Recopila registros de contexto de Microsoft Azure AD
Compatible con:
Google SecOps
SIEM
En este documento, se describe cómo puedes recopilar registros de Microsoft Azure Active Directory (AD) configurando un feed de Google Security Operations.
Azure Active Directory (AZURE_AD) ahora se llama Microsoft Entra ID. Los registros de auditoría de Azure AD (AZURE_AD_AUDIT) ahora son registros de auditoría de Microsoft Entra ID.
Para obtener más información, consulta Transferencia de datos a Google Security Operations.
Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado.
Antes de comenzar
Asegúrate de cumplir con los siguientes requisitos previos:
- Una suscripción a Azure a la que puedas acceder
- Un rol de administrador global o de administrador de Azure AD
- Un directorio de Azure AD (inquilino) en Azure
Cómo configurar Azure AD
- Accede al portal de Azure.
- Ve a Página principal > Registro de la aplicación, selecciona una aplicación registrada o registra una aplicación si aún no creaste una.
- Para registrar una aplicación, en la sección Registro de aplicaciones, haz clic en Nuevo registro.
- En el campo Nombre, proporciona el nombre visible de tu aplicación.
- En la sección Tipos de cuentas compatibles, selecciona la opción requerida para especificar quién puede usar la aplicación o acceder a la API.
- Haz clic en Register.
- Ve a la página Descripción general y copia el ID de la aplicación (cliente) y el ID del directorio (inquilino), que son necesarios para configurar el feed de Google Security Operations.
- Haz clic en Permisos de la API.
- Haz clic en Agregar un permiso y, luego, selecciona Microsoft Graph en el panel nuevo.
- Haz clic en Permisos de aplicación.
- Selecciona los permisos AuditLog.Read.All, Directory.Read.All y SecurityEvents.Read.All. Asegúrate de que los permisos sean permisos de la aplicación y no permisos delegados.
- Haz clic en Grant admin consent for default directory. Las aplicaciones están autorizadas para llamar a las APIs cuando los usuarios o administradores les otorgan permisos como parte del proceso de consentimiento.
- Ve a Configuración > Administrar.
- Haz clic en Certificados y Secrets.
- Haz clic en Nuevo secreto de cliente. En el campo Valor, aparece el secreto del cliente.
- Copia el valor del secreto del cliente. El valor se muestra solo en el momento de la creación y es necesario para el registro de la app de Azure y para configurar el feed de Google Security Operations.
Configura feeds
Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:
- Configuración de SIEM > Feeds
- Centro de contenido > Paquetes de contenido
Configura feeds desde Configuración del SIEM > Feeds
Para configurar varios feeds para diferentes tipos de registros dentro de esta familia de productos, consulta Cómo configurar feeds por producto.
Para configurar un solo feed, sigue estos pasos:
- Ve a SIEM Settings > Feeds.
- Haz clic en Agregar feed nuevo.
- En la siguiente página, haz clic en Configurar un solo feed.
- En el campo Nombre del feed, ingresa un nombre para el feed, por ejemplo, Registros de contexto de Azure AD.
- Selecciona API de terceros como el Tipo de origen.
- Selecciona Contexto organizacional de Azure AD como el Tipo de registro.
- Haz clic en Siguiente.
- Configura los siguientes parámetros de entrada obligatorios:
- ID de cliente de OAUTH: Especifica el ID de cliente que obtuviste antes.
- Secreto del cliente de OAUTH: Especifica el secreto del cliente que obtuviste antes.
- ID de arrendatario: Especifica el ID de arrendatario que obtuviste antes.
- Haz clic en Siguiente y, luego, en Enviar.
Para obtener más información sobre los feeds de Google Security Operations, consulta la documentación de los feeds de Google Security Operations. Para obtener información sobre los requisitos de cada tipo de feed, consulta Configuración de feeds por tipo. Si tienes problemas para crear feeds, comunícate con el equipo de asistencia de Operaciones de seguridad de Google.
Configura feeds desde el Centro de contenido
Especifica valores para los siguientes campos:
- ID de cliente de OAUTH: Especifica el ID de cliente que obtuviste antes.
- Secreto del cliente de OAUTH: Especifica el secreto del cliente que obtuviste antes.
