Microsoft Graph Security API プロトコルの構成オプション
Microsoft Graph Security APIからイベントを受信するには、Microsoft Graph Security API プロトコルを使用するように IBM QRadar でログ・ソースを構成します。
Microsoft Graph Security API プロトコルはアウトバウンド/アクティブ・プロトコルです。 ご使用の DSM もこのプロトコルを使用する必要があります。 サポートされるDSMのリストについては、QRadar®がサポートするDSMを参照してください。
以下のパラメーターは、Microsoft Graph Security サーバーからイベントを収集するために固有の値を必要とします。
| パラメーター | 値 |
|---|---|
| ログ・ソース・タイプ | このプロトコルを使用するカスタム・ログ・ソース・タイプまたは特定の DSM。 |
| プロトコル構成 | マイクロソフトグラフ Security API |
| ログ・ソース ID | ログ・ソースの固有名を入力します。 「ログ・ソース ID」には、任意の有効な値を使用でき、特定のサーバーを参照する必要はありません。 また、 ログ・ソース名と同じ値にすることもできます。 複数の Microsoft Graph Security ログ・ソースが構成されている場合は、それぞれに固有の名前を付けてください。 |
| テナント ID (Tenant ID) | Microsoft Azure Active Directory 認証に使用される テナント ID 値。 |
| クライアント ID | Microsoft Azure Active Directoryのアプリケーション構成からの クライアント ID パラメーター値。 |
| 認証方法 |
|
| クライアント秘密鍵 | Microsoft Azure イベント・ディレクトリーを構成すると、 クライアント秘密鍵 パスワードを受け取ります。 このパスワードは、ユーザー・アカウントがアクセス・トークンの取得を許可されていることを確認します。 この値は、作成時にのみ取得でき、後でリカバリーすることはできません。 クライアント・シークレットのパスワードを紛失した場合は、Microsoft Graph Security APIから引き続きイベントを受信するために、新しい API キーを作成する必要があります。 |
| クライアント証明書 | 自己署名 .pfx 証明書のパスを指定する。 注: クライアント証明書 パラメータを使用可能にするには、 を選択する。
詳細については、 Office 365 REST API プロトコルの自己署名証明書とキーの作成を参照してください。 |
| クライアント証明書のパスワード (Client Certificate Password) | .pfx 証明書のパスワードを指定する。 注: 「 クライアント証明書パスワード 」パラメータを使用可能にするには、 」を選択します。
|
| API | API は、プロトコルが収集できるイベントのタイプと形式を指示します。 選択した DSM と互換性のある API を選択してください。 Microsoft Azure Security Center DSM を使用している場合は、 Alerts V1 を選択します。 Microsoft 365 Defender DSM を使用している場合は、 「アラート」 V2 または「 サービスアナウンス 」を選択します。 |
| サービス | イベントを特定のサービスまたは製品に制限します。 選択した DSM と互換性のある製品を選択してください。 その他 オプションを使用して、フィルターを削除したり、フィルター設定を追加したりすることができます。 Microsoft 365 Defender DSM を使用する場合は、 「Microsoft Defender for Endpoint」を選択します。 |
| イベント・フィルター | Microsoft Security Graph API 照会フィルターを使用してイベントを取得します。 例えば、severity eq 'high'などです。 フィルター・パラメーターの前に「filter=」を入力しないでください。 クエリ・パラメータの詳細については、 クエリ・パラメータ・フィルタ ( https://learn.microsoft.com/en-us/graph/filter-query-parameter?tabs=http ) を参照してください。 |
| プロキシーの使用 (Use Proxy) | QRadar がプロキシーによって Microsoft Graph Security API にアクセスする場合は、このチェック・ボックスを有効にします。 プロキシーが認証を必要とする場合、「プロキシー・ホスト名 (Proxy Hostname)」または「IP」、「プロキシー・ポート」、「プロキシー・ユーザー名」、および「プロキシー (Proxy)」の各フィールドを構成します。 プロキシーが認証を必要としない場合、「プロキシー・ホスト名 (Proxy Hostname)」または「IP」および「プロキシー・ポート」フィールドを構成します。 |
| プロキシー IP またはホスト名 | プロキシー・サーバーの IP アドレスまたはホスト名。 「プロキシーの使用 (Use Proxy)」パラメーターが「False」に設定されている場合、このオプションは非表示になります。 |
| プロキシー・ポート | プロキシーとの通信に使用されるポート番号。 デフォルトは 8080 です。 「プロキシーの使用 (Use Proxy)」 パラメーターが「False」に設定されている場合、このオプションは非表示になります。 |
| プロキシー・ユーザー名 | プロキシーとの通信に使用されるユーザー名。 「プロキシーの使用 (Use Proxy)」が「False」に設定されている場合、このオプションは非表示になります。 |
| プロキシー・パスワード | プロキシーへのアクセスで使用されるパスワード。 「プロキシーの使用 (Use Proxy)」が「False」に設定されている場合、このオプションは非表示になります。 |
| 繰り返し (Recurrence) | 「開始時刻」で始まる時間間隔を入力し、新しいデータがないかポーリングによってスキャンを実行する頻度を指定します。 時間間隔には時間数 (H)、分数 (M)、または日数 (D) の値を含めることができます。 例えば、 2H -2 時間、 15M -15 分です。 デフォルトは 1Mです。 |
| EPS スロットル | QRadar が取り込む 1 秒当たりのイベントの最大数。 データ・ソースが EPS スロットルを超える場合、データ収集は遅延されます。 データは引き続き収集され、データ・ソースが EPS スロットルを超えて停止すると取り込まれます。 デフォルトは 5000 です。 |
| 詳細オプションを表示 | イベント収集の拡張オプションを構成するには、このオプションを有効にします。 |
| ログイン・エンドポイント | Azure AD ログイン・エンドポイントを指定します。 デフォルト値は login.microsoftonline.comです。 拡張オプションを表示する を無効にすると、このオプションは非表示になります。 |
| グラフ API エンドポイント | Security API URL を指定します。 デフォルト値は https://graph.microsoft.comです。 拡張オプションを表示する を無効にすると、このオプションは非表示になります。 |