Integrare Microsoft Entra ID Protection con Google SecOps
Questo documento descrive come integrare Azure AD Identity Protection con Google Security Operations (Google SecOps).
Versione integrazione: 7.0
Prerequisiti
Prima di configurare l'integrazione nella piattaforma Google SecOps, completa i seguenti passaggi preliminari:
Crea l'app Microsoft Entra.
Configura le autorizzazioni API per la tua app.
Crea un client secret.
Crea l'app Microsoft Entra
Accedi al portale Azure come amministratore utenti o amministratore password.
Seleziona Microsoft Entra ID.
Vai a Registrazioni app > Nuova registrazione.
Inserisci il nome dell'app.
Fai clic su Register (Registrati).
Salva i valori ID applicazione (client) e ID directory (tenant) per utilizzarli in un secondo momento durante la configurazione dei parametri di integrazione.
Configura le autorizzazioni API
Vai ad Autorizzazioni API > Aggiungi un'autorizzazione.
Seleziona Microsoft Graph.
Nella sezione Seleziona autorizzazioni, seleziona le seguenti autorizzazioni:
IdentityRiskEvent.Read.AllIdentityRiskyUser.ReadWrite.All
Fai clic su Aggiungi autorizzazioni.
Fai clic su Concedi il consenso amministratore per
YOUR_ORGANIZATION_NAME.Quando viene visualizzata la finestra di dialogo Conferma consenso amministratore, fai clic su Sì.
Crea client secret
Vai a Certificati e secret > Nuovo client secret.
Fornisci una descrizione per un client secret e imposta la relativa scadenza.
Fai clic su Aggiungi.
Salva il valore del client secret (non l'ID secret) per utilizzarlo come valore parametro
Client Secretdurante la configurazione dell'integrazione. Il valore del segreto del client viene visualizzato una sola volta.
Parametri di integrazione
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Root API di accesso | Stringa | https://login.microsoftonline.com | No | Radice dell'API utilizzata per l'autenticazione con Microsoft identity Platform. |
| Root API | Stringa | https://graph.microsoft.com | Sì | Radice API dell'istanza di Microsoft Entra ID Protection. |
| ID tenant | Stringa | N/D | Sì | ID tenant dell'account Microsoft Entra ID Protection. |
| ID client | Stringa | N/D | Sì | ID client dell'account Microsoft Entra ID Protection. |
| Client secret | Password | N/D | Sì | Il client secret dell'account Microsoft Entra ID Protection. |
| Verifica SSL | Casella di controllo | Selezionata | Sì | Se abilitata, verifica che il certificato SSL per la connessione al server Microsoft Entra ID Protection sia valido. |
Per istruzioni su come configurare un'integrazione in Google SecOps, consulta Configurare le integrazioni.
Se necessario, potrai apportare modifiche in un secondo momento. Dopo aver configurato un'istanza di integrazione, puoi utilizzarla nei playbook. Per saperne di più su come configurare e supportare più istanze, consulta Supportare più istanze.
Azioni
Per ulteriori informazioni sulle azioni, vedi Rispondere alle azioni in attesa dalla tua scrivania e Eseguire un'azione manuale.
Dindin
Verifica la connettività a Microsoft Entra ID Protection.
Parametri
N/D
Run On
L'azione non viene eseguita sulle entità e non ha parametri di input obbligatori.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo (entità/generale) |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: In caso di esito positivo: "Connessione al server Azure AD Identity Protection riuscita con i parametri di connessione forniti." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se l'operazione non va a buon fine: "Impossibile connettersi al server Azure AD Identity Protection. Error is {0}".format(exception.stacktrace) |
Generale |
Arricchisci entità
Arricchisci le entità utilizzando le informazioni di Microsoft Entra ID Protection. Entità supportate: nome utente, indirizzo email (entità utente che corrisponde al pattern dell'espressione regolare dell'email).
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Crea approfondimento | Casella di controllo | Selezionata | No | Se attivata, l'azione crea un insight contenente tutte le informazioni recuperate sull'entità. |
Run On
Questa azione viene eseguita sull'entità Nome utente.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"id": "2600d017-84a1-444f-94ba-4bebed30b09e",
"isDeleted": false,
"isProcessing": false,
"riskLevel": "none",
"riskState": "remediated",
"riskDetail": "userPerformedSecuredPasswordChange",
"riskLastUpdatedDateTime": "2021-09-02T14:10:48Z",
"userDisplayName": "user_1",
"userPrincipalName": "user_1@example.com"
}
Arricchimento delle entità
| Nome campo di arricchimento | Logica - Quando applicarla |
|---|---|
| is_deleted | Quando disponibile in formato JSON |
| is_processing | Quando disponibile in formato JSON |
| risk_level | Quando disponibile in formato JSON |
| risk_state | Quando disponibile in formato JSON |
| risk_detail | Quando disponibile in formato JSON |
| risk_updated | Quando disponibile in formato JSON |
| display_name | Quando disponibile in formato JSON |
| principal_name | Quando disponibile in formato JSON |
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo (entità/generale) |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se i dati sono disponibili per un'entità (is_success=true): "Le seguenti entità sono state arricchite correttamente utilizzando le informazioni di Azure AD Identity Protection: {entity.identifier}". Se i dati non sono disponibili per un'entità (is_success=true): "L'azione non è riuscita ad arricchire le seguenti entità utilizzando le informazioni di Azure AD Identity Protection: {entity.identifier}". Se i dati non sono disponibili per tutte le entità (is_success=false): "Nessuna delle entità fornite è stata arricchita." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Arricchisci entità". Motivo: {0}''.format(error.Stacktrace) |
Generale |
| Tabella Bacheca casi | Nome tabella: {entity.identifier} Colonne della tabella:
|
Entità |
Aggiorna stato utente
Aggiorna lo stato dell'utente in Microsoft Entra ID Protection. Entità supportate: Nome utente, Indirizzo email (entità utente che corrisponde al pattern dell'espressione regolare dell'email).
