Opções de configuração do protocolo da API de REST do Office 365 Message Trace
O protocolo da API REST do Office 365 Message Trace para IBM® Security QRadar® coleta logs de rastreio de mensagens da API REST do Message Trace. Este protocolo de saída ativo é usado para coletar logs de e-mail do Office 365.
Para usar a autenticação moderna, deve-se registrar um novo aplicativo no portal Microsoft Azure (https://portal.azure.com/). No portal, é possível obter valores importantes que devem ser usados ao criar uma origem de registro do Message Trace do Microsoft Office 365 .
- Crie um aplicativo que possa ser usado para autenticar com a API REST do Office 365 Message Trace. Para obter mais informações, consulte Usar o portal para criar um aplicativo e um principal de serviço do AD do Azure que possa acessar recursos
- Designar funções Azure AD para o aplicativo. Para obter mais informações, consulte Designar funções do AD Azure ao aplicativo.
- Defina a permissão do aplicativo ReportingWebService. Read.All. Para obter mais informações, consulte Especificar as permissões que seu app requer para acessar o Serviço da Web de Relatório
- Obtenha os valores Client ID, ID Tenant IDe Client Secret .
- Na página Visão Geral do aplicativo, localize e copie os valores ID do Cliente e ID do Tenant . Você usa esses valores quando cria uma fonte de log do Microsoft Office 365 Message Trace. Para obter mais informações, consulte Obter valores de locatário e de ID do app para conexão.
- Na página Certificados e Secretos do aplicativo, clique em Novo Segredo para criar o segredo do cliente e, em seguida, copie o segredo do cliente para um editor de texto. Você usa esse valor para o parâmetro Client Secret quando você cria uma fonte de log do Microsoft Office 365 Message Trace. Para obter mais informações, consulte Criar um novo segredo do aplicativo
| Parâmetro | Valor |
|---|---|
| Identificador de Fonte de Log | Um nome exclusivo para a origem de log. O nome não pode incluir espaços e deve ser exclusivo entre todas as origens de log desse tipo que estão configuradas com o protocolo da API de REST do Office 365 Message Trace. |
| Método de autenticação | A autenticação moderna usa o OAuth 2.0 para autenticar e autorizar o acesso ao recurso A autenticação básica usa o nome de usuário e a senha. Se você selecionar o método de autenticação Basic , os parâmetros Office 365 User Account email e Office 365 User Account Password aparecerá. Forneça uma conta de e-mail do Office 365 com permissões adequadas. Importante: A partir de 1 de janeiro de 2023, a Microsoft não suportará mais a autenticação básica. Para continuar recebendo eventos de Rastreio de Mensagem, você deve usar a autenticação Modern .
|
| ID do Cliente | O valor ID do Cliente a partir da sua configuração do aplicativo do Microsoft Azure Active Directory. Para obter mais informações, consulte Obter valores de locatário e de ID do app para conexão. |
| Segredo do Cliente | O segredo do cliente que você criou para o seu aplicativo no portal Microsoft Azure . Para obter mais informações, consulte Criar um novo segredo do aplicativo |
| ID do Locatário | O valor Tenant ID que é usado para autenticação do Microsoft Azure Active Directory . Para obter mais informações, consulte Obter valores de locatário e de ID do app para conexão. |
| Atraso de evento | O atraso, em segundos, para a coleta de dados. Os logs do Office 365 Message Trace funcionam em um eventual sistema de entrega. Para assegurar que nenhum dado seja perdido, os logs são coletados com um atraso. O atraso padrão é 900 segundos (15 minutos) e pode ser configurado tão baixo quanto 0 segundos. |
| Utilizar Proxy | Se a API for acessada usando um proxy, marque esta caixa de seleção. Configure os campos Servidor proxy, Porta de proxy, Nome do usuário de proxy e Senha de proxy. Se o proxy não requerer autenticação, será possível deixar os campos Nome do usuário de proxy e Senha de proxy em branco. |
| Ativar opções avançadas | Selecione essa opção para modificar os valores padrão dos parâmetros Microsoft API Login Endpoint e Office 365 Message Trace API Management URL. Se você não ativar esse parâmetro, os valores padrão são usados. |
| Terminal de Login da API da Microsoft | Especifique o terminal de login da API da Microsoft. O valor padrão é https://login.windows.net. Se você não ativar o parâmetro Ativar Opções Avançadas , o valor padrão será usado. |
| URL API Management rastreamento de mensagens do Office 365 | A URL de gerenciamento da API do rastreamento de mensagens do Office 365 concede ao seu token acesso ao recurso especificado. O valor padrão é https://outlook.office365.com. Se você não ativar o parâmetro Ativar Opções Avançadas , o valor padrão será usado. |
| Recorrência | O intervalo de tempo entre as consultas de origem de log para a API de REST do Office 365 Message Trace para novos eventos. O intervalo de tempo pode ser em horas (H), minutos (M) ou dias (D). O padrão é 5 minutos. |
| Regulador de EPS | O número máximo de eventos por segundo que o QRadar alimenta. Se sua origem de dados exceder o regulador EPS, a coleta de dados será atrasada. Os dados ainda são coletadas e, em seguida, alimentados quando a origem de dados para de exceder o regulador EPS. O padrão é 5000. |
Acesso condicional para relatórios de leitura
Se você receber a mensagem de erro "Status Code: 401 | Status Reason: Unauthorized, " revise a documentação de políticas de Acesso Condicionado a seguir para confirmar se a conta de usuário tem acesso à API do aplicativo legado 365 API do Message Trace:
- Para obter mais informações sobre como bloquear e desbloquear conteúdo anterior em políticas de Acesso Condicional, consulte Acesso Condicional: bloquear autenticação anterior.
- Para obter mais informações sobre como criar políticas de Acesso Condicional para usuários e grupos, consulte Acesso Condicional: Usuários e grupos.
- Para obter mais informações sobre como criar políticas de Acesso Condicional para apps ou ações do Cloud, consulte Acesso Condicional: apps ou ações do Cloud.
- Para obter mais informações sobre como conceder ou bloquear acesso a recursos com uma política de Acesso Condicional, consulte Acesso Condicional: Conceder.