Opciones de configuración del protocolo de la API REST de rastreo de mensajes de Office 365

El protocolo de la API REST de rastreo de mensajes de Office 365 para IBM® Security QRadar® recopila registros de rastreo de mensajes de la API REST de rastreo de mensajes. Este protocolo de salida activo se utiliza para recopilar registros de correo electrónico de Office 365.

Importante: A partir del 1 de enero de 2023, Microsoft ya no dará soporte a la autenticación básica. Para continuar recibiendo sucesos de rastreo de mensajes, debe utilizar la autenticación moderna. La autenticación moderna utiliza OAuth 2.0 para autenticar y autorizar el acceso a los sucesos. Para obtener más información sobre el desuso de la autenticación básica, consulte Desuso de autenticación básica en Exchange Online-Actualización de septiembre de 2022.

Para utilizar la autenticación moderna, debe registrar una nueva aplicación en el portal de Microsoft Azure (https://portal.azure.com/). En el portal, puede obtener valores importantes que debe utilizar al crear un origen de registro de rastreo de mensajes de Microsoft Office 365 .

  1. Cree una aplicación que se pueda utilizar para autenticarse con la API REST de rastreo de mensajes de Office 365. Para obtener más información, consulte Utilizar el portal para crear una aplicación y un principal de servicio de Azure AD que pueda acceder a los recursos.
    1. Asigne roles de Azure AD a la aplicación. Para obtener más información, consulte Asignar roles de AD de Azure a la aplicación.
    2. Establezca el permiso de aplicación ReportingWebService. Read.All. Para obtener más información, consulte Especificar los permisos que necesita la aplicación para acceder al servicio web de informes.
  2. Obtenga los valores de ID de cliente, ID de arrendatarioy Secreto de cliente .
    1. En la página Visión general de la aplicación, localice y copie los valores ID de cliente e ID de arrendatario . Estos valores se utilizan al crear un origen de registro de rastreo de mensajes de Microsoft Office 365 . Para obtener más información, consulte Obtener valores de arrendatario e ID de aplicación para iniciar la sesión.
    2. En la página Certificados y secretos de la aplicación, pulse Nuevo secreto para crear el secreto de cliente y, a continuación, copie el secreto de cliente en un editor de texto. Utilice este valor para el parámetro Secreto de cliente cuando cree un origen de registro de rastreo de mensajes de Microsoft Office 365 . Para obtener más información, consulte Crear un nuevo secreto de aplicación.
Los parámetros siguientes requieren valores específicos para recopilar sucesos de la API REST de rastreo de mensajes de Office 365:
Importante: Si la fecha de inicio y la fecha de finalización de una ejecución de registro de auditoría se solapan, hay duplicación de sucesos en los informes con distintos índices. En estos casos, debe manejar manualmente los sucesos en los informes.
Tabla 1. Parámetros de origen de registro de la API REST de rastreo de mensajes de Office 365
Parámetro Valor
Identificador de origen de registro

Un nombre exclusivo para el origen de registro.

El nombre no puede incluir espacios y debe ser exclusivo entre todos los orígenes de registro de este tipo configurados con el protocolo de la API REST de rastreo de mensajes de Office 365.
Método de autenticación La autenticación moderna utiliza OAuth 2.0 para autenticar y autorizar el acceso al recurso. La autenticación básica utiliza el nombre de usuario y la contraseña.

Si selecciona el método de autenticación Básico , aparecerán los parámetros Correo electrónico de cuenta de usuario de Office 365 y Contraseña de cuenta de usuario de Office 365 . Proporcione una cuenta de correo electrónico de Office 365 con los permisos adecuados.

Importante: A partir del 1 de enero de 2023, Microsoft ya no dará soporte a la autenticación básica. Para continuar recibiendo sucesos de rastreo de mensajes, debe utilizar la autenticación Moderna .
ID de cliente El valor de ID de cliente de la configuración de aplicación de Microsoft Azure Active Directory. Para obtener más información, consulte Obtener valores de arrendatario e ID de aplicación para iniciar la sesión.
Secreto de cliente El secreto de cliente que ha creado para la aplicación en el portal de Microsoft Azure . Para obtener más información, consulte Crear un nuevo secreto de aplicación.
ID de arrendatario El valor de ID de arrendatario que se utiliza para la autenticación de Microsoft Azure Active Directory . Para obtener más información, consulte Obtener valores de arrendatario e ID de aplicación para iniciar la sesión.
Retardo de suceso

Retardo, en segundos, para recopilar datos.

Los registros de rastreo de mensajes de Office 365 funcionan en un sistema de entrega eventual. Para asegurarse de que no faltan datos, los registros se recopilan en un retardo. El retardo predeterminado es de 900 segundos (15 minutos) y se puede establecer en 0 segundos.
Utilizar proxy Si se accede a la API utilizando un proxy, seleccione este recuadro de selección.

Configure los campos Servidor proxy, Puerto proxy, Nombre de usuario de proxyy Contraseña de proxy . Si el proxy no requiere autenticación, puede dejar en blanco los campos Nombre de usuario de proxy y Contraseña de proxy.
Habilitar opciones avanzadas Seleccione esta opción para modificar los valores predeterminados de los parámetros Punto final de inicio de sesión de API de Microsoft y URL API Management rastreo de mensajes de Office 365. Si no habilita este parámetro, se utilizarán los valores predeterminados.
Punto final de inicio de sesión de la API de Microsoft Especifique el punto final de inicio de sesión de la API de Microsoft. El valor predeterminado es https://login.windows.net.

Si no habilita el parámetro Habilitar opciones avanzadas , se utiliza el valor predeterminado.
URL API Management seguimiento de mensajes de Office 365 La URL gestión de la API de seguimiento de mensajes de Office 365 concede a su token acceso al recurso especificado. El valor predeterminado es https://outlook.office365.com.

Si no habilita el parámetro Habilitar opciones avanzadas , se utiliza el valor predeterminado.
Recurrencia

El intervalo de tiempo entre consultas de origen de registro a la API REST de rastreo de mensajes de Office 365 para sucesos nuevos.

El intervalo de tiempo puede ser en horas (H), minutos (M) o días (D). El valor predeterminado es de 5 minutos.
Regulador de EPS

El número máximo de sucesos por segundo que QRadar ingiere.

Si el origen de datos supera el regulador EPS, la recopilación de datos se retrasa. Los datos se siguen recopilando y, a continuación, se ingieren cuando el origen de datos deja de superar el regulador EPS.

El valor predeterminado es de 5000.

Acceso condicional para leer informes

Si recibe el mensaje de error "Status Code: 401 | Status Reason: Unauthorized, " revise la siguiente documentación de Políticas de acceso condicional para confirmar que la cuenta de usuario tiene acceso a la API de rastreo de mensajes de Office 365 de la aplicación heredada: