將 Microsoft Graph Security 資料來源連接至平台,讓您的應用程式及儀表板能夠收集並分析 Microsoft Graph Security 安全資料。 Universal Data Insights 連接器可在安全產品之間啟用聯合搜尋。
在開始之前
與
Microsoft Graph Security 管理者分工合作,以設定使用者帳戶的必要許可權,以透過連接器接收警示。 如需相關資訊,請參閱
許可權 (https://learn.microsoft.com/en-us/graph/api/alert-list?view=graph-rest-1.0&tabs=http#permissions)。 您也需要取得下列安全認證:
配置
Microsoft Graph API。
- 若要在 Azure Active Directory中登錄應用程式,請參閱 向 Microsoft 身分平台登錄應用程式 (https://learn.microsoft.com/en-us/graph/auth-register-app-v2)。
即會顯示新的應用程式儀表板,儀表板中會提供此應用程式的用戶端 ID。
- 按一下 API 許可權。
- 在下表中新增許可權。 若要新增許可權,請按一下 新增許可權。
| API |
許可權名稱 |
類型 |
| Azure Service Management |
user_impersonation |
已委派 |
| Microsoft Graph |
Security.Events.Read.All |
已委派 |
| Microsoft Graph |
Security.Events.Read.All |
應用程式 |
| Microsoft Graph |
User.Read |
已委派 |
- 選擇 API Microsoft Graph。
- 按一下 委派許可權 及 應用程式許可權 種類。
- 按一下使用者帳戶的 授與管理者同意 ,以取得所配置的許可權。
- 按一下 憑證及密碼。
- 若要為這個已配置的應用程式產生用戶端密碼,請按一下 新建用戶端密碼。
- 輸入說明,並從用戶端密碼的 到期 選項中選擇一個值。
如需應用程式存取權的相關資訊,請參閱 無需使用者即可取得存取權 (https://learn.microsoft.com/en-us/graph/auth-v2-service?tabs=http)。
如果您在叢集與資料來源目標之間有防火牆,請使用 IBM® Security Edge Gateway 來管理儲存器。 Edge Gateway 必須是 V1.6 或更新版本。 如需相關資訊,請參閱 設定 Edge Gateway。
關於此作業
Microsoft Graph Security 連接器設計為使用「安全警示」 v1.0/security/alerts 端點。
如需 Microsoft Graph Security的相關資訊,請參閱 Microsoft Defender for Cloud (https://azure.microsoft.com/en-us/products/defender-for-cloud/)。
結構化威脅資訊 eXpression (STIX) 是組織用來交換網路威脅情報的語言及序列化格式。 連接器會使用 STIX 圖案化來查詢 Microsoft Graph Security 資料,並以 STIX 物件傳回結果。 如需 Microsoft Graph Security 資料綱目如何對映至 STIX的相關資訊,請參閱 Microsoft Graph Security STIX 對映 (https://github.com/opencybersecurityalliance/stix-shifter/blob/develop/adapter-guide/connectors/azure_sentinel_supported_stix.md)。
程序
- 跳至 。
- 在「 資料來源 」標籤上,按一下 連接資料來源。
- 按一下 Microsoft 圖形安全,然後按 下一步。
- 配置資料來源的連線。
- 在 資料來源名稱 欄位中,指派名稱以唯一識別資料來源連線。
您可以建立指向資料來源的多個連線實例,因此最好依名稱來清楚區分它們。 僅接受英數字元和下列特殊字元: - .
