Azure Security Center

Versión de integración: 9.0

Casos prácticos

  1. Ingiere alertas de seguridad en Google SecOps para investigarlas.

  2. Actualiza las alertas.

  3. Obtener información sobre el cumplimiento de los estándares.

Requisitos previos

Antes de configurar la integración en la plataforma Google SecOps, asegúrate de conceder los permisos necesarios a la cuenta de usuario de Azure y de configurar la autenticación con contraseña o la autenticación OAuth.

Configurar permisos

Esta integración requiere acceso delegado a los recursos de Azure. Asegúrate de conceder los siguientes permisos necesarios a la cuenta de usuario de Azure que se utilice para configurar la integración:

  1. La cuenta de usuario debe ser un miembro activo de los siguientes roles de Azure:

    • Security Reader
    • Security Admin

  2. En el nivel de suscripción de Azure, asegúrate de conceder al usuario el siguiente rol de gestión de identidades y accesos: Management Group Reader.

Configurar la autenticación con contraseña

Para configurar la autenticación con contraseña en Microsoft Defender for Cloud, sigue estos pasos:

  1. Crea la aplicación de Microsoft Entra.

  2. Configura los permisos de la API de tu aplicación.

  3. Crea un secreto de cliente.

  4. Usa tu ID de suscripción de Azure como valor del parámetro de integración correspondiente.

Crear una aplicación de Microsoft Entra

  1. Inicia sesión en el portal de Azure como administrador de usuarios o administrador de contraseñas.

  2. Selecciona ID de Microsoft Entra.

  3. Ve a Registros de aplicaciones > Nuevo registro.

  4. Introduce el nombre de la aplicación.

  5. Haz clic en Registrarse.

  6. Guarda los valores de ID de aplicación (cliente) y ID de directorio (inquilino) para usarlos más adelante al configurar los parámetros de integración.

Configurar permisos de API

  1. Ve a Permisos de API > Añadir un permiso.

  2. Selecciona Gestión de servicios de Azure > Permisos delegados.

  3. En la sección Seleccionar permisos, seleccione el siguiente permiso:

    • user_impersonation

  4. Selecciona Microsoft Graph > Permisos delegados.

  5. En la sección Seleccionar permisos, selecciona los siguientes permisos:

    • SecurityEvents.Read.All
    • SecurityEvents.ReadWrite.All
    • User.Read

  6. Selecciona Microsoft Graph > Permisos de aplicación.

  7. En la sección Seleccionar permisos, selecciona los siguientes permisos:

    • SecurityEvents.Read.All
    • SecurityEvents.ReadWrite.All

  8. Haz clic en Añadir permisos.

  9. Haz clic en Conceder consentimiento de administrador para YOUR_ORGANIZATION_NAME.

    Cuando aparezca el cuadro de diálogo Confirmación de concesión de consentimiento de administrador, haz clic en .

Crear secreto de cliente

  1. Ve a Certificados y secretos > Nuevo secreto de cliente.

  2. Proporciona una descripción del secreto de cliente y define su fecha de vencimiento.

  3. Haz clic en Añadir.

  4. Guarda el valor del secreto de cliente (no el ID del secreto) para usarlo como valor del parámetro Client Secret al configurar la integración. El valor de client_secret solo se muestra una vez.

Configurar la integración con el ID de suscripción de Azure

  1. En Microsoft Defender for Cloud, vaya a la pestaña Vista general.

  2. Haz clic en Suscripciones a Azure.

  3. Copia el valor del ID de suscripción de Azure e introdúcelo en el parámetro Subscription ID al configurar los parámetros de integración.

Configurar la autenticación OAuth

Para configurar la autenticación OAuth en Microsoft Defender for Cloud, sigue estos pasos:

  1. Crea la aplicación de Microsoft Entra.

  2. Configura los permisos de la API de tu aplicación.

  3. Crea un secreto de cliente.

  4. Usa tu ID de suscripción de Azure como valor del parámetro de integración correspondiente.

Crear una aplicación de Microsoft Entra

Para crear una aplicación y suplantar la identidad del usuario elegido, sigue estos pasos:

  1. Inicia sesión en el portal de Azure como administrador de usuarios o administrador de contraseñas.

  2. Selecciona ID de Microsoft Entra.

  3. Ve a Registros de aplicaciones > Nuevo registro.

  4. Introduce el nombre de la aplicación.

  5. Selecciona los tipos de cuenta admitidos adecuados.

  6. En URL de redirección, indica el siguiente valor: http://localhost.

  7. Haz clic en Registrarse.

  8. Guarda los valores de ID de aplicación (cliente) e ID de directorio (inquilino) para usarlos más adelante y configurar la integración.

Configurar permisos de API

  1. Ve a Permisos de API > Añadir un permiso.

  2. Selecciona Gestión de servicios de Azure > Permisos delegados.

  3. En la sección Seleccionar permisos, seleccione el siguiente permiso:

    • user_impersonation

  4. Selecciona Microsoft Graph > Permisos delegados.

  5. En la sección Seleccionar permisos, selecciona los siguientes permisos:

    • SecurityEvents.Read.All
    • SecurityEvents.ReadWrite.All
    • User.Read

  6. Selecciona Microsoft Graph > Permisos de aplicación.

  7. En la sección Seleccionar permisos, selecciona los siguientes permisos:

    • SecurityEvents.Read.All
    • SecurityEvents.ReadWrite.All

  8. Haz clic en Añadir permisos.

  9. Haz clic en Conceder consentimiento de administrador para YOUR_ORGANIZATION_NAME.

    Cuando aparezca el cuadro de diálogo Confirmación de concesión de consentimiento de administrador, haz clic en .

Crear secreto de cliente

  1. Ve a Certificados y secretos > Nuevo secreto de cliente.

  2. Proporciona una descripción del secreto de cliente y define su fecha de vencimiento.

  3. Haz clic en Añadir.

  4. Guarda el valor del secreto de cliente (no el ID del secreto) para usarlo como valor del parámetro Client Secret al configurar la integración. El valor de client_secret solo se muestra una vez.

Configurar la integración con el ID de suscripción de Azure

  1. En Microsoft Defender for Cloud, vaya a la pestaña Vista general.

  2. Haz clic en Suscripciones a Azure.

  3. Copia el valor del ID de suscripción de Azure e introdúcelo en el parámetro Subscription ID al configurar la integración.

Configurar la autenticación de OAuth en Google SecOps

Para configurar la autenticación OAuth en Microsoft Defender for Cloud en la plataforma Google SecOps, sigue estos pasos:

  1. Configure los parámetros de integración y guárdelos.

  2. Genera un token de actualización:

    • Opcional: Simula un caso en Google SecOps.

    • Ejecuta manualmente la acción Get OAuth Authorization Code (Obtener código de autorización de OAuth).

    • Ejecuta manualmente la acción Generar token.

  3. Introduce el token de actualización obtenido como valor del parámetro Refresh Token y guarda la configuración.

Configurar parámetros de integración

En Google SecOps, configure los parámetros de integración con los valores de ID de cliente, Secreto de cliente, ID de cliente y ID de suscripción que haya obtenido en los pasos anteriores.

Generar token de actualización

Para generar un token de actualización, es necesario realizar acciones manuales en cualquier incidencia. Si tu instancia de Google Security Operations es nueva y no tiene ningún caso, simula uno.

Simular caso

Para simular un caso en Google SecOps, sigue estos pasos:

  1. En el panel de navegación de la izquierda, selecciona Casos.

  2. En la página Casos, haz clic en Añadir > Simular casos.

  3. Selecciona uno de los casos predeterminados y haz clic en Crear. No importa qué caso quieras simular.

  4. Haz clic en Simular.

    Si tienes un entorno que no es el predeterminado y quieres usarlo, selecciona el entorno correcto y haz clic en Simular.

  5. En la pestaña Casos, haz clic en Actualizar. El caso que has simulado aparece en la lista de casos.

Ejecutar la acción Get OAuth Authorization Code

Usa el caso de Google SecOps que has simulado o cualquier otro para ejecutar manualmente la acción Obtener código de autorización OAuth.

  1. En la pestaña Casos, selecciona el caso simulado para abrir la vista del caso.

  2. Haz clic en Acción manual.

  3. En el campo Buscar de la acción manual, introduce Azure Security Center.

  4. En los resultados de la integración de Azure Security Center, selecciona Obtener código de autorización de OAuth. Esta acción devuelve un enlace de autorización que se usa para iniciar sesión de forma interactiva en la aplicación Microsoft Entra.

  5. En el campo del parámetro Redirect URL, introduce la URL que has usado al crear la aplicación de Microsoft Entra.

  6. Haz clic en la opción para ejecutar.

  7. Una vez que se haya ejecutado la acción, ve al panel de casos del caso simulado. En el registro de la acción Azure Security Center_Get OAuth Authorization Code (Azure Security Center_Obtener código de autorización OAuth), haz clic en Ver más y copia el enlace de autorización.

