Microsoft Graph Security
このドキュメントでは、Microsoft Graph セキュリティ API を Google Security Operations(Google SecOps)と統合する方法について説明します。
統合バージョン: 20.0
このドキュメントでは、Microsoft Graph セキュリティ API について説明します。Google SecOps プラットフォームでは、Microsoft Graph Security API の統合は Microsoft Graph Security と呼ばれます。
始める前に
Google SecOps プラットフォームで統合を構成する前に、次の手順を完了します。
Microsoft Entra アプリを作成します。
アプリケーションの API 権限を構成します。
クライアント シークレットを作成します。
Microsoft Entra アプリケーションを作成する
Microsoft Entra アプリケーションを作成するには、次の操作を行います。
ユーザー管理者またはパスワード管理者として Azure ポータルにログインします。
[Microsoft Entra ID] を選択します。
[App registrations] > [New registration] に移動します。
アプリケーションの名前を入力します。
[リダイレクト URI] フィールドに「
http://localhost/」と入力します。[Register] をクリックします。
アプリケーション(クライアント)ID とディレクトリ(テナント)ID の値を保存します。これらの値は、後で統合パラメータを構成する際に使用します。
API 権限を構成する
統合の API 権限を構成する手順は次のとおりです。
Azure ポータルで、[API 権限] > [権限を追加] に移動します。
[Microsoft Graph > アプリケーションのアクセス許可] を選択します。
[アクセス許可の選択] セクションで、次の必須のアクセス許可を選択します。
User.ReadWrite.AllMail.ReadDirectory.ReadWrite.AllDirectory.AccessAsUser.AllSecurityEvents.ReadWrite.AllSecurityEvents.Read.All
[権限を追加] をクリックします。
[
YOUR_ORGANIZATION_NAMEに管理者の同意を与えます] をクリックします。[管理者の同意を得る] 確認ダイアログが表示されたら、[はい] をクリックします。
クライアント シークレットを作成する
クライアント シークレットを作成するには、次の操作を行います。
[証明書とシークレット] > [新しいクライアント シークレット] に移動します。
クライアント シークレットの説明を入力し、有効期限を設定します。
[追加] をクリックします。
クライアント シークレットの値(シークレット ID ではない)を保存し、統合の構成時に シークレット ID パラメータ値として使用します。クライアント シークレットの値は 1 回だけ表示されます。
Microsoft Graph Security API を Google SecOps と統合する
統合には次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Client ID |
必須 統合で使用する Microsoft Entra アプリケーションのクライアント(アプリケーション)ID。 |
Secret ID |
Optional 統合で使用する Microsoft Entra アプリケーションのクライアント シークレット値。 |
Certificate Path |
Optional クライアント シークレットではなく証明書に基づく認証を使用する場合は、Google SecOps サーバー上の証明書のパスを入力します。 |
Certificate Password |
Optional 使用する認証証明書がパスワードで保護されている場合は、証明書ファイルを開くためのパスワードを指定します。 |
Tenant |
必須 Microsoft Entra ID(テナント ID)の値。 |
Use V2 API |
Optional 有効にすると、コネクタは V2 API エンドポイントを使用します。注: アラートとイベントの構造は変更されます。 |
Google SecOps で統合を構成する手順については、統合を構成するをご覧ください。
必要に応じて、後の段階で変更できます。統合インスタンスを構成すると、ハンドブックで使用できるようになります。複数のインスタンスの構成とサポートの詳細については、複数のインスタンスのサポートをご覧ください。
操作
アクションについて詳しくは、デスクから保留中のアクションに対応すると手動アクションを実行するをご覧ください。
アラートのコメントを追加する
アラート コメントの追加アクションを使用して、Microsoft Graph のアラートにコメントを追加します。
このアクションは Google SecOps エンティティに対しては実行されません。
アクション入力
[Add Alert Comment] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Alert ID |
必須 更新するアラートの ID。 |
Comment |
必須 アラートのコメント。 |
アクションの出力
[アラートのコメントを追加] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
出力メッセージ
[アラートのコメントを追加] アクションは、次の出力メッセージを返すことがあります。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Add Alert Comment". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、[アラート コメントを追加] アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
管理者の同意を取得する
[管理者による同意を取得] アクションを使用して、Azure ポータルでアプリケーションに権限を付与します。
このアクションは、すべての Google SecOps エンティティに対して実行されます。
アクション入力
[Get Administrator Consent] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Redirect URL |
必須 Azure ポータルで登録したときに使用したリダイレクト URL。 |
アクションの出力
[Get Administrator Consent] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| スクリプトの結果 | 利用可能 |
スクリプトの結果
次の表に、[管理者による同意を取得] アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_connected |
True または False |
アラートを取得する
[アラートを取得] アクションを使用して、アラート ID を使用してアラートのプロパティと関係を取得します。
このアクションは、すべての Google SecOps エンティティに対して実行されます。
アクション入力
[アラートを取得] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Alert ID |
必須 詳細情報を取得するアラートの ID。 |
アクションの出力
[アラートを取得] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、アラートを取得アクションを使用した場合に受信する JSON 結果の出力を示しています。
{
"feedback": "@odata.type: microsoft.graph.alertFeedback",
"recommendedActions": ["String"],
"networkConnections":
[{
"applicationName": "String",
"natDestinationPort": "String",
"destinationAddress": "String",
"localDnsName": "String",
"natDestinationAddress": "String",
"destinationUrl": "String",
"natSourceAddress": "String",
"sourceAddress": "String",
"direction": "@odata.type: microsoft.graph.connectionDirection",
"domainRegisteredDateTime": "String (timestamp)",
"status": "@odata.type: microsoft.graph.connectionStatus",
"destinationDomain": "String",
"destinationPort": "String",
"sourcePort": "String",
"protocol": "@odata.type: microsoft.graph.securityNetworkProtocol",
"natSourcePort": "String",
"riskScore": "String",
"urlParameters": "String"
}],
"cloudAppStates":
[{
"destinationServiceIp": "String",
"riskScore": "String",
"destinationServiceName": "String"
}],
"detectionIds": ["String"],
"id": "String (identifier)",
"category": "String",
"fileStates":
[{
"path": "String",
"riskScore": "String",
"name": "String",
"fileHash":
{
"hashType": "@odata.type: microsoft.graph.fileHashType",
"hashValue": "String"
}
}],
"severity": "@odata.type: microsoft.graph.alertSeverity",
"title": "String",
"sourceMaterials": ["String"],
"comments": ["String"],
"assignedTo": "String",
"eventDateTime": "String (timestamp)",
"activityGroupName": "String",
"status": "@odata.type: microsoft.graph.alertStatus",
"description": "String",
"tags": ["String"],
"confidence": 1024,
"vendorInformation":
{
"providerVersion": "String",
"vendor": "String",
"subProvider": "String",
"provider": "String"
},
"userStates":
[{
"emailRole": "@odata.type: microsoft.graph.emailRole",
"logonId": "String",
"domainName": "String",
"onPremisesSecurityIdentifier": "String",
"userPrincipalName": "String",
"userAccountType": "@odata.type: microsoft.graph.userAccountSecurityType",
"logonIp": "String",
"logonDateTime": "String (timestamp)",
"logonType": "@odata.type: microsoft.graph.logonType",
"logonLocation": "String",
"aadUserId": "String",
"accountName": "String",
"riskScore": "String",
"isVpn": "true"
}],
"malwareStates":
[{
"category": "String",
"wasRunning": "true",
"name": "String",
"family": "String",
"severity": "String"
}],
"processes":
[{
"processId": 1024,
"integrityLevel": "@odata.type: microsoft.graph.processIntegrityLevel",