_
- 在 資料來源說明 欄位中,撰寫說明以指出資料來源連線的用途。
您可以建立指向資料來源的多個連線實例,因此,透過說明明確指出每一個連線的用途會非常有用。 僅接受英數字元和下列特殊字元: - . _
- 如果叢集與資料來源目標之間有防火牆,請使用 Edge Gateway 來管理儲存器。 在 Edge 閘道 (選用) 欄位中,指定要使用的 Edge Gateway 。
選取 Edge Gateway 以管理連接器。 在 Edge Gateway 上新部署的資料來源連線狀態最多可能需要五分鐘才能顯示為已連接。
- 在 主機埠 欄位中,設定與資料來源主機相關聯的埠號。
- 若要從 Microsoft Graph Security API 擷取第一代警示,請選取 舊式警示 勾選框。
- 若要從 Microsoft Graph Security API 擷取最新一代警示,請選取 警示 勾選框。
重要事項: 您必須選取 舊式警示 勾選框或 警示 勾選框,以查詢 Microsoft Graph Security 資料來源。
- 設定查詢參數,以控制資料來源上搜尋查詢的行為。
- 在 並行搜尋限制 欄位中,設定可以對資料來源建立的同時連線數。 連線數的預設限制為 4。 該值不得小於 1 且不得大於 100。
- 在 查詢搜尋逾時限制 欄位中,設定在資料來源上執行查詢的時間限制 (分鐘)。 預設時間限制為 30。 當值設為零時,沒有逾時。 該值不得小於 1 且不得大於 120。
- 在 結果大小限制 欄位中,設定搜尋查詢所傳回的項目數或物件數上限。 預設結果大小限制為 10,000。 該值不得小於 1 且不得大於 500,000。
- 在 查詢時間範圍 欄位中,設定搜尋的時間範圍 (分鐘) ,以最後 X 分鐘表示。 預設值為 5 分鐘。 該值不得小於 1 且不得大於 10,000。
重要事項: 如果您增加並行搜尋限制及結果大小限制,則可以將更多資料傳送至資料來源,這會增加資料來源的壓力。 增加查詢時間範圍也會增加資料量。
- 選用: 如果您需要自訂 STIX 屬性對映,請按一下 自訂屬性對映 ,並編輯 JSON 二進位大型物件,將新的或現有的內容對映至其相關聯的目標資料來源欄位。
- 配置身分及存取權。
- 按一下 新增配置。
- 在 配置名稱 欄位中,輸入唯一名稱來說明存取配置,並將它與您可能設定之此資料來源連線的其他存取配置區分。 僅容許英數字元及下列特殊字元: - . _
- 在 配置說明 欄位中,輸入唯一說明來說明存取配置,並將它與您可能設定之此資料來源連線的其他存取配置區分。 僅容許英數字元及下列特殊字元: - . _
- 按一下 編輯存取權 ,然後選擇哪些使用者可以連接至資料來源及存取權類型。
- 在 租戶 欄位中,輸入具有 Microsoft Graph API 存取權之 Azure Active Directory Application 的租戶 ID。
- 在 用戶端 ID 欄位中,輸入具有 Microsoft Graph API 存取權之 Azure Active Directory Application 的用戶端 ID。
- 在 用戶端密碼 欄位中,輸入具有 Microsoft Graph API 存取權之 Azure Active Directory Application 的用戶端密碼。
- 按一下 新增。
- 若要儲存配置並建立連線,請按一下 完成。
您可以在資料來源設定頁面上,查看您在連線下新增的資料來源連線配置。 卡片上的訊息指出與資料來源的連線。
當您新增資料來源時,可能需要幾分鐘,資料來源才會顯示為正在連接。
提示: 連接資料來源之後,最多可能需要 30 秒才能擷取資料。 在傳回完整資料集之前,資料來源可能會顯示為無法使用。 傳回資料之後,資料來源會顯示為正在連接,且會出現輪詢機制來驗證連線狀態。 每次輪詢之後,連線狀態的有效時間為 60 秒。
您可以針對此資料來源新增具有不同使用者及不同資料存取權的其他連線配置。
- 若要編輯配置,請完成下列步驟:
- 在 資料來源 標籤上,選取您要編輯的資料來源連線。
- 在「 配置 」區段中,按一下 編輯配置 (
)。
- 編輯身分及存取參數,然後按一下 儲存。
下一步做什麼
透過使用 IBM Security Data Explorer執行查詢來測試連線。 若要使用 Data Explorer,您必須具有已連接的資料來源,以便應用程式可以跨統一資料來源集執行查詢並擷取結果。 搜尋結果會根據所配置資料來源中包含的資料而有所不同。 如需如何在 Data Explorer中建置查詢的相關資訊,請參閱 建置查詢。