  8. Abre una nueva ventana del navegador en modo Incógnito y pega la URL de autorización generada. Se abrirá la página de inicio de sesión de Azure.

  9. Inicia sesión con las credenciales de usuario que hayas seleccionado para la integración. Después de iniciar sesión, tu navegador debería redirigirte con un código en la barra de direcciones.

    A continuación, se muestra un ejemplo de la URL resultante con el código:

    http://localhost/?code=0.ATwAylKP1BpbCEeO0Ou5iiakalBV.......nIAA&state=12345&session_state=28084547-3dea-449a-8b4c-c1671342a39d#

  10. En la URL, copia la parte del código de acceso que va después de http://localhost/?code=. Necesitas este código de acceso para ejecutar la acción Obtener token de actualización de OAuth.

Ejecuta la acción Get OAuth Refresh Token (Obtener token de actualización de OAuth).

Usa el caso de Google SecOps que has simulado para ejecutar manualmente la acción Get OAuth Refresh Token (Obtener token de actualización de OAuth).

  1. En la pestaña Casos, selecciona el caso simulado para abrir la vista del caso.

  2. Haz clic en Acción manual.

  3. En el campo Buscar de la acción manual, escribe Azure Security Center.

  4. En los resultados de la integración de Azure Security Center, seleccione Get OAuth Refresh Token (Obtener token de actualización de OAuth).

  5. En el campo del parámetro Authorization Code, introduce el código de acceso que has obtenido después de ejecutar la acción Obtener código de autorización de OAuth.

  6. Haz clic en la opción para ejecutar.

  7. Una vez que se haya ejecutado la acción, ve al panel de casos del caso simulado. En el registro de la acción Azure Security Center_Get OAuth Refresh Token (Azure Security Center_Obtener token de actualización de OAuth), haz clic en Ver más.

  8. Copia el valor completo del token de actualización generado.

Configurar el parámetro de token de actualización

  1. Ve al cuadro de diálogo de configuración de la integración de Azure Security Center.

  2. Introduce el valor del token de actualización del paso anterior en el campo Refresh Token (Token de actualización).

  3. Haz clic en Guardar.

Integrar Azure Security Center con Google SecOps

Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.

Entradas de integración

Usa los siguientes parámetros para configurar la integración:

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
ID de cliente Cadena N/A ID de cliente de la aplicación de Microsoft Entra.
Secreto de cliente Contraseña N/A Secreto de cliente de la aplicación Microsoft Entra.
Nombre de usuario Cadena N/A No Nombre de usuario de la cuenta de Microsoft Entra.
Contraseña Contraseña N/A No Contraseña de la cuenta de Microsoft Entra.
ID de suscripción Cadena N/A

El ID de la suscripción de la que quieres consultar información.

Nota: Si se proporciona el ID de suscripción a nivel de integración y de acción, se da prioridad a la configuración de la acción.
ID de cliente Cadena N/A ID de cliente de la aplicación de Microsoft Entra.
Token de actualización Contraseña N/A Token de actualización de la autorización de OAuth.
Verificar SSL Casilla Desmarcada Si está habilitada, verifica que el certificado SSL de la conexión al servidor de Microsoft Defender for Cloud sea válido.

Acciones

Obtener código de autorización de OAuth

Genera un código de autorización de OAuth para obtener un token de actualización.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
URL de redirección Cadena https://localhost Especifique la URL de redirección que se usó cuando se creó la aplicación de Microsoft Entra.

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de la secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor
is_success is_success=False
is_success is_success=True
Panel de casos
Tipo de resultado Valor/Descripción Tipo (entidad o general)
Mensaje de salida* La acción no debe fallar ni detener la ejecución de un cuaderno de estrategias: "Se ha generado correctamente la URL del código de autorización en Azure Security Center. Cópiala y pégala en el navegador. Después, copia la parte "code" de la URL. Este código de autorización se usa en la acción "Get OAuth Refresh Token" (Obtener token de actualización de OAuth). ". General
Enlace

Nombre: enlace de código de autorización
URL: {generated link}

Obtener token de actualización de OAuth

Genera el token de actualización necesario para configurar la integración. El código de autorización se puede generar con la acción Obtener código de autorización de OAuth.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
URL de redirección Cadena https://localhost Especifique la URL de redirección que se usó cuando se creó la aplicación.
Código de autorización Cadena Especifica el código de autorización de la acción "Obtener código de autorización de OAuth".

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de la secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor
is_success is_success=False
is_success is_success=True
Resultado de JSON
{
    "token_type": "Bearer",
    "scope": "user_impersonation",
    "expires_in": "3599",
    "ext_expires_in": "3599",
    "expires_on": "1628514482",
    "not_before": "1628510582",
    "resource": "https://management.azure.com",
    "access_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Im5PbzNaRH",
    "refresh_token": "0.ATwAylKP1BpbCEeO0Ou5iiakalBVs4hy5YpMhS4OVguFb9Y8AGw",
    "id_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJub25lIn0.eyJhdWQiOiI4OGIzNTU1MC1"
}
Panel de casos
Tipo de resultado Valor/Descripción Tipo (entidad o general)
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si se devuelve el código de estado 200 (is_success = true): "Se ha generado correctamente el token de actualización en el Centro de Seguridad de Azure".

La acción debería fallar y detener la ejecución de la guía:

Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro: "Error al ejecutar la acción "Obtener token de actualización de OAuth". Motivo: {0}''.format(error.Stacktrace)

Si el código de estado no es 200: "Error al ejecutar la acción "Obtener token de actualización de OAuth". Motivo: {0}''.format(error_description)

 General

List Regulatory Standards

Lista de los estándares normativos disponibles en Microsoft Defender for Cloud.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
ID de suscripción Cadena N/A No

Especifique el ID de la suscripción de la que quiere consultar información.

Nota: Si se proporciona el ID de suscripción a nivel de integración y de acción, se da prioridad a la configuración de la acción.
Filtro de estado CSV Error No

Especifica la lista de estados separada por comas. Ejemplo: Fallido, Omitido. Solo se devolverán los estándares con el estado correspondiente. Por ejemplo, si especifica "Failed", la acción solo devolverá los estándares fallidos.

Valores posibles: Passed, Failed, Unsupported o Skipped.
Número máximo de estándares que se devolverán Cadena 50 No Especifica cuántos estándares quieres devolver.

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de la secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor
is_success is_success=False
is_success is_success=True
Resultado de JSON
{
    "value": [
        {
            "id": "/subscriptions/a052d33b-b7c4-4dc7-9e17-5c89ea594669/providers/Microsoft.Security/regulatoryComplianceStandards/Azure-CIS-1.1.0",
            "name": "Azure-CIS-1.1.0",
            "type": "Microsoft.Security/regulatoryComplianceStandards",
            "properties": {
                "state": "Failed",
                "passedControls": 21,
                "failedControls": 3,
                "skippedControls": 0,
                "unsupportedControls": 87
            }
        }
    ]
}
Panel de casos
Tipo de resultado Valor/Descripción Tipo (entidad o general)
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si el código de estado es 200 y, después de filtrar, tenemos datos : "Successfully retrieved regulatory controls for the provided standards in Microsoft Azure Security Center" ("Se han recuperado correctamente los controles normativos de los estándares proporcionados en Microsoft Azure Security Center")

Si el código de estado es 200 y, después de filtrar, no tenemos datos : "No se han encontrado estándares normativos en el Centro de Seguridad de Microsoft Azure"

La acción debería fallar y detener la ejecución de la guía:

Si se informa de un error crítico o de un error del SDK (por ejemplo, credenciales incorrectas, no hay conexión con el servidor u otro error): "Error al ejecutar la acción "List Regulatory Standards". Motivo: {0}''.format(error.Stacktrace)

Si el filtro de estado contiene valores no válidos: "Error al ejecutar la acción "List Regulatory Standards". Motivo: el parámetro "State Filter" solo debe contener los siguientes valores: "Passed", "Failed", "Skipped" y "Unsupported".''

 General
Tabla del panel de casos

Nombre: Estándares normativos

Columna:

  • Nombre
  • Estado
  • Controles superados
  • Controles fallidos
  • Controles omitidos
  • Controles no admitidos
 General

List Regulatory Standard Controls

Lista de los controles disponibles relacionados con los estándares en Microsoft Defender for Cloud.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
ID de suscripción Cadena N/A No

Especifique el ID de la suscripción de la que quiere consultar información.

Nota: Si se proporciona el ID de suscripción a nivel de integración y de acción, se da prioridad a la configuración de la acción.
Nombres estándar CSV Especifique una lista de nombres estándar separados por comas de los que quiera obtener detalles. Ejemplo: Azure-CIS-1.1.0
Filtro de estado CSV Error No

Especifica la lista de estados separada por comas. Ejemplo: Fallido, Omitido. Solo se devolverán los controles con el estado coincidente. Por ejemplo, si especifica "Failed", la acción solo devolverá los controles fallidos.

