Se usó la API de Cloud Translation para traducir esta página.

API de O365 Management

Versión de integración: 9.0

Casos de uso

Obtiene eventos de actividad de Microsoft 365.

Configura la API de administración de O365 para que funcione con Google Security Operations

Permiso del producto

Para obtener más información, consulta Comienza a usar las APIs de administración de Office 365.

Antes de acceder a los datos a través de las APIs de Office 365 Management Activity, debes habilitar el registro de auditoría unificado para tu organización de Office 365. Para ello, activa el registro de auditoría de Office 365. Para obtener instrucciones, consulta Cómo activar o desactivar la auditoría.

En cuanto a la configuración de la cuenta, el procedimiento es similar al de otros productos basados en Azure (Defender, Sentinel, etcétera). Debes registrar una app en Azure Active Directory y otorgarle los siguientes permisos:

Permisos delegados de User.Read de Microsoft Graph
Permisos de la aplicación ActivityFeed.ReadDlp de las APIs de Office 365 Management Activity

Configura la integración de la API de administración de O365 en Google SecOps

Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.

Parámetros de integración

Usa los siguientes parámetros para configurar la integración:

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Nombre de la instancia	String	N/A	No	Nombre de la instancia para la que deseas configurar la integración.
Descripción	String	N/A	No	Es la descripción de la instancia.
Raíz de la API	String	https://manage.office.com	Sí	Es la URL raíz de la API que se usará con la integración.
ID de Azure Active Directory	String	N/A	Sí	ID de inquilino de Azure Active Directory, que se puede ver en Active Directory > Registro de la aplicación > ID de directorio (inquilino) de <la aplicación que configuraste para tu integración>. Ejemplo: k48f52ca-0000-4708-8ed0-0000a20a40a
ID de cliente	String	N/A	Sí	Es el ID de cliente (aplicación) que se agregó para el registro de la app en Azure Active Directory para esta integración. p. ej., 29bf818e-0000-0000-0000-784fb644178d
Secreto del cliente	Contraseña	N/A	No	Es el secreto que se ingresó para el registro de la app de Azure AD. Ejemplo: XF00000Qc0000000[UZSW7-0?qXb6Qx]
Verificar SSL	Casilla de verificación	Marcado	Sí	Especifica si se debe validar el certificado SSL del extremo de API remota.
Ejecutar de forma remota	Casilla de verificación	Desmarcado	No	Marca la casilla para ejecutar la integración configurada de forma remota. Una vez que se marca, aparece la opción para seleccionar al usuario remoto (agente).
Ruta del certificado	String	N/A	No	Si se usa la autenticación basada en certificados en lugar del secreto del cliente, especifica la ruta de acceso al certificado en el servidor de Google SecOps.
Contraseña del certificado	Contraseña	N/A	No	Opcional: Si el certificado está protegido con contraseña, especifica la contraseña para abrir el archivo del certificado.
URL del extremo de acceso de OAUTH2	String	https://login.microsoftonline.com	Sí	Especifica el conector de URL que se debe usar para la URL del extremo de acceso de OAUTH2.

Acciones

Ping

Descripción

Prueba la conectividad con el servicio de la API de Management de O365 con los parámetros proporcionados en la página de configuración de la integración en la pestaña Google Security Operations Marketplace.

Parámetros

N/A

Ejecutar en

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
correcto	Verdadero/Falso	success:False

Muro de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si la conexión se realiza correctamente, se imprimirá el mensaje "Successfully connected to the O365 Management API with the provided connection parameters!". La acción debería fallar y detener la ejecución de la guía: Si se produce un error crítico, como credenciales incorrectas o pérdida de conectividad, imprime el mensaje "Failed to connect to the O365 Management API! Error is {0}".format(exception.stacktrace)	General

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si la conexión se realiza correctamente, se imprimirá el mensaje "Successfully connected to the O365 Management API with the provided connection parameters!".

La acción debería fallar y detener la ejecución de la guía:

Si se produce un error crítico, como credenciales incorrectas o pérdida de conectividad, imprime el mensaje "Failed to connect to the O365 Management API! Error is {0}".format(exception.stacktrace)

General

Cómo iniciar una suscripción

Descripción

Inicia una suscripción a un tipo de contenido de la API de administración de Office 365 elegido.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Iniciar una suscripción para	DDL	Selecciona el tipo de contenido, Audit.General	Sí	Especifica para qué tipo de contenido se iniciará una suscripción.

