Del via


SIEM-integration med Microsoft Defender for Office 365

Tip

Vidste du, at du kan prøve funktionerne i Microsoft Defender for Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde dig og prøvevilkår i Prøv Microsoft Defender for Office 365.

Hvis din organisation bruger en SIEM-server (security information and event management), kan du integrere Microsoft Defender for Office 365 med din SIEM-server. Du kan konfigurere denne integration ved hjælp af API'en Office 365 Activity Management.

MED SIEM-integration kan du få vist oplysninger, f.eks. malware eller phish, der er registreret af Microsoft Defender for Office 365, i dine SIEM-serverrapporter.

Sådan fungerer SIEM-integration

API'en til Office 365 aktivitetsstyring henter oplysninger om bruger-, administrator-, system- og politikhandlinger og -hændelser fra din organisations Microsoft 365- og Microsoft Entra aktivitetslogge. Hvis din organisation har Microsoft Defender for Office 365 Plan 1 eller 2 eller Office 365 E5, kan du bruge skemaet Microsoft Defender for Office 365.

For nylig blev hændelser fra automatiserede undersøgelses- og svarfunktioner i Microsoft Defender for Office 365 Plan 2 føjet til API'en for Office 365 Management Activity. Ud over at inkludere data om centrale undersøgelsesoplysninger, f.eks. id, navn og status, indeholder API'en også oplysninger på højt niveau om undersøgelseshandlinger og enheder.

SIEM-serveren eller et andet lignende system forespørger den generelle arbejdsbelastning for at få adgang til registreringshændelser. Du kan få mere at vide under Kom i gang med api'er til administration af Office 365.

Enum: AuditLogRecordType – Type: Edm.Int32

AuditLogRecordType

I følgende tabel opsummeres værdierne for AuditLogRecordType, der er relevante for Microsoft Defender for Office 365 hændelser:

Værdi Medlemsnavn Beskrivelse
28 ThreatIntelligence Phishing- og malwarehændelser fra Exchange Online Protection og Microsoft Defender for Office 365.
41 ThreatIntelligenceUrl Safe Links tid-of-block og blokere tilsidesættelse hændelser fra Microsoft Defender for Office 365.
47 ThreatIntelligenceAtpContent Phishing- og malwarehændelser for filer i SharePoint Online, OneDrive for Business og Microsoft Teams fra Microsoft Defender for Office 365.
64 AirInvestigation Automatiserede undersøgelses- og svarhændelser, f.eks. undersøgelsesoplysninger og relevante artefakter, fra Microsoft Defender for Office 365 Plan 2.

Vigtigt!

Du skal enten have rollen Global administrator* eller Sikkerhedsadministrator tildelt for at konfigurere SIEM-integration med Microsoft Defender for Office 365. Du kan få flere oplysninger under Tilladelser på Microsoft Defender-portalen.

*Microsoft anbefaler, at du bruger roller med færrest tilladelser. Brug af konti med lavere tilladelser hjælper med at forbedre sikkerheden for din organisation. Global administrator er en yderst privilegeret rolle, der bør være begrænset til nødsituationer, når du ikke kan bruge en eksisterende rolle.

Overvågningslogføring skal være aktiveret for dit Microsoft 365-miljø (det er som standard slået til). Hvis du vil kontrollere, at overvågningslogføring er slået til, eller hvis du vil aktivere den, skal du se Slå overvågning til eller fra.

Se også

Office 365 trusselsundersøgelse og -reaktion

Automatiseret undersøgelse og reaktion (AIR) i Office 365