이 페이지는 Cloud Translation API를 통해 번역되었습니다.

Microsoft Entra ID Protection과 Google SecOps 통합

이 문서에서는 Azure AD Identity Protection을 Google Security Operations (Google SecOps)와 통합하는 방법을 설명합니다.

통합 버전: 7.0

기본 요건

Google SecOps 플랫폼에서 통합을 구성하기 전에 다음 필수 단계를 완료하세요.

Microsoft Entra 앱을 만듭니다.
앱의 API 권한을 구성합니다.
클라이언트 보안 비밀번호를 만듭니다.

Microsoft Entra 앱 만들기

사용자 관리자 또는 비밀번호 관리자로 Azure 포털에 로그인합니다.
Microsoft Entra ID를 선택합니다.
앱 등록 > 새 등록으로 이동합니다.
앱 이름을 입력합니다.
등록을 클릭합니다.
통합 매개변수를 구성할 때 나중에 사용할 수 있도록 애플리케이션 (클라이언트) ID 및 디렉터리 (테넌트) ID 값을 저장합니다.

API 권한 구성

API 권한 > 권한 추가로 이동합니다.
Microsoft Graph를 선택합니다.
권한 선택 섹션에서 다음 권한을 선택합니다.
- IdentityRiskEvent.Read.All
- IdentityRiskyUser.ReadWrite.All
권한 추가를 클릭합니다.
YOUR_ORGANIZATION_NAME에 대한 관리자 동의 허용을 클릭합니다.

관리자 동의 부여 확인 대화상자가 표시되면 예를 클릭합니다.

클라이언트 보안 비밀번호 만들기

인증서 및 보안 비밀 > 새 클라이언트 보안 비밀번호로 이동합니다.
클라이언트 보안 비밀번호에 대한 설명을 입력하고 만료 기한을 설정합니다.
추가를 클릭합니다.
통합을 구성할 때 Client Secret 매개변수 값으로 사용할 수 있도록 클라이언트 보안 비밀번호 (보안 비밀번호 ID 아님) 값을 저장합니다. 클라이언트 보안 비밀번호 값은 한 번만 표시됩니다.

통합 매개변수

다음 매개변수를 사용하여 통합을 구성합니다.

매개변수 표시 이름	유형	기본값	필수 항목	설명
로그인 API 루트	문자열	https://login.microsoftonline.com	아니요	Microsoft ID 플랫폼으로 인증하는 데 사용되는 API 루트입니다.
API 루트	문자열	https://graph.microsoft.com	예	Microsoft Entra ID Protection 인스턴스의 API 루트입니다.
테넌트 ID	문자열	해당 사항 없음	예	Microsoft Entra ID Protection 계정의 테넌트 ID입니다.
클라이언트 ID	문자열	해당 사항 없음	예	Microsoft Entra ID Protection 계정의 클라이언트 ID입니다.
클라이언트 보안 비밀번호	비밀번호	해당 사항 없음	예	Microsoft Entra ID Protection 계정의 클라이언트 보안 비밀번호입니다.
SSL 확인	체크박스	선택	예	사용 설정하면 Microsoft Entra ID Protection 서버 연결에 사용되는 SSL 인증서가 유효한지 확인합니다.

Google SecOps에서 통합을 구성하는 방법에 대한 안내는 통합 구성을 참고하세요.

필요한 경우 이후 단계에서 변경할 수 있습니다. 통합 인스턴스를 구성한 후 플레이북에서 사용할 수 있습니다. 여러 인스턴스를 구성하고 지원하는 방법에 관한 자세한 내용은 여러 인스턴스 지원을 참고하세요.

작업

작업에 대한 자세한 내용은 내 Workdesk에서 대기 중인 작업에 응답 및 수동 작업 실행을 참고하세요.

핑

Microsoft Entra ID Protection에 대한 연결을 테스트합니다.

매개변수

해당 사항 없음

실행

작업이 항목에서 실행되지 않거나 필수 입력 매개변수가 없습니다.

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예
is_success	True/False	is_success:False

케이스 월

결과 유형	값/설명	유형(항목 \ 일반)
출력 메시지*	작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공한 경우: '제공된 연결 매개변수를 사용하여 Azure AD Identity Protection 서버에 성공적으로 연결되었습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 성공하지 못한 경우: 'Azure AD Identity Protection 서버에 연결하지 못했습니다. 오류: {0}".format(exception.stacktrace)	일반

결과 유형

값/설명

유형(항목 \ 일반)

출력 메시지*

작업이 실패하거나 플레이북 실행을 중지하지 않습니다.

성공한 경우: '제공된 연결 매개변수를 사용하여 Azure AD Identity Protection 서버에 성공적으로 연결되었습니다.'

작업이 실패하고 플레이북 실행을 중지합니다.

성공하지 못한 경우: 'Azure AD Identity Protection 서버에 연결하지 못했습니다. 오류: {0}".format(exception.stacktrace)

일반

항목 보강

Microsoft Entra ID Protection의 정보를 사용하여 항목을 보강합니다. 지원되는 항목: 사용자 이름, 이메일 주소 (이메일 정규 표현식 패턴과 일치하는 사용자 항목)

매개변수

매개변수 표시 이름	유형	기본값	필수 항목	설명
통계 만들기	체크박스	선택	아니요	사용 설정하면 작업에서 항목에 대한 모든 검색된 정보가 포함된 통계를 만듭니다.

실행

이 작업은 사용자 이름 항목에서 실행됩니다.

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예
is_success	True/False	is_success:False

JSON 결과

{
    "id": "2600d017-84a1-444f-94ba-4bebed30b09e",
    "isDeleted": false,
    "isProcessing": false,
    "riskLevel": "none",
    "riskState": "remediated",
    "riskDetail": "userPerformedSecuredPasswordChange",
    "riskLastUpdatedDateTime": "2021-09-02T14:10:48Z",
    "userDisplayName": "user_1",
    "userPrincipalName": "user_1@example.com"
}

항목 보강

보강 필드 이름	로직 - 적용 시기
is_deleted	JSON으로 제공되는 경우
is_processing	JSON으로 제공되는 경우
risk_level	JSON으로 제공되는 경우
risk_state	JSON으로 제공되는 경우
risk_detail	JSON으로 제공되는 경우
risk_updated	JSON으로 제공되는 경우
display_name	JSON으로 제공되는 경우
principal_name	JSON으로 제공되는 경우

케이스 월

결과 유형	값/설명	유형(항목 \ 일반)
출력 메시지*	작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 항목 하나에 데이터를 사용할 수 있는 경우 (is_success=true): 'Azure AD Identity Protection: {entity.identifier}의 정보를 사용하여 다음 항목을 성공적으로 보강했습니다.' 항목 하나에 데이터를 사용할 수 없는 경우 (is_success=true): '작업에서 Azure AD Identity Protection: {entity.identifier}의 정보를 사용하여 다음 항목을 보강할 수 없습니다.' 모든 항목에 데이터를 사용할 수 없는 경우(is_success=false): '제공된 항목이 보강되지 않았습니다.' 작업이 실패하고 플레이북 실행을 중지해야 합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''항목 보강' 작업 실행 중에 오류가 발생했습니다' 이유: {0}''.format(error.Stacktrace)	일반
케이스 월 테이블	테이블 이름: {entity.identifier} 테이블 열: 키 값	항목

결과 유형

값/설명

유형(항목 \ 일반)

출력 메시지*

작업이 실패하거나 플레이북 실행을 중지하지 않습니다.

항목 하나에 데이터를 사용할 수 있는 경우 (is_success=true): 'Azure AD Identity Protection: {entity.identifier}의 정보를 사용하여 다음 항목을 성공적으로 보강했습니다.'

항목 하나에 데이터를 사용할 수 없는 경우 (is_success=true): '작업에서 Azure AD Identity Protection: {entity.identifier}의 정보를 사용하여 다음 항목을 보강할 수 없습니다.'

모든 항목에 데이터를 사용할 수 없는 경우(is_success=false): '제공된 항목이 보강되지 않았습니다.'

작업이 실패하고 플레이북 실행을 중지해야 합니다.

잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''항목 보강' 작업 실행 중에 오류가 발생했습니다' 이유: {0}''.format(error.Stacktrace)

일반

케이스 월 테이블

테이블 이름: {entity.identifier}

테이블 열:

항목

사용자 상태 업데이트

Microsoft Entra ID Protection에서 사용자 상태를 업데이트합니다. 지원되는 항목: 사용자 이름, 이메일 주소 (이메일 정규 표현식 패턴과 일치하는 사용자 항목)

매개변수

매개변수 표시 이름	유형	기본값	필수 항목	설명
주	DDL	보안 침해된 기기 가능한 값은 다음과 같습니다. 보안 침해된 기기 닫음	아니요	사용자의 상태를 지정합니다.

매개변수 표시 이름

유형

기본값

필수 항목

설명

주

DDL

보안 침해된 기기

가능한 값은 다음과 같습니다.

보안 침해된 기기
닫음

아니요

사용자의 상태를 지정합니다.

실행

이 작업은 사용자 이름 항목에서 실행됩니다.

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예
is_success	True/False	is_success:False

케이스 월

결과 유형	값/설명	유형(항목 \ 일반)
출력 메시지*	작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 한 사용자에 대해 204 상태 코드가 보고된 경우 (is_success=true): 'Azure AD Identity Protection에서 다음 사용자의 상태를 업데이트했습니다. {entity identifier}' 사용자를 찾을 수 없는 경우 (is_success=true): "Azure AD Identity Protection에서 다음 사용자를 찾을 수 없습니다."{entity.identifier}" 모든 사용자를 찾을 수 없는 경우 (is_success=true): '제공된 사용자 중 Azure AD Identity Protection에서 찾을 수 없는 사용자가 없습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''사용자 상태 업데이트' 작업 실행 중에 오류가 발생했습니다. 이유: {0}''.format(error.Stacktrace)'	일반

결과 유형

값/설명

유형(항목 \ 일반)

출력 메시지*

작업이 실패하거나 플레이북 실행을 중지하지 않습니다.

