Integra Active Directory con Google SecOps

En este documento, se explica cómo integrar Active Directory en Google Security Operations (Google SecOps).

Versión de integración: 37.0

Esta integración usa uno o más componentes de código abierto. Puedes descargar una copia comprimida del código fuente completo de esta integración desde el bucket de Cloud Storage.

Casos de uso

La integración de Active Directory puede ayudarte a resolver los siguientes casos de uso:

• Activa y desactiva usuarios: Usa las capacidades de Google SecOps para desactivar una cuenta de usuario que podría estar comprometida y evitar más accesos no autorizados.

• Restablece contraseñas: Usa las capacidades de SecOps de Google para restablecer automáticamente la contraseña del usuario en Active Directory y notificarle el cambio.

• Administra grupos: Usa las capacidades de SecOps de Google para agregar usuarios nuevos a los grupos de seguridad adecuados según su rol y asegúrate de que los usuarios tengan los permisos de acceso correctos.

• Recuperar información del usuario: Usa las capacidades de SecOps de Google para recuperar detalles del usuario, como membresías de grupos, hora del último acceso y la información de contacto de una cuenta de usuario específica.

• Automatiza la desvinculación: Usa las capacidades de SecOps de Google para inhabilitar cuentas, quitarlas de grupos y transferir la propiedad de archivos en el caso de que un empleado se desvincule.

Antes de comenzar

Para integrar correctamente Active Directory con Google SecOps, debes configurar el archivo /etc/hosts.

Si tienes configurada la resolución de DNS con tu configuración de DNS y tu dominio de Active Directory se resuelve con el nombre de DNS completamente calificado, no necesitas configurar el archivo /etc/hosts.

Configura el archivo /etc/hosts

Para configurar el archivo /etc/hosts, completa los siguientes pasos:

1. En la imagen de contenedor del agente remoto, ve al archivo /etc/hosts.

2. Ingresa el siguiente comando para editar el archivo /etc/hosts: sudo vi /etc/hosts/.

3. En el archivo /etc/hosts, agrega la dirección IP y el nombre de host del host que usas para conectarte a Active Directory, como 192.0.2.195 hostname.example.

4. Guarda los cambios.

Si no necesitas el certificado de la autoridad de certificación para la integración, continúa con la configuración de los parámetros de integración.

Si necesitas el certificado de la autoridad de certificación para la integración, continúa con la siguiente sección.

Opcional: Configura el certificado de la autoridad certificadora (CA)

Si es necesario, puedes configurar la integración de Active Directory con un archivo de certificado de autoridad certificadora (CA).

Para configurar la integración con un certificado de CA, completa los siguientes pasos:

1. Para obtener el certificado de CA, ingresa el comando cat mycert.crt:

   bash-3.2# cat mycert.crt
   -----BEGIN CERTIFICATE-----
   CERTIFICATE_STRING
   -----END CERTIFICATE-----
   bash-3.2#
   

2. Para codificar el archivo del certificado de CA raíz en formato base64 con las cadenas -----BEGIN CERTIFICATE----- y -----END CERTIFICATE-----, ingresa el comando cat mycert.crt |base64:

   bash-3.2# cat mycert.crt |base64
   BASE64_ENCODED_CERTIFICATE_STRING
   bash-3.2#
   

3. Copia el valor de BASE64_ENCODED_CERTIFICATE_STRING y, luego, ingrésalo en el campo de valor del parámetro CA Certificate File - parsed into Base64 String en la configuración de integración de Google SecOps Active Directory.

4. Para configurar el parámetro Server de la configuración de integración de Active Directory de Google SecOps, ingresa el nombre de host de tu servidor de Active Directory, no la dirección IP.

5. Haz clic en Probar para probar la configuración.

Integra Active Directory con Google SecOps

La integración de Active Directory requiere los siguientes parámetros:

Si quieres obtener instrucciones para configurar una integración en Google SecOps, consulta Configura integraciones.

Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en las guías. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Compatibilidad con varias instancias.

Acciones

Para obtener más información sobre las acciones, consulta Cómo responder a las acciones pendientes desde Tu escritorio y Cómo realizar una acción manual.

Agregar usuario al grupo

Usa la acción Add User to Group para agregar usuarios a grupos.

Esta acción se ejecuta en la entidad User de Google SecOps.

Entradas de acción

La acción Add User to Group requiere los siguientes parámetros:

Resultados de la acción

La acción Add User to Group proporciona los siguientes resultados:

Mensajes de salida

La acción Add User to Group puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Add User to Group:

Cambiar la UO del host

Usa la acción Change Host OU para cambiar la unidad organizativa (UO) de un host.

Esta acción se ejecuta en la entidad Hostname de Google SecOps.

Entradas de acción

La acción Change Host OU requiere los siguientes parámetros:

Resultados de la acción

La acción Change Host OU proporciona los siguientes resultados:

Resultado de secuencia de comandos

En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Change Host OU:

Cambiar la UO del usuario

Usa la acción Change User OU para cambiar la unidad organizativa (UO) de un usuario.

Esta acción se ejecuta en la entidad User de Google SecOps.

Entradas de acción

La acción Change User OU requiere los siguientes parámetros:

Resultados de la acción

La acción Change User OU proporciona los siguientes resultados:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Change User OU:

Inhabilitar cuenta

Usa la acción Disable Account para inhabilitar una cuenta de usuario.

Esta acción se ejecuta en la entidad User de Google SecOps.

Entradas de acción

Ninguno

Resultados de la acción

La acción Disable Account proporciona los siguientes resultados:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Disable Account:

Inhabilitar la computadora

Usa la acción Inhabilitar computadora para inhabilitar una cuenta de computadora.

Esta acción se ejecuta en la entidad Hostname de Google SecOps.

Entradas de acción

Ninguno

Resultados de la acción

La acción Disable Computer proporciona los siguientes resultados:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Disable Computer:

Habilitar cuenta

Usa la acción Habilitar cuenta para habilitar una cuenta de usuario.

Esta acción se ejecuta en la entidad User de Google SecOps.

Entradas de acción

Ninguno

Resultados de la acción

La acción Enable Account proporciona los siguientes resultados:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Enable Account:

Habilitar la computadora

Usa la acción Habilitar computadora para habilitar una cuenta de computadora.

Esta acción se ejecuta en la entidad Hostname de Google SecOps.

Entradas de acción

Ninguno

Resultados de la acción

La acción Enable Computer proporciona los siguientes resultados:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Enable Computer:

Enriquece entidades

Usa la acción Enrich Entities para enriquecer las entidades Hostname o Username con propiedades de Active Directory.

Esta acción es asíncrona. Si es necesario, ajusta el valor de tiempo de espera del script en el IDE de Google SecOps para la acción.

La acción Enrich Entities se ejecuta en las siguientes entidades de Google SecOps:

• User
• Hostname

Entradas de acción

La acción Enrich Entities requiere los siguientes parámetros:

Resultados de la acción

La acción Enrich Entities proporciona los siguientes resultados:

Enriquecimiento de entidades

La acción Enrich Entities admite el siguiente enriquecimiento de entidades:

Resultado de JSON

En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Enrich Entities:

[
    {
        "EntityResult": {
            "primaryGroupID": [513],
            "logonCount": [6505],
            "cn": ["user name"],
            "countryCode": [0],
            "objectClass": ["top", "person", "organizationalPerson"],
            "userPrincipalName": ["user@example.com"],
            "adminCount": [1],
            "lastLogonTimestamp": ["2019-01-09 08:42:03.540783+00:00"],
            "manager": ["CN=user name,OU=R&D,OU=TLV,OU=host name,DC=domain,DC=LOCAL"],
            "instanceType": [4],
            "distinguishedName": ["CN=user name,OU=R&D,OU=TLV,OU=host,DC=domain,DC=LOCAL"],
            "dSCorePropagationData": ["2019-01-14 14:39:16+00:00"],
            "msDS-SupportedEncryptionTypes": [0],
            "objectSid": ["ID"],
            "whenCreated": ["2011-11-07 08:00:44+00:00"],
            "uSNCreated": [7288202],
            "lockoutTime": ["1601-01-01 00:00:00+00:00"],
            "badPasswordTime": ["date"],
            "pwdLastSet": ["date"],
            "sAMAccountName": ["example"],
            "objectCategory": ["CN=Person,CN=Schema,CN=Configuration,DC=host,DC=LOCAL"],
            "lastLogon": ["2019-01-14 17:13:54.463070+00:00"],
            "objectGUID": ["GUID"],
            "whenChanged": ["2019-01-14 16:49:01+00:00"],
            "badPwdCount": [1],
            "accountExpires": ["9999-12-31 23:59:59.999999"],
            "displayName": ["example user"],
            "name": ["user"],
            "memberOf": ["CN=\\\\u05e7\\\\u05d1\\\\u05d5\\\\u05e6\\\\u05d4 \\\\u05d1\\\\u05e2\\\\u05d1\\\\u05e8\\\\u05d9\\\\u05ea,OU=TEST,OU=QA,OU=IT,OU=TLV,OU=host,DC=domain,DC=LOCAL", "CN=Organization Management,OU=Microsoft Exchange Security Groups,DC=domain,DC=LOCAL", "CN=Local Admin,OU=Groups,OU=IT,OU=TLV,OU=host,DC=domain,DC=LOCAL"],
            "codePage": [0],
            "userAccountControl": [111],
            "sAMAccountType": [805306368],
            "uSNChanged": [15301168],
            "sn": ["example"],
            "givenName": ["user"],
            "lastLogoff": ["1601-01-01 00:00:00+00:00"
                          ]},
        "Entity": "user@example.com"
    }
]

Resultado de secuencia de comandos

En la siguiente tabla, se muestra el valor del resultado del script cuando se usa la acción Enrich Entities:

Forzar actualización de contraseña

Usa la acción Force Password Update para solicitarle a un usuario que cambie su contraseña en el siguiente acceso.

Esta acción se ejecuta en la entidad User de Google SecOps.

Entradas de acción

Ninguno

Resultados de la acción

La acción Force Password Update proporciona los siguientes resultados:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Force Password Update:

Obtener miembros del grupo

Usa la acción Get Group Members para recuperar los miembros de un grupo de Active Directory especificado.

Esta acción admite la recuperación de los miembros de usuarios y nombres de host, y la búsqueda dentro de grupos anidados.

Entradas de acción

La acción Get Group Members requiere los siguientes parámetros:

Resultados de la acción

La acción Get Group Members proporciona los siguientes resultados:

Resultado de JSON

En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Get Group Members:

[
  {
    "cn":"Example User1",
    "displayName":"Example User1",
    "distinguishedName":"CN=Example User1,OU=User Accounts,DC=example,DC=local"
  },
  {
    "cn":"Example User2",
    "displayName":"Example User2",
    "distinguishedName":"CN=Example User2,CN=Users,DC=example,DC=local"
  },
  {
    "cn":"Example User3",
    "displayName":"Example User3",
    "distinguishedName":"CN=Example User3,CN=Users,DC=example,DC=local"
  }
]

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Get Group Members:

Obtén los detalles de contacto del administrador

Usa la acción Get Manager Contact Details para obtener los detalles de contacto del administrador de Active Directory.

Esta acción se ejecuta en la entidad User de Google SecOps.

Entradas de acción

Ninguno

Resultados de la acción

La acción Get Manager Contact Details proporciona los siguientes resultados:

Enriquecimiento de entidades

La acción Get Manager Contact Details admite el siguiente enriquecimiento de entidades:

Resultado de JSON

En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Get Manager Contact Details:

[
   {
        "EntityResult":
        {
            "primaryGroupID": [513],
            "logonCount": [6505],
            "cn": ["user name"],
            "countryCode": [0],
            "objectClass": ["top", "person", "organizationalPerson"],
            "userPrincipalName": ["user@example.com"],
            "adminCount": [1],
            "lastLogonTimestamp": ["2019-01-09 08:42:03.540783+00:00"],
            "manager": ["CN=user name,OU=R&D,OU=TLV,OU=host name,DC=domain,DC=LOCAL"],
            "instanceType": [4],
            "distinguishedName": ["CN=user name,OU=R&D,OU=TLV,OU=host,DC=domain,DC=LOCAL"],
            "dSCorePropagationData": ["2019-01-14 14:39:16+00:00"],
            "msDS-SupportedEncryptionTypes": [0],
            "objectSid": ["ID"],
            "whenCreated": ["2011-11-07 08:00:44+00:00"],
            "uSNCreated": [7288202],
            "lockoutTime": ["1601-01-01 00:00:00+00:00"],
            "badPasswordTime": ["date"],
            "pwdLastSet": ["date"],
            "sAMAccountName": ["example"],
            "objectCategory": ["CN=Person,CN=Schema,CN=Configuration,DC=host,DC=LOCAL"],
            "lastLogon": ["2019-01-14 17:13:54.463070+00:00"],
            "objectGUID": ["{id}"],
            "whenChanged": ["2019-01-14 16:49:01+00:00"],
            "badPwdCount": [1],
            "accountExpires": ["9999-12-31 23:59:59.999999"],
            "displayName": ["example"],
            "name": ["user"],
            "memberOf": ["CN= u05e7 u05d1 u05d5 u05e6 u05d4  u05d1 u05e2 u05d1 u05e8 u05d9 u05ea,OU=TEST,OU=QA,OU=IT,OU=TLV,OU=host,DC=domain,DC=LOCAL", "CN=Organization Management,OU=Microsoft Exchange Security Groups,DC=domain,DC=LOCAL", "CN=Local Admin,OU=Groups,OU=IT,OU=TLV,OU=host,DC=domain,DC=LOCAL"],
            "codePage": [0],
            "userAccountControl": [111],
            "sAMAccountType": [805306368],
            "uSNChanged": [15301168],
            "sn": ["example"],
            "givenName": ["user"],
            "lastLogoff": ["1601-01-01 00:00:00+00:00"]
        },
        "Entity": "user@example.com"
    }
]

Mensajes de salida

La acción Ping puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Get Manager Contact Details:

Is User in Group

Usa la acción Is User in Group para verificar si el usuario es miembro de un grupo específico.

Esta acción se ejecuta en la entidad User de Google SecOps.

Entradas de acción

La acción Is User in Group requiere los siguientes parámetros:

Resultados de la acción

La acción Is User in Group proporciona los siguientes resultados:

Resultado de JSON

En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Is User in Group:

[
    {
        "EntityResult": true,
        "Entity": "USER1@EXAMPLE.COM"
    }, {
        "EntityResult": false,
        "Entity": "USER2@EXAMPLE.COM"
    }, {
        "EntityResult": true,
        "Entity": "USER3@EXAMPLE.COM"
    }
]

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Is User in Group:

Enumera grupos de usuarios

Usa la acción List User Groups para obtener una lista de todos los grupos de usuarios disponibles en Active Directory.

Esta acción se ejecuta en la entidad User de Google SecOps.

Entradas de acción

Ninguno

Resultados de la acción

La acción List User Groups proporciona los siguientes resultados:

Resultado de JSON

En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción List User Groups:

[
    {
        "EntityResult": ["Domain Users"],
        "Entity": "user@example.com"
    }
]

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción List User Groups:

Ping

Usa la acción Ping para probar la conectividad con Active Directory.

Esta acción se ejecuta en todas las entidades de SecOps de Google.

Entradas de acción

Ninguno

Resultados de la acción

La acción Ping proporciona los siguientes resultados:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Ping:

Liberar cuenta bloqueada

Usa la acción Release Locked Account para desbloquear una cuenta bloqueada.

Esta acción se ejecuta en la entidad User de Google SecOps.

Entradas de acción

Ninguno

Resultados de la acción

La acción Release Locked Account proporciona los siguientes resultados:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Release Locked Account:

Quitar usuario del grupo

Usa la acción Remove User From Group para quitar al usuario de los grupos.

Esta acción se ejecuta en la entidad User de Google SecOps.

Entradas de acción

La acción Remove User From Group requiere los siguientes parámetros:

Resultados de la acción

La acción Remove User From Group proporciona los siguientes resultados:

Mensajes de salida

La acción Remove User From Group puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Remove User From Group:

Cómo buscar en Active Directory

Usa la acción Search Active Directory para buscar en Active Directory con una consulta especificada.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Search Active Directory requiere los siguientes parámetros:

Resultados de la acción

La acción Search Active Directory proporciona los siguientes resultados:

Resultado de JSON

En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Search Active Directory:

[
      {
        "primaryGroupID": [
          513
        ],
        "logonCount": [
          6505
        ],
        "cn": [
          "user name"
        ],
        "countryCode": [
          0
        ],
        "objectClass": [
          "top",
          "person",
          "organizationalPerson"
        ],
        "userPrincipalName": [
          "user@example.com"
        ],
        "adminCount": [
          1
        ],
        "lastLogonTimestamp": [
          "2019-01-09 08:42:03.540783+00:00"
        ],
        "manager": [
          "CN=user name,OU=R&D,OU=TLV,OU=host name,DC=domain,DC=LOCAL"
        ],
        "instanceType": [
          4
        ],
        "distinguishedName": [
          "CN=user name,OU=R&D,OU=TLV,OU=host,DC=domain,DC=LOCAL"
        ],
        "dSCorePropagationData": [
          "2019-01-14 14:39:16+00:00"
        ],
        "msDS-SupportedEncryptionTypes": [
          0
        ],
        "objectSid": [
          "ID"
        ],
        "whenCreated": [
          "2011-11-07 08:00:44+00:00"
        ],
        "uSNCreated": [
          7288202
        ],
        "lockoutTime": [
          "1601-01-01 00:00:00+00:00"
        ],
        "badPasswordTime": [
          "date"
        ],
        "pwdLastSet": [
          "date"
        ],
        "sAMAccountName": [
          "example"
        ],
        "objectCategory": [
          "CN=Person,CN=Schema,CN=Configuration,DC=host,DC=LOCAL"
        ],
        "lastLogon": [
          "2019-01-14 17:13:54.463070+00:00"
        ],
        "objectGUID": [
          "GUID"
        ],
        "whenChanged": [
          "2019-01-14 16:49:01+00:00"
        ],
        "badPwdCount": [
          1
        ],
        "accountExpires": [
          "9999-12-31 23:59:59.999999"
        ],
        "displayName": [
          "example"
        ],
        "name": [
          "user"
        ],
        "memberOf": [
          "CN=\\\\u05e7\\\\u05d1\\\\u05d5\\\\u05e6\\\\u05d4 \\\\u05d1\\\\u05e2\\\\u05d1\\\\u05e8\\\\u05d9\\\\u05ea,OU=TEST,OU=QA,OU=IT,OU=TLV,OU=host,DC=domain,DC=LOCAL",
          "CN=Organization Management,OU=Microsoft Exchange Security Groups,DC=domain,DC=LOCAL",
          "CN=Local Admin,OU=Groups,OU=IT,OU=TLV,OU=host,DC=domain,DC=LOCAL"
        ],
        "codePage": [
          0
        ],
        "userAccountControl": [
          111
        ],
        "sAMAccountType": [
          805306368
        ],
        "uSNChanged": [
          15301168
        ],
        "sn": [
          "example"
        ],
        "givenName": [
          "user"
        ],
        "lastLogoff": [
          "1601-01-01 00:00:00+00:00"
        ]
      }
    ]

Mensajes de salida

La acción Search Active Directory puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Search Active Directory:

Establecer contraseña del usuario

Usa la acción Set User Password para configurar la contraseña del usuario.

Esta acción se ejecuta en la entidad User de Google SecOps.

Entradas de acción

La acción Set User Password requiere los siguientes parámetros:

Resultados de la acción

La acción Set User Password proporciona los siguientes resultados:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Set User Password:

Actualiza los atributos de un host de AD

Usa la acción Update attributes of an AD Host para actualizar los atributos de los hosts actuales en Active Directory.

Esta acción se ejecuta en la entidad Hostname de Google SecOps.

Entradas de acción

La acción Update attributes of an AD Host requiere los siguientes parámetros:

Resultados de la acción

La acción Update attributes of an AD Host proporciona los siguientes resultados:

Mensajes de salida

La acción Update attributes of an AD Host puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Actualizar atributos de un host de AD:

Actualiza los atributos de un usuario de AD

Usa la acción Actualizar atributos de un usuario de AD para actualizar los atributos de los usuarios actuales en Active Directory.

Esta acción se ejecuta en la entidad User de Google SecOps.

Entradas de acción

La acción Actualizar atributos de un usuario de AD requiere los siguientes parámetros:

Resultados de la acción

La acción Update attributes of an AD User proporciona los siguientes resultados:

Mensajes de salida

La acción Update attributes of an AD User puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Update attributes of an AD User:

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.