Opcje konfiguracji protokołu Microsoft Graph Security API
Aby odbierać zdarzenia z wykresu Microsoft Graph Security API, należy skonfigurować źródło dziennika w programie IBM® QRadar® w celu użycia protokołu Microsoft Graph Security API .
Protokół Microsoft Graph Security API jest protokołem wychodzącym/aktywnym. Ten protokół może być również używany przez DSM. Listę obsługiwanych wersji DSM można znaleźć w sekcji QRadar wspierany DSM.
Następujące parametry wymagają konkretnych wartości do gromadzenia zdarzeń z serwerów Microsoft Graph Security:
| Parametr | Wartość |
|---|---|
| Typ źródła dziennika | Niestandardowy typ źródła dziennika lub konkretna firma DSM, która używa tego protokołu. |
| Konfiguracja protokołu | Wykres Microsoft Security API |
| Identyfikator źródła dziennika | Wpisz unikalną nazwę źródła dziennika. Identyfikator źródła dziennika może być dowolną poprawną wartością i nie musi odwoływać się do konkretnego serwera. Może to być również ta sama wartość, co Nazwa źródła dziennika. Jeśli istnieje więcej niż jeden skonfigurowany kod źródłowy dziennika programu Microsoft Graph Security, należy nadać każdemu nazwę unikalną nazwę. |
| Identyfikator najemcy | Wartość Identyfikator najemcy używana na potrzeby uwierzytelniania Microsoft Azure Active Directory . |
| Identyfikator klienta | Wartość parametru Identyfikator klienta z konfiguracji aplikacji produktu Microsoft Azure Active Directory. |
| Dane niejawne klienta | Hasło Dane poufne klienta jest odbierane podczas konfigurowania katalogu zdarzeń produktu Microsoft Azure . To hasło potwierdza, że konto użytkownika jest autoryzowane do uzyskania tokenu dostępu. Tę wartość można uzyskać tylko wtedy, gdy została ona utworzona i nie można jej później odtworzyć. Jeśli hasło klucza tajnego klienta zostanie utracone, należy utworzyć nowy klucz API, aby kontynuować odbieranie zdarzeń z wykresu Microsoft Graph Security API. |
| Interfejs API | Interfejs API dyktuje typy i formaty zdarzeń, które mogą być gromadzone przez protokół. Wybierz interfejs API, który jest zgodny z wybranym DSM. Jeśli używany jest produkt Microsoft Azure Security Center DSM, wybierz opcję Alerty V1. Jeśli korzystasz z programu Microsoft 365 Defender ® DSM, wybierz opcję Alerty V2. |
| Usługa | Ogranicza zdarzenia do konkretnej usługi lub produktu. Wybierz produkt, który jest kompatybilny z wybranym DSM. Można użyć opcji Inne , aby usunąć filtr lub dodać więcej ustawień filtru. Jeśli korzystasz z programu Microsoft 365 Defender DSM, wybierz opcję Microsoft Defender for Endpoint. |
| Filtr zdarzeń | Pobieranie zdarzeń przy użyciu filtru zapytań interfejsu API programu Microsoft Security Graph. Na przykład: severity eq 'high'. Przed parametrem filtru nie należy wpisać "filter=". Więcej informacji na temat pisania zapytań zawiera sekcja Curated Sample Queries (Zapytania przykładowe Curated Sample) (https://github.com/microsoftgraph/security-api-solutions/tree/master/Queries). |
| Użyj proxy | Jeśli program QRadar uzyskuje dostęp do serwera Microsoft Graph Security API przez serwer proxy, należy zaznaczyć to pole wyboru. Jeśli serwer proxy wymaga uwierzytelniania, należy skonfigurować pola Nazwa hosta proxy lub adres IP, Port proxy, Nazwa użytkownika proxyi Proxy . Jeśli serwer proxy nie wymaga uwierzytelniania, należy skonfigurować pola Nazwa hosta proxy lub adres IP i Port proxy . |
| Adres IP lub nazwa hosta proxy | Adres IP lub nazwa hosta serwera proxy. Jeśli parametr Użyj serwera proxy jest ustawiony na wartość Fałsz, ta opcja jest ukryta. |
| Port proxy | Numer portu używany do komunikowania się z serwerem proxy. Wartość domyślna to 8080. Jeśli parametr Użyj serwera proxy ma wartość False, ta opcja jest ukryta. |
| Nazwa użytkownika proxy | Nazwa użytkownika, która jest używana do komunikacji z serwerem proxy. Jeśli parametr Użyj serwera proxy jest ustawiony na wartość Fałsz, ta opcja jest ukryta. |
| Hasło proxy | Hasło używane do uzyskiwania dostępu do serwera proxy. Jeśli parametr Użyj serwera proxy jest ustawiony na wartość Fałsz, ta opcja jest ukryta. |
| Powtarzanie | Aby określić częstotliwość skanowania odpytywania dla nowych danych, należy wpisać przedział czasu rozpoczynający się od Czas rozpoczęcia . Przedział czasu może zawierać wartości w godzinach (H), minutach (M) lub dniach (D). Na przykład: 2H -2 godziny, 15M -15 minut. Wartością domyślną jest 1M. |
| Przepustnica EPS | Maksymalna liczba zdarzeń na sekundę (EPS). Wartością domyślną jest 5000. |
| Pokaż opcje zaawansowane | Aby skonfigurować opcje zaawansowane dla kolekcji zdarzeń, należy włączyć tę opcję. |
| Punkt końcowy logowania | Określ punkt końcowy logowania Azure AD. Wartością domyślną jest login.microsoftonline.com. Jeśli produkt Pokaż opcje zaawansowanezostanie wyłączony, ta opcja jest ukryta. |
| Punkt końcowy interfejsu API wykresu | Podaj adres URL Security API programu Microsoft Graph. Wartością domyślną jest https://graph.microsoft.com. Jeśli produkt Pokaż opcje zaawansowanezostanie wyłączony, ta opcja jest ukryta. |