Opzioni di configurazione del protocollo Microsoft Graph Security API
Per ricevere gli eventi dall' Security APIMicrosoft Graph, configurare un'origine log in IBM QRadar per utilizzare il protocollo Security API Microsoft Graph.
Il protocollo Microsoft Graph Security API è un protocollo in uscita / attivo. Il tuo DSM potrebbe anche utilizzare questo protocollo. Per un elenco dei DSM supportati, vedere QRadar® supportati.
I seguenti parametri richiedono valori specifici per raccogliere gli eventi dai server Microsoft Graph Security:
| Parametro | Valore |
|---|---|
| Tipo di origine log | Un tipo di origine log personalizzato o un DSM specifico che utilizza questo protocollo. |
| Configurazione protocollo | Grafico Microsoft Security API |
| Identificativo origine log | Digitare un nome univoco per l'origine log. Il Identificativo di origine log può essere qualsiasi valore valido e non ha bisogno di fare riferimento a un server specifico. Può anche essere lo stesso valore del Nome origine log. Se si dispone di più di una fonte di registrazione Microsoft Graph Security, assicurarsi di dare a ciascuno un nome univoco. |
| ID tenant | Il valore ID tenant utilizzato per l'autenticazione Microsoft Azure Active Directory . |
| ID client | Il valore del parametro ID client dalla configurazione dell'applicazione di Microsoft Azure Active Directory. |
| Metodo di autenticazione |
|
| Segreto client | Si riceve la password Segreto del cliente quando si configura Microsoft Azure Event Directory. Questa password conferma che il tuo account utente è autorizzato ad ottenere un token di accesso. È possibile ottenere questo valore solo quando viene creato, e non può essere recuperato in seguito. Se si perde la password segreta del client, è necessario creare una nuova chiave API per continuare a ricevere gli eventi dall' Security APIdi Microsoft Graph. |
| Certificato client | Specificare il percorso del certificato autofirmato .pfx . Nota: Selezionare per rendere disponibile il parametro Certificato client.
Per ulteriori informazioni, vedere Creazione di certificati e chiavi autofirmati per il protocollo API REST di Office 365. |
| Password certificato client | Specificare la password del certificato .pfx . Nota: Selezionare per rendere disponibile il parametro Password certificato client.
|
| API | L'API dettava i tipi e i formati di eventi che il protocollo può raccogliere. Selezionare un'API compatibile con il DSM selezionato. Se si utilizza il DSM Microsoft Azure Security Center, selezionare Avvisi V1. Se si utilizza il DSM Microsoft 365 Defender, selezionare Avvisi V2 o Annuncio di servizio. |
| Servizio | Limita gli eventi ad uno specifico servizio o prodotto. Selezionare un prodotto compatibile con il DSM selezionato. È possibile utilizzare l'opzione Altro per rimuovere il filtro o per aggiungere più impostazioni di filtro. Se si utilizza Microsoft 365 Defender DSM, selezionare Microsoft Defender for Endpoint. |
| Filtro eventi | Richiamare gli eventi utilizzando il filtro delle query dell'API di Microsoft Security Graph. Ad esempio, severity eq 'high'. Non immettere "filter=" prima del parametro del filtro. Per ulteriori informazioni sui parametri di query, vedere parametro di query filtro ( https://learn.microsoft.com/en-us/graph/filter-query-parameter?tabs=http ). |
| Utilizza proxy | Se QRadar accede all' Security API di Microsoft Graph tramite proxy, abilitare questa casella di spunta. Se il proxy richiede l'autenticazione, configurare i campi Nome host o IP proxy, Porta proxy, Username proxye Proxy . Se il proxy non richiede autenticazione, configurare i campi Nome host o IP proxy e Porta proxy . |
| IP proxy o Hostname | L'indirizzo IP o il nome host del server proxy. Se il parametro Utilizzo Proxy è impostato su Falso, questa opzione è nascosta. |
| Porta proxy | Il numero di porta utilizzato per comunicare con il proxy. Il valore predefinito è 8080. Se il parametro Utilizzo Proxy è impostato su False, questa opzione è nascosta. |
| Nome utente proxy | L'username che viene utilizzato per comunicare con il proxy. Se Utilizzo Proxy è impostato su Falso, questa opzione è nascosta. |
| Password proxy | La password utilizzata per accedere al proxy. Se Utilizzo Proxy è impostato su Falso, questa opzione è nascosta. |
| Ricorrenza | Digitare un intervallo di tempo che inizia all' Ora di inizio per determinare la frequenza con cui le scansioni di sondaggio per i nuovi dati. L'intervallo di tempo può includere valori in ore (H), minuti (M) o giorni (D). Ad esempio, 2H - 2 ore, 15M - 15 minuti. Il valore predefinito è 1M. |
| Acceleratore EPS | Il numero massimo di eventi al secondo che QRadar ingerisce. Se l'origine dati supera il throttle EPS, la raccolta dati viene ritardata. I dati vengono ancora raccolti e vengono inseriti quando l'origine dati smette di superare il throttle EPS. Il valore predefinito è 5000. |
| Mostra opzioni avanzate | Per configurare le opzioni avanzate per la raccolta degli eventi, abilitare questa opzione. |
| Endpoint di accesso | Specificare l'endpoint di accesso AD Azure . Il valore predefinito è login.microsoftonline.com. Se si disabilita Mostra opzioni avanzate, questa opzione è nascosta. |
| Endpoint API Endpoint | Specificare il Microsoft Graph Security API URL. Il valore predefinito è https://graph.microsoft.com. Se si disabilita Mostra opzioni avanzate, questa opzione è nascosta. |