Microsoft Office 365.
当与InsightIDR连接时,Microsoft Office 365数据提供有关用户服务和位置的信息。有关收集的具体数据的详细信息,你可以在这里阅读微软的文档:https://support.office.com/en-Us/article/search-the-oudit-log-in-the-office-365-security-compliance-center-0d4d0f35-390b-4518-800e -0c7ec95e946c?ui=.en-US&Rs = en-US&AD = US#PickTab =活动。
在你开始之前
要设置Microsoft Office 365事件源,您需要执行以下操作:
- 配置收集器达到https://manage.office.com.为了连接到Office365云。
- 确保为一次性设置有一个Microsoft Office全局管理员帐户。
- 3 .可选:开启Office 365安全合规中心的审计日志功能。有关如何做到这一点的说明,请参阅微软的文档:https://docs.microsoft.com/en-us/microsoft-365/compliance/turn-audit-log-search-on-or-off
- 启用审核日志记录将允许InsightIdr收集审核日志,但不需要设置此事件源。
对于每个Microsoft 365租户ID,只能配置单个Office 365事件源
但是,您可以配置此类型的多个事件源。
如何配置此事件源
配置Microsoft 365和InsightIDR。
- 从仪表板中,选择数据采集在左边的菜单上。
- 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源。
- 从“安全数据”部分,单击云服务图标。出现“添加事件源”面板。
- 选择收集器和事件源。如果需要,还可以命名事件源。
- 选择发送未经过滤的日志。
- 点击“开始”按钮启动OAUTH授权过程。
- 将打开一个新窗口或选项卡,您可以使用Microsoft执行授权。
- 登录到Microsoft并单击允许。
为了验证Office365,请确保启用了弹出窗口。
- 使用全局管理凭据登录。
- 按接受,以授予InsightIDR所需的权限。将出现一条成功消息。
- 关闭此选项卡并返回InsightIDR。连接注册可能需要一到两分钟。在此期间,您将看到一个等待屏幕。
- 当连接注册时,将出现一个绿色的检查。点击保存完成Office 365事件源的设置。
注册完成后,您将在InsightIDR仪表板左下角的云服务面板中看到Office 365徽标。
- 在你的主页上,点击云服务卡和选择办公室365.。将出现入口活动。
- 要查看Microsoft Admin Activity,请转至用户和帐户>管理帐户>管理员活动并选择Office 365管理活动。您将看到以下信息和活动:
- 添加用户
- 编辑用户
- 删除用户
- 更新组
- 重置用户密码
- 更改用户密码
- GroupAdded.
- GroupRemoved
- SitePermissionsModified
- SiteCollectionAdminadded.
您还可以在office365管理员的用户详细信息页面上看到此活动。
阅读更多关于管理帐户和活动。
如果使用ADFS,您将看不到进入活动
如果您使用Microsoft ADF登录Office 365,则不幸的是,这是通过国际代理服务器(例如Akamai)跳跃,这可以防止InsightIdr看到登录的真实源IP。因此,在地图上将无法使用Office 365的入口活动。
故障排除
启用弹出窗口
上面的一些步骤需要在过程中加载第二个窗口或选项卡。如果不启用弹出窗口,则无法完成身份验证过程。
登录错误页面
如果在安装过程中使用Microsoft帐户登录Microsoft帐户,则将在以下错误页面上呈现:
但是,如果你有一个管理帐户,选择“有一个管理帐户?”用那个账号登录。”选择“使用另一个帐户”选项并继续登录过程。
调试提示
如果您需要调试O365,则可以在Azure管理控制台中执行此操作。
在Azure管理控制台查看O365连接的状态:
- 从Azure Dashboard,转到企业应用程序在左边的菜单上。
- 选择或搜索“InsightIDR连接器”。
- 点击Insutigridr连接打开应用程序页面。
- 从应用程序页面中选择权限在左边的菜单上。从这里可以检查审计日志并确认它具有适当的权限。