Opcje konfiguracji protokołu REST API śledzenia komunikatów Office 365

Protokół interfejsu REST API śledzenia komunikatów Office 365 dla programu IBM® Security QRadar ® gromadzi dzienniki śledzenia komunikatów z interfejsu REST API śledzenia komunikatów. Ten aktywny protokół wychodzący jest używany do gromadzenia dzienników poczty elektronicznej Office 365.

Ważne: Począwszy od dnia 1 stycznia 2023 firma Microsoft nie będzie już obsługiwać uwierzytelniania podstawowego. Aby kontynuować odbieranie zdarzeń śledzenia komunikatów, należy użyć nowoczesnego uwierzytelniania. Nowoczesne uwierzytelnianie używa protokołu OAuth 2.0 do uwierzytelniania i autoryzowania dostępu do zdarzeń. Więcej informacji na temat dezaktualizacji podstawowego uwierzytelniania zawiera sekcja Basic Authentication Deprecation in Exchange Online-September 2022 Update (https://techcommunity.microsoft.com/t5/exchange-team-blog/basic-authentication-deprecation-in-exchange-online-september/ba-p/3609437).

Aby korzystać z nowoczesnego uwierzytelniania, należy zarejestrować nową aplikację w portalu Microsoft Azure (https://portal.azure.com/). W portalu można uzyskać ważne wartości, które należy wykorzystać podczas tworzenia źródła dziennika śledzenia komunikatów Microsoft Office 365 .

  1. Utwórz aplikację, która może być używana do uwierzytelniania za pomocą interfejsu API usług REST śledzenia komunikatów Office 365. Więcej informacji na ten temat zawiera sekcja Korzystanie z portalu w celu utworzenia aplikacji Azure AD i nazwy użytkownika usługi, która może uzyskać dostęp do zasobów (https://docs.microsoft.com/en-us/azure/active-directory/develop/howto-create-service-principal-portal).
    1. Przypisz role Azure AD do aplikacji. Więcej informacji na ten temat zawiera sekcja Przypisywanie ról Azure AD do aplikacji (https://learn.microsoft.com/en-us/previous-versions/office/developer/o365-enterprise-developers/jj984325(v=office.15)#assign-azure-ad-roles-to-the-application).
    2. Ustaw uprawnienie do aplikacji ReportingWebService.Read.All . Więcej informacji na ten temat zawiera sekcja Określanie uprawnień wymaganych przez aplikację do uzyskania dostępu do usługi Web Service raportowania (https://learn.microsoft.com/en-us/previous-versions/office/developer/o365-enterprise-developers/jj984325(v=office.15)#specify-the-permissions-your-app-requires-to-access-the-reporting-web-service).
  2. Uzyskaj wartości Identyfikator klienta, Identyfikator najemcyi Klucz tajny klienta .
    1. Na stronie Przegląd aplikacji znajdź i skopiuj wartości parametrów Identyfikator klienta i Identyfikator najemcy . Te wartości są używane podczas tworzenia źródła dziennika śledzenia komunikatów produktu Microsoft Office 365 . Więcej informacji na ten temat zawiera sekcja Uzyskiwanie wartości identyfikatora podmiotu użytkującego i aplikacji do podpisywania w (https://learn.microsoft.com/en-us/azure/active-directory/develop/howto-create-service-principal-portal#get-najemca-i-aplikacji-wartości-wartości-do-logowania).
    2. Na stronie Certyfikaty i sekrety w aplikacji kliknij opcję Nowy klucz tajny , aby utworzyć klucz tajny klienta, a następnie skopiuj dane szyfrujące klienta do edytora tekstu. Wartość ta jest używana w przypadku parametru Klucz tajny klienta podczas tworzenia źródła dziennika śledzenia komunikatów Microsoft Office 365 . Więcej informacji na ten temat zawiera sekcja Tworzenie nowego klucza tajnego aplikacji (https://learn.microsoft.com/en-us/azure/active-directory/develop/howto-create-service-principal-portal#option-2-create-a-new-application-secret).

Następujące parametry wymagają konkretnych wartości do gromadzenia zdarzeń z interfejsu API usług REST śledzenia komunikatów Office 365:

Tabela 1. Parametry źródła dziennika protokołu API REST śledzenia komunikatów Office 365 Message Trace
Parametr Wartość
Identyfikator źródła dziennika

Unikalna nazwa źródła dziennika.

Nazwa nie może zawierać spacji i musi być unikalna wśród wszystkich źródeł dziennika tego typu, które są skonfigurowane za pomocą protokołu API REST śledzenia komunikatów Office 365.
Metoda uwierzytelniania Nowoczesne uwierzytelnianie używa protokołu OAuth 2.0 do uwierzytelniania i autoryzowania dostępu do zasobu. Uwierzytelnianie podstawowe używa nazwy użytkownika i hasła.

Jeśli zostanie wybrana metoda uwierzytelniania Podstawowe , zostaną wyświetlone parametry Adres e-mail konta użytkownika pakietu Office 365 i Hasło konta użytkownika Office 365 . Podaj konto poczty elektronicznej Office 365 z odpowiednimi uprawnieniami.

Ważne: Począwszy od dnia 1 stycznia 2023 firma Microsoft nie będzie już obsługiwać uwierzytelniania podstawowego. Aby kontynuować odbieranie zdarzeń śledzenia komunikatów, należy użyć uwierzytelniania Nowoczesne .
Identyfikator klienta Wartość Identyfikator klienta z konfiguracji aplikacji Microsoft Azure Active Directory. Więcej informacji na ten temat zawiera sekcja Uzyskiwanie wartości identyfikatora podmiotu użytkującego i aplikacji do podpisywania w (https://learn.microsoft.com/en-us/azure/active-directory/develop/howto-create-service-principal-portal#get-najemca-i-aplikacji-wartości-wartości-do-logowania).
Dane niejawne klienta Klucz tajny klienta, który został utworzony dla aplikacji w portalu Microsoft Azure . Więcej informacji na ten temat zawiera sekcja Tworzenie nowego klucza tajnego aplikacji (https://learn.microsoft.com/en-us/azure/active-directory/develop/howto-create-service-principal-portal#option-2-create-a-new-application-secret).
Identyfikator najemcy Wartość Identyfikator najemcy używana dla uwierzytelniania Microsoft Azure Active Directory . Więcej informacji na ten temat zawiera sekcja Uzyskiwanie wartości identyfikatora podmiotu użytkującego i aplikacji do podpisywania w (https://learn.microsoft.com/en-us/azure/active-directory/develop/howto-create-service-principal-portal#get-najemca-i-aplikacji-wartości-wartości-do-logowania).
Opóźnienie zdarzenia

Opóźnienie (w sekundach) gromadzenia danych.

Dzienniki śledzenia komunikatów Office 365 działają w docelowym systemie dostarczania. Aby się upewnić, że żadne dane nie zostaną pominięte, dzienniki są gromadzone z opóźnieniem. Opóźnienie domyślne to 900 sekund (15 minut) i można je ustawić na wartość 0 sekund.
Użyj proxy Jeśli dostęp do interfejsu API jest uzyskiwany za pomocą serwera proxy, należy zaznaczyć to pole wyboru.

Skonfiguruj pola Serwer proxy, Port proxy, Nazwa użytkownika proxyi Hasło serwera proxy . Jeśli serwer proxy nie wymaga uwierzytelniania, można pozostawić puste pola Nazwa użytkownika proxy i Hasło proxy .
Włącz opcje zaawansowane Wybierz tę opcję, aby zmodyfikować wartości domyślne dla parametrów Adres URL logowania interfejsu API firmy Microsoft i Adres URL interfejsu API API Management . Jeśli ten parametr nie zostanie włączony, zostaną użyte wartości domyślne.
Punkt końcowy logowania Microsoft API Określ punkt końcowy logowania interfejsu API firmy Microsoft. Wartością domyślną jest https://login.windows.net.

Jeśli parametr Enable Advanced Options (Włącz opcje zaawansowane) nie zostanie włączony, zostanie użyta wartość domyślna.
Adres URL API Management śledzenia komunikatów Office 365 Adres URL zarządzania interfejsem API śledzenia komunikatów Office 365 nadaje użytkownikowi dostęp do określonego zasobu. Wartością domyślną jest https://outlook.office365.com.

Jeśli parametr Enable Advanced Options (Włącz opcje zaawansowane) nie zostanie włączony, zostanie użyta wartość domyślna.
Powtarzanie

Odstęp czasu między zapytaniami źródła dziennika do interfejsu API REST śledzenia komunikatów Office 365 dla nowych zdarzeń.

Przedział czasu może być wyrażony w godzinach (H), minutach (M) lub dniach (D). Wartość domyślna to 5 minut.
Ograniczenie EPS Maksymalna liczba zdarzeń na sekundę (EPS). Wartością domyślną jest 5000.

Dostęp warunkowy do odczytu raportów

Jeśli pojawi się komunikat o błędzie "Status Code: 401 | Status Reason: Unauthorized, " przejrzyj następującą dokumentację strategii dostępu warunkowego, aby upewnić się, że konto użytkownika ma dostęp do wcześniejszego interfejsu API śledzenia komunikatów Office 365 Message Trace:

  • Więcej informacji na temat blokowania i odblokowowania wcześniejszych treści w strategiach dostępu warunkowego zawiera sekcja Dostęp warunkowy: wcześniejsze uwierzytelnianie w blokach (https://docs.microsoft.com/en-us/azure/active-directory/conditional-access/howto-conditional-access-policy-block-legacy).
  • Więcej informacji na temat tworzenia strategii dostępu warunkowego dla użytkowników i grup można znaleźć w sekcji Dostęp warunkowy: użytkownicy i grupy (https://docs.microsoft.com/en-us/azure/active-directory/conditional-access/concept-conditional-access-users-groups).
  • Więcej informacji na temat tworzenia strategii dostępu warunkowego dla aplikacji lub działań w chmurze można znaleźć w sekcji Dostęp warunkowy: aplikacje w chmurze lub działania (https://docs.microsoft.com/en-us/azure/active-directory/conditional-access/concept-conditional-access-cloud-apps).
  • Więcej informacji na temat nadawania lub blokowania dostępu do zasobów za pomocą strategii dostępu warunkowego można znaleźć w sekcji Dostęp warunkowy: Grant (https://docs.microsoft.com/en-us/azure/active-directory/conditional-access/concept-conditional-access-grant).