Ir directamente al contenido
Español
Stoïk
  • No hay sugerencias porque el campo de búsqueda está vacío.

¿Cómo desplegar la opción ITP con Entra ID?

⚠️ Antes de comenzar la integración, asegúrese de que

  • Dispone de una licencia de Entra ID de pago. Cabe señalar que Microsoft Entra ID Free no está soportado.
  • La cuenta utilizada dispone de derechos de administrador global de su cuenta de Entra ID.

La integración de Identity Protection con Microsoft Entra ID requiere los siguientes pasos para cada tenant de Azure :

  1. Creación y configuración de una aplicación en Entra ID
  2. Recuperación del dominio del tenant
  3. Recuperación del ID de aplicación y del secreto
  4. Creación de un rol personalizado para el acceso RBAC
  5. Configuración de la opción ITP
    1. Transmisión de la información recopilada
    2. Configuración del conector en Identity Protection
  6. Derechos de remediación

 

Paso 1 : Creación y configuración de una aplicación en Entra ID

  1. En su portal de Azure, abra el menú de la izquierda y haga clic en "Microsoft Entra ID"
  2. En la página Microsoft Entra ID, desde el menú Agregar, seleccione "Registro de aplicaciones"
  3. En la página "Registrar una aplicación" :
    1. En "Nombre", introduzca un nombre acorde con sus convenciones internas de nomenclatura o, en su defecto, el nombre "stoik-connector-itp"
    2. En "Tipos de cuentas admitidas", seleccione "Cuentas en este directorio organizativo únicamente"
    3. En "URI de redirección", seleccione "Web" e introduzca "https://localhost"
    4. Haga clic en "Registrar"
  4. En el menú de la izquierda de la aplicación, haga clic en "Permisos de API"
  5. En la página "Permisos de API", haga clic en "Agregar un permiso"
  6. En el panel "Solicitar permisos de API" :
    1. Haga clic en "Microsoft Graph"
    2. Seleccione "Permisos de aplicación"
    3. Importante : En "Seleccionar permisos" :
      1. Escriba "directory", expanda "Directory" y seleccione "Directory.Read.All"
      2. Escriba "audit", expanda "AuditLog" y seleccione "AuditLog.Read.All"
  7. Haga clic en "Agregar permisos"
  8. En la página de permisos de API, haga clic en "Conceder el consentimiento del administrador" y confirme

Paso 2 : Recuperación del dominio del tenant

  1. En el portal de Azure, acceda a Microsoft Entra ID

  2. En el menú de la izquierda, haga clic en "Resumen"

  3. Anote el valor del "Dominio principal" (ej.: ejemplo.onmicrosoft.com), lo necesitará más adelante

Paso 3 : Recuperación del ID de aplicación y del secreto

  1. En Microsoft Entra ID, acceda a "Registro de aplicaciones"
  2. Seleccione su aplicación
  3. En "Resumen", anote el ID de aplicación (cliente), lo necesitará más adelante
  4. En "Certificados y secretos" :

  5. Cree un nuevo secreto de cliente

  6. Asígnele una descripción y una duración de validez

  7. Importante : Anote inmediatamente el valor generado, no volverá a ser visible posteriormente; lo necesitará más adelante

     

     

      

Paso 4 : Creación de un rol personalizado para el acceso RBAC

Para mostrar la información sobre las asignaciones de roles de Azure RBAC en Identity Protection, debe otorgar a la aplicación el permiso para leer las definiciones y las asignaciones RBAC. Se recomienda crear un rol personalizado con los permisos mínimos necesarios.


Creación del rol personalizado

  1. En el portal de Azure, acceda a Grupos de administración
  2. Haga clic en Grupo raíz del tenant (Tenant Root Group)
  3. Seleccione Control de acceso (IAM) y luego haga clic en Roles
  4. Haga clic en Agregar y seleccione Agregar un rol personalizado
  5. En la pestaña Información básica :
  6. Introduzca un nombre explícito para el rol (por ejemplo "Lector RBAC Identity Protection")
  7. En la pestaña Permisos, agregue los siguientes permisos :
  8. Microsoft.Authorization/roleDefinitions/read
  9. Microsoft.Authorization/roleAssignments/read
  10. Haga clic en Revisar + crear, revise los parámetros del nuevo rol y luego haga clic en Crear

Asignación del rol personalizado

Una vez creado el rol, debe asignarlo a la aplicación creada anteriormente :

  1. En el portal de Azure, vuelva a Grupos de administración
  2. Haga clic en Grupo raíz del tenant
  3. Seleccione Control de acceso (IAM) y luego haga clic en Asignaciones de roles
  4. Haga clic en Agregar y seleccione Agregar una asignación de rol
  5. En la pestaña Rol, seleccione el rol personalizado que acaba de crear
  6. En la pestaña Miembros :
  7. Haga clic en Seleccionar miembros
  8. Busque la aplicación creada anteriormente (por ejemplo "stoik-connector-itp")
  9. Selecciónela y haga clic en Seleccionar
  10. Haga clic en Revisar + asignar
  11. Revise los detalles de la asignación y haga de nuevo clic en Revisar + asignar para confirmar

Paso 5.A : Transmisión de la información recopilada

Nota: Este paso es aplicable si no dispone de un acceso de administración a su plataforma Falcon ITP. En caso contrario, remítase al paso 5.B.

Transmita de manera segura a su punto de contacto de Stoïk los elementos recopilados anteriormente para la puesta en marcha de la conexión ITP :

  • Nombre de dominio principal del tenant*
  • ID de aplicación
  • Secreto de aplicación

*Cabe señalar que el nombre de dominio que debe proporcionarse es el generado por Microsoft al configurar su tenant de Azure. Es accesible mediante el siguiente enlace y termina necesariamente en "onmicrosoft.com"

Paso 5.B : Configuración del conector en Identity Protection

  1. En la consola Falcon, acceda a "Identity Protection > Configure > Connectors"
  2. Seleccione "Entra" en la categoría IDAAS
  3. Configure el conector con :
  4. Nombre de dominio principal del tenant
  5. ID de aplicación
  6. Secreto de aplicación
  7. Active la opción de recopilación de los datos de inicio de sesión
  8. Guarde la configuración

El indicador debería pasar a verde en el plazo de un minuto, confirmando que la conexión se ha establecido correctamente.

*Cabe señalar que el nombre de dominio que debe utilizarse es el generado por Microsoft al configurar su tenant de Azure. Es accesible mediante el siguiente enlace y termina necesariamente en "onmicrosoft.com"

Paso 6 : Remediación por parte de los equipos de Stoïk

En caso de compromiso de una cuenta de su entorno Entra ID durante el fin de semana o por la noche, es probable que sus equipos no estén disponibles para realizar las acciones de remediación necesarias. Por ello le recomendamos proporcionar accesos que permitan deshabilitar las cuentas afectadas en caso de compromiso confirmado.

Para ello, basta con hacer clic en este enlace; será redirigido a una página con el modelo que se muestra a continuación. Haga clic en el botón aceptar después de revisar los permisos solicitados. A continuación, será redirigido a una página en blanco que podrá cerrar.

La aplicación dispone únicamente de los permisos necesarios para habilitar/deshabilitar las cuentas existentes en su entorno de Azure, sin posibilidad de crear ni modificar otros atributos.

El acceso a estas funcionalidades está estrictamente controlado : cada acción se autentica mediante MFA (autenticación multifactor), se registra y se sella con fecha y hora. Puede proporcionarse, a petición, un registro de auditoría completo de estas operaciones.