Opciones de configuración del protocolo Security API de Microsoft Graph
Para recibir sucesos de la Security APIde Microsoft Graph, configure un origen de registro en IBM QRadar para utilizar el protocolo Security API de Microsoft Graph.
El protocolo Security API de Microsoft Graph es un protocolo de salida/activo. El DSM también puede utilizar este protocolo. Para obtener una lista de los DSM compatibles, consulte QRadar®.
Los parámetros siguientes requieren valores específicos para recopilar sucesos de los servidores de Microsoft Graph Security:
| Parámetro | Valor |
|---|---|
| Tipo de origen de registro | Un tipo de origen de registro personalizado o un DSM específico que utiliza este protocolo. |
| Configuración de protocolo | Microsoft Graph Security API |
| Identificador de origen de registro | Escriba un nombre exclusivo para el origen de registro. Identificador de origen de registro puede ser cualquier valor válido y no necesita hacer referencia a un servidor específico. También puede ser el mismo valor que Nombre de origen de registro. Si tiene más de un origen de registro de Microsoft Graph Security configurado, asegúrese de dar a cada uno un nombre exclusivo. |
| ID de arrendatario | El valor ID de arrendatario que se utiliza para la autenticación de Microsoft Azure Active Directory . |
| ID de cliente | El valor del parámetro ID de cliente de la configuración de la aplicación de Microsoft Azure Active Directory. |
| Secreto de cliente | Recibirá la contraseña de Secreto de cliente cuando configure Microsoft Azure Event Directory. Esta contraseña confirma que la cuenta de usuario tiene autorización para obtener una señal de acceso. Sólo puede obtener este valor cuando se crea y no se puede recuperar más tarde. Si pierde la contraseña de secreto de cliente, debe crear una nueva clave de API para seguir recibiendo sucesos de la Security APIde Microsoft Graph. |
| API | La API dicta los tipos y formatos de sucesos que el protocolo puede recopilar. Seleccione una API que sea compatible con el DSM seleccionado. Si utiliza Microsoft Azure Security Center DSM, seleccione Alertas V1. Si utiliza Microsoft 365 Defender DSM, seleccione Alertas V2. |
| Servicio | Limita los sucesos a un servicio o producto específico. Seleccione un producto que sea compatible con el DSM seleccionado. Puede utilizar la opción Otros para eliminar el filtro o añadir más valores de filtro. Si utiliza Microsoft 365 Defender DSM, seleccione Microsoft Defender for Endpoint. |
| Filtro de sucesos | Recuperar sucesos utilizando el filtro de consulta de la API de Microsoft Security Graph. Por ejemplo, severity eq 'high'. No escriba "filter=" antes del parámetro de filtro. Para obtener más información sobre los parámetros de consulta, consulte parámetro de consulta de filtrohttps://learn.microsoft.com/en-us/graph/filter-query-parameter?tabs=http. |
| Utilizar proxy | Si QRadar accede a la Security API de Microsoft Graph mediante proxy, habilite este recuadro de selección. Si el proxy requiere autenticación, configure los campos Nombre de host o IP de proxy, Puerto de proxy, Nombre de usuarioy Representante . Si el proxy no requiere autenticación, configure los campos Nombre de host o IP de proxy y Puerto de proxy . |
| Nombre de host o IP de proxy | La dirección IP o el nombre de host del servidor proxy. Si el parámetro Utilizar proxy se establece en Falso, esta opción está oculta. |
| Puerto de proxy | El número de puerto que se utiliza para comunicarse con el proxy. El valor predeterminado es 8080. Si el parámetro Utilizar proxy se establece en False, esta opción está oculta. |
| Nombre de usuario del proxy | El nombre de usuario que se utiliza para comunicarse con el proxy. Si Utilizar proxy se establece en Falso, esta opción está oculta. |
| Contraseña de proxy | La contraseña que se utiliza para acceder al proxy. Si Utilizar proxy se establece en Falso, esta opción está oculta. |
| Recurrencia | Escriba un intervalo de tiempo que empiece en Hora de inicio para determinar la frecuencia con la que el sondeo explora nuevos datos. El intervalo de tiempo puede incluir valores en horas (H), minutos (M) o días (D). Por ejemplo, 2H -2 horas, 15M -15 minutos. El valor predeterminado es 1M. |
| Regulador de EPS | El número máximo de sucesos por segundo que QRadar ingiere. Si el origen de datos supera el regulador EPS, la recopilación de datos se retrasa. Los datos se siguen recopilando y, a continuación, se ingieren cuando el origen de datos deja de superar el regulador EPS. El valor predeterminado es de 5000. |
| Mostrar opciones avanzadas | Para configurar las opciones avanzadas para la recopilación de sucesos, habilite esta opción. |
| Iniciar sesión de punto final | Especifique el punto final de inicio de sesión de Azure AD. El valor predeterminado es login.microsoftonline.com. Si inhabilita Mostrar opciones avanzadas, esta opción está oculta. |
| Punto final API de gráfico | Especifique la URL Security API Microsoft Graph. El valor predeterminado es https://graph.microsoft.com. Si inhabilita Mostrar opciones avanzadas, esta opción está oculta. |