Protokollkonfigurationsoptionen für Microsoft Graph- Security API
Um Ereignisse von der Microsoft Graph- Security APIzu empfangen, konfigurieren Sie eine Protokollquelle in IBM QRadar für die Verwendung des Microsoft Graph-Protokolls Security API .
Das Protokoll Security API von Microsoft Graph ist ein abgehendes/aktives Protokoll. Ihr DSM verwendet möglicherweise auch dieses Protokoll. Eine Liste der unterstützten DSMs finden Sie unter QRadar® unterstützte DSMs.
Die folgenden Parameter erfordern bestimmte Werte, um Ereignisse von Microsoft Graph Security-Servern zu erfassen:
| Parameter | Wert |
|---|---|
| Protokollquellentyp | Ein angepasster Protokollquellentyp oder ein bestimmtes DSM, das dieses Protokoll verwendet |
| Protokollkonfiguration | Microsoft Grafik Security API |
| Log Source Identifier (Protokollquellenkennung) | Geben Sie einen eindeutigen Namen für die Protokollquelle ein. Protokollquellenkennung kann ein beliebiger gültiger Wert sein und muss nicht auf einen bestimmten Server verweisen. Sie kann auch denselben Wert wie Protokollquellennamehaben. Wenn Sie mehrere Protokollquellen für Microsoft Graph Security konfiguriert haben, stellen Sie sicher, dass Sie jedem einen eindeutigen Namen geben. |
| Tenant-ID | Der Tenant-ID -Wert, der für die Microsoft Azure Active Directory -Authentifizierung verwendet wird. |
| Client ID | Der Wert des Parameters Client-ID aus Ihrer Anwendungskonfiguration von Microsoft Azure Active Directory. |
| Authentifizierungsmethode |
|
| Clientschlüssel | Sie erhalten das Kennwort Geheimer Clientschlüssel , wenn Sie Microsoft Azure Event Directory konfigurieren. Dieses Kennwort bestätigt, dass Ihr Benutzerkonto berechtigt ist, ein Zugriffstoken abzurufen. Sie können diesen Wert nur abrufen, nachdem er erstellt wurde. Er kann später nicht wiederhergestellt werden. Wenn Sie Ihr Kennwort für den geheimen Clientschlüssel verlieren, müssen Sie einen neuen API-Schlüssel erstellen, um weiterhin Ereignisse von der Security APIvon Microsoft Graph zu empfangen. |
| Clientzertifikat | Geben Sie den Pfad des selbstsignierten .pfx Zertifikats an. Hinweis: Wählen Sie , um den Parameter Client-Zertifikat verfügbar zu machen.
Weitere Informationen finden Sie unter Erstellen von selbstsignierten Zertifikaten und Schlüsseln für das Office 365 REST API-Protokoll. |
| Clientzertifikatskennwort | Geben Sie das .pfx Zertifikatspasswort an. Hinweis: Wählen Sie , damit der Parameter Client-Zertifikat-Passwort verfügbar ist.
|
| API | Die API legt die Typen und Formate von Ereignissen fest, die das Protokoll erfassen kann. Wählen Sie eine API aus, die mit dem ausgewählten DSM kompatibel ist. Wenn Sie das Microsoft Azure Security Center DSM verwenden, wählen Sie Alerts V1. Wenn Sie den Microsoft 365 Defender DSM verwenden, wählen Sie Alerts V2 oder Service Announcement. |
| Service | Begrenzt die Ereignisse auf einen bestimmten Service oder ein bestimmtes Produkt. Wählen Sie ein Produkt aus, das mit dem ausgewählten DSM kompatibel ist. Sie können die Option Sonstige verwenden, um den Filter zu entfernen oder um weitere Filtereinstellungen hinzuzufügen. Wenn Sie Microsoft 365 Defender DSM verwenden, wählen Sie Microsoft Defender for Endpointaus. |
| Ereignisfilter | Rufen Sie Ereignisse mithilfe des Abfragefilters der Microsoft Security Graph-API ab. Beispiel: severity eq 'high'. Geben Sie "filter=" nicht vor dem Filterparameter ein. Weitere Informationen über Abfrageparameter finden Sie unter Filterabfrageparameter ( https://learn.microsoft.com/en-us/graph/filter-query-parameter?tabs=http ). |
| Proxy verwenden | Wenn QRadar über einen Proxy auf die Security API von Microsoft Graph zugreift, aktivieren Sie dieses Markierungsfeld. Wenn der Proxy eine Authentifizierung erfordert, konfigurieren Sie die Felder Proxy-Hostname oder -IP, Proxy-Port, Proxy-Benutzernameund Proxy- . Wenn für den Proxy keine Authentifizierung erforderlich ist, konfigurieren Sie die Felder Proxy-Hostname oder -IP und Proxy-Port . |
| Proxy-IP oder -Hostname | Die IP-Adresse oder der Hostname des Proxy-Servers. Wenn der Parameter Proxy verwenden auf Falschgesetzt ist, ist diese Option ausgeblendet. |
| Proxy-Port | Die Portnummer, die für die Kommunikation mit dem Proxy verwendet wird. Die Standardeinstellung ist 8080. Wenn der Parameter Proxy verwenden auf ' False' gesetzt ist, wird diese Option ausgeblendet. |
| Proxy-Benutzername | Der Benutzername, der für die Kommunikation mit dem Proxy verwendet wird. Wenn Proxy verwenden auf Falschgesetzt ist, wird diese Option ausgeblendet. |
| Proxy-Kennwort | Das Kennwort für den Zugriff auf den Proxy. Wenn Proxy verwenden auf Falschgesetzt ist, wird diese Option ausgeblendet. |
| Wiederholung | Geben Sie ein Zeitintervall ab Startzeit ein, um zu bestimmen, wie häufig die Abfrage nach neuen Daten sucht. Das Zeitintervall kann Werte in Stunden (H), Minuten (M) oder Tagen (D) enthalten. Beispiel: 2H -2 Stunden, 15M -15 Minuten. Der Standardwert ist 1M. |
| EPS-Regulierung | Die maximale Anzahl von Ereignissen pro Sekunde, die QRadar einpflegt. Wenn Ihre Datenquelle die EPS-Regulierung überschreitet, wird die Datenerfassung verzögert. Die Daten werden weiterhin erfasst und dann aufgenommen, wenn die Datenquelle die EPS-Regulierung nicht mehr überschreitet. Der Standardwert ist 5000. |
| Erweiterte Optionen einblenden | Aktivieren Sie diese Option, um die erweiterten Optionen für die Ereigniserfassung zu konfigurieren. |
| Anmeldeendpunkt | Geben Sie den Azure AD-Anmeldeendpunkt an. Der Standardwert ist login.microsoftonline.com. Wenn Sie Erweiterte Optionen anzeigeninaktivieren, wird diese Option ausgeblendet. |
| API-Endpunkt für Diagramm | Geben Sie URL Security API an. Der Standardwert ist https://graph.microsoft.com. Wenn Sie Erweiterte Optionen anzeigeninaktivieren, wird diese Option ausgeblendet. |