Konfigurationsoptionen für das Office 365-REST-API-Protokoll

Das Office 365-REST-API-Protokoll für IBM® Security QRadar® ist ein aktives abgehendes Protokoll.

In der folgenden Tabelle sind die protokollspezifischen Parameter für das Protokoll der Office 365-REST-API beschrieben:

Tabelle 1. Protokollquellenparameter für Office 365-REST-API-Protokoll
Parameter Wert
Protokollkonfiguration Office 365-REST-API
Log Source Identifier (Protokollquellenkennung)

Geben Sie einen eindeutigen Namen für die Protokollquelle ein.

Die Protokollquellenkennung kann ein beliebiger gültiger Wert sein und muss nicht auf einen bestimmten Server verweisen. Es kann auch denselben Wert wie der Protokollquellennamehaben. Wenn Sie mehr als eine konfigurierte Protokollquelle für die Office 365-REST-API haben, stellen Sie sicher, dass Sie jedem einen eindeutigen Namen geben.
Client ID In Ihrer Anwendungskonfiguration von Azure Active Directorybefindet sich dieser Parameter unter Client-ID.
Authentifizierungsmethode
  • Client Secret: Standard-Authentifizierung auf Basis des Client Secret.
  • Client-Zertifikat: Selbstsignierte zertifikatsbasierte Authentifizierung.
Clientschlüssel

In Ihrer Anwendungskonfiguration von Azure Active Directorysteht dieser Parameter unter Wert.

Hinweis: Wählen Sie Authentifizierungsmethode > Client Secret, um den Parameter Client Secret verfügbar zu machen.
Clientzertifikat

Geben Sie den Pfad des selbstsignierten .pfx Zertifikats an.

Hinweis: Wählen Sie Authentifizierungsmethode > Client-Zertifikat, um den Parameter Client-Zertifikat verfügbar zu machen.

Weitere Informationen finden Sie unter Erstellen selbstsignierter Zertifikate und Schlüssel für das Office 365 REST API-Protokoll.
Clientzertifikatskennwort

Geben Sie das .pfx Zertifikatspasswort an.

Hinweis: Wählen Sie Authentifizierungsmethode > Client-Zertifikat, damit der Parameter Client-Zertifikat-Passwort verfügbar ist.
Tenant-ID Wird für die Azure AD-Authentifizierung verwendet
Ereignisfilter
Der Typ der Prüfereignisse, die aus Microsoft Office abgerufen werden sollen
  • Azure Active Directory
  • Exchange
  • SharePoint
  • Allgemein
  • DLP
Proxy verwenden

Damit QRadar auf die Office 365-Management-APIs zugreifen kann, wird der gesamte Datenverkehr für die Protokollquelle über konfigurierte Proxys übertragen.

Konfigurieren Sie die Felder Proxy Server, Proxy Port, Proxy Usernameund Proxy Password .

Wenn der Proxy keine Authentifizierung erfordert, lassen Sie die Felder Proxy-Benutzername und Proxy-Kennwort leer.
EPS-Regulierung

Die maximale Anzahl von Ereignissen pro Sekunde, die QRadar einpflegt.

Wenn Ihre Datenquelle die EPS-Regulierung überschreitet, wird die Datenerfassung verzögert. Die Daten werden weiterhin erfasst und dann aufgenommen, wenn die Datenquelle die EPS-Regulierung nicht mehr überschreitet.

Der Standardwert ist 5000.
Erweiterte Optionen einblenden Zeigt optionale erweiterte Optionen für die Ereigniserfassung an Die Werte für Erweiterte Optionen sind unabhängig davon wirksam, ob sie angezeigt werden oder nicht.
Verwaltungstätigkeit API URL Geben Sie die Office 365 Management Activity API URL an. Die Voreinstellung ist https://manage.office.com
Azure AD URL Geben Sie die Azure URL an. Die Voreinstellung ist https://login.microsoftonline.com