Configuración de la Security API de Microsoft Graph para comunicarse con QRadar

Integre la Security API de Microsoft Graph con IBM QRadar antes de utilizar el protocolo.

Antes de empezar

Para integrar la Security API de Microsoft Graph con QRadar, necesita Microsoft Azure Active Directory.

Procedimiento

  1. Si las actualizaciones automáticas no están activadas, los RPM están disponibles para su descarga desde la IBM® sitio web de apoyo (http://www.ibm.com/support). Descargue e instale la versión más reciente de los siguientes RPM en su QRadar®.
    • Protocol Common RPM
    • RPM de protocolo de Security API de Microsoft Graph
  2. Configure el servidor Security API de Microsoft Graph para reenviar sucesos a QRadar siguiendo estas instrucciones:
    1. Cree una aplicación Azure AD. Para obtener más información, consulte Utilizar el portal para crear una aplicación y un principal de servicio de Azure AD que pueda acceder a los recursos (https://docs.microsoft.com/en-us/azure/active-directory/develop/how para-crear-servicio-principal-portal).
    2. Configure una autorización en aplicaciones cliente de API de seguridad. Para obtener más información, consulte Autorización y la API de seguridad de Microsoft Graph Security API (https://docs.microsoft.com/en-us/graph/security-authorization).
      Cuando utilice la API V1 de alertas, debe incluir los siguientes roles de aplicación en la señal de acceso:
      • SecurityEvents.Read.All
      • User.Read.All
      • SecurityActions.Read.All
      • IdentityRiskyUser.Read.All
      • IdentityRiskEvent.Read.All
      Importante:

      Cuando utilice la API V2 de alertas, debe incluir el rol de aplicación SecurityEvents.Read.All . Otros tipos de sucesos pueden requerir distintos roles.

      Debe designar los roles de aplicación con permisos de Aplicación . Si el entorno no acepta permisos de Aplicación , puede utilizar permisos Delegados .

  3. Añada un origen de registro de protocolo de la API de Microsoft Security Graph en el QRadar Console utilizando un tipo de origen de registro personalizado o un DSM específico que utilice este protocolo.
    Para obtener más información sobre los DSM soportados, consulte DSM soportados deQRadar. Para obtener más información sobre cómo añadir un origen de registro en QRadar, consulte Adición de un origen de registro.