Autenticación de cuadernos de estrategias en Microsoft Sentinel
Los cuadernos de estrategias de Microsoft Sentinel se basan en flujos de trabajo integrados en Azure Logic Apps, un servicio en la nube que le ayuda a programar, automatizar y organizar tareas y flujos de trabajo en todos los sistemas de toda la empresa.
Azure Logic Apps debe conectarse por separado y autenticarse de forma independiente en cada recurso, de cada tipo, con el que interactúa, incluido el propio Microsoft Sentinel. Logic Apps usa conectores especializados con este fin, teniendo cada tipo de recurso su propio conector.
En este artículo se describen los tipos de conexiones y autenticación compatibles con el conector de Microsoft Sentinel para Logic Apps. Los cuadernos de estrategias pueden usar métodos de autenticación compatibles para interactuar con Microsoft Sentinel y acceder a los datos de Microsoft Sentinel.
Requisitos previos
Se recomienda leer primero los artículos siguientes antes de empezar con este:
- Automatización de la respuesta a amenazas con cuadernos de estrategias de Microsoft Sentinel
- Creación y administración de cuadernos de estrategias de Microsoft Sentinel
- Cuadernos de estrategias de Azure Logic Apps para Microsoft Sentinel
- Desencadenadores y acciones admitidos en cuadernos de estrategias de Microsoft Sentinel
Para conceder a una identidad administrada acceso a otros recursos, como el área de trabajo de Microsoft Sentinel, el usuario que ha iniciado sesión debe tener un rol con permisos para escribir asignaciones de roles, como Propietario o Administrador de acceso de usuario del área de trabajo de Microsoft Sentinel.
Autenticación
El conector de Microsoft Sentinel en Logic Apps y sus acciones y desencadenadores de componentes pueden funcionar en nombre de cualquier identidad que tenga los permisos necesarios (lectura y/o escritura) o el área de trabajo pertinente. El conector admite varios tipos de identidad:
- Identidad administrada (versión preliminar). Por ejemplo, usa este método para reducir el número de identidades que necesitas administrar.
- Entidad de servicio (aplicación Microsoft Entra). Las aplicaciones registradas proporcionan una capacidad mejorada para controlar los permisos, administrar credenciales y habilitar ciertas limitaciones en el uso del conector.
- Usuario de Microsoft Entra
Permisos requeridos
Independientemente del método de autenticación, la identidad autenticada requiere los siguientes permisos para usar varios componentes del conector de Microsoft Sentinel. Las acciones de "escritura" incluyen acciones como, por ejemplo, actualizar incidentes o agregar un comentario.
| Roles | Usar desencadenadores | Uso de acciones de "lectura" | Uso de acciones de "escritura" |
|---|---|---|---|
| Lector de Microsoft Sentinel | ✓ | ✓ | - |
| Microsoft Sentinel Respondedor/Colaborador | ✓ | ✓ | ✓ |
Para obtener más información, consulta Roles y permisos en Microsoft Sentinel y Requisitos previos del cuaderno de estrategias de Microsoft Sentinel.
Autenticación con una identidad administrada
La autenticación como identidad administrada permite conceder permisos directamente al cuaderno de estrategias, que es un recurso de flujo de trabajo de Logic Apps. Las acciones del conector de Microsoft Sentinel que realiza el cuaderno de estrategias funcionan en nombre del cuaderno de estrategias, como si fuera un objeto independiente con sus propios permisos en Microsoft Sentinel.
Para autenticar una identidad administrada:
Habilite la identidad administrada en el recurso de flujo de trabajo de Logic Apps. Para obtener más información, consulta Habilitación de la identidad asignada por el sistema en Azure Portal.
Ahora, la aplicación lógica puede usar la identidad asignada por el sistema, que se registra con Microsoft Entra ID y se representa mediante un identificador de objeto.
Sigue estos pasos para conceder esa identidad con acceso al área de trabajo de Microsoft Sentinel:
En el menú de navegación de Microsoft Sentinel, seleccione Configuración.
Seleccione la pestaña Configuración del área de trabajo. En el menú del área de trabajo, seleccione Control de acceso (IAM) .
En la parte superior, seleccione Agregar y elija Agregar asignación de roles. Si la opción Agregar asignación de roles está deshabilitada, no tiene permisos para asignar roles.
En el nuevo panel que aparece, asigne el rol adecuado:
- Respondedor de Microsoft Sentinel: el cuaderno de estrategias tiene pasos que actualizan incidentes o listas de reproducción.
- Lector de Microsoft Sentinel: el cuaderno de estrategias solo recibe incidentes.
En Asignar acceso a, selecciona Aplicación lógica.
Selecciona la suscripción a la que pertenece el cuaderno de estrategias y luego el nombre del cuaderno de estrategias.
Seleccione Guardar.
Para obtener más información, consulta Concesión de acceso de identidad a los recursos.
Habilite el método de autenticación de identidad administrada en el conector de Logic Apps de Microsoft Sentinel:
En el diseñador de Logic Apps, agregue un paso del conector de Logic Apps de Microsoft Sentinel. Si el conector ya está habilitado para una conexión existente, seleccione el vínculo Cambiar conexión. Por ejemplo:
En la lista resultante de conexiones, selecciona Agregar nueva.
Cree una nueva conexión seleccionando Conectar con la identidad administrada (versión preliminar) . Por ejemplo:
Escribe un nombre para esta conexión, selecciona Identidad administrada asignada por el sistema y luego Crear.
Seleccione Crear para terminar de crear la conexión.
Autenticación como entidad de servicio (aplicación Microsoft Entra)
Para crear una entidad de servicio, registra una aplicación de Microsoft Entra. Se recomienda usar una aplicación registrada como identidad del conector en lugar de una cuenta de usuario.
Para usar tu propia aplicación con el conector de Microsoft Sentinel, haz lo siguiente:
Registre la aplicación con Microsoft Entra ID y cree una entidad de servicio. Para más información, consulte Creación de una aplicación de Microsoft Entra y una entidad de servicio con acceso a los recursos.
Obtén las credenciales para usarlas en futuras autenticaciones. En la página Aplicación registrada, obtenga las credenciales de la aplicación para iniciar sesión:
- Id. de cliente, en Información general
- Secreto de cliente, en Certificados y secretos
Concede a la aplicación permisos para trabajar con el área de trabajo de Microsoft Sentinel:
En el área de trabajo de Microsoft Sentinel, vaya a Configuración>Configuración del área de trabajo>Control de acceso (IAM)
Selecciona Agregar asignación de roles y luego el rol que quieres asignar a la aplicación.
Por ejemplo, para permitir que la aplicación realice acciones que supongan cambios en el área de trabajo de Microsoft Sentinel, como actualizar un incidente, selecciona el rol Colaborador de Microsoft Sentinel. Para acciones que solo leen datos, el rol Lector de Microsoft Sentinel es suficiente.
Busca la aplicación necesaria y guarda tus cambios.
De manera predeterminada, las aplicaciones de Microsoft Entra no se muestran en las opciones disponibles. Para encontrar la aplicación, busque el nombre y selecciónelo.
Usa las credenciales de la aplicación para autenticarte en el conector de Microsoft Sentinel en Logic Apps.
En el diseñador de Logic Apps, agregue un paso del conector de Logic Apps de Microsoft Sentinel.
Si el conector ya está habilitado para una conexión existente, seleccione el vínculo Cambiar conexión. Por ejemplo:
En la lista resultante de conexiones, selecciona Agregar nueva y, después, Conectar con la entidad de servicio. Por ejemplo:
Escribe los valores de parámetro necesarios, que están disponibles en la página de detalles de la aplicación registrada:
- Inquilino: en Información general
- Id. de cliente: en Información general
- Secreto de cliente: en Certificados y secretos
Por ejemplo:
Seleccione Crear para terminar de crear la conexión.
Autenticación como usuario de Microsoft Entra
Para establecer una conexión como usuario de Microsoft Entra, haz lo siguiente:
En el diseñador de Logic Apps, agregue un paso del conector de Logic Apps de Microsoft Sentinel. Si el conector ya está habilitado para una conexión existente, seleccione el vínculo Cambiar conexión. Por ejemplo:
En la lista resultante de conexiones, selecciona Agregar nueva y luego Iniciar sesión.
Escribe las credenciales cuando se te soliciten y sigue las instrucciones restantes en la pantalla para crear una conexión.
Visualización y edición de conexiones de API de cuadernos de estrategias
Las conexiones de API se usan para conectar Azure Logic Apps a otros servicios, incluido Microsoft Sentinel. Cada vez que se realiza una nueva autenticación para un conector en Azure Logic Apps, se crea un recurso de conexión de API, que contiene los detalles proporcionados al configurar el acceso al servicio. Se puede usar la misma conexión de API en todos los desencadenadores y las acciones de Microsoft Sentinel del mismo grupo de recursos.
Para ver las conexiones de API, realiza una de las siguientes acciones:
En Azure Portal, busca Conexiones de API. Busca la conexión de API para el cuaderno de estrategias mediante los datos siguientes:
- Nombre para mostrar: el nombre descriptivo que se asigna a la conexión cada vez que se crea una.
- Estado: estado de la conexión de API.
- Grupo de recursos: las conexiones de API para cuadernos de estrategias de Microsoft se crean en el grupo de recursos del recurso del cuaderno de estrategias (Azure Logic Apps).
En Azure Portal, visualiza todos los recursos y filtra la vista por Tipo = Conector de API. Este método permite seleccionar, etiquetar y eliminar varias conexiones a la vez.
Para cambiar la autorización de una conexión existente, escribe el recurso de conexión y selecciona Editar conexión de API.
Contenido relacionado
Para más información, vea: