Integrace SIEM s Microsoft Defender pro Office 365
Tip
Věděli jste, že si můžete vyzkoušet funkce v Microsoft Defender pro Office 365 Plan 2 zdarma? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.
Pokud vaše organizace používá server pro správu událostí a informací o zabezpečení (SIEM), můžete Microsoft Defender pro Office 365 integrovat se serverem SIEM. Tuto integraci můžete nastavit pomocí rozhraní API Office 365 Activity Management.
Integrace SIEM umožňuje zobrazit informace, jako je malware nebo phish detekované Microsoft Defender pro Office 365, v sestavách serveru SIEM.
- Příklad integrace SIEM s Microsoft Defender pro Office 365 najdete v článku Blog o zabezpečení Microsoftu – Zvýšení efektivity soc s využitím Defender pro Office 365 a rozhraní API pro správu O365.
- Další informace o rozhraních API pro správu Office 365 najdete v tématu Přehled rozhraní API pro správu Office 365.
Jak funguje integrace SIEM
Rozhraní API Office 365 Activity Management načítá informace o akcích a událostech uživatele, správce, systému a zásad z protokolů aktivit Microsoft 365 a Microsoft Entra vaší organizace. Pokud má vaše organizace Microsoft Defender pro Office 365 - plán 1, 2 nebo Office 365 E5, můžete použít schéma Microsoft Defender pro Office 365.
Nedávno se do rozhraní API aktivit Office 365 Management Přidaly události z automatizovaných možností vyšetřování a odpovědí v plánu Microsoft Defender pro Office 365 Plan 2. Kromě zahrnutí dat o základních podrobnostech šetření, jako jsou ID, název a stav, obsahuje rozhraní API také základní informace o akcích šetření a entitách.
Server SIEM nebo jiný podobný systém se dotazuje úlohy audit.general na přístup k událostem detekce. Další informace najdete v tématu Začínáme s rozhraními API pro správu Office 365.
Výčet: AuditLogRecordType – typ: Edm.Int32
AuditLogRecordType
Následující tabulka shrnuje hodnoty AuditLogRecordType, které jsou relevantní pro události Microsoft Defender pro Office 365:
| Hodnota | Jméno člena | Popis |
|---|---|---|
| 28 | ThreatIntelligence | Phishingové a malwarové události z Exchange Online Protection a Microsoft Defender pro Office 365 |
| 41 | ThreatIntelligenceUrl | Čas blokování a blokování událostí přepsání bezpečných propojení z Microsoft Defender pro Office 365. |
| 47 | ThreatIntelligenceAtpContent | Útoky phishing a malware u souborů v SharePointu Online, OneDrive pro firmy a Microsoft Teams z Microsoft Defender pro Office 365. |
| 64 | AirInvestigation | Automatizované události vyšetřování a reakce, jako jsou podrobnosti o šetření a relevantní artefakty, z Microsoft Defender pro Office 365 Plan 2. |
Důležité
K nastavení integrace SIEM s Microsoft Defender pro Office 365 musíte mít přiřazenou roli globálního správce* nebo správce zabezpečení. Další informace najdete v tématu Oprávnění na portálu Microsoft Defender.
*Microsoft doporučuje používat role s co nejmenším počtem oprávnění. Používání účtů s nižším oprávněním pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.
Protokolování auditu musí být pro vaše prostředí Microsoft 365 zapnuté (ve výchozím nastavení je zapnuté). Pokud chcete ověřit, jestli je protokolování auditu zapnuté nebo jestli ho chcete zapnout, přečtěte si téma Zapnutí nebo vypnutí auditování.