Integrar o Microsoft Entra ID ao Google SecOps

Este documento fornece orientações sobre como integrar o Microsoft Entra ID ao Google Security Operations (Google SecOps).

Versão da integração: 18.0

Essa integração usa um ou mais componentes de código aberto. Faça o download de uma cópia compactada do código-fonte completo dessa integração no bucket do Cloud Storage.

Casos de uso

A integração do Microsoft Entra ID com o Google SecOps pode ajudar você a resolver os seguintes casos de uso:

• Gerenciamento de contas de usuário:use os recursos do Google SecOps para automatizar a desativação e ativação de contas de usuário no Microsoft Entra ID com base em eventos de segurança, como suspeita de comprometimento ou desligamento de funcionários.

• Redefinição de senha:use os recursos do Google SecOps para orquestrar redefinições de senha para contas comprometidas ou usuários bloqueados das contas. A redefinição de senhas pode ajudar a simplificar o processo de recuperação de senhas e reduzir os tíquetes de suporte técnico.

• Gerenciamento de grupos:use os recursos do Google SecOps para automatizar a criação, modificação e exclusão de grupos do Microsoft Entra ID.

• Aplicação de políticas de acesso condicional:use as políticas de acesso condicional do Microsoft Entra ID nos playbooks do Google SecOps para controlar o acesso de forma dinâmica com base no contexto e permitir o controle granular do acesso aos recursos com base em fatores como local, dispositivo e risco do usuário.

• Alertas de segurança e resposta a incidentes:integre os alertas de segurança do Microsoft Entra ID ao Google SecOps para automatizar os fluxos de trabalho de resposta a incidentes.

Antes de começar

Antes de configurar a integração na plataforma Google SecOps, siga estas etapas:

1. Configure o acesso à rede.

2. Crie o app do Microsoft Entra.

3. Configure as permissões da API para seu app.

4. Crie uma chave secreta do cliente.

Configurar o acesso à rede

Para ativar o acesso à API do Google SecOps ao Microsoft Entra ID, permita o tráfego pela porta 443.

Criar um aplicativo do Microsoft Entra

1. Faça login no portal do Azure como administrador de usuários ou de senhas.

2. Selecione Microsoft Entra ID.

3. Acesse Registros de apps > Novo registro.

4. Digite o nome do aplicativo.

5. Clique em Registrar.

6. Salve os valores de ID do aplicativo (cliente) e ID do diretório (locatário) para usar depois ao configurar os parâmetros de integração.

Configurar permissões da API

1. Acesse Permissões da API > Adicionar uma permissão.

2. Selecione Microsoft Graph > Permissões do aplicativo.

3. Na seção Selecionar permissões, selecione as seguintes permissões:

   • Directory.Read.All
   • Directory.ReadWrite.All
   • Group.ReadWrite.All

   • User.ReadWrite.All

     Essas permissões não são suficientes para executar as ações relacionadas a senhas. Para executar as ações Forçar atualização de senha e Redefinir senha do usuário, atribua a função de administrador de senhas ao seu aplicativo usando a pesquisa Funções e administradores no Microsoft Entra ID.

     Para mais detalhes sobre permissões, consulte a referência de permissões do Microsoft Graph e ações sensíveis.

4. Clique em Adicionar permissões

5. Clique em Conceder consentimento de administrador para YOUR_ORGANIZATION_NAME.

   Quando a caixa de diálogo Confirmação de concessão de consentimento de administrador aparecer, clique em Sim.

Criar chave secreta do cliente

1. Navegue até Certificados e chaves secretas > Nova chave secreta do cliente.

2. Descreva uma chave secreta do cliente e defina o prazo de validade dela.

3. Clique em Adicionar.

4. Salve o valor da chave secreta do cliente (não o ID secreto) para usá-lo como o valor do parâmetro Client Secret ao configurar a integração. O valor do segredo do cliente é mostrado apenas uma vez.

Integrar o Microsoft Entra ID ao Google SecOps

A integração do Microsoft Entra ID exige os seguintes parâmetros:

Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.

Você pode fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.

Ações

Para mais informações sobre ações, consulte Responder a ações pendentes na sua mesa de trabalho e Realizar uma ação manual.

Adicionar um usuário a um grupo

Use a ação Adicionar usuário a um grupo para adicionar um usuário ao grupo específico do Microsoft Entra ID. Essa ação espera que você configure a entidade User no formato username@domain.

Essa ação é executada na entidade User do Google SecOps.

Entradas de ação

A ação Adicionar usuário a um grupo exige os seguintes parâmetros:

Saídas de ação

A ação Adicionar usuário a um grupo fornece as seguintes saídas:

Mensagens de saída

A ação Adicionar usuário a um grupo pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Adicionar usuário a um grupo:

Desativar conta

Use a ação Desativar conta para desativar uma conta no Microsoft Entra ID. Essa ação espera que você configure a entidade User no formato username@domain.

Para executar a ação Desativar conta, conceda privilégios administrativos à conta do Microsoft Entra ID que você usa na integração.

Essa ação é executada na entidade User do Google SecOps.

Configurar outras permissões

A ação Desativar conta exige que você configure também a seguinte permissão de API para o aplicativo:

• User.EnableDisableAccount.All

Para saber como configurar permissões de API no Microsoft Entra ID, consulte a seção Configurar permissões de API deste documento.

Entradas de ação

Nenhuma.

Saídas de ação

A ação Desativar conta fornece as seguintes saídas:

Mensagens de saída

A ação Desativar conta pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Desativar conta:

Ativar conta

Use a ação Ativar conta para ativar uma conta no Microsoft Entra ID. Essa ação espera que você configure a entidade User no formato username@domain.

Essa ação é executada na entidade User do Google SecOps.

Configurar outras permissões

A ação Ativar conta exige que você configure também a seguinte permissão de API para o aplicativo:

• User.EnableDisableAccount.All

Para saber como configurar permissões de API no Microsoft Entra ID, consulte a seção Configurar permissões de API deste documento.

Entradas de ação

Nenhuma.

Saídas de ação

A ação Ativar conta fornece as seguintes saídas:

Mensagens de saída

A ação Ativar conta pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Ativar conta:

Enrich Host

Use a ação Aprimorar host para aprimorar a entidade Host do Google SecOps com informações do Microsoft Entra ID. Essa ação encontra uma correspondência para uma entidade Host fornecida usando o campo displayName no dispositivo no Microsoft Entra ID.

Essa ação é executada na entidade Host do Google SecOps.

Entradas de ação

Nenhuma.

Saídas de ação

A ação Enriquecer host fornece as seguintes saídas:

Tabela de enriquecimento de entidades

A ação Enriquecer host é compatível com o seguinte enriquecimento de entidade:

Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Enriquecer host:

[
    {
        "EntityResult": {
            "deletedDateTime": "1234569",
            "complianceExpirationDateTime": "1234567",
            "profileType": "RegisteredDevice",
            "key": "007",
            "if":"889922-aaaa-123123"
        },
        "Entity": "us-lt-v13001"
    }
]

Mensagens de saída

A ação Enriquecer host pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Enriquecer host:

Enriquecer usuário

Use a ação Aprimorar usuário para aprimorar a entidade User do Google SecOps com informações do Microsoft Entra ID. Essa ação espera que você configure a entidade User no formato username@domain.

Essa ação é executada na entidade Host do Google SecOps.

Entradas de ação

Nenhuma.

Saídas de ação

A ação Enriquecer usuário fornece as seguintes saídas:

Tabela de enriquecimento de entidades

A ação Enriquecer usuário é compatível com o seguinte enriquecimento de entidade:

Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Enriquecer usuário:

[
    {
        "EntityResult": {
            "displayName": "Test User",
            "mobilePhone": "(800) 555-0175",
            "preferredLanguage": "English",
            "jobTitle": "Engineer",
            "userPrincipalName":"ser@example.com"
        },
        "Entity": "user@example.com"
    }
]

Mensagens de saída

A ação Enriquecer usuário pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Enriquecer usuário:

Forçar atualização de senha

Use a ação Forçar atualização de senha para forçar uma atualização de senha para o usuário. Essa ação exige que o usuário mude a senha na próxima tentativa de login.

A ação Forçar atualização de senha espera que você configure a entidade User no formato username@domain.

Essa ação é executada na entidade User do Google SecOps.

Configurar outras permissões

A ação Forçar atualização de senha exige que você configure também a seguinte permissão de API para o aplicativo:

• User-PasswordProfile.ReadWrite.All

Para saber como configurar permissões de API no Microsoft Entra ID, consulte a seção Configurar permissões de API deste documento.

Atribuir uma função ao seu aplicativo

A ação Forçar atualização de senha exige que você atribua a função Password Administrator ao seu aplicativo.

Para atribuir a função Password Administrator ao aplicativo, siga estas etapas:

1. Faça login no portal do Azure usando sua conta da Microsoft.
2. No Microsoft Entra ID, pesquise Funções e administradores.
3. Selecione ou pesquise a função Password Administrator na lista.
4. Clique em Adicionar atribuição.
5. Selecione uma conta (membro) que você usa na integração e clique em Próxima.
6. Insira uma justificativa para atribuir uma função.
7. Clique em Atribuir.

