Suojaustietojen ja tapahtumien hallinnan (SIEM) palvelinintegraatio Microsoft 365 -palveluiden ja -sovellusten kanssa

• Koskee seuraavia::

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Vihje

Tiesitkö, että voit kokeilla Microsoft Defender for Office 365 palvelupaketin 2 ominaisuuksia maksutta? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lisätietoja siitä, ketkä voivat rekisteröityä ja kokeilla käyttöehtoja, on artikkelissa Kokeile Microsoft Defender for Office 365.

Yhteenveto

Käyttääkö tai suunnitteleeko organisaatiosi suojaustietojen ja tapahtumien hallinnan (SIEM) palvelimen hankkimista? Saatat ihmetellä, miten se integroituu Microsoft 365:een tai Office 365. Tässä artikkelissa on luettelo resursseista, joiden avulla voit integroida SIEM-palvelimesi Microsoft 365 -palveluihin ja -sovelluksiin.

Vihje

Jos sinulla ei vielä ole SIEM-palvelinta ja tutkit vaihtoehtojasi, harkitse Microsoft Sentinel.

Tarvitsenko SIEM-palvelimen?

Se, tarvitsetko SIEM-palvelimen, riippuu useista tekijöistä, kuten organisaatiosi suojausvaatimuksista ja siitä, missä tietosi sijaitsevat. Microsoft 365 sisältää useita erilaisia suojausominaisuuksia, jotka vastaavat monien organisaatioiden suojaustarpeita ilman muita palvelimia, kuten SIEM-palvelinta. Joissakin organisaatioissa on erityisolosuhteita, jotka edellyttävät SIEM-palvelimen käyttöä. Seuraavassa on joitakin esimerkkejä:

• Fabrikam sisältää sisältöä ja sovelluksia paikallisesti ja joitakin pilvipalveluita (niillä on hybridipilvikäyttöönotto). Fabrikam otti käyttöön SIEM-palvelimen saadakseen suojausraportteja kaikesta sisällöstään ja sovelluksistaan.
• Contoso on rahoituspalvelujen organisaatio, jolla on tiukat suojausvaatimukset. He lisäsivät SIEM-palvelimen ympäristöönsä, jotta he voivat hyödyntää tarvitsemiaan ylimääräisiä suojaustoimia.

SIEM-palvelimen integrointi Microsoft 365:n kanssa

SIEM-palvelin voi vastaanottaa tietoja monista eri Microsoft 365 -palveluista ja -sovelluksista. Seuraavassa taulukossa on lueteltu useita Microsoft 365 -palveluita ja -sovelluksia sekä SIEM-palvelimen syötteet ja resurssit, joiden avulla saat lisätietoja.

Microsoft 365 -palvelu tai -sovellus	SIEM-palvelimen syötteet/menetelmät	Lisätietoja resursseista
Microsoft Defender for Office 365	Valvontalokit	SIEM-integrointi Microsoft Defender for Office 365 kanssa
Microsoft Defender for Endpoint	Azuressa isännöity HTTPS-päätepiste REST-ohjelmointirajapinta	Vastaanotusilmoitukset SIEM-työkaluihin
Microsoft Defender for Cloud Apps	Lokin integrointi	SIEM-integrointi Microsoft Defender for Cloud Apps kanssa

Vihje

Katso Microsoft Sentinel. Microsoft Sentinel mukana toimitetaan Microsoft-ratkaisujen liittimet. Nämä liittimet ovat käytettävissä "käyttövalmiina", ja ne mahdollistavat reaaliaikaisen integroinnin. Voit käyttää Microsoft Sentinel Microsoft Defender XDR-ratkaisuissasi ja Microsoft 365 -palveluissasi, mukaan lukien Office 365, Microsoft Entra ID, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps ja paljon muuta.

Valvontaloki on otettava käyttöön

Varmista, että valvontaloki on käytössä, ennen kuin määrität SIEM-palvelimen integroinnin:

• Lisätietoja SharePointista, OneDrivesta ja Microsoft Entra ID on kohdassa Valvonnan ottaminen käyttöön tai poistaminen käytöstä.
• Katso Exchange Online kohdasta Postilaatikoiden valvonnan hallinta.

Integroinnin vaiheet, jos siem on Microsoft Sentinel

Tarkista seuraavat vaatimukset:

• Nykyinen Microsoft 365 -tilauksesi (esimerkiksi Microsoft Defender for Office 365 palvelupaketti 2) mahdollistaa Microsoft Sentinel integroinnin.
• Microsoft Defender for Office 365 tai Microsoft Defender XDR oleva tilisi on suojauksen järjestelmänvalvoja.
• Varmista, että sinulla on kirjoitusoikeudet Microsoft Sentinel.

1. Siirry Microsoft Sentinel.

2. Näytön vasemmalla puolellakokoonpanotietojen> yhdistimet.

3. Hae Microsoft Defender XDR ja valitse Microsoft Defender XDR (esikatselu) -liitin.

4. Valitse näytön oikeassa reunassa Avaa liitinsivu.

5. Valitse Määritykset-kohdassa>Yhdistä tapaukset & hälytykset

   Poista käytöstä kaikki Microsoftin tapausten luontisäännöt tällä hetkellä valituissa tuotteissa.

6. Vieritä sivun Yhdistä tapahtumat -osiossa kohtaan Microsoft Defender for Office 365.

   Voit valita taulukoita mistä tahansa muusta Microsoft Defender tuotteesta, josta pidät hyödyllisenä ja soveltuvana seuraavan viimeisen vaiheen suorittamisen aikana:

7. Valitse EmailEvents, EmailUrlInfo, EmailAttachmentInfo ja EmailPostDeliveryEvents> ja Ota muutokset käyttöön.

Lisäresursseja

Suojausratkaisujen integrointi Microsoft Defender for Cloudissa

Microsoft Graphin suojauksen ohjelmointirajapinta ilmoitusten integrointi SIEM:n kanssa