Integrar Microsoft Entra ID Protection con Google SecOps
En este documento se describe cómo integrar Azure AD Identity Protection con Google Security Operations (Google SecOps).
Versión de integración: 7.0
Requisitos previos
Antes de configurar la integración en la plataforma Google SecOps, completa los siguientes pasos:
Crea la aplicación de Microsoft Entra.
Configura los permisos de la API de tu aplicación.
Crea un secreto de cliente.
Crear una aplicación de Microsoft Entra
Inicia sesión en el portal de Azure como administrador de usuarios o administrador de contraseñas.
Selecciona ID de Microsoft Entra.
Ve a Registros de aplicaciones > Nuevo registro.
Introduce el nombre de la aplicación.
Haz clic en Registrarse.
Guarda los valores de ID de aplicación (cliente) y ID de directorio (inquilino) para usarlos más adelante al configurar los parámetros de integración.
Configurar permisos de API
Ve a Permisos de API > Añadir un permiso.
Selecciona Microsoft Graph.
En la sección Seleccionar permisos, selecciona los siguientes permisos:
IdentityRiskEvent.Read.AllIdentityRiskyUser.ReadWrite.All
Haz clic en Añadir permisos.
Haz clic en Conceder consentimiento de administrador para
YOUR_ORGANIZATION_NAME.Cuando aparezca el cuadro de diálogo Confirmación de concesión de consentimiento de administrador, haz clic en Sí.
Crear secreto de cliente
Ve a Certificados y secretos > Nuevo secreto de cliente.
Proporciona una descripción del secreto de cliente y define su fecha de vencimiento.
Haz clic en Añadir.
Guarda el valor del secreto de cliente (no el ID del secreto) para usarlo como valor del parámetro
Client Secretal configurar la integración. El valor de client_secret solo se muestra una vez.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Raíz de la API de inicio de sesión | Cadena | https://login.microsoftonline.com | No | Raíz de la API que se usa para autenticar con la plataforma de identidad de Microsoft. |
| Raíz de la API | Cadena | https://graph.microsoft.com | Sí | Raíz de la API de la instancia de Microsoft Entra ID Protection. |
| ID de cliente | Cadena | N/A | Sí | ID de cliente de la cuenta de Microsoft Entra ID Protection. |
| ID de cliente | Cadena | N/A | Sí | ID de cliente de la cuenta de Microsoft Entra ID Protection. |
| Secreto de cliente | Contraseña | N/A | Sí | Secreto de cliente de la cuenta de Microsoft Entra ID Protection. |
| Verificar SSL | Casilla | Marcada | Sí | Si está habilitada, verifica que el certificado SSL de la conexión al servidor de Microsoft Entra ID Protection sea válido. |
Para obtener instrucciones sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en los cuadernos de estrategias. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Admitir varias instancias.
Acciones
Para obtener más información sobre las acciones, consulta Responder a acciones pendientes desde Tu espacio de trabajo y Realizar una acción manual.
Ping
Prueba la conectividad con Microsoft Entra ID Protection.
Parámetros
N/A
Fecha de ejecución
La acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo (entidad o general) |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se realiza correctamente: "Successfully connected to the Azure AD Identity Protection server with the provided connection parameters!" ("Se ha conectado correctamente al servidor de Azure AD Identity Protection con los parámetros de conexión proporcionados"). La acción debería fallar y detener la ejecución de la guía: Si no funciona: "Failed to connect to the Azure AD Identity Protection server! Error: {0}".format(exception.stacktrace) |
General |
Enriquecer entidades
Enriquece las entidades con información de Microsoft Entra ID Protection. Entidades admitidas: nombre de usuario y dirección de correo electrónico (entidad de usuario que coincide con el patrón de expresión regular de correo electrónico).
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Crear estadística | Casilla | Marcada | No | Si se habilita, la acción crea una estadística que contiene toda la información recuperada sobre la entidad. |
Fecha de ejecución
Esta acción se ejecuta en la entidad Username.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"id": "2600d017-84a1-444f-94ba-4bebed30b09e",
"isDeleted": false,
"isProcessing": false,
"riskLevel": "none",
"riskState": "remediated",
"riskDetail": "userPerformedSecuredPasswordChange",
"riskLastUpdatedDateTime": "2021-09-02T14:10:48Z",
"userDisplayName": "user_1",
"userPrincipalName": "user_1@example.com"
}
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| is_deleted | Cuando esté disponible en JSON |
| is_processing | Cuando esté disponible en JSON |
| risk_level | Cuando esté disponible en JSON |
| risk_state | Cuando esté disponible en JSON |
| risk_detail | Cuando esté disponible en JSON |
| risk_updated | Cuando esté disponible en JSON |
| display_name | Cuando esté disponible en JSON |
| principal_name | Cuando esté disponible en JSON |
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo (entidad o general) |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si hay datos disponibles para una entidad (is_success=true): "Se han enriquecido correctamente las siguientes entidades con información de Azure AD Identity Protection: {entity.identifier}". Si no hay datos disponibles para una entidad (is_success=true): "No se ha podido enriquecer la siguiente entidad con información de Azure AD Identity Protection: {entity.identifier}". Si los datos no están disponibles para todas las entidades (is_success=false): "None of the provided entities were enriched." ("No se ha enriquecido ninguna de las entidades proporcionadas"). La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, falta de conexión con el servidor u otro: "Error al ejecutar la acción "Enrich Entities". Motivo: {0}''.format(error.Stacktrace) |
General |
| Tabla del panel de casos | Nombre de la tabla: {entity.identifier} Columnas de tabla:
|
Entidad |
Actualizar estado del usuario
Actualiza el estado del usuario en Microsoft Entra ID Protection. Entidades admitidas: Nombre de usuario, dirección de correo electrónico (entidad de usuario que coincide con el patrón de expresión regular del correo electrónico).
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Estado | DDL | Vulnerado Valores posibles:
|
No | Especifica el estado de los usuarios. |
Fecha de ejecución
Esta acción se ejecuta en la entidad Username.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo (entidad o general) |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se devuelve el código de estado 204 para un usuario (is_success=true): "Se ha actualizado correctamente el estado de los siguientes usuarios en Azure AD Identity Protection: {entity identifier}". Si no se encuentra un usuario (is_success=true): "No se han encontrado los siguientes usuarios en Azure AD Identity Protection:"{entity.identifier}" Si no se encuentra ningún usuario (is_success=true): "None of the provided users were not found in Azure AD Identity Protection" ("No se ha encontrado a ninguno de los usuarios proporcionados en Azure AD Identity Protection"). La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Update User State". Motivo: {0}''.format(error.Stacktrace)' |
General |
Conectores
Para obtener más información sobre cómo configurar conectores en Google SecOps, consulta el artículo Ingerir datos (conectores).
Azure AD Identity Protection - Conector de detecciones de riesgo
Extrae información sobre las detecciones de riesgos de Microsoft Entra ID Protection.
El filtro de lista dinámica funciona con el parámetro riskEventType.
Parámetros del conector
Utiliza los siguientes parámetros para configurar el conector:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Raíz de la API de inicio de sesión | Cadena | https://login.microsoftonline.com | No | Raíz de la API que se usa para autenticar con la plataforma de identidad de Microsoft. |
| Raíz de la API | Cadena | https://graph.microsoft.com | Sí | Raíz de la API de la instancia de Microsoft Entra ID Protection. |
| Nombre del campo de producto | Cadena | Nombre del producto | Sí |
Nombre del campo en el que se almacena el nombre del producto. El nombre del producto influye principalmente en la asignación. Para optimizar y mejorar el proceso de asignación del conector, el valor predeterminado se resuelve en un valor de reserva al que se hace referencia desde el código. Cualquier entrada no válida de este parámetro se resuelve en un valor de reserva de forma predeterminada. El valor predeterminado es |
| Nombre del campo de evento | Cadena | riskEventType | Sí | Nombre del campo que determina el nombre del evento (subtipo). |
| Nombre del campo de entorno | Cadena | "" | No | Nombre del campo en el que se almacena el nombre del entorno. Si falta el campo de entorno, el conector usa el valor predeterminado. |
Environment Regex Pattern |
Cadena | .* | No |
Patrón de expresión regular que se va a ejecutar en el valor encontrado en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
| PythonProcessTimeout | Entero | 180 | Sí | El límite de tiempo de espera, en segundos, del proceso de Python que ejecuta la secuencia de comandos actual. |
| Raíz de la API | Cadena | https://graph.microsoft.com | Sí | Raíz de la API de la instancia de Microsoft Entra ID Protection. |
| ID de cliente | Cadena | N/A | Sí | ID de cliente de la cuenta de Microsoft Entra ID Protection. |
| ID de cliente | Cadena | N/A | Sí | ID de cliente de la cuenta de Microsoft Entra ID Protection. |
| Secreto de cliente | Contraseña | N/A | Sí | Secreto de cliente de la cuenta de Microsoft Entra ID Protection. |
| Nivel de riesgo más bajo para obtener | Cadena | N/A | No | El riesgo más bajo que se debe usar para obtener alertas. Valores posibles: Si no se especifica ningún valor, el conector ingiere detecciones de riesgo con todos los niveles de riesgo. |
| Número máximo de horas hacia atrás | Entero | 1 | No | Número de horas durante las que se deben obtener las detecciones de riesgos. |
| Número máximo de alertas que se van a obtener | Entero | 100 | No | Número de alertas que se deben procesar por iteración de conector. |
Use whitelist as a blacklist |
Casilla | Desmarcada | Sí | Si se selecciona esta opción, el conector usará la lista dinámica como lista de bloqueo. |
| Verificar SSL | Casilla | Marcada | Sí | Si se selecciona esta opción, la integración valida el certificado SSL al conectarse al servidor de Microsoft Entra ID Protection. |
| Dirección del servidor proxy | Cadena | N/A | No | Dirección del servidor proxy que se va a usar. |
| Nombre de usuario del proxy | Cadena | N/A | No | Nombre de usuario del proxy para autenticarse. |
| Contraseña del proxy | Contraseña | N/A | No | La contraseña del proxy para autenticarte. |
Reglas de conectores
El conector admite proxies.
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.