Integre o Microsoft Entra ID Protection com o Google SecOps
Este documento descreve como integrar o Azure AD Identity Protection com o Google Security Operations (Google SecOps).
Versão da integração: 7.0
Pré-requisitos
Antes de configurar a integração na plataforma Google SecOps, conclua os seguintes passos de pré-requisito:
Crie a app Microsoft Entra.
Configure as autorizações da API para a sua app.
Crie um segredo do cliente.
Crie uma app do Microsoft Entra
Inicie sessão no portal do Azure como administrador de utilizadores ou administrador de palavras-passe.
Selecione Microsoft Entra ID.
Aceda a Registos de apps > Novo registo.
Introduza o nome da app.
Clique em Registar.
Guarde os valores do ID da aplicação (cliente) e do ID do diretório (inquilino) para os usar mais tarde quando configurar os parâmetros de integração.
Configure autorizações da API
Aceda a Autorizações da API > Adicionar uma autorização.
Selecione Microsoft Graph.
Na secção Selecionar autorizações, selecione as seguintes autorizações:
IdentityRiskEvent.Read.AllIdentityRiskyUser.ReadWrite.All
Clique em Adicionar autorizações.
Clique em Conceder consentimento do administrador para
YOUR_ORGANIZATION_NAME.Quando for apresentada a caixa de diálogo Confirmação de concessão de consentimento do administrador, clique em Sim.
Crie um segredo do cliente
Navegue para Certificados e segredos > Novo segredo do cliente.
Forneça uma descrição para um segredo do cliente e defina o respetivo prazo de validade.
Clique em Adicionar.
Guarde o valor do segredo do cliente (não o ID do segredo) para o usar como o valor do parâmetro
Client Secretao configurar a integração. O valor do segredo do cliente só é apresentado uma vez.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API de início de sessão | String | https://login.microsoftonline.com | Não | Raiz da API usada para autenticar com a plataforma de identidade da Microsoft. |
| Raiz da API | String | https://graph.microsoft.com | Sim | Raiz da API da instância do Microsoft Entra ID Protection. |
| ID do inquilino | String | N/A | Sim | ID do inquilino da conta do Microsoft Entra ID Protection. |
| ID do cliente | String | N/A | Sim | ID do cliente da conta do Microsoft Entra ID Protection. |
| Segredo do cliente | Palavra-passe | N/A | Sim | Segredo do cliente da conta do Microsoft Entra ID Protection. |
| Validar SSL | Caixa de verificação | Marcado | Sim | Se estiver ativada, valida se o certificado SSL para a ligação ao servidor do Microsoft Entra ID Protection é válido. |
Para obter instruções sobre como configurar uma integração no Google SecOps, consulte o artigo Configurar integrações.
Se necessário, pode fazer alterações numa fase posterior. Depois de configurar uma instância de integração, pode usá-la em manuais de soluções. Para mais informações sobre como configurar e suportar várias instâncias, consulte o artigo Suporte de várias instâncias.
Ações
Para mais informações sobre ações, consulte os artigos Responda a ações pendentes da sua mesa de trabalho e Execute uma ação manual.
Tchim-tchim
Teste a conetividade ao Microsoft Entra ID Protection.
Parâmetros
N/A
Executar em
A ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Case Wall
| Tipo de resultado | Valor/descrição | Tipo (entidade \ geral) |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido: "Ligação estabelecida com êxito ao servidor do Azure AD Identity Protection com os parâmetros de ligação fornecidos!" A ação deve falhar e parar a execução de um guia interativo: Se não for bem-sucedido: "Não foi possível estabelecer ligação ao servidor do Azure AD Identity Protection! O erro é {0}".format(exception.stacktrace) |
Geral |
Enriquecer entidades
Enriqueça as entidades com informações do Microsoft Entra ID Protection. Entidades suportadas: nome de utilizador, endereço de email (entidade de utilizador que corresponde ao padrão de expressão regular de email).
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Crie estatísticas | Caixa de verificação | Marcado | Não | Se estiver ativada, a ação cria uma estatística que contém todas as informações acerca da entidade. |
Executar em
Esta ação é executada na entidade Username.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"id": "2600d017-84a1-444f-94ba-4bebed30b09e",
"isDeleted": false,
"isProcessing": false,
"riskLevel": "none",
"riskState": "remediated",
"riskDetail": "userPerformedSecuredPasswordChange",
"riskLastUpdatedDateTime": "2021-09-02T14:10:48Z",
"userDisplayName": "user_1",
"userPrincipalName": "user_1@example.com"
}
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| is_deleted | Quando estiver disponível em JSON |
| is_processing | Quando estiver disponível em JSON |
| risk_level | Quando estiver disponível em JSON |
| risk_state | Quando estiver disponível em JSON |
| risk_detail | Quando estiver disponível em JSON |
| risk_updated | Quando estiver disponível em JSON |
| display_name | Quando estiver disponível em JSON |
| principal_name | Quando estiver disponível em JSON |
Case Wall
| Tipo de resultado | Valor/descrição | Tipo (entidade \ geral) |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se os dados estiverem disponíveis para uma entidade (is_success=true): "As seguintes entidades foram enriquecidas com êxito através de informações do Azure AD Identity Protection: {entity.identifier}". Se os dados não estiverem disponíveis para uma entidade (is_success=true): "Não foi possível enriquecer as seguintes entidades com informações do Azure AD Identity Protection: {entity.identifier}". Se os dados não estiverem disponíveis para todas as entidades (is_success=false): "Nenhuma das entidades fornecidas foi enriquecida." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Enriquecer entidades". Motivo: {0}''.format(error.Stacktrace) |
Geral |
| Tabela de parede da caixa | Nome da tabela: {entity.identifier} Colunas da tabela:
|
Entidade |
Atualize o estado do utilizador
Atualize o estado do utilizador no Microsoft Entra ID Protection. Entidades suportadas: Nome de utilizador, endereço de email (entidade de utilizador que corresponde ao padrão de expressão regular de email).
