Halaman ini diterjemahkan oleh Cloud Translation API.

O365 Management API

Versi integrasi: 9.0

Kasus Penggunaan

Mendapatkan peristiwa aktivitas dari Microsoft 365.

Mengonfigurasi O365 Management API agar dapat berfungsi dengan Google Security Operations

Izin Produk

Untuk mengetahui informasi selengkapnya, lihat Memulai penggunaan Office 365 Management API.

Sebelum dapat mengakses data melalui Office 365 Management Activity API, Anda harus mengaktifkan logging audit terpadu untuk organisasi Office 365 Anda. Anda dapat melakukannya dengan mengaktifkan log audit Office 365. Untuk mengetahui petunjuknya, lihat Mengaktifkan atau menonaktifkan audit.

Untuk konfigurasi akun, prosedurnya mirip dengan produk berbasis Azure lainnya (Defender, Sentinel, dll.). Anda perlu mendaftarkan aplikasi di Azure Active Directory dan memberikan izin berikut:

Izin User.Read yang didelegasikan dari Microsoft Graph
Izin ActivityFeed.ReadDlp aplikasi dari Office 365 Management Activity API

Mengonfigurasi integrasi O365 Management API di Google SecOps

Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.

Parameter integrasi

Gunakan parameter berikut untuk mengonfigurasi integrasi:

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Nama Instance	String	T/A	Tidak	Nama Instance yang ingin Anda konfigurasi integrasinya.
Deskripsi	String	T/A	Tidak	Deskripsi Instance.
Root API	String	https://manage.office.com	Ya	URL root API yang akan digunakan dengan integrasi.
ID Azure Active Directory	String	T/A	Ya	ID Tenant Azure Active Directory, dapat dilihat di Active Directory > App Registration > <Application you configured for your integration> Directory (tenant) ID. Contoh: k48f52ca-0000-4708-8ed0-0000a20a40a
ID Klien	String	T/A	Ya	ID Klien (Aplikasi) yang ditambahkan untuk pendaftaran aplikasi di Azure Active Directory untuk integrasi ini. Misalnya, 29bf818e-0000-0000-0000-784fb644178d
Rahasia Klien	Sandi	T/A	Tidak	Rahasia yang dimasukkan untuk pendaftaran aplikasi Azure AD. Contoh: XF00000Qc0000000[UZSW7-0?qXb6Qx]
Verifikasi SSL	Kotak centang	Dicentang	Ya	Tentukan apakah sertifikat SSL endpoint API jarak jauh harus divalidasi.
Menjalankan dari Jarak Jauh	Kotak centang	Tidak dicentang	Tidak	Centang kolom untuk menjalankan integrasi yang dikonfigurasi dari jarak jauh. Setelah dicentang, opsi akan muncul untuk memilih pengguna jarak jauh (agen).
Jalur Sertifikat	String	T/A	Tidak	Jika otentikasi berdasarkan sertifikat digunakan, bukan rahasia klien, tentukan jalur ke sertifikat di server Google SecOps.
Sandi Sertifikat	Sandi	T/A	Tidak	Opsional, jika sertifikat dilindungi sandi, tentukan sandi untuk membuka file sertifikat.
URL Endpoint Login OAUTH2	String	https://login.microsoftonline.com	Ya	Tentukan konektor URL yang harus digunakan untuk URL Endpoint Login OAUTH2.

Tindakan

Ping

Deskripsi

Uji konektivitas ke layanan O365 Management API dengan parameter yang diberikan di halaman konfigurasi integrasi di tab Google Security Operations Marketplace.

Parameter

T/A

Run On

Tindakan ini dijalankan di semua entity.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi Nilai	Contoh
berhasil	Benar/Salah	success:False

Repositori Kasus

Jenis Hasil	Nilai / Deskripsi	Jenis
Pesan output*	Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: jika berhasil: cetak "Successfully connected to the O365 Management API with the provided connection parameters!" Tindakan akan gagal dan menghentikan eksekusi playbook: jika terjadi error penting, seperti kredensial salah atau konektivitas terputus: cetak "Failed to connect to the O365 Management API! Error adalah {0}".format(exception.stacktrace)	Umum

Jenis Hasil

Nilai / Deskripsi

Jenis

Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

jika berhasil: cetak "Successfully connected to the O365 Management API with the provided connection parameters!"

Tindakan akan gagal dan menghentikan eksekusi playbook:

jika terjadi error penting, seperti kredensial salah atau konektivitas terputus: cetak "Failed to connect to the O365 Management API! Error adalah {0}".format(exception.stacktrace)

Umum

Memulai Langganan

Deskripsi

Mulai langganan ke jenis konten Office 365 Management API yang dipilih.

Parameter

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Mulai Langganan untuk	DDL	Pilih jenis konten, Audit.General	Ya	Tentukan jenis konten yang akan memulai langganan.

Run On

Tindakan ini dijalankan di semua entity.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi Nilai	Contoh
is_success	Benar/Salah	is_success:False

Repositori Kasus

Jenis Hasil	Nilai / Deskripsi	Jenis
Pesan output*	Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: jika berhasil: print "Successfully created O365 Management API subscription for the {0} content type!".format(content_type) Tindakan akan gagal dan menghentikan eksekusi playbook: jika error penting, seperti kredensial salah atau konektivitas terputus: cetak "Gagal menjalankan perintah! Error adalah {0}".format(exception.stacktrace)	Umum

Jenis Hasil

Nilai / Deskripsi

Jenis

Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

jika berhasil: print "Successfully created O365 Management API subscription for the {0} content type!".format(content_type)

Tindakan akan gagal dan menghentikan eksekusi playbook:

jika error penting, seperti kredensial salah atau konektivitas terputus: cetak "Gagal menjalankan perintah! Error adalah {0}".format(exception.stacktrace)

Umum

Menghentikan Langganan

Deskripsi

Menghentikan langganan ke jenis konten Office 365 Management API yang dipilih.

Parameter

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib Mengisi	Deskripsi
Menghentikan Langganan untuk	DDL	Pilih jenis konten, Audit.General	Ya	Tentukan jenis konten yang langganannya akan dihentikan.

Run On

Tindakan ini tidak dijalankan di entity.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi Nilai	Contoh
is_success	Benar/Salah	is_success:False

Repositori Kasus

Jenis Hasil	Nilai / Deskripsi	Jenis
Pesan output*	Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: jika berhasil: cetak "Successfully stopped O365 Management API subscription for the {0} content type!".format(content_type) Tindakan akan gagal dan menghentikan eksekusi playbook: jika error kritis, seperti kredensial salah atau konektivitas terputus: cetak "Gagal terhubung untuk menjalankan perintah! Error adalah {0}".format(exception.stacktrace)	Umum

Jenis Hasil

Nilai / Deskripsi

Jenis

Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

jika berhasil: cetak "Successfully stopped O365 Management API subscription for the {0} content type!".format(content_type)

Tindakan akan gagal dan menghentikan eksekusi playbook:

jika error kritis, seperti kredensial salah atau konektivitas terputus: cetak "Gagal terhubung untuk menjalankan perintah! Error adalah {0}".format(exception.stacktrace)

Umum

Konektor

Mengonfigurasi konektor Office 365 Management API di Google SecOps

Untuk mendapatkan petunjuk mendetail tentang cara mengonfigurasi konektor di Google SecOps, lihat Mengonfigurasi konektor.

Untuk mengonfigurasi konektor yang dipilih, gunakan parameter khusus konektor yang tercantum dalam tabel berikut:

Konektor Peristiwa DLP Office 365 Management API

Deskripsi

Mengambil peristiwa DLP dari Office 365 Management API.

Parameter konektor

Gunakan parameter berikut untuk mengonfigurasi konektor:

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Nama Kolom Produk	String	Nama Produk	Ya	Masukkan nama kolom sumber untuk mengambil nama Kolom Produk.
Nama Kolom Peristiwa	String	Operasi	Ya	Masukkan nama kolom sumber untuk mengambil nama Kolom Peristiwa.
Nama Kolom Lingkungan	String	""	Tidak	Mendeskripsikan nama kolom tempat nama lingkungan disimpan. Jika kolom lingkungan tidak ditemukan, lingkungan yang digunakan adalah lingkungan default.
Pola Regex Lingkungan	String	.*	Tidak	Pola regex untuk dijalankan pada nilai yang ditemukan di kolom "Nama Kolom Lingkungan". Defaultnya adalah .* untuk mencakup semua dan menampilkan nilai tanpa perubahan. Digunakan untuk mengizinkan pengguna memanipulasi kolom lingkungan melalui logika regex. Jika pola regex adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default.
Waktu Tunggu Skrip (Detik)	Bilangan bulat	180	Ya	Batas waktu untuk proses python yang menjalankan skrip saat ini.
Root API	String	https://manage.office.com	Ya	URL root API yang akan digunakan dengan integrasi.
ID Azure Active Directory	String	T/A	Ya	ID Tenant Azure Active Directory, dapat dilihat di Active Directory > App Registration > <Application you configured for your integration> Directory (tenant) ID. Contoh: k48f52ca-0000-4708-8ed0-0000a20a40a
ID Klien	String	T/A	Ya	ID Klien (Aplikasi) yang ditambahkan untuk pendaftaran aplikasi di Azure Active Directory untuk integrasi ini. Contoh: 29bf818e-0000-0000-0000-784fb644178d
Rahasia Klien	Sandi	T/A	Tidak	Rahasia yang dimasukkan untuk pendaftaran aplikasi Azure AD. Contoh: XF00000Qc0000000[UZSW7-0?qXb6Qx]
Verifikasi SSL	Kotak centang	Dicentang	Ya	Tentukan apakah sertifikat SSL endpoint API jarak jauh harus divalidasi.
Filter Jenis Operasi	String	T/A	Tidak	Jenis operasi berikut tersedia untuk peristiwa DLP: DlpRuleMatch, DlpRuleUndo, DlpInfo. Parameter berfungsi sebagai daftar hitam. Secara default, jika tidak ada yang ditentukan dalam parameter ini, semua jenis operasi yang mungkin akan diproses. Jika jenis operasi ditentukan dalam parameter ini, peristiwa dengan jenis operasi ini tidak akan diproses. Parameter menerima beberapa nilai sebagai string yang dipisahkan koma.
Jenis Filter Kebijakan	String	T/A	Tidak	Parameter dapat digunakan untuk menentukan nama kebijakan yang jika ada dalam peristiwa, peristiwa tidak akan diproses. Parameter berfungsi sebagai daftar hitam. Secara default, jika tidak ada yang ditentukan, semua jenis kebijakan yang memungkinkan akan diproses. Parameter menerima beberapa nilai sebagai string yang dipisahkan koma.
Menyembunyikan temuan?	Kotak centang	Tidak dicentang	Tidak	Tentukan apakah konektor harus menyamarkan temuan sensitif yang memicu hit kebijakan DLP.
Jumlah maksimum peristiwa yang akan diambil	Bilangan bulat	50	Ya	Jumlah peristiwa yang akan diproses per satu iterasi konektor.
Mengambil Mundur Jam Maksimum	Bilangan bulat	8	Ya	Jumlah jam dari tempat pengambilan peristiwa. Perhatikan bahwa O365 Management API memungkinkan untuk menampilkan peristiwa selama 7 hari terakhir, bukan yang lebih lama.
Interval Waktu Pengambilan Mundur (menit)	Bilangan bulat	240	Ya	Konektor interval waktu harus digunakan untuk mengambil peristiwa dari jam maksimum ke belakang. Jika tenant O365 sedang sibuk, tenant tersebut dapat menampilkan banyak blob peristiwa. Oleh karena itu, parameter ini dalam menit dapat digunakan untuk membagi jam maksimum ke belakang pada segmen yang lebih kecil dan memprosesnya satu per satu. Interval waktu tidak boleh lebih dari total 24 jam.
Periode Penggabungan Peristiwa (menit)	Bilangan bulat	60	Ya	Periode Pengisian Peristiwa dalam menit menentukan interval waktu minimum yang akan digunakan oleh konektor untuk memeriksa peristiwa baru.
Menggunakan daftar yang diizinkan sebagai daftar blokir	Kotak centang	Tidak dicentang	Ya	Jika diaktifkan, daftar yang diizinkan akan digunakan sebagai daftar yang diblokir.
Alamat Server Proxy	String		Tidak	Alamat server proxy yang akan digunakan.
Nama Pengguna Proxy	String		Tidak	Nama pengguna proxy untuk melakukan autentikasi.
Sandi Proxy	Sandi		Tidak	Sandi proxy untuk mengautentikasi.
Jalur Sertifikat	String		Tidak	Jika otentikasi berdasarkan sertifikat digunakan, bukan rahasia klien, tentukan jalur ke sertifikat di server Google SecOps.
Sandi Sertifikat	Sandi		Tidak	Opsional, jika sertifikat dilindungi sandi, tentukan sandi untuk membuka file sertifikat.
URL Endpoint Login OAUTH2	String	https://login.microsoftonline.com	Ya	Tentukan konektor URL yang harus digunakan untuk URL Endpoint Login OAUTH2

Aturan konektor

Daftar yang diizinkan / Daftar yang tidak diizinkan

Konektor memiliki dukungan daftar putih/daftar hitam.

Dukungan proxy

Konektor mendukung proxy.

Konektor Peristiwa Umum Audit Office 365 Management API

Deskripsi

Mengambil peristiwa Audit.General dari Office 365 Management API. Pastikan Anda mengaktifkan langganan untuk peristiwa Audit.General terlebih dahulu dengan menjalankan tindakan "Start a Subscription".

Untuk Konektor Peristiwa Umum Audit Office 365 Management API, izin berikut diperlukan:

Izin User.Read, email, dan profile yang didelegasikan dari Microsoft Graph
Izin aplikasi ActivityFeed.ReadDlp dan ActivityFeed.Read dari Office 365 Management Activity API

Parameter konektor

Gunakan parameter berikut untuk mengonfigurasi konektor:

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Nama Kolom Produk	String	Nama Produk	Ya	Masukkan nama kolom sumber untuk mengambil nama Kolom Produk.
Nama Kolom Peristiwa	String	Operasi	Ya	Masukkan nama kolom sumber untuk mengambil nama Kolom Peristiwa.
Nama Kolom Lingkungan	String	""	Tidak	Mendeskripsikan nama kolom tempat nama lingkungan disimpan. Jika kolom lingkungan tidak ditemukan, lingkungan yang digunakan adalah lingkungan default.
Pola Regex Lingkungan	String	.*	Tidak	Pola regex untuk dijalankan pada nilai yang ditemukan di kolom "Nama Kolom Lingkungan". Defaultnya adalah .* untuk mencakup semua dan menampilkan nilai tanpa perubahan. Digunakan untuk mengizinkan pengguna memanipulasi kolom lingkungan melalui logika regex. Jika pola regex adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default.
Waktu Tunggu Skrip (Detik)	Bilangan bulat	180	Ya	Batas waktu untuk proses python yang menjalankan skrip saat ini.
Root API	String	https://manage.office.com	Ya	URL root API yang akan digunakan dengan integrasi.
ID Azure Active Directory	String	T/A	Ya	ID Tenant Azure Active Directory, dapat dilihat di Active Directory > App Registration > <Application you configured for your integration> Directory (tenant) ID. Contoh: k48f52ca-0000-4708-8ed0-0000a20a40a
ID Klien	String	T/A	Ya	ID Klien (Aplikasi) yang ditambahkan untuk pendaftaran aplikasi di Azure Active Directory untuk integrasi ini. Contoh: 29bf818e-0000-0000-0000-784fb644178d
Rahasia Klien	Sandi	T/A	Tidak	Rahasia yang dimasukkan untuk pendaftaran aplikasi Azure AD. Contoh: XF00000Qc0000000[UZSW7-0?qXb6Qx]
Jalur Sertifikat	String	T/A	Tidak	Jika otentikasi berdasarkan sertifikat digunakan, bukan rahasia klien, tentukan jalur ke sertifikat di server Google SecOps.
Sandi Sertifikat	Sandi	T/A	Tidak	Opsional, jika sertifikat dilindungi sandi, tentukan sandi untuk membuka file sertifikat.
URL Endpoint Login OAUTH2	String	https://login.microsoftonline.com	Tidak	Tentukan konektor URL yang harus digunakan untuk URL Endpoint Login OAUTH2
Verifikasi SSL	Kotak centang	Dicentang	Ya	Tentukan apakah sertifikat SSL endpoint API jarak jauh harus divalidasi.
Filter Jenis Operasi	String	T/A	Tidak	Dalam skema audit.general, mungkin ada berbagai jenis operasi:SearchAirBatch, SearchCustomTag, dan sebagainya. Secara default, jika tidak ada yang ditentukan dalam parameter ini, semua jenis operasi yang mungkin akan diproses. Jika jenis operasi ditentukan dalam parameter ini, peristiwa dengan jenis operasi ini tidak akan diproses. Parameter menerima beberapa nilai sebagai string yang dipisahkan koma.
Filter Status	String	T/A	Tidak	Parameter dapat digunakan untuk menentukan status yang jika ada dalam peristiwa, peristiwa tidak akan diproses. Parameter berfungsi sebagai daftar hitam. Secara default, jika tidak ada yang ditentukan, semua jenis status yang memungkinkan akan diproses. Parameter menerima beberapa nilai sebagai string yang dipisahkan koma.
Menggunakan filter operasi dan status sebagai daftar yang diizinkan	Kotak centang	Tidak dicentang	Ya	Jika diaktifkan, filter operasi dan status akan berfungsi sebagai daftar yang diizinkan, dan secara default berupa daftar yang tidak diizinkan.
Kunci Entity untuk Membuat Acara Tambahan	CSV	T/A	Tidak	Tentukan kunci yang jika terlihat di bagian entitas Audit.General dari data, subbagian terkait harus diambil untuk membuat peristiwa Google SecOps tambahan.
Jumlah maksimum peristiwa yang akan diambil	Bilangan bulat	50	Ya	Jumlah peristiwa yang akan diproses per satu iterasi konektor.
Mengambil Mundur Jam Maksimum	Bilangan bulat	8	Ya	Jumlah jam dari tempat pengambilan peristiwa. Perhatikan bahwa O365 Management API memungkinkan untuk menampilkan peristiwa selama 7 hari terakhir, bukan yang lebih lama.
Interval Waktu Pengambilan Mundur (menit)	Bilangan bulat	240	Ya	Konektor interval waktu harus digunakan untuk mengambil peristiwa dari jam maksimum ke belakang. Jika tenant O365 sedang sibuk, tenant tersebut dapat menampilkan banyak blob peristiwa. Oleh karena itu, parameter ini dalam menit dapat digunakan untuk membagi jam maksimum ke belakang pada segmen yang lebih kecil dan memprosesnya satu per satu. Interval waktu tidak boleh lebih dari total 24 jam.
Periode Penggabungan Peristiwa (menit)	Bilangan bulat	60	Ya	Periode Pengisian Peristiwa dalam menit menentukan interval waktu minimum yang akan digunakan oleh konektor untuk memeriksa peristiwa baru.
Menggunakan daftar yang diizinkan sebagai daftar blokir	Kotak centang	Tidak dicentang	Ya	Jika diaktifkan, daftar yang diizinkan akan digunakan sebagai daftar yang diblokir.
Alamat Server Proxy	String		Tidak	Alamat server proxy yang akan digunakan.
Nama Pengguna Proxy	String		Tidak	Nama pengguna proxy untuk melakukan autentikasi.
Sandi Proxy	Sandi		Tidak	Sandi proxy untuk mengautentikasi.

Aturan konektor

Daftar yang diizinkan / Daftar yang tidak diizinkan

Konektor memiliki dukungan daftar putih/daftar hitam.

Dukungan proxy

Konektor mendukung proxy.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.