"name": "String",
"fileHash":
{
"hashType": "@odata.type: microsoft.graph.fileHashType",
"hashValue": "String"
},
"parentProcessId": 1024,
"createdDateTime": "String (timestamp)",
"commandLine": "String",
"parentProcessName": "String",
"accountName": "String",
"isElevated": "true",
"path": "String",
"parentProcessCreatedDateTime": "String (timestamp)"
}],
"azureTenantId": "String",
"triggers":
[{
"type": "String",
"name": "String",
"value": "String"
}],
"createdDateTime": "String (timestamp)",
"vulnerabilityStates":
[{
"cve": "String",
"severity": "String",
"wasRunning": "true"
}],
"hostStates":
[{
"isAzureAadRegistered": "true",
"riskScore": "String",
"fqdn": "String",
"isHybridAzureDomainJoined": "true",
"netBiosName": "String",
"publicIpAddress": "String",
"isAzureAadJoined": "true",
"os": "String",
"privateIpAddress": "String"
}],
"lastModifiedDateTime": "String (timestamp)",
"registryKeyStates":
[{
"processId": 1024,
"oldKey": "String",
"oldValueName": "String",
"valueType": "@odata.type: microsoft.graph.registryValueType",
"oldValueData": "String",
"hive": "@odata.type: microsoft.graph.registryHive",
"valueData": "String",
"key": "String",
"valueName": "String",
"operation": "@odata.type: microsoft.graph.registryOperation"
}],
"closedDateTime": "String (timestamp)",
"azureSubscriptionId": "String"
}
スクリプトの結果
次の表に、アラートを取得アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
alert_details |
True または False |
インシデントを取得する
インシデントを取得アクションを使用して、インシデント ID を使用してセキュリティ インシデントの詳細を取得します。
このアクションは Google SecOps エンティティに対しては実行されません。
アクション入力
[インシデントを取得] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Incident ID |
必須 詳細情報を取得するインシデントの ID。 |
アクションの出力
[インシデントを取得] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
出力メッセージ
インシデントを取得アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Get Incident". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、インシデントを取得アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
ユーザー セッションを終了する
ユーザー セッションの終了アクションを使用すると、signInSessionsValidFromDateTime ユーザー プロパティが現在の日時にリセットされ、ユーザーのアプリケーションに発行されたすべての更新トークンが無効になります。
このアクションは、すべての Google SecOps エンティティに対して実行されます。
アクション入力
[Kill User Session] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
userPrincipalName| ID |
必須 Microsoft Entra ID で使用されるユーザー名またはユーザーの一意の ID 値。 |
アクションの出力
[Kill User Session] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| スクリプトの結果 | 利用可能 |
スクリプトの結果
次の表に、[ユーザー セッションを終了] アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
アラートの一覧表示
アラートを一覧表示アクションを使用して、Microsoft Graph で使用可能なアラートを一覧表示します。
このアクションは、すべての Google SecOps エンティティに対して実行されます。
フィルタリング プロセスは Microsoft Graph API 側で行われます。Microsoft Graph にアラートを公開し、フィルタリングをサポートしていないプロダクトの場合、Microsoft Graph は、アラートがフィルタを通過したかのように、すべてのアラートをレスポンスに追加します。
アクション入力
アラートを一覧表示アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Filter Key |
Optional アラートのフィルタリングに使用する必要があるキーを指定します。注: V2 API では「タイトル」オプションはサポートされていません。 |
Filter Logic |
Optional 適用するフィルタ ロジック。 フィルタ ロジックは 値は次のいずれかになります。
デフォルト値は |
Filter Value |
Optional フィルタで使用する値。
値を設定しない場合、フィルタは適用されません。 フィルタ ロジックは |
Max Records To Return |
Optional アクション実行ごとに返されるレコードの数。 デフォルト値は 50 です。 |
アクションの出力
[アラートを一覧表示] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、[アラートを一覧表示] アクションを使用したときに受信した JSON 結果の出力を示しています。
{
"id": "ID",
"azureTenantId": "TENANT_ID",
"azureSubscriptionId": null,
"riskScore": null,
"tags": [],
"activityGroupName": null,
"assignedTo": null,
"category": "ImpossibleTravel",
"closedDateTime": null,
"comments": [],
"confidence": null,
"createdDateTime": "2022-04-29T13:10:59.705Z",
"description": "Sign-in from an atypical location based on the user's recent sign-ins",
"detectionIds": [],
"eventDateTime": "2022-04-29T11:36:59.1520667Z",
"feedback": null,
"incidentIds": [],
"lastEventDateTime": null,
"lastModifiedDateTime": "2022-04-30T14:44:43.4742002Z",
"recommendedActions": [],
"severity": "medium",
"sourceMaterials": [],
"status": "newAlert",
"title": "Atypical travel",
"vendorInformation": {
"provider": "IPC",
"providerVersion": null,
"subProvider": null,
"vendor": "Microsoft"
},
"alertDetections": [],
"cloudAppStates": [],
"fileStates": [],
"hostStates": [],
"historyStates": [],
"investigationSecurityStates": [],
"malwareStates": [],
"messageSecurityStates": [],
"networkConnections": [],
"processes": [],
"registryKeyStates": [],
"securityResources": [],
"triggers": [],
"userStates": [
{
"aadUserId": "b786d3cf-e97d-4511-b61c-0559e9f4da75",
"accountName": "example.user",
"domainName": "example.com",
"emailRole": "unknown",
"isVpn": null,
"logonDateTime": "2022-04-29T11:36:59.1520667Z",
"logonId": null,
"logonIp": "203.0.113.194",
"logonLocation": "1800 Amphibious Blvd, Mountain View, CA 94045",
"logonType": null,
"onPremisesSecurityIdentifier": null,
"riskScore": null,
"userAccountType": null,
"userPrincipalName": "example.user@example.com"
},
{
"aadUserId": "b786d3cf-e97d-4511-b61c-0559e9f4da75",
"accountName": "example.user",
"domainName": "example.com",
"emailRole": "unknown",
"isVpn": null,
"logonDateTime": "2022-04-29T11:15:00Z",
"logonId": null,
"logonIp": "192.0.2.160",
"logonLocation": "ES",
"logonType": null,
"onPremisesSecurityIdentifier": null,
"riskScore": null,
"userAccountType": null,
"userPrincipalName": "example.user@example.com"
}
],
"uriClickSecurityStates": [],
"vulnerabilityStates": []
}
出力メッセージ
アラートを一覧表示アクションは、次の出力メッセージを返すことがあります。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "List Alerts". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、[アラートを一覧表示] アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
alerts_details |
ALERT_DETAILS |
インシデントの一覧表示
インシデントを一覧表示アクションを使用して、指定された条件に基づいて Microsoft Graph からセキュリティ インシデントを一覧表示します。
このアクションは Google SecOps エンティティに対しては実行されません。
アクション入力
[インシデントを一覧表示] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Filter Key |
Optional アラートのフィルタリングに使用する必要があるキーを指定します。注: V2 API では「タイトル」オプションはサポートされていません。 |
