Halaman ini diterjemahkan oleh Cloud Translation API.

Mengintegrasikan Microsoft Entra ID Protection dengan Google SecOps

Dokumen ini menjelaskan cara mengintegrasikan Azure AD Identity Protection dengan Google Security Operations (Google SecOps).

Versi integrasi: 7.0

Prasyarat

Sebelum mengonfigurasi integrasi di platform Google SecOps, selesaikan langkah-langkah prasyarat berikut:

Buat aplikasi Microsoft Entra.
Konfigurasi izin API untuk aplikasi Anda.
Buat rahasia klien.

Buat aplikasi Microsoft Entra

Login ke portal Azure sebagai administrator pengguna atau administrator sandi.
Pilih Microsoft Entra ID.
Buka App registrations > New registration.
Masukkan nama aplikasi.
Klik Daftar.
Simpan nilai Application (client) ID dan Directory (tenant) ID untuk digunakan nanti saat mengonfigurasi parameter integrasi.

Mengonfigurasi izin API

Buka API Permissions > Add a permission.
Pilih Microsoft Graph.
Di bagian Pilih Izin, pilih izin berikut:
- IdentityRiskEvent.Read.All
- IdentityRiskyUser.ReadWrite.All
Klik Add permissions.
Klik Grant admin consent for YOUR_ORGANIZATION_NAME.

Saat dialog Konfirmasi pemberian izin admin muncul, klik Ya.

Buat rahasia klien

Buka Certificates and secrets > New client secret.
Berikan deskripsi untuk rahasia klien dan tetapkan tenggat waktu habis masa berlakunya.
Klik Tambahkan.
Simpan nilai rahasia klien (bukan ID rahasia) untuk menggunakannya sebagai nilai parameter Client Secret saat mengonfigurasi integrasi. Nilai rahasia klien hanya ditampilkan satu kali.

Parameter integrasi

Gunakan parameter berikut untuk mengonfigurasi integrasi:

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Root Login API	String	https://login.microsoftonline.com	Tidak	Root API yang digunakan untuk melakukan autentikasi dengan platform identitas Microsoft.
Root API	String	https://graph.microsoft.com	Ya	Root API instance Microsoft Entra ID Protection.
ID Tenant	String	T/A	Ya	ID tenant akun Microsoft Entra ID Protection.
ID Klien	String	T/A	Ya	ID klien akun Microsoft Entra ID Protection.
Rahasia Klien	Sandi	T/A	Ya	Rahasia Klien akun Microsoft Entra ID Protection.
Verifikasi SSL	Kotak centang	Dicentang	Ya	Jika diaktifkan, akan memverifikasi bahwa sertifikat SSL untuk koneksi ke server Microsoft Entra ID Protection valid.

Untuk mengetahui petunjuk tentang cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.

Anda dapat melakukan perubahan di tahap berikutnya, jika diperlukan. Setelah mengonfigurasi instance integrasi, Anda dapat menggunakannya dalam playbook. Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi dan mendukung beberapa instance, lihat Mendukung beberapa instance.

Tindakan

Untuk mengetahui informasi selengkapnya tentang tindakan, lihat Merespons tindakan tertunda dari Ruang Kerja Anda dan Melakukan tindakan manual.

Ping

Uji konektivitas ke Microsoft Entra ID Protection.

Parameter

T/A

Run On

Tindakan tidak berjalan pada entity, dan tidak memiliki parameter input wajib.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi Nilai	Contoh
is_success	Benar/Salah	is_success:False

Repositori Kasus

Jenis hasil	Nilai/Deskripsi	Jenis (Entitas \ Umum)
Pesan output*	Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil: "Successfully connected to the Azure AD Identity Protection server with the provided connection parameters!" (Berhasil terhubung ke server Azure AD Identity Protection dengan parameter koneksi yang diberikan.) Tindakan akan gagal dan menghentikan eksekusi playbook: Jika tidak berhasil: "Gagal terhubung ke server Azure AD Identity Protection. Error adalah {0}".format(exception.stacktrace)	Umum

Jenis hasil

Nilai/Deskripsi

Jenis (Entitas \ Umum)

Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil: "Successfully connected to the Azure AD Identity Protection server with the provided connection parameters!" (Berhasil terhubung ke server Azure AD Identity Protection dengan parameter koneksi yang diberikan.)

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika tidak berhasil: "Gagal terhubung ke server Azure AD Identity Protection. Error adalah {0}".format(exception.stacktrace)

Umum

Memperkaya Entitas

Memperkaya entitas menggunakan informasi dari Microsoft Entra ID Protection. Entitas yang didukung: Nama Pengguna, Alamat Email (entitas pengguna yang cocok dengan pola ekspresi reguler email).

Parameter

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Buat Insight	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan ini akan membuat insight yang berisi semua informasi yang diambil tentang entitas.

Run On

Tindakan ini berjalan di entity Nama pengguna.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi Nilai	Contoh
is_success	Benar/Salah	is_success:False

Hasil JSON

{
    "id": "2600d017-84a1-444f-94ba-4bebed30b09e",
    "isDeleted": false,
    "isProcessing": false,
    "riskLevel": "none",
    "riskState": "remediated",
    "riskDetail": "userPerformedSecuredPasswordChange",
    "riskLastUpdatedDateTime": "2021-09-02T14:10:48Z",
    "userDisplayName": "user_1",
    "userPrincipalName": "user_1@example.com"
}

Pengayaan Entity

Nama Kolom Pengayaan	Logika - Kapan harus diterapkan
is_deleted	Jika tersedia dalam JSON
is_processing	Jika tersedia dalam JSON
risk_level	Jika tersedia dalam JSON
risk_state	Jika tersedia dalam JSON
risk_detail	Jika tersedia dalam JSON
risk_updated	Jika tersedia dalam JSON
display_name	Jika tersedia dalam JSON
principal_name	Jika tersedia dalam JSON

Repositori Kasus

Jenis hasil	Nilai/Deskripsi	Jenis (Entitas \ Umum)
Pesan output*	Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika data tersedia untuk satu entitas (is_success=true): "Berhasil memperkaya entitas berikut menggunakan informasi dari Azure AD Identity Protection: {entity.identifier}". Jika data tidak tersedia untuk satu entitas (is_success=true): "Action wasn't able to enrich the following entities using information from Azure AD Identity Protection: {entity.identifier}". Jika data tidak tersedia untuk semua entitas (is_success=false): "Tidak ada entitas yang disediakan yang diperkaya." Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Perkaya Entitas". Alasan: {0}''.format(error.Stacktrace)	Umum
Tabel Repositori Kasus	Nama Tabel: {entity.identifier} Kolom Tabel: Kunci Nilai	Entity

Jenis hasil

Nilai/Deskripsi

Jenis (Entitas \ Umum)

Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika data tersedia untuk satu entitas (is_success=true): "Berhasil memperkaya entitas berikut menggunakan informasi dari Azure AD Identity Protection: {entity.identifier}".

Jika data tidak tersedia untuk satu entitas (is_success=true): "Action wasn't able to enrich the following entities using information from Azure AD Identity Protection: {entity.identifier}".

Jika data tidak tersedia untuk semua entitas (is_success=false): "Tidak ada entitas yang disediakan yang diperkaya."

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Perkaya Entitas". Alasan: {0}''.format(error.Stacktrace)

Umum

Tabel Repositori Kasus

Nama Tabel: {entity.identifier}

Kolom Tabel:

Kunci
Nilai

Entity

Memperbarui Status Pengguna

Memperbarui status pengguna di Microsoft Entra ID Protection. Entitas yang didukung: Nama Pengguna, Alamat Email (entitas pengguna yang cocok dengan pola ekspresi reguler email).

Parameter

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Negara bagian/Provinsi	DDL	Disusupi Nilai yang Mungkin: Disusupi Ditolak	Tidak	Tentukan status pengguna.

Nama Tampilan Parameter

Jenis

Nilai Default

Wajib

Deskripsi

Negara bagian/Provinsi

DDL

Disusupi

Nilai yang Mungkin:

Disusupi
Ditolak

Tidak

Tentukan status pengguna.

Run On

Tindakan ini berjalan di entity Nama pengguna.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi Nilai	Contoh
is_success	Benar/Salah	is_success:False

Repositori Kasus

Jenis hasil	Nilai/Deskripsi	Jenis (Entitas \ Umum)
Pesan output*	Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika kode status 204 dilaporkan untuk satu pengguna (is_success=true): "Successfully updated the state of the following users in Azure AD Identity Protection: {entity identifier}". Jika satu pengguna tidak ditemukan (is_success=true): "Pengguna berikut tidak ditemukan di Azure AD Identity Protection:"{entity.identifier}" Jika semua pengguna tidak ditemukan (is_success=true): "None of the provided users were not found in Azure AD Identity Protection." (Tidak ada pengguna yang disediakan yang tidak ditemukan di Azure AD Identity Protection.) Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Perbarui Status Pengguna". Alasan: {0}''.format(error.Stacktrace)'	Umum

Jenis hasil

Nilai/Deskripsi

Jenis (Entitas \ Umum)

Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika kode status 204 dilaporkan untuk satu pengguna (is_success=true): "Successfully updated the state of the following users in Azure AD Identity Protection: {entity identifier}".

Jika satu pengguna tidak ditemukan (is_success=true): "Pengguna berikut tidak ditemukan di Azure AD Identity Protection:"{entity.identifier}"

Jika semua pengguna tidak ditemukan (is_success=true): "None of the provided users were not found in Azure AD Identity Protection." (Tidak ada pengguna yang disediakan yang tidak ditemukan di Azure AD Identity Protection.)

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Perbarui Status Pengguna". Alasan: {0}''.format(error.Stacktrace)'

Umum

Konektor

Untuk mengetahui detail selengkapnya tentang cara mengonfigurasi konektor di Google SecOps, lihat Menyerap data Anda (konektor).

Azure AD Identity Protection - Risk Detections Connector

Mengambil informasi tentang deteksi risiko dari Microsoft Entra ID Protection.

Filter daftar dinamis berfungsi dengan parameter riskEventType.

Parameter konektor

Gunakan parameter berikut untuk mengonfigurasi konektor:

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Root Login API	String	https://login.microsoftonline.com	Tidak	Root API yang digunakan untuk melakukan autentikasi dengan platform identitas Microsoft.
Root API	String	https://graph.microsoft.com	Ya	Root API instance Microsoft Entra ID Protection.
Nama Kolom Produk	String	Nama Produk	Ya	Nama kolom tempat nama produk disimpan. Nama produk terutama memengaruhi pemetaan. Untuk menyederhanakan dan meningkatkan proses pemetaan untuk konektor, nilai default di-resolve ke nilai penggantian yang dirujuk dari kode. Input yang tidak valid untuk parameter ini akan diselesaikan ke nilai penggantian secara default. Nilai defaultnya adalah `Product Name`.
Nama Kolom Peristiwa	String	riskEventType	Ya	Nama kolom yang menentukan nama peristiwa (subjenis).
Nama Kolom Lingkungan	String	""	Tidak	Nama kolom tempat nama lingkungan disimpan. Jika kolom environment tidak ada, konektor akan menggunakan nilai default.
`Environment Regex Pattern`	String	.*	Tidak	Pola ekspresi reguler untuk dijalankan pada nilai yang ditemukan di kolom `Environment Field Name`. Dengan parameter ini, Anda dapat memanipulasi kolom lingkungan menggunakan logika ekspresi reguler. Gunakan nilai default `.*` untuk mengambil nilai `Environment Field Name` mentah yang diperlukan. Jika pola ekspresi reguler adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default.
PythonProcessTimeout	Bilangan bulat	180	Ya	Batas waktu, dalam detik, untuk proses Python yang menjalankan skrip saat ini.
Root API	String	https://graph.microsoft.com	Ya	Root API instance Microsoft Entra ID Protection.
ID Tenant	String	T/A	Ya	ID tenant akun Microsoft Entra ID Protection.
ID Klien	String	T/A	Ya	ID klien akun Microsoft Entra ID Protection.
Rahasia Klien	Sandi	T/A	Ya	Rahasia Klien akun Microsoft Entra ID Protection.
Tingkat Risiko Terendah yang Akan Diambil	String	T/A	Tidak	Risiko terendah yang perlu digunakan untuk mengambil pemberitahuan. Nilai yang mungkin: `Low`, `Medium`, `High`. Jika tidak ada nilai yang ditentukan, konektor akan menyerap deteksi risiko dengan semua tingkat risiko.
Maks. Jam Mundur	Bilangan bulat	1	Tidak	Jumlah jam untuk pengambilan deteksi risiko.
Jumlah Maksimum Pemberitahuan yang Akan Diambil	Bilangan bulat	100	Tidak	Jumlah pemberitahuan yang akan diproses per satu iterasi konektor.
`Use whitelist as a blacklist`	Kotak centang	Tidak dicentang	Ya	Jika dipilih, konektor akan menggunakan daftar dinamis sebagai daftar blokir.
Verifikasi SSL	Kotak centang	Dicentang	Ya	Jika dipilih, integrasi akan memvalidasi sertifikat SSL saat terhubung ke server Microsoft Entra ID Protection.
Alamat Server Proxy	String	T/A	Tidak	Alamat server proxy yang akan digunakan.
Nama Pengguna Proxy	String	T/A	Tidak	Nama pengguna proxy untuk melakukan autentikasi.
Sandi Proxy	Sandi	T/A	Tidak	Sandi proxy untuk mengautentikasi.

Aturan konektor

Konektor mendukung proxy.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.