API O365 Management
Versão da integração: 9.0
Casos de uso
Receba eventos de atividade do Microsoft 365.
Configurar API Management do O365 para trabalhar com o Google Security Operations
Permissão de produto
Para mais informações, consulte Começar a usar as APIs de gerenciamento do Office 365.
Antes de acessar dados pelas APIs de atividade de gerenciamento do Office 365, é necessário ativar o registro de auditoria unificado para sua organização do Office 365. Para isso, ative o registro de auditoria do Office 365. Para instruções, consulte Ativar ou desativar a auditoria.
Quanto à configuração da conta, o procedimento é semelhante a outros produtos baseados no Azure (Defender, Sentinel etc.). Você precisa registrar um app no Azure Active Directory e conceder a ele as seguintes permissões:
- Permissões delegadas de
User.Readdo Microsoft Graph - Permissões de
ActivityFeed.ReadDlpdo aplicativo das APIs de atividade de gerenciamento do Office 365
Configurar a integração da API Management do O365 no Google SecOps
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância em que você pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| Raiz da API | String | https://manage.office.com | Sim | URL raiz da API a ser usado com a integração. |
| ID do Azure Active Directory | String | N/A | Sim | ID do locatário do Azure Active Directory, que pode ser visto em Active Directory > Registro de app > ID do diretório (locatário) <aplicativo configurado para sua integração>. Exemplo: k48f52ca-0000-4708-8ed0-0000a20a40a |
| ID do cliente | String | N/A | Sim | ID do cliente (aplicativo) adicionado para o registro do app no Azure Active Directory para essa integração. Por exemplo, 29bf818e-0000-0000-0000-784fb644178d |
| Chave secreta do cliente | Senha | N/A | Não | Senha secreta inserida para o registro do app do Azure AD. Exemplo: XF00000Qc0000000[UZSW7-0?qXb6Qx] |
| Verificar SSL | Caixa de seleção | Selecionado | Sim | Especifique se o certificado SSL do endpoint de API remota precisa ser validado. |
| Executar remotamente | Caixa de seleção | Desmarcado | Não | Marque a caixa para executar a integração configurada remotamente. Depois de marcada, a opção aparece para selecionar o usuário remoto (agente). |
| Caminho do certificado | String | N/A | Não | Se a autenticação baseada em certificados for usada em vez da chave secreta do cliente, especifique o caminho para o certificado no servidor do Google SecOps. |
| Senha do certificado | Senha | N/A | Não | Opcional: se o certificado estiver protegido por senha, especifique a senha para abrir o arquivo. |
| URL do endpoint de login do OAUTH2 | String | https://login.microsoftonline.com | Sim | Especifique o conector de URL que deve ser usado para o URL do endpoint de login do OAUTH2. |
Ações
Ping
Descrição
Teste a conectividade com o serviço da API Management do O365 usando os parâmetros fornecidos na página de configuração da integração na guia "Marketplace do Google Security Operations".
Parâmetros
N/A
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| sucesso | Verdadeiro/Falso | success:False |
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook:
A ação precisa falhar e interromper a execução de um playbook:
|
Geral |
Iniciar uma assinatura
Descrição
Inicia uma assinatura de um tipo de conteúdo escolhido da API Management do Office 365.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Iniciar uma assinatura para | DDL | Selecione o tipo de conteúdo, Audit.General | Sim | Especifique para qual tipo de conteúdo iniciar uma assinatura. |
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook:
A ação precisa falhar e interromper a execução de um playbook:
|
Geral |
Encerrar uma assinatura
Descrição
Interrompe uma assinatura de um tipo de conteúdo escolhido da API Management do Office 365.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É Mandatório | Descrição |
|---|---|---|---|---|
| Parar uma assinatura para | DDL | Selecione o tipo de conteúdo, Audit.General | Sim | Especifique para qual tipo de conteúdo interromper uma assinatura. |
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook:
A ação precisa falhar e interromper a execução de um playbook:
|
Geral |
Conectores
Configurar conectores da API Management do Office 365 no Google SecOps
Para instruções detalhadas sobre como configurar um conector no Google SecOps, consulte Configurar o conector.
Para configurar o conector selecionado, use os parâmetros específicos listados nas tabelas a seguir:
- Parâmetros de configuração do conector de eventos de DLP da API de gerenciamento do Office 365
- Parâmetros de configuração do conector de eventos gerais de auditoria da API Management do Office 365
Conector de eventos de DLP da API de gerenciamento do Office 365
Descrição
Extrai eventos da DLP da API Management do Office 365.
Parâmetros do conector
Use os seguintes parâmetros para configurar o conector:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | Nome do produto | Sim | Insira o nome do campo de origem para recuperar o nome do campo do produto. |
| Nome do campo do evento | String | Operação | Sim | Insira o nome do campo de origem para recuperar o nome do campo de evento. |
| Nome do campo de ambiente | String | "" | Não | Descreve o nome do campo em que o nome do ambiente é armazenado. Se o campo de ambiente não for encontrado, o ambiente será o padrão. |
| Padrão de regex do ambiente | String | .* | Não | Um padrão de regex a ser executado no valor encontrado no campo "Nome do campo de ambiente". O padrão é ".*" para capturar tudo e retornar o valor sem alterações. Usado para permitir que o usuário manipule o campo de ambiente usando a lógica de regex. Se o padrão de regex for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão. |
| Tempo limite do script (segundos) | Número inteiro | 180 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| Raiz da API | String | https://manage.office.com | Sim | URL raiz da API a ser usado com a integração. |
| ID do Azure Active Directory | String | N/A | Sim | ID do locatário do Azure Active Directory, que pode ser visto em Active Directory > Registro de app > ID do diretório (locatário) <aplicativo configurado para sua integração>. Exemplo: k48f52ca-0000-4708-8ed0-0000a20a40a |
| ID do cliente | String | N/A | Sim | ID do cliente (aplicativo) adicionado para o registro do app no Azure Active Directory para essa integração. Exemplo: 29bf818e-0000-0000-0000-784fb644178d |
| Chave secreta do cliente | Senha | N/A | Não | Senha secreta inserida para o registro do app do Azure AD. Exemplo: XF00000Qc0000000[UZSW7-0?qXb6Qx] |
| Verificar SSL | Caixa de seleção | Selecionado | Sim | Especifique se o certificado SSL do endpoint de API remota precisa ser validado. |
| Tipo de filtro de operação | String | N/A | Não | Os seguintes tipos de operação estão disponíveis para eventos de DLP: DlpRuleMatch, DlpRuleUndo, DlpInfo. O parâmetro funciona como uma lista de proibições. Por padrão, se nada for especificado nesse parâmetro, todos os tipos de operação possíveis serão ingeridos. Se o tipo de operação for especificado nesse parâmetro, o evento com esse tipo de operação não será ingerido. O parâmetro aceita vários valores como uma string separada por vírgulas. |
| Tipo de filtro de política | String | N/A | Não | O parâmetro pode ser usado para especificar o nome da política. Se ele estiver presente no evento, o evento não será ingerido. O parâmetro funciona como uma lista de proibições. Por padrão, se nada for especificado, ingere todos os tipos de política possíveis. O parâmetro aceita vários valores como uma string separada por vírgulas. |
| Resultados de máscara? | Caixa de seleção | Desmarcado | Não | Especifique se o conector deve mascarar descobertas sensíveis que acionaram violações das políticas de DLP. |
| Número máximo de eventos a serem buscados | Número inteiro | 50 | Sim | Quantos eventos processar por iteração de conector. |
| Voltar o tempo máximo | Número inteiro | 8 | Sim | Número de horas de onde buscar eventos. API Management do O365 permite retornar eventos dos últimos sete dias, não mais antigos. |
| Buscar intervalo de tempo para trás (minutos) | Número inteiro | 240 | Sim | Intervalo de tempo que o conector deve usar para buscar eventos de horas anteriores. Se o locatário do O365 estiver ocupado, ele poderá retornar muitos blobs de eventos. Por isso, esse parâmetro em minutos pode ser usado para dividir as horas máximas em segmentos menores e processá-los individualmente. O intervalo de tempo não pode ser maior que 24 horas no total. |
| Período de padding de eventos (minutos) | Número inteiro | 60 | Sim | O período de padding de eventos em minutos especifica um intervalo mínimo que será usado pelo conector para verificar novos eventos. |
| Usar a lista de permissões como uma lista de proibições | Caixa de seleção | Desmarcado | Sim | Se ativada, a lista de permissões será usada como uma lista de bloqueios. |
| Endereço do servidor proxy | String | Não | O endereço do servidor proxy a ser usado. | |
| Nome de usuário do proxy | String | Não | O nome de usuário do proxy para autenticação. | |
| Senha do proxy | Senha | Não | A senha do proxy para autenticação. | |
| Caminho do certificado | String | Não | Se a autenticação baseada em certificados for usada em vez da chave secreta do cliente, especifique o caminho para o certificado no servidor do Google SecOps. | |
| Senha do certificado | Senha | Não | Opcional: se o certificado estiver protegido por senha, especifique a senha para abrir o arquivo. | |
| URL do endpoint de login do OAUTH2 | String | https://login.microsoftonline.com | Sim | Especifique o URL que o conector deve usar para o URL do endpoint de login do OAUTH2. |
Regras do conector
Lista de permissões / lista de proibições
O conector tem suporte para lista de permissões/lista negra.
Suporte a proxy
O conector é compatível com proxy.
Conector de eventos gerais de auditoria da API de gerenciamento do Office 365
Descrição
Extrai eventos Audit.General da API Management do Office 365. Primeiro, ative a assinatura dos eventos Audit.General executando a ação "Iniciar uma assinatura".
Para o conector de eventos gerais de auditoria da API de gerenciamento do Office 365, são necessárias as seguintes permissões:
- Permissões delegadas
User.Read,emaileprofiledo Microsoft Graph - Permissões de aplicativo
ActivityFeed.ReadDlpeActivityFeed.Readdas APIs de atividade de gerenciamento do Office 365
Parâmetros do conector
Use os seguintes parâmetros para configurar o conector:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | Nome do produto | Sim | Insira o nome do campo de origem para recuperar o nome do campo do produto. |
| Nome do campo do evento | String | Operação | Sim | Insira o nome do campo de origem para recuperar o nome do campo de evento. |
| Nome do campo de ambiente | String | "" | Não | Descreve o nome do campo em que o nome do ambiente é armazenado. Se o campo de ambiente não for encontrado, o ambiente será o padrão. |
| Padrão de regex do ambiente | String | .* | Não | Um padrão de regex a ser executado no valor encontrado no campo "Nome do campo de ambiente". O padrão é ".*" para capturar tudo e retornar o valor sem alterações. Usado para permitir que o usuário manipule o campo de ambiente usando a lógica de regex. Se o padrão de regex for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão. |
| Tempo limite do script (segundos) | Número inteiro | 180 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| Raiz da API | String | https://manage.office.com | Sim | URL raiz da API a ser usado com a integração. |
| ID do Azure Active Directory | String | N/A | Sim | ID do locatário do Azure Active Directory, que pode ser visto em Active Directory > Registro de app > ID do diretório (locatário) <aplicativo configurado para sua integração>. Exemplo: k48f52ca-0000-4708-8ed0-0000a20a40a |
| ID do cliente | String | N/A | Sim | ID do cliente (aplicativo) adicionado para o registro do app no Azure Active Directory para essa integração. Exemplo: 29bf818e-0000-0000-0000-784fb644178d |
| Chave secreta do cliente | Senha | N/A | Não | Senha secreta inserida para o registro do app do Azure AD. Exemplo: XF00000Qc0000000[UZSW7-0?qXb6Qx] |
| Caminho do certificado | String | N/A | Não | Se a autenticação baseada em certificados for usada em vez da chave secreta do cliente, especifique o caminho para o certificado no servidor do Google SecOps. |
| Senha do certificado | Senha | N/A | Não | Opcional: se o certificado estiver protegido por senha, especifique a senha para abrir o arquivo. |
| URL do endpoint de login do OAUTH2 | String | https://login.microsoftonline.com | Não | Especifique o URL que o conector deve usar para o URL do endpoint de login do OAUTH2. |
| Verificar SSL | Caixa de seleção | Selecionado | Sim | Especifique se o certificado SSL do endpoint de API remota precisa ser validado. |
| Tipo de filtro de operação | String | N/A | Não | No esquema audit.general, pode haver diferentes tipos de operação:SearchAirBatch, SearchCustomTag e assim por diante. Por padrão, se nada for especificado nesse parâmetro, todos os tipos de operação possíveis serão ingeridos. Se o tipo de operação for especificado nesse parâmetro, o evento com esse tipo de operação não será ingerido. O parâmetro aceita vários valores como uma string separada por vírgulas. |
| Filtro de status | String | N/A | Não | O parâmetro pode ser usado para especificar um status que, se estiver presente no evento, não será ingerido. O parâmetro funciona como uma lista de proibições. Por padrão, se nada for especificado, ingere todos os tipos de status possíveis. O parâmetro aceita vários valores como uma string separada por vírgulas. |
| Usar filtros de operação e status como lista de permissões | Caixa de seleção | Desmarcado | Sim | Se ativados, os filtros de operação e status vão funcionar como uma lista de permissões. Por padrão, eles são uma lista de bloqueio. |
| Chaves de entidade para criar outros eventos | CSV | N/A | Não | Especifique as chaves que, se forem encontradas na seção "Entidades Audit.General" dos dados, a subseção relacionada será usada para criar outro evento do Google SecOps. |
| Número máximo de eventos a serem buscados | Número inteiro | 50 | Sim | Quantos eventos processar por iteração de conector. |
| Voltar o tempo máximo | Número inteiro | 8 | Sim | Número de horas de onde buscar eventos. API Management do O365 permite retornar eventos dos últimos sete dias, não mais antigos. |
| Buscar intervalo de tempo para trás (minutos) | Número inteiro | 240 | Sim | Intervalo de tempo que o conector deve usar para buscar eventos de horas anteriores. Se o locatário do O365 estiver ocupado, ele poderá retornar muitos blobs de eventos. Por isso, esse parâmetro em minutos pode ser usado para dividir as horas máximas em segmentos menores e processá-los individualmente. O intervalo de tempo não pode ser maior que 24 horas no total. |
| Período de padding de eventos (minutos) | Número inteiro | 60 | Sim | O período de padding de eventos em minutos especifica um intervalo mínimo que será usado pelo conector para verificar novos eventos. |
| Usar a lista de permissões como uma lista de proibições | Caixa de seleção | Desmarcado | Sim | Se ativada, a lista de permissões será usada como uma lista de bloqueios. |
| Endereço do servidor proxy | String | Não | O endereço do servidor proxy a ser usado. | |
| Nome de usuário do proxy | String | Não | O nome de usuário do proxy para autenticação. | |
| Senha do proxy | Senha | Não | A senha do proxy para autenticação. |
Regras do conector
Lista de permissões / lista de proibições
O conector tem suporte para lista de permissões/lista negra.
Suporte a proxy
O conector é compatível com proxy.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.