Office 365 消息跟踪 REST API 协议配置选项

IBM® Security QRadar® 的 Office 365 消息跟踪 REST API 协议从消息跟踪 REST API 收集消息跟踪日志。此活动出站协议用于收集 Office 365 电子邮件日志。

重要信息: 从 1 2023 年 1 月起， Microsoft 将不再支持基本认证。要继续接收消息跟踪事件，必须使用现代认证。现代认证使用 OAuth 2.0 来认证和授权对事件的访问权。有关不推荐使用基本认证的更多信息，请参阅 Basic Authentication Deprecation in Exchange Online-September 2022 Update。

要使用现代认证，必须在 Microsoft Azure 门户网站 (https://portal.azure.com/) 中注册新应用程序。在门户网站中，您可以获取创建 Microsoft Office 365 消息跟踪日志源时必须使用的重要值。

创建可用于向 Office 365 消息跟踪 REST API 进行认证的应用程序。有关更多信息，请参阅使用门户网站创建可访问资源的 Azure AD 应用程序和服务主体。
1. 将 Azure AD 角色分配给应用程序。有关更多信息，请参阅将 Azure AD 角色分配给应用程序。
2. 设置 Read.All权限。有关更多信息，请参阅指定应用程序访问 Reporting Web Service 所需的许可权。
获取客户机标识，租户标识和客户机密钥值。
1. 在应用程序的 " 概述 " 页面上，找到并复制客户机标识和租户标识值。创建 Microsoft Office 365 消息跟踪日志源时，请使用这些值。有关更多信息，请参阅获取用于登录的租户和应用程序标识值。
2. 在应用程序的 " 证书和私钥 " 页面上，单击新建私钥以创建客户机私钥，然后将客户机私钥复制到文本编辑器。创建 Microsoft Office 365 消息跟踪日志源时，请将此值用于 Client Secret 参数。有关更多信息，请参阅创建新的应用程序密钥。

以下参数需要特定值才能从 Office 365 消息跟踪 REST API 收集事件:

要点: 如果审计日志运行中的开始日期和结束日期重叠，那么在具有不同索引的报告中存在重复事件。在这种情况下，您必须手动处理报告中的事件。

表 1. Office 365 消息跟踪 REST API 协议日志源参数
参数	值
日志源标识	日志源的唯一名称。该名称不能包含空格，并且在使用 Office 365 消息跟踪 REST API 协议配置的所有此类日志源中必须唯一。
认证方法	现代认证使用 OAuth 2.0 来认证和授权对资源的访问权。基本认证使用用户名和密码。如果选择基本认证方法，那么将显示 Office 365 用户帐户电子邮件和 Office 365 用户帐户密码参数。提供具有正确许可权的 Office 365 电子邮件帐户。重要信息: 从 1 2023 年 1 月起， Microsoft 将不再支持基本认证。要继续接收消息跟踪事件，必须使用 Modern 认证。
客户机标识	Microsoft Azure Active Directory的应用程序配置中的客户机标识值。有关更多信息，请参阅获取用于登录的租户和应用程序标识值。
客户机密钥	您在 Microsoft Azure 门户网站上为应用程序创建的客户机密钥。有关更多信息，请参阅创建新的应用程序密钥。
租户标识	用于 Microsoft Azure Active Directory 认证的租户标识值。有关更多信息，请参阅获取用于登录的租户和应用程序标识值。
事件延迟	收集数据的延迟 (以秒计)。 Office 365 消息跟踪日志在最终交付系统上工作。为确保不丢失任何数据，将在延迟时收集日志。缺省延迟为 900 秒 (15 分钟) ，并且可以设置为 0 秒。
使用代理	如果使用代理访问 API ，请选中此复选框。配置代理服务器，代理端口，代理用户名和代理密码字段。如果代理不需要认证，那么可以将代理用户名和代理密码字段留空。
启用高级选项	选择此选项可修改 Microsoft API 登录端点和 Office 365 消息跟踪 API Management URL 参数的默认值。如果未启用此参数，那么将使用缺省值。
Microsoft API 登录端点	指定 Microsoft API 登录端点。缺省值为 `https://login.windows.net`。如果未启用启用高级选项参数，那么将使用缺省值。
Office 365 消息跟踪 API Management URL	Office 365 消息跟踪 API 管理 URL 授予您的令牌访问指定资源的权限。缺省值为 `https://outlook.office365.com`。如果未启用启用高级选项参数，那么将使用缺省值。
重复	针对新事件的 Office 365 消息跟踪 REST API 的日志源查询之间的时间间隔。时间间隔可以是小时 (H) ，分钟 (M) 或天 (D)。缺省值为 5 分钟。
EPS 调速	每秒 QRadar 摄入的最大事件数。如果数据源超过 EPS 调速，那么数据收集将延迟。仍会收集数据，然后在数据源停止超过 EPS 调速时采集数据。缺省值 5000。

读取报告的条件访问权

如果收到错误消息 "Status Code: 401 | Status Reason: Unauthorized， " 请查看以下条件访问策略文档，以确认用户帐户具有对旧应用程序 Office 365 消息跟踪 API 的访问权:

有关在 "条件访问" 策略中阻止和取消阻止旧内容的更多信息，请参阅条件访问: 阻止旧认证。
有关为用户和组创建条件访问策略的更多信息，请参阅条件访问: 用户和组。
有关为云应用程序或操作创建条件访问策略的更多信息，请参阅条件访问: 云应用程序或操作。
有关使用 "条件访问权" 策略授予或阻止对资源的访问权的更多信息，请参阅条件访问权: 授予。