本頁面由 Cloud Translation API 翻譯而成。

將 Microsoft Entra ID Protection 與 Google SecOps 整合

本文說明如何將 Azure AD Identity Protection 與 Google Security Operations (Google SecOps) 整合。

整合版本：7.0

。

必要條件

在 Google SecOps 平台設定整合功能前，請先完成下列必要步驟：

建立 Microsoft Entra 應用程式。
設定應用程式的 API 權限。
建立用戶端密碼。

建立 Microsoft Entra 應用程式

以使用者管理員或密碼管理員身分登入 Azure 入口網站。
選取「Microsoft Entra ID」。
依序前往「App registrations」>「New registration」。
輸入應用程式名稱。
按一下「註冊」。
儲存「Application (client) ID」和「Directory (tenant) ID」值，稍後設定整合參數時會用到。

設定 API 權限

前往「API 權限」> 新增權限。
選取「Microsoft Graph」。
在「選取權限」部分，選取下列權限：
- IdentityRiskEvent.Read.All
- IdentityRiskyUser.ReadWrite.All
按一下「Add permissions」。
按一下「Grant admin consent for YOUR_ORGANIZATION_NAME」。

畫面出現「授予管理員同意聲明確認」對話方塊時，按一下「是」。

建立用戶端密鑰

依序前往「Certificates and secrets」(憑證和密鑰) >「New client secret」(新增用戶端密鑰)。
提供用戶端密鑰的說明，並設定到期期限。
按一下「新增」。
儲存用戶端密鑰的值 (而非密鑰 ID)，在設定整合時做為 Client Secret 參數值。用戶端密鑰值只會顯示一次。

整合參數

請使用下列參數設定整合：

參數顯示名稱	類型	預設值	為必填項目	說明
登入 API 根層級	字串	https://login.microsoftonline.com	否	用於透過 Microsoft Identity Platform 驗證的 API 根目錄。
API 根層級	字串	https://graph.microsoft.com	是	Microsoft Entra ID Protection 執行個體的 API 根目錄。
用戶群 ID	字串	不適用	是	Microsoft Entra ID Protection 帳戶的租戶 ID。
用戶端 ID	字串	不適用	是	Microsoft Entra ID Protection 帳戶的用戶端 ID。
用戶端密鑰	密碼	不適用	是	Microsoft Entra ID Protection 帳戶的用戶端密鑰。
驗證 SSL	核取方塊	已勾選	是	啟用後，系統會驗證連線至 Microsoft Entra ID Protection 伺服器的 SSL 憑證是否有效。

如需在 Google SecOps 中設定整合功能的操作說明，請參閱「設定整合功能」。

如有需要，您可以在稍後階段進行變更。設定整合執行個體後，您就可以在劇本中使用該執行個體。如要進一步瞭解如何設定及支援多個執行個體，請參閱「支援多個執行個體」。

動作

如要進一步瞭解動作，請參閱「從工作台回覆待處理動作」和「執行手動動作」。

乒乓

測試與 Microsoft Entra ID Protection 的連線。

參數

不適用

執行時間

動作不會在實體上執行，也沒有強制輸入參數。

動作執行結果

指令碼執行結果

指令碼結果名稱	值選項	範例
is_success	True/False	is_success:False

案件總覽

結果類型	值/說明	類型 (實體/一般)
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果成功：「Successfully connected to the Azure AD Identity Protection server with the provided connection parameters!」(已使用提供的連線參數，成功連線至 Azure AD Identity Protection 伺服器！) 動作應會失敗並停止執行應對手冊：如果未成功：「Failed to connect to the Azure AD Identity Protection server! Error is {0}".format(exception.stacktrace)	一般

結果類型

值/說明

類型 (實體/一般)

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果成功：「Successfully connected to the Azure AD Identity Protection server with the provided connection parameters!」(已使用提供的連線參數，成功連線至 Azure AD Identity Protection 伺服器！)

動作應會失敗並停止執行應對手冊：

如果未成功：「Failed to connect to the Azure AD Identity Protection server! Error is {0}".format(exception.stacktrace)

一般

充實實體

使用 Microsoft Entra ID Protection 的資訊擴充實體。支援的實體：使用者名稱、電子郵件地址 (符合電子郵件規則運算式模式的使用者實體)。

參數

參數顯示名稱	類型	預設值	為必填項目	說明
建立洞察資料	核取方塊	已勾選	否	如果啟用，這項動作會建立洞察資料，其中包含實體的所有擷取資訊。

執行時間

這項動作會對使用者名稱實體執行。

動作執行結果

指令碼執行結果

指令碼結果名稱	值選項	範例
is_success	True/False	is_success:False

JSON 結果

{
    "id": "2600d017-84a1-444f-94ba-4bebed30b09e",
    "isDeleted": false,
    "isProcessing": false,
    "riskLevel": "none",
    "riskState": "remediated",
    "riskDetail": "userPerformedSecuredPasswordChange",
    "riskLastUpdatedDateTime": "2021-09-02T14:10:48Z",
    "userDisplayName": "user_1",
    "userPrincipalName": "user_1@example.com"
}

實體擴充

補充資料欄位名稱	邏輯 - 應用時機
is_deleted	以 JSON 格式提供時
is_processing	以 JSON 格式提供時
risk_level	以 JSON 格式提供時
risk_state	以 JSON 格式提供時
risk_detail	以 JSON 格式提供時
risk_updated	以 JSON 格式提供時
display_name	以 JSON 格式提供時
principal_name	以 JSON 格式提供時

案件總覽

結果類型	值/說明	類型 (實體/一般)
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果某個實體有資料 (is_success=true)：「Successfully enriched the following entities using information from Azure AD Identity Protection: {entity.identifier}」(已使用 Azure AD Identity Protection 的資訊，成功擴充下列實體：{entity.identifier})。如果某個實體沒有資料 (is_success=true)：「Action wasn't able to enrich the following entities using information from Azure AD Identity Protection: {entity.identifier}」。如果並非所有實體都有資料 (is_success=false)：「None of the provided entities were enriched.」動作應會失敗並停止執行應對手冊：如果系統回報嚴重錯誤，例如憑證錯誤、無法連線至伺服器或其他錯誤：「執行『Enrich Entities』動作時發生錯誤。原因：{0}''.format(error.Stacktrace)	一般
案件總覽表格	資料表名稱：{entity.identifier} 資料表資料欄：鍵值	實體

結果類型

值/說明

類型 (實體/一般)

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果某個實體有資料 (is_success=true)：「Successfully enriched the following entities using information from Azure AD Identity Protection: {entity.identifier}」(已使用 Azure AD Identity Protection 的資訊，成功擴充下列實體：{entity.identifier})。

如果某個實體沒有資料 (is_success=true)：「Action wasn't able to enrich the following entities using information from Azure AD Identity Protection: {entity.identifier}」。

如果並非所有實體都有資料 (is_success=false)：「None of the provided entities were enriched.」

動作應會失敗並停止執行應對手冊：

如果系統回報嚴重錯誤，例如憑證錯誤、無法連線至伺服器或其他錯誤：「執行『Enrich Entities』動作時發生錯誤。原因：{0}''.format(error.Stacktrace)

一般

案件總覽表格

資料表名稱：{entity.identifier}

資料表資料欄：

實體

更新使用者狀態

更新 Microsoft Entra ID Protection 中的使用者狀態。支援的實體：使用者名稱、電子郵件地址 (符合電子郵件規則運算式模式的使用者實體)。

參數

參數顯示名稱	類型	預設值	為必填項目	說明
狀態	DDL	遭駭可能的值：遭駭已關閉	否	指定使用者的狀態。

參數顯示名稱

類型

預設值

為必填項目

說明

狀態

DDL

遭駭

可能的值：

遭駭
已關閉

否

指定使用者的狀態。

執行時間

這項動作會對使用者名稱實體執行。

動作執行結果

指令碼執行結果

指令碼結果名稱	值選項	範例
is_success	True/False	is_success:False

案件總覽

結果類型	值/說明	類型 (實體/一般)
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果系統為某位使用者回報 204 狀態碼 (is_success=true)：「Successfully updated the state of the following users in Azure AD Identity Protection: {實體 ID}」(已成功更新 Azure AD Identity Protection 中下列使用者的狀態：{實體 ID})。如果找不到使用者 (is_success=true)："The following users were not found in Azure AD Identity Protection:"{entity.identifier}" 如果找不到所有使用者 (is_success=true)：「Azure AD Identity Protection 中找不到任何提供的使用者。」動作應會失敗並停止執行應對手冊：如果系統回報嚴重錯誤，例如憑證錯誤、無法連線至伺服器或其他錯誤：「執行『更新使用者狀態』動作時發生錯誤。原因：{0}''.format(error.Stacktrace)'	一般

