Esta página foi traduzida pela API Cloud Translation.

Integrar o Azure Monitor ao Google SecOps

Versão da integração: 1.0

Este documento explica como integrar o Azure Monitor ao Google Security Operations (Google SecOps).

Casos de uso

A integração do Azure Monitor pode resolver os seguintes casos de uso:

Enriquecimento e contexto de registros: use os recursos do Google SecOps para pesquisar registros do Azure Monitor (como eventos de atividade ou segurança do Azure) durante um incidente e recuperar mais contexto, confirmar atividades suspeitas ou identificar o escopo de uma violação envolvendo recursos do Azure.
Investigação de eventos de autenticação do Azure: use os recursos do Google SecOps para consultar registros de login quando um endereço IP ou uma entidade de usuário suspeita for identificada. Recupere rapidamente todas as tentativas de autenticação e o histórico de acesso relacionados do Azure para ajudar nas investigações de comprometimento de conta.
Validação de erros de configuração na nuvem: use os recursos do Google SecOps para executar consultas específicas da linguagem de consulta Kusto (KQL) no registro de atividades do Azure e verificar mudanças recentes em grupos de segurança de rede, regras de firewall ou configurações principais de serviços do Azure que podem ter acionado um alerta.

Antes de começar

Antes de configurar a integração na plataforma do Google SecOps, verifique se você tem o seguinte:

Registro de aplicativo do Azure AD: um aplicativo do Azure Active Directory (Azure AD) com as permissões necessárias (por exemplo, leitor do Log Analytics) para acessar dados de registro, de que você precisa obter o ID e o segredo do cliente. Para etapas detalhadas sobre como configurar esse aplicativo para acesso à API, consulte Acessar a API de logs do Azure Monitor.
ID do locatário: o identificador exclusivo da sua instância do Azure Active Directory, necessário para concluir o fluxo de autenticação do OAuth 2.0.
ID do espaço de trabalho do Log Analytics: o identificador exclusivo do espaço de trabalho específico do Log Analytics do Azure Monitor que a integração consulta para registros. Para mais informações sobre como localizar o ID do espaço de trabalho, consulte Espaços de trabalho.

Parâmetros de integração

A integração do Azure Monitor exige os seguintes parâmetros:

Parâmetro	Descrição
`Login API Root`	Obrigatório. A raiz da API de login do serviço do Azure Monitor. O valor padrão é `https://login.microsoftonline.com`.
`API Root`	Obrigatório. A raiz da API do serviço Azure Monitor. O valor padrão é `https://api.loganalytics.io`.
`Tenant ID`	Obrigatório. O ID do locatário da conta do Azure Monitor.
`Client ID`	Obrigatório. O ID do cliente da conta do Azure Monitor.
`Client Secret`	Obrigatório. A chave secreta do cliente da conta do Azure Monitor.
`Workspace ID`	Obrigatório. O ID do espaço de trabalho da conta do Azure Monitor.
`Verify SSL`	Obrigatório. Se selecionada, a integração valida o certificado SSL ao se conectar ao servidor do Azure Monitor. Ativado por padrão.

Ações

Para mais informações sobre ações, consulte Responder a ações pendentes da sua mesa de trabalho e Realizar uma ação manual.

Ping

Use a ação Ping para testar a conectividade com o Azure Monitor.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

Nenhuma.

Saídas de ação

A ação Ping fornece as seguintes saídas:

Tipo de saída da ação	Disponibilidade
Anexo do Painel de Casos	Indisponível
Link do Painel de Casos	Indisponível
Tabela do painel de casos	Indisponível
Tabela de enriquecimento	Indisponível
Resultado JSON	Indisponível
Mensagens de saída	Disponível
Resultado do script.	Disponível

Mensagens de saída

A ação Ping pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Mensagem de resposta	Descrição da mensagem
`Successfully connected to the Azure Monitor server with the provided connection parameters!`	A ação foi concluída.
`Failed to connect to the Azure Monitor server! Error is ERROR_REASON`	A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Successfully connected to the Azure Monitor server with the provided connection parameters!

A ação foi concluída.

Failed to connect to the Azure Monitor server!
      Error is  ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Ping:

Nome do resultado do script	Valor
`is_success`	`True` ou `False`

Registros de pesquisa

Use a ação Pesquisar registros para executar comandos da KQL no seu espaço de trabalho do Azure Monitor e recuperar dados de registro específicos com base na string de consulta fornecida.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Registros de pesquisa exige os seguintes parâmetros:

Parâmetro	Descrição
`Workspace ID`	Opcional. O ID do espaço de trabalho a ser pesquisado. Se nenhum valor for fornecido, a ação vai usar o ID do Workspace da configuração de integração.
`Query`	Obrigatório. A consulta (comando KQL) que a ação executa nos dados de registro.
`Time Frame`	Opcional. O período da consulta. Se `Custom` for selecionado, também será necessário fornecer `Start Time`. Os valores possíveis são: `Last Hour` `Last 6 Hours` `Last 24 Hours` `Last Week` `Last Month` `Custom` O valor padrão é `Last Hour`.
`Start Time`	Opcional. O horário de início da consulta no formato ISO 8601. Se `Custom` estiver selecionado em `Time Frame`, esse parâmetro será obrigatório.
`End Time`	Opcional. O horário de término da consulta no formato ISO 8601. Se `Custom` for selecionado em `Time Frame` e nenhum valor for fornecido, a hora atual será usada.
`Max Results To Return`	Obrigatório. O número máximo de resultados que a pesquisa pode retornar. O valor máximo é `1000`. O valor padrão é `100`.

Saídas de ação

A ação Pesquisar registros fornece as seguintes saídas:

Tipo de saída da ação	Disponibilidade
Anexo do Painel de Casos	Indisponível
Link do Painel de Casos	Indisponível
Tabela do painel de casos	Indisponível
Tabela de enriquecimento	Indisponível
Resultado JSON	Disponível
Mensagens de saída	Disponível
Resultado do script.	Disponível

Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Pesquisar registros:

[
 {
   "TimeGenerated": "2025-10-07T06:44:40.4570918Z",
   "OperationName": "Update datascanners"
 },
 {
   "TimeGenerated": "2025-10-07T06:44:41.1760472Z",
   "OperationName": "Update datascanners"
 },
]

Mensagens de saída

A ação Pesquisar registros pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Mensagem de resposta	Descrição da mensagem
`Successfully returned results for the query QUERY in Azure Monitor.` `No results were found for the query QUERY in Azure Monitor.`	A ação foi concluída.
`Error executing action "Search Logs". Reason: ERROR_REASON`	A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Successfully returned results for the query QUERY in Azure Monitor.

No results were found for the query QUERY in Azure Monitor.

A ação foi concluída.

Error executing action "Search Logs". Reason:
      ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Pesquisar registros:

Nome do resultado do script	Valor
`is_success`	`True` ou `False`

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.