Entradas de ação

Nenhuma.

Saídas de ação

A ação Forçar atualização de senha fornece as seguintes saídas:

Mensagens de saída

A ação Forçar atualização de senha pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Forçar atualização de senha:

Receber detalhes de contato do gerente

Use a ação Get Manager Contact Details para obter os detalhes de contato do gerente do usuário.

A ação Receber detalhes de contato do gerente espera que você configure a entidade User no formato username@domain.

Essa ação é executada na entidade User do Google SecOps.

Entradas de ação

Nenhuma.

Saídas de ação

A ação Receber detalhes de contato do gerente fornece as seguintes saídas:

Tabela do painel de casos

A ação Receber detalhes de contato do gerente pode retornar a seguinte tabela no Google SecOps:

Nome da tabela: Contato do gerente

Colunas:

• Nome
• Número de telefone

Tabela de enriquecimento de entidades

A ação Receber detalhes de contato do gerente é compatível com o seguinte enriquecimento de entidade:

Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Receber detalhes de contato do gerente:

[
    {
        "EntityResult":
        {
            "displayName": "manager@example.com",
            "mobilePhone": "(800) 555-0175",
            "@odata.context": "graph.microsoft.com"
        },
        "Entity": "user@example.com"
    }
]

Mensagens de saída

A ação Receber detalhes de contato do gerente pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber detalhes de contato do gerente:

Is User in Group

Use a ação O usuário está no grupo? para verificar se ele é membro de um grupo específico do Microsoft Entra ID. Essa ação espera que você configure a entidade User no formato username@domain.

Essa ação é executada na entidade User do Google SecOps.

Entradas de ação

A ação O usuário está no grupo exige os seguintes parâmetros:

Saídas de ação

A ação O usuário está no grupo? fornece as seguintes saídas:

Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação O usuário está no grupo?:

[
    {
        "EntityResult": "true",
        "Entity": "user@example.com"
    }
]

Mensagens de saída

A ação O usuário está no grupo? pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação O usuário está no grupo?:

Listar grupos

Use a ação List Groups para listar grupos do Microsoft Entra ID usando os critérios de pesquisa especificados.

Para a ação Listar grupos, a filtragem funciona com o campo Name.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação List Groups exige os seguintes parâmetros:

Saídas de ação

A ação List Groups fornece as seguintes saídas:

Tabela do painel de casos

A ação List Groups pode retornar a seguinte tabela no Google SecOps:

Nome da tabela: Grupos

Colunas:

• Nome
• ID
• Descrição
• E-mail
• Hora da criação
• Tipo de grupo

Tabela de enriquecimento de entidades

A ação List Groups é compatível com o seguinte enriquecimento de entidade:

Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação List Groups:

[
    {
        "Group Type": "managed",
        "Id": "ID",
        "Name": "Example",
        "Description": "Example",
        "Created Time":"2019-10-24T19:10:18Z"
    }
]

Mensagens de saída

A ação List Groups pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação List Groups:

Listar membros do grupo

Use a ação Listar membros no grupo para listar os membros no grupo especificado do Microsoft Entra ID.

A lógica de filtragem funciona com base no valor do parâmetro Filter Key.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Listar participantes do grupo exige os seguintes parâmetros:

Saídas de ação

A ação Listar membros do grupo fornece as seguintes saídas:

Tabela do painel de casos

A ação Listar membros do grupo pode retornar a seguinte tabela no Google SecOps:

Nome da tabela: Membros disponíveis do grupo

Colunas:

• ID
• Nome principal do usuário
• Nome de exibição
• Sobrenome
• Nome
• E-mail
• Cargo
• Business Phones
• Smartphone
• Local do escritório
• Idioma preferido

Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Listar membros no grupo:

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(Edm.String)",
    "value": [
        "ID",
        "ID",
        "ID",
    ]
}

Mensagens de saída

A ação Listar participantes do grupo pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Listar participantes do grupo:

Listar a associação de grupos do usuário

Use a ação List User's Groups Membership para listar os grupos do Microsoft Entra ID de que o usuário é membro.

Você pode fornecer o nome de usuário como uma entidade ou um parâmetro de entrada de ação. Se você configurar o nome de usuário como a entidade e o parâmetro de entrada, a ação usará o parâmetro de entrada.

Para configurar o nome de usuário, siga o formato username@domain.

Essa ação é executada na entidade Username do Google SecOps.

