Integra Microsoft Entra ID con Google SecOps

En este documento, se proporciona orientación para integrar Microsoft Entra ID en Google Security Operations (Google SecOps).

Versión de integración: 18.0

Esta integración usa uno o más componentes de código abierto. Puedes descargar una copia comprimida del código fuente completo de esta integración desde el bucket de Cloud Storage.

Casos de uso

La integración de Microsoft Entra ID con Google SecOps puede ayudarte a resolver los siguientes casos de uso:

• Administración de cuentas de usuario: Usa las capacidades de SecOps de Google para automatizar la inhabilitación y habilitación de cuentas de usuario en Microsoft Entra ID en función de eventos de seguridad, como sospechas de vulneración o desvinculación de empleados.

• Restablecimiento de contraseñas: Usa las capacidades de SecOps de Google para coordinar el restablecimiento de contraseñas de cuentas comprometidas o usuarios que no pueden acceder a sus cuentas. Restablecer contraseñas puede ayudarte a optimizar el proceso de recuperación de contraseñas y reducir los tickets de asistencia técnica.

• Administración de grupos: Usa las capacidades de Google SecOps para automatizar la creación, modificación y eliminación de grupos de Microsoft Entra ID.

• Aplicación de políticas de acceso condicional: Usa las políticas de acceso condicional de Microsoft Entra ID en los manuales de Google SecOps para controlar el acceso de forma dinámica según el contexto y permitir un control detallado del acceso a los recursos en función de factores como la ubicación, el dispositivo y el riesgo del usuario.

• Alertas de seguridad y respuesta ante incidentes: Integra las alertas de seguridad de Microsoft Entra ID en Google SecOps para automatizar los flujos de trabajo de respuesta ante incidentes.

Antes de comenzar

Antes de configurar la integración en la plataforma de SecOps de Google, completa los siguientes pasos:

1. Configura el acceso a la red.

2. Crea la app de Microsoft Entra.

3. Configura los permisos de la API para tu app.

4. Crea un secreto del cliente.

Configurar el acceso a la red

Para habilitar el acceso a la API de Google SecOps a Microsoft Entra ID, permite el tráfico a través del puerto 443.

Crea una aplicación de Microsoft Entra

1. Accede al portal de Azure como administrador de usuarios o administrador de contraseñas.

2. Selecciona Microsoft Entra ID.

3. Ve a Registros de aplicaciones > Nuevo registro.

4. Ingresa el nombre de la aplicación.

5. Haz clic en Registrar.

6. Guarda los valores del ID de la aplicación (cliente) y el ID del directorio (inquilino) para usarlos más adelante cuando configures los parámetros de integración.

Configura los permisos de API

1. Ve a Permisos de API > Agregar un permiso.

2. Selecciona Microsoft Graph > Permisos de aplicación.

3. En la sección Seleccionar permisos, selecciona los siguientes permisos:

   • Directory.Read.All
   • Directory.ReadWrite.All
   • Group.ReadWrite.All

   • User.ReadWrite.All

     Estos permisos no son suficientes para ejecutar las acciones relacionadas con la contraseña. Para ejecutar las acciones Force Password Update y Reset User Password, asigna el rol de administrador de contraseñas a tu aplicación con la búsqueda Roles and administrators en Microsoft Entra ID.

     Para obtener más detalles sobre los permisos, consulta la referencia de permisos de Microsoft Graph y las acciones sensibles.

4. Haz clic en Agregar permisos.

5. Haz clic en Otorgar consentimiento del administrador para YOUR_ORGANIZATION_NAME.

   Cuando aparezca el diálogo Confirmación de consentimiento del administrador, haz clic en Sí.

Crea un secreto del cliente

1. Navega a Certificados y secretos > Nuevo secreto del cliente.

2. Proporciona una descripción para un secreto del cliente y establece su fecha límite de vencimiento.

3. Haz clic en Agregar.

4. Guarda el valor del secreto del cliente (no el ID del secreto) para usarlo como el valor del parámetro Client Secret cuando configures la integración. El valor del secreto del cliente solo se muestra una vez.

Integra Microsoft Entra ID con Google SecOps

La integración de Microsoft Entra ID requiere los siguientes parámetros:

Si quieres obtener instrucciones para configurar una integración en Google SecOps, consulta Configura integraciones.

Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en las guías. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Compatibilidad con varias instancias.

Acciones

Para obtener más información sobre las acciones, consulta Cómo responder a las acciones pendientes desde tu estación de trabajo y Cómo realizar una acción manual.

Cómo agregar un usuario a un grupo

Usa la acción Agregar usuario a un grupo para agregar un usuario al grupo específico de Microsoft Entra ID. Esta acción espera que configures la entidad User en el formato username@domain.

Esta acción se ejecuta en la entidad User de Google SecOps.

