Microsoft Entra ID Protection in Google SecOps einbinden

In diesem Dokument wird beschrieben, wie Sie Azure AD Identity Protection in Google Security Operations (Google SecOps) einbinden.

Integrationsversion: 7.0

Vorbereitung

Bevor Sie die Integration in der Google SecOps-Plattform konfigurieren, müssen Sie die folgenden Voraussetzungen erfüllen:

  1. Erstellen Sie die Microsoft Entra-App.

  2. Konfigurieren Sie die API-Berechtigungen für Ihre App.

  3. Erstellen Sie einen Clientschlüssel.

Microsoft Entra-App erstellen

  1. Melden Sie sich im Azure-Portal als Nutzeradministrator oder Passwortadministrator an.

  2. Wählen Sie Microsoft Entra ID aus.

  3. Rufen Sie App-Registrierungen > Neue Registrierung auf.

  4. Geben Sie den Namen der App ein.

  5. Klicken Sie auf Registrieren.

  6. Speichern Sie die Werte für Anwendungs-ID (Client) und Verzeichnis-ID (Mandant), um sie später bei der Konfiguration der Integrationsparameter zu verwenden.

API-Berechtigungen konfigurieren

  1. Rufen Sie API-Berechtigungen> Berechtigung hinzufügen auf.

  2. Wählen Sie Microsoft Graph aus.

  3. Wählen Sie im Abschnitt Berechtigungen auswählen die folgenden Berechtigungen aus:

    • IdentityRiskEvent.Read.All
    • IdentityRiskyUser.ReadWrite.All

  4. Klicken Sie auf Berechtigungen hinzufügen.

  5. Klicken Sie auf Einwilligung des Administrators für YOUR_ORGANIZATION_NAME erteilen.

    Klicken Sie im Dialogfeld Bestätigung der Administratorzustimmung erteilen auf Ja.

Clientschlüssel erstellen

  1. Rufen Sie Zertifikate und Secrets > Neuer Clientschlüssel auf.

  2. Geben Sie eine Beschreibung für einen Clientschlüssel an und legen Sie das Ablaufdatum fest.

  3. Klicken Sie auf Hinzufügen.

  4. Speichern Sie den Wert des Clientschlüssels (nicht die geheime ID), um ihn als Parameterwert für Client Secret bei der Konfiguration der Integration zu verwenden. Der Wert des Clientgeheimnisses wird nur einmal angezeigt.

Integrationsparameter

Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:

Anzeigename des Parameters Typ Standardwert Ist obligatorisch Beschreibung
Login API Root String https://login.microsoftonline.com Nein API-Stamm, der für die Authentifizierung bei der Microsoft-Identitätsplattform verwendet wird.
API-Stamm String https://graph.microsoft.com Ja API-Stammverzeichnis der Microsoft Entra ID Protection-Instanz.
Mandanten-ID String Ja Mandanten-ID des Microsoft Entra ID Protection-Kontos.
Client-ID String Ja Client-ID des Microsoft Entra ID Protection-Kontos.
Clientschlüssel Passwort Ja Clientschlüssel des Microsoft Entra ID Protection-Kontos.
SSL überprüfen Kästchen Aktiviert Ja Wenn diese Option aktiviert ist, wird geprüft, ob das SSL-Zertifikat für die Verbindung zum Microsoft Entra ID Protection-Server gültig ist.

Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.

Aktionen

Weitere Informationen zu Aktionen finden Sie unter Ausstehende Aktionen über „Mein Arbeitsbereich“ bearbeiten und Manuelle Aktion ausführen.

Ping

Testen Sie die Verbindung zu Microsoft Entra ID Protection.

Parameter

Ausführen am

Die Aktion wird nicht für Entitäten ausgeführt und hat keine erforderlichen Eingabeparameter.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_success Wahr/falsch is_success:False
Fall-Repository
Ergebnistyp Wert/Beschreibung Typ (Entität \ Allgemein)
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Bei Erfolg: „Successfully connected to the Azure AD Identity Protection server with the provided connection parameters!“ (Mit den angegebenen Verbindungsparametern wurde eine Verbindung zum Azure AD Identity Protection-Server hergestellt.)

