Integre o Microsoft Entra ID com o Google SecOps

Este documento fornece orientações sobre como integrar o Microsoft Entra ID com o Google Security Operations (Google SecOps).

Versão da integração: 18.0

Esta integração usa um ou mais componentes de código aberto. Pode transferir uma cópia comprimida do código-fonte completo desta integração a partir do contentor do Cloud Storage.

Exemplos de utilização

A integração do Microsoft Entra ID com o Google SecOps pode ajudar a resolver os seguintes exemplos de utilização:

• Gestão de contas de utilizador: use as capacidades do Google SecOps para automatizar a desativação e a ativação de contas de utilizador no Microsoft Entra ID com base em eventos de segurança, como comprometimento suspeito ou desvinculação de funcionários.

• Reposição de palavras-passe: use as capacidades do Google SecOps para orquestrar reposições de palavras-passe para contas comprometidas ou utilizadores que perderam o acesso às suas contas. A reposição de palavras-passe pode ajudar a simplificar o processo de recuperação de palavras-passe e reduzir os pedidos de ajuda técnica.

• Gestão de grupos: use as capacidades do Google SecOps para automatizar a criação, a modificação e a eliminação de grupos do Microsoft Entra ID.

• Aplicação de políticas de acesso condicional: use as políticas de acesso condicional do Microsoft Entra ID nos manuais de procedimentos do Google SecOps para controlar dinamicamente o acesso com base no contexto e permitir o controlo detalhado do acesso aos recursos com base em fatores como a localização, o dispositivo e o risco do utilizador.

• Alertas de segurança e resposta a incidentes: integre os alertas de segurança do Microsoft Entra ID no Google SecOps para automatizar os fluxos de trabalho de resposta a incidentes.

Antes de começar

Antes de configurar a integração na plataforma Google SecOps, conclua os seguintes passos:

1. Configure o acesso à rede.

2. Crie a app Microsoft Entra.

3. Configure as autorizações da API para a sua app.

4. Crie um segredo do cliente.

Configure o acesso à rede

Para ativar o acesso à API do Google SecOps ao Microsoft Entra ID, permita o tráfego através da porta 443.

Crie uma aplicação do Microsoft Entra

1. Inicie sessão no portal do Azure como administrador de utilizadores ou administrador de palavras-passe.

2. Selecione Microsoft Entra ID.

3. Aceda a Registos de apps > Novo registo.

4. Introduza o nome da aplicação.

5. Clique em Registar.

6. Guarde os valores do ID da aplicação (cliente) e do ID do diretório (inquilino) para os usar mais tarde quando configurar os parâmetros de integração.

Configure autorizações da API

1. Aceda a Autorizações da API > Adicionar uma autorização.

2. Selecione Microsoft Graph > Autorizações da aplicação.

3. Na secção Selecionar autorizações, selecione as seguintes autorizações:

   • Directory.Read.All
   • Directory.ReadWrite.All
   • Group.ReadWrite.All

   • User.ReadWrite.All

     Estas autorizações não são suficientes para executar as ações relacionadas com a palavra-passe. Para executar as ações Forçar atualização da palavra-passe e Repor palavra-passe do utilizador, atribua a função de administrador de palavras-passe à sua aplicação através da pesquisa Funções e administradores no Microsoft Entra ID.

     Para ver mais detalhes acerca das autorizações, consulte a referência de autorizações do Microsoft Graph e as ações confidenciais.

4. Clique em Adicionar autorizações.

5. Clique em Conceder consentimento de administrador para YOUR_ORGANIZATION_NAME.

   Quando for apresentada a caixa de diálogo Confirmação de concessão de consentimento do administrador, clique em Sim.

Crie um segredo do cliente

1. Navegue para Certificados e segredos > Novo segredo do cliente.

2. Forneça uma descrição para um segredo do cliente e defina o respetivo prazo de validade.

3. Clique em Adicionar.

4. Guarde o valor do segredo do cliente (não o ID do segredo) para o usar como o valor do parâmetro Client Secret ao configurar a integração. O valor do segredo do cliente só é apresentado uma vez.

Integre o Microsoft Entra ID com o Google SecOps

A integração do Microsoft Entra ID requer os seguintes parâmetros:

Para obter instruções sobre como configurar uma integração no Google SecOps, consulte o artigo Configurar integrações.

Se necessário, pode fazer alterações numa fase posterior. Depois de configurar uma instância de integração, pode usá-la em manuais de soluções. Para mais informações sobre a configuração e o suporte de várias instâncias, consulte o artigo Suporte de várias instâncias.

Ações

Para mais informações sobre ações, consulte os artigos Responda a ações pendentes a partir do seu espaço de trabalho e Execute uma ação manual.

Adicione um utilizador a um grupo

Use a ação Adicionar utilizador a um grupo para adicionar um utilizador ao grupo específico do Microsoft Entra ID. Esta ação espera que configure a entidade User no formato username@domain.

Esta ação é executada na entidade User do Google SecOps.

Dados de ações

A ação Adicionar utilizador a um grupo requer os seguintes parâmetros:

Resultados da ação

A ação Adicionar utilizador a um grupo fornece as seguintes saídas:

Mensagens de saída

A ação Adicionar utilizador a um grupo pode devolver as seguintes mensagens de saída:

Resultado do script

A tabela seguinte indica o valor do resultado do script quando usa a ação Adicionar utilizador a um grupo:

Desative a conta

Use a ação Desativar conta para desativar uma conta no Microsoft Entra ID. Esta ação espera que configure a entidade User no formato username@domain.

Para executar a ação Desativar conta, conceda privilégios administrativos à conta do Microsoft Entra ID que usa na integração.

Esta ação é executada na entidade User do Google SecOps.

Configure autorizações adicionais

A ação Desativar conta requer que configure adicionalmente a seguinte autorização da API para a aplicação:

• User.EnableDisableAccount.All

Para orientações sobre como configurar autorizações da API no Microsoft Entra ID, consulte a secção Configurar autorizações da API deste documento.

Dados de ações

Nenhum.

Resultados da ação

A ação Desativar conta fornece os seguintes resultados:

Mensagens de saída

A ação Desativar conta pode devolver as seguintes mensagens de saída:

Resultado do script

A tabela seguinte apresenta o valor do resultado do script quando usa a ação Desativar conta:

Ative a conta

Use a ação Ativar conta para ativar uma conta no Microsoft Entra ID. Esta ação espera que configure a entidade User no formato username@domain.

Esta ação é executada na entidade User do Google SecOps.

Configure autorizações adicionais

A ação Ativar conta requer que configure adicionalmente a seguinte autorização da API para a aplicação:

• User.EnableDisableAccount.All

Para orientações sobre como configurar autorizações da API no Microsoft Entra ID, consulte a secção Configurar autorizações da API deste documento.

Dados de ações

Nenhum.

Resultados da ação

A ação Ativar conta fornece os seguintes resultados:

Mensagens de saída

A ação Ativar conta pode devolver as seguintes mensagens de saída:

Resultado do script

A tabela seguinte apresenta o valor do resultado do script quando usa a ação Enable Account:

Anfitrião de enriquecimento

Use a ação Enrich Host para enriquecer a entidade do Google SecOps Host com informações do Microsoft Entra ID. Esta ação encontra uma correspondência para uma entidade Host fornecida através do campo displayName no Microsoft Entra ID.

Esta ação é executada na entidade Host do Google SecOps.

Dados de ações

Nenhum.

Resultados da ação

A ação Enrich Host fornece os seguintes resultados:

Tabela de enriquecimento de entidades

A ação Enrich Host suporta o seguinte enriquecimento de entidades:

Resultado JSON

O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Enrich Host:

[
    {
        "EntityResult": {
            "deletedDateTime": "1234569",
            "complianceExpirationDateTime": "1234567",
            "profileType": "RegisteredDevice",
            "key": "007",
            "if":"889922-aaaa-123123"
        },
        "Entity": "us-lt-v13001"
    }
]

Mensagens de saída

A ação Enrich Host pode devolver as seguintes mensagens de saída:

Resultado do script

A tabela seguinte lista o valor do resultado do script quando usa a ação Enrich Host:

Enriquecer utilizador

Use a ação Enrich User para enriquecer a entidade do Google SecOps User com informações do Microsoft Entra ID. Esta ação espera que configure a entidade User no formato username@domain.

Esta ação é executada na entidade Host do Google SecOps.

Dados de ações

Nenhum.

Resultados da ação

A ação Enriquecer utilizador fornece os seguintes resultados:

Tabela de enriquecimento de entidades

A ação Enriquecer utilizador suporta o seguinte enriquecimento de entidades:

Resultado JSON

O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Enrich User:

[
    {
        "EntityResult": {
            "displayName": "Test User",
            "mobilePhone": "(800) 555-0175",
            "preferredLanguage": "English",
            "jobTitle": "Engineer",
            "userPrincipalName":"ser@example.com"
        },
        "Entity": "user@example.com"
    }
]

Mensagens de saída

A ação Enrich User pode devolver as seguintes mensagens de saída:

Resultado do script

A tabela seguinte lista o valor da saída do resultado do script quando usa a ação Enriquecer utilizador:

Forçar atualização da palavra-passe

Use a ação Forçar atualização da palavra-passe para forçar uma atualização da palavra-passe para o utilizador. Esta ação exige que o utilizador altere a palavra-passe na próxima tentativa de início de sessão.

A ação Force Password Update espera que configure a entidade User no formato username@domain.

Esta ação é executada na entidade User do Google SecOps.

Configure autorizações adicionais

A ação Forçar atualização da palavra-passe requer que configure adicionalmente a seguinte autorização da API para a aplicação:

• User-PasswordProfile.ReadWrite.All

Para orientações sobre como configurar autorizações da API no Microsoft Entra ID, consulte a secção Configurar autorizações da API deste documento.

Atribua uma função à sua aplicação

A ação Forçar atualização da palavra-passe requer que atribua a função Password Administrator à sua aplicação.

Para atribuir a função Password Administrator à sua aplicação, conclua os seguintes passos:

1. Inicie sessão no portal do Azure com a sua conta Microsoft.
2. No Microsoft Entra ID, pesquise Funções e administradores.
3. Selecione ou pesquise a função Password Administrator na lista.
4. Clique em Adicionar trabalho.
5. Selecione uma conta (membro) que usa na integração e clique em Seguinte.
6. Introduza uma justificação para a atribuição de uma função.
7. Clique em Atribuir.

Dados de ações

Nenhum.

Resultados da ação

A ação Forçar atualização da palavra-passe fornece os seguintes resultados:

Mensagens de saída

A ação Forçar atualização da palavra-passe pode devolver as seguintes mensagens de saída:

Resultado do script

A tabela seguinte indica o valor do resultado do script quando usa a ação Forçar atualização da palavra-passe:

Obtenha os detalhes de contacto do gestor

Use a ação Get Manager Contact Details para obter os detalhes de contacto do gestor do utilizador.

A ação Get Manager Contact Details espera que configure a entidade no formato username@domain.User

Esta ação é executada na entidade User do Google SecOps.

Dados de ações

Nenhum.

Resultados da ação

A ação Get Manager Contact Details fornece as seguintes saídas:

Mesa de parede para caixas

A ação Get Manager Contact Details pode devolver a seguinte tabela no Google SecOps:

Nome da tabela: Contacto do gestor

Colunas:

• Nome
• Número de telefone

Tabela de enriquecimento de entidades

A ação Get Manager Contact Details suporta o seguinte enriquecimento de entidades:

Resultado JSON

O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Get Manager Contact Details:

[
    {
        "EntityResult":
        {
            "displayName": "manager@example.com",
            "mobilePhone": "(800) 555-0175",
            "@odata.context": "graph.microsoft.com"
        },
        "Entity": "user@example.com"
    }
]

Mensagens de saída

A ação Get Manager Contact Details pode devolver as seguintes mensagens de saída:

Resultado do script

A tabela seguinte indica o valor do resultado do script quando usa a ação Get Manager Contact Details:

Is User in Group

Use a ação O utilizador está no grupo para verificar se o utilizador é membro de um grupo específico do Microsoft Entra ID. Esta ação espera que configure a entidade User no formato username@domain.

Esta ação é executada na entidade User do Google SecOps.

Dados de ações

A ação O utilizador está no grupo requer os seguintes parâmetros:

Resultados da ação

A ação O utilizador está no grupo fornece os seguintes resultados:

Resultado JSON

O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Is User in Group:

[
    {
        "EntityResult": "true",
        "Entity": "user@example.com"
    }
]

Mensagens de saída

A ação O utilizador está no grupo pode devolver as seguintes mensagens de saída:

Resultado do script

A tabela seguinte indica o valor do resultado do script quando usa a ação Is User in Group:

Listar grupos

Use a ação List Groups para listar grupos do Microsoft Entra ID através dos critérios de pesquisa especificados.

