Microsoft 图形 Security API 协议配置选项

请输入日志源的唯一名称。

日志源标识 可以是任何有效值，并且不需要引用特定的服务器。 它还可以是与 日志源名称相同的值。 如果您有多个已配置的 Microsoft Graph Security 日志源，请确保为每个源指定唯一名称。

用来进行 Microsoft Azure Active Directory 认证的 租户标识 值。

• 客户端密文：基于标准客户端密文的身份验证。
• 客户端证书：基于自签名证书的身份验证。

如果丢失客户机密钥密码，那么必须创建新的 API 密钥以继续从 Microsoft Graph Security API接收事件。

指定自签名 .pfx 证书路径。

有关详细信息，请参阅为 Office 365 REST API 协议创建自签名证书和密钥。

指定 .pfx 证书密码。

该 API 规定了协议可以收集的事件类型和格式。

选择与所选 DSM 兼容的 API。 如果使用 Microsoft Azure Security Center DSM，请选择警报 V1。 如果使用 Microsoft 365 Defender DSM，请选择警报 V2 或服务公告。

将事件限制为特定服务或产品。

选择与所选择的 DSM 兼容的产品。 您可以使用 其他 选项来移除过滤器或添加更多过滤器设置。 如果使用 Microsoft 365 Defender DSM ，请选择 Microsoft Defender for Endpoint。

使用 Microsoft Security Graph API 查询过滤器检索事件。 例如，severity eq 'high'。 请勿在过滤器参数之前输入 "filter="。

有关查询参数的更多信息，请参阅过滤查询参数 ( https://learn.microsoft.com/en-us/graph/filter-query-parameter?tabs=http )。

如果 QRadar 通过代理访问 Microsoft Graph Security API ，请启用此复选框。

如果该代理需要认证，请配置 代理主机名或 IP， 代理端口， 代理用户名和 代理 字段。

如果代理不需要进行认证，请配置 代理主机名或 IP 和 代理端口 字段。

代理服务器的 IP 地址或主机名。

如果 使用代理 参数设置为 假，那么将隐藏此选项。

如果 使用代理 参数设置为 False ，那么将隐藏此选项。

如果 使用代理 设置为 假，那么将隐藏此选项。

如果 使用代理 设置为 假，那么将隐藏此选项。

输入从 开始时间 开始的时间间隔，以确定轮询扫描以获取新数据的频率。 时间间隔可以包含以小时 (H) ，分钟 (M) 或天 (D) 为单位的值。 例如， 2H -2 小时， 15M -15 分钟。 缺省值为 1M。

每秒 QRadar 摄入的最大事件数。

如果数据源超过 EPS 调速，那么数据收集将延迟。 仍会收集数据，然后在数据源停止超过 EPS 调速时采集数据。

缺省值 5000。

如果禁用 显示高级选项，那么此选项将隐藏。

如果禁用 显示高级选项，那么此选项将隐藏。