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn nicht erfolgreich: „Failed to connect to the Azure AD Identity Protection server! Fehler: {0}".format(exception.stacktrace)

 Allgemein

Entitäten anreichern

Entitäten mit Informationen aus Microsoft Entra ID Protection anreichern. Unterstützte Entitäten: Nutzername, E‑Mail-Adresse (Nutzerentität, die dem Muster des regulären Ausdrucks für E‑Mail-Adressen entspricht).

Parameter

Anzeigename des Parameters Typ Standardwert Ist obligatorisch Beschreibung
Insight erstellen Kästchen Aktiviert Nein Wenn diese Option aktiviert ist, wird durch die Aktion ein Insight mit allen abgerufenen Informationen zum Element erstellt.

Ausführen am

Diese Aktion wird für die Entität „Nutzername“ ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_success Wahr/falsch is_success:False
JSON-Ergebnis
{
    "id": "2600d017-84a1-444f-94ba-4bebed30b09e",
    "isDeleted": false,
    "isProcessing": false,
    "riskLevel": "none",
    "riskState": "remediated",
    "riskDetail": "userPerformedSecuredPasswordChange",
    "riskLastUpdatedDateTime": "2021-09-02T14:10:48Z",
    "userDisplayName": "user_1",
    "userPrincipalName": "user_1@example.com"
}
Entitätsanreicherung
Name des Anreicherungsfelds Logik – Wann anwenden?
is_deleted Wenn in JSON verfügbar
is_processing Wenn in JSON verfügbar
risk_level Wenn in JSON verfügbar
risk_state Wenn in JSON verfügbar
risk_detail Wenn in JSON verfügbar
risk_updated Wenn in JSON verfügbar
display_name Wenn in JSON verfügbar
principal_name Wenn in JSON verfügbar
Fall-Repository
Ergebnistyp Wert/Beschreibung Typ (Entität \ Allgemein)
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Wenn Daten für eine Entität verfügbar sind (is_success=true): „Die folgenden Entitäten wurden mit Informationen aus Azure AD Identity Protection angereichert: {entity.identifier}“.

Wenn für eine Identität keine Daten verfügbar sind (is_success=true): „Die Aktion konnte die folgenden Identitäten nicht mit Informationen aus Azure AD Identity Protection anreichern: {entity.identifier}“.

Wenn für nicht alle Entitäten Daten verfügbar sind (is_success=false): „Keine der angegebenen Entitäten wurde angereichert.“

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚Enrich Entities‘. Grund: {0}''.format(error.Stacktrace)

 Allgemein
Tabelle „Fall-Repository“

Tabellenname: {entity.identifier}

Tabellenspalten:

  • Schlüssel
  • Wert
 Entität

Nutzerstatus aktualisieren

Aktualisieren Sie den Status des Nutzers in Microsoft Entra ID Protection. Unterstützte Entitäten: Nutzername, E-Mail-Adresse (Nutzerentität, die dem regulären Ausdruck für E-Mail-Adressen entspricht).

Parameter

Anzeigename des Parameters Typ Standardwert Ist obligatorisch Beschreibung
Bundesland DDL

Gehackt

Mögliche Werte:

  • Gehackt
  • Abgelehnt
 Nein Geben Sie den Status für die Nutzer an.

Ausführen am

Diese Aktion wird für die Entität „Nutzername“ ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_success Wahr/falsch is_success:False
Fall-Repository
Ergebnistyp Wert/Beschreibung Typ (Entität \ Allgemein)
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Wenn der Statuscode 204 für einen Nutzer gemeldet wird (is_success=true): „Successfully updated the state of the following users in Azure AD Identity Protection: {entity identifier}“ (Der Status der folgenden Nutzer in Azure AD Identity Protection wurde erfolgreich aktualisiert: {entity identifier}).

Wenn ein Nutzer nicht gefunden wird (is_success=true): „Die folgenden Nutzer wurden in Azure AD Identity Protection nicht gefunden:“{entity.identifier}

Wenn alle Nutzer nicht gefunden werden (is_success=true) : „Keiner der angegebenen Nutzer wurde in Azure AD Identity Protection gefunden.“

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚Nutzerstatus aktualisieren‘. Grund: {0}''.format(error.Stacktrace)'

 Allgemein

Connectors

Weitere Informationen zum Konfigurieren von Connectors in Google SecOps finden Sie unter Daten aufnehmen (Connectors).

Azure AD Identity Protection – Connector für Risikoerkennungen

Informationen zu Risikoerkennungen aus Microsoft Entra ID Protection abrufen.

Der dynamische Listenfilter funktioniert mit dem Parameter riskEventType.

Connector-Parameter

Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:

Anzeigename des Parameters Typ Standardwert Ist obligatorisch Beschreibung
Login API Root String https://login.microsoftonline.com Nein API-Stamm, der für die Authentifizierung bei der Microsoft-Identitätsplattform verwendet wird.
API-Stamm String https://graph.microsoft.com Ja API-Stammverzeichnis der Microsoft Entra ID Protection-Instanz.
Produktfeldname String Produktname Ja

Der Name des Felds, in dem der Produktname gespeichert ist.

Der Produktname wirkt sich hauptsächlich auf die Zuordnung aus. Um den Zuordnungsprozess für den Connector zu optimieren und zu verbessern, wird der Standardwert in einen Fallback-Wert aufgelöst, auf den im Code verwiesen wird. Ungültige Eingaben für diesen Parameter werden standardmäßig in einen Fallback-Wert aufgelöst.

Der Standardwert ist Product Name.
Name des Ereignisfelds String riskEventType Ja

Der Name des Felds, das den Ereignisnamen (Untertyp) bestimmt.
Name des Umgebungsfelds String "" Nein

Der Name des Felds, in dem der Name der Umgebung gespeichert ist.

Wenn das Feld „environment“ fehlt, wird der Standardwert verwendet.
Environment Regex Pattern String .* Nein

Ein reguläres Ausdrucksmuster, das auf den Wert im Feld Environment Field Name angewendet wird. Mit diesem Parameter können Sie das Feld „environment“ mithilfe der Logik für reguläre Ausdrücke bearbeiten.

Verwenden Sie den Standardwert .*, um den erforderlichen Rohwert Environment Field Name abzurufen.

Wenn das Muster des regulären Ausdrucks null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung.
PythonProcessTimeout Ganzzahl 180 Ja

Das Zeitlimit in Sekunden für den Python-Prozess, in dem das aktuelle Script ausgeführt wird.
API-Stamm String https://graph.microsoft.com Ja API-Stammverzeichnis der Microsoft Entra ID Protection-Instanz.
Mandanten-ID String Ja Mandanten-ID des Microsoft Entra ID Protection-Kontos.
Client-ID String Ja Client-ID des Microsoft Entra ID Protection-Kontos.
Clientschlüssel Passwort Ja Clientschlüssel des Microsoft Entra ID Protection-Kontos.
Niedrigste Risikostufe für den Abruf String Nein

Das niedrigste Risiko, das zum Abrufen von Benachrichtigungen verwendet werden muss.

Mögliche Werte: Low, Medium, High.

Wenn kein Wert angegeben ist, werden Risikoerkennungen mit allen Risikostufen aufgenommen.
Maximale Stunden zurück Ganzzahl 1 Nein Die Anzahl der Stunden, für die Risikoerkennungen abgerufen werden sollen.
Max. Anzahl der abzurufenden Benachrichtigungen Ganzzahl 100 Nein Die Anzahl der Warnungen, die pro Connector-Iteration verarbeitet werden sollen.
Use whitelist as a blacklist Kästchen Deaktiviert Ja

Wenn diese Option ausgewählt ist, verwendet der Connector die dynamische Liste als Blockierliste.
SSL überprüfen Kästchen Aktiviert Ja Wenn diese Option ausgewählt ist, wird das SSL-Zertifikat bei der Verbindung zum Microsoft Entra ID Protection-Server validiert.
Proxyserveradresse String Nein Die Adresse des zu verwendenden Proxyservers.
Proxy-Nutzername String Nein Der Proxy-Nutzername für die Authentifizierung.
Proxy-Passwort Passwort Nein Das Proxy-Passwort für die Authentifizierung.

Connector-Regeln

Der Connector unterstützt Proxys.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten