Microsoft Graph Security
En este documento se explica cómo integrar la API de seguridad de Microsoft Graph con Google Security Operations (Google SecOps).
Versión de integración: 20.0
Este documento hace referencia a la API de seguridad de Microsoft Graph. En la plataforma Google SecOps, la integración de la API de seguridad de Microsoft Graph se llama Microsoft Graph Security.
Antes de empezar
Antes de configurar la integración en la plataforma Google SecOps, completa los siguientes pasos:
Crea la aplicación de Microsoft Entra.
Configura los permisos de la API de tu aplicación.
Crea un secreto de cliente.
Crear una aplicación de Microsoft Entra
Para crear la aplicación Microsoft Entra, sigue estos pasos:
Inicia sesión en el portal de Azure como administrador de usuarios o administrador de contraseñas.
Selecciona ID de Microsoft Entra.
Ve a Registros de aplicaciones > Nuevo registro.
Introduce el nombre de la aplicación.
En el campo URI de redirección, introduce
http://localhost/.Haz clic en Registrarse.
Guarda los valores de ID de aplicación (cliente) e ID de directorio (inquilino) para usarlos más adelante al configurar los parámetros de integración.
Configurar permisos de API
Para configurar los permisos de API de la integración, sigue estos pasos:
En Azure Portal, vaya a Permisos de API > Añadir un permiso.
Selecciona Microsoft Graph > Permisos de aplicación.
En la sección Seleccionar permisos, seleccione los siguientes permisos obligatorios:
User.ReadWrite.AllMail.ReadDirectory.ReadWrite.AllDirectory.AccessAsUser.AllSecurityEvents.ReadWrite.AllSecurityEvents.Read.All
Haz clic en Añadir permisos.
Haz clic en Conceder consentimiento de administrador para
YOUR_ORGANIZATION_NAME.Cuando aparezca el cuadro de diálogo Confirmación de concesión de consentimiento de administrador, haz clic en Sí.
Crear secreto de cliente
Para crear un secreto de cliente, sigue estos pasos:
Ve a Certificados y secretos > Nuevo secreto de cliente.
Proporciona una descripción del secreto de cliente y define su fecha de vencimiento.
Haz clic en Añadir.
Guarda el valor del secreto de cliente (no el ID del secreto) para usarlo como valor del parámetro ID del secreto al configurar la integración. El valor del secreto de cliente solo se muestra una vez.
Integrar la API de seguridad de Microsoft Graph con Google SecOps
La integración requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Client ID |
Obligatorio El ID de cliente (aplicación) de la aplicación de Microsoft Entra que se va a usar en la integración. |
Secret ID |
Optional El valor del secreto de cliente de la aplicación Microsoft Entra que se va a usar en la integración. |
Certificate Path |
Optional Si usas la autenticación basada en certificados en lugar del secreto de cliente, introduce la ruta al certificado en el servidor de Google SecOps. |
Certificate Password |
Optional Si el certificado de autenticación que usas está protegido con contraseña, especifica la contraseña para abrir el archivo del certificado. |
Tenant |
Obligatorio El valor de Microsoft Entra ID (ID de cliente). |
Use V2 API |
Optional Si se habilita, el conector usará los endpoints de la API V2. Nota: La estructura de las alertas y los eventos cambiará. |
Para obtener instrucciones sobre cómo configurar una integración en Google SecOps, consulta el artículo Configurar integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en los cuadernos de estrategias. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Admitir varias instancias.
Acciones
Para obtener más información sobre las acciones, consulta Responder a acciones pendientes desde tu mesa de trabajo y Realizar una acción manual.
Añadir comentario de alerta
Usa la acción Add Alert Comment (Añadir comentario de alerta) para añadir un comentario a la alerta en Microsoft Graph.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Añadir comentario de alerta requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Alert ID |
Obligatorio ID de la alerta que se va a actualizar. |
Comment |
Obligatorio El comentario de la alerta. |
Resultados de la acción
La acción Añadir comentario de alerta proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Mensajes de salida
La acción Añadir comentario de alerta puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Add Alert Comment". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Añadir comentario de alerta:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Obtener el consentimiento del administrador
Usa la acción Obtener consentimiento de administrador para conceder a tu aplicación los permisos en el portal de Azure.
Esta acción se ejecuta en todas las entidades de Google SecOps.
Entradas de acciones
La acción Obtener consentimiento del administrador requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Redirect URL |
Obligatorio La URL de redirección que usaste al registrarte en el portal de Azure. |
Resultados de la acción
La acción Obtener consentimiento del administrador proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Obtener consentimiento del administrador:
| Nombre del resultado del script | Valor |
|---|---|
is_connected |
True o False |
Get Alert
Usa la acción Get Alert para obtener las propiedades y las relaciones de una alerta mediante su ID.
Esta acción se ejecuta en todas las entidades de Google SecOps.
Entradas de acciones
La acción Get Alert requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Alert ID |
Obligatorio ID de la alerta de la que se van a obtener los detalles. |
Resultados de la acción
La acción Obtener alerta proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra la salida del resultado en JSON que se recibe al usar la acción Get Alert:
{
"feedback": "@odata.type: microsoft.graph.alertFeedback",
"recommendedActions": ["String"],
"networkConnections":
[{
"applicationName": "String",
"natDestinationPort": "String",
"destinationAddress": "String",
"localDnsName": "String",
"natDestinationAddress": "String",
"destinationUrl": "String",
"natSourceAddress": "String",
"sourceAddress": "String",
"direction": "@odata.type: microsoft.graph.connectionDirection",
"domainRegisteredDateTime": "String (timestamp)",
"status": "@odata.type: microsoft.graph.connectionStatus",
"destinationDomain": "String",
"destinationPort": "String",
"sourcePort": "String",
"protocol": "@odata.type: microsoft.graph.securityNetworkProtocol",
"natSourcePort": "String",
"riskScore": "String",
"urlParameters": "String"
}],
"cloudAppStates":
[{
"destinationServiceIp": "String",
"riskScore": "String",
"destinationServiceName": "String"
}],
"detectionIds": ["String"],
"id": "String (identifier)",
"category": "String",
"fileStates":
[{
"path": "String",
"riskScore": "String",
"name": "String",
"fileHash":
{
"hashType": "@odata.type: microsoft.graph.fileHashType",
"hashValue": "String"
}
}],
"severity": "@odata.type: microsoft.graph.alertSeverity",
"title": "String",
"sourceMaterials": ["String"],
"comments": ["String"],
"assignedTo": "String",
"eventDateTime": "String (timestamp)",
"activityGroupName": "String",
"status": "@odata.type: microsoft.graph.alertStatus",
"description": "String",
"tags": ["String"],
"confidence": 1024,
"vendorInformation":
{
"providerVersion": "String",
"vendor": "String",
"subProvider": "String",
"provider": "String"
},
"userStates":
[{
"emailRole": "@odata.type: microsoft.graph.emailRole",
"logonId": "String",
"domainName": "String",
"onPremisesSecurityIdentifier": "String",
"userPrincipalName": "String",
"userAccountType": "@odata.type: microsoft.graph.userAccountSecurityType",
"logonIp": "String",
"logonDateTime": "String (timestamp)",
"logonType": "@odata.type: microsoft.graph.logonType",
"logonLocation": "String",
"aadUserId": "String",
"accountName": "String",
"riskScore": "String",
"isVpn": "true"
}],
"malwareStates":
[{
"category": "String",
"wasRunning": "true",
"name": "String",
"family": "String",
"severity": "String"
}],
"processes":
[{
"processId": 1024,
"integrityLevel": "@odata.type: microsoft.graph.processIntegrityLevel",
"name": "String",
"fileHash":
{
"hashType": "@odata.type: microsoft.graph.fileHashType",
"hashValue": "String"
},
"parentProcessId": 1024,
"createdDateTime": "String (timestamp)",
"commandLine": "String",
"parentProcessName": "String",
"accountName": "String",
"isElevated": "true",
"path": "String",
"parentProcessCreatedDateTime": "String (timestamp)"
}],
"azureTenantId": "String",
"triggers":
[{
"type": "String",
"name": "String",
"value": "String"
}],
"createdDateTime": "String (timestamp)",
"vulnerabilityStates":
[{
"cve": "String",
"severity": "String",
"wasRunning": "true"
}],
"hostStates":
[{
"isAzureAadRegistered": "true",
"riskScore": "String",
"fqdn": "String",
"isHybridAzureDomainJoined": "true",
"netBiosName": "String",
"publicIpAddress": "String",
"isAzureAadJoined": "true",
"os": "String",
"privateIpAddress": "String"
}],
"lastModifiedDateTime": "String (timestamp)",
"registryKeyStates":
[{
"processId": 1024,
"oldKey": "String",
"oldValueName": "String",
"valueType": "@odata.type: microsoft.graph.registryValueType",
"oldValueData": "String",
"hive": "@odata.type: microsoft.graph.registryHive",
"valueData": "String",
"key": "String",
"valueName": "String",
"operation": "@odata.type: microsoft.graph.registryOperation"
}],
"closedDateTime": "String (timestamp)",
"azureSubscriptionId": "String"
}
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Obtener alerta:
| Nombre del resultado del script | Valor |
|---|---|
alert_details |
True o False |
Get Incident
Usa la acción Get Incident para obtener detalles de un incidente de seguridad mediante el ID del incidente.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Get Incident requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Incident ID |
Obligatorio ID del incidente del que se quieren obtener los detalles. |
Resultados de la acción
La acción Obtener incidencia proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Mensajes de salida
La acción Get Incident puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Get Incident". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Obtener incidencia:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Eliminar sesión de usuario
Usa la acción Eliminar sesión de usuario para invalidar todos los tokens de actualización emitidos a las aplicaciones de un usuario. Para ello, restablece la propiedad de usuario signInSessionsValidFromDateTime a la fecha y hora actuales.
Esta acción se ejecuta en todas las entidades de Google SecOps.
Entradas de acciones
La acción Finalizar sesión de usuario requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
userPrincipalName| ID |
Obligatorio El nombre de usuario o el valor del ID único del usuario que se usa en Microsoft Entra ID. |
Resultados de la acción
La acción Finalizar sesión de usuario proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Cerrar sesión de usuario:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Mostrar alertas
Usa la acción List Alerts para enumerar las alertas disponibles en Microsoft Graph.
Esta acción se ejecuta en todas las entidades de Google SecOps.
El proceso de filtrado se lleva a cabo en la API Microsoft Graph. En el caso de los productos que publican alertas en Microsoft Graph y no admiten el filtrado, Microsoft Graph añade todas las alertas a la respuesta como si hubieran superado el filtro.
Entradas de acciones
La acción List Alerts requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Filter Key |
Optional Especifica la clave que se debe usar para filtrar las alertas. Nota: La opción "Título" no se admite en la API V2. |
Filter Logic |
Optional La lógica de filtro que se va a aplicar. La lógica del filtro se basa en el valor del parámetro Estos son los valores posibles:
El valor predeterminado es |
Filter Value |
Optional El valor que se debe usar en el filtro. Si seleccionas
Si seleccionas Si no defines ningún valor, el filtro no se aplicará. La lógica del filtro se basa en el valor del parámetro |
Max Records To Return |
Optional Número de registros que se devuelven por cada acción ejecutada. El valor predeterminado es 50. |
Resultados de la acción
La acción List Alerts (Mostrar alertas) proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra el resultado en JSON que se recibe al usar la acción List Alerts (Listar alertas):
{
"id": "ID",
"azureTenantId": "TENANT_ID",
"azureSubscriptionId": null,
"riskScore": null,
"tags": [],
"activityGroupName": null,
"assignedTo": null,
"category": "ImpossibleTravel",
"closedDateTime": null,
"comments": [],
"confidence": null,
"createdDateTime": "2022-04-29T13:10:59.705Z",
"description": "Sign-in from an atypical location based on the user's recent sign-ins",
"detectionIds": [],
"eventDateTime": "2022-04-29T11:36:59.1520667Z",
"feedback": null,
"incidentIds": [],
"lastEventDateTime": null,
"lastModifiedDateTime": "2022-04-30T14:44:43.4742002Z",
"recommendedActions": [],
"severity": "medium",
"sourceMaterials": [],
"status": "newAlert",
"title": "Atypical travel",
"vendorInformation": {
"provider": "IPC",
"providerVersion": null,
"subProvider": null,
"vendor": "Microsoft"
},
"alertDetections": [],
"cloudAppStates": [],
"fileStates": [],
"hostStates": [],
"historyStates": [],
"investigationSecurityStates": [],
"malwareStates": [],
"messageSecurityStates": [],
"networkConnections": [],
"processes": [],
"registryKeyStates": [],
"securityResources": [],
"triggers": [],
"userStates": [
{
"aadUserId": "b786d3cf-e97d-4511-b61c-0559e9f4da75",
"accountName": "example.user",
"domainName": "example.com",
"emailRole": "unknown",
"isVpn": null,
"logonDateTime": "2022-04-29T11:36:59.1520667Z",
"logonId": null,
"logonIp": "203.0.113.194",
"logonLocation": "1800 Amphibious Blvd, Mountain View, CA 94045",
"logonType": null,
"onPremisesSecurityIdentifier": null,
"riskScore": null,
"userAccountType": null,
"userPrincipalName": "example.user@example.com"
},
{
"aadUserId": "b786d3cf-e97d-4511-b61c-0559e9f4da75",
"accountName": "example.user",
"domainName": "example.com",
"emailRole": "unknown",
"isVpn": null,
"logonDateTime": "2022-04-29T11:15:00Z",
"logonId": null,
"logonIp": "192.0.2.160",
"logonLocation": "ES",
"logonType": null,
"onPremisesSecurityIdentifier": null,
"riskScore": null,
"userAccountType": null,
"userPrincipalName": "example.user@example.com"
}
],
"uriClickSecurityStates": [],
"vulnerabilityStates": []
}
Mensajes de salida
La acción List Alerts puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "List Alerts". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción List Alerts (Listar alertas):
| Nombre del resultado del script | Valor |
|---|---|
alerts_details |
ALERT_DETAILS |
List Incidents
Usa la acción List Incidents (Listar incidentes) para enumerar los incidentes de seguridad de Microsoft Graph en función de los criterios proporcionados.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción List Incidents requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Filter Key |
Optional Especifica la clave que se debe usar para filtrar las alertas. Nota: La opción "Título" no se admite en la API V2. |
Filter Logic |
Optional La lógica de filtro que se va a aplicar. La lógica del filtro se basa en el valor del parámetro Estos son los valores posibles:
El valor predeterminado es |
Filter Value |
Optional El valor que se debe usar en el filtro. Si seleccionas
Si seleccionas Si no defines ningún valor, el filtro no se aplicará. La lógica del filtro se basa en el valor del parámetro |
Max Records To Return |
Optional Número de registros que se devuelven por cada acción ejecutada. El valor predeterminado es 50. |
Resultados de la acción
La acción List Incidents (Listar incidencias) proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Mensajes de salida
La acción List Incidents puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "List Incidents". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción List Incidents (Listar incidencias):
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Ping
Usa la acción Ping para probar la conectividad con Microsoft Graph.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
Ninguno
Resultados de la acción
La acción Ping proporciona las siguientes salidas:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Ping:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Actualizar alerta
Use la acción Actualizar alerta para actualizar una propiedad de alerta editable.
Esta acción se ejecuta en todas las entidades de Google SecOps.
Entradas de acciones
La acción Actualizar alerta requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Alert ID |
Obligatorio
ID de la alerta que se va a actualizar. |
Assigned To |
Optional
Nombre del analista al que se ha asignado la alerta para la clasificación, la investigación o la corrección. |
Closed Date Time |
Optional
Hora a la que se cerró la alerta. El tipo Timestamp representa información de fecha y hora con el formato ISO 8601 y siempre está en hora UTC. Por ejemplo, la medianoche UTC del 1 de enero del 2014 sería '2014-01-01T00:00:00Z'. Nota: Este parámetro no se admite en la versión 2 de la API. |
Comments |
Optional
Comentarios del analista sobre la alerta (para la gestión de alertas de clientes), separados por comas. Este método solo puede actualizar el campo de comentarios con los siguientes valores: Cerrado en IPC y Cerrado en MCAS. Nota: En la versión 2 de la API, este parámetro funciona como una cadena y se añadirá un solo comentario a la alerta. |
Feedback |
Optional
Comentarios del analista sobre la alerta. Los valores posibles son: unknown, truePositive, falsePositive, benignPositive. Nota: En la versión 2 de la API, este parámetro se asigna a "classification" y tiene los siguientes valores posibles: unknown, falsePositive, truePositive, informationalExpectedActivity y unknownFutureValue. |
Status |
Optional
El estado del ciclo de vida de la alerta. Los valores posibles son los siguientes:
|
Tags |
Optional
Etiquetas definibles por el usuario que se pueden aplicar a una alerta. Separados por comas. Nota: Este parámetro no se admite en la versión 2 de la API. |
Resultados de la acción
La acción Actualizar alerta proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Actualizar alerta:
| Nombre del resultado del script | Valor |
|---|---|
is_updated |
True o False |
Conectores
Para obtener instrucciones detalladas sobre cómo configurar un conector en Google SecOps, consulta el artículo Ingerir datos (conectores).
Conector de seguridad de Microsoft Graph
Usa el conector de seguridad de Microsoft Graph para ingerir alertas publicadas en la API de seguridad de Microsoft Graph como alertas de SecOps de Google. El conector se conecta periódicamente al endpoint de seguridad de Microsoft Graph y obtiene una lista de incidentes que se han generado durante un periodo específico.
El conector de seguridad de Microsoft Graph requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Product Field Name |
Obligatorio Nombre del campo en el que se almacena el nombre del producto. El valor predeterminado es |
Event Field Name |
Obligatorio Nombre del campo que se usa para determinar el nombre del evento (subtipo). El valor predeterminado es |
Script Timeout (Seconds) |
Obligatorio El límite de tiempo de espera (en segundos) del proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es de 30 segundos. |
Environment Field Name |
Optional
Nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, el entorno se define como |
Pattern |
Optional
Un patrón de expresión regular que se aplica al valor encontrado en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es |
Client ID |
Obligatorio El ID de cliente (aplicación) de la aplicación de Microsoft Entra que se va a usar en la integración. |
Client Secret |
Optional El valor del secreto de cliente de la aplicación Microsoft Entra que se va a usar en la integración. |
Certificate Path |
Optional Si usas la autenticación basada en certificados en lugar del secreto de cliente, introduce la ruta al certificado en el servidor de Google SecOps. |
Certificate Password |
Optional Si el certificado de autenticación que usas está protegido con contraseña, especifica la contraseña para abrir el archivo del certificado. |
Azure Active Directory ID |
Obligatorio El valor de Microsoft Entra ID (ID de cliente). |
Offset Time In Hours |
Obligatorio
Número de horas anteriores a la hora actual desde la que se deben obtener las alertas. El valor predeterminado es de 120 horas. |
Fetch Alerts only from |
Optional
Lista separada por comas de los proveedores de los que se extraerán las alertas de Microsoft Graph. Si asigna al parámetro "Fetch Alerts only from" (Obtener alertas solo de) el valor "Office 365 Security and Compliance" (Seguridad y cumplimiento de Office 365), el conector no admitirá varios valores en los parámetros "Alert Statuses to fetch" (Estados de las alertas que se van a obtener) o "Alert Severities to fetch" (Gravedades de las alertas que se van a obtener). Si la opción "Usar API V2" está habilitada, este parámetro funcionará con la propiedad "serviceSource" de la alerta. |
Alert Statuses to fetch |
Obligatorio
Lista separada por comas de los estados de las alertas que debe obtener el servidor de Google SecOps. Los valores posibles son los siguientes: |
Alert Severities to fetch |
Obligatorio
Lista separada por comas de las gravedades de las alertas que debe obtener el servidor de Google SecOps. Los valores posibles son los siguientes:
|
Max Alerts Per Cycle |
Optional
Número máximo de alertas que se pueden procesar en una iteración de un conector. El valor predeterminado es 50. |
Proxy Server Address |
Optional Dirección del servidor proxy que se va a usar. |
Proxy Username |
Optional Nombre de usuario del proxy para autenticarse. |
Proxy Password |
Optional La contraseña del proxy para autenticarte. |
Use V2 API |
Optional Si se habilita, el conector usará los endpoints de la API V2. Nota: La estructura de las alertas y los eventos cambiará. Además, el parámetro "Fetch Alerts only from" (Obtener alertas solo de) requerirá que se proporcionen valores diferentes. |
Reglas de conectores
El conector no admite reglas de listas dinámicas ni de listas de bloqueo.
El conector admite proxies.
Conector de seguridad y cumplimiento de Office 365 de Microsoft Graph
Usa el conector de seguridad y cumplimiento de Office 365 de Microsoft Graph para ingerir las alertas de seguridad y cumplimiento de Office 365 mediante la API Microsoft Graph.
El conector de seguridad y cumplimiento de Microsoft Graph Office 365 requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Product Field Name |
Obligatorio Nombre del campo en el que se almacena el nombre del producto. El valor predeterminado es |
Event Field Name |
Obligatorio Nombre del campo que se usa para determinar el nombre del evento (subtipo). El valor predeterminado es |
Script Timeout (Seconds) |
Obligatorio El límite de tiempo de espera (en segundos) del proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es de 30 segundos. |
Environment Field Name |
Optional
Nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, el entorno se define como |
Environment Regex Pattern |
Optional
Un patrón de expresión regular que se aplica al valor encontrado en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es |
Client ID |
Obligatorio El ID de cliente (aplicación) de la aplicación de Microsoft Entra que se va a usar en la integración. |
Client Secret |
Optional El valor del secreto de cliente de la aplicación Microsoft Entra que se va a usar en la integración. |
Certificate Path |
Optional Si usas la autenticación basada en certificados en lugar del secreto de cliente, introduce la ruta al certificado en el servidor de Google SecOps. |
Certificate Password |
Optional Si el certificado de autenticación que usas está protegido con contraseña, especifica la contraseña para abrir el archivo del certificado. |
Azure Active Directory ID |
Obligatorio El valor de Microsoft Entra ID (ID de cliente). |
Verify SSL |
Optional Si se selecciona, la integración verifica que el certificado SSL de la conexión al servidor de Microsoft Graph sea válido. Esta opción está seleccionada de forma predeterminada. |
Offset Time In Hours |
Obligatorio
Número de horas anteriores a la hora actual para obtener alertas. El valor predeterminado es de 120 horas. |
Alert Statuses to fetch |
Optional
Lista separada por comas de los estados de las alertas que debe obtener el servidor de Google SecOps. Los valores posibles son los siguientes: |
Alert Severities to fetch |
Optional
Lista separada por comas de las gravedades de las alertas que debe obtener el servidor de Google SecOps. Los valores posibles son los siguientes:
|
Max Alerts Per Cycle |
Obligatorio
Número máximo de alertas que se pueden procesar en una iteración de un conector. El valor predeterminado es 50. |
Proxy Server Address |
Optional Dirección del servidor proxy que se va a usar. |
Proxy Username |
Optional Nombre de usuario del proxy para autenticarse. |
Proxy Password |
Optional La contraseña del proxy para autenticarte. |
Reglas de conectores
El conector no admite reglas de listas dinámicas ni de listas de bloqueo.
El conector admite proxies.
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.