Filter Logic |
Optional 適用するフィルタ ロジック。 フィルタ ロジックは 値は次のいずれかになります。
デフォルト値は |
Filter Value |
Optional フィルタで使用する値。
値を設定しない場合、フィルタは適用されません。 フィルタ ロジックは |
Max Records To Return |
Optional アクション実行ごとに返されるレコードの数。 デフォルト値は 50 です。 |
アクションの出力
[インシデントを一覧表示] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
出力メッセージ
[List Incidents] アクションは、次の出力メッセージを返すことがあります。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "List Incidents". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、インシデントを一覧表示アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
Ping
Ping アクションを使用して、Microsoft Graph への接続をテストします。
このアクションは Google SecOps エンティティに対しては実行されません。
アクション入力
なし
アクションの出力
[Ping] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| スクリプトの結果 | 利用可能 |
スクリプトの結果
次の表に、Ping アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
アラートを更新
編集可能なアラート プロパティを更新するには、[アラートを更新] アクションを使用します。
このアクションは、すべての Google SecOps エンティティに対して実行されます。
アクション入力
[アラートを更新] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Alert ID |
必須
更新するアラートの ID。 |
Assigned To |
省略可 トリアージ、調査、修復のためにアラートが割り当てられているアナリストの名前。 |
Closed Date Time |
省略可 アラートがクローズされた時刻。Timestamp 型は、ISO 8601 形式を使用して日時情報を表し、常に UTC 時間で表されます。たとえば、2014 年 1 月 1 日午前 0 時(UTC)は「2014-01-01T00:00:00Z」となります。注: このパラメータは、API の V2 バージョンではサポートされていません。 |
Comments |
省略可 アラートに関するアナリストのコメント(顧客アラート管理用)。カンマで区切ります。このメソッドでコメント フィールドを更新できるのは、次の値のみです。Closed in IPC、Closed in MCAS。注: API の V2 バージョンでは、このパラメータは文字列として機能し、アラートに 1 つのコメントが追加されます。 |
Feedback |
省略可 アラートに関するアナリストのフィードバック。有効な値は、unknown、truePositive、falsePositive、benignPositive です。注: API の V2 バージョンでは、このパラメータは「classification」にマッピングされ、unknown、falsePositive、truePositive、informationalExpectedActivity、unknownFutureValue のいずれかの値をとります。 |
Status |
省略可 アラートのライフサイクル ステータス。 使用できる値は次のとおりです。
|
Tags |
省略可 アラートに適用できるユーザー定義のラベル。カンマで区切ります。注: このパラメータは、API の V2 バージョンではサポートされていません。 |
アクションの出力
[アラートを更新] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| スクリプトの結果 | 利用可能 |
スクリプトの結果
次の表に、アラートの更新アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_updated |
True または False |
コネクタ
Google SecOps でコネクタを構成する手順については、データを取り込む(コネクタ)をご覧ください。
Microsoft Graph Security コネクタ
Microsoft Graph Security コネクタを使用して、Microsoft Graph Security API で公開されているアラートを Google SecOps アラートとして取り込みます。コネクタは、Microsoft Graph セキュリティ エンドポイントに定期的に接続し、特定の期間に生成されたインシデントのリストを取得します。
Microsoft Graph Security コネクタには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Product Field Name |
必須 商品名が保存されるフィールドの名前。 デフォルト値は |
Event Field Name |
必須 イベント名(サブタイプ)を特定するために使用されるフィールド名。 デフォルト値は |
Script Timeout (Seconds) |
必須 現在のスクリプトを実行している Python プロセスのタイムアウト上限(秒単位)。 デフォルト値は 30 秒です。 |
Environment Field Name |
省略可 環境名が保存されるフィールドの名前。 環境フィールドが見つからない場合、環境は |
Pattern |
省略可
デフォルト値 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果は |
Client ID |
必須 統合で使用する Microsoft Entra アプリケーションのクライアント(アプリケーション)ID。 |
Client Secret |
Optional 統合で使用する Microsoft Entra アプリケーションのクライアント シークレット値。 |
Certificate Path |
Optional クライアント シークレットではなく証明書に基づく認証を使用する場合は、Google SecOps サーバー上の証明書のパスを入力します。 |
Certificate Password |
Optional 使用する認証証明書がパスワードで保護されている場合は、証明書ファイルを開くためのパスワードを指定します。 |
Azure Active Directory ID |
必須 Microsoft Entra ID(テナント ID)の値。 |
Offset Time In Hours |
必須
アラートを取得する時点までの時間数。 デフォルト値は 120 時間です。 |
Fetch Alerts only from |
省略可 Microsoft Graph からアラートを取得するプロバイダのカンマ区切りのリスト。[Fetch Alerts only from] パラメータを [Office 365 Security and Compliance] に設定すると、コネクタは [Alert Statuses to fetch] パラメータまたは [Alert Severities to fetch] パラメータの複数の値をサポートしません。[V2 API を使用する] が有効になっている場合、このパラメータはアラートの serviceSource プロパティと連携します。 |
Alert Statuses to fetch |
必須
取得する Google SecOps サーバーのアラート ステータスのカンマ区切りのリスト。 指定できる値は、 |
Alert Severities to fetch |
必須
取得する Google SecOps サーバーのアラート重大度のカンマ区切りリスト。 指定できる値は |
Max Alerts Per Cycle |
省略可 1 回のコネクタの反復処理で処理するアラートの最大数。 デフォルト値は 50 です。 |
Proxy Server Address |
Optional 使用するプロキシ サーバーのアドレス。 |
Proxy Username |
Optional 認証に使用するプロキシのユーザー名。 |
Proxy Password |
Optional 認証に使用するプロキシ パスワード。 |
Use V2 API |
Optional 有効にすると、コネクタは V2 API エンドポイントを使用します。注: アラートとイベントの構造は変更されます。また、[Fetch Alerts only from] パラメータには異なる値を指定する必要があります。 |
コネクタルール
コネクタは、動的リストまたはブロックリストのルールをサポートしていません。
コネクタはプロキシをサポートしています。
Microsoft Graph Office 365 Security and Compliance コネクタ
Microsoft Graph Office 365 Security and Compliance Connector を使用して、Microsoft Graph API を使用して Office 365 Security and Compliance アラートを取り込みます。
Microsoft Graph Office 365 Security and Compliance Connector には、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Product Field Name |
必須 商品名が保存されるフィールドの名前。 デフォルト値は |
Event Field Name |
必須 イベント名(サブタイプ)を特定するために使用されるフィールド名。 デフォルト値は |
Script Timeout (Seconds) |
必須 現在のスクリプトを実行している Python プロセスのタイムアウト上限(秒単位)。 デフォルト値は 30 秒です。 |
Environment Field Name |
省略可 環境名が保存されるフィールドの名前。 環境フィールドが見つからない場合、環境は |
Environment Regex Pattern |
省略可
デフォルト値 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果は |
Client ID |
必須 統合で使用する Microsoft Entra アプリケーションのクライアント(アプリケーション)ID。 |
Client Secret |
Optional 統合で使用する Microsoft Entra アプリケーションのクライアント シークレット値。 |
Certificate Path |
Optional クライアント シークレットではなく証明書に基づく認証を使用する場合は、Google SecOps サーバー上の証明書のパスを入力します。 |
Certificate Password |
Optional 使用する認証証明書がパスワードで保護されている場合は、証明書ファイルを開くためのパスワードを指定します。 |
Azure Active Directory ID |
必須 Microsoft Entra ID(テナント ID)の値。 |
Verify SSL |
Optional 選択すると、統合によって Microsoft Graph サーバーへの接続用の SSL 証明書が有効かどうかが確認されます。 デフォルトで選択されています。 |
Offset Time In Hours |
必須
アラートを取得する時点までの時間数。 デフォルト値は 120 時間です。 |
Alert Statuses to fetch |
省略可 取得する Google SecOps サーバーのアラート ステータスのカンマ区切りのリスト。 指定できる値は、 |
Alert Severities to fetch |
省略可 取得する Google SecOps サーバーのアラート重大度のカンマ区切りリスト。 指定できる値は |
Max Alerts Per Cycle |
必須
1 回のコネクタの反復処理で処理するアラートの最大数。 デフォルト値は 50 です。 |
Proxy Server Address |
Optional 使用するプロキシ サーバーのアドレス。 |
Proxy Username |
Optional 認証に使用するプロキシのユーザー名。 |
Proxy Password |
Optional 認証に使用するプロキシ パスワード。 |
コネクタルール
コネクタは、動的リストまたはブロックリストのルールをサポートしていません。
コネクタはプロキシをサポートしています。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。