2019-11-19T03:56:37.7335862Z",
"firstEventTime": "2019-11-19T03:54:15.7698362Z",
"lastEventTime": "2019-11-19T03:54:15.7698362Z",
"lastUpdateTime": "2019-11-20T10:13:31.7266667Z",
"resolvedTime": null,
"machineId": "machine-id",
"alertUser": {
"accountName": "example.user",
"domainName": "EXAMPLELAB"
},
"comments": [],
"alertFiles": [
{
"sha1": "1b3b40fbc889fd4c645cc12c85d0805ac36ba254",
"sha256": "d3f8fade829d2b7bd596c4504a6dae5c034e789b6a3defbe013bda7d14466677",
"filePath": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
"fileName": "powershell.exe"
},{
"sha1": "bdd0d38e113a0c7dd6213cf2e89e6cc6d66b5cdb",
"sha256": "328954033456d5c13e58fb5bcc6c0232f9f62cb6d9185afa51c7913338992491",
"filePath": "C:\\Windows\\System32\\notepad.exe",
"fileName": "notepad.exe"
}
],
"alertDomains": [],
"alertIps": [],
"alertProcesses": []
}
]
}
Get File Related Machines
Obtenha máquinas relacionadas com um ficheiro do Microsoft Defender for Endpoint com base no hash do ficheiro.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do computador | String | N/A | Não | Especifique o nome completo do computador a procurar. |
| Endereço IP do computador | String | N/A | Não | Especifique o endereço IP do computador a procurar. |
| Pontuação de risco da máquina | String | N/A | Não | Especifique a pontuação de risco da máquina a procurar. O parâmetro aceita vários valores como uma string separada por vírgulas. |
| Estado de funcionamento da máquina | String | Active, Inactive, ImpairedCommunication, NoSensorData, NoSensorDataImpairedCommunication | Não | Especifique o estado de funcionamento da máquina que quer procurar. O parâmetro aceita vários valores como uma string separada por vírgulas. |
| Plataforma do SO do computador | String | N/A | Não | Especifique a plataforma de SO do computador a procurar. |
| ID do grupo RBAC | String | N/A | Não | Especifique o ID do grupo RBAC a procurar. |
Exemplos de utilização
Ao investigar um alerta proveniente do conector do Defender ATP, esta ação pode ser usada para recolher informações sobre as máquinas nas quais este ficheiro foi registado no Defender ATP.
É apresentado em
Esta ação é executada na entidade Filehash.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Machines",
"value": [
{
"id": "example_id",
"computerDnsName": "example-name",
"firstSeen": "2019-11-18T11:13:04.0588699Z",
"lastSeen": "2019-11-20T19:35:36.4619266Z",
"osPlatform": "Windows10",
"osVersion": null,
"osProcessor": "x64",
"version": "1803",
"lastIpAddress": "192.0.2.1",
"lastExternalIpAddress": "203.0.113.121",
"agentVersion": "10.4860.17134.982",
"osBuild": 17134,
"healthStatus": "Active",
"rbacGroupId": 0,
"rbacGroupName": null,
"riskScore": "High",
"exposureLevel": "Medium",
"aadDeviceId": null,
"machineTags": []
}
]
}
Execute uma consulta de procura avançada
Execute uma consulta de procura avançada do Microsoft Defender para pontos finais. Tenha em atenção que as aspas, as novas linhas ou outros símbolos especiais têm de ser carateres de escape. Por exemplo, use a barra invertida para carateres de escape de aspas.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
| Consulta | String | N/A | Sim | Consulta de investigação avançada a executar. |
Exemplos de utilização
O utilizador pode ter consultas de procura que quer usar para consultar dados recolhidos no Defender ATP durante o processamento de um alerta específico do Defender. Com esta ação, o utilizador pode executar essas consultas de procura avançada.
É apresentado em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"Stats": {
"ExecutionTime": 0.0156652,
"resource_usage": {
"cache": {
"memory": {
"hits": 13,
"misses": 0,
"total": 13
},
"disk": {
"hits": 0,
"misses": 0,
"total": 0
}
},
"cpu": {
"user": "00:00:00.0156250",
"kernel": "00:00:00",
"total cpu": "00:00:00.0156250"
},
"memory": {
"peak_per_node": 33554624
}
},
"dataset_statistics": [
{
"table_row_count": 2,
"table_size": 60
}
]
},
"Schema": [
{
"Name": "EventTime",
"Type": "DateTime"
},
{
"Name": "FileName",
"Type": "String"
},
{
"Name": "InitiatingProcessFileName",
"Type": "String"
}
],
"Results": [
{
"EventTime": "2019-11-18T11:13:07.043128Z",
"FileName": "csc.exe",
"InitiatingProcessFileName": "powershell.exe"
},
{
"EventTime": "2019-11-19T03:54:14.4256361Z",
"FileName": "csc.exe",
"InitiatingProcessFileName": "powershell.exe"
}
]
}
Aguardar estado da tarefa
Aguardar o estado de uma tarefa.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| IDs das tarefas | String | N/A | Sim | Lista de IDs de tarefas como uma string separada por vírgulas. |
É apresentado em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
{
"status": "Succeeded",
"creation_date_time_utc": "2020-02-08T03:24:52.8526634Z",
"cancellation_requestor": null,
"cancellation_date_time_utc": null,
"id": "2e39d22e-60a7-4267-899c-a1471e800000",
"last_update_date_time_utc": "2020-02-08T03:25:35.8345081Z",
"related_file_info": null,
"cancellation_comment": null,
"requestor": "e4fc6454-754d-47f7-bbdb-045fad600000",
"error_h_result": 0,
"scope": "Selective",
"machine_id": "fbc85cf3fbcc8bb14d1a84fcf7bbae4531f00000",
"type": "Isolate",
"requestor_comment": "test"
}
]
Get Current Task Status
Obter o estado atual de uma tarefa.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| IDs das tarefas | String | N/A | Sim | Lista de IDs de tarefas como uma string separada por vírgulas. |
É apresentado em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
{
"status": "Succeeded",
"creation_date_time_utc": "2020-02-08T03:24:52.8526634Z",
"cancellation_requestor": null,
"cancellation_date_time_utc": null,
"id": "2e39d22e-60a7-4267-899c-a1471e800000",
"last_update_date_time_utc": "2020-02-08T03:25:35.8345081Z",
"related_file_info": null,
"cancellation_comment": null,
"requestor": "e4fc6454-754d-47f7-bbdb-045fad600000",
"error_h_result": 0,
"scope": "Selective",
"machine_id": "fbc85cf3fbcc8bb14d1a84fcf7bbae4531f00000",
"type": "Isolate",
"requestor_comment": "test"
}
]
Envie indicadores de entidades
Envie entidades como indicadores no Microsoft Defender for Endpoint.
Parâmetros
| Nome de apresentação do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Ação | LDD | Bloquear Valores possíveis:
|
Sim | Especifique a ação que tem de ser aplicada às entidades. Nota: o valor "Block And Remediate" só é suportado para as entidades filehash. |
| Gravidade | LDD | Alto Valores possíveis:
|
Sim | Especifique a gravidade das entidades encontradas. |
| Aplicação | String | N/A | Não | Especifique uma aplicação relacionada com as entidades. |
| Título do alerta do indicador | String | N/A | Sim | Especifique o título do alerta, se forem identificados no ambiente. |
| Descrição | String | Remediação do Google SecOps | Sim | Especifique a descrição das entidades. |
| Ação recomendada | String | N/A | Não | Especifique as ações recomendadas para o processamento das entidades. |
É apresentado em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- URL
- Filehash
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Parede da caixa
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se os dados estiverem disponíveis para uma entidade (is_success = true): "As seguintes entidades foram enviadas com êxito como indicadores para o Microsoft Defender for Endpoint: {entity.identifier}". Se os dados não estiverem disponíveis para uma entidade (is_success=true): "Não foi possível enviar as seguintes entidades como indicadores para o Microsoft Defender for Endpoint: {entity.identifier}". Se o código de estado 403 for comunicado para uma entidade:"A instância não tem autorizações suficientes para enviar as seguintes entidades: {entity.identifier} Se os dados não estiverem disponíveis para todas as entidades (is_success=false): "Nenhuma das entidades fornecidas foi enviada como indicadores para o Microsoft Defender for Endpoint." Se uma entidade já for um indicador: "As seguintes entidades já são indicadores no Microsoft Defender para Ponto Final: {entity.identifier}" A ação deve falhar e parar a execução de um guia interativo: Se ocorrer um erro fatal, como credenciais incorretas, nenhuma ligação ao servidor, outro: "Erro ao executar a ação "Enviar indicadores de entidades". Motivo: {0}''.format(error.Stacktrace) Se o código de estado 403 for comunicado para todas as entidades: "Erro ao executar a ação "Enviar indicadores de entidades". Motivo: nenhum dos indicadores foi criado devido a autorizações da instância. Verifique a configuração. |
Geral |
Elimine indicadores de entidades
Elimine indicadores de entidades no Microsoft Defender para Ponto Final.
Parâmetros
N/A
É apresentado em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- URL
- Filehash
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Parede da caixa
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se o código de estado 204 for comunicado (is_success=true): "As seguintes entidades foram eliminadas com êxito como indicadores no Microsoft Defender para Ponto Final: {entity.identifier}. Se o incidente não for encontrado (is_success=true): "As seguintes entidades não existem como indicadores no Microsoft Defender for Endpoint: {entity.identifier}. A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Eliminar indicadores de entidades". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Indicadores de listas
Apresente indicadores no Microsoft Defender para Ponto Final.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Indicadores | CSV | N/A | Não | Especifique uma lista de indicadores separados por vírgulas que quer obter. |
| Tipos de indicadores | CSV | FileSha1,FileSha256,FileMd5,CertificateThumbprint,IpAddress,DomainName, Url | Não | Especifique uma lista separada por vírgulas dos tipos de indicadores que quer obter. Valores possíveis: FileSha1, FileSha256, FileMd5, CertificateThumbprint, IpAddress,DomainName, Url. |
| Ações | CSV | Warn,Block,Audit,Alert,AlertAndBlock,BlockAndRemediate,Allowed | Não | Especifique uma lista de ações de indicadores separadas por vírgulas que quer usar para filtrar. Valores possíveis: Warn,Block,Audit,Alert, AlertAndBlock,BlockAndRemediate,Allowed |
| Gravidade | CSV | Informativa,Baixa,Média,Alta | Não | Especifique uma lista de gravidades separada por vírgulas que quer usar para filtrar. Valores possíveis: Informational,Low,Medium,High |
| Máximo de resultados a devolver | Número inteiro | 50 | Não | Especifique o número de indicadores a devolver. |
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"id": "18",
"indicatorValue": "110e7d15b011d7fac48f2bd61114db1022197f7a",
"indicatorType": "FileSha1",
"action": "Audit",
"createdBy": "45e9773c-100e-4a9f-ad37-d8e182e9ed26",
"severity": "Informational",
"category": 1,
"application": "demo-test",
"educateUrl": null,
"bypassDurationHours": null,
"title": "test",
"description": "test",
"recommendedActions": "nothing",
"creationTimeDateTimeUtc": "2022-02-08T14:20:34.9071582Z",
"expirationTime": null,
"lastUpdateTime": "2022-02-08T14:20:34.9151307Z",
"lastUpdatedBy": null,
"rbacGroupNames": [],
"rbacGroupIds": [],
"notificationId": null,
"notificationBody": null,
"version": null,
"mitreTechniques": [],
"historicalDetection": false,
"lookBackPeriod": null,
"generateAlert": true,
"additionalInfo": null,
"createdByDisplayName": "Example Defender ATP",
"externalId": null,
"createdBySource": "PublicApi",
"certificateInfo": null
}
Parede da caixa
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se os dados estiverem disponíveis (is_success=true): "Foram encontrados indicadores com êxito para os critérios fornecidos no Microsoft Defender para Ponto Final.". Se os dados não estiverem disponíveis (is_success=false): "Não foram encontrados indicadores para os critérios fornecidos no Microsoft Defender para Ponto Final." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, nenhuma ligação ao servidor ou outro: "Erro ao executar a ação "List Indicators". Motivo: {0}''.format(error.Stacktrace) Se for fornecido um parâmetro "Tipos de indicadores" inválido: "Erro ao executar a ação "List Indicators". Motivo: valor inválido para o parâmetro "Indicator Types". Valores possíveis: FileSha1, FileSha256, FileMd5, CertificateThumbprint, IpAddress, DomainName, Url. Se for fornecido um parâmetro "Actions" inválido: "Erro ao executar a ação "List Indicators". Motivo: valor inválido para o parâmetro "Actions". Valores possíveis: Warn, Block, Audit, Alert, AlertAndBlock, BlockAndRemediate, Allowed. Se for fornecido um parâmetro "Gravidade" inválido: "Erro ao executar a ação "List Indicators". Motivo: valor inválido para o parâmetro "Actions". Valores possíveis: Informational, Low, Medium, High. |
Geral |
| Tabela de parede da caixa | Indicadores encontrados Tipo: indicatorType Ação: ação Gravidade: gravidade Descrição: descrição Título: título Recomendação: recommendedActions |
Entidade |
Conetores
Para ver instruções detalhadas sobre como configurar um conetor no Google SecOps, consulte o artigo Configurar o conetor.
Para configurar o conector selecionado, use os parâmetros específicos do conector indicados nas tabelas seguintes:
- Parâmetros de configuração do conetor do Microsoft Defender ATP
- Parâmetros de configuração do conetor do Microsoft Defender ATP v2
Conetor do Microsoft Defender ATP
A API SIEM do Defender ATP usada no conector do Microsoft Defender ATP para eventos foi descontinuada a 1 de março de 2022.
O conector liga-se periodicamente ao ponto final da API do Defender ATP e extrai uma lista de alertas gerados para um período específico. Para os alertas processados, o conector, num pedido separado, extrai as informações sobre as deteções do Defender ATP. As deteções têm um campo AlertId que pode ser usado para associar as deteções a alertas específicos.
Parâmetros do conetor
Use os seguintes parâmetros para configurar o conector:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | ProductName | Sim | Descreve o nome do campo onde o nome do produto está armazenado. |
| Nome do campo de evento | String | AlertName | Sim | Descreve o nome do campo onde o nome do evento está armazenado. |
| Nome do campo do ambiente | String | "" | Não | Descreve o nome do campo onde o nome do ambiente está armazenado. Se o campo de ambiente não for encontrado, o ambiente é "". |
| Padrão de regex do ambiente | String | .* | Não | Um padrão de expressão regular a executar no valor encontrado no campo A predefinição é .* para captar tudo e devolver o valor inalterado. Usado para permitir que o utilizador manipule o campo do ambiente através da lógica de expressão regular. Se o padrão de expressão regular for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é "". |
| Raiz da API | String | https://api.securitycenter.windows.com | Sim | URL raiz da API a usar com a integração. Para um melhor desempenho, pode usar um servidor mais próximo da sua localização:
|
| ID do Azure Active Directory | String | N/A | Sim | O ID do inquilino do Microsoft Entra pode ser visto em Active Directory > Registo de apps > A sua aplicação > ID do diretório (inquilino). |
| ID de cliente da integração | String | N/A | Sim | ID de cliente (aplicação) que é adicionado para o registo da app no Microsoft Entra para a integração. |
| Segredo do cliente de integração | Palavra-passe | N/A | Sim | Segredo introduzido para o registo da app do Azure AD para a integração. |
| ID de cliente do SIEM | String | N/A | Sim | ID (da aplicação) do cliente para a integração do SIEM ativada no Microsoft Defender for Endpoint. |
| Segredo do cliente do SIEM | Palavra-passe | N/A | Sim | Segredo para a integração do SIEM ativada no Microsoft Defender for Endpoint. |
| Tempo de desvio em horas | Número inteiro | 24 | Sim | Obter alertas de X horas anteriores. |
| Máximo de alertas por ciclo | Número inteiro | 100 | Sim | O número de alertas processados durante uma execução do conector. |
| Estados de alerta a obter | String | Desconhecido, novo, em curso, resolvido | Sim | Especifique os estados dos alertas do Defender ATP que devem ser obtidos pelo servidor do Google SecOps. O parâmetro pode assumir vários valores como uma string separada por vírgulas. |
| Gravidades de alertas a obter | String | UnSpecified, Informational, Low, Medium, High | Sim | Especifique as gravidades dos alertas do Defender ATP que devem ser obtidos pelo servidor do Google SecOps. O parâmetro pode assumir vários valores como uma string separada por vírgulas. |
| Endereço do servidor proxy | IP_OR_HOST | N/A | Não | Servidor proxy a usar para a ligação. |
| Nome de utilizador do servidor proxy | String | N/A | Não | Nome de utilizador do servidor proxy. |
| Palavra-passe do servidor proxy | Palavra-passe | N/A | Não | Palavra-passe do servidor proxy. |
Regras de conector
O conetor não suporta regras de listas de bloqueio nem listas dinâmicas.
O conetor suporta proxies.
Conetor do Microsoft Defender ATP V2
Obtenha os alertas do Defender ATP através da API de incidentes do Microsoft 365 Defender para aceder aos
dados de eventos. Use a lista dinâmica do conetor para carregar apenas tipos específicos de alertas com base no valor do atributo detectionSource do alerta.
O atributo SourceGroupIdentifier do conetor pode ser usado para agrupar alertas com base no ID do incidente do Defender ATP.
Pré-requisitos
Antes de configurar o conetor, certifique-se de que concede autorizações adicionais à sua aplicação Microsoft Entra:
Inicie sessão no portal do Azure como administrador de utilizadores ou administrador de palavras-passe.
Selecione Microsoft Entra ID.
Aceda a Autorizações da API > Adicionar uma autorização > APIs que a minha organização usa.
Selecione Microsoft Threat Protection > Autorizações de aplicações.
Na secção Selecionar autorizações, selecione as seguintes autorizações obrigatórias:
Incident.Read.AllIncident.ReadWrite.All
Clique em Adicionar autorizações.
Clique em Conceder consentimento de administrador para
YOUR_ORGANIZATION_NAME.
Parâmetros do conetor
Use os seguintes parâmetros para configurar o conector:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | :: | Sim | Descreve o nome do campo onde o nome do produto está armazenado. |
| Nome do campo de evento | String | EventName | Sim | Descreve o nome do campo onde o nome do evento está armazenado. |
| Nome do campo do ambiente | String | "" | Não | Descreve o nome do campo onde o nome do ambiente está armazenado. Se o campo de ambiente não for encontrado, o ambiente é "". |
| Padrão de regex do ambiente | String | .* | Não | Um padrão de expressão regular a executar no valor encontrado no campo A predefinição é .* para captar tudo e devolver o valor inalterado. Usado para permitir que o utilizador manipule o campo do ambiente através da lógica de expressão regular. Se o padrão de expressão regular for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é "". |
| Raiz da API do Defender ATP | String | https://api.securitycenter.windows.com | Sim | URL raiz da API a usar com a integração Para um melhor desempenho, pode usar um servidor mais próximo da sua localização:
|
| Raiz da API 365 Defender | String | https://api.security.microsoft.com | Sim | Raiz da API da instância do Microsoft 365 Defender usada para obter os dados de eventos do Google SecOps. |
| ID do Azure Active Directory | String | N/A | Sim | ID do inquilino do Microsoft Entra que pode encontrar em Microsoft Entra > Registo de apps > A sua aplicação > ID do diretório (inquilino). |
| ID de cliente da integração | String | N/A | Sim | ID de cliente (aplicação) que é adicionado para o registo da app no Microsoft Entra para a integração. |
| Segredo do cliente de integração | Palavra-passe | N/A | Sim | Segredo introduzido para o registo da app do Azure AD para a integração. |
| Validar SSL | Caixa de verificação | Marcado | Sim | Se estiver ativada, valida se o certificado SSL para a ligação ao servidor do Microsoft 365 Defender é válido. |
| Tempo de desvio em horas | Número inteiro | 24 | Sim | Obter alertas de X horas anteriores. |
| Máximo de alertas por ciclo | Número inteiro | 10 | Sim | O número de alertas processados durante uma execução do conector. |
| Estados de alerta a obter | String | Desconhecido, novo, em curso, resolvido | Sim | Especifique os estados dos alertas do Defender ATP que devem ser obtidos pelo servidor do Google SecOps. O parâmetro pode assumir vários valores como uma string separada por vírgulas. |
| Gravidades de alertas a obter | String | UnSpecified, Informational, Low, Medium, High | Sim | Especifique as gravidades dos alertas do Defender ATP que devem ser obtidas pelo servidor do Google SecOps. O parâmetro pode assumir vários valores como uma string separada por vírgulas. |
| Desative o Overflow | Caixa de verificação | Desmarcado | Não | Se estiver ativado, o conetor ignora o mecanismo de overflow. |
| Limite de tempo do script | Número inteiro | 300 | Sim | Especifique o limite de tempo para a execução do conetor. |
| Use a lista de autorizações como uma lista negra | Caixa de verificação | Desmarcado | Não | Se estiver ativada, a lista dinâmica é usada como uma lista de bloqueios. |
| Endereço do servidor proxy | IP_OR_HOST | N/A | Não | Servidor proxy a usar para a ligação. |
| Nome de utilizador do servidor proxy | String | N/A | Não | Nome de utilizador do servidor proxy. |
| Palavra-passe do servidor proxy | Palavra-passe | N/A | Não | Palavra-passe do servidor proxy. |
Regras de conector
O conetor suporta uma lógica de lista dinâmica baseada no valor do campo de alerta do detectionSourceDefender ATP.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.