API O365 Management
Versão da integração: 9.0
Exemplos de utilização
Receba eventos de atividade do Microsoft 365.
Configure a API de gestão do O365 para funcionar com o Google Security Operations
Autorização do produto
Para mais informações, consulte o artigo Comece a usar as APIs de gestão do Office 365.
Antes de poder aceder aos dados através das APIs Office 365 Management Activity, tem de ativar o registo de auditoria unificado para a sua organização do Office 365. Para isso, ative o registo de auditoria do Office 365. Para ver instruções, consulte o artigo Ative ou desative a auditoria.
Quanto à configuração da conta, o procedimento é semelhante ao de outros produtos baseados no Azure (Defender, Sentinel, etc.). Tem de registar uma app no Azure Active Directory e conceder-lhe as seguintes autorizações:
- Autorizações
User.Readdelegadas do Microsoft Graph - Autorizações de
ActivityFeed.ReadDlpaplicações das APIs de atividade de gestão do Office 365
Configure a integração da API de gestão do O365 no Google SecOps
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância para a qual pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| Raiz da API | String | https://manage.office.com | Sim | URL raiz da API a usar com a integração. |
| ID do Azure Active Directory | String | N/A | Sim | O ID do inquilino do Azure Active Directory pode ser visto em Active Directory > Registo de apps > <Aplicação que configurou para a sua integração> ID do diretório (inquilino). Exemplo: k48f52ca-0000-4708-8ed0-0000a20a40a |
| ID do cliente | String | N/A | Sim | ID de cliente (aplicação) que foi adicionado para o registo da app no Azure Active Directory para esta integração. Por exemplo, 29bf818e-0000-0000-0000-784fb644178d |
| Segredo do cliente | Palavra-passe | N/A | Não | Segredo introduzido para o registo da app do Azure AD. Exemplo: XF00000Qc0000000[UZSW7-0?qXb6Qx] |
| Validar SSL | Caixa de verificação | Marcado | Sim | Especifique se o certificado SSL do ponto final da API remota deve ser validado. |
| Executar remotamente | Caixa de verificação | Desmarcado | Não | Selecione o campo para executar a integração configurada remotamente. Depois de selecionada, a opção aparece para selecionar o utilizador remoto (agente). |
| Caminho do certificado | String | N/A | Não | Se for usada a autenticação baseada em certificados em vez do segredo do cliente, especifique o caminho para o certificado no servidor do Google SecOps. |
| Palavra-passe do certificado | Palavra-passe | N/A | Não | Opcional: se o certificado estiver protegido por palavra-passe, especifique a palavra-passe para abrir o ficheiro de certificado. |
| URL do ponto final de início de sessão do OAUTH2 | String | https://login.microsoftonline.com | Sim | Especifique o conector de URL que deve ser usado para o URL do ponto final de início de sessão do OAUTH2. |
Ações
Tchim-tchim
Descrição
Teste a conetividade ao serviço da API Microsoft 365 Management com os parâmetros fornecidos na página de configuração da integração no separador Google Security Operations Marketplace.
Parâmetros
N/A
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| êxito | Verdadeiro/Falso | success:False |
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo:
A ação deve falhar e parar a execução de um guia interativo:
|
Geral |
Inicie uma subscrição
Descrição
Inicie uma subscrição de um tipo de conteúdo da API Office 365 Management escolhido.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Inicie uma subscrição para | LDD | Selecione o tipo de conteúdo, Audit.General | Sim | Especifique para que tipo de conteúdo quer iniciar uma subscrição. |
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo:
A ação deve falhar e parar a execução de um guia interativo:
|
Geral |
Interrompa uma subscrição
Descrição
Parar uma subscrição de um tipo de conteúdo da API Office 365 Management escolhido.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É Mandatório | Descrição |
|---|---|---|---|---|
| Interrompa uma subscrição para | LDD | Selecione o tipo de conteúdo, Audit.General | Sim | Especifique para que tipo de conteúdo quer parar uma subscrição. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo:
A ação deve falhar e parar a execução de um guia interativo:
|
Geral |
Conetores
Configure conetores da API Microsoft Office 365 Management no Google SecOps
Para ver instruções detalhadas sobre como configurar um conetor no Google SecOps, consulte o artigo Configurar o conetor.
Para configurar o conector selecionado, use os parâmetros específicos do conector indicados nas tabelas seguintes:
- Parâmetros de configuração do conetor de eventos de DLP da API Office 365 Management
- Parâmetros de configuração do conetor de eventos gerais de auditoria da API Office 365 Management
Conetor de eventos de DLP da API Office 365 Management
Descrição
Obtenha eventos de DLP da API Office 365 Management.
Parâmetros do conetor
Use os seguintes parâmetros para configurar o conector:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | Nome do produto | Sim | Introduza o nome do campo de origem para obter o nome do campo do produto. |
| Nome do campo de evento | String | Operação | Sim | Introduza o nome do campo de origem para obter o nome do campo do evento. |
| Nome do campo do ambiente | String | "" | Não | Descreve o nome do campo onde o nome do ambiente está armazenado. Se o campo do ambiente não for encontrado, o ambiente é o ambiente predefinido. |
| Padrão de regex do ambiente | String | .* | Não | Um padrão de regex a executar no valor encontrado no campo "Nome do campo do ambiente". A predefinição é .* para captar tudo e devolver o valor inalterado. Usado para permitir que o utilizador manipule o campo do ambiente através da lógica de regex. Se o padrão regex for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é o ambiente predefinido. |
| Limite de tempo do script (segundos) | Número inteiro | 180 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| Raiz da API | String | https://manage.office.com | Sim | URL raiz da API a usar com a integração. |
| ID do Azure Active Directory | String | N/A | Sim | O ID do inquilino do Azure Active Directory pode ser visto em Active Directory > Registo de apps > <Aplicação que configurou para a sua integração> ID do diretório (inquilino). Exemplo: k48f52ca-0000-4708-8ed0-0000a20a40a |
| ID do cliente | String | N/A | Sim | ID de cliente (aplicação) que foi adicionado para o registo da app no Azure Active Directory para esta integração. Exemplo: 29bf818e-0000-0000-0000-784fb644178d |
| Segredo do cliente | Palavra-passe | N/A | Não | Segredo introduzido para o registo da app do Azure AD. Exemplo: XF00000Qc0000000[UZSW7-0?qXb6Qx] |
| Validar SSL | Caixa de verificação | Marcado | Sim | Especifique se o certificado SSL do ponto final da API remota deve ser validado. |
| Tipo de filtro de operação | String | N/A | Não | Os seguintes tipos de operações estão disponíveis para eventos de DLP: DlpRuleMatch, DlpRuleUndo e DlpInfo. O parâmetro funciona como uma lista negra. Por predefinição, se não for especificado nada neste parâmetro, são carregados todos os tipos de operações possíveis. Se o tipo de operação for especificado neste parâmetro, o evento com este tipo de operação não é carregado. O parâmetro aceita vários valores como uma string separada por vírgulas. |
| Tipo de filtro de políticas | String | N/A | Não | O parâmetro pode ser usado para especificar o nome da política que, se estiver presente no evento, o evento não é carregado. O parâmetro funciona como uma lista negra. Por predefinição, se nada for especificado, são carregados todos os tipos de políticas possíveis. O parâmetro aceita vários valores como uma string separada por vírgulas. |
| Ocultar resultados? | Caixa de verificação | Desmarcado | Não | Especifique se o conetor deve ocultar as conclusões confidenciais que acionaram resultados de políticas de DLP. |
| Máximo de eventos a obter | Número inteiro | 50 | Sim | O número de eventos a processar por iteração de um conetor. |
| Fetch Max Hours Backwards | Número inteiro | 8 | Sim | Quantidade de horas a partir das quais obter eventos. Tenha em atenção que a API O365 Management permite devolver eventos dos últimos 7 dias, e não mais antigos. |
| Intervalo de tempo de obtenção para trás (minutos) | Número inteiro | 240 | Sim | O conector de intervalo de tempo deve usar para obter eventos com um máximo de horas de antecedência. Se o inquilino do O365 estiver ocupado, pode devolver muitos blobs de eventos. Por este motivo, este parâmetro em minutos pode ser usado para dividir as horas máximas para trás em segmentos mais pequenos e processá-los individualmente. O intervalo de tempo não pode ser superior a 24 horas no total. |
| Período de preenchimento de eventos (minutos) | Número inteiro | 60 | Sim | O período de preenchimento de eventos em minutos especifica um intervalo de tempo mínimo que o conector vai usar para verificar novos eventos. |
| Use a lista de autorizações como uma lista negra | Caixa de verificação | Desmarcado | Sim | Se estiver ativada, a lista de autorizações é usada como uma lista negra. |
| Endereço do servidor proxy | String | Não | O endereço do servidor proxy a usar. | |
| Nome de utilizador do proxy | String | Não | O nome de utilizador do proxy para autenticação. | |
| Palavra-passe do proxy | Palavra-passe | Não | A palavra-passe do proxy para autenticação. | |
| Caminho do certificado | String | Não | Se for usada a autenticação baseada em certificados em vez do segredo do cliente, especifique o caminho para o certificado no servidor do Google SecOps. | |
| Palavra-passe do certificado | Palavra-passe | Não | Opcional: se o certificado estiver protegido por palavra-passe, especifique a palavra-passe para abrir o ficheiro de certificado. | |
| URL do ponto final de início de sessão do OAUTH2 | String | https://login.microsoftonline.com | Sim | Especifique o URL que o conector deve usar para o URL do ponto final de início de sessão do OAUTH2 |
Regras de conector
Lista de autorizações / lista de bloqueios
O conector tem suporte de listas de autorizações/proibições.
Suporte de proxy
O conetor suporta proxy.
Conetor de eventos gerais de auditoria da API Office 365 Management
Descrição
Obtenha eventos Audit.General da API Microsoft 365 Management. Certifique-se de que, primeiro, ativou a subscrição de eventos Audit.General executando a ação "Iniciar uma subscrição".
Para o conector de eventos gerais de auditoria da API Office 365 Management, são necessárias as seguintes autorizações:
- Autorizações
User.Read,emaileprofiledelegadas do Microsoft Graph - Autorizações da aplicação
ActivityFeed.ReadDlpeActivityFeed.Readdas APIs Office 365 Management Activity
Parâmetros do conetor
Use os seguintes parâmetros para configurar o conector:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | Nome do produto | Sim | Introduza o nome do campo de origem para obter o nome do campo do produto. |
| Nome do campo de evento | String | Operação | Sim | Introduza o nome do campo de origem para obter o nome do campo do evento. |
| Nome do campo do ambiente | String | "" | Não | Descreve o nome do campo onde o nome do ambiente está armazenado. Se o campo do ambiente não for encontrado, o ambiente é o ambiente predefinido. |
| Padrão de regex do ambiente | String | .* | Não | Um padrão de regex a executar no valor encontrado no campo "Nome do campo do ambiente". A predefinição é .* para captar tudo e devolver o valor inalterado. Usado para permitir que o utilizador manipule o campo do ambiente através da lógica de regex. Se o padrão regex for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é o ambiente predefinido. |
| Limite de tempo do script (segundos) | Número inteiro | 180 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| Raiz da API | String | https://manage.office.com | Sim | URL raiz da API a usar com a integração. |
| ID do Azure Active Directory | String | N/A | Sim | O ID do inquilino do Azure Active Directory pode ser visto em Active Directory > Registo de apps > <Aplicação que configurou para a sua integração> ID do diretório (inquilino). Exemplo: k48f52ca-0000-4708-8ed0-0000a20a40a |
| ID do cliente | String | N/A | Sim | ID de cliente (aplicação) que foi adicionado para o registo da app no Azure Active Directory para esta integração. Exemplo: 29bf818e-0000-0000-0000-784fb644178d |
| Segredo do cliente | Palavra-passe | N/A | Não | Segredo introduzido para o registo da app do Azure AD. Exemplo: XF00000Qc0000000[UZSW7-0?qXb6Qx] |
| Caminho do certificado | String | N/A | Não | Se for usada a autenticação baseada em certificados em vez do segredo do cliente, especifique o caminho para o certificado no servidor do Google SecOps. |
| Palavra-passe do certificado | Palavra-passe | N/A | Não | Opcional: se o certificado estiver protegido por palavra-passe, especifique a palavra-passe para abrir o ficheiro de certificado. |
| URL do ponto final de início de sessão do OAUTH2 | String | https://login.microsoftonline.com | Não | Especifique o URL que o conector deve usar para o URL do ponto final de início de sessão do OAUTH2 |
| Validar SSL | Caixa de verificação | Marcado | Sim | Especifique se o certificado SSL do ponto final da API remota deve ser validado. |
| Tipo de filtro de operação | String | N/A | Não | No esquema audit.general, podem existir diferentes tipos de operações:SearchAirBatch, SearchCustomTag, etc. Por predefinição, se não for especificado nada neste parâmetro, são carregados todos os tipos de operações possíveis. Se o tipo de operação for especificado neste parâmetro, o evento com este tipo de operação não é carregado. O parâmetro aceita vários valores como uma string separada por vírgulas. |
| Filtro de estado | String | N/A | Não | O parâmetro pode ser usado para especificar o estado que, se estiver presente no evento, o evento não é carregado. O parâmetro funciona como uma lista negra. Por predefinição, se não for especificado nada, são carregados todos os tipos de estado possíveis. O parâmetro aceita vários valores como uma string separada por vírgulas. |
| Use filtros de operação e estado como lista de autorizações | Caixa de verificação | Desmarcado | Sim | Se estiver ativado, os filtros de operação e estado funcionam como uma lista de autorizações. Por predefinição, é uma lista negra. |
| Chaves de entidades para criar eventos adicionais | CSV | N/A | Não | Especifique chaves que, se forem vistas na secção Audit.General de entidades de dados, devem ser usadas para criar um evento adicional do Google SecOps. |
| Máximo de eventos a obter | Número inteiro | 50 | Sim | O número de eventos a processar por iteração de um conetor. |
| Fetch Max Hours Backwards | Número inteiro | 8 | Sim | Quantidade de horas a partir das quais obter eventos. Tenha em atenção que a API O365 Management permite devolver eventos dos últimos 7 dias, e não mais antigos. |
| Intervalo de tempo de obtenção para trás (minutos) | Número inteiro | 240 | Sim | O conector de intervalo de tempo deve usar para obter eventos com um máximo de horas de antecedência. Se o inquilino do O365 estiver ocupado, pode devolver muitos blobs de eventos. Por este motivo, este parâmetro em minutos pode ser usado para dividir as horas máximas para trás em segmentos mais pequenos e processá-los individualmente. O intervalo de tempo não pode ser superior a 24 horas no total. |
| Período de preenchimento de eventos (minutos) | Número inteiro | 60 | Sim | O período de preenchimento de eventos em minutos especifica um intervalo de tempo mínimo que o conector vai usar para verificar novos eventos. |
| Use a lista de autorizações como uma lista negra | Caixa de verificação | Desmarcado | Sim | Se estiver ativada, a lista de autorizações é usada como uma lista negra. |
| Endereço do servidor proxy | String | Não | O endereço do servidor proxy a usar. | |
| Nome de utilizador do proxy | String | Não | O nome de utilizador do proxy para autenticação. | |
| Palavra-passe do proxy | Palavra-passe | Não | A palavra-passe do proxy para autenticação. |
Regras de conector
Lista de autorizações / lista de bloqueios
O conector tem suporte de listas de autorizações/proibições.
Suporte de proxy
O conetor suporta proxy.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.