Diese Seite wurde von der Cloud Translation API übersetzt.

O365 Management API

Integrationsversion: 9.0

Anwendungsbereiche

Aktivitätsereignisse aus Microsoft 365 abrufen

O365 Management API für die Verwendung mit Google Security Operations konfigurieren

Produktberechtigung

Weitere Informationen finden Sie unter Erste Schritte mit den Office 365-Verwaltungs-APIs.

Bevor Sie über die Office 365 Management Activity APIs auf Daten zugreifen können, müssen Sie die einheitliche Audit-Protokollierung für Ihre Office 365-Organisation aktivieren. Dazu müssen Sie das Office 365-Audit-Log aktivieren. Eine Anleitung finden Sie unter Überwachung aktivieren oder deaktivieren.

Die Kontokonfiguration ähnelt der anderer Azure-basierter Produkte (Defender, Sentinel usw.). Sie müssen eine App in Azure Active Directory registrieren und ihr die folgenden Berechtigungen erteilen:

Delegierte User.Read-Berechtigungen aus Microsoft Graph
Berechtigungen für die Anwendung ActivityFeed.ReadDlp aus den Office 365 Management Activity APIs

O365 Management API-Integration in Google SecOps konfigurieren

Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Integrationsparameter

Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Instanzname	String	–	Nein	Name der Instanz, für die Sie die Integration konfigurieren möchten.
Beschreibung	String	–	Nein	Beschreibung der Instanz.
API-Stamm	String	https://manage.office.com	Ja	API-Stamm-URL, die mit der Integration verwendet werden soll.
Azure Active Directory-ID	String	–	Ja	Die Mandanten-ID von Azure Active Directory finden Sie unter „Active Directory“ > „App Registration“ > „<Application you configured for your integration> Directory (tenant) ID“ (Active Directory > App-Registrierung > <Für Ihre Integration konfigurierte Anwendung> Verzeichnis-ID (Mandant)). Beispiel: k48f52ca-0000-4708-8ed0-0000a20a40a
Client-ID	String	–	Ja	Die Client-ID (Anwendungs-ID), die für die App-Registrierung in Azure Active Directory für diese Integration hinzugefügt wurde. z. B. 29bf818e-0000-0000-0000-784fb644178d
Clientschlüssel	Passwort	–	Nein	Das Secret, das für die Registrierung der Azure AD-App eingegeben wurde. Beispiel: XF00000Qc0000000[UZSW7-0?qXb6Qx]
SSL überprüfen	Kästchen	Aktiviert	Ja	Gibt an, ob das SSL-Zertifikat des Remote-API-Endpunkt validiert werden soll.
Remote ausführen	Kästchen	Deaktiviert	Nein	Aktivieren Sie das Feld, um die konfigurierte Integration remote auszuführen. Nachdem Sie das Kästchen angekreuzt haben, wird die Option zum Auswählen des Remote-Nutzers (Kundenservicemitarbeiters) angezeigt.
Zertifikatspfad	String	–	Nein	Wenn die Authentifizierung auf Grundlage von Zertifikaten anstelle des Clientschlüssels verwendet wird, geben Sie den Pfad zum Zertifikat auf dem Google SecOps-Server an.
Zertifikatpasswort	Passwort	–	Nein	Optional: Wenn das Zertifikat passwortgeschützt ist, geben Sie das Passwort zum Öffnen der Zertifikatsdatei an.
OAUTH2-Anmelde-Endpunkt-URL	String	https://login.microsoftonline.com	Ja	Geben Sie den URL-Connector an, der für die OAUTH2-Anmeldeendpunkt-URL verwendet werden soll.

Aktionen

Ping

Beschreibung

Testen Sie die Verbindung zum O365 Management API-Dienst mit Parametern, die auf dem Tab „Google Security Operations Marketplace“ auf der Seite mit der Integrationskonfiguration angegeben sind.

Parameter

–

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
Erfolgreich	Wahr/falsch	success:False

Fall-Repository

Ergebnistyp	Wert / Beschreibung	Typ
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg: „Successfully connected to the O365 Management API with the provided connection parameters!“ (Die Verbindung zur O365 Management API mit den angegebenen Verbindungsparametern wurde erfolgreich hergestellt.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei einem kritischen Fehler, z. B. falschen Anmeldedaten oder einer unterbrochenen Verbindung: „Failed to connect to the O365 Management API! Fehler: {0}".format(exception.stacktrace)	Allgemein

Ergebnistyp

Wert / Beschreibung

Typ

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Bei Erfolg: „Successfully connected to the O365 Management API with the provided connection parameters!“ (Die Verbindung zur O365 Management API mit den angegebenen Verbindungsparametern wurde erfolgreich hergestellt.)

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Bei einem kritischen Fehler, z. B. falschen Anmeldedaten oder einer unterbrochenen Verbindung: „Failed to connect to the O365 Management API! Fehler: {0}".format(exception.stacktrace)

Allgemein

Abo starten

Beschreibung

Starten Sie ein Abo für einen ausgewählten Inhaltstyp der Office 365 Management API.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Abo starten für	DDL	Wählen Sie den Inhaltstyp „Audit.General“ aus.	Ja	Geben Sie an, für welchen Inhaltstyp Sie ein Abo starten möchten.

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

Fall-Repository

Ergebnistyp	Wert / Beschreibung	Typ
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg: print "Successfully created O365 Management API subscription for the {0} content type!".format(content_type) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei einem kritischen Fehler, z. B. falschen Anmeldedaten oder einer unterbrochenen Verbindung: „Failed to execute command! Fehler: {0}".format(exception.stacktrace)	Allgemein

Ergebnistyp

Wert / Beschreibung

Typ

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Bei Erfolg: print "Successfully created O365 Management API subscription for the {0} content type!".format(content_type)

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Bei einem kritischen Fehler, z. B. falschen Anmeldedaten oder einer unterbrochenen Verbindung: „Failed to execute command! Fehler: {0}".format(exception.stacktrace)

Allgemein

Abo beenden

Beschreibung

Beenden Sie ein Abo für einen ausgewählten Inhaltstyp der Office 365 Management API.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist Mandatory	Beschreibung
Abo für	DDL	Wählen Sie den Inhaltstyp „Audit.General“ aus.	Ja	Geben Sie an, für welchen Inhaltstyp ein Abo beendet werden soll.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

Fall-Repository

Ergebnistyp	Wert / Beschreibung	Typ
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg: print "Successfully stopped O365 Management API subscription for the {0} content type!".format(content_type) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei einem kritischen Fehler, z. B. falschen Anmeldedaten oder einer unterbrochenen Verbindung: „Failed to connect to execute command! Fehler: {0}".format(exception.stacktrace)	Allgemein

Ergebnistyp

Wert / Beschreibung

Typ

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Bei Erfolg: print "Successfully stopped O365 Management API subscription for the {0} content type!".format(content_type)

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Bei einem kritischen Fehler, z. B. falschen Anmeldedaten oder einer unterbrochenen Verbindung: „Failed to connect to execute command! Fehler: {0}".format(exception.stacktrace)

Allgemein

Connectors

Office 365 Management API-Connectors in Google SecOps konfigurieren

Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Connector konfigurieren.

Verwenden Sie die in den folgenden Tabellen aufgeführten connectorspezifischen Parameter, um den ausgewählten Connector zu konfigurieren:

Office 365 Management API DLP Events Connector

Beschreibung

DLP-Ereignisse aus der Office 365 Management API abrufen

Connector-Parameter

Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Produktfeldname	String	Produktname	Ja	Geben Sie den Namen des Quellfelds ein, um den Namen des Produktfelds abzurufen.
Name des Ereignisfelds	String	Vorgang	Ja	Geben Sie den Namen des Quellfelds ein, um den Namen des Ereignisfelds abzurufen.
Name des Umgebungsfelds	String	""	Nein	Beschreibt den Namen des Felds, in dem der Umgebungsname gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, ist die Umgebung die Standardumgebung.
Regex-Muster für Umgebung	String	.*	Nein	Ein regulärer Ausdruck, der auf den Wert im Feld „Name des Umgebungsfelds“ angewendet wird. Der Standardwert ist „.*“, um alle Werte zu erfassen und unverändert zurückzugeben. Damit kann der Nutzer das Feld „environment“ über Regex-Logik bearbeiten. Wenn das reguläre Ausdrucksmuster null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung.
Zeitlimit für Script (Sekunden)	Ganzzahl	180	Ja	Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird.
API-Stamm	String	https://manage.office.com	Ja	API-Stamm-URL, die mit der Integration verwendet werden soll.
Azure Active Directory-ID	String	–	Ja	Die Mandanten-ID von Azure Active Directory finden Sie unter „Active Directory“ > „App Registration“ > „<Application you configured for your integration> Directory (tenant) ID“ (Active Directory > App-Registrierung > <Für Ihre Integration konfigurierte Anwendung> Verzeichnis-ID (Mandant)). Beispiel: k48f52ca-0000-4708-8ed0-0000a20a40a
Client-ID	String	–	Ja	Die Client-ID (Anwendungs-ID), die für die App-Registrierung in Azure Active Directory für diese Integration hinzugefügt wurde. Beispiel: 29bf818e-0000-0000-0000-784fb644178d
Clientschlüssel	Passwort	–	Nein	Das Secret, das für die Registrierung der Azure AD-App eingegeben wurde. Beispiel: XF00000Qc0000000[UZSW7-0?qXb6Qx]
SSL überprüfen	Kästchen	Aktiviert	Ja	Gibt an, ob das SSL-Zertifikat des Remote-API-Endpunkt validiert werden soll.
Typ des Vorgangsfilters	String	–	Nein	Für DLP-Ereignisse sind die folgenden Vorgangstypen verfügbar: DlpRuleMatch, DlpRuleUndo, DlpInfo. Der Parameter funktioniert wie eine Sperrliste. Wenn in diesem Parameter nichts angegeben ist, werden standardmäßig alle möglichen Vorgangstypen erfasst. Wenn der Vorgangstyp in diesem Parameter angegeben ist, wird das Ereignis mit diesem Vorgangstyp nicht erfasst. Der Parameter akzeptiert mehrere Werte als durch Kommas getrennten String.
Typ des Richtlinienfilters	String	–	Nein	Mit diesem Parameter kann der Name einer Richtlinie angegeben werden. Wenn dieser im Ereignis vorhanden ist, wird das Ereignis nicht erfasst. Der Parameter funktioniert wie eine Sperrliste. Standardmäßig werden alle möglichen Richtlinientypen aufgenommen, sofern nichts anderes angegeben ist. Der Parameter akzeptiert mehrere Werte als durch Kommas getrennten String.
Ergebnisse maskieren?	Kästchen	Deaktiviert	Nein	Geben Sie an, ob der Connector sensible Ergebnisse maskieren soll, die DLP-Richtlinien ausgelöst haben.
Maximale Anzahl der abzurufenden Ereignisse	Ganzzahl	50	Ja	Anzahl der Ereignisse, die pro Connector-Iteration verarbeitet werden sollen.
Maximale Stunden rückwärts abrufen	Ganzzahl	8	Ja	Anzahl der Stunden, ab denen Ereignisse abgerufen werden sollen. Mit der O365 Management API können nur Ereignisse der letzten 7 Tage zurückgegeben werden.
Zeitintervall für den Rückwärtsabruf (Minuten)	Ganzzahl	240	Ja	Zeitintervall, das der Connector verwenden soll, um Ereignisse abzurufen (maximal in Stunden). Wenn der O365-Mandant ausgelastet ist, können viele Ereignis-Blobs zurückgegeben werden. Daher kann dieser Parameter in Minuten verwendet werden, um die maximale Anzahl von Stunden rückwärts in kleinere Segmente aufzuteilen und diese einzeln zu verarbeiten. Das Zeitintervall darf insgesamt nicht länger als 24 Stunden sein.
Pufferzeit für Ereignisse (Minuten)	Ganzzahl	60	Ja	„Event Padding Period in minutes“ (Zeitraum für Ereignis-Padding in Minuten) gibt ein Mindestzeitintervall an, das vom Connector zum Prüfen neuer Ereignisse verwendet wird.
Zulassungsliste als Sperrliste verwenden	Kästchen	Deaktiviert	Ja	Wenn diese Option aktiviert ist, wird die Zulassungsliste als Sperrliste verwendet.
Proxyserveradresse	String		Nein	Die Adresse des zu verwendenden Proxyservers.
Proxy-Nutzername	String		Nein	Der Proxy-Nutzername für die Authentifizierung.
Proxy-Passwort	Passwort		Nein	Das Proxy-Passwort für die Authentifizierung.
Zertifikatspfad	String		Nein	Wenn die Authentifizierung auf Grundlage von Zertifikaten anstelle des Clientschlüssels verwendet wird, geben Sie den Pfad zum Zertifikat auf dem Google SecOps-Server an.
Zertifikatpasswort	Passwort		Nein	Optional: Wenn das Zertifikat passwortgeschützt ist, geben Sie das Passwort zum Öffnen der Zertifikatsdatei an.
OAUTH2-Anmelde-Endpunkt-URL	String	https://login.microsoftonline.com	Ja	Geben Sie die URL an, die der Connector für die OAUTH2-Anmeldeendpunkt-URL verwenden soll.

Connector-Regeln

Zulassungsliste / Sperrliste

Der Connector unterstützt Zulassungs- und Sperrlisten.

Proxyunterstützung.

Der Connector unterstützt Proxys.

Connector für allgemeine Ereignisse der Office 365 Management API Audit

Beschreibung

Ruft Audit.General-Ereignisse aus der Office 365 Management API ab. Achten Sie darauf, dass Sie zuerst das Abo für Audit.General-Ereignisse aktiviert haben, indem Sie die Aktion „Abo starten“ ausführen.

Für den Connector „Office 365 Management API Audit General Events“ sind die folgenden Berechtigungen erforderlich:

Delegierte Berechtigungen User.Read, email und profile von Microsoft Graph
Berechtigungen für die Anwendungen ActivityFeed.ReadDlp und ActivityFeed.Read aus den Office 365 Management Activity APIs

Connector-Parameter

Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Produktfeldname	String	Produktname	Ja	Geben Sie den Namen des Quellfelds ein, um den Namen des Produktfelds abzurufen.
Name des Ereignisfelds	String	Vorgang	Ja	Geben Sie den Namen des Quellfelds ein, um den Namen des Ereignisfelds abzurufen.
Name des Umgebungsfelds	String	""	Nein	Beschreibt den Namen des Felds, in dem der Umgebungsname gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, ist die Umgebung die Standardumgebung.
Regex-Muster für Umgebung	String	.*	Nein	Ein regulärer Ausdruck, der auf den Wert im Feld „Name des Umgebungsfelds“ angewendet wird. Der Standardwert ist „.*“, um alle Werte zu erfassen und unverändert zurückzugeben. Damit kann der Nutzer das Feld „environment“ über Regex-Logik bearbeiten. Wenn das reguläre Ausdrucksmuster null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung.
Zeitlimit für Script (Sekunden)	Ganzzahl	180	Ja	Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird.
API-Stamm	String	https://manage.office.com	Ja	API-Stamm-URL, die mit der Integration verwendet werden soll.
Azure Active Directory-ID	String	–	Ja	Die Mandanten-ID von Azure Active Directory finden Sie unter „Active Directory“ > „App Registration“ > „<Application you configured for your integration> Directory (tenant) ID“ (Active Directory > App-Registrierung > <Für Ihre Integration konfigurierte Anwendung> Verzeichnis-ID (Mandant)). Beispiel: k48f52ca-0000-4708-8ed0-0000a20a40a
Client-ID	String	–	Ja	Die Client-ID (Anwendungs-ID), die für die App-Registrierung in Azure Active Directory für diese Integration hinzugefügt wurde. Beispiel: 29bf818e-0000-0000-0000-784fb644178d
Clientschlüssel	Passwort	–	Nein	Das Secret, das für die Registrierung der Azure AD-App eingegeben wurde. Beispiel: XF00000Qc0000000[UZSW7-0?qXb6Qx]
Zertifikatspfad	String	–	Nein	Wenn die Authentifizierung auf Grundlage von Zertifikaten anstelle des Clientschlüssels verwendet wird, geben Sie den Pfad zum Zertifikat auf dem Google SecOps-Server an.
Zertifikatpasswort	Passwort	–	Nein	Optional: Wenn das Zertifikat passwortgeschützt ist, geben Sie das Passwort zum Öffnen der Zertifikatsdatei an.
OAUTH2-Anmelde-Endpunkt-URL	String	https://login.microsoftonline.com	Nein	Geben Sie die URL an, die der Connector für die OAUTH2-Anmeldeendpunkt-URL verwenden soll.
SSL überprüfen	Kästchen	Aktiviert	Ja	Gibt an, ob das SSL-Zertifikat des Remote-API-Endpunkt validiert werden soll.
Typ des Vorgangsfilters	String	–	Nein	Im Schema „audit.general“ kann es verschiedene Vorgangstypen geben, z. B. „SearchAirBatch“ und „SearchCustomTag“. Wenn in diesem Parameter nichts angegeben ist, werden standardmäßig alle möglichen Vorgangstypen erfasst. Wenn der Vorgangstyp in diesem Parameter angegeben ist, wird das Ereignis mit diesem Vorgangstyp nicht erfasst. Der Parameter akzeptiert mehrere Werte als durch Kommas getrennten String.
Statusfilter	String	–	Nein	Mit diesem Parameter kann ein Status angegeben werden, der verhindert, dass das Ereignis erfasst wird, wenn es im Ereignis vorhanden ist. Der Parameter funktioniert wie eine Sperrliste. Standardmäßig werden alle möglichen Statustypen erfasst, sofern nichts anderes angegeben ist. Der Parameter akzeptiert mehrere Werte als durch Kommas getrennten String.
Filter für Vorgänge und Status als weiße Liste verwenden	Kästchen	Deaktiviert	Ja	Wenn diese Option aktiviert ist, funktionieren Betriebs- und Statusfilter standardmäßig als Zulassungsliste. Andernfalls sind sie standardmäßig eine Sperrliste.
Entitätsschlüssel zum Erstellen zusätzlicher Ereignisse	CSV	–	Nein	Geben Sie Schlüssel an, die, wenn sie im Abschnitt „Audit.General“-Entitäten der Daten gefunden werden, dazu führen, dass ein zusätzliches Google SecOps-Ereignis erstellt wird.
Maximale Anzahl der abzurufenden Ereignisse	Ganzzahl	50	Ja	Anzahl der Ereignisse, die pro Connector-Iteration verarbeitet werden sollen.
Maximale Stunden rückwärts abrufen	Ganzzahl	8	Ja	Anzahl der Stunden, ab denen Ereignisse abgerufen werden sollen. Mit der O365 Management API können nur Ereignisse der letzten 7 Tage zurückgegeben werden.
Zeitintervall für den Rückwärtsabruf (Minuten)	Ganzzahl	240	Ja	Zeitintervall, das der Connector verwenden soll, um Ereignisse abzurufen (maximal in Stunden). Wenn der O365-Mandant ausgelastet ist, können viele Ereignis-Blobs zurückgegeben werden. Daher kann dieser Parameter in Minuten verwendet werden, um die maximale Anzahl von Stunden rückwärts in kleinere Segmente aufzuteilen und diese einzeln zu verarbeiten. Das Zeitintervall darf insgesamt nicht länger als 24 Stunden sein.
Pufferzeit für Ereignisse (Minuten)	Ganzzahl	60	Ja	„Event Padding Period in minutes“ (Zeitraum für Ereignis-Padding in Minuten) gibt ein Mindestzeitintervall an, das vom Connector zum Prüfen neuer Ereignisse verwendet wird.
Zulassungsliste als Sperrliste verwenden	Kästchen	Deaktiviert	Ja	Wenn diese Option aktiviert ist, wird die Zulassungsliste als Sperrliste verwendet.
Proxyserveradresse	String		Nein	Die Adresse des zu verwendenden Proxyservers.
Proxy-Nutzername	String		Nein	Der Proxy-Nutzername für die Authentifizierung.
Proxy-Passwort	Passwort		Nein	Das Proxy-Passwort für die Authentifizierung.

Connector-Regeln

Zulassungsliste / Sperrliste

Der Connector unterstützt Zulassungs- und Sperrlisten.

Proxyunterstützung.

Der Connector unterstützt Proxys.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten