Esta página se ha traducido con Cloud Translation API.

API Management de O365

Versión de integración: 9.0

Casos prácticos

Obtener eventos de actividad de Microsoft 365.

Configurar la API Management de O365 para que funcione con Google Security Operations

Permiso de producto

Para obtener más información, consulta el artículo Empezar a usar las APIs de gestión de Office 365.

Para poder acceder a los datos a través de las APIs de actividad de gestión de Office 365, debes habilitar el registro de auditoría unificado en tu organización de Office 365. Para ello, activa el registro de auditoría de Office 365. Para obtener instrucciones, consulta Activar o desactivar la auditoría.

En cuanto a la configuración de la cuenta, el procedimiento es similar al de otros productos basados en Azure (Defender, Sentinel, etc.). Debes registrar una aplicación en Azure Active Directory y darle los siguientes permisos:

Permisos delegados de User.Read de Microsoft Graph
Permisos de ActivityFeed.ReadDlpaplicación de las APIs Management Activity de Office 365

Configurar la integración de la API Management de O365 en Google SecOps

Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.

Parámetros de integración

Usa los siguientes parámetros para configurar la integración:

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Nombre de la instancia	Cadena	N/A	No	Nombre de la instancia para la que quiere configurar la integración.
Descripción	Cadena	N/A	No	Descripción de la instancia.
Raíz de la API	Cadena	https://manage.office.com	Sí	URL raíz de la API que se va a usar con la integración.
ID de Azure Active Directory	Cadena	N/A	Sí	El ID de cliente de Azure Active Directory se puede ver en Active Directory > Registro de aplicaciones > <Aplicación que has configurado para tu integración> ID de cliente. Ejemplo: k48f52ca-0000-4708-8ed0-0000a20a40a
ID de cliente	Cadena	N/A	Sí	ID de cliente (aplicación) que se ha añadido al registro de la aplicación en Azure Active Directory para esta integración. Por ejemplo, 29bf818e-0000-0000-0000-784fb644178d
Secreto de cliente	Contraseña	N/A	No	Secreto que se ha introducido para el registro de la aplicación de Azure AD. Ejemplo: XF00000Qc0000000[UZSW7-0?qXb6Qx]
Verificar SSL	Casilla	Marcada	Sí	Especifica si se debe validar el certificado SSL del endpoint de la API remota.
Ejecutar de forma remota	Casilla	Desmarcada	No	Marca el campo para ejecutar la integración configurada de forma remota. Una vez marcada, aparece la opción para seleccionar al usuario remoto (agente).
Ruta del certificado	Cadena	N/A	No	Si se usa la autenticación basada en certificados en lugar del secreto de cliente, especifica la ruta al certificado en el servidor de Google SecOps.
Contraseña del certificado	Contraseña	N/A	No	Opcional: si el certificado está protegido con contraseña, especifica la contraseña para abrir el archivo del certificado.
URL del endpoint de inicio de sesión de OAUTH2	Cadena	https://login.microsoftonline.com	Sí	Especifique el conector de URL que se debe usar en el campo URL del endpoint de inicio de sesión de OAuth 2.0.

Acciones

Ping

Descripción

Prueba la conectividad con el servicio de la API Management de O365 con los parámetros proporcionados en la página de configuración de la integración de la pestaña Google Security Operations Marketplace.

Parámetros

N/A

Fecha de ejecución

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
correcto	Verdadero/Falso	success:False

Panel de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si se ha realizado correctamente, imprime "Successfully connected to the O365 Management API with the provided connection parameters!" ("Se ha conectado correctamente a la API de gestión de O365 con los parámetros de conexión proporcionados"). La acción debería fallar y detener la ejecución de la guía: Si se produce un error crítico, como credenciales incorrectas o pérdida de conectividad, imprime "Failed to connect to the O365 Management API! Error: {0}".format(exception.stacktrace)	General

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si se ha realizado correctamente, imprime "Successfully connected to the O365 Management API with the provided connection parameters!" ("Se ha conectado correctamente a la API de gestión de O365 con los parámetros de conexión proporcionados").

La acción debería fallar y detener la ejecución de la guía:

Si se produce un error crítico, como credenciales incorrectas o pérdida de conectividad, imprime "Failed to connect to the O365 Management API! Error: {0}".format(exception.stacktrace)

General

Iniciar una suscripción

Descripción

Inicia una suscripción a un tipo de contenido de la API Management de Office 365.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Iniciar una suscripción para	DDL	Selecciona el tipo de contenido Audit.General.	Sí	Especifica para qué tipo de contenido quieres iniciar una suscripción.

Fecha de ejecución

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success:False

Panel de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si se ha creado correctamente, imprime "Successfully created O365 Management API subscription for the {0} content type!".format(content_type). La acción debería fallar y detener la ejecución de la guía: Si se produce un error crítico, como credenciales incorrectas o pérdida de conectividad, imprime "Failed to execute command! Error: {0}".format(exception.stacktrace)	General

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si se ha creado correctamente, imprime "Successfully created O365 Management API subscription for the {0} content type!".format(content_type).

La acción debería fallar y detener la ejecución de la guía:

Si se produce un error crítico, como credenciales incorrectas o pérdida de conectividad, imprime "Failed to execute command! Error: {0}".format(exception.stacktrace)

General

Detener una suscripción

Descripción

Detiene la suscripción a un tipo de contenido de la API Management de Office 365.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	¿Es Mandatory?	Descripción
Detener una suscripción de	DDL	Selecciona el tipo de contenido Audit.General.	Sí	Especifica para qué tipo de contenido quieres detener una suscripción.

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success:False

Panel de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si se realiza correctamente, se muestra el mensaje "Successfully stopped O365 Management API subscription for the {0} content type!".format(content_type). La acción debería fallar y detener la ejecución de la guía: Si se produce un error crítico, como credenciales incorrectas o pérdida de conectividad, imprime "Failed to connect to execute command! Error: {0}".format(exception.stacktrace)	General

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si se realiza correctamente, se muestra el mensaje "Successfully stopped O365 Management API subscription for the {0} content type!".format(content_type).

La acción debería fallar y detener la ejecución de la guía:

Si se produce un error crítico, como credenciales incorrectas o pérdida de conectividad, imprime "Failed to connect to execute command! Error: {0}".format(exception.stacktrace)

General

Conectores

Configurar conectores de la API Management de Office 365 en Google SecOps

Para obtener instrucciones detalladas sobre cómo configurar un conector en Google SecOps, consulta el artículo Configurar el conector.

Para configurar el conector seleccionado, usa los parámetros específicos del conector que se indican en las siguientes tablas:

Conector de eventos de DLP de la API Management de Office 365

Descripción

Obtiene eventos de DLP de la API Management de Office 365.

Parámetros del conector

Utiliza los siguientes parámetros para configurar el conector:

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Nombre del campo de producto	Cadena	Nombre del producto	Sí	Introduce el nombre del campo de origen para obtener el nombre del campo de producto.
Nombre del campo de evento	Cadena	Operación	Sí	Introduzca el nombre del campo de origen para obtener el nombre del campo de evento.
Nombre del campo de entorno	Cadena	""	No	Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, se utiliza el entorno predeterminado.
Patrón de regex de entorno	Cadena	.*	No	Una expresión regular que se aplicará al valor encontrado en el campo "Nombre del campo de entorno". El valor predeterminado es .* para captar todos los valores y devolverlos sin cambios. Se usa para permitir que el usuario manipule el campo del entorno mediante la lógica de expresiones regulares. Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno será el entorno predeterminado.
Tiempo de espera de secuencia de comandos (segundos)	Entero	180	Sí	Límite de tiempo de espera del proceso de Python que ejecuta la secuencia de comandos actual.
Raíz de la API	Cadena	https://manage.office.com	Sí	URL raíz de la API que se va a usar con la integración.
ID de Azure Active Directory	Cadena	N/A	Sí	El ID de cliente de Azure Active Directory se puede ver en Active Directory > Registro de aplicaciones > <Aplicación que has configurado para tu integración> ID de cliente. Ejemplo: k48f52ca-0000-4708-8ed0-0000a20a40a
ID de cliente	Cadena	N/A	Sí	ID de cliente (aplicación) que se ha añadido al registro de la aplicación en Azure Active Directory para esta integración. Ejemplo: 29bf818e-0000-0000-0000-784fb644178d
Secreto de cliente	Contraseña	N/A	No	Secreto que se ha introducido para el registro de la aplicación de Azure AD. Ejemplo: XF00000Qc0000000[UZSW7-0?qXb6Qx]
Verificar SSL	Casilla	Marcada	Sí	Especifica si se debe validar el certificado SSL del endpoint de la API remota.
Tipo de filtro de operación	Cadena	N/A	No	Los siguientes tipos de operaciones están disponibles para los eventos de DLP: DlpRuleMatch, DlpRuleUndo y DlpInfo. El parámetro funciona como una lista negra. De forma predeterminada, si no se especifica nada en este parámetro, se ingieren todos los tipos de operación posibles. Si se especifica el tipo de operación en este parámetro, no se insertará el evento con este tipo de operación. El parámetro acepta varios valores como una cadena separada por comas.
Tipo de filtro de política	Cadena	N/A	No	Este parámetro se puede usar para especificar el nombre de la política. Si está presente en el evento, este no se ingiere. El parámetro funciona como una lista negra. De forma predeterminada, si no se especifica nada, se ingieren todos los tipos de políticas posibles. El parámetro acepta varios valores como una cadena separada por comas.
¿Qué se ha descubierto sobre las mascarillas?	Casilla	Desmarcada	No	Especifica si el conector debe enmascarar los resultados sensibles que hayan activado las políticas de DLP.
Número máximo de eventos que se pueden obtener	Entero	50	Sí	Número de eventos que se procesarán por cada iteración del conector.
Fetch Max Hours Backwards	Entero	8	Sí	Número de horas desde las que se deben obtener los eventos. Ten en cuenta que la API Management de O365 permite devolver eventos de los últimos 7 días, pero no de más tiempo.
Intervalo de tiempo hacia atrás (minutos)	Entero	240	Sí	Conector de intervalo de tiempo que se debe usar para obtener eventos de un máximo de horas hacia atrás. Si el arrendatario de O365 está ocupado, podría devolver muchos blobs de eventos. Por este motivo, este parámetro en minutos se puede usar para dividir las horas máximas hacia atrás en segmentos más pequeños y procesarlos individualmente. El intervalo de tiempo no puede ser superior a 24 horas en total.
Periodo de relleno de eventos (minutos)	Entero	60	Sí	El periodo de relleno de eventos en minutos especifica un intervalo de tiempo mínimo que usará el conector para comprobar si hay eventos nuevos.
Usar la lista blanca como lista negra	Casilla	Desmarcada	Sí	Si está habilitada, la lista de permitidos se usará como lista de denegados.
Dirección del servidor proxy	Cadena		No	Dirección del servidor proxy que se va a usar.
Nombre de usuario del proxy	Cadena		No	Nombre de usuario del proxy para autenticarse.
Contraseña del proxy	Contraseña		No	La contraseña del proxy para autenticarte.
Ruta del certificado	Cadena		No	Si se usa la autenticación basada en certificados en lugar del secreto de cliente, especifica la ruta al certificado en el servidor de Google SecOps.
Contraseña del certificado	Contraseña		No	Opcional: si el certificado está protegido con contraseña, especifica la contraseña para abrir el archivo del certificado.
URL del endpoint de inicio de sesión de OAUTH2	Cadena	https://login.microsoftonline.com	Sí	Especifica la URL que debe usar el conector para la URL del endpoint de inicio de sesión de OAuth2.

Reglas de conectores

Lista blanca o negra

El conector admite listas blancas y negras.

Compatibilidad con proxies

El conector admite proxies.

Conector de eventos generales de auditoría de la API Management de Office 365

Descripción

Obtiene eventos Audit.General de la API Management de Office 365. Asegúrate de que primero has habilitado la suscripción a los eventos Audit.General ejecutando la acción "Iniciar una suscripción".

Para el conector de eventos generales de auditoría de la API de gestión de Office 365, se necesitan los siguientes permisos:

Permisos delegados User.Read, email y profile de Microsoft Graph
Permisos de aplicaciones ActivityFeed.ReadDlp y ActivityFeed.Read de las APIs de actividad de gestión de Office 365

Parámetros del conector

Utiliza los siguientes parámetros para configurar el conector:

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Nombre del campo de producto	Cadena	Nombre del producto	Sí	Introduce el nombre del campo de origen para obtener el nombre del campo de producto.
Nombre del campo de evento	Cadena	Operación	Sí	Introduzca el nombre del campo de origen para obtener el nombre del campo de evento.
Nombre del campo de entorno	Cadena	""	No	Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, se utiliza el entorno predeterminado.
Patrón de regex de entorno	Cadena	.*	No	Una expresión regular que se aplicará al valor encontrado en el campo "Nombre del campo de entorno". El valor predeterminado es .* para captar todos los valores y devolverlos sin cambios. Se usa para permitir que el usuario manipule el campo del entorno mediante la lógica de expresiones regulares. Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno será el entorno predeterminado.
Tiempo de espera de secuencia de comandos (segundos)	Entero	180	Sí	Límite de tiempo de espera del proceso de Python que ejecuta la secuencia de comandos actual.
Raíz de la API	Cadena	https://manage.office.com	Sí	URL raíz de la API que se va a usar con la integración.
ID de Azure Active Directory	Cadena	N/A	Sí	El ID de cliente de Azure Active Directory se puede ver en Active Directory > Registro de aplicaciones > <Aplicación que has configurado para tu integración> ID de cliente. Ejemplo: k48f52ca-0000-4708-8ed0-0000a20a40a
ID de cliente	Cadena	N/A	Sí	ID de cliente (aplicación) que se ha añadido al registro de la aplicación en Azure Active Directory para esta integración. Ejemplo: 29bf818e-0000-0000-0000-784fb644178d
Secreto de cliente	Contraseña	N/A	No	Secreto que se ha introducido para el registro de la aplicación de Azure AD. Ejemplo: XF00000Qc0000000[UZSW7-0?qXb6Qx]
Ruta del certificado	Cadena	N/A	No	Si se usa la autenticación basada en certificados en lugar del secreto de cliente, especifica la ruta al certificado en el servidor de Google SecOps.
Contraseña del certificado	Contraseña	N/A	No	Opcional: si el certificado está protegido con contraseña, especifica la contraseña para abrir el archivo del certificado.
URL del endpoint de inicio de sesión de OAUTH2	Cadena	https://login.microsoftonline.com	No	Especifica la URL que debe usar el conector para la URL del endpoint de inicio de sesión de OAuth2.
Verificar SSL	Casilla	Marcada	Sí	Especifica si se debe validar el certificado SSL del endpoint de la API remota.
Tipo de filtro de operación	Cadena	N/A	No	En el esquema audit.general puede haber diferentes tipos de operaciones:SearchAirBatch, SearchCustomTag, etc. De forma predeterminada, si no se especifica nada en este parámetro, se ingieren todos los tipos de operación posibles. Si se especifica el tipo de operación en este parámetro, no se insertará el evento con este tipo de operación. El parámetro acepta varios valores como una cadena separada por comas.
Filtro de estado	Cadena	N/A	No	Este parámetro se puede usar para especificar un estado que, si está presente en el evento, no se ingiere. El parámetro funciona como una lista negra. De forma predeterminada, si no se especifica nada, se ingieren todos los tipos de estado posibles. El parámetro acepta varios valores como una cadena separada por comas.
Usar filtros de operaciones y de estado como lista blanca	Casilla	Desmarcada	Sí	Si está habilitado, los filtros de operaciones y de estado funcionarán como una lista de elementos permitidos. De forma predeterminada, se trata de una lista de elementos no permitidos.
Claves de entidad para crear eventos adicionales	CSV	N/A	No	Especifica las claves que, si se ven en la sección Audit.General de las entidades de datos, se deben tomar de la subsección relacionada para crear un evento adicional de Google SecOps.
Número máximo de eventos que se pueden obtener	Entero	50	Sí	Número de eventos que se procesarán por cada iteración del conector.
Fetch Max Hours Backwards	Entero	8	Sí	Número de horas desde las que se deben obtener los eventos. Ten en cuenta que la API Management de O365 permite devolver eventos de los últimos 7 días, pero no de más tiempo.
Intervalo de tiempo hacia atrás (minutos)	Entero	240	Sí	Conector de intervalo de tiempo que se debe usar para obtener eventos de un máximo de horas hacia atrás. Si el arrendatario de O365 está ocupado, podría devolver muchos blobs de eventos. Por este motivo, este parámetro en minutos se puede usar para dividir las horas máximas hacia atrás en segmentos más pequeños y procesarlos individualmente. El intervalo de tiempo no puede ser superior a 24 horas en total.
Periodo de relleno de eventos (minutos)	Entero	60	Sí	El periodo de relleno de eventos en minutos especifica un intervalo de tiempo mínimo que usará el conector para comprobar si hay eventos nuevos.
Usar la lista blanca como lista negra	Casilla	Desmarcada	Sí	Si está habilitada, la lista de permitidos se usará como lista de denegados.
Dirección del servidor proxy	Cadena		No	Dirección del servidor proxy que se va a usar.
Nombre de usuario del proxy	Cadena		No	Nombre de usuario del proxy para autenticarse.
Contraseña del proxy	Contraseña		No	La contraseña del proxy para autenticarte.

Reglas de conectores

Lista blanca o negra

El conector admite listas blancas y negras.

Compatibilidad con proxies

El conector admite proxies.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.