Azure Security Center

Versión de integración: 9.0

Casos de uso

  1. Transfiere las alertas de seguridad a Google SecOps para su investigación.

  2. Actualizar alertas

  3. Recupera información sobre el cumplimiento de los estándares.

Requisitos previos

Antes de configurar la integración en la plataforma de SecOps de Google, asegúrate de otorgar los permisos necesarios a la cuenta de usuario de Azure y configurar una autenticación con contraseña o una autenticación con OAuth.

Configura permisos

Esta integración requiere acceso delegado a los recursos de Azure. Asegúrate de otorgar los siguientes permisos obligatorios a la cuenta de usuario de Azure que se usa para configurar la integración:

  1. La cuenta de usuario debe ser un miembro activo para los siguientes roles de Azure:

    • Security Reader
    • Security Admin

  2. A nivel de la suscripción de Azure, asegúrate de otorgar al usuario el siguiente rol de IAM: Management Group Reader.

Configura la autenticación con contraseña

Para configurar la autenticación con contraseña para Microsoft Defender for Cloud, completa los siguientes pasos:

  1. Crea la app de Microsoft Entra.

  2. Configura los permisos de la API para tu app.

  3. Crea un secreto del cliente.

  4. Usa tu ID de suscripción de Azure como valor para el parámetro de integración correspondiente.

Crea una app de Microsoft Entra

  1. Accede al portal de Azure como administrador de usuarios o administrador de contraseñas.

  2. Selecciona Microsoft Entra ID.

  3. Ve a Registros de aplicaciones > Nuevo registro.

  4. Ingresa el nombre de la app.

  5. Haz clic en Registrar.

  6. Guarda los valores de ID de la aplicación (cliente) y ID del directorio (inquilino) para usarlos más adelante cuando configures los parámetros de integración.

Configura los permisos de API

  1. Ve a Permisos de API > Agregar un permiso.

  2. Selecciona Administración de servicios de Azure > Permisos delegados.

  3. En la sección Seleccionar permisos, selecciona el siguiente permiso:

    • user_impersonation

  4. Selecciona Microsoft Graph > Permisos delegados.

  5. En la sección Seleccionar permisos, selecciona los siguientes permisos:

    • SecurityEvents.Read.All
    • SecurityEvents.ReadWrite.All
    • User.Read

  6. Selecciona Microsoft Graph > Permisos de aplicación.

  7. En la sección Seleccionar permisos, selecciona los siguientes permisos:

    • SecurityEvents.Read.All
    • SecurityEvents.ReadWrite.All

  8. Haz clic en Agregar permisos.

  9. Haz clic en Otorgar consentimiento del administrador para YOUR_ORGANIZATION_NAME.

    Cuando aparezca el diálogo Confirmación de consentimiento del administrador, haz clic en .

Crea un secreto del cliente

  1. Navega a Certificados y secretos > Nuevo secreto del cliente.

  2. Proporciona una descripción para un secreto del cliente y establece su fecha límite de vencimiento.

  3. Haz clic en Agregar.

  4. Guarda el valor del secreto del cliente (no el ID del secreto) para usarlo como el valor del parámetro Client Secret cuando configures la integración. El valor del secreto del cliente solo se muestra una vez.

Configura la integración con el ID de suscripción de Azure

  1. En Microsoft Defender for Cloud, ve a la pestaña Overview.

  2. Haz clic en Suscripciones de Azure.

  3. Copia el valor del ID de suscripción de Azure y, luego, ingrésalo en el parámetro Subscription ID cuando configures los parámetros de integración.

Configura la autenticación de OAuth

Para configurar la autenticación de OAuth para Microsoft Defender for Cloud, completa los siguientes pasos:

  1. Crea la app de Microsoft Entra.

  2. Configura los permisos de la API para tu app.

  3. Crea un secreto del cliente.

  4. Usa tu ID de suscripción de Azure como valor para el parámetro de integración correspondiente.

Crea una app de Microsoft Entra

Para crear una aplicación y suplantar la identidad del usuario elegido, sigue estos pasos:

  1. Accede al portal de Azure como administrador de usuarios o administrador de contraseñas.

  2. Selecciona Microsoft Entra ID.

  3. Ve a Registros de aplicaciones > Nuevo registro.

  4. Ingresa el nombre de la app.

  5. Selecciona los Tipos de cuentas compatibles adecuados.

  6. En la URL de redireccionamiento, proporciona el siguiente valor: http://localhost.

  7. Haz clic en Registrar.

  8. Guarda los valores de ID de la aplicación (cliente) y ID del directorio (inquilino) para usarlos más adelante y configurar la integración.

