Integra Microsoft Entra ID Protection con Google SecOps
En este documento, se describe cómo integrar la Protección de identidad de Azure AD con Google Security Operations (Google SecOps).
Versión de la integración: 7.0
Requisitos previos
Antes de configurar la integración en la plataforma de SecOps de Google, completa los siguientes pasos previos:
Crea la app de Microsoft Entra.
Configura los permisos de la API para tu app.
Crea un secreto del cliente.
Crea una app de Microsoft Entra
Accede al portal de Azure como administrador de usuarios o administrador de contraseñas.
Selecciona Microsoft Entra ID.
Ve a Registros de aplicaciones > Nuevo registro.
Ingresa el nombre de la app.
Haz clic en Registrar.
Guarda los valores de ID de la aplicación (cliente) y ID del directorio (inquilino) para usarlos más adelante cuando configures los parámetros de integración.
Configura los permisos de API
Ve a Permisos de API > Agregar un permiso.
Selecciona Microsoft Graph.
En la sección Seleccionar permisos, selecciona los siguientes permisos:
IdentityRiskEvent.Read.AllIdentityRiskyUser.ReadWrite.All
Haz clic en Agregar permisos.
Haz clic en Otorgar consentimiento del administrador para
YOUR_ORGANIZATION_NAME.Cuando aparezca el diálogo Confirmación de consentimiento del administrador, haz clic en Sí.
Crea un secreto del cliente
Navega a Certificados y secretos > Nuevo secreto del cliente.
Proporciona una descripción para un secreto del cliente y establece su fecha límite de vencimiento.
Haz clic en Agregar.
Guarda el valor del secreto del cliente (no el ID del secreto) para usarlo como el valor del parámetro
Client Secretcuando configures la integración. El valor del secreto del cliente solo se muestra una vez.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Raíz de la API de acceso | String | https://login.microsoftonline.com | No | Es la raíz de la API que se usa para autenticarse con la plataforma de identidad de Microsoft. |
| Raíz de la API | String | https://graph.microsoft.com | Sí | Es la raíz de la API de la instancia de Microsoft Entra ID Protection. |
| ID de usuario | String | N/A | Sí | Es el ID de usuario de la cuenta de Microsoft Entra ID Protection. |
| ID de cliente | String | N/A | Sí | Es el ID de cliente de la cuenta de Microsoft Entra ID Protection. |
| Secreto del cliente | Contraseña | N/A | Sí | Es el secreto del cliente de la cuenta de Microsoft Entra ID Protection. |
| Verificar SSL | Casilla de verificación | Marcado | Sí | Si está habilitado, verifica que el certificado SSL para la conexión al servidor de Protección de ID de Microsoft Entra sea válido. |
Si quieres obtener instrucciones para configurar una integración en Google SecOps, consulta Configura integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en las guías. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Compatibilidad con varias instancias.
Acciones
Para obtener más información sobre las acciones, consulta Cómo responder a las acciones pendientes desde Tu escritorio y Cómo realizar una acción manual.
Ping
Prueba la conectividad con Microsoft Entra ID Protection.
Parámetros
N/A
Ejecutar en
La acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo (entidad\general) |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la conexión se realiza correctamente: "Se conectó correctamente al servidor de Protección de identidad de Azure AD con los parámetros de conexión proporcionados". La acción debería fallar y detener la ejecución de la guía: Si no se realiza correctamente: "No se pudo conectar al servidor de Protección de identidad de Azure AD. Error is {0}".format(exception.stacktrace) |
General |
Enriquece entidades
Enriquecer entidades con información de Microsoft Entra ID Protection Entidades admitidas: Nombre de usuario, dirección de correo electrónico (entidad de usuario que coincide con el patrón de expresión regular de correo electrónico).
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Crear estadística | Casilla de verificación | Marcado | No | Si está habilitada, la acción crea una sugerencia que contiene toda la información recuperada sobre la entidad. |
Ejecutar en
Esta acción se ejecuta en la entidad Username.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"id": "2600d017-84a1-444f-94ba-4bebed30b09e",
"isDeleted": false,
"isProcessing": false,
"riskLevel": "none",
"riskState": "remediated",
"riskDetail": "userPerformedSecuredPasswordChange",
"riskLastUpdatedDateTime": "2021-09-02T14:10:48Z",
"userDisplayName": "user_1",
"userPrincipalName": "user_1@example.com"
}
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| is_deleted | Cuando está disponible en JSON |
| is_processing | Cuando está disponible en JSON |
| risk_level | Cuando está disponible en JSON |
| risk_state | Cuando está disponible en JSON |
| risk_detail | Cuando está disponible en JSON |
| risk_updated | Cuando está disponible en JSON |
| display_name | Cuando está disponible en JSON |
| principal_name | Cuando está disponible en JSON |
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo (entidad\general) |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si hay datos disponibles para una entidad (is_success=true): "Se enriquecieron correctamente las siguientes entidades con información de Azure AD Identity Protection: {entity.identifier}". Si los datos no están disponibles para una entidad (is_success=true): "La acción no pudo enriquecer las siguientes entidades con información de Azure AD Identity Protection: {entity.identifier}". Si los datos no están disponibles para todas las entidades (is_success=false): "Ninguna de las entidades proporcionadas se enriqueció". La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro error: "Error al ejecutar la acción "Enrich Entities". Reason: {0}''.format(error.Stacktrace) |
General |
| Tabla del muro de casos | Nombre de la tabla: {entity.identifier} Columnas de la tabla:
|
Entidad |
Actualiza el estado del usuario
Actualiza el estado del usuario en Microsoft Entra ID Protection. Entidades admitidas: Nombre de usuario, dirección de correo electrónico (entidad de usuario que coincide con el patrón de expresión regular de correo electrónico).
