O365 Management API
集成版本:9.0
使用场景
从 Microsoft 365 获取活动事件。
配置 O365 Management API 以与 Google Security Operations 搭配使用
产品权限
如需了解详情,请参阅 Office 365 管理 API 使用入门。
在通过 Office 365 管理活动 API 访问数据之前,您必须为 Office 365 组织启用统一审核日志记录。为此,请开启 Office 365 审核日志。如需查看相关说明,请参阅启用或停用审核。
至于账号配置,过程与其他基于 Azure 的产品(Defender、Sentinel 等)类似。您需要在 Azure Active Directory 中注册应用,并为其授予以下权限:
- 来自 Microsoft Graph 的委托
User.Read权限 - 来自 Office 365 管理活动 API 的应用
ActivityFeed.ReadDlp权限
在 Google SecOps 中配置 O365 管理 API 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
集成参数
使用以下参数配置集成:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 实例名称 | 字符串 | 不适用 | 否 | 您打算为其配置集成的实例的名称。 |
| 说明 | 字符串 | 不适用 | 否 | 实例的说明。 |
| API 根 | 字符串 | https://manage.office.com | 是 | 要与集成搭配使用的 API 根网址。 |
| Azure Active Directory ID | 字符串 | 不适用 | 是 | Azure Active Directory 租户 ID,可在“Active Directory”>“应用注册”>“<为集成配置的应用>”目录(租户)ID 中查看。示例:k48f52ca-0000-4708-8ed0-0000a20a40a |
| 客户端 ID | 字符串 | 不适用 | 是 | 在 Azure Active Directory 中为相应集成添加的应用注册的客户端(应用)ID。例如:29bf818e-0000-0000-0000-784fb644178d |
| 客户端密钥 | 密码 | 不适用 | 否 | 为 Azure AD 应用注册输入的密钥。示例:XF00000Qc0000000[UZSW7-0?qXb6Qx] |
| 验证 SSL | 复选框 | 勾选 | 是 | 指定是否应验证远程 API 端点 SSL 证书。 |
| 远程运行 | 复选框 | 尚未核查 | 否 | 选中此字段,以便远程运行配置的集成。选中后,系统会显示用于选择远程用户(客服人员)的选项。 |
| 证书路径 | 字符串 | 不适用 | 否 | 如果使用基于证书的身份验证而非客户端密钥,请指定 Google SecOps 服务器上证书的路径。 |
| 证书密码 | 密码 | 不适用 | 否 | 可选,如果证书受密码保护,请指定打开证书文件的密码。 |
| OAUTH2 登录端点网址 | 字符串 | https://login.microsoftonline.com | 是 | 指定应用于 OAUTH2 登录端点网址的网址连接器。 |
操作
Ping
说明
使用 Google Security Operations Marketplace 标签页中的集成配置页面上提供的参数,测试与 O365 Management API 服务的连接。
参数
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 成功 | True/False | success:False |
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行:
操作应失败并停止 playbook 执行:
|
常规 |
开始订阅
说明
开始订阅所选的 Office 365 管理 API 内容类型。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 开始订阅 | DDL | 选择内容类型“Audit.General” | 是 | 指定要针对哪种内容类型开始订阅。 |
运行于
此操作会在所有实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行:
操作应失败并停止 playbook 执行:
|
常规 |
停止订阅
说明
停止订阅所选的 Office 365 管理 API 内容类型。
参数
| 参数显示名称 | 类型 | 默认值 | 是强制性的 | 说明 |
|---|---|---|---|---|
| 停止订阅 | DDL | 选择内容类型“Audit.General” | 是 | 指定要针对哪种内容类型停止订阅。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行:
操作应失败并停止 playbook 执行:
|
常规 |
连接器
在 Google SecOps 中配置 Office 365 Management API 连接器
有关如何在 Google SecOps 中配置连接器的详细说明,请参阅配置连接器。
如需配置所选连接器,请使用下表中列出的连接器专用参数:
Office 365 Management API DLP Events 连接器
说明
从 Office 365 Management API 中提取 DLP 事件。
连接器参数
使用以下参数配置连接器:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 商品字段名称 | 字符串 | 产品名称 | 是 | 输入源字段名称,以便检索产品字段名称。 |
| 事件字段名称 | 字符串 | 操作 | 是 | 输入源字段名称,以便检索事件字段名称。 |
| 环境字段名称 | 字符串 | "" | 否 | 描述存储环境名称的字段的名称。 如果找不到环境字段,则环境为默认环境。 |
| 环境正则表达式模式 | 字符串 | .* | 否 | 要对“环境字段名称”字段中找到的值运行的正则表达式模式。 默认值为 .*,用于捕获所有内容并返回未更改的值。 用于允许用户通过正则表达式逻辑来操纵环境字段。 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。 |
| 脚本超时(秒) | 整数 | 180 | 是 | 运行当前脚本的 Python 进程的超时时间限制。 |
| API 根 | 字符串 | https://manage.office.com | 是 | 要与集成搭配使用的 API 根网址。 |
| Azure Active Directory ID | 字符串 | 不适用 | 是 | Azure Active Directory 租户 ID,可在“Active Directory”>“应用注册”>“<为集成配置的应用>”目录(租户)ID 中查看。示例:k48f52ca-0000-4708-8ed0-0000a20a40a |
| 客户端 ID | 字符串 | 不适用 | 是 | 在 Azure Active Directory 中为相应集成添加的应用注册的客户端(应用)ID。示例:29bf818e-0000-0000-0000-784fb644178d |
| 客户端密钥 | 密码 | 不适用 | 否 | 为 Azure AD 应用注册输入的密钥。示例:XF00000Qc0000000[UZSW7-0?qXb6Qx] |
| 验证 SSL | 复选框 | 勾选 | 是 | 指定是否应验证远程 API 端点 SSL 证书。 |
| 操作过滤条件类型 | 字符串 | 不适用 | 否 | DLP 事件可使用以下操作类型:DlpRuleMatch、DlpRuleUndo、DlpInfo。相应参数用作黑名单。默认情况下,如果未在此参数中指定任何内容,则会注入所有可能的操作类型。如果此参数中指定了操作类型,则系统不会接收具有相应操作类型的事件。参数接受多个值,这些值以英文逗号分隔的字符串形式表示。 |
| 政策过滤器的类型 | 字符串 | 不适用 | 否 | 此参数可用于指定政策名称,如果事件中存在该名称,则不会提取相应事件。相应参数用作黑名单。默认情况下(如果未指定任何内容)- 注入所有可能的政策类型。参数接受多个值,这些值以英文逗号分隔的字符串形式表示。 |
| 屏蔽发现结果? | 复选框 | 尚未核查 | 否 | 指定连接器是否应遮盖触发了数据泄露防护政策命中的敏感发现。 |
| 要提取的事件数量上限 | 整数 | 50 | 是 | 每次连接器迭代要处理的事件数量。 |
| 提取回溯的小时数上限 | 整数 | 8 | 是 | 提取事件的小时数。请注意,O365 管理 API 允许返回过去 7 天内的事件,更早的事件则无法返回。 |
| 向后提取时间间隔(分钟) | 整数 | 240 | 是 | 连接器应使用的时间间隔,以从最长小时数向后提取事件。如果 O365 租户处于繁忙状态,则可能会返回大量事件 blob。因此,此参数(以分钟为单位)可用于将最大小时数向后拆分为更小的细分,并单独处理这些细分。时间间隔总时长不得超过 24 小时。 |
| 活动填充周期(分钟) | 整数 | 60 | 是 | “事件填充周期”(以分钟为单位)指定了连接器将用于检查新事件的最小时间间隔。 |
| 将白名单用作黑名单 | 复选框 | 尚未核查 | 是 | 如果启用,白名单将用作黑名单。 |
| 代理服务器地址 | 字符串 | 否 | 要使用的代理服务器的地址。 | |
| 代理用户名 | 字符串 | 否 | 用于进行身份验证的代理用户名。 | |
| 代理密码 | 密码 | 否 | 用于进行身份验证的代理密码。 | |
| 证书路径 | 字符串 | 否 | 如果使用基于证书的身份验证而非客户端密钥,请指定 Google SecOps 服务器上证书的路径。 | |
| 证书密码 | 密码 | 否 | 可选,如果证书受密码保护,请指定打开证书文件的密码。 | |
| OAUTH2 登录端点网址 | 字符串 | https://login.microsoftonline.com | 是 | 指定连接器应使用的 OAUTH2 登录端点网址 |
连接器规则
白名单 / 黑名单
连接器支持白名单/黑名单。
代理支持
连接器支持代理。
Office 365 Management API Audit General Events 连接器
说明
从 Office 365 Management API 中提取 Audit.General 事件。请确保您先运行“启动订阅”操作,为 Audit.General 事件启用订阅。
对于 Office 365 Management API Audit General Events 连接器,需要以下权限:
- 来自 Microsoft Graph 的委托权限
User.Read、email和profile - Office 365 管理活动 API 中的应用
ActivityFeed.ReadDlp和ActivityFeed.Read权限
连接器参数
使用以下参数配置连接器:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 商品字段名称 | 字符串 | 产品名称 | 是 | 输入源字段名称,以便检索产品字段名称。 |
| 事件字段名称 | 字符串 | 操作 | 是 | 输入源字段名称,以便检索事件字段名称。 |
| 环境字段名称 | 字符串 | "" | 否 | 描述存储环境名称的字段的名称。 如果找不到环境字段,则环境为默认环境。 |
| 环境正则表达式模式 | 字符串 | .* | 否 | 要对“环境字段名称”字段中找到的值运行的正则表达式模式。 默认值为 .*,用于捕获所有内容并返回未更改的值。 用于允许用户通过正则表达式逻辑来操纵环境字段。 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。 |
| 脚本超时(秒) | 整数 | 180 | 是 | 运行当前脚本的 Python 进程的超时时间限制。 |
| API 根 | 字符串 | https://manage.office.com | 是 | 要与集成搭配使用的 API 根网址。 |
| Azure Active Directory ID | 字符串 | 不适用 | 是 | Azure Active Directory 租户 ID,可在“Active Directory”>“应用注册”>“<为集成配置的应用>”目录(租户)ID 中查看。示例:k48f52ca-0000-4708-8ed0-0000a20a40a |
| 客户端 ID | 字符串 | 不适用 | 是 | 在 Azure Active Directory 中为相应集成添加的应用注册的客户端(应用)ID。示例:29bf818e-0000-0000-0000-784fb644178d |
| 客户端密钥 | 密码 | 不适用 | 否 | 为 Azure AD 应用注册输入的密钥。示例:XF00000Qc0000000[UZSW7-0?qXb6Qx] |
| 证书路径 | 字符串 | 不适用 | 否 | 如果使用基于证书的身份验证而非客户端密钥,请指定 Google SecOps 服务器上证书的路径。 |
| 证书密码 | 密码 | 不适用 | 否 | 可选,如果证书受密码保护,请指定打开证书文件的密码。 |
| OAUTH2 登录端点网址 | 字符串 | https://login.microsoftonline.com | 否 | 指定连接器应使用的 OAUTH2 登录端点网址 |
| 验证 SSL | 复选框 | 勾选 | 是 | 指定是否应验证远程 API 端点 SSL 证书。 |
| 操作过滤条件类型 | 字符串 | 不适用 | 否 | 在 audit.general 架构中,可能存在不同的操作类型:SearchAirBatch、SearchCustomTag 等。默认情况下,如果未在此参数中指定任何内容,则会注入所有可能的操作类型。如果此参数中指定了操作类型,则系统不会接收具有相应操作类型的事件。参数接受多个值,这些值以英文逗号分隔的字符串形式表示。 |
| “状态”过滤条件 | 字符串 | 不适用 | 否 | 此参数可用于指定状态,如果事件中存在此状态,则不会提取相应事件。相应参数用作黑名单。默认情况下(如果未指定任何内容)- 注入所有可能的状态类型。参数接受多个值,这些值以英文逗号分隔的字符串形式表示。 |
| 使用操作和状态过滤条件作为白名单 | 复选框 | 尚未核查 | 是 | 如果启用,操作和状态过滤器将作为白名单运行;默认情况下,它们是黑名单。 |
| 用于创建其他事件的实体键 | CSV | 不适用 | 否 | 指定在数据的 Audit.General 实体部分中看到时,应提取相关子部分以创建额外的 Google SecOps 事件的键。 |
| 要提取的事件数量上限 | 整数 | 50 | 是 | 每次连接器迭代要处理的事件数量。 |
| 提取回溯的小时数上限 | 整数 | 8 | 是 | 提取事件的小时数。请注意,O365 管理 API 允许返回过去 7 天内的事件,更早的事件则无法返回。 |
| 向后提取时间间隔(分钟) | 整数 | 240 | 是 | 连接器应使用的时间间隔,以从最长小时数向后提取事件。如果 O365 租户处于繁忙状态,则可能会返回大量事件 blob。因此,此参数(以分钟为单位)可用于将最大小时数向后拆分为更小的细分,并单独处理这些细分。时间间隔总时长不得超过 24 小时。 |
| 活动填充周期(分钟) | 整数 | 60 | 是 | “事件填充周期”(以分钟为单位)指定了连接器将用于检查新事件的最小时间间隔。 |
| 将白名单用作黑名单 | 复选框 | 尚未核查 | 是 | 如果启用,白名单将用作黑名单。 |
| 代理服务器地址 | 字符串 | 否 | 要使用的代理服务器的地址。 | |
| 代理用户名 | 字符串 | 否 | 用于进行身份验证的代理用户名。 | |
| 代理密码 | 密码 | 否 | 用于进行身份验证的代理密码。 |
连接器规则
白名单 / 黑名单
连接器支持白名单/黑名单。
代理支持
连接器支持代理。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。