Configurando a API do Microsoft Graph Security para se comunicar com QRadar
Integre a Security API do Microsoft Graph com o IBM QRadar antes de usar o protocolo
Antes de iniciar
Procedimento
- Se as atualizações automáticas não estiverem ativadas, os RPMs estarão disponíveis para download no site de suporte da IBM® (http://www.ibm.com/support). Baixe e instale a versão mais recente dos seguintes RPMs em seu QRadar®.
- Protocol Common RPM
- Microsoft Graph Security API Protocolo RPM
- Configure o servidor Microsoft Graph Security API para encaminhar eventos para o QRadar seguindo estas instruções:
- Crie um aplicativo Azure AD. Para obter mais informações, consulte Usar o portal para criar um aplicativo e um proprietário de serviço do AD Azure que possam acessar recursos (https://docs.microsoft.com/en-us/azure/active-directory/develop/how to-create-service-principal-portal).
- Configure uma autorização em aplicativos clientes da API de segurança. Para obter mais informações, consulte Autorização e a API de Segurança do Microsoft Graph Security API (https://docs.microsoft.com/en-us/graph/security-authorization).Ao utilizar a API de Alertas V1 , deve-se incluir as seguintes funções do app no Token de Acesso:
- SecurityEvents.Read.All
- User.Read.All
- SecurityActions.Read.All
- IdentityRiskyUser.Read.All
- IdentityRiskEvent.Read.All
Importante:Ao utilizar a API de Alertas V2 , deve-se incluir a função de app SecurityEvents.Read.All . Outros tipos de eventos podem exigir diferentes funções.
As funções de app devem ser designadas com permissões Aplicação. Se o ambiente não aceitar permissões Aplicação, será possível usar permissões Delegado.
- Inclua uma origem de log do protocolo da API do Microsoft Security Graph no QRadar
Console usando um tipo de origem de log customizado ou um DSM específico que use esse protocoloPara obter mais informações sobre DSMs suportados, consulte QRadar DSMs suportados. Para obter mais informações sobre como incluir uma origem de log no QRadar, consulte Incluindo uma origem de log.