Konfigurationsoptionen für das REST-API-Protokoll für Office 365 Message Trace
Das Office 365 Message Trace REST API-Protokoll für IBM® Security QRadar® erfasst Nachrichtentraceprotokolle von der Message Trace REST API. Dieses aktive abgehende Protokoll wird verwendet, um Office 365-E-Mail-Protokolle zu erfassen.
Zur Verwendung der modernen Authentifizierung müssen Sie eine neue Anwendung im Portal Microsoft Azure (https://portal.azure.com/) registrieren. Im Portal können Sie wichtige Werte abrufen, die Sie beim Erstellen einer Microsoft Office 365 -Nachrichtentraceprotokollquelle verwenden müssen.
- Erstellen Sie eine Anwendung, die für die Authentifizierung bei der REST-API von Office 365 Message Trace verwendet werden kann. Weitere Informationen finden Sie unter Portal verwenden, um eine Azure AD-Anwendung und einen Service-Principal zu erstellen, die auf Ressourcen zugreifen können.
- Weisen Sie der Anwendung Azure AD -Rollen zu. Weitere Informationen finden Sie unter Azure AD-Rollen der Anwendung zuordnen.
- Legen Sie die Anwendungsberechtigung Read.All fest. Weitere Informationen finden Sie unter Geben Sie die Berechtigungen an, die Ihre App für den Zugriff auf den Berichts-Web-Service benötigt.
- Rufen Sie die Werte Client-ID, Tenant-IDund Geheimer Clientschlüssel ab.
- Suchen Sie auf der Seite Übersicht der Anwendung die Werte für Client-ID und Tenant-ID und kopieren Sie sie. Sie verwenden diese Werte, wenn Sie eine Microsoft Office 365 Message Trace-Protokollquelle erstellen. Weitere Informationen finden Sie unter Tenant-und App-ID-Werte für Anmeldung abrufen.
- Klicken Sie auf der Seite Zertifikate und geheime Schlüssel der Anwendung auf Neuer geheimer Schlüssel , um den geheimen Clientschlüssel zu erstellen. Kopieren Sie dann den geheimen Clientschlüssel in einen Texteditor. Sie verwenden diesen Wert für den Parameter Client Secret , wenn Sie eine Microsoft Office 365 Message Trace-Protokollquelle erstellen. Weitere Informationen finden Sie unter Neuen geheimen Anwendungsschlüssel erstellen.
| Parameter | Wert |
|---|---|
| Log Source Identifier (Protokollquellenkennung) | Ein eindeutiger Name für die Protokollquelle. Der Name darf keine Leerzeichen enthalten und muss unter allen Protokollquellen dieses Typs, die mit dem REST-API-Protokoll von Office 365 Message Trace konfiguriert sind, eindeutig sein. |
| Authentifizierungsmethode | Die moderne Authentifizierung verwendet OAuth 2.0 , um den Zugriff auf die Ressource zu authentifizieren und zu autorisieren. Die Basisauthentifizierung verwendet den Benutzernamen und das Kennwort. Wenn Sie die Authentifizierungsmethode Basis auswählen, werden die Parameter E-Mail für das Office 365-Benutzerkonto und Kennwort für das Office 365-Benutzerkonto angezeigt. Geben Sie ein Office 365-E-Mail-Konto mit ordnungsgemäßen Berechtigungen an. Wichtig: Ab dem 1. Januar 2023 unterstützt Microsoft die Basisauthentifizierung nicht mehr. Um weiterhin Nachrichten-Trace-Ereignisse zu empfangen, müssen Sie die moderne Authentifizierung verwenden.
