Microsoft Office 365
Das IBM QRadar DSM für Microsoft Office 365 erfasst Ereignisse von Microsoft Office 365 -Onlineservices.
| Spezifikation | Wert |
|---|---|
| Hersteller | Microsoft |
| DSM-Name | Microsoft Office 365 |
| Name der RPM-Datei | DSM-MicrosoftOffice365-QRadar_version-build_number.noarch.rpm |
| Unterstützte Versionen | nicht zutreffend |
| Protokoll | REST-API für Office 365 |
| Ereignisformat | JSON |
| Aufgezeichnete Ereignistypen | Exchange-Prüfung, SharePoint -Prüfung, Azure Active Directory -Prüfung |
| Automatisch erkannt? | Nein |
| Enthält Identität? | Nein |
| Angepasste Eigenschaften einschließen? | Nein |
| Weitere Informationen | Microsoft-Website (https://www.microsoft.com) |
- Wenn automatische Updates nicht aktiviert sind, laden Sie die neueste Version der folgenden RPMs von der IBM® Support Website herunter und installieren Sie sie auf Ihrem QRadar
Console.
- Protocol Common RPM
- RPM für Office 365-REST-API-Protokoll
- Microsoft Office 365 DSM-RPM
- Konfigurieren Sie ein Microsoft Office 365 -Konto im Microsoft Azure -Portal.
- Fügen Sie eine Microsoft Office 365 -Protokollquelle in QRadar
Consolehinzu. Weitere Informationen zum Hinzufügen einer Protokollquelle finden Sie unter Protokollquelle hinzufügen . In der folgenden Tabelle sind die Protokollquellenparameter beschrieben, die bestimmte Werte für die Microsoft Office 365 -Ereigniserfassung erfordern:
Tabelle 2. Microsoft Office 365 Parameter Wert Protokollquellentyp Microsoft Office 365 Protokollkonfiguration REST-API für Office 365 Protokollquellenkennung Eine eindeutige Kennung für die Protokollquelle.
Die Protokollquellenkennung kann ein beliebiger gültiger Wert sein und muss nicht auf einen bestimmten Server verweisen. Die Protokollquellen-ID kann mit dem Protokollquellennamenidentisch sein. Wenn Sie mehrere Microsoft Office 365 -Protokollquellen konfiguriert haben, können Sie die erste Protokollquelle als MSOffice365-1, die zweite als MSOffice365-2und die dritte als MSOffice365-3angeben.
Client-ID In Ihrer Anwendungskonfiguration von Azure Active Directorybefindet sich dieser Parameter unter Client-ID. Geheimer Clientschlüssel In Ihrer Anwendungskonfiguration von Azure Active Directorysteht dieser Parameter unter Wert. Tenant-ID Wird für die Azure AD-Authentifizierung verwendet Ereignisfilter Der Typ der Prüfereignisse, die aus Microsoft Office abgerufen werden sollen- Azure Active Directory
- Exchange
- SharePoint
- Allgemein
- DLP
Authentifizierungsmethode - Client-Secret: Authentifizierung auf Basis eines Standard-Client-Secrets.
- Client-Zertifikat: Authentifizierung auf Basis eines selbstsignierten Zertifikats.
Proxy verwenden Damit QRadar auf die Office 365-Management-APIs zugreifen kann, wird der gesamte Datenverkehr für die Protokollquelle über konfigurierte Proxys übertragen.
Konfigurieren Sie die Felder Proxy Server, Proxy Port, Proxy Usernameund Proxy Password .
Wenn der Proxy keine Authentifizierung erfordert, lassen Sie die Felder Proxy-Benutzername und Proxy-Kennwort leer.
EPS-Regulierung Die maximale Anzahl von Ereignissen pro Sekunde, die QRadar einpflegt.
Wenn Ihre Datenquelle die EPS-Regulierung überschreitet, wird die Datenerfassung verzögert. Die Daten werden weiterhin erfasst und dann aufgenommen, wenn die Datenquelle die EPS-Regulierung nicht mehr überschreitet.
Erweiterte Optionen einblenden Zeigt optionale erweiterte Optionen für die Ereigniserfassung an Die Werte für Erweiterte Optionen sind unabhängig davon wirksam, ob sie angezeigt werden oder nicht. URL Geben Sie URL der Office 365-Verwaltungsaktivitäts-API an. Die Standardeinstellung lautet „ https://manage.office.com “. Azure AD-Anmelde URL Geben Sie die Azure AD-Anmeldung URL an. Die Standardeinstellung lautet „ https://login.microsoftonline.com “. - Testen Sie die Konnektivität zur Protokollquelle Office365 . Befolgen Sie die Anweisungen unter „Testen von Protokollquellen “.