プロトコルを使用する前に、Microsoft Graph Security API を IBM
QRadar と統合します。
始める前に
Microsoft Graph Security API を QRadarと統合するには、 Microsoft Azure Active Directoryが必要です。
手順
- 自動アップデートが有効になっていない場合、RPM は IBM® サポート Web サイト (http://www.ibm.com/support) からダウンロードできます。 以下のRPMの最新版をダウンロードし、QRadar® コンソールにインストールしてください。
- プロトコル共通 RPM
- Microsoft Graph Security API プロトコル RPM
- 以下の手順に従って、イベントを QRadar に転送するように Microsoft Graph Security API サーバーを構成します。
- Azure AD アプリケーションを作成します。 詳しくは、 ポータルを使用して、リソースにアクセスできる Azure AD アプリケーションとサービス・プリンシパルを作成します。 (https://docs.microsoft.com/en-us/azure/active-directory/develop/how to-create-service-principal-portal) を参照してください。
- セキュリティー API クライアント・アプリケーションで許可をセットアップします。 詳しくは、 許可と Microsoft Graph Security API (https://docs.microsoft.com/en-us/graph/security-authorization) を参照してください。
アラート V1 API を使用する場合、アクセス・トークンに以下のアプリケーション役割を含める必要があります。
- SecurityEvents.Read.All
- User.Read.All
- SecurityActions.Read.All
- IdentityRiskyUser.Read.All
- IdentityRiskEvent.Read.All
重要:アラート V2 API を使用する場合は、 SecurityEvents.Read.All アプリケーション役割を含める必要があります。 その他のタイプのイベントでは、異なる役割を必要とする場合があります。
アプリケーション権限を持つアプリケーション役割を指定する必要があります。 ご使用の環境でアプリケーション許可が受け入れられない場合は、代行許可を使用できます。
- このプロトコルを使用するカスタム・ログ・ソース・タイプまたは特定の DSM を使用して、 QRadar
Console で Microsoft Security Graph API プロトコル・ログ・ソースを追加します。