Microsoft Office 365
El IBM QRadar DSM para Microsoft Office 365 recopila sucesos de los servicios en línea de Microsoft Office 365 .
| Especificación | Valor |
|---|---|
| Fabricante | Microsoft |
| Nombre de DSM | Microsoft Office 365 |
| Nombre de archivo RPM | DSM-MicrosoftOffice365-QRadar_version-build_number.noarch.rpm |
| Versiones soportadas | N/D |
| Protocolo | API REST de Office 365 |
| Formato del evento | JSON |
| Tipos de sucesos registrados | Auditoría de Exchange, Auditoría de SharePoint , Auditoría de Azure Active Directory |
| ¿Descubierto automáticamente? | Nee |
| ¿Incluye identidad? | Nee |
| ¿Incluye propiedades personalizadas? | Nee |
| Más información | Sitio web de Microsoft (https://www.microsoft.com) |
- Si las actualizaciones automáticas no están activadas, descargue e instale la versión más reciente de los siguientes RPM desde el IBM® en su QRadar
Console.
- Protocol Common RPM
- RPM de protocolo de API REST de Office 365
- Microsoft Office 365 RPM de DSM
- Configure una cuenta de Microsoft Office 365 en el portal de Microsoft Azure .
- Añada un origen de registro de Microsoft Office 365 en QRadar
Console. Para obtener más información sobre cómo añadir un origen de registro, consulte el tema Adición de un origen de registro . La tabla siguiente describe los parámetros de origen de registro que requieren valores específicos para la recopilación de sucesos de Microsoft Office 365 :
Tabla 2. Microsoft Office 365 Parámetro Valor Tipo de origen de registro Microsoft Office 365 Configuración de protocolo API REST de Office 365 Identificador de origen de registro Un identificador exclusivo para el origen de registro.
El Identificador de origen de registro puede ser cualquier valor válido y no es necesario que haga referencia a un servidor específico. El Identificador de origen de registro puede ser el mismo valor que el Nombre de origen de registro. Si ha configurado varios orígenes de registro de Microsoft Office 365 , es posible que desee identificar el primer origen de registro como MSOffice365-1, el segundo origen de registro como MSOffice365-2y el tercer origen de registro como MSOffice365-3.
ID de cliente En la configuración de aplicación de Azure Active Directory, este parámetro está bajo ID de cliente. Secreto de cliente En la configuración de la aplicación de Azure Active Directory, este parámetro está bajo Valor. ID de arrendatario Se utiliza para la autenticación de Azure AD. Filtro de sucesos El tipo de sucesos de auditoría a recuperar de Microsoft Office.- Azure Active Directory
- Exchange
- SharePoint
- General
- DLP
Método de autenticación - Secreto de cliente: Autenticación basada en el secreto de cliente estándar.
- Certificado de cliente: autenticación basada en un certificado autofirmado.
Utilizar proxy Para que QRadar acceda a las API de gestión de Office 365, todo el tráfico del origen de registro viaja a través de proxies configurados.
Configure los campos Servidor proxy, Puerto proxy, Nombre de usuario de proxyy Contraseña de proxy .
Si el proxy no requiere autenticación, mantenga vacíos los campos Nombre de usuario de proxy y Contraseña de proxy .
Regulador de EPS El número máximo de sucesos por segundo que QRadar ingiere.
Si el origen de datos supera el regulador EPS, la recopilación de datos se retrasa. Los datos se siguen recopilando y, a continuación, se ingieren cuando el origen de datos deja de superar el regulador EPS.
Mostrar opciones avanzadas Mostrar opciones avanzadas opcionales para la recopilación de sucesos. Los valores de Opciones avanzadas están en vigor tanto si se muestran como si no. Actividad de gestión URL API Especifique la URL la API de actividad de administración de Office 365. El valor predeterminado es https://manage.office.com. URL inicio de sesión de Azure AD Especifique la URL inicio de sesión de Azure AD. El valor predeterminado es https://login.microsoftonline.com. - Pruebe la conectividad con el origen de registro Office365 . Siga las instrucciones que se indican en «Comprobación de fuentes de registro ».