配置 Microsoft Graph Security API 以與 QRadar 通訊

在使用通訊協定之前,請先整合 Microsoft Graph Security API 與 IBM® QRadar®

在開始之前

若要整合 Microsoft Graph Security API 與 QRadar,您需要 Microsoft Azure Active Directory。

程序

  1. 如果未啟用自動更新,則可從 IBM 支援中心網站 (http://www.ibm.com/support) 下載 RPM。 在 QRadar 主控台上下載並安裝下列 RPM 的最新版本。
    • 通訊協定共用 RPM
    • Microsoft Graph Security API 通訊協定 RPM
  2. 遵循下列指示,配置 Microsoft Graph Security API 伺服器以將事件轉遞至 QRadar :
    1. 建立 Azure AD 應用程式。 如需相關資訊,請參閱 使用入口網站來建立可存取資源的 Azure AD 應用程式和服務主體 (https://docs.microsoft.com/en-us/azure/active-directory/develop/how to-create-service-principal-portal)。
    2. 在安全 API 用戶端應用程式中設定授權。 如需相關資訊,請參閱 授權和 Microsoft Graph Security API (https://docs.microsoft.com/en-us/graph/security-authorization)。
      當您使用 Alerts V1 API 時,必須在存取記號中包含下列應用程式角色:
      • SecurityEvents.Read.All
      • User.Read.All
      • SecurityActions.Read.All
      • IdentityRiskyUser.Read.All
      • IdentityRiskEvent.Read.All
      重要事項:

      當您使用 Alerts V2 API 時,必須包括 SecurityEvents.Read.All 應用程式角色。 其他類型的事件可能需要不同的角色。

      您必須指定具有 應用程式 許可權的應用程式角色。 如果您的環境不接受 應用程式 許可權,您可以使用 委派 許可權。

  3. 使用自訂日誌來源類型或使用此通訊協定的特定 DSM ,在 QRadar Console 上新增 Microsoft Security Graph API 通訊協定日誌來源。
    如需受支援 DSM 的相關資訊,請參閱 QRadar 受支援 DSM。 如需在 QRadar中新增日誌來源的相關資訊,請參閱 新增日誌來源