Integrar o Microsoft Entra ID Protection ao Google SecOps
Neste documento, descrevemos como integrar o Azure AD Identity Protection ao Google Security Operations (Google SecOps).
Versão da integração: 7.0
Pré-requisitos
Antes de configurar a integração na plataforma Google SecOps, conclua as etapas de pré-requisito a seguir:
Crie o app do Microsoft Entra.
Configure as permissões da API para seu app.
Crie uma chave secreta do cliente.
Criar um app do Microsoft Entra
Faça login no portal do Azure como administrador de usuários ou de senhas.
Selecione Microsoft Entra ID.
Acesse Registros de apps > Novo registro.
Digite o nome do app.
Clique em Registrar.
Salve os valores de ID do aplicativo (cliente) e ID do diretório (locatário) para usar depois ao configurar os parâmetros de integração.
Configurar permissões da API
Acesse Permissões da API > Adicionar uma permissão.
Selecione Microsoft Graph.
Na seção Selecionar permissões, selecione as seguintes permissões:
IdentityRiskEvent.Read.AllIdentityRiskyUser.ReadWrite.All
Clique em Adicionar permissões
Clique em Conceder consentimento de administrador para
YOUR_ORGANIZATION_NAME.Quando a caixa de diálogo Confirmação de concessão de consentimento de administrador aparecer, clique em Sim.
Criar chave secreta do cliente
Navegue até Certificados e chaves secretas > Nova chave secreta do cliente.
Descreva uma chave secreta do cliente e defina o prazo de validade dela.
Clique em Adicionar.
Salve o valor da chave secreta do cliente (não o ID secreto) para usá-lo como o valor do parâmetro
Client Secretao configurar a integração. O valor do segredo do cliente é mostrado apenas uma vez.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API de login | String | https://login.microsoftonline.com | Não | Raiz da API usada para autenticar com a plataforma de identidade da Microsoft. |
| Raiz da API | String | https://graph.microsoft.com | Sim | Raiz da API da instância do Microsoft Entra ID Protection. |
| Código do locatário | String | N/A | Sim | ID do locatário da conta do Microsoft Entra ID Protection. |
| ID do cliente | String | N/A | Sim | ID do cliente da conta do Microsoft Entra ID Protection. |
| Chave secreta do cliente | Senha | N/A | Sim | Chave secreta do cliente da conta do Microsoft Entra ID Protection. |
| Verificar SSL | Caixa de seleção | Selecionado | Sim | Se ativada, verifica se o certificado SSL da conexão com o servidor do Microsoft Entra ID Protection é válido. |
Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
É possível fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.
Ações
Para mais informações sobre ações, consulte Responder a ações pendentes da sua mesa de trabalho e Realizar uma ação manual.
Ping
Teste a conectividade com o Microsoft Entra ID Protection.
Parâmetros
N/A
Executar em
A ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo (entidade \ geral) |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se for bem-sucedido: "Conexão bem-sucedida com o servidor do Azure AD Identity Protection usando os parâmetros de conexão fornecidos" A ação precisa falhar e interromper a execução de um playbook: Se não der certo: "Não foi possível se conectar ao servidor de proteção de identidade do Azure AD! O erro é {0}".format(exception.stacktrace) |
Geral |
Enriquecer entidades
Enriqueça entidades usando informações do Microsoft Entra ID Protection. Entidades compatíveis: nome de usuário, endereço de e-mail (entidade de usuário que corresponde ao padrão de expressão regular de e-mail).
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Criar insight | Caixa de seleção | Selecionado | Não | Se ativada, a ação cria um insight com todas as informações recuperadas sobre a entidade. |
Executar em
Essa ação é executada na entidade "Nome de usuário".
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
{
"id": "2600d017-84a1-444f-94ba-4bebed30b09e",
"isDeleted": false,
"isProcessing": false,
"riskLevel": "none",
"riskState": "remediated",
"riskDetail": "userPerformedSecuredPasswordChange",
"riskLastUpdatedDateTime": "2021-09-02T14:10:48Z",
"userDisplayName": "user_1",
"userPrincipalName": "user_1@example.com"
}
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| is_deleted | Quando disponível em JSON |
| is_processing | Quando disponível em JSON |
| risk_level | Quando disponível em JSON |
| risk_state | Quando disponível em JSON |
| risk_detail | Quando disponível em JSON |
| risk_updated | Quando disponível em JSON |
| display_name | Quando disponível em JSON |
| principal_name | Quando disponível em JSON |
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo (entidade \ geral) |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se os dados estiverem disponíveis para uma entidade (is_success=true): "Enriquecimento das seguintes entidades usando informações da Proteção de identidade do Azure AD: {entity.identifier}". Se os dados não estiverem disponíveis para uma entidade (is_success=true): "Não foi possível enriquecer as seguintes entidades usando informações do Azure AD Identity Protection: {entity.identifier}". Se os dados não estiverem disponíveis para todas as entidades (is_success=false):Nenhuma das entidades fornecidas foi enriquecida. A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Enriquecer entidades". Motivo: {0}''.format(error.Stacktrace) |
Geral |
| Tabela do painel de casos | Nome da tabela: {entity.identifier} Colunas da tabela:
|
Entidade |
Atualizar estado do usuário
Atualiza o estado do usuário no Microsoft Entra ID Protection. Entidades aceitas: nome de usuário, endereço de e-mail (entidade de usuário que corresponde ao padrão de expressão regular de e-mail).
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Estado | DDL | Comprometido Valores possíveis:
|
Não | Especifique o estado dos usuários. |
Executar em
Essa ação é executada na entidade "Nome de usuário".
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo (entidade \ geral) |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se o código de status 204 for informado para um usuário (is_success=true): "O estado dos seguintes usuários foi atualizado no Azure AD Identity Protection: {identificador da entidade}". Se um usuário não for encontrado (is_success=true):Os seguintes usuários não foram encontrados no Azure AD Identity Protection:"{entity.identifier}" Se todos os usuários não forem encontrados (is_success=true) : "Nenhum dos usuários fornecidos foi encontrado na Proteção de Identidade do Azure AD". A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Atualizar estado do usuário". Motivo: {0}''.format(error.Stacktrace)' |
Geral |
Conectores
Para mais detalhes sobre como configurar conectores no Google SecOps, consulte Ingerir seus dados (conectores).
Proteção de identidade do Azure AD: conector de detecção de risco
Extrair informações sobre detecções de risco do Microsoft Entra ID Protection.
O filtro de lista dinâmica funciona com o parâmetro riskEventType.
Parâmetros do conector
Use os seguintes parâmetros para configurar o conector:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API de login | String | https://login.microsoftonline.com | Não | Raiz da API usada para autenticar com a plataforma de identidade da Microsoft. |
| Raiz da API | String | https://graph.microsoft.com | Sim | Raiz da API da instância do Microsoft Entra ID Protection. |
| Nome do campo do produto | String | Nome do produto | Sim |
O nome do campo em que o nome do produto é armazenado. O nome do produto afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor padrão é resolvido como um valor substituto referenciado no código. Qualquer entrada inválida para esse parâmetro é resolvida como um valor de substituição por padrão. O valor padrão é |
| Nome do campo do evento | String | riskEventType | Sim | O nome do campo que determina o nome do evento (subtipo). |
| Nome do campo de ambiente | String | "" | Não | O nome do campo em que o nome do ambiente é armazenado. Se o campo "environment" estiver ausente, o conector usará o valor padrão. |
Environment Regex Pattern |
String | .* | Não |
Um padrão de expressão regular a ser executado no valor encontrado no campo Use o valor padrão Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão. |
| PythonProcessTimeout | Número inteiro | 180 | Sim | O limite de tempo limite, em segundos, para o processo do Python que executa o script atual. |
| Raiz da API | String | https://graph.microsoft.com | Sim | Raiz da API da instância do Microsoft Entra ID Protection. |
| Código do locatário | String | N/A | Sim | ID do locatário da conta do Microsoft Entra ID Protection. |
| ID do cliente | String | N/A | Sim | ID do cliente da conta do Microsoft Entra ID Protection. |
| Chave secreta do cliente | Senha | N/A | Sim | Chave secreta do cliente da conta do Microsoft Entra ID Protection. |
| Nível de risco mais baixo a ser buscado | String | N/A | Não | O menor risco que precisa ser usado para buscar alertas. Valores possíveis: Se nenhum valor for especificado, o conector vai ingerir detecções de risco com todos os níveis de risco. |
| Máximo de horas para trás | Número inteiro | 1 | Não | O número de horas em que as detecções de risco devem ser buscadas. |
| Número máximo de alertas a serem buscados | Número inteiro | 100 | Não | O número de alertas a serem processados por iteração de conector. |
Use whitelist as a blacklist |
Caixa de seleção | Desmarcado | Sim | Se selecionado, o conector usa a lista dinâmica como uma lista de bloqueio. |
| Verificar SSL | Caixa de seleção | Selecionado | Sim | Se selecionada, a integração valida o certificado SSL ao se conectar ao servidor do Microsoft Entra ID Protection. |
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a ser usado. |
| Nome de usuário do proxy | String | N/A | Não | O nome de usuário do proxy para autenticação. |
| Senha do proxy | Senha | N/A | Não | A senha do proxy para autenticação. |
Regras do conector
O conector é compatível com proxies.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.