한 사용자에 대해 204 상태 코드가 보고된 경우 (is_success=true): 'Azure AD Identity Protection에서 다음 사용자의 상태를 업데이트했습니다. {entity identifier}'

사용자를 찾을 수 없는 경우 (is_success=true): "Azure AD Identity Protection에서 다음 사용자를 찾을 수 없습니다."{entity.identifier}"

모든 사용자를 찾을 수 없는 경우 (is_success=true): '제공된 사용자 중 Azure AD Identity Protection에서 찾을 수 없는 사용자가 없습니다.'

작업이 실패하고 플레이북 실행을 중지합니다.

잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''사용자 상태 업데이트' 작업 실행 중에 오류가 발생했습니다. 이유: {0}''.format(error.Stacktrace)'

일반

커넥터

Google SecOps에서 커넥터를 구성하는 방법에 관한 자세한 내용은 데이터 수집 (커넥터)을 참고하세요.

Azure AD Identity Protection - 위험 감지 커넥터

Microsoft Entra ID Protection에서 위험 감지에 관한 정보를 가져옵니다.

동적 목록 필터는 riskEventType 매개변수와 함께 작동합니다.

커넥터 매개변수

다음 매개변수를 사용하여 커넥터를 구성합니다.

매개변수 표시 이름	유형	기본값	필수 항목	설명
로그인 API 루트	문자열	https://login.microsoftonline.com	아니요	Microsoft ID 플랫폼으로 인증하는 데 사용되는 API 루트입니다.
API 루트	문자열	https://graph.microsoft.com	예	Microsoft Entra ID Protection 인스턴스의 API 루트입니다.
제품 필드 이름	문자열	제품 이름	예	제품 이름이 저장된 필드의 이름입니다. 제품 이름은 주로 매핑에 영향을 미칩니다. 커넥터의 매핑 프로세스를 간소화하고 개선하기 위해 기본값은 코드에서 참조되는 대체 값으로 확인됩니다. 이 매개변수의 잘못된 입력은 기본적으로 대체 값으로 처리됩니다. 기본값은 `Product Name`입니다.
이벤트 필드 이름	문자열	riskEventType	예	이벤트 이름 (하위 유형)을 결정하는 필드의 이름입니다.
환경 필드 이름	문자열	""	아니요	환경 이름이 저장된 필드의 이름입니다. 환경 필드가 누락된 경우 커넥터는 기본값을 사용합니다.
`Environment Regex Pattern`	문자열	.*	아니요	`Environment Field Name` 필드에 있는 값에서 실행할 정규 표현식 패턴입니다. 이 매개변수를 사용하면 정규 표현식 로직을 사용하여 환경 필드를 조작할 수 있습니다. 기본값 `.*`를 사용하여 필요한 원시 `Environment Field Name` 값을 가져옵니다. 정규 표현식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다.
PythonProcessTimeout	정수	180	예	현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도(초)입니다.
API 루트	문자열	https://graph.microsoft.com	예	Microsoft Entra ID Protection 인스턴스의 API 루트입니다.
테넌트 ID	문자열	해당 사항 없음	예	Microsoft Entra ID Protection 계정의 테넌트 ID입니다.
클라이언트 ID	문자열	해당 사항 없음	예	Microsoft Entra ID Protection 계정의 클라이언트 ID입니다.
클라이언트 보안 비밀번호	비밀번호	해당 사항 없음	예	Microsoft Entra ID Protection 계정의 클라이언트 보안 비밀번호입니다.
가져올 가장 낮은 위험 수준	문자열	해당 사항 없음	아니요	알림을 가져오는 데 사용해야 하는 가장 낮은 위험입니다. 가능한 값: `Low`, `Medium`, `High`. 값을 지정하지 않으면 커넥터가 모든 위험 수준의 위험 감지를 수집합니다.
최대 이전 시간	정수	1	아니요	위험 감지를 가져와야 하는 시간입니다.
가져올 최대 알림 수	정수	100	아니요	커넥터 반복당 처리할 알림 수입니다.
`Use whitelist as a blacklist`	체크박스	선택 해제	예	선택하면 커넥터가 동적 목록을 차단 목록으로 사용합니다.
SSL 확인	체크박스	선택	예	선택하면 Microsoft Entra ID Protection 서버에 연결할 때 통합에서 SSL 인증서를 검증합니다.
프록시 서버 주소	문자열	해당 사항 없음	아니요	사용할 프록시 서버의 주소입니다.
프록시 사용자 이름	문자열	해당 사항 없음	아니요	인증할 프록시 사용자 이름입니다.
프록시 비밀번호	비밀번호	해당 사항 없음	아니요	인증할 프록시 비밀번호입니다.

커넥터 규칙

커넥터가 프록시를 지원합니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.