Ejecutar en

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success:False

Muro de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: if successful: print "Successfully created O365 Management API subscription for the {0} content type!".format(content_type) La acción debería fallar y detener la ejecución de la guía: Si se produce un error crítico, como credenciales incorrectas o pérdida de conectividad, imprime "Failed to execute command! Error is {0}".format(exception.stacktrace)	General

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

if successful: print "Successfully created O365 Management API subscription for the {0} content type!".format(content_type)

La acción debería fallar y detener la ejecución de la guía:

Si se produce un error crítico, como credenciales incorrectas o pérdida de conectividad, imprime "Failed to execute command! Error is {0}".format(exception.stacktrace)

General

Cómo detener una suscripción

Descripción

Detiene la suscripción a un tipo de contenido de la API de administración de Office 365 elegido.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es Obligatorio	Descripción
Detener la suscripción a	DDL	Selecciona el tipo de contenido, Audit.General	Sí	Especifica para qué tipo de contenido se detendrá una suscripción.

Ejecutar en

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success:False

Muro de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: if successful: print "Successfully stopped O365 Management API subscription for the {0} content type!".format(content_type) La acción debería fallar y detener la ejecución de la guía: Si se produce un error crítico, como credenciales incorrectas o pérdida de conectividad, imprime "No se pudo conectar para ejecutar el comando". Error is {0}".format(exception.stacktrace)	General

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

if successful: print "Successfully stopped O365 Management API subscription for the {0} content type!".format(content_type)

La acción debería fallar y detener la ejecución de la guía:

Si se produce un error crítico, como credenciales incorrectas o pérdida de conectividad, imprime "No se pudo conectar para ejecutar el comando". Error is {0}".format(exception.stacktrace)

General

Conectores

Configura los conectores de la API de administración de Office 365 en Google SecOps

Si quieres obtener instrucciones detalladas para configurar un conector en Google SecOps, consulta Cómo configurar el conector.

Para configurar el conector seleccionado, usa los parámetros específicos del conector que se enumeran en las siguientes tablas:

Conector de eventos de DLP de la API de Office 365 Management

Descripción

Recupera eventos de DLP de la API de Office 365 Management.

Parámetros del conector

Usa los siguientes parámetros para configurar el conector:

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Nombre del campo del producto	String	Nombre del producto	Sí	Ingresa el nombre del campo de origen para recuperar el nombre del campo del producto.
Nombre del campo del evento	String	Operación	Sí	Ingresa el nombre del campo de origen para recuperar el nombre del campo del evento.
Nombre del campo del entorno	String	""	No	Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo del entorno, se usa el entorno predeterminado.
Patrón de expresión regular del entorno	String	.*	No	Es un patrón de regex que se ejecutará en el valor que se encuentra en el campo "Nombre del campo del entorno". El valor predeterminado es .* para capturar todo y devolver el valor sin cambios. Se usa para permitir que el usuario manipule el campo del entorno a través de la lógica de regex. Si el patrón de regex es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado.
Tiempo de espera de la secuencia de comandos (segundos)	Número entero	180	Sí	Es el límite de tiempo de espera para el proceso de Python que ejecuta la secuencia de comandos actual.
Raíz de la API	String	https://manage.office.com	Sí	Es la URL raíz de la API que se usará con la integración.
ID de Azure Active Directory	String	N/A	Sí	ID de inquilino de Azure Active Directory, que se puede ver en Active Directory > Registro de la aplicación > ID de directorio (inquilino) de <la aplicación que configuraste para tu integración>. Ejemplo: k48f52ca-0000-4708-8ed0-0000a20a40a
ID de cliente	String	N/A	Sí	Es el ID de cliente (aplicación) que se agregó para el registro de la app en Azure Active Directory para esta integración. Ejemplo: 29bf818e-0000-0000-0000-784fb644178d
Secreto del cliente	Contraseña	N/A	No	Es el secreto que se ingresó para el registro de la app de Azure AD. Ejemplo: XF00000Qc0000000[UZSW7-0?qXb6Qx]
Verificar SSL	Casilla de verificación	Marcado	Sí	Especifica si se debe validar el certificado SSL del extremo de API remota.
Tipo de filtro de operación	String	N/A	No	Los siguientes tipos de operación están disponibles para los eventos de DLP: DlpRuleMatch, DlpRuleUndo y DlpInfo. El parámetro funciona como una lista negra. De forma predeterminada, si no se especifica nada en este parámetro, se incorporan todos los tipos de operación posibles. Si el tipo de operación se especifica en este parámetro, no se ingerirá el evento con este tipo de operación. El parámetro acepta varios valores como una cadena separada por comas.
Tipo de filtro de política	String	N/A	No	El parámetro se puede usar para especificar el nombre de la política que, si está presente en el evento, no se ingerirá. El parámetro funciona como una lista negra. De forma predeterminada, si no se especifica nada, se incorporan todos los tipos de políticas posibles. El parámetro acepta varios valores como una cadena separada por comas.
¿Encontraste una máscara?	Casilla de verificación	Desmarcado	No	Especifica si el conector debe enmascarar los hallazgos sensibles que activaron coincidencias de políticas de DLP.
Cantidad máxima de eventos que se pueden recuperar	Número entero	50	Sí	Cantidad de eventos que se procesarán por iteración del conector.
Recuperar horas máximas hacia atrás	Número entero	8	Sí	Cantidad de horas desde las que se recuperan los eventos. Ten en cuenta que la API de administración de O365 permite devolver eventos de los últimos 7 días, no más antiguos.
Intervalo de tiempo hacia atrás para recuperar datos (minutos)	Número entero	240	Sí	Es el conector de intervalo de tiempo que se debe usar para recuperar eventos desde un máximo de horas hacia atrás. Si el arrendatario de O365 está ocupado, podría devolver muchos BLOB de eventos. Por este motivo, este parámetro en minutos se puede usar para dividir las horas máximas hacia atrás en segmentos más pequeños y procesarlos de forma individual. El intervalo de tiempo no puede ser mayor a 24 horas en total.
Período de padding de eventos (minutos)	Número entero	60	Sí	El período de relleno de eventos en minutos especifica un intervalo de tiempo mínimo que el conector usará para verificar eventos nuevos.
Usar la lista blanca como lista negra	Casilla de verificación	Desmarcado	Sí	Si se habilita, la lista de entidades permitidas se usará como lista de entidades bloqueadas.
Dirección del servidor proxy	String		No	Es la dirección del servidor proxy que se usará.
Nombre de usuario del proxy	String		No	Nombre de usuario del proxy con el que se realizará la autenticación.
Contraseña de proxy	Contraseña		No	Contraseña del proxy para la autenticación.
Ruta del certificado	String		No	Si se usa la autenticación basada en certificados en lugar del secreto del cliente, especifica la ruta de acceso al certificado en el servidor de Google SecOps.
Contraseña del certificado	Contraseña		No	Opcional: Si el certificado está protegido con contraseña, especifica la contraseña para abrir el archivo del certificado.
URL del extremo de acceso de OAUTH2	String	https://login.microsoftonline.com	Sí	Especifica la URL que debe usar el conector para la URL del extremo de acceso de OAUTH2.

Reglas del conector

Lista blanca o negra

El conector admite listas blancas y negras.

Compatibilidad con proxy

El conector admite proxy.

Conector de eventos generales de auditoría de la API de Office 365 Management

Descripción

Recupera eventos de Audit.General de la API de Office 365 Management. Primero, asegúrate de haber habilitado la suscripción a los eventos de Audit.General ejecutando la acción "Start a Subscription".

Para el conector de eventos generales de auditoría de la API de Office 365 Management, se requieren los siguientes permisos:

Permisos delegados User.Read, email y profile de Microsoft Graph
Permisos de aplicación ActivityFeed.ReadDlp y ActivityFeed.Read de las APIs de Office 365 Management Activity

Parámetros del conector

Usa los siguientes parámetros para configurar el conector:

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Nombre del campo del producto	String	Nombre del producto	Sí	Ingresa el nombre del campo de origen para recuperar el nombre del campo del producto.
Nombre del campo del evento	String	Operación	Sí	Ingresa el nombre del campo de origen para recuperar el nombre del campo del evento.
Nombre del campo del entorno	String	""	No	Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo del entorno, se usa el entorno predeterminado.
Patrón de expresión regular del entorno	String	.*	No	Es un patrón de regex que se ejecutará en el valor que se encuentra en el campo "Nombre del campo del entorno". El valor predeterminado es .* para capturar todo y devolver el valor sin cambios. Se usa para permitir que el usuario manipule el campo del entorno a través de la lógica de regex. Si el patrón de regex es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado.
Tiempo de espera de la secuencia de comandos (segundos)	Número entero	180	Sí	Es el límite de tiempo de espera para el proceso de Python que ejecuta la secuencia de comandos actual.
Raíz de la API	String	https://manage.office.com	Sí	Es la URL raíz de la API que se usará con la integración.
ID de Azure Active Directory	String	N/A	Sí	ID de inquilino de Azure Active Directory, que se puede ver en Active Directory > Registro de la aplicación > ID de directorio (inquilino) de <la aplicación que configuraste para tu integración>. Ejemplo: k48f52ca-0000-4708-8ed0-0000a20a40a
ID de cliente	String	N/A	Sí	Es el ID de cliente (aplicación) que se agregó para el registro de la app en Azure Active Directory para esta integración. Ejemplo: 29bf818e-0000-0000-0000-784fb644178d
Secreto del cliente	Contraseña	N/A	No	Es el secreto que se ingresó para el registro de la app de Azure AD. Ejemplo: XF00000Qc0000000[UZSW7-0?qXb6Qx]
Ruta del certificado	String	N/A	No	Si se usa la autenticación basada en certificados en lugar del secreto del cliente, especifica la ruta de acceso al certificado en el servidor de Google SecOps.
Contraseña del certificado	Contraseña	N/A	No	Opcional: Si el certificado está protegido con contraseña, especifica la contraseña para abrir el archivo del certificado.
URL del extremo de acceso de OAUTH2	String	https://login.microsoftonline.com	No	Especifica la URL que debe usar el conector para la URL del extremo de acceso de OAUTH2.
Verificar SSL	Casilla de verificación	Marcado	Sí	Especifica si se debe validar el certificado SSL del extremo de API remota.
Tipo de filtro de operación	String	N/A	No	En el esquema audit.general, puede haber diferentes tipos de operaciones:SearchAirBatch, SearchCustomTag, etcétera. De forma predeterminada, si no se especifica nada en este parámetro, se incorporan todos los tipos de operación posibles. Si el tipo de operación se especifica en este parámetro, no se ingerirá el evento con este tipo de operación. El parámetro acepta varios valores como una cadena separada por comas.
Filtro de estado	String	N/A	No	El parámetro se puede usar para especificar el estado que, si está presente en el evento, no se ingerirá. El parámetro funciona como una lista negra. De forma predeterminada, si no se especifica nada, se incorporan todos los tipos de estado posibles. El parámetro acepta varios valores como una cadena separada por comas.
Usar filtros de operación y estado como lista de entidades permitidas	Casilla de verificación	Desmarcado	Sí	Si se habilita, los filtros de operación y estado funcionarán como una lista de entidades permitidas. De forma predeterminada, funcionan como una lista de bloqueo.
Claves de entidad para crear eventos adicionales	CSV	N/A	No	Especifica las claves que, si se ven en la sección de entidades Audit.General de los datos, se deben tomar del subapartado relacionado para crear un evento adicional de Google SecOps.
Cantidad máxima de eventos que se pueden recuperar	Número entero	50	Sí	Cantidad de eventos que se procesarán por iteración del conector.
Recuperar horas máximas hacia atrás	Número entero	8	Sí	Cantidad de horas desde las que se recuperan los eventos. Ten en cuenta que la API de administración de O365 permite devolver eventos de los últimos 7 días, no más antiguos.
Intervalo de tiempo hacia atrás para recuperar datos (minutos)	Número entero	240	Sí	Es el conector de intervalo de tiempo que se debe usar para recuperar eventos desde un máximo de horas hacia atrás. Si el arrendatario de O365 está ocupado, podría devolver muchos BLOB de eventos. Por este motivo, este parámetro en minutos se puede usar para dividir las horas máximas hacia atrás en segmentos más pequeños y procesarlos de forma individual. El intervalo de tiempo no puede ser mayor a 24 horas en total.
Período de padding de eventos (minutos)	Número entero	60	Sí	El período de relleno de eventos en minutos especifica un intervalo de tiempo mínimo que el conector usará para verificar eventos nuevos.
Usar la lista blanca como lista negra	Casilla de verificación	Desmarcado	Sí	Si se habilita, la lista de entidades permitidas se usará como lista de entidades bloqueadas.
Dirección del servidor proxy	String		No	Es la dirección del servidor proxy que se usará.
Nombre de usuario del proxy	String		No	Nombre de usuario del proxy con el que se realizará la autenticación.
Contraseña de proxy	Contraseña		No	Contraseña del proxy para la autenticación.

Reglas del conector

Lista blanca o negra

El conector admite listas blancas y negras.

Compatibilidad con proxy

El conector admite proxy.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.