Compartir vía


Autenticación de cuadernos de estrategias en Microsoft Sentinel

Los cuadernos de estrategias de Microsoft Sentinel se basan en flujos de trabajo integrados en Azure Logic Apps, un servicio en la nube que le ayuda a programar, automatizar y organizar tareas y flujos de trabajo en todos los sistemas de toda la empresa.

Azure Logic Apps debe conectarse por separado y autenticarse de forma independiente en cada recurso, de cada tipo, con el que interactúa, incluido el propio Microsoft Sentinel. Logic Apps usa conectores especializados con este fin, teniendo cada tipo de recurso su propio conector.

En este artículo se describen los tipos de conexiones y autenticación compatibles con el conector de Microsoft Sentinel para Logic Apps. Los cuadernos de estrategias pueden usar métodos de autenticación compatibles para interactuar con Microsoft Sentinel y acceder a los datos de Microsoft Sentinel.

Requisitos previos

Se recomienda leer primero los artículos siguientes antes de empezar con este:

Para conceder a una identidad administrada acceso a otros recursos, como el área de trabajo de Microsoft Sentinel, el usuario que ha iniciado sesión debe tener un rol con permisos para escribir asignaciones de roles, como Propietario o Administrador de acceso de usuario del área de trabajo de Microsoft Sentinel.

Autenticación

El conector de Microsoft Sentinel en Logic Apps y sus acciones y desencadenadores de componentes pueden funcionar en nombre de cualquier identidad que tenga los permisos necesarios (lectura y/o escritura) o el área de trabajo pertinente. El conector admite varios tipos de identidad:

Permisos requeridos

Independientemente del método de autenticación, la identidad autenticada requiere los siguientes permisos para usar varios componentes del conector de Microsoft Sentinel. Las acciones de "escritura" incluyen acciones como, por ejemplo, actualizar incidentes o agregar un comentario.

Roles Usar desencadenadores Uso de acciones de "lectura" Uso de acciones de "escritura"
Lector de Microsoft Sentinel -
Microsoft Sentinel Respondedor/Colaborador

Para obtener más información, consulta Roles y permisos en Microsoft Sentinel y Requisitos previos del cuaderno de estrategias de Microsoft Sentinel.

Autenticación con una identidad administrada

La autenticación como identidad administrada permite conceder permisos directamente al cuaderno de estrategias, que es un recurso de flujo de trabajo de Logic Apps. Las acciones del conector de Microsoft Sentinel que realiza el cuaderno de estrategias funcionan en nombre del cuaderno de estrategias, como si fuera un objeto independiente con sus propios permisos en Microsoft Sentinel.

Para autenticar una identidad administrada:

  1. Habilite la identidad administrada en el recurso de flujo de trabajo de Logic Apps. Para obtener más información, consulta Habilitación de la identidad asignada por el sistema en Azure Portal.

    Ahora, la aplicación lógica puede usar la identidad asignada por el sistema, que se registra con Microsoft Entra ID y se representa mediante un identificador de objeto.

  2. Sigue estos pasos para conceder esa identidad con acceso al área de trabajo de Microsoft Sentinel:

    1. En el menú de navegación de Microsoft Sentinel, seleccione Configuración.

    2. Seleccione la pestaña Configuración del área de trabajo. En el menú del área de trabajo, seleccione Control de acceso (IAM) .

    3. En la parte superior, seleccione Agregar y elija Agregar asignación de roles. Si la opción Agregar asignación de roles está deshabilitada, no tiene permisos para asignar roles.

    4. En el nuevo panel que aparece, asigne el rol adecuado:

    5. En Asignar acceso a, selecciona Aplicación lógica.

    6. Selecciona la suscripción a la que pertenece el cuaderno de estrategias y luego el nombre del cuaderno de estrategias.

    7. Seleccione Guardar.

    Para obtener más información, consulta Concesión de acceso de identidad a los recursos.

  3. Habilite el método de autenticación de identidad administrada en el conector de Logic Apps de Microsoft Sentinel:

    1. En el diseñador de Logic Apps, agregue un paso del conector de Logic Apps de Microsoft Sentinel. Si el conector ya está habilitado para una conexión existente, seleccione el vínculo Cambiar conexión. Por ejemplo:

      Captura de pantalla del vínculo Cambiar conexión.

    2. En la lista resultante de conexiones, selecciona Agregar nueva.

    3. Cree una nueva conexión seleccionando Conectar con la identidad administrada (versión preliminar) . Por ejemplo:

      Captura de pantalla de la opción Conectar con identidad administrada.

    4. Escribe un nombre para esta conexión, selecciona Identidad administrada asignada por el sistema y luego Crear.

      Captura de pantalla del vínculo Conectar con identidad administrada.

