Con la integración de PowerDMARC con Microsoft Sentinel, puede incorporar y supervisar sin problemas sus datos de autenticación de correo electrónico y seguridad de dominio directamente en su espacio de trabajo de Sentinel. Al aprovechar la API de PowerDMARC, las organizaciones pueden crear una integración SIEM optimizada sin configuraciones complejas: simplemente conectarse, ejecutar y obtener una visibilidad centralizada de su postura de seguridad del correo electrónico en todos los dominios.
La guía se centra intencionadamente en configuración y la ingesta. Los paneles de control y los libros de trabajo de Sentinel quedan fuera del alcance.
Documentación API:
Documentación de Swagger: https://app.powerdmarc.com/swagger-ui/index.html
Documentación alternativa: https://api.powerdmarc.com/
Nota:
La convención de nomenclatura no se limita a las mencionadas en esta documentación.
Descripción general de la arquitectura
Para este ejemplo, estamos utilizando el punto final del registro de auditoría con fines de prueba e ilustración.
API de PowerDMARC
↓
Azure Logic App (programada)
↓
Área de trabajo de Azure Log Analytics
↓
Microsoft Sentinel (análisis, incidentes, búsqueda)
Sentinel no recibe datos directamente. Lee los datos del área de trabajo de Log Analytics.
Requisitos previos
Antes de comenzar, asegúrese de tener:
· Suscripción a Azure con permiso para crear:
o Grupos de recursos
o Espacios de trabajo de Log Analytics
o Aplicaciones lógicas (consumo) (esto se seleccionó como preferencia para nuestro entorno de pruebas)
o Microsoft Sentinel
· A token de portador de la API de PowerDMARC con permiso para acceder a los registros de auditoría
Configuración de recursos de Azure
Crear grupo de recursos
1. Portal de Azure → Crear un recurso → Grupo de recursos
2. Nombre: rg-powerdmarc-sentinel
3. Región: elige tu región preferida (mantén la coherencia).
Crear espacio de trabajo de Log Analytics
1. Portal de Azure → Crear un recurso → Área de trabajo de Log Analytics
2. Nombre: law-powerdmarc-sentinel
3. Grupo de recursos: rg-powerdmarc-sentinel
4. Región: igual que el grupo de recursos.
Después de la creación: - Abra el espacio de trabajo - Confirme Troncos La cuchilla se abre correctamente.
Habilitar Microsoft Sentinel
1. Portal de Azure → Microsoft Sentinel
2. Haga clic en + Crear
3. Seleccionar espacio de trabajo: law-powerdmarc-sentinel
4. Haga clic Añadir
No se requieren conectores de datos para esta integración.
Crear aplicación lógica
Crear aplicación lógica (consumo)
1. Portal de Azure → Crear un recurso → Aplicación lógica (Consumo)
2. Nombre: la-powerdmarc-sentinel
3. Grupo de recursos: rg-powerdmarc-sentinel
4. Región: igual que el espacio de trabajo
Añadir desencadenante: recurrencia (opcional)
1. Abre Logic App → Diseñador de Logic App
2. Seleccione Recurrencia desencadenante
Llamada a la API de PowerDMARC
5.1 Añadir acción HTTP
Añadir acción → HTTP
Método: GET
URI: https://app.powerdmarc.com/api/v1/audit-logs
Headers: Authorization: Bearer <POWERDMARC_API_TOKEN>
Aceptar: application/json
Parámetros de consulta: De y A (Estos son parámetros obligatorios para la API del registro de auditoría. Consulte la documentación de la API de PowerDMARC para revisar el formato).
Guarde la aplicación lógica después de este paso.
Analizar respuesta JSON
Añadir acción «Analizar JSON»
Añadir acción → Analizar JSON
Contenido - Seleccionar Cuerpo en la acción HTTP (Contenido dinámico)
Esquema Uso «Utilizar carga útil de muestra para generar esquema» y pegue: (Esto se puede tomar de los ejemplos de la documentación de la API de PowerDMARC):
{
"data": [
{
"user_name": "John Doe",
"action": "Updated attached domains",
"ip_address": "12.111.67.123",
"a_username": null,
"other": null,
"created_at": "2025-06-06 14:29:24"
}
]
}
Guarde la aplicación lógica.
Recorrer las entradas del registro de auditoría
La API de PowerDMARC devuelve un matriz de eventos de auditoría. Cada evento debe enviarse individualmente a Log Analytics.
Añadir para cada acción
Añadir acción → Para cada
Seleccionar salida de pasos anteriores (Expresión):@body('Parse_JSON')?['data']
Enviar datos a Log Analytics
Añadir acción Enviar datos
Dentro del Para cada bloque:
Añadir acción → Enviar datos (Azure Log Analytics)
Crear conexión de Log Analytics
Cuando se le solicite:
Nombre de la conexión: powerdmarc-loganalytics
ID del espacio de trabajo: desde el espacio de trabajo de Log Analytics → Descripción general
Clave del espacio de trabajo: Clave principal de:
Área de trabajo de Log Analytics → Configuración → Agentes → Agente de Log Analytics (clásico)
Enviar configuración de datos
Cuerpo de la solicitud JSON (Expresión):@items('For_each')
Nombre de registro personalizado: PowerDMARCAuditLog
Guarde la aplicación lógica.
Validar ingestión
Ejecutar aplicación lógica
1. Haga clic en Ejecutar
2. Abrir Ejecutar historial
3. Confirmar todos los pasos mostrados Correctos
o HTTP
o Analizar JSON
o Para cada (iteraciones > 0)
o Enviar datos
Verificar datos en Log Analytics / Sentinel
Ir a: Microsoft Sentinel → Registros
Ejecución de consultas KQL:
PowerDMARCAuditLog_CL
| ordenar por TimeGenerated desc
| tomar 20
Resultado esperado
En este punto: - Los registros de auditoría de PowerDMARC se ingestan en Azure. - Microsoft Sentinel puede: - Consultar los datos. - Crear reglas de análisis. - Generar incidentes. - Dar soporte a la búsqueda y las investigaciones.