Microsoft Graph Security API Opções de configuração de protocolo
Para receber eventos da Security APIdo Microsoft Graph, configure uma origem de log no IBM QRadar para usar o protocolo da Security API do Microsoft Graph
O protocolo Microsoft Graph Security API é um protocolo outbound / active. Seu DSM também pode usar este protocolo. Para obter uma lista dos DSMs compatíveis, consulte QRadar®.
Os parâmetros a seguir requerem valores específicos para coletar eventos dos servidores Microsoft Graph Security:
| Parâmetro | Valor |
|---|---|
| Tipo de origem de log | Um tipo de origem de log customizado ou um DSM específico que usa este protocolo. |
| Configuração de protocolo | Microsoft Graph Security API |
| Identificador de Fonte de Log | Digite um nome exclusivo para a origem de log. O Identificador de Origem de Log pode ser qualquer valor válido e não precisa fazer referência a um servidor específico. Ele também pode ser o mesmo valor que o Nome da Fonte de Registro. Se você tiver mais de uma fonte de log configurada do Microsoft Graph Security, certise-se de que você dê a cada um um nome exclusivo. |
| ID do Locatário | O valor ID do Ten que é usado para autenticação Microsoft Azure Active Directory . |
| ID do Cliente | O valor do parâmetro ID do Cliente a partir da sua configuração do aplicativo de Microsoft Azure Active Directory. |
| Segredo do Cliente | Você recebe a senha Segredo do Cliente ao configurar Microsoft Azure Diretório de Eventos. Esta senha confirma que sua conta de usuário está autorizada a obter um token de acesso. Você pode obter esse valor apenas quando ele for criado, e não pode ser recuperado posteriormente. Se você perder a senha secreta do seu cliente, você deve criar uma nova chave API para continuar a receber eventos da API de Segurança do Microsoft Graph Security API. |
| API | A API dita os tipos e formatos de eventos que o protocolo pode coletar. Selecione uma API que seja compatível com o DSM selecionado. Se você usar o Microsoft Azure Security Center DSM, selecione Alertas V1. Se você usar o Microsoft 365 Defender DSM, selecione Alertas V2. |
| Serviço | Limita os eventos a um serviço ou produto específico. Selecione um produto que seja compatível com o DSM selecionado. Você pode usar a opção Outro para remover o filtro ou para adicionar mais configurações de filtro. Se você usar o Microsoft 365 Defender DSM, selecione Microsoft Defender for Endpoint. |
| Filtro de Eventos | Recuperar eventos usando o filtro de consulta API da Microsoft Security Graph. Por exemplo, severity eq 'high'. Não digite "filter=" antes do parâmetro do filtro. Para obter mais informações sobre parâmetros de consulta, consulte parâmetro de consulta de filtrohttps://learn.microsoft.com/en-us/graph/filter-query-parameter?tabs=http. |
| Utilizar Proxy | Se o QRadar acessar a Security API do Microsoft Graph por proxy, ative esta caixa de seleção Se o proxy requerer autenticação, configure os campos Nome do host do proxy ou IP, Porta de proxy, Nome do usuário do proxy e Proxy. Se o proxy não requerer autenticação, configure os campos Nome do host do proxy ou IP e Porta de proxy. |
| IP ou nome do host do proxy | O endereço IP ou nome do host do servidor proxy. Se o parâmetro Usar proxy for configurado como False, esta opção ficará oculta. |
| Porta do Proxy | O número da porta que é usada para se comunicar com o proxy. O padrão é 8080. Se o parâmetro Usar proxy for configurado como False, essa opção ficará oculta. |
| Nome do Usuário do Proxy | O nome do usuário que é usado para se comunicar com o proxy. Se Usar proxy estiver configurado como False, esta opção ficará oculta. |
| Senha de Proxy | A senha que é usada para acessar o proxy. Se Usar proxy estiver configurado como False, esta opção ficará oculta. |
| Recorrência | Digite um intervalo de tempo que começa no Horário de início para determinar com que frequência a pesquisa varre em busca de novos dados. O intervalo de tempo pode incluir valores em horas (H), minutos (M) ou dias (D). Por exemplo, 2H -2 horas, 15M -15 minutes. O padrão é 1M. |
| Regulador de EPS | O número máximo de eventos por segundo que o QRadar alimenta. Se sua origem de dados exceder o regulador EPS, a coleta de dados será atrasada. Os dados ainda são coletadas e, em seguida, alimentados quando a origem de dados para de exceder o regulador EPS. O padrão é 5000. |
| Exibir opções avançadas | Para configurar as opções avançadas para a coleta de eventos, ative esta opção. |
| Terminal de Login | Especificar o Azure AD Login Endpoint. O valor padrão é login.microsoftonline.com. Se você desativar Mostrar opções avançadas, esta opção está oculta. |
| Graph API Endpoint | Especifique o URL Security API do Microsoft Graph. O valor padrão é https://graph.microsoft.com. Se você desativar Mostrar opções avançadas, esta opção está oculta. |