Entradas de ação

A ação List User's Groups Membership exige os seguintes parâmetros:

Saídas de ação

A ação List User's Groups Membership (Listar participação em grupos do usuário) fornece as seguintes saídas:

Tabela do painel de casos

A ação List User's Groups Membership pode retornar a seguinte tabela no Google SecOps:

Nome da tabela: Assinaturas de grupo

Colunas:

• ID
• Nome de exibição
• Descrição
• Segurança ativada
• Identificador de segurança
• DateTime de criação
• Classificação
• Visibilidade
• E-mail
• Ativado para e-mail
• Apelido do e-mail

Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação List User's Groups Membership:

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(Edm.String)",
    "value": [
        "ID",
        "ID",
        "ID",
    ]
}

Mensagens de saída

A ação List User's Groups Membership pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação List User's Groups Membership:

Listar usuários

Use a ação List Users para listar usuários do Microsoft Entra ID usando os critérios de pesquisa especificados.

Para a ação Listar usuários, a filtragem funciona com o campo Username (userPrincipalName).

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Listar usuários exige os seguintes parâmetros:

Saídas de ação

A ação List Users (Listar usuários) fornece as seguintes saídas:

Tabela do painel de casos

A ação List Users pode retornar a seguinte tabela no Google SecOps:

Nome da tabela: Users

Colunas:

• Nome
• Nome de usuário
• ID
• Nome
• Idioma preferido
• E-mail
• Smartphone
• Sobrenome
• Cargo

Tabela de enriquecimento de entidades

A ação List Users oferece suporte ao seguinte enriquecimento de entidade:

Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação List Users:

[
    {
        "Group Type": "managed",
        "Id": "ID",
        "Name": "Example",
        "Description": "Example",
        "Created Time":"2019-10-24T19:10:18Z"
    }
]

Mensagens de saída

A ação List Users pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação List Users:

Ping

Use a ação Ping para testar a conectividade com o Microsoft Entra ID.

Essa ação é executada em todas as entidades do Google SecOps.

Entradas de ação

Nenhuma.

Saídas de ação

A ação Ping fornece as seguintes saídas:

Mensagens de saída

A ação Ping pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Ping:

Remover o usuário do grupo

Use a ação Remover usuário do grupo para remover um usuário do grupo especificado no Microsoft Entra ID.

Você pode fornecer o nome de usuário como uma entidade ou um parâmetro de entrada de ação. Se você configurar o nome de usuário como a entidade e o parâmetro de entrada, a ação usará o parâmetro de entrada.

Para configurar o nome de usuário, siga o formato username@domain.

Essa ação é executada na entidade Username do Google SecOps.

Entradas de ação

A ação Remover usuário do grupo exige os seguintes parâmetros:

Saídas de ação

A ação Remover usuário do grupo fornece as seguintes saídas:

Mensagens de saída

A ação Remover usuário do grupo pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Remover usuário do grupo:

Redefinir senha do usuário

Use a ação Redefinir senha do usuário para redefinir a senha do usuário para aquela especificada na ação. Essa ação exige que o usuário mude a senha na próxima tentativa de login.

A ação Redefinir senha do usuário espera que você configure a entidade User no formato username@domain.

Essa ação é executada na entidade User do Google SecOps.

Atribuir uma função ao seu aplicativo

A ação Redefinir senha do usuário exige que você atribua a função Password Administrator ao seu aplicativo.

Para atribuir a função Password Administrator ao aplicativo, siga estas etapas:

1. Faça login no portal do Azure usando sua conta da Microsoft.
2. No Microsoft Entra ID, pesquise Funções e administradores.
3. Selecione ou pesquise a função Password Administrator na lista.
4. Clique em Adicionar atribuição.
5. Selecione uma conta (membro) que você usa na integração e clique em Próxima.
6. Insira uma justificativa para atribuir uma função.
7. Clique em Atribuir.

Entradas de ação

A ação Redefinir senha do usuário exige os seguintes parâmetros:

Saídas de ação

A ação Redefinir senha do usuário fornece as seguintes saídas:

Mensagens de saída

A ação Redefinir senha do usuário pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Redefinir senha do usuário:

Revogar sessão de usuário

Use a ação Revogar sessão do usuário para revogar uma sessão.

Essa ação é executada nas seguintes entidades do Google SecOps:

• Username
• Email Address

Entradas de ação

Nenhuma.

Saídas de ação

A ação Revogar sessão do usuário fornece as seguintes saídas:

Resultado JSON

Os exemplos a seguir mostram as saídas de resultados JSON recebidas ao usar a ação Revogar sessão do usuário:

• Se o usuário existir:

  {
      "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Edm.Boolean",
      "value": true
  }
  

• Se o usuário não for encontrado:

  {
      "error": "User not found."
  }
  

Mensagens de saída

A ação Revoke User Session pode retornar as seguintes mensagens de saída:

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Revogar sessão do usuário:

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.