結果類型

值/說明

類型 (實體/一般)

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果系統為某位使用者回報 204 狀態碼 (is_success=true)：「Successfully updated the state of the following users in Azure AD Identity Protection: {實體 ID}」(已成功更新 Azure AD Identity Protection 中下列使用者的狀態：{實體 ID})。

如果找不到使用者 (is_success=true)："The following users were not found in Azure AD Identity Protection:"{entity.identifier}"

如果找不到所有使用者 (is_success=true)： 「Azure AD Identity Protection 中找不到任何提供的使用者。」

動作應會失敗並停止執行應對手冊：

如果系統回報嚴重錯誤，例如憑證錯誤、無法連線至伺服器或其他錯誤：「執行『更新使用者狀態』動作時發生錯誤。原因：{0}''.format(error.Stacktrace)'

一般

連接器

如要進一步瞭解如何在 Google SecOps 中設定連接器，請參閱「擷取資料 (連接器)」。

Azure AD Identity Protection - Risk Detections Connector

從 Microsoft Entra ID Protection 擷取風險偵測資訊。

動態清單篩選器適用於 riskEventType 參數。

連接器參數

請使用下列參數設定連接器：

參數顯示名稱	類型	預設值	為必填項目	說明
登入 API 根層級	字串	https://login.microsoftonline.com	否	用於透過 Microsoft Identity Platform 驗證的 API 根目錄。
API 根層級	字串	https://graph.microsoft.com	是	Microsoft Entra ID Protection 執行個體的 API 根目錄。
產品欄位名稱	字串	產品名稱	是	儲存產品名稱的欄位名稱。產品名稱主要會影響對應。為簡化及改善連接器的對應程序，預設值會解析為程式碼參照的回退值。這個參數的任何無效輸入內容，預設都會解析為備用值。預設值為 `Product Name`。
事件欄位名稱	字串	riskEventType	是	決定事件名稱 (子類型) 的欄位名稱。
環境欄位名稱	字串	""	否	儲存環境名稱的欄位名稱。如果缺少環境欄位，連接器會使用預設值。
`Environment Regex Pattern`	字串	.*	否	要在「`Environment Field Name`」欄位中找到的值上執行的規則運算式模式。這個參數可讓您使用規則運算式邏輯，操控環境欄位。使用預設值 `.*` 擷取必要的原始 `Environment Field Name` 值。如果規則運算式模式為空值或空白，或環境值為空值，最終環境結果就是預設環境。
PythonProcessTimeout	整數	180	是	執行目前指令碼的 Python 程序逾時限制 (以秒為單位)。
API 根層級	字串	https://graph.microsoft.com	是	Microsoft Entra ID Protection 執行個體的 API 根目錄。
用戶群 ID	字串	不適用	是	Microsoft Entra ID Protection 帳戶的租戶 ID。
用戶端 ID	字串	不適用	是	Microsoft Entra ID Protection 帳戶的用戶端 ID。
用戶端密鑰	密碼	不適用	是	Microsoft Entra ID Protection 帳戶的用戶端密鑰。
要擷取的最低風險等級	字串	不適用	否	用於擷取快訊的最低風險。可能的值：`Low`、`Medium`、`High`。如果未指定值，連接器會擷取所有風險等級的風險偵測結果。
可倒轉的小時數上限	整數	1	否	要擷取風險偵測結果的小時數。
要擷取的警告數上限	整數	100	否	每個連接器疊代要處理的快訊數量。
`Use whitelist as a blacklist`	核取方塊	已取消勾選	是	如果選取這個選項，連接器會將動態清單做為封鎖清單。
驗證 SSL	核取方塊	已勾選	是	如果選取這個選項，整合服務會在連線至 Microsoft Entra ID Protection 伺服器時驗證 SSL 憑證。
Proxy 伺服器位址	字串	不適用	否	要使用的 Proxy 伺服器位址。
Proxy 使用者名稱	字串	不適用	否	用於驗證的 Proxy 使用者名稱。
Proxy 密碼	密碼	不適用	否	用於驗證的 Proxy 密碼。

連接器規則

連接器支援 Proxy。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。