Configurazione di Microsoft Graph Security API per comunicare con QRadar

Integra l' Security API di Microsoft Graph con IBM QRadar prima di utilizzare il protocollo.

Prima di iniziare

Per integrare l' Security API di Microsoft Graph con QRadar, è necessario Microsoft Azure Active Directory.

Procedura

  1. Se gli aggiornamenti automatici non sono abilitati, gli RPM sono disponibili per il download dal sito web di supporto IBM® (http://www.ibm.com/support). Scaricare e installare la versione più recente dei seguenti RPM sulla propria QRadar® Console.
    • RPM comune di protocollo
    • Microsoft Graph Security API Protocollo RPM
  2. Configura il tuo server Microsoft Graph Security API per inoltrare eventi a QRadar seguendo queste istruzioni:
    1. Creare un'applicazione AD Azure . Per ulteriori informazioni, consultare Utilizzare il portale per creare un'applicazione Azure AD e un principal del servizio che possano accedere alle risorse (https://docs.microsoft.com/en-us/azure/active-directory/develop/how to - create - service - principal - portal).
    2. Impostare un'autorizzazione nelle applicazioni client API di sicurezza. Per ulteriori informazioni, vedi Authorization and the Microsoft Graph Security API (https://docs.microsoft.com/en-us/graph/security-authorization).
      Quando si utilizza l'API Avvisi V1 , è necessario includere i seguenti ruoli delle app nell'Access Token:
      • SecurityEvents.Read.All
      • User.Read.All
      • SecurityActions.Read.All
      • IdentityRiskyUser.Read.All
      • IdentityRiskEvent.Read.All
      Importante:

      Quando utilizzi l'API degli avvisi V2 , devi includere il ruolo dell'applicazione SecurityEvents.Read.All . Altri tipi di eventi possono richiedere ruoli differenti.

      È necessario designare i ruoli dell'app con i permessi Applicazione . Se il tuo ambiente non accetta i permessi Applicazione , è possibile utilizzare i permessi Delegati .

  3. Aggiungere un'origine log del protocollo Microsoft Security Graph API su QRadar Console utilizzando un tipo di origine log personalizzato o un DSM specifico che utilizza questo protocollo.
    Per ulteriori informazioni sui DSM supportati, consultare QRadar supported DSMs. Per ulteriori informazioni sull'aggiunta di un'origine log in QRadar, vedi Aggiunta di un'origine log.