    5. Seleccione Crear para terminar de crear la conexión.

Autenticación como entidad de servicio (aplicación Microsoft Entra)

Para crear una entidad de servicio, registra una aplicación de Microsoft Entra. Se recomienda usar una aplicación registrada como identidad del conector en lugar de una cuenta de usuario.

Para usar tu propia aplicación con el conector de Microsoft Sentinel, haz lo siguiente:

  1. Registre la aplicación con Microsoft Entra ID y cree una entidad de servicio. Para más información, consulte Creación de una aplicación de Microsoft Entra y una entidad de servicio con acceso a los recursos.

  2. Obtén las credenciales para usarlas en futuras autenticaciones. En la página Aplicación registrada, obtenga las credenciales de la aplicación para iniciar sesión:

    • Id. de cliente, en Información general
    • Secreto de cliente, en Certificados y secretos
  3. Concede a la aplicación permisos para trabajar con el área de trabajo de Microsoft Sentinel:

    1. En el área de trabajo de Microsoft Sentinel, vaya a Configuración>Configuración del área de trabajo>Control de acceso (IAM)

    2. Selecciona Agregar asignación de roles y luego el rol que quieres asignar a la aplicación.

      Por ejemplo, para permitir que la aplicación realice acciones que supongan cambios en el área de trabajo de Microsoft Sentinel, como actualizar un incidente, selecciona el rol Colaborador de Microsoft Sentinel. Para acciones que solo leen datos, el rol Lector de Microsoft Sentinel es suficiente.

    3. Busca la aplicación necesaria y guarda tus cambios.

      De manera predeterminada, las aplicaciones de Microsoft Entra no se muestran en las opciones disponibles. Para encontrar la aplicación, busque el nombre y selecciónelo.

  4. Usa las credenciales de la aplicación para autenticarte en el conector de Microsoft Sentinel en Logic Apps.

    1. En el diseñador de Logic Apps, agregue un paso del conector de Logic Apps de Microsoft Sentinel.

    2. Si el conector ya está habilitado para una conexión existente, seleccione el vínculo Cambiar conexión. Por ejemplo:

      Captura de pantalla del vínculo Cambiar conexión.

    3. En la lista resultante de conexiones, selecciona Agregar nueva y, después, Conectar con la entidad de servicio. Por ejemplo:

      Captura de pantalla de la opción de entidad de servicio seleccionada

    4. Escribe los valores de parámetro necesarios, que están disponibles en la página de detalles de la aplicación registrada:

      • Inquilino: en Información general
      • Id. de cliente: en Información general
      • Secreto de cliente: en Certificados y secretos

      Por ejemplo:

      Captura de pantalla de los parámetros de Conectar con la entidad de servicio.

    5. Seleccione Crear para terminar de crear la conexión.

Autenticación como usuario de Microsoft Entra

Para establecer una conexión como usuario de Microsoft Entra, haz lo siguiente:

  1. En el diseñador de Logic Apps, agregue un paso del conector de Logic Apps de Microsoft Sentinel. Si el conector ya está habilitado para una conexión existente, seleccione el vínculo Cambiar conexión. Por ejemplo:

    Captura de pantalla del vínculo Cambiar conexión.

  2. En la lista resultante de conexiones, selecciona Agregar nueva y luego Iniciar sesión.

    Captura de pantalla del botón Iniciar sesión seleccionado.

  3. Escribe las credenciales cuando se te soliciten y sigue las instrucciones restantes en la pantalla para crear una conexión.

Visualización y edición de conexiones de API de cuadernos de estrategias

Las conexiones de API se usan para conectar Azure Logic Apps a otros servicios, incluido Microsoft Sentinel. Cada vez que se realiza una nueva autenticación para un conector en Azure Logic Apps, se crea un recurso de conexión de API, que contiene los detalles proporcionados al configurar el acceso al servicio. Se puede usar la misma conexión de API en todos los desencadenadores y las acciones de Microsoft Sentinel del mismo grupo de recursos.

Para ver las conexiones de API, realiza una de las siguientes acciones:

  • En Azure Portal, busca Conexiones de API. Busca la conexión de API para el cuaderno de estrategias mediante los datos siguientes:

    • Nombre para mostrar: el nombre descriptivo que se asigna a la conexión cada vez que se crea una.
    • Estado: estado de la conexión de API.
    • Grupo de recursos: las conexiones de API para cuadernos de estrategias de Microsoft se crean en el grupo de recursos del recurso del cuaderno de estrategias (Azure Logic Apps).
  • En Azure Portal, visualiza todos los recursos y filtra la vista por Tipo = Conector de API. Este método permite seleccionar, etiquetar y eliminar varias conexiones a la vez.

Para cambiar la autorización de una conexión existente, escribe el recurso de conexión y selecciona Editar conexión de API.

Para más información, vea: