API O365 Management
Versione integrazione: 9.0
Casi d'uso
Ricevi eventi di attività da Microsoft 365.
Configurare l'API di gestione di O365 per funzionare con Google Security Operations
Autorizzazione del prodotto
Per saperne di più, consulta la guida introduttiva alle API di gestione di Office 365.
Prima di poter accedere ai dati tramite le API Office 365 Management Activity, devi attivare la registrazione unificata degli audit log per la tua organizzazione Office 365. A questo scopo, attiva il log di controllo di Office 365. Per istruzioni, vedi Attivare o disattivare l'audit.
Per quanto riguarda la configurazione dell'account, la procedura è simile a quella di altri prodotti basati su Azure (Defender, Sentinel e così via). Devi registrare un'app in Azure Active Directory e concederle le seguenti autorizzazioni:
- Autorizzazioni delegate
User.Readda Microsoft Graph - Autorizzazioni dell'applicazione
ActivityFeed.ReadDlpdalle API Office 365 Management Activity
Configurare l'integrazione dell'API Management di O365 in Google SecOps
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Parametri di integrazione
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome istanza | Stringa | N/D | No | Nome dell'istanza per cui intendi configurare l'integrazione. |
| Descrizione | Stringa | N/D | No | Descrizione dell'istanza. |
| Radice API | Stringa | https://manage.office.com | Sì | URL radice dell'API da utilizzare con l'integrazione. |
| ID Azure Active Directory | Stringa | N/D | Sì | L'ID tenant di Azure Active Directory può essere visualizzato in Active Directory > Registrazione app > <Applicazione configurata per l'integrazione> ID directory (tenant). Esempio: k48f52ca-0000-4708-8ed0-0000a20a40a |
| ID client | Stringa | N/D | Sì | ID client (applicazione) aggiunto per la registrazione dell'app in Azure Active Directory per questa integrazione. Ad esempio, 29bf818e-0000-0000-0000-784fb644178d |
| Client secret | Password | N/D | No | Secret inserito per la registrazione dell'app Azure AD. Esempio: XF00000Qc0000000[UZSW7-0?qXb6Qx] |
| Verifica SSL | Casella di controllo | Selezionata | Sì | Specifica se il certificato SSL dell'endpoint API remoto deve essere convalidato. |
| Esegui da remoto | Casella di controllo | Deselezionata | No | Seleziona il campo per eseguire l'integrazione configurata da remoto. Una volta selezionata, viene visualizzata l'opzione per selezionare l'utente remoto (agente). |
| Percorso del certificato | Stringa | N/D | No | Se viene utilizzata l'autenticazione basata su certificati anziché il client secret, specifica il percorso del certificato sul server Google SecOps. |
| Password certificato | Password | N/D | No | (Facoltativo) Se il certificato è protetto da password, specifica la password per aprire il file del certificato. |
| URL endpoint di accesso OAUTH2 | Stringa | https://login.microsoftonline.com | Sì | Specifica il connettore URL da utilizzare per l'URL dell'endpoint di accesso OAUTH2. |
Azioni
Dindin
Descrizione
Testa la connettività al servizio API O365 Management con i parametri forniti nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace.
Parametri
N/D
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| operazione riuscita | Vero/Falso | success:False |
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:
L'azione deve non riuscire e interrompere l'esecuzione di un playbook:
|
Generale |
Attivare un abbonamento
Descrizione
Avvia una sottoscrizione a un tipo di contenuto dell'API Management di Office 365 scelto.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Attiva un abbonamento per | DDL | Seleziona il tipo di contenuti Audit.General | Sì | Specifica per quale tipo di contenuti avviare un abbonamento. |
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:
L'azione deve non riuscire e interrompere l'esecuzione di un playbook:
|
Generale |
Interrompere un abbonamento
Descrizione
Interrompi un abbonamento a un tipo di contenuti dell'API Management di Office 365 scelto.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È Mandatory | Descrizione |
|---|---|---|---|---|
| Interrompere un abbonamento per | DDL | Seleziona il tipo di contenuti Audit.General | Sì | Specifica per quale tipo di contenuti interrompere un abbonamento. |
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:
L'azione deve non riuscire e interrompere l'esecuzione di un playbook:
|
Generale |
Connettori
Configurare i connettori dell'API di gestione di Office 365 in Google SecOps
Per istruzioni dettagliate su come configurare un connettore in Google SecOps, vedi Configurazione del connettore.
Per configurare il connettore selezionato, utilizza i parametri specifici del connettore elencati nelle tabelle seguenti:
- Parametri di configurazione del connettore eventi DLP dell'API di gestione di Office 365
- Parametri di configurazione del connettore degli eventi generali di controllo dell'API di gestione di Office 365
Connettore eventi DLP dell'API Management di Office 365
Descrizione
Recupera gli eventi DLP dall'API di gestione di Office 365.
Parametri del connettore
Utilizza i seguenti parametri per configurare il connettore:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome campo prodotto | Stringa | Nome prodotto | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo prodotto. |
| Nome campo evento | Stringa | Operazione | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo evento. |
| Nome campo ambiente | Stringa | "" | No | Descrive il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo dell'ambiente non viene trovato, l'ambiente è quello predefinito. |
| Pattern regex ambiente | Stringa | .* | No | Un pattern regex da eseguire sul valore trovato nel campo "Nome campo ambiente". Il valore predefinito è .* per acquisire tutto e restituire il valore invariato. Utilizzato per consentire all'utente di manipolare il campo dell'ambiente tramite la logica delle espressioni regolari. Se il pattern regex è null o vuoto oppure il valore dell'ambiente è null, il risultato finale dell'ambiente è l'ambiente predefinito. |
| Timeout dello script (secondi) | Numero intero | 180 | Sì | Limite di timeout per il processo Python che esegue lo script corrente. |
| Radice API | Stringa | https://manage.office.com | Sì | URL radice dell'API da utilizzare con l'integrazione. |
| ID Azure Active Directory | Stringa | N/D | Sì | L'ID tenant di Azure Active Directory può essere visualizzato in Active Directory > Registrazione app > <Applicazione configurata per l'integrazione> ID directory (tenant). Esempio: k48f52ca-0000-4708-8ed0-0000a20a40a |
| ID client | Stringa | N/D | Sì | ID client (applicazione) aggiunto per la registrazione dell'app in Azure Active Directory per questa integrazione. Esempio: 29bf818e-0000-0000-0000-784fb644178d |
| Client secret | Password | N/D | No | Secret inserito per la registrazione dell'app Azure AD. Esempio: XF00000Qc0000000[UZSW7-0?qXb6Qx] |
| Verifica SSL | Casella di controllo | Selezionata | Sì | Specifica se il certificato SSL dell'endpoint API remoto deve essere convalidato. |
| Filtro tipo di operazione | Stringa | N/D | No | Per gli eventi DLP sono disponibili i seguenti tipi di operazioni: DlpRuleMatch, DlpRuleUndo, DlpInfo. Il parametro funziona come una lista nera. Per impostazione predefinita, se non viene specificato nulla in questo parametro, vengono inseriti tutti i tipi di operazioni possibili. Se il tipo di operazione è specificato in questo parametro, l'evento con questo tipo di operazione non verrà importato. Il parametro accetta più valori come stringa separata da virgole. |
| Tipo di filtro dei criteri | Stringa | N/D | No | Il parametro può essere utilizzato per specificare il nome della norma che, se presente nell'evento, non verrà importato. Il parametro funziona come una lista nera. Per impostazione predefinita, se non viene specificato nulla, vengono inseriti tutti i tipi di criteri possibili. Il parametro accetta più valori come stringa separata da virgole. |
| Risultati della maschera? | Casella di controllo | Deselezionata | No | Specifica se il connettore deve mascherare i risultati sensibili che hanno attivato i riscontri delle norme DLP. |
| Numero massimo di eventi da recuperare | Numero intero | 50 | Sì | Numero di eventi da elaborare per un'iterazione del connettore. |
| Recupero ore massime a ritroso | Numero intero | 8 | Sì | Numero di ore da cui recuperare gli eventi. Tieni presente che l'API O365 Management consente di restituire eventi degli ultimi 7 giorni, non precedenti. |
| Intervallo di tempo per il recupero all'indietro (minuti) | Numero intero | 240 | Sì | Connettore dell'intervallo di tempo da utilizzare per recuperare gli eventi dalle ore massime a ritroso. Se il tenant O365 è occupato, potrebbe restituire molti blob di eventi. Per questo motivo, questo parametro in minuti può essere utilizzato per suddividere le ore massime all'indietro in segmenti più piccoli ed elaborarli singolarmente. L'intervallo di tempo non può essere superiore a 24 ore in totale. |
| Periodo di padding degli eventi (minuti) | Numero intero | 60 | Sì | Il periodo di riempimento degli eventi in minuti specifica un intervallo di tempo minimo che verrà utilizzato dal connettore per controllare i nuovi eventi. |
| Utilizzare la lista consentita come lista nera | Casella di controllo | Deselezionata | Sì | Se questa opzione è abilitata, la lista consentita verrà utilizzata come lista bloccata. |
| Indirizzo del server proxy | Stringa | No | L'indirizzo del server proxy da utilizzare. | |
| Nome utente proxy | Stringa | No | Il nome utente del proxy con cui eseguire l'autenticazione. | |
| Password proxy | Password | No | La password del proxy per l'autenticazione. | |
| Percorso del certificato | Stringa | No | Se viene utilizzata l'autenticazione basata su certificati anziché il client secret, specifica il percorso del certificato sul server Google SecOps. | |
| Password certificato | Password | No | (Facoltativo) Se il certificato è protetto da password, specifica la password per aprire il file del certificato. | |
| URL endpoint di accesso OAUTH2 | Stringa | https://login.microsoftonline.com | Sì | Specifica l'URL che il connettore deve utilizzare per l'URL dell'endpoint di accesso OAUTH2 |
Regole del connettore
Lista consentita / Lista nera
Il connettore supporta le liste consentite/bloccate.
Supporto del proxy
Il connettore supporta il proxy.
Connettore per eventi generali di controllo dell'API Office 365 Management
Descrizione
Recupera gli eventi Audit.General dall'API Management di Office 365. Assicurati di aver attivato l'abbonamento per gli eventi Audit.General eseguendo l'azione "Avvia un abbonamento".
Per il connettore degli eventi generali di controllo dell'API Management di Office 365 sono necessarie le seguenti autorizzazioni:
- Autorizzazioni
User.Read,emaileprofiledelegate da Microsoft Graph - Autorizzazioni
ActivityFeed.ReadDlpeActivityFeed.Readdell'applicazione dalle API Office 365 Management Activity
Parametri del connettore
Utilizza i seguenti parametri per configurare il connettore:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome campo prodotto | Stringa | Nome prodotto | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo prodotto. |
| Nome campo evento | Stringa | Operazione | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo evento. |
| Nome campo ambiente | Stringa | "" | No | Descrive il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo dell'ambiente non viene trovato, l'ambiente è quello predefinito. |
| Pattern regex ambiente | Stringa | .* | No | Un pattern regex da eseguire sul valore trovato nel campo "Nome campo ambiente". Il valore predefinito è .* per acquisire tutto e restituire il valore invariato. Utilizzato per consentire all'utente di manipolare il campo dell'ambiente tramite la logica delle espressioni regolari. Se il pattern regex è null o vuoto oppure il valore dell'ambiente è null, il risultato finale dell'ambiente è l'ambiente predefinito. |
| Timeout dello script (secondi) | Numero intero | 180 | Sì | Limite di timeout per il processo Python che esegue lo script corrente. |
| Radice API | Stringa | https://manage.office.com | Sì | URL radice dell'API da utilizzare con l'integrazione. |
| ID Azure Active Directory | Stringa | N/D | Sì | L'ID tenant di Azure Active Directory può essere visualizzato in Active Directory > Registrazione app > <Applicazione configurata per l'integrazione> ID directory (tenant). Esempio: k48f52ca-0000-4708-8ed0-0000a20a40a |
| ID client | Stringa | N/D | Sì | ID client (applicazione) aggiunto per la registrazione dell'app in Azure Active Directory per questa integrazione. Esempio: 29bf818e-0000-0000-0000-784fb644178d |
| Client secret | Password | N/D | No | Secret inserito per la registrazione dell'app Azure AD. Esempio: XF00000Qc0000000[UZSW7-0?qXb6Qx] |
| Percorso del certificato | Stringa | N/D | No | Se viene utilizzata l'autenticazione basata su certificati anziché il client secret, specifica il percorso del certificato sul server Google SecOps. |
| Password certificato | Password | N/D | No | (Facoltativo) Se il certificato è protetto da password, specifica la password per aprire il file del certificato. |
| URL endpoint di accesso OAUTH2 | Stringa | https://login.microsoftonline.com | No | Specifica l'URL che il connettore deve utilizzare per l'URL dell'endpoint di accesso OAUTH2 |
| Verifica SSL | Casella di controllo | Selezionata | Sì | Specifica se il certificato SSL dell'endpoint API remoto deve essere convalidato. |
| Filtro tipo di operazione | Stringa | N/D | No | Nello schema audit.general potrebbero essere presenti diversi tipi di operazioni:SearchAirBatch, SearchCustomTag e così via. Per impostazione predefinita, se non viene specificato nulla in questo parametro, vengono inseriti tutti i tipi di operazioni possibili. Se il tipo di operazione è specificato in questo parametro, l'evento con questo tipo di operazione non verrà importato. Il parametro accetta più valori come stringa separata da virgole. |
| Filtro per stato | Stringa | N/D | No | Il parametro può essere utilizzato per specificare lo stato che, se presente nell'evento, non verrà importato. Il parametro funziona come una lista nera. Per impostazione predefinita, se non viene specificato nulla, vengono inseriti tutti i tipi di stato possibili. Il parametro accetta più valori come stringa separata da virgole. |
| Utilizzare i filtri per operazione e stato come whitelist | Casella di controllo | Deselezionata | Sì | Se abilitati, i filtri per operazione e stato funzioneranno come una lista consentita, mentre per impostazione predefinita sono una lista nera. |
| Chiavi di entità per creare eventi aggiuntivi | CSV | N/D | No | Specifica le chiavi che, se visualizzate nella sezione Audit.General delle entità dei dati, devono essere utilizzate per creare un evento Google SecOps aggiuntivo. |
| Numero massimo di eventi da recuperare | Numero intero | 50 | Sì | Numero di eventi da elaborare per un'iterazione del connettore. |
| Recupero ore massime a ritroso | Numero intero | 8 | Sì | Numero di ore da cui recuperare gli eventi. Tieni presente che l'API O365 Management consente di restituire eventi degli ultimi 7 giorni, non precedenti. |
| Intervallo di tempo per il recupero all'indietro (minuti) | Numero intero | 240 | Sì | Connettore dell'intervallo di tempo da utilizzare per recuperare gli eventi dalle ore massime a ritroso. Se il tenant O365 è occupato, potrebbe restituire molti blob di eventi. Per questo motivo, questo parametro in minuti può essere utilizzato per suddividere le ore massime all'indietro in segmenti più piccoli ed elaborarli singolarmente. L'intervallo di tempo non può essere superiore a 24 ore in totale. |
| Periodo di padding degli eventi (minuti) | Numero intero | 60 | Sì | Il periodo di riempimento degli eventi in minuti specifica un intervallo di tempo minimo che verrà utilizzato dal connettore per controllare i nuovi eventi. |
| Utilizzare la lista consentita come lista nera | Casella di controllo | Deselezionata | Sì | Se questa opzione è abilitata, la lista consentita verrà utilizzata come lista bloccata. |
| Indirizzo del server proxy | Stringa | No | L'indirizzo del server proxy da utilizzare. | |
| Nome utente proxy | Stringa | No | Il nome utente del proxy con cui eseguire l'autenticazione. | |
| Password proxy | Password | No | La password del proxy per l'autenticazione. |
Regole del connettore
Lista consentita / Lista nera
Il connettore supporta le liste consentite/bloccate.
Supporto del proxy
Il connettore supporta il proxy.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.