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Estado | DDL | Vulnerado Valores posibles:
|
No | Especifica el estado de los usuarios. |
Ejecutar en
Esta acción se ejecuta en la entidad Username.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo (entidad\general) |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se informa el código de estado 204 para un usuario (is_success=true): "Se actualizó correctamente el estado de los siguientes usuarios en Azure AD Identity Protection: {identificador de entidad}". Si no se encuentra un usuario (is_success=true): "No se encontraron los siguientes usuarios en Azure AD Identity Protection:"{entity.identifier}" Si no se encuentran todos los usuarios (is_success=true): "No se encontró a ninguno de los usuarios proporcionados en Azure AD Identity Protection". La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema: "Error al ejecutar la acción "Actualizar el estado del usuario". Motivo: {0}''.format(error.Stacktrace)' |
General |
Conectores
Para obtener más detalles sobre cómo configurar conectores en Google SecOps, consulta Ingiere tus datos (conectores).
Conector de Azure AD Identity Protection: Detecciones de riesgo
Extrae información sobre las detecciones de riesgo de Microsoft Entra ID Protection.
El filtro de lista dinámico funciona con el parámetro riskEventType.
Parámetros del conector
Usa los siguientes parámetros para configurar el conector:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Raíz de la API de acceso | String | https://login.microsoftonline.com | No | Es la raíz de la API que se usa para autenticarse con la plataforma de identidad de Microsoft. |
| Raíz de la API | String | https://graph.microsoft.com | Sí | Es la raíz de la API de la instancia de Microsoft Entra ID Protection. |
| Nombre del campo del producto | String | Nombre del producto | Sí |
Es el nombre del campo en el que se almacena el nombre del producto. El nombre del producto afecta principalmente la asignación. Para optimizar y mejorar el proceso de asignación del conector, el valor predeterminado se resuelve en un valor de resguardo al que se hace referencia desde el código. De forma predeterminada, cualquier entrada no válida para este parámetro se resuelve en un valor de resguardo. El valor predeterminado es |
| Nombre del campo del evento | String | riskEventType | Sí | Es el nombre del campo que determina el nombre del evento (subtipo). |
| Nombre del campo del entorno | String | "" | No | Nombre del campo en el que se almacena el nombre del entorno. Si falta el campo environment, el conector usa el valor predeterminado. |
Environment Regex Pattern |
String | .* | No |
Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
| PythonProcessTimeout | Número entero | 180 | Sí | Es el límite de tiempo de espera, en segundos, para el proceso de Python que ejecuta la secuencia de comandos actual. |
| Raíz de la API | String | https://graph.microsoft.com | Sí | Es la raíz de la API de la instancia de Microsoft Entra ID Protection. |
| ID de usuario | String | N/A | Sí | Es el ID de usuario de la cuenta de Microsoft Entra ID Protection. |
| ID de cliente | String | N/A | Sí | Es el ID de cliente de la cuenta de Microsoft Entra ID Protection. |
| Secreto del cliente | Contraseña | N/A | Sí | Es el secreto del cliente de la cuenta de Microsoft Entra ID Protection. |
| Nivel de riesgo más bajo que se puede recuperar | String | N/A | No | Es el riesgo más bajo que se debe usar para recuperar alertas. Valores posibles: Si no se especifica ningún valor, el conector ingiere las detecciones de riesgo con todos los niveles de riesgo. |
| Horas máximas hacia atrás | Número entero | 1 | No | Es la cantidad de horas durante las que se deben recuperar las detecciones de riesgo. |
| Cantidad máxima de alertas para recuperar | Número entero | 100 | No | Es la cantidad de alertas que se procesarán en cada iteración del conector. |
Use whitelist as a blacklist |
Casilla de verificación | Desmarcado | Sí | Si se selecciona esta opción, el conector usa la lista dinámica como lista de bloqueo. |
| Verificar SSL | Casilla de verificación | Marcado | Sí | Si se selecciona esta opción, la integración valida el certificado SSL cuando se conecta al servidor de Microsoft Entra ID Protection. |
| Dirección del servidor proxy | String | N/A | No | Es la dirección del servidor proxy que se usará. |
| Nombre de usuario del proxy | String | N/A | No | Nombre de usuario del proxy con el que se realizará la autenticación. |
| Contraseña de proxy | Contraseña | N/A | No | Contraseña del proxy para la autenticación. |
Reglas del conector
El conector admite proxies.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.