Integrace serveru SIEM (Security Information and Event Management) se službami a aplikacemi Microsoftu 365
Tip
Věděli jste, že si můžete vyzkoušet funkce v Microsoft Defender pro Office 365 Plan 2 zdarma? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.
Souhrn
Používá nebo plánuje vaše organizace získat server SIEM (Security Information and Event Management)? Možná vás zajímá, jak se integruje s Microsoftem 365 nebo Office 365. Tento článek obsahuje seznam prostředků, které můžete použít k integraci serveru SIEM se službami a aplikacemi Microsoftu 365.
Tip
Pokud ještě nemáte server SIEM a zkoumáte své možnosti, zvažte Microsoft Sentinel.
Potřebuji server SIEM?
To, jestli potřebujete server SIEM, závisí na mnoha faktorech, jako jsou požadavky vaší organizace na zabezpečení a umístění dat. Microsoft 365 obsahuje širokou škálu funkcí zabezpečení, které splňují požadavky mnoha organizací na zabezpečení bez dalších serverů, jako je server SIEM. Některé organizace mají zvláštní okolnosti, které vyžadují použití serveru SIEM. Tady je pár příkladů:
- Fabrikam má určitý obsah a aplikace místně a některé v cloudu (mají hybridní cloudové nasazení). Aby společnost Fabrikam získala sestavy zabezpečení pro veškerý obsah a aplikace, implementovala server SIEM.
- Contoso je organizace finančních služeb, která má přísné požadavky na zabezpečení. Do svého prostředí přidali server SIEM, aby mohli využívat další ochranu zabezpečení, kterou vyžadují.
Integrace serveru SIEM s Microsoftem 365
Server SIEM může přijímat data z široké škály služeb a aplikací Microsoftu 365. V následující tabulce je uvedeno několik služeb a aplikací Microsoft 365 spolu se vstupy a prostředky serveru SIEM a dalšími informacemi.
| Služba nebo aplikace Microsoftu 365 | Vstupy a metody serveru SIEM | Zdroje informací o dalších informacích |
|---|---|---|
| Microsoft Defender pro Office 365 | Protokoly auditu | Integrace SIEM s Microsoft Defender pro Office 365 |
| Microsoft Defender for Endpoint | Koncový bod HTTPS hostovaný v Azure REST API |
Vyžádání upozornění do nástrojů SIEM |
| Microsoft Defender for Cloud Apps | Integrace protokolů | Integrace SIEM s Microsoft Defender for Cloud Apps |
Tip
Podívejte se na Microsoft Sentinel. Microsoft Sentinel se dodává s konektory pro řešení Microsoftu. Tyto konektory jsou k dispozici "po použití" a umožňují integraci v reálném čase. Microsoft Sentinel můžete používat se svými řešeními Microsoft Defender XDR a službami Microsoftu 365, včetně Office 365, Microsoft Entra ID, Microsoft Defender for Identity Microsoft Defender for Cloud Apps a další.
Protokolování auditu musí být zapnuté.
Před konfigurací integrace serveru SIEM se ujistěte, že je zapnuté protokolování auditu:
- Informace o SharePointu, OneDrivu a Microsoft Entra ID najdete v tématu Zapnutí nebo vypnutí auditování.
- Informace o Exchange Online najdete v tématu Správa auditování poštovních schránek.
Postup integrace, pokud je váš SIEM Microsoft Sentinel
Ověřte následující požadavky:
- Vaše aktuální předplatné Microsoftu 365 (například Microsoft Defender pro Office 365 Plan 2) umožňuje integraci Microsoft Sentinel.
- Váš účet v Microsoft Defender pro Office 365 nebo Microsoft Defender XDR je správce zabezpečení.
- Ověřte, že máte v Microsoft Sentinel oprávnění k zápisu.
Přejděte na Microsoft Sentinel.
Na navigačním panelu vlevo od obrazovky Konektory konfiguračních>dat
Vyhledejte Microsoft Defender XDR a vyberte konektor Microsoft Defender XDR (Preview).
Na pravé straně obrazovky vyberte Otevřít stránku konektoru.
V části Konfigurace> vyberte Připojit incidenty & výstrahy.
Vypněte všechna pravidla vytváření incidentů Microsoftu pro aktuálně vybrané produkty.
Posuňte se na Microsoft Defender pro Office 365 v části Události připojení na stránce.
Tabulky si můžete vybrat z libovolného jiného Microsoft Defender produktu, který je pro vás užitečný a použitelný při dokončení následujícího posledního kroku:
Vyberte EmailEvents, EmailUrlInfo, EmailAttachmentInfo a EmailPostDeliveryEvents> a Použít změny.
Další zdroje
Integrace řešení zabezpečení ve službě Microsoft Defender for Cloud
Integrace upozornění Rozhraní API pro zabezpečení Microsoft Graphu s siem