Entradas de acción

La acción Add User to a Group requiere los siguientes parámetros:

Resultados de la acción

La acción Add User to a Group proporciona los siguientes resultados:

Mensajes de salida

La acción Add User to a Group puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Add User to a Group:

Inhabilitar cuenta

Usa la acción Disable Account para inhabilitar una cuenta en Microsoft Entra ID. Esta acción espera que configures la entidad User en el formato username@domain.

Para ejecutar la acción Disable Account, otorga privilegios de administrador a la cuenta de Microsoft Entra ID que usas en la integración.

Esta acción se ejecuta en la entidad User de Google SecOps.

Configura permisos adicionales

La acción Disable Account requiere que configures adicionalmente el siguiente permiso de la API para la aplicación:

• User.EnableDisableAccount.All

Para obtener orientación sobre cómo configurar los permisos de la API en Microsoft Entra ID, consulta la sección Configura los permisos de la API de este documento.

Entradas de acción

Ninguno

Resultados de la acción

La acción Disable Account proporciona los siguientes resultados:

Mensajes de salida

La acción Disable Account puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Disable Account:

Habilitar cuenta

Usa la acción Habilitar cuenta para habilitar una cuenta en Microsoft Entra ID. Esta acción espera que configures la entidad User en el formato username@domain.

Esta acción se ejecuta en la entidad User de Google SecOps.

Configura permisos adicionales

La acción Enable Account requiere que configures adicionalmente el siguiente permiso de la API para la aplicación:

• User.EnableDisableAccount.All

Para obtener orientación sobre cómo configurar los permisos de la API en Microsoft Entra ID, consulta la sección Configura los permisos de la API de este documento.

Entradas de acción

Ninguno

Resultados de la acción

La acción Enable Account proporciona los siguientes resultados:

Mensajes de salida

La acción Enable Account puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Enable Account:

Host de enriquecimiento

Usa la acción Enrich Host para enriquecer la entidad Host de Google SecOps con información del ID de Microsoft Entra. Esta acción busca una coincidencia para una entidad Host proporcionada usando el campo displayName en el dispositivo en Microsoft Entra ID.

Esta acción se ejecuta en la entidad Host de Google SecOps.

Entradas de acción

Ninguno

Resultados de la acción

La acción Enrich Host proporciona los siguientes resultados:

Tabla de enriquecimiento de entidades

La acción Enrich Host admite el siguiente enriquecimiento de entidades:

Resultado de JSON

En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Enrich Host:

[
    {
        "EntityResult": {
            "deletedDateTime": "1234569",
            "complianceExpirationDateTime": "1234567",
            "profileType": "RegisteredDevice",
            "key": "007",
            "if":"889922-aaaa-123123"
        },
        "Entity": "us-lt-v13001"
    }
]

Mensajes de salida

La acción Enrich Host puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Enrich Host:

Enriquece al usuario

Usa la acción Enrich User para enriquecer la entidad User de Google SecOps con información del ID de Microsoft Entra. Esta acción espera que configures la entidad User en el formato username@domain.

Esta acción se ejecuta en la entidad Host de Google SecOps.

Entradas de acción

Ninguno

Resultados de la acción

La acción Enrich User proporciona los siguientes resultados:

Tabla de enriquecimiento de entidades

La acción Enrich User admite el siguiente enriquecimiento de entidades:

Resultado de JSON

En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Enrich User:

[
    {
        "EntityResult": {
            "displayName": "Test User",
            "mobilePhone": "(800) 555-0175",
            "preferredLanguage": "English",
            "jobTitle": "Engineer",
            "userPrincipalName":"ser@example.com"
        },
        "Entity": "user@example.com"
    }
]

Mensajes de salida

La acción Enrich User puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Enrich User:

Forzar actualización de contraseña

Usa la acción Forzar actualización de contraseña para forzar una actualización de contraseña para el usuario. Esta acción requiere que el usuario cambie su contraseña en el próximo intento de acceso.

La acción Force Password Update espera que configures la entidad User en el formato username@domain.

Esta acción se ejecuta en la entidad User de Google SecOps.

Configura permisos adicionales

La acción Force Password Update requiere que configures adicionalmente el siguiente permiso de API para la aplicación:

• User-PasswordProfile.ReadWrite.All

Para obtener orientación sobre cómo configurar los permisos de la API en Microsoft Entra ID, consulta la sección Configura los permisos de la API de este documento.

Asigna un rol a tu aplicación

La acción Force Password Update requiere que asignes el rol Password Administrator a tu aplicación.

Para asignar el rol de Password Administrator a tu aplicación, completa los siguientes pasos:

1. Accede al portal de Azure con tu cuenta de Microsoft.
2. En Microsoft Entra ID, busca Roles and administrators.
3. Selecciona o busca el rol Password Administrator en la lista.
4. Haz clic en Agregar tarea.
5. Selecciona una cuenta (miembro) que uses en la integración y haz clic en Siguiente.
6. Ingresa la justificación para asignar un rol.
7. Haz clic en Asignar.

Entradas de acción

Ninguno

Resultados de la acción

La acción Force Password Update proporciona los siguientes resultados:

Mensajes de salida

La acción Force Password Update puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Force Password Update:

Obtén los detalles de contacto del administrador

Usa la acción Get Manager Contact Details para obtener los detalles de contacto del administrador del usuario.

La acción Get Manager Contact Details espera que configures la entidad User en el formato username@domain.

Esta acción se ejecuta en la entidad User de Google SecOps.

Entradas de acción

Ninguno

Resultados de la acción

La acción Get Manager Contact Details proporciona los siguientes resultados:

Tabla del muro de casos

La acción Get Manager Contact Details puede devolver la siguiente tabla en Google SecOps:

Nombre de la tabla: Manager contact

Columnas:

• Nombre
• Número de teléfono

Tabla de enriquecimiento de entidades

La acción Get Manager Contact Details admite el siguiente enriquecimiento de entidades:

Resultado de JSON

En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Get Manager Contact Details:

[
    {
        "EntityResult":
        {
            "displayName": "manager@example.com",
            "mobilePhone": "(800) 555-0175",
            "@odata.context": "graph.microsoft.com"
        },
        "Entity": "user@example.com"
    }
]

Mensajes de salida

La acción Get Manager Contact Details puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Get Manager Contact Details:

Is User in Group

Usa la acción Is User in Group para verificar si el usuario es miembro de un grupo específico de Microsoft Entra ID. Esta acción espera que configures la entidad User en el formato username@domain.

Esta acción se ejecuta en la entidad User de Google SecOps.

Entradas de acción

La acción Is User in Group requiere los siguientes parámetros:

Resultados de la acción

La acción Is User in Group proporciona los siguientes resultados:

Resultado de JSON

En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Is User in Group:

[
    {
        "EntityResult": "true",
        "Entity": "user@example.com"
    }
]

Mensajes de salida

La acción Is User in Group puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Is User in Group:

Enumerar grupos

Usa la acción List Groups para enumerar los grupos de Microsoft Entra ID con los criterios de búsqueda especificados.

En el caso de la acción List Groups, el filtrado funciona con el campo Name.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción List Groups requiere los siguientes parámetros:

Resultados de la acción

La acción List Groups proporciona los siguientes resultados:

Tabla del muro de casos

La acción List Groups puede devolver la siguiente tabla en Google SecOps:

Nombre de la tabla: Groups

Columnas:

• Nombre
• ID
• Descripción
• Correo electrónico
• Hora de creación
• Group Type

Tabla de enriquecimiento de entidades

La acción List Groups admite el siguiente enriquecimiento de entidades:

Resultado de JSON

En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción List Groups:

[
    {
        "Group Type": "managed",
        "Id": "ID",
        "Name": "Example",
        "Description": "Example",
        "Created Time":"2019-10-24T19:10:18Z"
    }
]

Mensajes de salida

La acción List Groups puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción List Groups:

Enumera los miembros del grupo

Usa la acción List Members in the Group para enumerar los miembros del grupo de Microsoft Entra ID especificado.

La lógica de filtrado funciona según el valor del parámetro Filter Key.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción List Members in the Group requiere los siguientes parámetros:

Resultados de la acción

La acción List Members in the Group proporciona los siguientes resultados:

Tabla del muro de casos

La acción List Members in the Group puede devolver la siguiente tabla en Google SecOps:

Nombre de la tabla: Miembros disponibles del grupo

Columnas:

• ID
• Nombre principal del usuario
• Nombre visible
• Apellido
• Nombre
• Correo electrónico
• Cargo
• Teléfonos comerciales
• Teléfono celular
• Ubicación de la oficina
• Idioma preferido

Resultado de JSON

En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción List Members in the Group:

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(Edm.String)",
    "value": [
        "ID",
        "ID",
        "ID",
    ]
}

Mensajes de salida

La acción List Members in the Group puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción List Members in the Group:

Enumera la membresía de grupos del usuario

Usa la acción List User's Groups Membership para enumerar los grupos de Microsoft Entra ID a los que pertenece el usuario.

Puedes proporcionar el nombre de usuario como una entidad o un parámetro de entrada de acción. Si configuras el nombre de usuario como la entidad y el parámetro de entrada, la acción usa el parámetro de entrada.

Para configurar el nombre de usuario, sigue el formato username@domain.

Esta acción se ejecuta en la entidad Username de Google SecOps.

Entradas de acción

La acción List User's Groups Membership requiere los siguientes parámetros:

Resultados de la acción

La acción List User's Groups Membership proporciona los siguientes resultados:

Tabla del muro de casos

La acción List User's Groups Membership puede devolver la siguiente tabla en Google SecOps:

Nombre de la tabla: Group Memberships

Columnas:

• ID
• Nombre visible
• Descripción
• Seguridad habilitada
• Identificador de seguridad
• Fecha y hora de creación
• Clasificación
• Visibilidad
• Correo electrónico
• Habilitado para correo electrónico
• Sobrenombre de correo

Resultado de JSON

En el siguiente ejemplo, se muestra el resultado en JSON que se recibe cuando se usa la acción List User's Groups Membership:

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(Edm.String)",
    "value": [
        "ID",
        "ID",
        "ID",
    ]
}

Mensajes de salida

La acción List User's Groups Membership puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción List User's Groups Membership:

Enumerar usuarios

Usa la acción List Users para enumerar los usuarios de Microsoft Entra ID con los criterios de búsqueda especificados.

En la acción List Users, el filtrado funciona con el campo Username (userPrincipalName).

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción List Users requiere los siguientes parámetros:

Resultados de la acción

La acción List Users proporciona los siguientes resultados:

Tabla del muro de casos

La acción List Users puede devolver la siguiente tabla en Google SecOps:

Nombre de la tabla: Users

Columnas:

• Nombre
• Nombre de usuario
• ID
• Nombre
• Idioma preferido
• Correo electrónico
• Teléfono celular
• Apellido
• Cargo

Tabla de enriquecimiento de entidades

La acción List Users admite el siguiente enriquecimiento de entidades:

Resultado de JSON

En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción List Users:

[
    {
        "Group Type": "managed",
        "Id": "ID",
        "Name": "Example",
        "Description": "Example",
        "Created Time":"2019-10-24T19:10:18Z"
    }
]

Mensajes de salida

La acción List Users puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción List Users:

Ping

Usa la acción Ping para probar la conectividad a Microsoft Entra ID.

Esta acción se ejecuta en todas las entidades de SecOps de Google.

Entradas de acción

Ninguno

Resultados de la acción

La acción Ping proporciona los siguientes resultados:

Mensajes de salida

La acción Ping puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Ping:

Cómo quitar un usuario del grupo

Usa la acción Remove User from the Group para quitar un usuario del grupo especificado en Microsoft Entra ID.

Puedes proporcionar el nombre de usuario como una entidad o un parámetro de entrada de acción. Si configuras el nombre de usuario como la entidad y el parámetro de entrada, la acción usa el parámetro de entrada.

Para configurar el nombre de usuario, sigue el formato username@domain.

Esta acción se ejecuta en la entidad Username de Google SecOps.

Entradas de acción

La acción Remove User from the Group requiere los siguientes parámetros:

Resultados de la acción

La acción Remove User from the Group proporciona los siguientes resultados:

Mensajes de salida

La acción Remove User from the Group puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Remove User from the Group:

Restablecer la contraseña del usuario

Usa la acción Restablecer contraseña de usuario para restablecer la contraseña del usuario a la que especifiques en la acción. Esta acción requiere que el usuario cambie su contraseña en el próximo intento de acceso.

La acción Reset User Password espera que configures la entidad User en el formato username@domain.

Esta acción se ejecuta en la entidad User de Google SecOps.

Asigna un rol a tu aplicación

La acción Reset User Password requiere que asignes el rol Password Administrator a tu aplicación.

Para asignar el rol de Password Administrator a tu aplicación, completa los siguientes pasos:

1. Accede al portal de Azure con tu cuenta de Microsoft.
2. En Microsoft Entra ID, busca Roles and administrators.
3. Selecciona o busca el rol Password Administrator en la lista.
4. Haz clic en Agregar tarea.
5. Selecciona una cuenta (miembro) que uses en la integración y haz clic en Siguiente.
6. Ingresa la justificación para asignar un rol.
7. Haz clic en Asignar.

Entradas de acción

La acción Reset User Password requiere los siguientes parámetros:

Resultados de la acción

La acción Restablecer la contraseña del usuario proporciona los siguientes resultados:

Mensajes de salida

La acción Reset User Password puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Reset User Password:

Revocar la sesión del usuario

Usa la acción Revoke User Session para revocar una sesión de usuario.

Esta acción se ejecuta en las siguientes entidades de Google SecOps:

• Username
• Email Address

Entradas de acción

Ninguno

Resultados de la acción

La acción Revoke User Session proporciona los siguientes resultados:

Resultado de JSON

En los siguientes ejemplos, se muestran los resultados de salida en formato JSON que se reciben cuando se usa la acción Revoke User Session:

• Si el usuario existe, haz lo siguiente:

  {
      "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Edm.Boolean",
      "value": true
  }
  

• Si no se encuentra al usuario, haz lo siguiente:

  {
      "error": "User not found."
  }
  

Mensajes de salida

La acción Revoke User Session puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Revoke User Session:

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.