Ufficio 365 Opzioni di configurazione del protocollo REST API
Il protocollo API REST di traccia dei messaggi di Office 365 per IBM® Security QRadar® raccoglie i log di traccia dei messaggi dall'API REST di traccia dei messaggi. Questo protocollo in uscita attivo viene utilizzato per raccogliere i log email di Office 365.
Per utilizzare l'autenticazione moderna, è necessario registrare una nuova applicazione sul portale Microsoft Azure (https://portal.azure.com/). Nel portale, è possibile ottenere valori importanti che è necessario utilizzare quando si crea un'origine log Microsoft Office 365 Message Trace.
- Creare un'applicazione che può essere utilizzata per l'autenticazione con l'API REST di traccia dei messaggi di Office 365. Per ulteriori informazioni, vedi Utilizza il portale per creare un'applicazione Azure AD e il principal del servizio che può accedere alle risorse.
- Assegnare i ruoli Azure AD all'applicazione. Per ulteriori informazioni, vedi Assegna i ruoli di Azure AD all'applicazione.
- Impostare l'autorizzazione dell'applicazione ReportingWebService. Read.All Per ulteriori informazioni, consultare Specifica delle autorizzazioni richieste dalla app per accedere a Reporting Web Service.
- Ottieni i valori ID client, ID tenante Segreto client .
- Sulla pagina Panoramica , individua e copia i valori ID client e ID tenant . Utilizzare questi valori quando si crea un'origine log di Microsoft Office 365 Message Trace. Per ulteriori informazioni, vedi Get tenant and app ID values for signing in.
- Nella pagina Certificati e segreti dell'applicazione, fare clic su Nuovo segreto per creare il segreto client, quindi copiare il segreto client in un editor di testo. Utilizzare questo valore per il parametro Segreto client quando si crea un'origine log di Microsoft Office 365 Message Trace. Per ulteriori informazioni, vedi Crea un nuovo segreto dell'applicazione.
| Parametro | Valore |
|---|---|
| Identificativo origine log | Un nome univoco per l'origine log. Il nome non può includere spazi e deve essere univoco tra tutte le origini log di questo tipo configurate con il protocollo Office 365 Message Trace REST API. |
| Metodo di autenticazione | L'autenticazione moderna utilizza OAuth 2.0 per autenticare e autorizzare l'accesso alla risorsa. L'autenticazione di base utilizza il nome utente e la password. Se si seleziona il metodo di autenticazione Base , vengono visualizzati i parametri Email account utente Office 365 e Password account utente Office 365 . Fornire un account di posta elettronica Office 365 con le autorizzazioni appropriate. Importante: al 1 ° gennaio 2023, Microsoft non supporterà più l'autenticazione di base. Per continuare a ricevere gli eventi di traccia dei messaggi, è necessario utilizzare l'autenticazione moderna .
|
| ID client | Il valore ID client dalla configurazione dell'applicazione di Microsoft Azure Active Directory. Per ulteriori informazioni, vedi Get tenant and app ID values for signing in. |
| Segreto client | Il segreto client che hai creato per la tua applicazione sul portale Microsoft Azure . Per ulteriori informazioni, vedi Crea un nuovo segreto dell'applicazione. |
| ID tenant | Il valore ID tenant utilizzato per l'autenticazione Microsoft Azure Active Directory . Per ulteriori informazioni, vedi Get tenant and app ID values for signing in. |
| Ritardo evento | Il ritardo, in secondi, per la raccolta dei dati. Office 365 Message Trace registra il lavoro su un eventuale sistema di consegna. Per garantire che non siano mancati dati, i log vengono raccolti su un ritardo. Il ritardo predefinito è di 900 seconds (15 minutes) e può essere impostato a basso come 0 seconds. |
| Utilizza proxy | Se si accede all'API utilizzando un proxy, selezionare questa casella di controllo. Configurare i campi Server proxy, Porta proxy, Nome utente proxye Password proxy . Se il proxy non richiede l'autenticazione, è possibile lasciare vuoti i campi Nome utente proxy e Password proxy . |
| Abilita opzioni avanzate | Selezionare questa opzione per modificare i valori predefiniti dei parametri Microsoft API Login Endpoint e Office 365 Message Trace API Management URL. Se non si abilita questo parametro, vengono utilizzati i valori predefiniti. |
| Endpoint di accesso API Microsoft | Specificare l'endpoint di accesso API Microsoft. Il valore predefinito è https://login.windows.net. Se non si abilita il parametro Abilita opzioni avanzate , viene utilizzato il valore predefinito. |
| URL API Management tracciamento dei messaggi di Office 365 | L' URL di gestione dell'API di Office 365 Message Trace consente al token di accedere alla risorsa specificata. Il valore predefinito è https://outlook.office365.com. Se non si abilita il parametro Abilita opzioni avanzate , viene utilizzato il valore predefinito. |
| Ricorrenza | L'intervallo di tempo tra le query di origine log all'API di Office 365 Message Trace REST per i nuovi eventi. L'intervallo di tempo può essere in ore (H), minuti (M) o giorni (D). Il valore predefinito è 5 minuti. |
| EPS Throttle | Il numero massimo di eventi al secondo che QRadar ingerisce. Se l'origine dati supera il throttle EPS, la raccolta dati viene ritardata. I dati vengono ancora raccolti e vengono inseriti quando l'origine dati smette di superare il throttle EPS. Il valore predefinito è 5000. |
Accesso condizionato per le relazioni di lettura
Se si riceve il messaggio di errore "Status Code: 401 | Status Reason: Unauthorized, " rivedere la seguente documentazione relativa alle politiche di accesso condizionale per confermare che l'account utente abbia accesso all'API di applicazione legacy Office 365 Message Trace:
- Per ulteriori informazioni sul blocco e lo sblocco del contenuto legacy nelle politiche di accesso condizionato, consulta Accesso condizionato: blocca autenticazione legacy.
- Per ulteriori informazioni sulla creazione di politiche di accesso condizionato per utenti e gruppi, consultare Accesso condizionato: utenti e gruppi.
- Per ulteriori informazioni sulla creazione di politiche di accesso condizionato per le applicazioni o le azioni cloud, consulta Accesso condizionato: applicazioni o azioni cloud.
- Per ulteriori informazioni sulla concessione o sul blocco dell'accesso alle risorse con una politica di accesso condizionale, vedi Accesso condizionale: Concedi.