O365 Management API
整合版本:9.0
應用實例
從 Microsoft 365 取得活動事件。
設定 O365 Management API,以便與 Google Security Operations 搭配使用
產品權限
詳情請參閱「開始使用 Office 365 Management API」。
如要透過 Office 365 管理活動 API 存取資料,請務必先為 Office 365 機構啟用統一稽核記錄。方法是開啟 Office 365 稽核記錄。如需操作說明,請參閱「開啟或關閉稽核功能」。
至於帳戶設定,程序與其他 Azure 產品 (Defender、Sentinel 等) 類似。您需要在 Azure Active Directory 中註冊應用程式,並授予下列權限:
- Microsoft Graph 的委派
User.Read權限 - Office 365 管理活動 API 的應用程式
ActivityFeed.ReadDlp權限
在 Google SecOps 中設定 O365 Management API 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合參數
請使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 執行個體名稱 | 字串 | 不適用 | 否 | 您要設定整合的執行個體名稱。 |
| 說明 | 字串 | 不適用 | 否 | 執行個體的說明。 |
| API 根目錄 | 字串 | https://manage.office.com | 是 | 要與整合功能搭配使用的 API 根網址。 |
| Azure Active Directory ID | 字串 | 不適用 | 是 | Azure Active Directory 用戶群 ID 可在 Active Directory > 應用程式註冊 > <為整合設定的應用程式> 目錄 (用戶群) ID 中查看。範例:k48f52ca-0000-4708-8ed0-0000a20a40a |
| 用戶端 ID | 字串 | 不適用 | 是 | 在 Azure Active Directory 中,為這項整合服務的應用程式註冊項目新增的用戶端 (應用程式) ID。例如:29bf818e-0000-0000-0000-784fb644178d |
| 用戶端密鑰 | 密碼 | 不適用 | 否 | 為 Azure AD 應用程式註冊輸入的密鑰。範例:XF00000Qc0000000[UZSW7-0?qXb6Qx] |
| 驗證 SSL | 核取方塊 | 已勾選 | 是 | 指定是否應驗證遠端 API 端點 SSL 憑證。 |
| 遠端執行 | 核取方塊 | 已取消勾選 | 否 | 勾選這個欄位,即可遠端執行設定的整合項目。勾選後,系統會顯示選取遠端使用者 (服務專員) 的選項。 |
| 憑證路徑 | 字串 | 不適用 | 否 | 如果使用憑證進行驗證,而非用戶端密鑰,請在 Google SecOps 伺服器上指定憑證路徑。 |
| 憑證密碼 | 密碼 | 不適用 | 否 | 如果憑證受密碼保護,請指定開啟憑證檔案的密碼 (選用)。 |
| OAUTH2 登入端點網址 | 字串 | https://login.microsoftonline.com | 是 | 指定應做為 OAUTH2 登入端點網址的網址連接器。 |
動作
乒乓
說明
使用 Google Security Operations Marketplace 分頁中整合設定頁面提供的參數,測試與 O365 Management API 服務的連線。
參數
不適用
執行時間
這項操作會對所有實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| 成功 | True/False | success:False |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊:
動作應會失敗並停止執行應對手冊:
|
一般 |
開始訂閱
說明
開始訂閱所選的 Office 365 Management API 內容類型。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 開始訂閱 | DDL | 選取內容類型「稽核.一般」 | 是 | 指定要訂閱的內容類型。 |
執行時間
這項操作會對所有實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊:
動作應會失敗並停止執行應對手冊:
|
一般 |
停止訂閱
說明
停止訂閱所選 Office 365 管理 API 內容類型。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必填 | 說明 |
|---|---|---|---|---|
| 停止訂閱「」 | DDL | 選取內容類型「稽核.一般」 | 是 | 指定要停止訂閱的內容類型。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊:
動作應會失敗並停止執行應對手冊:
|
一般 |
連接器
在 Google SecOps 中設定 Office 365 Management API 連接器
如需在 Google SecOps 中設定連接器的詳細操作說明,請參閱設定連接器。
如要設定所選的連接器,請使用下列表格列出的連接器專屬參數:
- Office 365 Management API DLP Events Connector 設定參數
- Office 365 Management API Audit General Events Connector 設定參數
Office 365 Management API DLP Events 連接器
說明
從 Office 365 Management API 擷取 DLP 事件。
連接器參數
請使用下列參數設定連接器:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 產品欄位名稱 | 字串 | 產品名稱 | 是 | 輸入來源欄位名稱,即可擷取產品欄位名稱。 |
| 事件欄位名稱 | 字串 | 作業 | 是 | 輸入來源欄位名稱,即可擷取事件欄位名稱。 |
| 環境欄位名稱 | 字串 | "" | 否 | 說明儲存環境名稱的欄位名稱。 如果找不到環境欄位,環境就是預設環境。 |
| 環境規則運算式模式 | 字串 | .* | 否 | 要對「環境欄位名稱」欄位中的值執行的 regex 模式。 預設值為 .*,可擷取所有內容並傳回未變更的值。 用於允許使用者透過規則運算式邏輯操控環境欄位。 如果 regex 模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
| 指令碼逾時 (秒) | 整數 | 180 | 是 | 執行目前指令碼的 Python 程序逾時限制。 |
| API 根目錄 | 字串 | https://manage.office.com | 是 | 要與整合功能搭配使用的 API 根網址。 |
| Azure Active Directory ID | 字串 | 不適用 | 是 | Azure Active Directory 用戶群 ID 可在 Active Directory > 應用程式註冊 > <為整合設定的應用程式> 目錄 (用戶群) ID 中查看。範例:k48f52ca-0000-4708-8ed0-0000a20a40a |
| 用戶端 ID | 字串 | 不適用 | 是 | 在 Azure Active Directory 中,為這項整合服務的應用程式註冊項目新增的用戶端 (應用程式) ID。範例:29bf818e-0000-0000-0000-784fb644178d |
| 用戶端密鑰 | 密碼 | 不適用 | 否 | 為 Azure AD 應用程式註冊輸入的密鑰。範例:XF00000Qc0000000[UZSW7-0?qXb6Qx] |
| 驗證 SSL | 核取方塊 | 已勾選 | 是 | 指定是否應驗證遠端 API 端點 SSL 憑證。 |
| 作業篩選器類型 | 字串 | 不適用 | 否 | 資料遺失防護事件可用的作業類型如下:DlpRuleMatch、DlpRuleUndo、DlpInfo。這個參數的作用類似黑名單。根據預設,如果未在這個參數中指定任何內容,系統會擷取所有可能的作業類型。如果這個參數中指定了作業類型,系統就不會擷取具有該作業類型的事件。參數接受以半形逗號分隔的多個值。 |
| 政策篩選類型 | 字串 | 不適用 | 否 | 參數可用於指定政策名稱,如果事件中出現該名稱,系統就不會擷取事件。這個參數的作用類似黑名單。如果未指定任何項目,系統預設會擷取所有可能的政策類型。參數接受以半形逗號分隔的多個值。 |
| 遮罩發現項目? | 核取方塊 | 已取消勾選 | 否 | 指定連接器是否應遮蓋觸發資料遺失防護政策的機密發現項目。 |
| 要擷取的事件數量上限 | 整數 | 50 | 是 | 每個連接器疊代要處理的事件數。 |
| Fetch Max Hours Backwards | 整數 | 8 | 是 | 要擷取事件的小時數。請注意,O365 Management API 只能傳回過去 7 天的事件,無法傳回更早的事件。 |
| 擷取回溯時間間隔 (分鐘) | 整數 | 240 | 是 | 時間間隔連接器應使用此間隔,從最多幾小時前開始擷取事件。如果 O365 租戶忙碌,可能會傳回大量事件 Blob。因此,這個以分鐘為單位的參數可用於將最大時數向後分割成較小的區段,並個別處理。時間間隔總長不得超過 24 小時。 |
| 活動緩衝時間 (分鐘) | 整數 | 60 | 是 | 以分鐘為單位的「事件填補期」會指定連接器檢查新事件時使用的最短時間間隔。 |
| 將許可清單當做封鎖清單使用 | 核取方塊 | 已取消勾選 | 是 | 啟用後,系統會將允許清單視為封鎖清單。 |
| Proxy 伺服器位址 | 字串 | 否 | 要使用的 Proxy 伺服器位址。 | |
| Proxy 使用者名稱 | 字串 | 否 | 用於驗證的 Proxy 使用者名稱。 | |
| Proxy 密碼 | 密碼 | 否 | 用於驗證的 Proxy 密碼。 | |
| 憑證路徑 | 字串 | 否 | 如果使用憑證進行驗證,而非用戶端密鑰,請在 Google SecOps 伺服器上指定憑證路徑。 | |
| 憑證密碼 | 密碼 | 否 | 如果憑證受密碼保護,請指定開啟憑證檔案的密碼 (選用)。 | |
| OAUTH2 登入端點網址 | 字串 | https://login.microsoftonline.com | 是 | 指定連接器應使用的 OAUTH2 登入端點網址 |
連接器規則
許可清單 / 黑名單
連接器支援許可清單/黑名單。
Proxy 支援
連接器支援 Proxy。
Office 365 Management API Audit General Events 連接器
說明
從 Office 365 Management API 擷取 Audit.General 事件。請務必先執行「Start a Subscription」(開始訂閱) 動作,啟用 Audit.General 事件的訂閱功能。
如要使用 Office 365 Management API Audit General Events 連接器,必須具備下列權限:
- Microsoft Graph 的委派
User.Read、email和profile權限 - Office 365 Management Activity API 的應用程式
ActivityFeed.ReadDlp和ActivityFeed.Read權限
連接器參數
請使用下列參數設定連接器:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 產品欄位名稱 | 字串 | 產品名稱 | 是 | 輸入來源欄位名稱,即可擷取產品欄位名稱。 |
| 事件欄位名稱 | 字串 | 作業 | 是 | 輸入來源欄位名稱,即可擷取事件欄位名稱。 |
| 環境欄位名稱 | 字串 | "" | 否 | 說明儲存環境名稱的欄位名稱。 如果找不到環境欄位,環境就是預設環境。 |
| 環境規則運算式模式 | 字串 | .* | 否 | 要對「環境欄位名稱」欄位中的值執行的 regex 模式。 預設值為 .*,可擷取所有內容並傳回未變更的值。 用於允許使用者透過規則運算式邏輯操控環境欄位。 如果 regex 模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
| 指令碼逾時 (秒) | 整數 | 180 | 是 | 執行目前指令碼的 Python 程序逾時限制。 |
| API 根目錄 | 字串 | https://manage.office.com | 是 | 要與整合功能搭配使用的 API 根網址。 |
| Azure Active Directory ID | 字串 | 不適用 | 是 | Azure Active Directory 用戶群 ID 可在 Active Directory > 應用程式註冊 > <為整合設定的應用程式> 目錄 (用戶群) ID 中查看。範例:k48f52ca-0000-4708-8ed0-0000a20a40a |
| 用戶端 ID | 字串 | 不適用 | 是 | 在 Azure Active Directory 中,為這項整合服務的應用程式註冊項目新增的用戶端 (應用程式) ID。範例:29bf818e-0000-0000-0000-784fb644178d |
| 用戶端密鑰 | 密碼 | 不適用 | 否 | 為 Azure AD 應用程式註冊輸入的密鑰。範例:XF00000Qc0000000[UZSW7-0?qXb6Qx] |
| 憑證路徑 | 字串 | 不適用 | 否 | 如果使用憑證進行驗證,而非用戶端密鑰,請在 Google SecOps 伺服器上指定憑證路徑。 |
| 憑證密碼 | 密碼 | 不適用 | 否 | 如果憑證受密碼保護,請指定開啟憑證檔案的密碼 (選用)。 |
| OAUTH2 登入端點網址 | 字串 | https://login.microsoftonline.com | 否 | 指定連接器應使用的 OAUTH2 登入端點網址 |
| 驗證 SSL | 核取方塊 | 已勾選 | 是 | 指定是否應驗證遠端 API 端點 SSL 憑證。 |
| 作業篩選器類型 | 字串 | 不適用 | 否 | audit.general 結構定義中可能會有不同類型的作業,例如 SearchAirBatch、SearchCustomTag 等。根據預設,如果未在這個參數中指定任何內容,系統會擷取所有可能的作業類型。如果這個參數中指定了作業類型,系統就不會擷取具有該作業類型的事件。參數接受以半形逗號分隔的多個值。 |
| 狀態篩選器 | 字串 | 不適用 | 否 | 這個參數可用來指定狀態,如果事件中存在這個狀態,系統就不會擷取事件。這個參數的作用類似黑名單。如果未指定任何內容,系統預設會擷取所有可能的狀態類型。參數接受以半形逗號分隔的多個值。 |
| 使用作業和狀態篩選器做為許可清單 | 核取方塊 | 已取消勾選 | 是 | 如果啟用,作業和狀態篩選器會做為許可清單,預設為黑名單。 |
| 實體金鑰,用於建立其他活動 | CSV | 不適用 | 否 | 指定在資料的 Audit.General 實體部分中看到時,應擷取相關子部分來建立額外 Google SecOps 事件的鍵。 |
| 要擷取的事件數量上限 | 整數 | 50 | 是 | 每個連接器疊代要處理的事件數。 |
| Fetch Max Hours Backwards | 整數 | 8 | 是 | 要擷取事件的小時數。請注意,O365 Management API 只能傳回過去 7 天的事件,無法傳回更早的事件。 |
| 擷取回溯時間間隔 (分鐘) | 整數 | 240 | 是 | 時間間隔連接器應使用此間隔,從最多幾小時前開始擷取事件。如果 O365 租戶忙碌,可能會傳回大量事件 Blob。因此,這個以分鐘為單位的參數可用於將最大時數向後分割成較小的區段,並個別處理。時間間隔總長不得超過 24 小時。 |
| 活動緩衝時間 (分鐘) | 整數 | 60 | 是 | 以分鐘為單位的「事件填補期」會指定連接器檢查新事件時使用的最短時間間隔。 |
| 將許可清單當做封鎖清單使用 | 核取方塊 | 已取消勾選 | 是 | 啟用後,系統會將允許清單視為封鎖清單。 |
| Proxy 伺服器位址 | 字串 | 否 | 要使用的 Proxy 伺服器位址。 | |
| Proxy 使用者名稱 | 字串 | 否 | 用於驗證的 Proxy 使用者名稱。 | |
| Proxy 密碼 | 密碼 | 否 | 用於驗證的 Proxy 密碼。 |
連接器規則
許可清單 / 黑名單
連接器支援許可清單/黑名單。
Proxy 支援
連接器支援 Proxy。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。