Microsoft Entra ID Protection と Google SecOps を統合する
このドキュメントでは、Azure AD Identity Protection を Google Security Operations(Google SecOps)と統合する方法について説明します。
統合バージョン: 7.0
前提条件
Google SecOps プラットフォームで統合を構成する前に、次の前提条件の手順を完了します。
Microsoft Entra アプリを作成します。
アプリの API 権限を構成します。
クライアント シークレットを作成します。
Microsoft Entra アプリを作成する
ユーザー管理者またはパスワード管理者として Azure ポータルにログインします。
[Microsoft Entra ID] を選択します。
[App registrations] > [New registration] に移動します。
アプリの名前を入力します。
[Register] をクリックします。
アプリケーション(クライアント)ID とディレクトリ(テナント)ID の値を保存します。これらの値は、後で統合パラメータを構成するときに使用します。
API 権限を構成する
[API 権限> 権限を追加] に移動します。
[Microsoft Graph] を選択します。
[権限の選択] セクションで、次の権限を選択します。
IdentityRiskEvent.Read.AllIdentityRiskyUser.ReadWrite.All
[権限を追加] をクリックします。
[
YOUR_ORGANIZATION_NAMEに管理者の同意を与えます] をクリックします。[管理者の同意を得る] 確認ダイアログが表示されたら、[はい] をクリックします。
クライアント シークレットを作成する
[証明書とシークレット] > [新しいクライアント シークレット] に移動します。
クライアント シークレットの説明を入力し、有効期限を設定します。
[追加] をクリックします。
統合を構成するときに
Client Secretパラメータ値として使用するために、クライアント シークレットの値(シークレット ID ではない)を保存します。クライアント シークレットの値は 1 回だけ表示されます。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| ログイン API ルート | 文字列 | https://login.microsoftonline.com | いいえ | Microsoft ID プラットフォームでの認証に使用される API ルート。 |
| API ルート | 文字列 | https://graph.microsoft.com | はい | Microsoft Entra ID Protection インスタンスの API ルート。 |
| テナント ID | 文字列 | なし | はい | Microsoft Entra ID Protection アカウントのテナント ID。 |
| クライアント ID | 文字列 | なし | はい | Microsoft Entra ID Protection アカウントのクライアント ID。 |
| クライアント シークレット | パスワード | なし | はい | Microsoft Entra ID Protection アカウントのクライアント シークレット。 |
| SSL を確認する | チェックボックス | オン | はい | 有効にすると、Microsoft Entra ID Protection サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
Google SecOps で統合を構成する手順については、統合を構成するをご覧ください。
必要に応じて、後の段階で変更できます。統合インスタンスを構成すると、ハンドブックで使用できるようになります。複数のインスタンスの構成とサポートの方法については、複数のインスタンスのサポートをご覧ください。
操作
アクションの詳細については、 デスクから保留中のアクションに対応すると手動アクションを実行するをご覧ください。
Ping
Microsoft Entra ID Protection への接続をテストします。
パラメータ
なし
実行
このアクションはエンティティに対しては実行されず、必須入力パラメータもありません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
Case Wall
| 結果のタイプ | 値 / 説明 | タイプ(エンティティ \ 全般) |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功した場合: 「指定された接続パラメータを使用して Azure AD Identity Protection サーバーに正常に接続されました。」 アクションが失敗し、ハンドブックの実行が停止します。 成功しなかった場合: 「Azure AD Identity Protection サーバーへの接続に失敗しました。エラーは {0}」.format(exception.stacktrace) |
一般 |
エンティティの拡充
Microsoft Entra ID Protection の情報を使用してエンティティを拡充します。サポートされるエンティティ: ユーザー名、メールアドレス(メールの正規表現パターンに一致するユーザー エンティティ)。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| インサイトの作成 | チェックボックス | オン | いいえ | 有効にすると、エンティティに関して取得したすべての情報を含む分析情報が作成されます。 |
実行
このアクションはユーザー名エンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"id": "2600d017-84a1-444f-94ba-4bebed30b09e",
"isDeleted": false,
"isProcessing": false,
"riskLevel": "none",
"riskState": "remediated",
"riskDetail": "userPerformedSecuredPasswordChange",
"riskLastUpdatedDateTime": "2021-09-02T14:10:48Z",
"userDisplayName": "user_1",
"userPrincipalName": "user_1@example.com"
}
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| is_deleted | JSON で利用可能な場合 |
| is_processing | JSON で利用可能な場合 |
| risk_level | JSON で利用可能な場合 |
| risk_state | JSON で利用可能な場合 |
| risk_detail | JSON で利用可能な場合 |
| risk_updated | JSON で利用可能な場合 |
| display_name | JSON で利用可能な場合 |
| principal_name | JSON で利用可能な場合 |
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ(エンティティ \ 全般) |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 1 つのエンティティにデータが利用可能な場合(is_success=true): 「Azure AD Identity Protection の情報を使用して次のエンティティを拡充しました: {entity.identifier}」 1 つのエンティティにデータが利用できない場合(is_success=true): 「アクションは、Azure AD Identity Protection の情報を使用して次のエンティティを拡充できませんでした: {entity.identifier}」 すべてのエンティティでデータが利用できない場合(is_success=false):「指定されたエンティティはいずれも拡充されませんでした。」 アクションが失敗し、Playbook の実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「エンティティの拡充」の実行エラー。理由: {0}」.format(error.Stacktrace) |
一般 |
| Case Wall テーブル | テーブル名: {entity.identifier} テーブル列:
|
エンティティ |
ユーザーの状態を更新する
Microsoft Entra ID Protection でユーザーの状態を更新します。サポートされるエンティティ: ユーザー名、メールアドレス(メールの正規表現パターンに一致するユーザー エンティティ)。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 状態 | DDL | 不正使用あり 有効な値:
|
いいえ | ユーザーの状態を指定します。 |
実行
このアクションはユーザー名エンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
Case Wall
| 結果のタイプ | 値 / 説明 | タイプ(エンティティ \ 全般) |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 1 人のユーザーについて 204 ステータス コードが報告された場合(is_success=true): 「Azure AD Identity Protection で次のユーザーの状態が正常に更新されました: {エンティティ識別子}」。 1 人のユーザーが見つからない場合(is_success=true): 「次のユーザーが Azure AD Identity Protection で見つかりませんでした:」{entity.identifier} すべてのユーザーが見つからない場合(is_success=true): 「指定されたユーザーが Azure AD Identity Protection で見つかりませんでした。」 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「ユーザーの状態を更新」の実行エラー。理由: {0}''.format(error.Stacktrace)' |
全般 |
コネクタ
Google SecOps でコネクタを構成する方法について詳しくは、データを取り込む(コネクタ)をご覧ください。
Azure AD Identity Protection - リスク検出コネクタ
Microsoft Entra ID Protection からリスク検出に関する情報を pull します。
動的リストフィルタは、riskEventType パラメータと連動して機能します。
コネクタ パラメータ
次のパラメータを使用してコネクタを構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| ログイン API ルート | 文字列 | https://login.microsoftonline.com | いいえ | Microsoft ID プラットフォームでの認証に使用される API ルート。 |
| API ルート | 文字列 | https://graph.microsoft.com | はい | Microsoft Entra ID Protection インスタンスの API ルート。 |
| プロダクト フィールド名 | 文字列 | プロダクト名 | はい |
商品名が保存されるフィールドの名前。 商品名は主にマッピングに影響します。コネクタのマッピング プロセスを合理化して改善するため、デフォルト値はコードから参照されるフォールバック値に解決されます。このパラメータの無効な入力は、デフォルトでフォールバック値に解決されます。 デフォルト値は |
| イベント フィールド名 | 文字列 | riskEventType | はい | イベント名(サブタイプ)を特定するフィールドの名前。 |
| 環境フィールド名 | 文字列 | "" | いいえ | 環境名が保存されるフィールドの名前。 環境フィールドがない場合、コネクタはデフォルト値を使用します。 |
Environment Regex Pattern |
文字列 | .* | いいえ |
デフォルト値 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
| PythonProcessTimeout | Integer | 180 | はい | 現在のスクリプトを実行する Python プロセスのタイムアウト上限(秒単位)。 |
| API ルート | 文字列 | https://graph.microsoft.com | はい | Microsoft Entra ID Protection インスタンスの API ルート。 |
| テナント ID | 文字列 | なし | はい | Microsoft Entra ID Protection アカウントのテナント ID。 |
| クライアント ID | 文字列 | なし | はい | Microsoft Entra ID Protection アカウントのクライアント ID。 |
| クライアント シークレット | パスワード | なし | はい | Microsoft Entra ID Protection アカウントのクライアント シークレット。 |
| 取得する最も低いリスクレベル | 文字列 | なし | いいえ | アラートの取得に必要なリスクが最も低い。 指定できる値: 値を指定しない場合、コネクタはすべてのリスクレベルのリスク検出を取り込みます。 |
| 最大遡及時間 | 整数 | 1 | いいえ | リスク検出を取得する時間数。 |
| 取得するアラートの最大数 | 整数 | 100 | いいえ | 1 回のコネクタの反復処理で処理するアラートの数。 |
Use whitelist as a blacklist |
チェックボックス | オフ | はい | 選択すると、コネクタは動的リストを拒否リストとして使用します。 |
| SSL を確認する | チェックボックス | オン | はい | 選択すると、Microsoft Entra ID Protection サーバーに接続するときに SSL 証明書が検証されます。 |
| プロキシ サーバーのアドレス | 文字列 | なし | いいえ | 使用するプロキシ サーバーのアドレス。 |
| プロキシのユーザー名 | 文字列 | なし | いいえ | 認証に使用するプロキシのユーザー名。 |
| プロキシ パスワード | パスワード | なし | いいえ | 認証に使用するプロキシ パスワード。 |
コネクタルール
コネクタはプロキシをサポートしています。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。