|
| Client ID | Der Wert für Client-ID aus Ihrer Anwendungskonfiguration von Microsoft Azure Active Directory. Weitere Informationen finden Sie unter Tenant-und App-ID-Werte für Anmeldung abrufen. |
| Clientschlüssel | Der geheime Clientschlüssel, den Sie für Ihre Anwendung im Microsoft Azure -Portal erstellt haben Weitere Informationen finden Sie unter Neuen geheimen Anwendungsschlüssel erstellen. |
| Tenant-ID | Der Tenant-ID -Wert, der für die Microsoft Azure Active Directory -Authentifizierung verwendet wird. Weitere Informationen finden Sie unter Tenant-und App-ID-Werte für Anmeldung abrufen. |
| Ereignisverzögerung | Die Verzögerung für die Datenerfassung in Sekunden. Office 365 Message Trace-Protokolle funktionieren auf einem späteren Zustellungssystem. Um sicherzustellen, dass keine Daten übersehen werden, werden Protokolle mit einer Verzögerung erfasst. Die Standardverzögerung beträgt 900 Sekunden (15 Minuten) und kann auf 0 Sekunden festgelegt werden. |
| Proxy verwenden | Wenn auf die API über einen Proxy zugegriffen wird, wählen Sie dieses Markierungsfeld aus. Konfigurieren Sie die Felder Proxy Server, Proxy Port, Proxy Usernameund Proxy Password . Wenn der Proxy keine Authentifizierung erfordert, können Sie die Felder Proxy-Benutzername und Proxy-Kennwort leer lassen. |
| Erweiterte Optionen aktivieren | Wählen Sie diese Option aus, um die Standardwerte für die Microsoft-API-Anmeldungsendpunkt- und URL zu ändern. Wenn Sie diesen Parameter nicht aktivieren, werden die Standardwerte verwendet. |
| Microsoft-API-Anmeldeendpunkt | Geben Sie den Microsoft API-Anmeldeendpunkt an. Der Standardwert ist https://login.windows.net. Wenn Sie den Parameter Erweiterte Optionen aktivieren nicht aktivieren, wird der Standardwert verwendet. |
| Office 365 Nachrichtenverfolgung API Management URL | Die Office 365 Message Trace API-Verwaltung URL gewährt Ihrem Token Zugriff auf die angegebene Ressource. Der Standardwert ist https://outlook.office365.com. Wenn Sie den Parameter Erweiterte Optionen aktivieren nicht aktivieren, wird der Standardwert verwendet. |
| Wiederholung | Das Zeitintervall zwischen Protokollquellenabfragen an die REST-API von Office 365 Message Trace für neue Ereignisse. Das Zeitintervall kann in Stunden (H), Minuten (M) oder Tagen (D) angegeben werden. Die Standardeinstellung ist 5 Minuten. |
| EPS-Regulierung | Die maximale Anzahl von Ereignissen pro Sekunde, die QRadar einpflegt. Wenn Ihre Datenquelle die EPS-Regulierung überschreitet, wird die Datenerfassung verzögert. Die Daten werden weiterhin erfasst und dann aufgenommen, wenn die Datenquelle die EPS-Regulierung nicht mehr überschreitet. Der Standardwert ist 5000. |
Bedingter Zugriff zum Lesen von Berichten
Wenn Sie die Fehlernachricht "Status Code: 401 | Status Reason: Unauthorized, " überprüfen Sie die folgende Dokumentation zu Richtlinien für bedingten Zugriff, um sicherzustellen, dass das Benutzerkonto Zugriff auf die traditionelle Office 365 Message Trace-API der Anwendung hat:
- Weitere Informationen zum Blockieren und Aufheben der Blockierung traditioneller Inhalte in Richtlinien für bedingten Zugriff finden Sie unter Bedingter Zugriff: Traditionelle Authentifizierung blockieren.
- Weitere Informationen zum Erstellen von Richtlinien für bedingten Zugriff für Benutzer und Gruppen finden Sie unter Bedingter Zugriff: Benutzer und Gruppen.
- Weitere Informationen zum Erstellen von bedingten Zugriffsrichtlinien für Cloud-Apps oder -Aktionen finden Sie unter Bedingter Zugriff: Cloud-Apps oder -Aktionen.
- Weitere Informationen zum Erteilen oder Blockieren von Zugriff auf Ressourcen mit einer Richtlinie für bedingten Zugriff finden Sie unter Bedingter Zugriff: Erteilen.