Descubrimientos Microsoft Azure

Se soportan dos tipos de descubrimientos Microsoft Azure:

1. Los descubrimientos de red virtual Microsoft Azure, que recorren los recursos alojados en Azure como las máquinas virtuales. Dado que los activos descubiertos se reportan por dirección, es posible registrarlos posteriormente como conexiones en modo sin agente

2. Los descubrimientos Microsoft Entra ID (antes Azure AD), que listan todos los dispositivos registrados en el directorio Microsoft Entra, estén donde estén alojados. Este descubrimiento permite tener una visión ampliada de los activos disponibles. También es posible realizar escaneos externos en los dispositivos gestionados por Microsoft Intune

Estos dos tipos de descubrimientos usan el mismo tipo de credenciales, aunque los permisos requeridos son diferentes.

Requisitos previos

Red virtual Microsoft Azure

• Credenciales de API de Azure, a saber:

  • El ID de inquilino de Microsoft
  • El ID de aplicación (cliente)
  • El secreto de cliente
• Un registro de aplicación con derechos de acceso de solo lectura al parque

• Para registrar los activos descubiertos, la aplicación debe tener los roles siguientes:

  • Colaborador de máquina virtual

Configurar los accesos API

Para obtener el ID de aplicación, debe crear desde la consola Azure, servicio Microsoft Entra ID, un nuevo registro de aplicación. El ID

de inquilino también debería mostrarse en la página de información de la aplicación.

Una vez creada la aplicación, deberá darle desde el servicio Suscripciones, recurso Control de acceso (IAM), pestaña Asignaciones de roles, accesos de lectura a su parque.

De vuelta en la página del registro de aplicación, puede crear desde Certificados y secretos un secreto de cliente.

Con las 3 informaciones reunidas, podrá crear en Cyberwatch, menú Credenciales registradas, credenciales de tipo Microsoft Azure.

Crear un descubrimiento de red virtual Microsoft Azure

1. Ir al menú Descubrimientos y hacer clic en Añadir. En la sección Infraestructura cloud, hacer clic en Microsoft Azure
2. Introducir el nombre dado al escaneo de descubrimiento
3. Seleccionar los posibles grupos asociados al escaneo
4. Seleccionar la fuente del escaneo (el escáner Cyberwatch que lanzará la operación)
5. Seleccionar en Credenciales la cuenta Microsoft Azure previamente registrada
6. Seleccionar el modo de descubrimiento para elegir cómo se reportarán los activos descubiertos
7. Definir un periodo. El valor por defecto 0 días hará que el escaneo se ejecute una sola vez
8. Opcional - Seleccionar una credencial de conexión en modo sin agente
9. Hacer clic en Confirmar

Al crearse, el descubrimiento se lanzará inmediatamente en segundo plano. El estado del descubrimiento se puede consultar desde Descubrimientos.

Registrar los activos descubiertos

Los activos descubiertos pueden registrarse en modo sin agente de la siguiente manera:

1. Desde el menú Descubrimientos, acceder a la lista de activos descubiertos haciendo clic en el enlace Mostrar los activos descubiertos
2. Seleccionar los activos a añadir
3. Hacer clic en Acciones masivas > Escanear con conexiones en modo sin agente
4. Seleccionar un tipo de conexión Microsoft Azure API y un conjunto de credenciales de tipo Microsoft Azure. Este tipo de conexión debe estar permitido en el menú Administración > Gestión de conectores marcando la casilla Microsoft Azure API

Precisiones:

• Para usar el conector Microsoft Azure API, la aplicación vinculada al conjunto de credenciales

debe tener los roles siguientes: - Colaborador de cuenta de almacenamiento - Colaborador de máquina virtual - Rol Colaborador de aplicación administrada

• Los campos dirección, región y resource_group_name de la conexión en modo sin agente se rellenarán previamente con el nombre de dominio, la región y el resource_group_name del activo
• También es posible añadir el activo directamente sin pasar por un descubrimiento usando Conexión en modo sin agente > Añadir y seleccionando el tipo Microsoft Azure API