Mengintegrasikan Microsoft Entra ID dengan Google SecOps

Dokumen ini memberikan panduan tentang cara mengintegrasikan Microsoft Entra ID dengan Google Security Operations (Google SecOps).

Versi integrasi: 18.0

Integrasi ini menggunakan satu atau beberapa komponen open source. Anda dapat mendownload salinan kode sumber lengkap yang di-zip dari integrasi ini dari bucket Cloud Storage.

Kasus penggunaan

Mengintegrasikan Microsoft Entra ID dengan Google SecOps dapat membantu Anda menyelesaikan kasus penggunaan berikut:

• Pengelolaan akun pengguna: gunakan kemampuan Google SecOps untuk mengotomatiskan penonaktifan dan pengaktifan akun pengguna di Microsoft Entra ID berdasarkan peristiwa keamanan, seperti dugaan kompromi atau pemberhentian karyawan.

• Reset sandi: gunakan kemampuan SecOps Google untuk mengatur reset sandi bagi akun yang disusupi atau pengguna yang terkunci dari akun mereka. Menyetel ulang sandi dapat membantu Anda menyederhanakan proses pemulihan sandi dan mengurangi tiket layanan bantuan.

• Pengelolaan grup: gunakan kemampuan Google SecOps untuk mengotomatiskan pembuatan, modifikasi, dan penghapusan grup Microsoft Entra ID.

• Penerapan kebijakan akses bersyarat: gunakan kebijakan akses bersyarat Microsoft Entra ID dalam playbook Google SecOps untuk mengontrol akses secara dinamis berdasarkan konteks dan memungkinkan kontrol terperinci atas akses ke resource berdasarkan faktor seperti lokasi, perangkat, dan risiko pengguna.

• Pemberitahuan keamanan dan respons insiden: mengintegrasikan pemberitahuan keamanan Microsoft Entra ID ke dalam Google SecOps untuk mengotomatiskan alur kerja respons insiden.

Sebelum memulai

Sebelum mengonfigurasi integrasi di platform Google SecOps, selesaikan langkah-langkah berikut:

1. Mengonfigurasi akses jaringan.

2. Buat aplikasi Microsoft Entra.

3. Konfigurasi izin API untuk aplikasi Anda.

4. Buat rahasia klien.

Mengonfigurasi akses jaringan

Untuk mengaktifkan akses API dari Google SecOps ke Microsoft Entra ID, izinkan traffic melalui port 443.

Buat aplikasi Microsoft Entra

1. Login ke portal Azure sebagai administrator pengguna atau administrator sandi.

2. Pilih Microsoft Entra ID.

3. Buka App registrations > New registration.

4. Masukkan nama aplikasi.

5. Klik Daftar.

6. Simpan nilai Application (client) ID dan Directory (tenant) ID untuk menggunakannya nanti saat mengonfigurasi parameter integrasi.

Mengonfigurasi izin API

1. Buka API Permissions > Add a permission.

2. Pilih Microsoft Graph > Izin aplikasi.

3. Di bagian Pilih Izin, pilih izin berikut:

   • Directory.Read.All
   • Directory.ReadWrite.All
   • Group.ReadWrite.All

   • User.ReadWrite.All

     Izin ini tidak cukup untuk menjalankan tindakan terkait sandi. Untuk menjalankan tindakan Force Password Update dan Reset User Password, tetapkan peran Password Administrator ke aplikasi Anda menggunakan penelusuran Roles and administrators di Microsoft Entra ID.

     Untuk mengetahui detail selengkapnya tentang izin, lihat Referensi izin Microsoft Graph dan Tindakan sensitif.

4. Klik Add permissions.

5. Klik Grant admin consent for YOUR_ORGANIZATION_NAME.

   Saat dialog Konfirmasi pemberian izin admin muncul, klik Ya.

Buat rahasia klien

1. Buka Certificates and secrets > New client secret.

2. Berikan deskripsi untuk rahasia klien dan tetapkan tenggat waktu habis masa berlakunya.

3. Klik Tambahkan.

4. Simpan nilai rahasia klien (bukan ID rahasia) untuk menggunakannya sebagai nilai parameter Client Secret saat mengonfigurasi integrasi. Nilai rahasia klien hanya ditampilkan satu kali.

Mengintegrasikan Microsoft Entra ID dengan Google SecOps

Integrasi Microsoft Entra ID memerlukan parameter berikut:

Untuk mengetahui petunjuk tentang cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.

Anda dapat melakukan perubahan di tahap berikutnya jika diperlukan. Setelah mengonfigurasi instance integrasi, Anda dapat menggunakannya dalam playbook. Untuk mengetahui informasi selengkapnya tentang mengonfigurasi dan mendukung beberapa instance, lihat Mendukung beberapa instance.

Tindakan

Untuk mengetahui informasi selengkapnya tentang tindakan, lihat Merespons tindakan tertunda dari meja kerja Anda dan Melakukan tindakan manual.

Menambahkan Pengguna ke Grup

Gunakan tindakan Tambahkan Pengguna ke Grup untuk menambahkan pengguna ke grup Microsoft Entra ID tertentu. Tindakan ini mengharapkan Anda mengonfigurasi entitas User dalam format username@domain.

Tindakan ini dijalankan pada entity User Google SecOps.

Input tindakan

Tindakan Tambahkan Pengguna ke Grup memerlukan parameter berikut:

Output tindakan

Tindakan Tambahkan Pengguna ke Grup memberikan output berikut:

Pesan output

Tindakan Tambahkan Pengguna ke Grup dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Tambahkan Pengguna ke Grup:

Nonaktifkan Akun

Gunakan tindakan Nonaktifkan Akun untuk menonaktifkan akun di Microsoft Entra ID. Tindakan ini mengharapkan Anda mengonfigurasi entity User dalam format username@domain.

Untuk menjalankan tindakan Nonaktifkan Akun, berikan hak istimewa administratif ke akun Microsoft Entra ID yang Anda gunakan dalam integrasi.

Tindakan ini dijalankan pada entity User Google SecOps.

Mengonfigurasi izin tambahan

Tindakan Nonaktifkan Akun mengharuskan Anda mengonfigurasi izin API berikut untuk aplikasi:

• User.EnableDisableAccount.All

Untuk panduan tentang cara mengonfigurasi izin API di Microsoft Entra ID, lihat bagian Mengonfigurasi izin API dalam dokumen ini.

Input tindakan

Tidak ada.

Output tindakan

Tindakan Nonaktifkan Akun memberikan output berikut:

Pesan output

Tindakan Disable Account dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Nonaktifkan Akun:

Aktifkan Akun

Gunakan tindakan Aktifkan Akun untuk mengaktifkan akun di Microsoft Entra ID. Tindakan ini mengharapkan Anda mengonfigurasi entity User dalam format username@domain.

Tindakan ini dijalankan pada entity User Google SecOps.

Mengonfigurasi izin tambahan

Tindakan Aktifkan Akun mengharuskan Anda mengonfigurasi izin API berikut untuk aplikasi:

• User.EnableDisableAccount.All

Untuk panduan tentang cara mengonfigurasi izin API di Microsoft Entra ID, lihat bagian Mengonfigurasi izin API dalam dokumen ini.

Input tindakan

Tidak ada.

Output tindakan

Tindakan Enable Account memberikan output berikut:

Pesan output

Tindakan Aktifkan Akun dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Aktifkan Akun:

Host Pengayaan

Gunakan tindakan Enrich Host untuk memperkaya entitas Host Google SecOps dengan informasi dari Microsoft Entra ID. Tindakan ini menemukan kecocokan untuk entitas Host yang diberikan menggunakan kolom displayName di perangkat di Microsoft Entra ID.

Tindakan ini dijalankan pada entity Host Google SecOps.

Input tindakan

Tidak ada.

Output tindakan

Tindakan Enrich Host memberikan output berikut:

Tabel pengayaan entitas

Tindakan Enrich Host mendukung pengayaan entitas berikut:

Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Enrich Host:

[
    {
        "EntityResult": {
            "deletedDateTime": "1234569",
            "complianceExpirationDateTime": "1234567",
            "profileType": "RegisteredDevice",
            "key": "007",
            "if":"889922-aaaa-123123"
        },
        "Entity": "us-lt-v13001"
    }
]

Pesan output

Tindakan Enrich Host dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Enrich Host:

Memperkaya Pengguna

Gunakan tindakan Enrich User untuk memperkaya entitas User Google SecOps dengan informasi dari Microsoft Entra ID. Tindakan ini mengharapkan Anda mengonfigurasi entity User dalam format username@domain.

Tindakan ini dijalankan pada entity Host Google SecOps.

Input tindakan

Tidak ada.

Output tindakan

Tindakan Perkaya Pengguna memberikan output berikut:

Tabel pengayaan entitas

Tindakan Perkaya Pengguna mendukung pengayaan entitas berikut:

Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Enrich User:

[
    {
        "EntityResult": {
            "displayName": "Test User",
            "mobilePhone": "(800) 555-0175",
            "preferredLanguage": "English",
            "jobTitle": "Engineer",
            "userPrincipalName":"ser@example.com"
        },
        "Entity": "user@example.com"
    }
]

Pesan output

Tindakan Perkaya Pengguna dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Perkaya Pengguna:

Memaksa Pembaruan Sandi

Gunakan tindakan Paksa Pembaruan Sandi untuk memaksa pembaruan sandi bagi pengguna. Tindakan ini mengharuskan pengguna mengubah sandi mereka pada upaya login berikutnya.

Tindakan Force Password Update mengharapkan Anda mengonfigurasi entitas User dalam format username@domain.

Tindakan ini dijalankan pada entity User Google SecOps.

Mengonfigurasi izin tambahan

Tindakan Perbarui Sandi secara Paksa mengharuskan Anda mengonfigurasi izin API berikut untuk aplikasi:

• User-PasswordProfile.ReadWrite.All

Untuk panduan tentang cara mengonfigurasi izin API di Microsoft Entra ID, lihat bagian Mengonfigurasi izin API dalam dokumen ini.

Menetapkan peran ke aplikasi Anda

Tindakan Perbarui Sandi secara Paksa mengharuskan Anda menetapkan peran Password Administrator ke aplikasi Anda.

Untuk menetapkan peran Password Administrator ke aplikasi Anda, selesaikan langkah-langkah berikut:

1. Login ke portal Azure menggunakan akun Microsoft Anda.
2. Di Microsoft Entra ID, telusuri Roles and administrators.
3. Pilih atau telusuri peran Password Administrator dari daftar.
4. Klik Tambahkan Tugas.
5. Pilih akun (anggota) yang Anda gunakan dalam integrasi, lalu klik Berikutnya.
6. Masukkan justifikasi untuk menetapkan peran.
7. Klik Tetapkan.

Input tindakan

Tidak ada.

Output tindakan

Tindakan Perbarui Sandi secara Paksa memberikan output berikut:

Pesan output

Tindakan Perbarui Sandi secara Paksa dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Perbarui Sandi Secara Paksa:

Mendapatkan Detail Kontak Pengelola

Gunakan tindakan Get Manager Contact Details untuk mendapatkan detail kontak manajer bagi pengguna.

Tindakan Get Manager Contact Details mengharapkan Anda mengonfigurasi entitas User dalam format username@domain.

Tindakan ini dijalankan pada entity User Google SecOps.

Input tindakan

Tidak ada.

Output tindakan

Tindakan Dapatkan Detail Kontak Pengelola memberikan output berikut:

Tabel repositori kasus

Tindakan Get Manager Contact Details dapat menampilkan tabel berikut di Google SecOps:

Nama tabel: Kontak pengelola

Kolom:

• Nama
• Nomor telepon

Tabel pengayaan entitas

Tindakan Dapatkan Detail Kontak Pengelola mendukung pengayaan entitas berikut:

Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Get Manager Contact Details:

[
    {
        "EntityResult":
        {
            "displayName": "manager@example.com",
            "mobilePhone": "(800) 555-0175",
            "@odata.context": "graph.microsoft.com"
        },
        "Entity": "user@example.com"
    }
]

Pesan output

Tindakan Get Manager Contact Details dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Dapatkan Detail Kontak Pengelola:

Apakah Pengguna Berada di Grup

Gunakan tindakan Is User in Group untuk memeriksa apakah pengguna memiliki keanggotaan dalam grup Microsoft Entra ID tertentu. Tindakan ini mengharapkan Anda mengonfigurasi entity User dalam format username@domain.

Tindakan ini dijalankan pada entity User Google SecOps.

Input tindakan

Tindakan Apakah Pengguna Berada dalam Grup memerlukan parameter berikut:

Output tindakan

Tindakan Is User in Group memberikan output berikut:

Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Apakah Pengguna Berada dalam Grup:

[
    {
        "EntityResult": "true",
        "Entity": "user@example.com"
    }
]

Pesan output

Tindakan Apakah Pengguna Berada di Grup dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Apakah Pengguna Berada dalam Grup:

Membuat Daftar Grup

Gunakan tindakan List Groups untuk mencantumkan grup Microsoft Entra ID menggunakan kriteria penelusuran yang ditentukan.

Untuk tindakan List Groups, pemfilteran berfungsi dengan kolom Name.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan List Groups memerlukan parameter berikut:

Output tindakan

Tindakan List Groups memberikan output berikut:

Tabel repositori kasus

Tindakan List Groups dapat menampilkan tabel berikut di Google SecOps:

Nama tabel: Groups

Kolom:

• Nama
• ID
• Deskripsi
• Email
• Waktu Dibuat
• Jenis Grup

Tabel pengayaan entitas

Tindakan List Groups mendukung pengayaan entitas berikut:

Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan List Groups:

[
    {
        "Group Type": "managed",
        "Id": "ID",
        "Name": "Example",
        "Description": "Example",
        "Created Time":"2019-10-24T19:10:18Z"
    }
]

Pesan output

Tindakan List Groups dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan List Groups:

Mencantumkan Anggota dalam Grup

Gunakan tindakan Mencantumkan Anggota dalam Grup untuk mencantumkan anggota dalam grup Microsoft Entra ID yang ditentukan.

Logika pemfilteran berfungsi berdasarkan nilai parameter Filter Key.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Mencantumkan Anggota dalam Grup memerlukan parameter berikut:

Output tindakan

Tindakan Mencantumkan Anggota dalam Grup memberikan output berikut:

Tabel repositori kasus

Tindakan Buat Daftar Anggota dalam Grup dapat menampilkan tabel berikut di Google SecOps:

Nama tabel: Anggota grup yang tersedia

Kolom:

• ID
• Nama Utama Pengguna
• Display Name
• Nama belakang
• Nama Depan
• Email
• Jabatan
• Nomor Telepon Bisnis
• Ponsel
• Lokasi Kantor
• Bahasa Pilihan

Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan List Members in the Group:

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(Edm.String)",
    "value": [
        "ID",
        "ID",
        "ID",
    ]
}

Pesan output

Tindakan Mencantumkan Anggota dalam Grup dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Mencantumkan Anggota dalam Grup:

Mencantumkan Keanggotaan Grup Pengguna

Gunakan tindakan List User's Groups Membership untuk mencantumkan grup Microsoft Entra ID yang diikuti pengguna.

Anda dapat memberikan nama pengguna sebagai parameter input tindakan atau entitas. Jika Anda mengonfigurasi nama pengguna sebagai entity dan parameter input, tindakan akan menggunakan parameter input.

Untuk mengonfigurasi nama pengguna, ikuti format username@domain.

Tindakan ini dijalankan pada entity Username Google SecOps.

Input tindakan

Tindakan List User's Groups Membership memerlukan parameter berikut:

Output tindakan

Tindakan Mencantumkan Keanggotaan Grup Pengguna memberikan output berikut:

Tabel repositori kasus

Tindakan List User's Groups Membership dapat menampilkan tabel berikut di Google SecOps:

Nama tabel: Group Memberships

Kolom:

• ID
• Display Name
• Deskripsi
• Keamanan Diaktifkan
• ID Keamanan
• Tanggal dan Waktu Dibuat
• Klasifikasi
• Visibilitas
• Email
• Mail Enabled
• Nama Panggilan Email

Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan List User's Groups Membership:

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(Edm.String)",
    "value": [
        "ID",
        "ID",
        "ID",
    ]
}

Pesan output

Tindakan List User's Groups Membership dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan List User's Groups Membership:

Mencantumkan Pengguna

Gunakan tindakan List Users untuk mencantumkan pengguna Microsoft Entra ID menggunakan kriteria penelusuran yang ditentukan.

Untuk tindakan List Users, pemfilteran berfungsi dengan kolom Username (userPrincipalName).

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan List Users memerlukan parameter berikut:

Output tindakan

Tindakan List Users memberikan output berikut:

Tabel repositori kasus

Tindakan List Users dapat menampilkan tabel berikut di Google SecOps:

Nama tabel: Pengguna

Kolom:

• Nama
• Username
• ID
• Nama depan
• Bahasa pilihan
• Email
• Ponsel
• Nama belakang
• Jabatan

Tabel pengayaan entitas

Tindakan List Users mendukung pengayaan entitas berikut:

Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan List Users:

[
    {
        "Group Type": "managed",
        "Id": "ID",
        "Name": "Example",
        "Description": "Example",
        "Created Time":"2019-10-24T19:10:18Z"
    }
]

Pesan output

Tindakan List Users dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan List Users:

Ping

Gunakan tindakan Ping untuk menguji konektivitas ke Microsoft Entra ID.

Tindakan ini berjalan di semua entity Google SecOps.

Input tindakan

Tidak ada.

Output tindakan

Tindakan Ping memberikan output berikut:

Pesan output

Tindakan Ping dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Ping:

Menghapus Pengguna dari Grup

Gunakan tindakan Hapus Pengguna dari Grup untuk menghapus pengguna dari grup yang ditentukan di Microsoft Entra ID.

Anda dapat memberikan nama pengguna sebagai parameter input tindakan atau entitas. Jika Anda mengonfigurasi nama pengguna sebagai entity dan parameter input, tindakan akan menggunakan parameter input.

Untuk mengonfigurasi nama pengguna, ikuti format username@domain.

Tindakan ini dijalankan pada entity Username Google SecOps.

Input tindakan

Tindakan Hapus Pengguna dari Grup memerlukan parameter berikut:

Output tindakan

Tindakan Hapus Pengguna dari Grup memberikan output berikut:

Pesan output

Tindakan Hapus Pengguna dari Grup dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Hapus Pengguna dari Grup:

Reset Sandi Pengguna

Gunakan tindakan Reset Sandi Pengguna untuk mereset sandi pengguna ke sandi yang Anda tentukan dalam tindakan. Tindakan ini mengharuskan pengguna mengubah sandi mereka pada upaya login berikutnya.

Tindakan Reset Sandi Pengguna mengharapkan Anda mengonfigurasi entitas User dalam format username@domain.

Tindakan ini dijalankan pada entity User Google SecOps.

Menetapkan peran ke aplikasi Anda

Tindakan Reset Sandi Pengguna mengharuskan Anda menetapkan peran Password Administrator ke aplikasi Anda.

Untuk menetapkan peran Password Administrator ke aplikasi Anda, selesaikan langkah-langkah berikut:

1. Login ke portal Azure menggunakan akun Microsoft Anda.
2. Di Microsoft Entra ID, telusuri Roles and administrators.
3. Pilih atau telusuri peran Password Administrator dari daftar.
4. Klik Tambahkan Tugas.
5. Pilih akun (anggota) yang Anda gunakan dalam integrasi, lalu klik Berikutnya.
6. Masukkan justifikasi untuk menetapkan peran.
7. Klik Tetapkan.

Input tindakan

Tindakan Reset User Password memerlukan parameter berikut:

Output tindakan

Tindakan Reset Sandi Pengguna memberikan output berikut:

Pesan output

Tindakan Reset Sandi Pengguna dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Reset Sandi Pengguna:

Mencabut Sesi Pengguna

Gunakan tindakan Mencabut Sesi Pengguna untuk mencabut sesi pengguna.

Tindakan ini berjalan di entity Google SecOps berikut:

• Username
• Email Address

Input tindakan

Tidak ada.

Output tindakan

Tindakan Cabut Sesi Pengguna memberikan output berikut:

Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Cabut Sesi Pengguna:

• Jika pengguna ada:

  {
      "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Edm.Boolean",
      "value": true
  }
  

• Jika pengguna tidak ditemukan:

  {
      "error": "User not found."
  }
  

Pesan output

Tindakan Cabut Sesi Pengguna dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Revoke User Session:

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.