Microsoft Office 365.

当与InsightIDR连接时,Microsoft Office 365数据提供有关用户服务和位置的信息。有关收集的具体数据的详细信息,你可以在这里阅读微软的文档:https://support.office.com/en-Us/article/search-the-oudit-log-in-the-office-365-security-compliance-center-0d4d0f35-390b-4518-800e -0c7ec95e946c?ui=.en-US&Rs = en-US&AD = US#PickTab =活动

在你开始之前

要设置Microsoft Office 365事件源,您需要执行以下操作:

对于每个Microsoft 365租户ID,只能配置单个Office 365事件源

但是,您可以配置此类型的多个事件源。

如何配置此事件源

配置Microsoft 365和InsightIDR。

  1. 从仪表板中,选择数据采集在左边的菜单上。
  2. 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源
  3. 从“安全数据”部分,单击云服务图标。出现“添加事件源”面板。
  4. 选择收集器和事件源。如果需要,还可以命名事件源。
  5. 选择发送未经过滤的日志
  6. 点击“开始”按钮启动OAUTH授权过程。
  7. 将打开一个新窗口或选项卡,您可以使用Microsoft执行授权。
  8. 登录到Microsoft并单击允许

为了验证Office365,请确保启用了弹出窗口。

  1. 使用全局管理凭据登录。
  1. 接受,以授予InsightIDR所需的权限。将出现一条成功消息。
  1. 关闭此选项卡并返回InsightIDR。连接注册可能需要一到两分钟。在此期间,您将看到一个等待屏幕。
  1. 当连接注册时,将出现一个绿色的检查。点击保存完成Office 365事件源的设置。

注册完成后,您将在InsightIDR仪表板左下角的云服务面板中看到Office 365徽标。

  1. 在你的主页上,点击云服务卡和选择办公室365.。将出现入口活动。
  1. 要查看Microsoft Admin Activity,请转至用户和帐户>管理帐户>管理员活动并选择Office 365管理活动。您将看到以下信息和活动:
  • 添加用户
  • 编辑用户
  • 删除用户
  • 更新组
  • 重置用户密码
  • 更改用户密码
  • GroupAdded.
  • GroupRemoved
  • SitePermissionsModified
  • SiteCollectionAdminadded.

您还可以在office365管理员的用户详细信息页面上看到此活动。

阅读更多关于管理帐户和活动

如果使用ADFS,您将看不到进入活动

如果您使用Microsoft ADF登录Office 365,则不幸的是,这是通过国际代理服务器(例如Akamai)跳跃,这可以防止InsightIdr看到登录的真实源IP。因此,在地图上将无法使用Office 365的入口活动。

故障排除

启用弹出窗口

上面的一些步骤需要在过程中加载第二个窗口或选项卡。如果不启用弹出窗口,则无法完成身份验证过程。

登录错误页面

如果在安装过程中使用Microsoft帐户登录Microsoft帐户,则将在以下错误页面上呈现:

但是,如果你有一个管理帐户,选择“有一个管理帐户?”用那个账号登录。”选择“使用另一个帐户”选项并继续登录过程。

调试提示

如果您需要调试O365,则可以在Azure管理控制台中执行此操作。

在Azure管理控制台查看O365连接的状态:

  1. 从Azure Dashboard,转到企业应用程序在左边的菜单上。
  1. 选择或搜索“InsightIDR连接器”。
  2. 点击Insutigridr连接打开应用程序页面。
  1. 从应用程序页面中选择权限在左边的菜单上。从这里可以检查审计日志并确认它具有适当的权限。