L’API utilisée pour extraire les événements Office 365 présente certaines limitations de produit et l’une d’elles est liée à la latence. Lorsque la source de données collecte des données à envoyer à SIEM par le biais d’appels d’API, elle doit collecter simultanément des informations provenant de plusieurs sources différentes. Lorsque des informations sont rassemblées de cette manière, cela peut entraîner des périodes d’événement incohérentes, car certains fichiers sont plus récents et d’autres sont plus anciens. Au lieu d’un flux arrivant à McAfee SIEM dans l’ordre chronologique, il peut s’agir d’un mélange d’anciens et de nouveaux journaux.
Veuillez Ce délai est
pas causée par des défauts de SIEM.
Elle est envoyée avec ce délai par l’API Microsoft. McAfee et Microsoft travaillent ensemble pour déterminer le meilleur chemin pour nos clients partagés. McAfee a fourni des données expliquant le problème à Microsoft et attend Microsoft pour terminer leur évaluation avant de déterminer les prochaines étapes à suivre.
Les informations suivantes proviennent des notes de distribution de l’API Microsoft :
Lors de la création d’un abonnement, Cette opération peut prendre jusqu’à 12 heures pour que le premier blob de contenu soit disponible pour cet abonnement. Les blobs de contenu créent en collectant et en agrégeant des actions et des événements sur plusieurs serveurs et centres de données. Suite à ce processus distribué, les actions et les événements contenus dans les blobs de contenu ne s’affichent pas nécessairement dans l’ordre dans lequel ils se sont produits. Un seul blob de contenu peut contenir des actions et des événements qui se sont produits avant les actions et événements contenus dans un objet blob de contenu antérieur. Nous travaillons à réduire la latence entre l’occurrence d’actions et d’événements, ainsi que leur disponibilité dans un blob de contenu. Toutefois, nous ne pouvons pas garantir qu’ils apparaîtront de façon séquentielle.
Pour plus d’informations sur le site Web Microsoft pour Office 365, dans la section API d’Office 365, disponible à l’adresse : https://docs.Microsoft.com/en-US/Office/Office-365-Management-API/Office-365-Management-Activity-API-Reference