Integrar Azure Monitor con Google SecOps

Versión de la integración: 1.0

En este documento se explica cómo integrar Azure Monitor con Google Security Operations (Google SecOps).

Casos prácticos

La integración de Azure Monitor puede abordar los siguientes casos prácticos:

  • Enriquecimiento de registros y contexto: usa las funciones de Google SecOps para buscar registros de Azure Monitor (como los de actividad de Azure o los de eventos de seguridad) durante un incidente para obtener contexto adicional, confirmar actividades sospechosas o identificar el alcance de una brecha que afecte a recursos de Azure.

  • Investigar eventos de autenticación de Azure: usa las funciones de SecOps de Google para consultar los registros de inicio de sesión cuando se identifique una dirección IP o una entidad de usuario sospechosas. De esta forma, podrás recuperar rápidamente todos los intentos de autenticación y el historial de acceso relacionados de Azure para ayudarte en las investigaciones de cuentas vulneradas.

  • Validación de configuraciones incorrectas en la nube: usa las funciones de Google SecOps para ejecutar consultas específicas en lenguaje de consulta Kusto (KQL) en el registro de actividad de Azure y comprobar si se han producido cambios recientes en los grupos de seguridad de red, las reglas de firewall o las configuraciones de servicios clave de Azure que puedan haber activado una alerta.

Antes de empezar

Antes de configurar la integración en la plataforma Google SecOps, comprueba que tienes lo siguiente:

  • Registro de aplicaciones de Azure AD: una aplicación de Azure Active Directory (Azure AD) con los permisos necesarios (por ejemplo, Lector de Log Analytics) para acceder a los datos de registro, de la que debes obtener el ID de cliente y el secreto de cliente. Para obtener información detallada sobre cómo configurar esta aplicación para acceder a la API, consulta el artículo Acceder a la API de registros de Azure Monitor.

  • ID de tenant: identificador único de tu instancia de Azure Active Directory, que es necesario para completar el flujo de autenticación de OAuth 2.0.

  • ID de espacio de trabajo de Log Analytics: identificador único del espacio de trabajo de Log Analytics de Azure Monitor específico en el que la integración busca registros. Para obtener más información sobre cómo encontrar el ID de Workspace, consulta Espacios de trabajo.

Parámetros de integración

La integración de Azure Monitor requiere los siguientes parámetros:

Parámetro Descripción
Login API Root

Obligatorio.

La raíz de la API de inicio de sesión del servicio Azure Monitor.

El valor predeterminado es https://login.microsoftonline.com.
API Root

Obligatorio.

La raíz de la API del servicio Azure Monitor.

El valor predeterminado es https://api.loganalytics.io.
Tenant ID

Obligatorio.

ID de cliente de la cuenta de Azure Monitor.
Client ID

Obligatorio.

El ID de cliente de la cuenta de Azure Monitor.
Client Secret

Obligatorio.

El secreto de cliente de la cuenta de Azure Monitor.
Workspace ID

Obligatorio.

ID del área de trabajo de la cuenta de Azure Monitor.
Verify SSL

Obligatorio.

Si se selecciona esta opción, la integración valida el certificado SSL al conectarse al servidor de Azure Monitor.

Esta opción está habilitada de forma predeterminada.

Acciones

Para obtener más información sobre las acciones, consulta Responder a acciones pendientes desde Tu espacio de trabajo y Realizar una acción manual.

Ping

Usa la acción Ping para probar la conectividad con Azure Monitor.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

Ninguno

Resultados de la acción

La acción Ping proporciona las siguientes salidas:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos. Disponible
Mensajes de salida

La acción Ping puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Successfully connected to the Azure Monitor server with the provided connection parameters!

 La acción se ha realizado correctamente.
Failed to connect to the Azure Monitor server! Error is ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Ping:

Nombre del resultado del script Valor
is_success True o False

Registros de búsqueda

Usa la acción Buscar registros para ejecutar comandos de KQL en tu área de trabajo de Azure Monitor y obtener datos de registro específicos en función de la cadena de consulta proporcionada.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Registros de búsqueda requiere los siguientes parámetros:

Parámetro Descripción
Workspace ID

Opcional.

El ID del espacio de trabajo en el que se va a buscar.

Si no se proporciona ningún valor, la acción usa el ID de espacio de trabajo de la configuración de la integración.
Query

Obligatorio.

La consulta (comando KQL) que ejecuta la acción en los datos de registro.
Time Frame

Opcional.

El periodo de la consulta.

Si se selecciona Custom, también debe proporcionar Start Time.

Estos son los valores posibles:

  • Last Hour
  • Last 6 Hours
  • Last 24 Hours
  • Last Week
  • Last Month
  • Custom

El valor predeterminado es Last Hour.
Start Time

Opcional.

Hora de inicio de la consulta en formato ISO 8601.

Si se selecciona Custom en Time Frame, este parámetro es obligatorio.
End Time

Opcional.

Hora de finalización de la consulta en formato ISO 8601.

Si se selecciona Custom en Time Frame y no se proporciona ningún valor, se usará la hora actual.
Max Results To Return

Obligatorio.

Número máximo de resultados que se devolverán en la búsqueda.

El valor máximo es 1000.

El valor predeterminado es 100.

Resultados de la acción

La acción Buscar registros proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON Disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos. Disponible
Resultado de JSON

En el siguiente ejemplo se muestra la salida del resultado JSON recibida al usar la acción Buscar registros:

[
 {
   "TimeGenerated": "2025-10-07T06:44:40.4570918Z",
   "OperationName": "Update datascanners"
 },
 {
   "TimeGenerated": "2025-10-07T06:44:41.1760472Z",
   "OperationName": "Update datascanners"
 },
]
Mensajes de salida

La acción Buscar registros puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Successfully returned results for the query QUERY in Azure Monitor.

No results were found for the query QUERY in Azure Monitor.

 La acción se ha realizado correctamente.
Error executing action "Search Logs". Reason: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Buscar registros:

Nombre del resultado del script Valor
is_success True o False

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.