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Stato | DDL | Compromessi Valori possibili:
|
No | Specifica lo stato degli utenti. |
Run On
Questa azione viene eseguita sull'entità Nome utente.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo (entità/generale) |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se viene segnalato il codice di stato 204 per un utente (is_success=true): "Aggiornamento riuscito dello stato dei seguenti utenti in Azure AD Identity Protection: {entity identifier}". Se non viene trovato un utente (is_success=true): "I seguenti utenti non sono stati trovati in Azure AD Identity Protection:"{entity.identifier}" Se non vengono trovati tutti gli utenti (is_success=true): "Nessuno degli utenti forniti è stato trovato in Azure AD Identity Protection". L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Aggiorna stato utente". Motivo: {0}''.format(error.Stacktrace)' |
Generale |
Connettori
Per maggiori dettagli su come configurare i connettori in Google SecOps, consulta Importare i dati (connettori).
Azure AD Identity Protection - Risk Detections Connector
Estrai informazioni sulle rilevazioni di rischi da Microsoft Entra ID Protection.
Il filtro dell'elenco dinamico funziona con il parametro riskEventType.
Parametri del connettore
Utilizza i seguenti parametri per configurare il connettore:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Root API di accesso | Stringa | https://login.microsoftonline.com | No | Radice dell'API utilizzata per l'autenticazione con Microsoft identity Platform. |
| Root API | Stringa | https://graph.microsoft.com | Sì | Radice API dell'istanza di Microsoft Entra ID Protection. |
| Nome campo prodotto | Stringa | Nome prodotto | Sì |
Il nome del campo in cui è memorizzato il nome del prodotto. Il nome del prodotto influisce principalmente sulla mappatura. Per semplificare e migliorare la procedura di mappatura per il connettore, il valore predefinito viene risolto in un valore di riserva a cui viene fatto riferimento dal codice. Qualsiasi input non valido per questo parametro viene risolto in un valore di riserva per impostazione predefinita. Il valore predefinito è |
| Nome campo evento | Stringa | riskEventType | Sì | Il nome del campo che determina il nome (sottotipo) dell'evento. |
| Nome campo ambiente | Stringa | "" | No | Il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo ambiente non è presente, il connettore utilizza il valore predefinito. |
Environment Regex Pattern |
Stringa | .* | No |
Un pattern di espressione regolare da eseguire sul valore trovato nel campo
Utilizza il valore predefinito Se il pattern dell'espressione regolare è nullo o vuoto oppure il valore dell'ambiente è nullo, l'ambiente finale è quello predefinito. |
| PythonProcessTimeout | Numero intero | 180 | Sì | Il limite di timeout, in secondi, per il processo Python che esegue lo script corrente. |
| Root API | Stringa | https://graph.microsoft.com | Sì | Radice API dell'istanza di Microsoft Entra ID Protection. |
| ID tenant | Stringa | N/D | Sì | ID tenant dell'account Microsoft Entra ID Protection. |
| ID client | Stringa | N/D | Sì | ID client dell'account Microsoft Entra ID Protection. |
| Client secret | Password | N/D | Sì | Il client secret dell'account Microsoft Entra ID Protection. |
| Livello di rischio più basso da recuperare | Stringa | N/D | No | Il rischio più basso da utilizzare per recuperare gli avvisi. Valori possibili: Se non viene specificato alcun valore, il connettore acquisisce i rilevamenti dei rischi con tutti i livelli di rischio. |
| Ore massime indietro | Numero intero | 1 | No | Il numero di ore per cui devono essere recuperati i rilevamenti dei rischi. |
| Numero massimo di avvisi da recuperare | Numero intero | 100 | No | Il numero di avvisi da elaborare per ogni iterazione del connettore. |
Use whitelist as a blacklist |
Casella di controllo | Deselezionata | Sì | Se selezionato, il connettore utilizza l'elenco dinamico come blocklist. |
| Verifica SSL | Casella di controllo | Selezionata | Sì | Se selezionata, l'integrazione convalida il certificato SSL quando si connette al server Microsoft Entra ID Protection. |
| Indirizzo del server proxy | Stringa | N/D | No | L'indirizzo del server proxy da utilizzare. |
| Nome utente proxy | Stringa | N/D | No | Il nome utente del proxy con cui eseguire l'autenticazione. |
| Password proxy | Password | N/D | No | La password del proxy per l'autenticazione. |
Regole del connettore
Il connettore supporta i proxy.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.