Para a ação List Groups, a filtragem funciona com o campo Name.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

A ação List Groups requer os seguintes parâmetros:

Resultados da ação

A ação List Groups fornece os seguintes resultados:

Mesa de parede para caixas

A ação List Groups pode devolver a seguinte tabela no Google SecOps:

Nome da tabela: Grupos

Colunas:

• Nome
• ID
• Descrição
• Mail
• Data de criação
• Tipo de grupo

Tabela de enriquecimento de entidades

A ação List Groups suporta o seguinte enriquecimento de entidades:

Resultado JSON

O exemplo seguinte mostra o resultado JSON recebido quando usa a ação List Groups:

[
    {
        "Group Type": "managed",
        "Id": "ID",
        "Name": "Example",
        "Description": "Example",
        "Created Time":"2019-10-24T19:10:18Z"
    }
]

Mensagens de saída

A ação List Groups pode devolver as seguintes mensagens de saída:

Resultado do script

A tabela seguinte indica o valor do resultado do script quando usa a ação List Groups:

Listar membros no grupo

Use a ação Listar membros no grupo para listar os membros no grupo do Microsoft Entra ID especificado.

A lógica de filtragem funciona com base no valor do parâmetro Filter Key.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

A ação List Members in the Group requer os seguintes parâmetros:

Resultados da ação

A ação List Members in the Group (Listar membros no grupo) fornece os seguintes resultados:

Mesa de parede para caixas

A ação Listar membros no grupo pode devolver a seguinte tabela no Google SecOps:

Nome da tabela: Membros disponíveis do grupo

Colunas:

• ID
• Nome principal do utilizador
• Nome a apresentar
• Apelido
• Nome próprio
• Mail
• Cargo
• Telemóveis empresariais
• Telemóvel
• Localização do escritório
• Idioma preferido

Resultado JSON

O exemplo seguinte mostra o resultado JSON recebido quando usa a ação List Members in the Group:

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(Edm.String)",
    "value": [
        "ID",
        "ID",
        "ID",
    ]
}

Mensagens de saída

A ação List Members in the Group pode devolver as seguintes mensagens de saída:

Resultado do script

A tabela seguinte indica o valor do resultado do script quando usa a ação List Members in the Group (Listar membros no grupo):

Listar a associação a grupos do utilizador

Use a ação List User's Groups Membership para listar os grupos do Microsoft Entra ID dos quais o utilizador é membro.

Pode fornecer o nome de utilizador como uma entidade ou um parâmetro de entrada de ação. Se configurar o nome de utilizador como a entidade e o parâmetro de entrada, a ação usa o parâmetro de entrada.

Para configurar o nome de utilizador, siga o formato username@domain.

Esta ação é executada na entidade Username do Google SecOps.

Dados de ações

A ação List User's Groups Membership requer os seguintes parâmetros:

Resultados da ação

A ação List User's Groups Membership fornece os seguintes resultados:

Mesa de parede para caixas

A ação List User's Groups Membership pode devolver a seguinte tabela no Google SecOps:

Nome da tabela: Apoios de grupos

Colunas:

• ID
• Nome a apresentar
• Descrição
• Segurança ativada
• Identificador de segurança
• Data/hora de criação
• Classificação
• Visibilidade
• Mail
• Correio ativado
• Alcunha do email

Resultado JSON

O exemplo seguinte mostra o resultado JSON recebido quando usa a ação List User's Groups Membership:

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(Edm.String)",
    "value": [
        "ID",
        "ID",
        "ID",
    ]
}

Mensagens de saída

A ação List User's Groups Membership pode devolver as seguintes mensagens de saída:

Resultado do script

A tabela seguinte indica o valor da saída do resultado do script quando usa a ação List User's Groups Membership (Listar a associação do utilizador a grupos):

Listar utilizadores

Use a ação List Users para listar os utilizadores do Microsoft Entra ID através dos critérios de pesquisa especificados.

Para a ação Listar utilizadores, a filtragem funciona com o campo Username (userPrincipalName).

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

A ação List Users requer os seguintes parâmetros:

Resultados da ação

A ação List Users (Listar utilizadores) fornece os seguintes resultados:

Mesa de parede para caixas

A ação List Users pode devolver a seguinte tabela no Google SecOps:

Nome da tabela: Users

Colunas:

• Nome
• Nome de utilizador
• ID
• Nome próprio
• Idioma preferido
• Mail
• Telemóvel
• Apelido
• Cargo

Tabela de enriquecimento de entidades

A ação List Users suporta o seguinte enriquecimento de entidades:

Resultado JSON

O exemplo seguinte mostra o resultado JSON recebido quando usa a ação List Users:

[
    {
        "Group Type": "managed",
        "Id": "ID",
        "Name": "Example",
        "Description": "Example",
        "Created Time":"2019-10-24T19:10:18Z"
    }
]

Mensagens de saída

A ação List Users pode devolver as seguintes mensagens de saída:

Resultado do script

A tabela seguinte apresenta o valor da saída do resultado do script quando usa a ação Listar utilizadores:

Tchim-tchim

Use a ação Ping para testar a conetividade ao Microsoft Entra ID.

Esta ação é executada em todas as entidades do Google SecOps.

Dados de ações

Nenhum.

Resultados da ação

A ação Ping fornece os seguintes resultados:

Mensagens de saída

A ação Ping pode devolver as seguintes mensagens de saída:

Resultado do script

A tabela seguinte lista o valor do resultado do script quando usa a ação Ping:

Remova o utilizador do grupo

Use a ação Remover utilizador do grupo para remover um utilizador do grupo especificado no Microsoft Entra ID.

Pode fornecer o nome de utilizador como uma entidade ou um parâmetro de entrada de ação. Se configurar o nome de utilizador como a entidade e o parâmetro de entrada, a ação usa o parâmetro de entrada.

Para configurar o nome de utilizador, siga o formato username@domain.

Esta ação é executada na entidade Username do Google SecOps.

Dados de ações

A ação Remover utilizador do grupo requer os seguintes parâmetros:

Resultados da ação

A ação Remover utilizador do grupo fornece as seguintes saídas:

Mensagens de saída

A ação Remover utilizador do grupo pode devolver as seguintes mensagens de saída:

Resultado do script

A tabela seguinte indica o valor da saída do resultado do script quando usa a ação Remover utilizador do grupo:

Reposição da palavra-passe do utilizador

Use a ação Repor palavra-passe do utilizador para repor a palavra-passe do utilizador para a que especificar na ação. Esta ação exige que o utilizador altere a respetiva palavra-passe na próxima tentativa de início de sessão.

A ação Repor palavra-passe do utilizador espera que configure a entidade User no formato username@domain.

Esta ação é executada na entidade User do Google SecOps.

Atribua uma função à sua aplicação

A ação Repor palavra-passe do utilizador requer que atribua a função Password Administrator à sua aplicação.

Para atribuir a função Password Administrator à sua aplicação, conclua os seguintes passos:

1. Inicie sessão no portal do Azure com a sua conta Microsoft.
2. No Microsoft Entra ID, pesquise Funções e administradores.
3. Selecione ou pesquise a função Password Administrator na lista.
4. Clique em Adicionar trabalho.
5. Selecione uma conta (membro) que usa na integração e clique em Seguinte.
6. Introduza uma justificação para a atribuição de uma função.
7. Clique em Atribuir.

Dados de ações

A ação Repor palavra-passe do utilizador requer os seguintes parâmetros:

Resultados da ação

A ação Repor palavra-passe do utilizador fornece as seguintes saídas:

Mensagens de saída

A ação Repor palavra-passe do utilizador pode devolver as seguintes mensagens de saída:

Resultado do script

A tabela seguinte indica o valor do resultado do script quando usa a ação Repor palavra-passe do utilizador:

Revogue a sessão do utilizador

Use a ação Revogar sessão de utilizador para revogar uma sessão de utilizador.

Esta ação é executada nas seguintes entidades do Google SecOps:

• Username
• Email Address

Dados de ações

Nenhum.

Resultados da ação

A ação Revogar sessão do utilizador fornece os seguintes resultados:

Resultado JSON

Os exemplos seguintes mostram as saídas de resultados JSON recebidas quando usa a ação Revoke User Session:

• Se o utilizador existir:

  {
      "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Edm.Boolean",
      "value": true
  }
  

• Se o utilizador não for encontrado:

  {
      "error": "User not found."
  }
  

Mensagens de saída

A ação Revoke User Session pode devolver as seguintes mensagens de saída:

Resultado do script

A tabela seguinte indica o valor da saída do resultado do script quando usa a ação Revogar sessão do utilizador:

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.