Integra Azure Monitor con Google SecOps

Versión de la integración: 1.0

En este documento, se explica cómo integrar Azure Monitor en Google Security Operations (Google SecOps).

Casos de uso

La integración de Azure Monitor puede abordar los siguientes casos de uso:

  • Enriquecimiento y contexto de los registros: Usa las capacidades de Google SecOps para buscar registros de Azure Monitor (como los registros de actividad de Azure o los eventos de seguridad) durante un incidente y recuperar contexto adicional, confirmar actividades sospechosas o identificar el alcance de una vulneración que involucre recursos de Azure.

  • Investigación de eventos de autenticación de Azure: Usa las capacidades de SecOps de Google para consultar los registros de acceso cuando se identifica una dirección IP o una entidad de usuario sospechosa, y recupera rápidamente todos los intentos de autenticación relacionados y el historial de acceso de Azure para ayudar en las investigaciones de cuentas comprometidas.

  • Validación de errores de configuración en la nube: Usa las capacidades de SecOps de Google para ejecutar consultas específicas del lenguaje de consultas de Kusto (KQL) en el registro de actividad de Azure y verificar si hubo cambios recientes en los grupos de seguridad de red, las reglas de firewall o las configuraciones clave de los servicios de Azure que podrían haber activado una alerta.

Antes de comenzar

Antes de configurar la integración en la plataforma de Google SecOps, verifica que tengas lo siguiente:

  • Registro de la aplicación de Azure AD: Una aplicación de Azure Active Directory (Azure AD) con los permisos necesarios (como Lector de Log Analytics) para acceder a los datos de registro, desde la que debes obtener el ID de cliente y el secreto del cliente. Para obtener información detallada sobre cómo configurar esta aplicación para el acceso a la API, consulta Accede a la API de Azure Monitor Logs.

  • ID de usuario: Es el identificador único de tu instancia de Azure Active Directory, que se requiere para completar el flujo de autenticación de OAuth 2.0.

  • ID del espacio de trabajo de Log Analytics: Es el identificador único del espacio de trabajo específico de Log Analytics de Azure Monitor en el que la integración consulta los registros. Para obtener más información sobre cómo encontrar el ID del lugar de trabajo, consulta Lugares de trabajo.

Parámetros de integración

La integración de Azure Monitor requiere los siguientes parámetros:

Parámetro Descripción
Login API Root

Obligatorio.

Es la raíz de la API de inicio de sesión del servicio de Azure Monitor.

El valor predeterminado es https://login.microsoftonline.com.
API Root

Obligatorio.

Es la raíz de la API del servicio de Azure Monitor.

El valor predeterminado es https://api.loganalytics.io.
Tenant ID

Obligatorio.

Es el ID de usuario de la cuenta de Azure Monitor.
Client ID

Obligatorio.

Es el ID de cliente de la cuenta de Azure Monitor.
Client Secret

Obligatorio.

Es el secreto del cliente de la cuenta de Azure Monitor.
Workspace ID

Obligatorio.

Es el ID del espacio de trabajo de la cuenta de Azure Monitor.
Verify SSL

Obligatorio.

Si se selecciona esta opción, la integración valida el certificado SSL cuando se conecta al servidor de Azure Monitor.

Está habilitada de forma predeterminada.

Acciones

Para obtener más información sobre las acciones, consulta Cómo responder a las acciones pendientes de Tu escritorio y Cómo realizar una acción manual.

Ping

Usa la acción Ping para probar la conectividad con Azure Monitor.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

Ninguno

Resultados de la acción

La acción Ping proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del muro de casos No disponible
Vínculo al muro de casos No disponible
Tabla del muro de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Es el resultado de la secuencia de comandos. Disponible
Mensajes de salida

La acción Ping puede devolver los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

Successfully connected to the Azure Monitor server with the provided connection parameters!

 La acción se completó correctamente.
Failed to connect to the Azure Monitor server! Error is ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Ping:

Nombre del resultado de la secuencia de comandos Valor
is_success True o False

Registros de búsqueda

Usa la acción Search Logs para ejecutar comandos de KQL en tu área de trabajo de Azure Monitor y recuperar datos de registros específicos según la cadena de consulta proporcionada.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Search Logs requiere los siguientes parámetros:

Parámetro Descripción
Workspace ID

Es opcional.

ID del espacio de trabajo en el que se realizará la búsqueda.

Si no se proporciona ningún valor, la acción usa el ID de Workspace de la configuración de la integración.
Query

Obligatorio.

Es la consulta (comando de KQL) que la acción ejecuta en los datos de registro.
Time Frame

Es opcional.

Es el período de la consulta.

Si se selecciona Custom, también debes proporcionar Start Time.

Los valores posibles son los siguientes:

  • Last Hour
  • Last 6 Hours
  • Last 24 Hours
  • Last Week
  • Last Month
  • Custom

El valor predeterminado es Last Hour.
Start Time

Es opcional.

Es la hora de inicio de la búsqueda en formato ISO 8601.

Este parámetro es obligatorio si se selecciona Custom en Time Frame.
End Time

Es opcional.

Es la hora de finalización de la búsqueda en formato ISO 8601.

Si se selecciona Custom en Time Frame y no se proporciona ningún valor, se usa la hora actual.
Max Results To Return

Obligatorio.

Es la cantidad máxima de resultados que devolverá la búsqueda.

El valor máximo es1000.

El valor predeterminado es 100.

Resultados de la acción

La acción Search Logs proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del muro de casos No disponible
Vínculo al muro de casos No disponible
Tabla del muro de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON Disponible
Mensajes de salida Disponible
Es el resultado de la secuencia de comandos. Disponible
Resultado de JSON

En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Search Logs:

[
 {
   "TimeGenerated": "2025-10-07T06:44:40.4570918Z",
   "OperationName": "Update datascanners"
 },
 {
   "TimeGenerated": "2025-10-07T06:44:41.1760472Z",
   "OperationName": "Update datascanners"
 },
]
Mensajes de salida

La acción Search Logs puede devolver los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

Successfully returned results for the query QUERY in Azure Monitor.

No results were found for the query QUERY in Azure Monitor.

 La acción se completó correctamente.
Error executing action "Search Logs". Reason: ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Search Logs:

Nombre del resultado de la secuencia de comandos Valor
is_success True o False

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.