Esta página foi traduzida pela API Cloud Translation.

Integre o Azure Monitor com o Google SecOps

Versão da integração: 1.0

Este documento explica como integrar o Azure Monitor com o Google Security Operations (Google SecOps).

Exemplos de utilização

A integração do Azure Monitor pode resolver os seguintes exemplos de utilização:

Enriquecimento e contexto dos registos: use as capacidades do Google SecOps para pesquisar registos do Azure Monitor (como a atividade do Azure ou eventos de segurança) durante um incidente para obter contexto adicional, confirmar atividades suspeitas ou identificar o âmbito de uma violação que envolva recursos do Azure.
Investigar eventos de autenticação do Azure: use as capacidades do Google SecOps para consultar registos de início de sessão quando é identificado um endereço IP ou uma entidade de utilizador suspeitos, recuperando rapidamente todas as tentativas de autenticação e o histórico de acesso relacionados do Azure para ajudar nas investigações de comprometimento de contas.
Validação de configurações incorretas na nuvem: use as capacidades do Google SecOps para executar consultas específicas da linguagem de consulta Kusto (KQL) no registo de atividades do Azure para verificar se existem alterações recentes nos grupos de segurança de rede, nas regras de firewall ou nas configurações principais dos serviços do Azure que possam ter acionado um alerta.

Antes de começar

Antes de configurar a integração na plataforma Google SecOps, verifique se tem o seguinte:

Registo da aplicação do Azure AD: uma aplicação do Azure Active Directory (Azure AD) com as autorizações necessárias (como Leitor do Log Analytics) para aceder aos dados de registo, a partir da qual tem de obter o ID do cliente e o segredo do cliente. Para ver passos detalhados sobre a configuração desta aplicação para acesso à API, consulte o artigo Aceda à API Azure Monitor Logs.
ID do inquilino: o identificador exclusivo da sua instância do Azure Active Directory, que é necessário para concluir o fluxo de autenticação OAuth 2.0.
ID do espaço de trabalho do Log Analytics: o identificador exclusivo do espaço de trabalho do Azure Monitor Log Analytics específico que a integração consulta para registos. Para mais informações sobre como localizar o ID do Workspace, consulte o artigo sobre os Workspaces.

Parâmetros de integração

A integração do Azure Monitor requer os seguintes parâmetros:

Parâmetro	Descrição
`Login API Root`	Obrigatório. A raiz da API de início de sessão do serviço Azure Monitor. O valor predefinido é `https://login.microsoftonline.com`.
`API Root`	Obrigatório. A raiz da API do serviço Azure Monitor. O valor predefinido é `https://api.loganalytics.io`.
`Tenant ID`	Obrigatório. O ID de inquilino da conta do Azure Monitor.
`Client ID`	Obrigatório. O ID de cliente da conta do Azure Monitor.
`Client Secret`	Obrigatório. O segredo do cliente da conta do Azure Monitor.
`Workspace ID`	Obrigatório. O ID do espaço de trabalho da conta do Azure Monitor.
`Verify SSL`	Obrigatório. Se estiver selecionada, a integração valida o certificado SSL quando se liga ao servidor do Azure Monitor. Ativada por predefinição.

Ações

Para mais informações sobre ações, consulte os artigos Responda a ações pendentes da sua mesa de trabalho e Realize uma ação manual.

Tchim-tchim

Use a ação Ping para testar a conetividade com o Azure Monitor.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

Nenhum.

Resultados da ação

A ação Ping fornece os seguintes resultados:

Tipo de saída da ação	Disponibilidade
Fixação à parede da caixa	Não disponível
Link da parede da caixa	Não disponível
Tabela de parede para capas	Não disponível
Tabela de enriquecimento	Não disponível
Resultado JSON	Não disponível
Mensagens de saída	Disponível
Resultado do script.	Disponível

Mensagens de saída

A ação Ping pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Mensagem de saída	Descrição da mensagem
`Successfully connected to the Azure Monitor server with the provided connection parameters!`	A ação foi bem-sucedida.
`Failed to connect to the Azure Monitor server! Error is ERROR_REASON`	A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Successfully connected to the Azure Monitor server with the provided connection parameters!

A ação foi bem-sucedida.

Failed to connect to the Azure Monitor server!
      Error is  ERROR_REASON

A ação falhou.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela seguinte lista o valor da saída do resultado do script quando usa a ação Ping:

Nome do resultado do script	Valor
`is_success`	`True` ou `False`

Registos de pesquisa

Use a ação Registos de pesquisa para executar comandos KQL em relação ao seu espaço de trabalho do Azure Monitor para obter dados de registo específicos com base na string de consulta fornecida.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

A ação Registos de pesquisa requer os seguintes parâmetros:

Parâmetro	Descrição
`Workspace ID`	Opcional. O ID do espaço de trabalho a pesquisar. Se não for fornecido nenhum valor, a ação usa o ID do Workspace da configuração de integração.
`Query`	Obrigatório. A consulta (comando KQL) que a ação executa nos dados de registo.
`Time Frame`	Opcional. O período da consulta. Se `Custom` estiver selecionado, também tem de indicar `Start Time`. Os valores possíveis são os seguintes: `Last Hour` `Last 6 Hours` `Last 24 Hours` `Last Week` `Last Month` `Custom` O valor predefinido é `Last Hour`.
`Start Time`	Opcional. A hora de início da consulta no formato ISO 8601. Se `Custom` estiver selecionado em `Time Frame`, este parâmetro é obrigatório.
`End Time`	Opcional. A hora de fim da consulta no formato ISO 8601. Se `Custom` estiver selecionado em `Time Frame` e não for indicado nenhum valor, é usada a hora atual.
`Max Results To Return`	Obrigatório. O número máximo de resultados que a pesquisa deve devolver. O valor máximo é`1000`. O valor predefinido é `100`.

Resultados da ação

A ação Registos de pesquisa fornece os seguintes resultados:

Tipo de saída da ação	Disponibilidade
Fixação à parede da caixa	Não disponível
Link da parede da caixa	Não disponível
Tabela de parede para capas	Não disponível
Tabela de enriquecimento	Não disponível
Resultado JSON	Disponível
Mensagens de saída	Disponível
Resultado do script.	Disponível

Resultado JSON

O exemplo seguinte mostra a saída do resultado JSON recebida quando usa a ação Search Logs:

[
 {
   "TimeGenerated": "2025-10-07T06:44:40.4570918Z",
   "OperationName": "Update datascanners"
 },
 {
   "TimeGenerated": "2025-10-07T06:44:41.1760472Z",
   "OperationName": "Update datascanners"
 },
]

Mensagens de saída

A ação Search Logs pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Mensagem de saída	Descrição da mensagem
`Successfully returned results for the query QUERY in Azure Monitor.` `No results were found for the query QUERY in Azure Monitor.`	A ação foi bem-sucedida.
`Error executing action "Search Logs". Reason: ERROR_REASON`	A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Successfully returned results for the query QUERY in Azure Monitor.

No results were found for the query QUERY in Azure Monitor.

A ação foi bem-sucedida.

Error executing action "Search Logs". Reason:
      ERROR_REASON

A ação falhou.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela seguinte lista o valor do resultado do script quando usa a ação Registos de pesquisa:

Nome do resultado do script	Valor
`is_success`	`True` ou `False`

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.