- ID de arrendatario: Especifica el ID de arrendatario que obtuviste antes.
Opciones avanzadas
- Nombre del feed: Es un valor completado previamente que identifica el feed.
- Tipo de fuente: Es el método que se usa para recopilar registros en Google SecOps.
- Espacio de nombres del recurso: Espacio de nombres asociado al feed.
- Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.
Referencia de la asignación de campos
Este código del analizador transforma los registros sin procesar con formato JSON de Azure Active Directory en un modelo de datos unificado (UDM). Extrae información del usuario y del administrador, incluidos atributos, roles, relaciones y etiquetas, a la vez que controla varias incoherencias de datos y enriquece el resultado con campos estandarizados.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
| businessPhones | user.phone_numbers | Se asigna directamente desde el campo businessPhones en el registro sin procesar. Se extraen varios números de teléfono y se asignan como entradas independientes. |
| ciudad | user.personal_address.city | Se asigna directamente desde el campo city en el registro sin procesar. |
| companyName | user.company_name | Se asigna directamente desde el campo companyName en el registro sin procesar. |
| country | user.personal_address.country_or_region | Se asigna directamente desde el campo country en el registro sin procesar. Si country está vacío, el valor se toma de usageLocation. |
| createdDateTime | user.attribute.creation_time | Se convirtió en una marca de tiempo del campo createdDateTime en el registro sin procesar con el formato RFC 3339. |
| departamento | user.department | Se asigna directamente desde el campo department en el registro sin procesar. Se extraen varios departamentos y se asignan como entradas separadas. |
| displayName | user.user_display_name | Se asigna directamente desde el campo displayName en el registro sin procesar. |
| employeeId | user.employee_id | Se asigna directamente desde el campo employeeId en el registro sin procesar. Si employeeId está vacío, el valor se toma de extension_employeeNumber. |
| employeeType | user.attribute.labels.value (clave: employeeType) | Se asigna directamente desde el campo employeeType en el registro sin procesar y se agrega como una etiqueta con la clave employeeType. |
| extension_employeeNumber | user.employee_id | Se asigna a user.employee_id si employeeId está vacío. |
| extension_wfc_AccountType | event.idm.entity.entity.labels.value (clave: wfc_AccountType) | Se asigna directamente desde el campo extension_wfc_AccountType en el registro sin procesar y se agrega como una etiqueta con la clave wfc_AccountType. |
| extension_wfc_AccountingUnitName | event.idm.entity.entity.labels.value (clave: extension_wfc_AccountingUnitName) | Se asigna directamente desde el campo extension_wfc_AccountingUnitName en el registro sin procesar y se agrega como una etiqueta con la clave extension_wfc_AccountingUnitName. |
| extension_wfc_execDescription | event.idm.entity.entity.labels.value (clave: extension_wfc_execDescription) | Se asigna directamente desde el campo extension_wfc_execDescription en el registro sin procesar y se agrega como una etiqueta con la clave extension_wfc_execDescription. |
| extension_wfc_groupDescription | event.idm.entity.entity.labels.value (clave: extension_wfc_groupDescription) | Se asigna directamente desde el campo extension_wfc_groupDescription en el registro sin procesar y se agrega como una etiqueta con la clave extension_wfc_groupDescription. |
| extension_wfc_orgDescription | event.idm.entity.entity.labels.value (clave: extension_wfc_orgDescription) | Se asigna directamente desde el campo extension_wfc_orgDescription en el registro sin procesar y se agrega como una etiqueta con la clave extension_wfc_orgDescription. |
| givenName | user.first_name | Se asigna directamente desde el campo givenName en el registro sin procesar. |
| gopher-devices | event.idm.entity.relations | Cada dispositivo del array gopher-devices se asigna a una entrada de relación independiente. El deviceId se asigna a product_object_id, el operatingSystem y el operatingSystemVersion se combinan para formar el platform_version, el model se asigna directamente y el createdDateTime se convierte en una marca de tiempo y se asigna a created_timestamp. La relación se establece en OWNS y la dirección se establece en UNIDIRECTIONAL. |
| gopher-groups | event.idm.entity.relations | Cada grupo del array gopher-groups se asigna a una entrada de relación independiente. id se asigna a product_object_id y displayName se asigna a group_display_name. La relación se establece en MEMBER y la dirección se establece en UNIDIRECTIONAL. |
| gopher-manager.businessPhones | empmanager.phone_numbers | Se asigna a empmanager.phone_numbers si manager está vacío. |
| gopher-manager.country | empmanager.personal_address.country_or_region | Se asigna a empmanager.personal_address.country_or_region si manager está vacío. Si gopher-manager.country y gopher-manager.usageLocation están vacíos, el campo se deja vacío. |
| gopher-manager.department | empmanager.department | Se asigna a empmanager.department si manager está vacío. |
| gopher-manager.displayName | empmanager.user_display_name | Se asigna a empmanager.user_display_name si manager está vacío. |
| gopher-manager.employeeId | empmanager.employee_id | Se asigna a empmanager.employee_id si manager está vacío y gopher-manager.employeeId no está vacío. |
| gopher-manager.extension_employeeNumber | empmanager.employee_id | Se asigna a empmanager.employee_id si manager y gopher-manager.employeeId están vacíos, y gopher-manager.extension_employeeNumber no está vacío. |
| gopher-manager.givenName | empmanager.first_name | Se asigna a empmanager.first_name si manager está vacío. |
| gopher-manager.id | empmanager.product_object_id | Se asigna a empmanager.product_object_id si manager está vacío. |
| gopher-manager.jobTitle | empmanager.title | Se asigna a empmanager.title si manager está vacío. |
| gopher-manager.mail | empmanager.email_addresses | Se asigna a empmanager.email_addresses si manager está vacío. |
| gopher-manager.onPremisesImmutableId | user.attribute.labels.value (clave: gopher-manager onPremisesImmutableId) | Se asigna como una etiqueta con la clave gopher-manager onPremisesImmutableId. |
| gopher-manager.onPremisesSamAccountName | empmanager.userid | Se asigna a empmanager.userid si manager está vacío. |
| gopher-manager.onPremisesSecurityIdentifier | empmanager.windows_sid | Se asigna a empmanager.windows_sid si manager está vacío. |
| gopher-manager.proxyAddresses | empmanager.email_addresses, empmanager.group_identifiers | Si manager está vacío, cada dirección del array gopher-manager.proxyAddresses se asigna a empmanager.email_addresses o empmanager.group_identifiers según si comienza con "smtp" o "SMTP". |
| gopher-manager.refreshTokensValidFromDateTime | empmanager.attribute.labels.value (clave: refreshTokensValidFromDateTime) | Se asigna como una etiqueta con la clave refreshTokensValidFromDateTime si manager está vacío. |
| gopher-manager.streetAddress | empmanager.personal_address.name | Se asigna a empmanager.personal_address.name si manager está vacío. |
| gopher-manager.surname | empmanager.last_name | Se asigna a empmanager.last_name si manager está vacío. |
| gopher-manager.usageLocation | user.attribute.labels.value (clave: manager_src_usageLocation) | Se asigna como una etiqueta con la clave manager_src_usageLocation. |
| gopher-manager.userType | empmanager.attribute.roles.name | Se asigna a empmanager.attribute.roles.name si manager está vacío. |
| id | user.product_object_id | Se asigna directamente desde el campo id en el registro sin procesar. |
| identities | user.attribute.labels.value (clave: signInType), user.attribute.labels.value (clave: userPrincipalName) | El signInType se asigna como una etiqueta con la clave signInType. Si signInType y userPrincipalName no están vacíos, se combinan y se asignan como una etiqueta con la clave userPrincipalName. |
| jobTitle | user.title | Se asigna directamente desde el campo jobTitle en el registro sin procesar. |
| user.email_addresses | Se asigna directamente desde el campo mail en el registro sin procesar. Si mail comienza con "svc-", user_role.type se establece en SERVICE_ACCOUNT. |
|
| mailNickname | user.attribute.labels.value (clave: mailNickname) | Se asigna directamente desde el campo mailNickname en el registro sin procesar y se agrega como una etiqueta con la clave mailNickname. |
| manager.businessPhones | empmanager.phone_numbers | Se asigna a empmanager.phone_numbers si gopher-manager está vacío. |
| manager.city | empmanager.personal_address.city | Se asigna a empmanager.personal_address.city si gopher-manager está vacío. |
| manager.companyName | empmanager.company_name | Se asigna a empmanager.company_name si gopher-manager está vacío. |
| manager.country | empmanager.personal_address.country_or_region | Se asigna a empmanager.personal_address.country_or_region si gopher-manager está vacío. Si manager.country y manager.usageLocation están vacíos, el campo se deja vacío. |
| manager.department | empmanager.department | Se asigna a empmanager.department si gopher-manager está vacío. |
| manager.displayName | empmanager.user_display_name | Se asigna a empmanager.user_display_name si gopher-manager está vacío. |
| manager.employeeId | empmanager.employee_id | Se asigna a empmanager.employee_id si gopher-manager está vacío y manager.employeeId no está vacío. |
| manager.extension_employeeNumber | empmanager.employee_id | Se asigna a empmanager.employee_id si gopher-manager y manager.employeeId están vacíos, y manager.extension_employeeNumber no está vacío. |
| manager.givenName | empmanager.first_name | Se asigna a empmanager.first_name si gopher-manager está vacío. |
| manager.id | empmanager.product_object_id | Se asigna a empmanager.product_object_id si gopher-manager está vacío. |
| manager.jobTitle | empmanager.title | Se asigna a empmanager.title si gopher-manager está vacío. |
| manager.mail | empmanager.email_addresses | Se asigna a empmanager.email_addresses si gopher-manager está vacío. |
| manager.onPremisesSamAccountName | empmanager.userid | Se asigna a empmanager.userid si gopher-manager está vacío. |
| manager.onPremisesSecurityIdentifier | empmanager.windows_sid | Se asigna a empmanager.windows_sid si gopher-manager está vacío. |
| manager.proxyAddresses | empmanager.email_addresses, empmanager.group_identifiers | Si gopher-manager está vacío, cada dirección del array manager.proxyAddresses se asigna a empmanager.email_addresses o empmanager.group_identifiers según si comienza con "smtp" o "SMTP". |
| manager.refreshTokensValidFromDateTime | empmanager.attribute.labels.value (clave: refreshTokensValidFromDateTime) | Se asigna como una etiqueta con la clave refreshTokensValidFromDateTime si gopher-manager está vacío. |
| manager.state | empmanager.personal_address.state | Se asigna a empmanager.personal_address.state si gopher-manager está vacío. |
| manager.streetAddress | empmanager.personal_address.name | Se asigna a empmanager.personal_address.name si gopher-manager está vacío. |
| manager.surname | empmanager.last_name | Se asigna a empmanager.last_name si gopher-manager está vacío. |
| manager.usageLocation | user.attribute.labels.value (clave: manager_src_usageLocation), empmanager.personal_address.country_or_region | Se asigna como una etiqueta con la clave manager_src_usageLocation. Si manager.country está vacío, el valor también se asigna a empmanager.personal_address.country_or_region. |
| manager.userType | empmanager.attribute.roles.name | Se asigna a empmanager.attribute.roles.name si gopher-manager está vacío. |
| onPremisesDistinguishedName | user.attribute.labels.value (clave: onPremisesDistinguishedName), user.attribute.labels.value (clave: onPremisesDistinguishedName-datos de la UO) | El nombre completo distintivo se asigna como una etiqueta con la clave onPremisesDistinguishedName. La parte de la UO del nombre distinguido se extrae y se asigna como una etiqueta con la clave onPremisesDistinguishedName-OU data. Si la parte de la UO contiene "Admin", user_role.type se establece en ADMINISTRATOR. Si contiene "Cuentas de servicio", user_role.type se establece en SERVICE_ACCOUNT. |
| onPremisesDomainName | user.group_identifiers, user.attribute.labels.value (clave: onPremisesDomainName) | Se asigna directamente a user.group_identifiers y se agrega como una etiqueta con la clave onPremisesDomainName. |
| onPremisesImmutableId | user.attribute.labels.value (clave: onPremisesImmutableId) | Se asigna directamente desde el campo onPremisesImmutableId en el registro sin procesar y se agrega como una etiqueta con la clave onPremisesImmutableId. |
| onPremisesSamAccountName | user.userid, user.attribute.labels.value (clave: onPremisesSamAccountName) | Se asigna a user.userid si sAMAccountName está vacío. También se agregó como una etiqueta con la clave onPremisesSamAccountName. |
| onPremisesSecurityIdentifier | user.windows_sid | Se asigna directamente desde el campo onPremisesSecurityIdentifier en el registro sin procesar. |
| proxyAddresses | user.email_addresses, user.group_identifiers | Cada dirección del array proxyAddresses se asigna a user.email_addresses o user.group_identifiers según si comienza con "smtp" o "SMTP". Si la dirección comienza con "smtp" o "SMTP", se quita el prefijo "smtp:" o "SMTP:", y se extrae la dirección de correo electrónico restante y se asigna a user.email_addresses. |
| refreshTokensValidFromDateTime | user.attribute.labels.value (clave: refreshTokensValidFromDateTime) | Se asigna directamente desde el campo refreshTokensValidFromDateTime en el registro sin procesar y se agrega como una etiqueta con la clave refreshTokensValidFromDateTime. |
| sAMAccountName | user.userid | Se asigna directamente desde el campo sAMAccountName en el registro sin procesar. |
| state | user.personal_address.state | Se asigna directamente desde el campo state en el registro sin procesar. |
| streetAddress | user.personal_address.name | Se asigna directamente desde el campo streetAddress en el registro sin procesar. |
| apellido | user.last_name | Se asigna directamente desde el campo surname en el registro sin procesar. |
| usageLocation | user.personal_address.country_or_region | Si country está vacío, el valor se asigna a user.personal_address.country_or_region. |
| userPrincipalName | user.email_addresses | Se asigna directamente desde el campo userPrincipalName en el registro sin procesar. Si userPrincipalName comienza con "svc-", user_role.type se establece en SERVICE_ACCOUNT. |
| userType | user.attribute.roles.name | Se asigna directamente desde el campo userType en el registro sin procesar y se agrega a user.attribute.roles.name. |
| Lógica del analizador | Asignación de UDM | Lógica |
| N/A | event.idm.entity.metadata.vendor_name | Se establece en "Microsoft". |
| N/A | event.idm.entity.metadata.product_name | Se establece en "Azure Active Directory". |
| N/A | event.idm.entity.metadata.entity_type | Se establece en "USER". |
| N/A | event.idm.entity.metadata.collected_timestamp | Se establece en el campo create_time del registro sin procesar. |
| accountEnabled | user.user_authentication_status, user.attribute.labels.value (clave: accountEnabled) | Si accountEnabled es verdadero, user.user_authentication_status se establece en "ACTIVE" y se agrega una etiqueta con la clave accountEnabled y el valor "true". De lo contrario, se agrega una etiqueta con la clave accountEnabled y el valor "false". |
| empmanager-src.accountEnabled | user.user_authentication_status, user.attribute.labels.value (clave: accountEnabled) | Si manager está vacío y empmanager-src.accountEnabled es "true", user.user_authentication_status se establece en "ACTIVE" y se agrega una etiqueta con la clave accountEnabled y el valor "true". De lo contrario, se agrega una etiqueta con la clave accountEnabled y el valor "false". |
| onPremisesDistinguishedName | user_role.type | Si la parte de la UO del nombre distinguido contiene "Admin", user_role.type se establece en ADMINISTRATOR. Si contiene "Cuentas de servicio", user_role.type se establece en SERVICE_ACCOUNT. |
| userPrincipalName | user_role.type | Si userPrincipalName comienza con "svc-", user_role.type se establece en SERVICE_ACCOUNT. |
| empmanager-src.onPremisesDistinguishedName | manager_role.type | Si gopher-manager está vacío y la parte de la UO del nombre distinguido del administrador contiene "Users", manager_role.type se establece en ADMINISTRATOR. Si contiene "Cuentas de servicio", manager_role.type se establece en SERVICE_ACCOUNT. |
| empmanager-src.userPrincipalName | manager_role.type | Si gopher-manager está vacío y empmanager-src.userPrincipalName comienza con "svc-", manager_role.type se establece en SERVICE_ACCOUNT. |
| user_role.type | Si mail comienza con "svc-", user_role.type se establece en SERVICE_ACCOUNT. |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.