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Estado | LDD | Comprometido Valores possíveis:
|
Não | Especifique o estado dos utilizadores. |
Executar em
Esta ação é executada na entidade Username.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Case Wall
| Tipo de resultado | Valor/descrição | Tipo (entidade \ geral) |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se o código de estado 204 for comunicado para um utilizador (is_success=true): "O estado dos seguintes utilizadores no Azure AD Identity Protection foi atualizado com êxito: {entity identifier}". Se não for encontrado um utilizador (is_success=true): "Não foram encontrados os seguintes utilizadores na proteção de identidade do Azure AD:"{entity.identifier}" Se não forem encontrados todos os utilizadores (is_success=true): "Nenhum dos utilizadores fornecidos foi encontrado no Azure AD Identity Protection." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, nenhuma ligação ao servidor ou outro: "Erro ao executar a ação "Atualizar estado do utilizador". Motivo: {0}''.format(error.Stacktrace)' |
Geral |
Conetores
Para mais detalhes sobre como configurar conetores no Google SecOps, consulte o artigo Carregue os seus dados (conetores).
Azure AD Identity Protection - Risk Detections Connector
Extrair informações sobre deteções de riscos do Microsoft Entra ID Protection.
O filtro de listas dinâmicas funciona com o parâmetro riskEventType.
Parâmetros do conetor
Use os seguintes parâmetros para configurar o conector:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API de início de sessão | String | https://login.microsoftonline.com | Não | Raiz da API usada para autenticar com a plataforma de identidade da Microsoft. |
| Raiz da API | String | https://graph.microsoft.com | Sim | Raiz da API da instância do Microsoft Entra ID Protection. |
| Nome do campo do produto | String | Nome do produto | Sim |
O nome do campo onde o nome do produto está armazenado. O nome do produto afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor predefinido é resolvido para um valor alternativo referenciado a partir do código. Qualquer entrada inválida para este parâmetro é resolvida para um valor alternativo por predefinição. O valor predefinido é |
| Nome do campo de evento | String | riskEventType | Sim | O nome do campo que determina o nome do evento (subtipo). |
| Nome do campo do ambiente | String | "" | Não | O nome do campo onde o nome do ambiente está armazenado. Se o campo de ambiente estiver em falta, o conector usa o valor predefinido. |
Environment Regex Pattern |
String | .* | Não |
Um padrão de expressão regular a executar no valor encontrado no campo Use o valor predefinido Se o padrão de expressão regular for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado do ambiente final é o ambiente predefinido. |
| PythonProcessTimeout | Número inteiro | 180 | Sim | O limite de tempo limite, em segundos, para o processo Python que executa o script atual. |
| Raiz da API | String | https://graph.microsoft.com | Sim | Raiz da API da instância do Microsoft Entra ID Protection. |
| ID do inquilino | String | N/A | Sim | ID do inquilino da conta do Microsoft Entra ID Protection. |
| ID do cliente | String | N/A | Sim | ID do cliente da conta do Microsoft Entra ID Protection. |
| Segredo do cliente | Palavra-passe | N/A | Sim | Segredo do cliente da conta do Microsoft Entra ID Protection. |
| Nível de risco mais baixo a obter | String | N/A | Não | O risco mais baixo que tem de ser usado para obter alertas. Valores possíveis: Se não for especificado nenhum valor, o conector carrega deteções de risco com todos os níveis de risco. |
| Máximo de horas para trás | Número inteiro | 1 | Não | O número de horas para as quais as deteções de risco devem ser obtidas. |
| Máximo de alertas a obter | Número inteiro | 100 | Não | O número de alertas a processar por iteração de conetor. |
Use whitelist as a blacklist |
Caixa de verificação | Desmarcado | Sim | Se estiver selecionada, o conetor usa a lista dinâmica como uma lista de bloqueios. |
| Validar SSL | Caixa de verificação | Marcado | Sim | Se estiver selecionada, a integração valida o certificado SSL quando se liga ao servidor do Microsoft Entra ID Protection. |
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a usar. |
| Nome de utilizador do proxy | String | N/A | Não | O nome de utilizador do proxy para autenticação. |
| Palavra-passe do proxy | Palavra-passe | N/A | Não | A palavra-passe do proxy para autenticação. |
Regras de conector
O conetor suporta proxies.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.