Microsoft Office 365
IBM QRadar DSM per Microsoft Office 365 raccoglie gli eventi dai servizi online Microsoft Office 365 .
| Specifica | Valore |
|---|---|
| Produttore | Microsoft |
| Nome DSM | Microsoft Office 365 |
| Nome file RPM | DSM-MicrosoftOffice365-QRadar_version-build_number.noarch.rpm |
| Versioni supportate | N/A |
| Protocollo | Ufficio 365 REST API |
| Formato dell'evento | JSON |
| Tipi di eventi registrati | Controllo Exchange, Controllo SharePoint , Controllo Azure Active Directory |
| Scoperto automaticamente? | N |
| Include l'identità? | N |
| Include proprietà personalizzate? | N |
| Ulteriori informazioni | Sito web Microsoft (https://www.microsoft.com) |
- Se gli aggiornamenti automatici non sono abilitati, scaricare e installare la versione più recente dei seguenti RPM dal sito web di supporto IBM® sul vostro QRadar
Console.
- RPM comune di protocollo
- Ufficio 365 REST Protocollo API RPM
- Microsoft Office 365 DSM RPM
- Configurare un account Microsoft Office 365 nel portale Microsoft Azure .
- Aggiungere un'origine log Microsoft Office 365 su QRadar
Console. Per ulteriori informazioni sull'aggiunta di un'origine log, consultare l'argomento Aggiunta di un'origine log . La seguente tabella descrive i parametri di origine log che richiedono valori specifici per la raccolta eventi Microsoft Office 365 :
Tabella 2. Microsoft Office 365 parametri di origine log Parametro Valore Tipo di origine log Microsoft Office 365 Configurazione protocollo Ufficio 365 REST API Identificativo origine log Un identificativo univoco per l'origine log.
L' identificatore di origine log può essere qualsiasi valore valido e non ha bisogno di fare riferimento a un server specifico. L' identificatore di origine log può essere lo stesso valore del Nome origine log. Se si configurano più sorgenti di log Microsoft Office 365 , si potrebbe voler identificare la prima origine log come MSOffice365-1, la seconda origine log come MSOffice365-2e la terza origine log come MSOffice365-3.
ID client Nella configurazione dell'applicazione di Azure Active Directory, questo parametro è sotto Client ID. Segreto client Nella configurazione dell'applicazione di Azure Active Directory, questo parametro è sotto Valore. ID tenant Utilizzato per l'autenticazione Azure AD. Filtro eventi Il tipo di eventi di verifica da richiamare da Microsoft Office.- Azure Active Directory
- Scambia
- SharePoint
- Generale
- DLP
Metodo di autenticazione - Codice segreto del client: autenticazione basata sul codice segreto standard del client.
- Certificato client: autenticazione basata su certificato autofirmato.
Utilizza proxy Per consentire a QRadar di accedere alle API di Office 365 Management, tutto il traffico per l'origine log viaggia attraverso i proxy configurati.
Configurare i campi Proxy Server, Proxy Port, Proxy Usernamee Password proxy .
Se il proxy non richiede autenticazione, conservare i campi Proxy Username e Proxy Password vuoti.
Acceleratore EPS Il numero massimo di eventi al secondo che QRadar ingerisce.
Se l'origine dati supera il throttle EPS, la raccolta dati viene ritardata. I dati vengono ancora raccolti e vengono inseriti quando l'origine dati smette di superare il throttle EPS.
Mostra opzioni avanzate Mostra opzioni avanzate facoltative per la raccolta eventi. I valori Opzioni avanzate sono in vigore se vengono mostrati o meno. Gestione Attività URL API Specificare l' URL dell'API dell'attività di gestione di Office 365. L'impostazione predefinita è https://manage.office.com. URL di accesso ad Azure AD Specificare l' URL di accesso ad Azure AD. L'impostazione predefinita è https://login.microsoftonline.com. - Verificare la connettività all'origine log Office365 . Segui le istruzioni riportate nella sezione "Verifica delle origini dei log".