SIEM-integration med Microsoft Defender for Office 365
Tip
Vidste du, at du kan prøve funktionerne i Microsoft Defender for Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde dig og prøvevilkår i Prøv Microsoft Defender for Office 365.
Hvis din organisation bruger en SIEM-server (security information and event management), kan du integrere Microsoft Defender for Office 365 med din SIEM-server. Du kan konfigurere denne integration ved hjælp af API'en Office 365 Activity Management.
MED SIEM-integration kan du få vist oplysninger, f.eks. malware eller phish, der er registreret af Microsoft Defender for Office 365, i dine SIEM-serverrapporter.
- Hvis du vil se et eksempel på SIEM-integration med Microsoft Defender for Office 365, skal du se Microsoft Security Blog – Gør din SOC mere effektiv med Defender for Office 365 og O365 Management API.
- Hvis du vil vide mere om API'er til administration af Office 365, skal du se oversigten over API'er til administration af Office 365.
Sådan fungerer SIEM-integration
API'en til Office 365 aktivitetsstyring henter oplysninger om bruger-, administrator-, system- og politikhandlinger og -hændelser fra din organisations Microsoft 365- og Microsoft Entra aktivitetslogge. Hvis din organisation har Microsoft Defender for Office 365 Plan 1 eller 2 eller Office 365 E5, kan du bruge skemaet Microsoft Defender for Office 365.
For nylig blev hændelser fra automatiserede undersøgelses- og svarfunktioner i Microsoft Defender for Office 365 Plan 2 føjet til API'en for Office 365 Management Activity. Ud over at inkludere data om centrale undersøgelsesoplysninger, f.eks. id, navn og status, indeholder API'en også oplysninger på højt niveau om undersøgelseshandlinger og enheder.
SIEM-serveren eller et andet lignende system forespørger den generelle arbejdsbelastning for at få adgang til registreringshændelser. Du kan få mere at vide under Kom i gang med api'er til administration af Office 365.
Enum: AuditLogRecordType – Type: Edm.Int32
AuditLogRecordType
I følgende tabel opsummeres værdierne for AuditLogRecordType, der er relevante for Microsoft Defender for Office 365 hændelser:
Værdi | Medlemsnavn | Beskrivelse |
---|---|---|
28 | ThreatIntelligence | Phishing- og malwarehændelser fra Exchange Online Protection og Microsoft Defender for Office 365. |
41 | ThreatIntelligenceUrl | Safe Links tid-of-block og blokere tilsidesættelse hændelser fra Microsoft Defender for Office 365. |
47 | ThreatIntelligenceAtpContent | Phishing- og malwarehændelser for filer i SharePoint Online, OneDrive for Business og Microsoft Teams fra Microsoft Defender for Office 365. |
64 | AirInvestigation | Automatiserede undersøgelses- og svarhændelser, f.eks. undersøgelsesoplysninger og relevante artefakter, fra Microsoft Defender for Office 365 Plan 2. |
Vigtigt!
Du skal enten have rollen Global administrator* eller Sikkerhedsadministrator tildelt for at konfigurere SIEM-integration med Microsoft Defender for Office 365. Du kan få flere oplysninger under Tilladelser på Microsoft Defender-portalen.
*Microsoft anbefaler, at du bruger roller med færrest tilladelser. Brug af konti med lavere tilladelser hjælper med at forbedre sikkerheden for din organisation. Global administrator er en yderst privilegeret rolle, der bør være begrænset til nødsituationer, når du ikke kan bruge en eksisterende rolle.
Overvågningslogføring skal være aktiveret for dit Microsoft 365-miljø (det er som standard slået til). Hvis du vil kontrollere, at overvågningslogføring er slået til, eller hvis du vil aktivere den, skal du se Slå overvågning til eller fra.