Valores posibles: Passed, Failed, Unsupported o Skipped.
Número máximo de controles que se devolverán Cadena 50 No Especifica cuántos controles se devolverán por estándar.

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de la secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor
is_success is_success=False
is_success is_success=True
Resultado de JSON
{
    "results": [
      "Name": "{Standard_name}",
      "Controls":
[
        {
            "id": "/subscriptions/a052d33b-b7c4-4dc7-9e17-5c89ea594669/providers/Microsoft.Security/regulatoryComplianceStandards/Azure-CIS-1.1.0",
            "name": "Azure-CIS-1.1.0",
            "type": "Microsoft.Security/regulatoryComplianceStandards",
            "properties": {
                "state": "Failed",
                "passedControls": 21,
                "failedControls": 3,
                "skippedControls": 0,
                "unsupportedControls": 87
            }
        }
    ]
}
Panel de casos
Tipo de resultado Valor/Descripción Tipo (entidad o general)
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si el código de estado es 200 y, después de filtrar, tenemos datos de al menos un estándar(is_success = true) : "Se han recuperado correctamente los controles normativos de los siguientes estándares en Microsoft Azure Security Center:\n {0}".format(standard)

Si falla en el caso estándar(is_success = true) : "No se ha podido recuperar los controles normativos de los siguientes estándares en Microsoft Azure Security Center:\n {0}".format(standard)

Si no se encuentran datos de algunos estándares después de aplicar el filtro (is_success=true): "No se han encontrado controles normativos para los siguientes estándares en el Centro de Seguridad de Microsoft Azure:\n {0}".format(standard)

Si no se encuentran datos de todos los estándares en función de los filtros: "No se han encontrado controles normativos para los estándares proporcionados".

La acción debería fallar y detener la ejecución de la guía:

Si se informa de un error crítico o de un error del SDK (por ejemplo, credenciales incorrectas, no hay conexión con el servidor u otro error): "Error al ejecutar la acción "List Regulatory Standard Controls". Motivo: {0}''.format(error.Stacktrace)

Si el filtro de estado contiene valores no válidos: "Error al ejecutar la acción "List Regulatory Standard Controls". Motivo: el parámetro "State Filter" solo debe contener los siguientes valores: "Passed", "Failed", "Skipped" y "Unsupported".''

 General
Tabla del panel de casos

Nombre de la tabla: "Regulatory Controls: {0}".format(Standard)

Columna:

  • Nombre
  • Estado
  • Descripción
  • Evaluaciones aprobadas
  • Evaluaciones fallidas
  • Evaluaciones omitidas
 General

Ping

Prueba la conectividad con Microsoft Defender for Cloud con los parámetros proporcionados en la página de configuración de la integración de la pestaña Google Security Operations Marketplace.

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de la secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor
is_success is_success=False
is_success is_success=True
Panel de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si se realiza correctamente: "Successfully connected to the Azure Security Center server with the provided connection parameters!" ("Se ha conectado correctamente al servidor de Azure Security Center con los parámetros de conexión proporcionados").

La acción debería fallar y detener la ejecución de la guía:

Si no funciona: "No se ha podido conectar con el servidor de Azure Security Center. Error: {0}".format(exception.stacktrace)

 General

Actualizar estado de alerta

Actualiza el estado de la alerta en Microsoft Defender for Cloud.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
ID de suscripción Cadena N/A No

Especifique el ID de la suscripción de la que quiere consultar información.

Nota: Si se proporciona el ID de suscripción a nivel de integración y de acción, se da prioridad a la configuración de la acción.
ID de alerta Cadena N/A Especifique el ID de la alerta cuyo estado quiera actualizar.
Ubicación Cadena N/A Especifica la ubicación de la alerta. Ejemplo: centralus.
Estado DDL

Resolver

Posibles valores:

  • Cerrar
  • Reactivar
  • Resolver
 Especifica el estado de la alerta.

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de la secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor
is_success is_success=False
is_success is_success=True
Panel de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si el código de estado es 204 (is_success = true) : "Se ha {0} correctamente la alerta con el ID {1} en Microsoft Azure Security Center:\n {0}".format(dismissed/resolved/reactivated, alert_id)

Si en la respuesta aparece "errors" (is_success = false) : "No se ha podido {0} la alerta con el ID {1} en Microsoft Azure Security Center. Motivo: {2}".format(dismiss/resolve/reactivate, alert_id, errors/message)

La acción debería fallar y detener la ejecución de la guía:

Si se informa de un error grave o del SDK (por ejemplo, credenciales incorrectas, no hay conexión con el servidor u otro error): "Error al ejecutar la acción "Update Alert Status". Motivo: {0}''.format(error.Stacktrace)

 General

Conectores

Para obtener instrucciones detalladas sobre cómo configurar un conector en Google SecOps, consulta el artículo Configurar el conector.

Azure Security Center - Conector de alertas de seguridad

Extrae alertas de seguridad de Microsoft Defender for Cloud.

Parámetros del conector

Utiliza los siguientes parámetros para configurar el conector:

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
Nombre del campo de producto Cadena Nombre del producto Introduce el nombre del campo de origen para obtener el nombre del campo de producto.
Nombre del campo de evento Cadena resourceType Introduzca el nombre del campo de origen para obtener el nombre del campo de evento.
Nombre del campo de entorno Cadena "" No

Describe el nombre del campo en el que se almacena el nombre del entorno.

Si no se encuentra el campo de entorno, se utiliza el entorno predeterminado.
Patrón de regex de entorno Cadena .* No

Una expresión regular que se aplicará al valor encontrado en el campo "Nombre del campo de entorno".

El valor predeterminado es .* para captar todos los valores y devolverlos sin cambios.

Se usa para permitir que el usuario manipule el campo del entorno mediante la lógica de expresiones regulares.

Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno será el entorno predeterminado.
Tiempo de espera de secuencia de comandos (segundos) Entero 180 Límite de tiempo de espera del proceso de Python que ejecuta la secuencia de comandos actual.
ID de cliente Cadena N/A Verdadero ID de cliente de la aplicación de Microsoft Entra.
Secreto de cliente Contraseña N/A Verdadero Secreto de cliente de la aplicación Microsoft Entra.
Nombre de usuario Cadena N/A Verdadero Nombre de usuario de la cuenta de Microsoft Entra.
Contraseña Contraseña N/A Verdadero Contraseña de la cuenta de Microsoft Entra.
ID de suscripción Cadena N/A Verdadero ID de suscripción de la aplicación de Microsoft Entra
ID de cliente Cadena N/A Verdadero ID de cliente de la aplicación de Microsoft Entra.
Gravedad mínima que se va a obtener Cadena Bajo

Gravedad más baja que se usará para obtener la alerta.

Valores posibles: Bajo, Medio y Alto
Número máximo de alertas que se van a obtener Entero 50 No Número de alertas que se procesarán por cada iteración del conector.
Número máximo de horas hacia atrás Entero 1 No Número de horas hacia atrás para obtener alertas.
Usar la lista blanca como lista negra Casilla Desmarcada Si se habilita, la lista dinámica se usará como lista de bloqueo.
Verificar SSL Casilla Desmarcada Si está habilitada, compruebe que el certificado SSL de la conexión al servidor de Microsoft Defender for Cloud es válido.
Dirección del servidor proxy Cadena N/A No Dirección del servidor proxy que se va a usar.
Nombre de usuario del proxy Cadena N/A No Nombre de usuario del proxy para autenticarse.
Contraseña del proxy Contraseña N/A No La contraseña del proxy para autenticarte.
Token de actualización Contraseña N/A No Token de actualización de la autorización de OAuth.

Reglas de conectores

Compatibilidad con proxies

El conector admite proxies.

Empleo

Para configurar trabajos en Google Security Operations, ve a Respuesta > Programador de trabajos.

Tarea de renovación de tokens de actualización

El objetivo del trabajo de renovación de tokens de actualización es actualizar periódicamente el token de actualización que se usa en la integración.

De forma predeterminada, el token de actualización caduca cada 90 días, por lo que la integración deja de funcionar cuando caduca. Te recomendamos que ejecutes este trabajo cada 7 o 14 días para asegurarte de que el token de actualización esté actualizado.

Entradas de tareas

Para configurar el trabajo, usa los siguientes parámetros:

Parámetros
Entornos de integración Optional

Entornos de integración para los que el trabajo actualiza los tokens de actualización.

Este parámetro acepta varios valores como una cadena separada por comas. Incluye los valores individuales entre comillas (" ").
Nombres de conectores Optional

Nombres de los conectores para los que el trabajo actualiza los tokens de actualización.

Este parámetro acepta varios valores como una cadena separada por comas. Incluye los valores individuales entre comillas (" ").

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.