Autenticación de cuadernos de estrategias en Microsoft Sentinel
De la manera en que funciona Logic Apps, tiene que conectarse por separado y autenticarse de forma independiente en cada recurso de cada tipo con el que interactúa, incluido el propio Microsoft Sentinel. Logic Apps usa conectores especializados con este fin, teniendo cada tipo de recurso su propio conector. En este documento se explican los tipos de conexión y autenticación en el conector de Logic Apps de Microsoft Sentinel, que los cuadernos de estrategias pueden usar para interactuar con Microsoft Sentinel para tener acceso a la información en las tablas del área de trabajo.
Este documento, junto con nuestra guía para usar desencadenadores y acciones en cuadernos de estrategias, es un complemento de nuestra otra documentación del cuaderno de estrategias: Tutorial: Uso de cuadernos de estrategias con reglas de automatización en Microsoft Sentinel.
Para ver una presentación de los cuadernos de estrategias, consulte Automatización de la respuesta a amenazas con cuadernos de estrategias en Microsoft Sentinel.
Para la especificación completa del conector de Microsoft Sentinel, consulte la documentación del conector de Logic Apps.
Authentication
El conector de Microsoft Sentinel en Logic Apps y sus acciones y desencadenadores de componentes pueden funcionar en nombre de cualquier identidad que tenga los permisos necesarios (lectura y/o escritura) o el área de trabajo pertinente. El conector admite varios tipos de identidad:
Permisos necesarios
| Componentes del conector o roles | Desencadenadores | Acciones "Get" | Actualizar incidente, agregar un comentario |
|---|---|---|---|
| Lector de Microsoft Sentinel | ✓ | ✓ | ✗ |
| Microsoft Sentinel Respondedor/Colaborador | ✓ | ✓ | ✓ |
Más información sobre permisos en Microsoft Sentinel.
Autenticación con una identidad administrada
Este método de autenticación permite conceder permisos directamente al cuaderno de estrategias (un recurso de flujo de trabajo de Logic Apps), de modo que las acciones del conector de Microsoft Sentinel realizadas por el cuaderno de estrategias funcionen en nombre del cuaderno de estrategias, como si fuera un objeto independiente con sus propios permisos en Microsoft Sentinel. El uso de este método reduce el número de identidades que tiene que administrar.
Nota
Para conceder a una identidad administrada acceso a otros recursos (como el área de trabajo de Microsoft Sentinel), el usuario que ha iniciado sesión debe tener un rol con permisos para escribir asignaciones de roles, como Propietario o Administrador de acceso de usuario del área de trabajo de Microsoft Sentinel.
Para autenticar con una identidad administrada:
Habilite la identidad administrada en el recurso de flujo de trabajo de Logic Apps. En resumen:
En el menú de la aplicación lógica, en Configuración, seleccione Identidad. Seleccione Asignado por el sistema > Activado > Guardar. Cuando Azure le pida confirmación, seleccione Sí.
Ahora, la aplicación lógica puede usar la identidad asignada por el sistema, que se registra con Microsoft Entra ID y se representa mediante un identificador de objeto.
Dé acceso a esa identidad al área de trabajo de Microsoft Sentinel:
En el menú de navegación de Microsoft Sentinel, seleccione Configuración.
Seleccione la pestaña Configuración del área de trabajo. En el menú del área de trabajo, seleccione Control de acceso (IAM) .
En la parte superior, seleccione Agregar y elija Agregar asignación de roles. Si la opción Agregar asignación de roles está deshabilitada, no tiene permisos para asignar roles.
En el nuevo panel que aparece, asigne el rol adecuado:
Role Situación Respondedor de Microsoft Sentinel El cuaderno de estrategias tiene pasos que actualizan incidentes o listas de reproducción. Lector de Microsoft Sentinel El cuaderno de estrategias solo recibe incidentes. Obtenga más información sobre los roles disponibles en Microsoft Sentinel.
En Asignar acceso a, elija Aplicación lógica.
Elija la suscripción a la que pertenece el cuaderno de estrategias y seleccione el nombre del cuaderno de estrategias.
Seleccione Guardar.
Habilite el método de autenticación de identidad administrada en el conector de Logic Apps de Microsoft Sentinel:
En el diseñador de Logic Apps, agregue un paso del conector de Logic Apps de Microsoft Sentinel. Si el conector ya está habilitado para una conexión existente, seleccione el vínculo Cambiar conexión.
En la lista resultante de conexiones, seleccione Agregar nueva en la parte inferior.
Cree una nueva conexión seleccionando Conectar con la identidad administrada (versión preliminar) .
Rellene un nombre para esta conexión, seleccione Identidad administrada asignada por el sistema y seleccione Crear.
Autenticación como usuario de Microsoft Entra
Para realizar una conexión, seleccione Iniciar sesión. Se le pedirá que proporcione su información de cuenta. Una vez hecho esto, siga las instrucciones restantes de la pantalla para crear una conexión.
Autenticación como entidad de servicio (aplicación Microsoft Entra)
Las entidades de servicio se pueden crear al registrar una aplicación de Microsoft Entra. Es preferible usar una aplicación registrada como identidad del conector, en lugar de usar una cuenta de usuario, ya que podrá controlar mejor los permisos, administrar las credenciales y habilitar ciertas limitaciones en el uso del conector.
Para usar su propia aplicación con el conector de Microsoft Sentinel, realice los pasos siguientes:
Registre la aplicación con Microsoft Entra ID y cree una entidad de servicio. Más información.
Obtenga las credenciales (para usarlas en futuras autenticaciones).
En la página Aplicación registrada, obtenga las credenciales de la aplicación para iniciar sesión:
- Id. de cliente: en Información general
- Secreto de cliente: en Certificados y secretos.
Conceda permisos al área de trabajo de Microsoft Sentinel.
En este paso, la aplicación tendrá permiso para trabajar con el área de trabajo de Microsoft Sentinel.
En el área de trabajo de Microsoft Sentinel, vaya a Configuración ->Configuración del área de trabajo ->Control de acceso (IAM).
Seleccione Agregar asignación de roles.
Seleccione el rol que quiere asignar a la aplicación. Por ejemplo, para permitir que la aplicación realice acciones que supongan cambios en el área de trabajo de Sentinel, como actualizar un incidente, seleccione el rol Colaborador de Microsoft Sentinel. Para acciones que solo leen datos, el rol Lector de Microsoft Sentinel es suficiente. Obtenga más información sobre los roles disponibles en Microsoft Sentinel.
Busque la aplicación necesaria y guárdela. De manera predeterminada, las aplicaciones de Microsoft Entra no se muestran en las opciones disponibles. Para encontrar la aplicación, busque el nombre y selecciónelo.
Authenticate
En este paso se usan las credenciales de la aplicación para autenticarse en el conector de Sentinel en Logic Apps.
Seleccione Connect with Service Principal (Conectarse a la entidad de servicio).
Rellene los parámetros necesarios (puede encontrarlos en la página Aplicación registrada)
- Inquilino: en Información general
- Id. de cliente: en Información general
- Secreto de cliente: en Certificados y secretos
Administración de las conexiones de API
Cada vez que se crea una autenticación por primera vez, se crea un nuevo recurso de Azure de tipo Conexión de API. Se puede usar la misma conexión de API en todos los desencadenadores y las acciones de Microsoft Sentinel del mismo grupo de recursos.
Encontrará todas las conexiones de API en la página Conexiones de API (busque Conexiones de API en Azure Portal).
También las puede encontrar yendo a la página Recursos y filtrando la presentación por tipo Conexión de API. De este modo, puede seleccionar varias conexiones para operaciones masivas.
Para cambiar la autorización de una conexión existente, escriba el recurso de conexión y seleccione Editar conexión de API.
Pasos siguientes
En este artículo, ha aprendido sobre los distintos métodos de autenticación de un cuaderno de estrategias basado en Logic Apps en Microsoft Sentinel.
- Obtenga más información sobre cómo usar los desencadenadores y las acciones en los cuadernos de estrategias.