Configura los permisos de API

  1. Ve a Permisos de API > Agregar un permiso.

  2. Selecciona Administración de servicios de Azure > Permisos delegados.

  3. En la sección Seleccionar permisos, selecciona el siguiente permiso:

    • user_impersonation

  4. Selecciona Microsoft Graph > Permisos delegados.

  5. En la sección Seleccionar permisos, selecciona los siguientes permisos:

    • SecurityEvents.Read.All
    • SecurityEvents.ReadWrite.All
    • User.Read

  6. Selecciona Microsoft Graph > Permisos de aplicación.

  7. En la sección Seleccionar permisos, selecciona los siguientes permisos:

    • SecurityEvents.Read.All
    • SecurityEvents.ReadWrite.All

  8. Haz clic en Agregar permisos.

  9. Haz clic en Otorgar consentimiento del administrador para YOUR_ORGANIZATION_NAME.

    Cuando aparezca el diálogo Confirmación de consentimiento del administrador, haz clic en .

Crea un secreto del cliente

  1. Navega a Certificados y secretos > Nuevo secreto del cliente.

  2. Proporciona una descripción para un secreto del cliente y establece su fecha límite de vencimiento.

  3. Haz clic en Agregar.

  4. Guarda el valor del secreto del cliente (no el ID del secreto) para usarlo como el valor del parámetro Client Secret cuando configures la integración. El valor del secreto del cliente solo se muestra una vez.

Configura la integración con el ID de suscripción de Azure

  1. En Microsoft Defender for Cloud, ve a la pestaña Overview.

  2. Haz clic en Suscripciones de Azure.

  3. Copia el valor del ID de suscripción de Azure y agrégalo al parámetro Subscription ID cuando configures la integración.

Configura la autenticación de OAuth en Google SecOps

Para configurar la autenticación de OAuth para Microsoft Defender for Cloud en la plataforma de Google SecOps, completa los siguientes pasos:

  1. Configura los parámetros de integración y guárdalos.

  2. Genera un token de actualización:

    • Opcional: Simula un caso en Google SecOps.

    • Ejecuta manualmente la acción Get OAuth Authorization Code.

    • Ejecuta manualmente la acción Generate Token.

  3. Ingresa el token de actualización obtenido como el valor del parámetro Refresh Token y guarda la configuración.

Configura los parámetros de integración

En Google SecOps, configura los parámetros de integración con los valores de ID de cliente, secreto del cliente, ID de usuario y ID de suscripción que obtuviste en los pasos anteriores.

Genera un token de actualización

Para generar un token de actualización, se deben ejecutar acciones manuales en cualquier caso existente. Si tu instancia de Google Security Operations es nueva y no tiene casos existentes, simula uno.

Simula un caso

Para simular un caso en Google SecOps, sigue estos pasos:

  1. En el panel de navegación de la izquierda, selecciona Casos.

  2. En la página Casos, haz clic en agregar > Simular casos.

  3. Selecciona cualquiera de los casos predeterminados y haz clic en Crear. No importa qué caso elijas simular.

  4. Haz clic en Simular.

    Si tienes un entorno que no es el predeterminado y quieres usarlo, selecciona el entorno correcto y haz clic en Simular.

  5. En la pestaña Casos, haz clic en Actualizar. El caso que simulaste aparece en la lista de casos.

Ejecuta la acción Get OAuth Authorization Code

Usa el caso de SecOps de Google que simulaste o cualquier otro existente para ejecutar la acción Get OAuth Authorization Code de forma manual.

  1. En la pestaña Cases, selecciona el caso simulado para abrir una vista de caso.

  2. Haz clic en Acción manual.

  3. En el campo Búsqueda de la acción manual, ingresa Azure Security Center.

  4. En los resultados de la integración de Azure Security Center, selecciona Obtener código de autorización de OAuth. Esta acción devuelve un vínculo de autorización que se usa para acceder de forma interactiva a la app de Microsoft Entra.

  5. En el campo del parámetro Redirect URL, ingresa la URL que usaste cuando creaste la app de Microsoft Entra.

  6. Haz clic en Ejecutar.

  7. Después de que se ejecute la acción, navega al muro de casos de tu caso simulado. En el registro de la acción Azure Security Center_Get OAuth Authorization Code, haz clic en Ver más y copia el vínculo de autorización.

  8. Abre una nueva ventana del navegador en modo incógnito y pega la URL de autorización generada. Se abrirá la página de acceso de Azure.

  9. Accede con las credenciales de usuario que seleccionaste para la integración. Después de acceder, tu navegador debería redireccionarse con un código en la barra de direcciones.

    A continuación, se muestra un ejemplo de la URL resultante con el código:

    http://localhost/?code=0.ATwAylKP1BpbCEeO0Ou5iiakalBV.......nIAA&state=12345&session_state=28084547-3dea-449a-8b4c-c1671342a39d#

  10. Copia de la URL la parte del código de acceso que aparece después de http://localhost/?code=. Necesitas este código de acceso para ejecutar la acción Get OAuth Refresh Token.

Ejecuta la acción Get OAuth Refresh Token

Usa el caso de SecOps de Google que simulaste para ejecutar la acción Get OAuth Refresh Token de forma manual.

  1. En la pestaña Cases, selecciona el caso simulado para abrir una vista de caso.

  2. Haz clic en Acción manual.

  3. En el campo Buscar de la acción manual, escribe Azure Security Center.

  4. En los resultados de la integración de Azure Security Center, selecciona Get OAuth Refresh Token.

  5. En el campo del parámetro Authorization Code, ingresa el código de acceso que obtuviste después de ejecutar la acción Get OAuth Authorization Code.

  6. Haz clic en Ejecutar.

  7. Después de que se ejecute la acción, navega al muro de casos de tu caso simulado. En el registro de acción Azure Security Center_Get OAuth Refresh Token, haz clic en Ver más.

  8. Copia todo el valor del token de actualización generado.

Configura el parámetro Refresh Token

  1. Navega al diálogo de configuración para la integración de Azure Security Center.

  2. Ingresa el valor del token de actualización del paso anterior en el campo Refresh Token.

  3. Haz clic en Guardar.

Integra Azure Security Center con Google SecOps

Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.

Entradas de integración

Usa los siguientes parámetros para configurar la integración:

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
ID de cliente String N/A Es el ID de cliente de la aplicación de Microsoft Entra.
Secreto del cliente Contraseña N/A Es el secreto del cliente de la aplicación de Microsoft Entra.
Nombre de usuario String N/A No Nombre de usuario de la cuenta de Microsoft Entra.
Contraseña Contraseña N/A No Contraseña de la cuenta de Microsoft Entra.
ID de la suscripción String N/A

Es el ID de la suscripción sobre la que deseas consultar información.

Nota: Si se proporciona el ID de suscripción a nivel de la integración y de la acción, se le da prioridad a la configuración de la acción.
ID de usuario String N/A Es el ID de usuario de la aplicación de Microsoft Entra.
Token de actualización Contraseña N/A Es el token de actualización para la autorización de OAuth.
Verificar SSL Casilla de verificación Desmarcado Si está habilitado, verifica que el certificado SSL para la conexión al servidor de Microsoft Defender for Cloud sea válido.

Acciones

Obtén el código de autorización de OAuth

Genera un código de autorización de OAuth para obtener un token de actualización.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
URL de redireccionamiento String https://localhost Especifica la URL de redireccionamiento que se usó cuando se creó la app de Microsoft Entra.

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor
is_success is_success=False
is_success is_success=True
Muro de casos
Tipo de resultado Valor/Descripción Type (Entity \ General)
Mensaje de salida* La acción no debe fallar ni detener la ejecución de una guía: "Se generó correctamente la URL del código de autorización en Azure Security Center. Cópiala y pégala en el navegador. Después, copia la parte "code" de la URL. Este código de autorización se usa en la acción "Get OAuth Refresh Token". ". General
Vínculo

Nombre: Vínculo del código de autorización
URL: {vínculo generado}

Obtén el token de actualización de OAuth

Genera el token de actualización necesario para la configuración de la integración. El código de autorización se puede generar con la acción Get OAuth Authorization Code.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
URL de redireccionamiento String https://localhost Especifica la URL de redireccionamiento que se usó cuando se creó la app.
Código de autorización String Especifica el código de autorización de la acción "Obtener código de autorización de OAuth".

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor
is_success is_success=False
is_success is_success=True
Resultado de JSON
{
    "token_type": "Bearer",
    "scope": "user_impersonation",
    "expires_in": "3599",
    "ext_expires_in": "3599",
    "expires_on": "1628514482",
    "not_before": "1628510582",
    "resource": "https://management.azure.com",
    "access_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Im5PbzNaRH",
    "refresh_token": "0.ATwAylKP1BpbCEeO0Ou5iiakalBVs4hy5YpMhS4OVguFb9Y8AGw",
    "id_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJub25lIn0.eyJhdWQiOiI4OGIzNTU1MC1"
}
Muro de casos
Tipo de resultado Valor/Descripción Type (Entity \ General)
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si se informa el código de estado 200 (is_success = true): "Se generó correctamente el token de actualización en el Centro de seguridad de Azure".

La acción debería fallar y detener la ejecución de la guía:

Si se produce un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, se mostrará el mensaje "Error al ejecutar la acción "Obtener token de actualización de OAuth"". Reason: {0}''.format(error.Stacktrace)

Si el código de estado no es 200: "Error al ejecutar la acción "Get OAuth Refresh Token". Motivo: {0}''.format(error_description)

 General

Enumera los estándares reglamentarios

Enumera los estándares regulatorios disponibles en Microsoft Defender for Cloud.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
ID de la suscripción String N/A No

Especifica el ID de la suscripción sobre la que deseas consultar información.

Nota: Si se proporciona el ID de suscripción a nivel de la integración y de la acción, se le da prioridad a la configuración de la acción.
Filtro de estado CSV Con errores No

Especifica la lista de estados separados por comas. Ejemplo: Failed, Skipped. Solo se devolverán los estándares con el estado coincidente. Por ejemplo, si especificas "Failed", la acción solo devolverá los estándares que no se cumplieron.

Valores posibles: Passed,Failed,Unsupported,Skipped
Cantidad máxima de estándares que se devolverán String 50 No Especifica cuántos estándares se devolverán.

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor
is_success is_success=False
is_success is_success=True
Resultado de JSON
{
    "value": [
        {
            "id": "/subscriptions/a052d33b-b7c4-4dc7-9e17-5c89ea594669/providers/Microsoft.Security/regulatoryComplianceStandards/Azure-CIS-1.1.0",
            "name": "Azure-CIS-1.1.0",
            "type": "Microsoft.Security/regulatoryComplianceStandards",
            "properties": {
                "state": "Failed",
                "passedControls": 21,
                "failedControls": 3,
                "skippedControls": 0,
                "unsupportedControls": 87
            }
        }
    ]
}
Muro de casos
Tipo de resultado Valor/Descripción Type (Entity \ General)
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si el código de estado es 200 y, después de filtrar, tenemos datos : "Se recuperaron correctamente los controles reglamentarios para los estándares proporcionados en el Centro de seguridad de Microsoft Azure".

Si el código de estado es 200 y, después de filtrar, no tenemos datos : "No se encontraron estándares regulatorios en el Centro de seguridad de Microsoft Azure".

La acción debería fallar y detener la ejecución de la guía:

Si se informa un error fatal o del SDK, como credenciales incorrectas, falta de conexión con el servidor o algún otro error: "Error al ejecutar la acción "List Regulatory Standards". Reason: {0}''.format(error.Stacktrace)

Si el filtro de estado contiene valores no válidos: "Error al ejecutar la acción "List Regulatory Standards". Motivo: El parámetro "State Filter" solo debe contener los siguientes valores: "Passed", "Failed", "Skipped" y "Unsupported".""

 General
Tabla del muro de casos

Nombre: Estándares regulatorios

Columna:

  • Nombre
  • Estado
  • Controles aprobados
  • Controles con errores
  • Controles omitidos
  • Controles no compatibles
 General

Enumera los controles de estándares regulatorios

Enumera los controles disponibles relacionados con los estándares en Microsoft Defender for Cloud.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
ID de la suscripción String N/A No

Especifica el ID de la suscripción sobre la que deseas consultar información.

Nota: Si se proporciona el ID de suscripción a nivel de la integración y de la acción, se le da prioridad a la configuración de la acción.
Nombres estándar CSV Especifica una lista separada por comas de los nombres estándar para los que deseas recuperar detalles. Ejemplo: Azure-CIS-1.1.0
Filtro de estado CSV Con errores No

Especifica la lista de estados separados por comas. Ejemplo: Failed, Skipped. Solo se devolverán los controles con el estado coincidente. Por ejemplo, si especificas "Failed", la acción solo devolverá los controles con errores.

Valores posibles: Passed,Failed,Unsupported,Skipped
Cantidad máxima de controles que se pueden devolver String 50 No Especifica cuántos controles se deben devolver por estándar.

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor
is_success is_success=False
is_success is_success=True
Resultado de JSON
{
    "results": [
      "Name": "{Standard_name}",
      "Controls":
[
        {
            "id": "/subscriptions/a052d33b-b7c4-4dc7-9e17-5c89ea594669/providers/Microsoft.Security/regulatoryComplianceStandards/Azure-CIS-1.1.0",
            "name": "Azure-CIS-1.1.0",
            "type": "Microsoft.Security/regulatoryComplianceStandards",
            "properties": {
                "state": "Failed",
                "passedControls": 21,
                "failedControls": 3,
                "skippedControls": 0,
                "unsupportedControls": 87
            }
        }
    ]
}
Muro de casos
Tipo de resultado Valor/Descripción Tipo (entidad\general)
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si el código de estado es 200 y, después de filtrar, tenemos datos para al menos un estándar(is_success = true) : "Se recuperaron correctamente los controles regulatorios para los siguientes estándares en el Centro de seguridad de Microsoft Azure:\n {0}".format(standard)

If fail for standard(is_success = true) : "Action wasn't able to retrieve regulatory controls for the following standards in Microsoft Azure Security Center:\n {0}".format(standard)

Si no se encuentran datos para algunos estándares después de aplicar el filtro (is_success=true): "No se encontraron controles regulatorios para los siguientes estándares en el Centro de seguridad de Microsoft Azure:\n {0}".format(standard)

Si no se encuentran datos para todos los estándares según los filtros: "No se encontraron controles reglamentarios para los estándares proporcionados".

La acción debería fallar y detener la ejecución de la guía:

Si se informa un error fatal o del SDK, como credenciales incorrectas, falta de conexión con el servidor o algún otro error: "Error al ejecutar la acción "List Regulatory Standard Controls". Reason: {0}''.format(error.Stacktrace)

Si el filtro de estado contiene valores no válidos: "Error al ejecutar la acción "List Regulatory Standard Controls". Motivo: El parámetro "State Filter" solo debe contener los siguientes valores: "Passed", "Failed", "Skipped" y "Unsupported".""

 General
Tabla del muro de casos

Nombre de la tabla: "Controles reglamentarios: {0}".format(Standard)

Columna:

  • Nombre
  • Estado
  • Descripción
  • Evaluaciones aprobadas
  • Evaluaciones reprobadas
  • Evaluaciones omitidas
 General

Ping

Prueba la conectividad con Microsoft Defender for Cloud con los parámetros proporcionados en la página de configuración de la integración en la pestaña Google Security Operations Marketplace.

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor
is_success is_success=False
is_success is_success=True
Muro de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si la conexión se realiza correctamente: "Se estableció conexión correctamente con el servidor de Azure Security Center con los parámetros de conexión proporcionados".

La acción debería fallar y detener la ejecución de la guía:

Si no se realiza correctamente: "No se pudo conectar al servidor del Centro de seguridad de Azure. Error is {0}".format(exception.stacktrace)

 General

Actualiza el estado de la alerta

Actualiza el estado de la alerta en Microsoft Defender for Cloud.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
ID de la suscripción String N/A No

Especifica el ID de la suscripción sobre la que deseas consultar información.

Nota: Si se proporciona el ID de suscripción a nivel de la integración y de la acción, se le da prioridad a la configuración de la acción.
ID de alerta String N/A Especifica un ID de la alerta en la que deseas actualizar el estado.
Ubicación String N/A Especifica la ubicación de la alerta. Ejemplo: centralus.
Estado DDL

Resolver

Valores posibles:

  • Descartar
  • Reactivar
  • Resolver
 Especifica el estado de la alerta.

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor
is_success is_success=False
is_success is_success=True
Muro de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si el código de estado es 204 (is_success = true) : "Se {0} correctamente la alerta con el ID {1} en el Centro de seguridad de Microsoft Azure:\n {0}".format(dismissed/resolved/reactivated, alert_id)

Si hay "errores" en la respuesta (is_success = false) : "No se pudo generar la alerta {0} con el ID {1} en el Centro de seguridad de Microsoft Azure. Reason: {2}".format(dismiss/resolve/reactivate, alert_id, errors/message)

La acción debería fallar y detener la ejecución de la guía:

Si se informa un error fatal o del SDK, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, se mostrará el mensaje "Error al ejecutar la acción "Actualizar el estado de la alerta". Reason: {0}''.format(error.Stacktrace)

 General

Conectores

Si quieres obtener instrucciones detalladas para configurar un conector en Google SecOps, consulta Cómo configurar el conector.

Azure Security Center: conector de alertas de seguridad

Extrae alertas de seguridad de Microsoft Defender for Cloud.

Parámetros del conector

Usa los siguientes parámetros para configurar el conector:

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
Nombre del campo del producto String Nombre del producto Ingresa el nombre del campo de origen para recuperar el nombre del campo del producto.
Nombre del campo del evento String resourceType Ingresa el nombre del campo de origen para recuperar el nombre del campo del evento.
Nombre del campo del entorno String "" No

Describe el nombre del campo en el que se almacena el nombre del entorno.

Si no se encuentra el campo del entorno, se usa el entorno predeterminado.
Patrón de expresión regular del entorno String .* No

Es un patrón de regex que se ejecutará en el valor que se encuentra en el campo "Nombre del campo del entorno".

El valor predeterminado es .* para capturar todo y devolver el valor sin cambios.

Se usa para permitir que el usuario manipule el campo del entorno a través de la lógica de regex.

Si el patrón de regex es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado.
Tiempo de espera de la secuencia de comandos (segundos) Número entero 180 Es el límite de tiempo de espera para el proceso de Python que ejecuta la secuencia de comandos actual.
ID de cliente String N/A Verdadero Es el ID de cliente de la aplicación de Microsoft Entra.
Secreto del cliente Contraseña N/A Verdadero Es el secreto del cliente de la aplicación de Microsoft Entra.
Nombre de usuario String N/A Verdadero Nombre de usuario de la cuenta de Microsoft Entra.
Contraseña Contraseña N/A Verdadero Contraseña de la cuenta de Microsoft Entra.
ID de la suscripción String N/A Verdadero ID de suscripción de la aplicación de Microsoft Entra
ID de usuario String N/A Verdadero Es el ID de usuario de la aplicación de Microsoft Entra.
Gravedad más baja que se recuperará String Baja

Es la gravedad más baja que se usará para recuperar la alerta.

Valores posibles: Bajo, Medio, Alto
Cantidad máxima de alertas para recuperar Número entero 50 No Cantidad de alertas que se procesarán por iteración del conector.
Horas máximas hacia atrás Número entero 1 No Cantidad de horas hacia atrás para recuperar alertas.
Usar la lista blanca como lista negra Casilla de verificación Desmarcado Si se habilita, la lista dinámica se usará como lista de bloqueo.
Verificar SSL Casilla de verificación Desmarcado Si está habilitada, verifica que el certificado SSL para la conexión al servidor de Microsoft Defender for Cloud sea válido.
Dirección del servidor proxy String N/A No Es la dirección del servidor proxy que se usará.
Nombre de usuario del proxy String N/A No Nombre de usuario del proxy con el que se realizará la autenticación.
Contraseña de proxy Contraseña N/A No Contraseña del proxy para la autenticación.
Token de actualización Contraseña N/A No Es el token de actualización para la autorización de OAuth.

Reglas del conector

Compatibilidad con proxy

El conector admite proxy.

Trabajos

Para configurar trabajos en Google Security Operations, ve a Respuesta > Programador de trabajos.

Trabajo de renovación del token de actualización

El objetivo del trabajo de renovación del token de actualización es actualizar periódicamente el token de actualización que se usa en la integración.

De forma predeterminada, el token de actualización vence cada 90 días, lo que hace que la integración deje de estar disponible cuando vence. Se recomienda ejecutar este trabajo cada 7 o 14 días para asegurarse de que el token de actualización esté actualizado.

Entradas de trabajo

Para configurar el trabajo, usa los siguientes parámetros:

Parámetros
Entornos de integración Optional

Son los entornos de integración para los que el trabajo actualiza los tokens de actualización.

Este parámetro acepta varios valores como una cadena separada por comas. Encierra los valores individuales entre comillas (" ").
Nombres de los conectores Optional

Nombres de los conectores para los que el trabajo actualiza los tokens de actualización.

Este parámetro acepta varios valores como una cadena separada por comas. Encierra los valores individuales entre comillas (" ").

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.