Cette page a été traduite par l'API Cloud Translation.

API Management O365

Version de l'intégration : 9.0

Cas d'utilisation

Obtenez des événements d'activité à partir de Microsoft 365.

Configurer l'API Management O365 pour qu'elle fonctionne avec Google Security Operations

Autorisation du produit

Pour en savoir plus, consultez Premiers pas avec les API de gestion Office 365.

Avant de pouvoir accéder aux données via les API d'activité de gestion Office 365, vous devez activer la journalisation d'audit unifiée pour votre organisation Office 365. Pour ce faire, activez le journal d'audit Office 365. Pour obtenir des instructions, consultez Activer ou désactiver l'audit.

La procédure de configuration du compte est similaire à celle des autres produits basés sur Azure (Defender, Sentinel, etc.). Vous devez enregistrer une application dans Azure Active Directory et lui accorder les autorisations suivantes :

Autorisations déléguées User.Read de Microsoft Graph
Autorisations de l'application ActivityFeed.ReadDlp à partir des API d'activité de gestion Office 365

Configurer l'intégration de l'API Management O365 dans Google SecOps

Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.

Paramètres d'intégration

Utilisez les paramètres suivants pour configurer l'intégration :

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
Nom de l'instance	Chaîne	N/A	Non	Nom de l'instance pour laquelle vous souhaitez configurer l'intégration.
Description	Chaîne	N/A	Non	Description de l'instance.
Racine de l'API	Chaîne	https://manage.office.com	Oui	URL racine de l'API à utiliser avec l'intégration.
ID Azure Active Directory	Chaîne	N/A	Oui	L'ID de locataire Azure Active Directory est visible dans Active Directory > Inscription d'application > <Application que vous avez configurée pour votre intégration> ID de répertoire (locataire). Exemple : k48f52ca-0000-4708-8ed0-0000a20a40a
ID client	Chaîne	N/A	Oui	ID client (application) ajouté pour l'enregistrement de l'application dans Azure Active Directory pour cette intégration. Par exemple, 29bf818e-0000-0000-0000-784fb644178d
Code secret du client	Mot de passe	N/A	Non	Secret saisi pour l'enregistrement de l'application Azure AD. Exemple : XF00000Qc0000000[UZSW7-0?qXb6Qx]
Vérifier le protocole SSL	Case à cocher	Cochée	Oui	Indiquez si le certificat SSL du point de terminaison de l'API distante doit être validé.
Exécuter à distance	Case à cocher	Décochée	Non	Cochez le champ pour exécuter l'intégration configurée à distance. Une fois la case cochée, l'option permettant de sélectionner l'utilisateur distant (agent) s'affiche.
Chemin d'accès au certificat	Chaîne	N/A	Non	Si l'authentification basée sur les certificats est utilisée au lieu du code secret du client, spécifiez le chemin d'accès au certificat sur le serveur Google SecOps.
Mot de passe du certificat	Mot de passe	N/A	Non	Facultatif : si le certificat est protégé par un mot de passe, spécifiez-le pour ouvrir le fichier du certificat.
URL du point de terminaison de connexion OAUTH2	Chaîne	https://login.microsoftonline.com	Oui	Spécifiez le connecteur d'URL à utiliser pour l'URL du point de terminaison de connexion OAUTH2.

Actions

Ping

Description

Testez la connectivité au service de l'API O365 Management avec les paramètres fournis sur la page de configuration de l'intégration dans l'onglet Google Security Operations Marketplace.

Paramètres

N/A

Exécuter sur

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
success	Vrai/Faux	success:False

Mur des cas

Type de résultat	Valeur / Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit, affichez le message "Successfully connected to the O365 API Management with the provided connection parameters!" (Connexion à l'API de gestion O365 établie avec les paramètres de connexion fournis). L'action doit échouer et arrêter l'exécution d'un playbook : En cas d'erreur critique, comme des identifiants incorrects ou une perte de connectivité, affichez "Échec de la connexion à l'API Management O365 ! Error is {0}".format(exception.stacktrace)	Général

Type de résultat

Valeur / Description

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si l'opération réussit, affichez le message "Successfully connected to the O365 API Management with the provided connection parameters!" (Connexion à l'API de gestion O365 établie avec les paramètres de connexion fournis).

L'action doit échouer et arrêter l'exécution d'un playbook :

En cas d'erreur critique, comme des identifiants incorrects ou une perte de connectivité, affichez "Échec de la connexion à l'API Management O365 ! Error is {0}".format(exception.stacktrace)

Général

Souscrire un abonnement

Description

Abonnez-vous à un type de contenu Office 365 API Management de votre choix.

Paramètres

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
Souscrire un abonnement pour	LDD	Sélectionnez le type de contenu "Audit.General".	Oui	Spécifiez le type de contenu pour lequel démarrer un abonnement.

Exécuter sur

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Mur des cas

Type de résultat	Valeur / Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : if successful: print "Successfully created O365 API Management subscription for the {0} content type!".format(content_type) L'action doit échouer et arrêter l'exécution d'un playbook : En cas d'erreur critique, comme des identifiants incorrects ou une perte de connectivité, affichez "Échec de l'exécution de la commande ! Error is {0}".format(exception.stacktrace)	Général

Type de résultat

Valeur / Description

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

if successful: print "Successfully created O365 API Management subscription for the {0} content type!".format(content_type)

L'action doit échouer et arrêter l'exécution d'un playbook :

En cas d'erreur critique, comme des identifiants incorrects ou une perte de connectivité, affichez "Échec de l'exécution de la commande ! Error is {0}".format(exception.stacktrace)

Général

Arrêter un abonnement

Description

Arrêtez un abonnement à un type de contenu Office 365 API Management choisi.

Paramètres

Nom à afficher du paramètre	Type	Valeur par défaut	Mandatory	Description
Arrêter un abonnement pour	LDD	Sélectionnez le type de contenu "Audit.General".	Oui	Spécifiez le type de contenu pour lequel arrêter un abonnement.

Exécuter sur

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Mur des cas

Type de résultat	Valeur / Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : if successful: print "Successfully stopped O365 API Management subscription for the {0} content type!".format(content_type) L'action doit échouer et arrêter l'exécution d'un playbook : En cas d'erreur critique, comme des identifiants incorrects ou une perte de connectivité, affichez "Échec de la connexion pour exécuter la commande ! Error is {0}".format(exception.stacktrace)	Général

Type de résultat

Valeur / Description

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

if successful: print "Successfully stopped O365 API Management subscription for the {0} content type!".format(content_type)

L'action doit échouer et arrêter l'exécution d'un playbook :

En cas d'erreur critique, comme des identifiants incorrects ou une perte de connectivité, affichez "Échec de la connexion pour exécuter la commande ! Error is {0}".format(exception.stacktrace)

Général

Connecteurs

Configurer les connecteurs de l'API Management Office 365 dans Google SecOps

Pour obtenir des instructions détaillées sur la configuration d'un connecteur dans Google SecOps, consultez Configurer le connecteur.

Pour configurer le connecteur sélectionné, utilisez les paramètres spécifiques au connecteur listés dans les tableaux suivants :

Connecteur d'événements DLP de l'API de gestion Office 365

Description

Récupérez les événements DLP à partir de l'API Management Office 365.

Paramètres du connecteur

Utilisez les paramètres suivants pour configurer le connecteur :

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
Nom du champ de produit	Chaîne	Nom du produit	Oui	Saisissez le nom du champ source pour récupérer le nom du champ produit.
Nom du champ d'événement	Chaîne	Opération	Oui	Saisissez le nom du champ source pour récupérer le nom du champ d'événement.
Nom du champ "Environnement"	Chaîne	""	Non	Décrit le nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" (environnement) est introuvable, l'environnement est celui par défaut.
Modèle d'expression régulière de l'environnement	Chaîne	.*	Non	Expression régulière à exécuter sur la valeur trouvée dans le champ "Nom du champ d'environnement". La valeur par défaut est ".*" pour tout capturer et renvoyer la valeur inchangée. Permet à l'utilisateur de manipuler le champ "environnement" à l'aide de la logique des expressions régulières. Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, l'environnement par défaut est utilisé comme résultat final.
Délai avant expiration du script (en secondes)	Integer	180	Oui	Délai avant expiration du processus Python exécutant le script actuel.
Racine de l'API	Chaîne	https://manage.office.com	Oui	URL racine de l'API à utiliser avec l'intégration.
ID Azure Active Directory	Chaîne	N/A	Oui	L'ID de locataire Azure Active Directory est visible dans Active Directory > Inscription d'application > <Application que vous avez configurée pour votre intégration> ID de répertoire (locataire). Exemple : k48f52ca-0000-4708-8ed0-0000a20a40a
ID client	Chaîne	N/A	Oui	ID client (application) ajouté pour l'enregistrement de l'application dans Azure Active Directory pour cette intégration. Exemple : 29bf818e-0000-0000-0000-784fb644178d
Code secret du client	Mot de passe	N/A	Non	Secret saisi pour l'enregistrement de l'application Azure AD. Exemple : XF00000Qc0000000[UZSW7-0?qXb6Qx]
Vérifier le protocole SSL	Case à cocher	Cochée	Oui	Indiquez si le certificat SSL du point de terminaison de l'API distante doit être validé.
Filtre "Type d'opération"	Chaîne	N/A	Non	Les types d'opérations suivants sont disponibles pour les événements DLP : DlpRuleMatch, DlpRuleUndo et DlpInfo. Le paramètre fonctionne comme une liste noire. Par défaut, si rien n'est spécifié dans ce paramètre, tous les types d'opérations possibles sont ingérés. Si le type d'opération est spécifié dans ce paramètre, l'événement correspondant ne sera pas ingéré. Le paramètre accepte plusieurs valeurs sous forme de chaîne séparée par des virgules.
Type de filtre de règles	Chaîne	N/A	Non	Ce paramètre peut être utilisé pour spécifier le nom d'une règle. Si ce nom est présent dans l'événement, l'événement ne sera pas ingéré. Le paramètre fonctionne comme une liste noire. Par défaut, si rien n'est spécifié, tous les types de règles possibles sont ingérés. Le paramètre accepte plusieurs valeurs sous forme de chaîne séparée par des virgules.
Résultats de masquage ?	Case à cocher	Décochée	Non	Indiquez si le connecteur doit masquer les résultats sensibles qui ont déclenché des règles de protection contre la perte de données.
Nombre maximal d'événements à extraire	Integer	50	Oui	Nombre d'événements à traiter par itération du connecteur.
Récupérer les heures Max en arrière	Integer	8	Oui	Nombre d'heures à partir desquelles récupérer les événements. Notez que API Management O365 permet de renvoyer les événements des sept derniers jours, et pas plus anciens.
Intervalle de récupération en arrière (minutes)	Integer	240	Oui	Connecteur d'intervalle de temps à utiliser pour récupérer les événements à partir du nombre maximal d'heures en arrière. Si le locataire O365 est occupé, il peut renvoyer de nombreux blobs d'événements. Par conséquent, ce paramètre en minutes peut être utilisé pour répartir les heures maximales en arrière sur des segments plus petits et les traiter individuellement. L'intervalle de temps ne peut pas dépasser 24 heures au total.
Période de marge des événements (minutes)	Integer	60	Oui	La période de remplissage des événements (en minutes) spécifie un intervalle de temps minimal que le connecteur utilisera pour vérifier les nouveaux événements.
Utiliser la liste blanche comme liste noire	Case à cocher	Décochée	Oui	Si cette option est activée, la liste blanche sera utilisée comme liste noire.
Adresse du serveur proxy	Chaîne		Non	Adresse du serveur proxy à utiliser.
Nom d'utilisateur du proxy	Chaîne		Non	Nom d'utilisateur du proxy pour l'authentification.
Mot de passe du proxy	Mot de passe		Non	Mot de passe du proxy pour l'authentification.
Chemin d'accès au certificat	Chaîne		Non	Si l'authentification basée sur les certificats est utilisée au lieu du code secret du client, spécifiez le chemin d'accès au certificat sur le serveur Google SecOps.
Mot de passe du certificat	Mot de passe		Non	Facultatif : si le certificat est protégé par un mot de passe, spécifiez-le pour ouvrir le fichier du certificat.
URL du point de terminaison de connexion OAUTH2	Chaîne	https://login.microsoftonline.com	Oui	Spécifiez l'URL que le connecteur doit utiliser pour l'URL du point de terminaison de connexion OAUTH2.

Règles du connecteur

Liste blanche / Liste noire

Le connecteur est compatible avec les listes blanches et noires.

Assistance de proxy

Le connecteur est compatible avec le proxy.

Connecteur d'événements généraux d'audit de l'API de gestion Office 365

Description

Récupérez les événements Audit.General à partir de l'API Office 365 Management. Veuillez d'abord vous assurer d'avoir activé l'abonnement aux événements Audit.General en exécutant l'action "Start a Subscription" (Démarrer un abonnement).

Les autorisations suivantes sont requises pour le connecteur d'événements généraux d'audit de l'API Office 365 Management :

Autorisations déléguées User.Read, email et profile de Microsoft Graph
Autorisations ActivityFeed.ReadDlp et ActivityFeed.Read des applications à partir des API d'activité de gestion Office 365

Paramètres du connecteur

Utilisez les paramètres suivants pour configurer le connecteur :

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
Nom du champ de produit	Chaîne	Nom du produit	Oui	Saisissez le nom du champ source pour récupérer le nom du champ produit.
Nom du champ d'événement	Chaîne	Opération	Oui	Saisissez le nom du champ source pour récupérer le nom du champ d'événement.
Nom du champ "Environnement"	Chaîne	""	Non	Décrit le nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" (environnement) est introuvable, l'environnement est celui par défaut.
Modèle d'expression régulière de l'environnement	Chaîne	.*	Non	Expression régulière à exécuter sur la valeur trouvée dans le champ "Nom du champ d'environnement". La valeur par défaut est ".*" pour tout capturer et renvoyer la valeur inchangée. Permet à l'utilisateur de manipuler le champ "environnement" à l'aide de la logique des expressions régulières. Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, l'environnement par défaut est utilisé comme résultat final.
Délai avant expiration du script (en secondes)	Integer	180	Oui	Délai avant expiration du processus Python exécutant le script actuel.
Racine de l'API	Chaîne	https://manage.office.com	Oui	URL racine de l'API à utiliser avec l'intégration.
ID Azure Active Directory	Chaîne	N/A	Oui	L'ID de locataire Azure Active Directory est visible dans Active Directory > Inscription d'application > <Application que vous avez configurée pour votre intégration> ID de répertoire (locataire). Exemple : k48f52ca-0000-4708-8ed0-0000a20a40a
ID client	Chaîne	N/A	Oui	ID client (application) ajouté pour l'enregistrement de l'application dans Azure Active Directory pour cette intégration. Exemple : 29bf818e-0000-0000-0000-784fb644178d
Code secret du client	Mot de passe	N/A	Non	Secret saisi pour l'enregistrement de l'application Azure AD. Exemple : XF00000Qc0000000[UZSW7-0?qXb6Qx]
Chemin d'accès au certificat	Chaîne	N/A	Non	Si l'authentification basée sur les certificats est utilisée au lieu du code secret du client, spécifiez le chemin d'accès au certificat sur le serveur Google SecOps.
Mot de passe du certificat	Mot de passe	N/A	Non	Facultatif : si le certificat est protégé par un mot de passe, spécifiez-le pour ouvrir le fichier du certificat.
URL du point de terminaison de connexion OAUTH2	Chaîne	https://login.microsoftonline.com	Non	Spécifiez l'URL que le connecteur doit utiliser pour l'URL du point de terminaison de connexion OAUTH2.
Vérifier le protocole SSL	Case à cocher	Cochée	Oui	Indiquez si le certificat SSL du point de terminaison de l'API distante doit être validé.
Filtre "Type d'opération"	Chaîne	N/A	Non	Dans le schéma audit.general, il peut exister différents types d'opérations : SearchAirBatch, SearchCustomTag, etc. Par défaut, si rien n'est spécifié dans ce paramètre, tous les types d'opérations possibles sont ingérés. Si le type d'opération est spécifié dans ce paramètre, l'événement correspondant ne sera pas ingéré. Le paramètre accepte plusieurs valeurs sous forme de chaîne séparée par des virgules.
Filtre d'état	Chaîne	N/A	Non	Ce paramètre peut être utilisé pour spécifier un état. Si cet état est présent dans l'événement, l'événement ne sera pas ingéré. Le paramètre fonctionne comme une liste noire. Par défaut, si rien n'est spécifié, tous les types d'état possibles sont ingérés. Le paramètre accepte plusieurs valeurs sous forme de chaîne séparée par des virgules.
Utiliser les filtres d'opération et d'état comme liste blanche	Case à cocher	Décochée	Oui	Si cette option est activée, les filtres d'opération et d'état fonctionneront comme une liste d'autorisation (par défaut, il s'agit d'une liste noire).
Clés d'entité pour créer des événements supplémentaires	CSV	N/A	Non	Spécifiez les clés qui, si elles sont présentes dans la section "Audit.General" des entités de données, doivent être utilisées pour créer un événement Google SecOps supplémentaire.
Nombre maximal d'événements à extraire	Integer	50	Oui	Nombre d'événements à traiter par itération du connecteur.
Récupérer les heures Max en arrière	Integer	8	Oui	Nombre d'heures à partir desquelles récupérer les événements. Notez que API Management O365 permet de renvoyer les événements des sept derniers jours, et pas plus anciens.
Intervalle de récupération en arrière (minutes)	Integer	240	Oui	Connecteur d'intervalle de temps à utiliser pour récupérer les événements à partir du nombre maximal d'heures en arrière. Si le locataire O365 est occupé, il peut renvoyer de nombreux blobs d'événements. Par conséquent, ce paramètre en minutes peut être utilisé pour répartir les heures maximales en arrière sur des segments plus petits et les traiter individuellement. L'intervalle de temps ne peut pas dépasser 24 heures au total.
Période de marge des événements (minutes)	Integer	60	Oui	La période de remplissage des événements (en minutes) spécifie un intervalle de temps minimal que le connecteur utilisera pour vérifier les nouveaux événements.
Utiliser la liste blanche comme liste noire	Case à cocher	Décochée	Oui	Si cette option est activée, la liste blanche sera utilisée comme liste noire.
Adresse du serveur proxy	Chaîne		Non	Adresse du serveur proxy à utiliser.
Nom d'utilisateur du proxy	Chaîne		Non	Nom d'utilisateur du proxy pour l'authentification.
Mot de passe du proxy	Mot de passe		Non	Mot de passe du proxy pour l'authentification.

Règles du connecteur

Liste blanche / Liste noire

Le connecteur est compatible avec les listes blanches et noires.

Assistance de proxy

Le connecteur est compatible avec le proxy.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.