Intégration de SIEM à Microsoft Defender pour Office 365
Conseil
Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Try Microsoft Defender pour Office 365.
Si votre organization utilise un serveur SIEM (Security Information and Event Management), vous pouvez intégrer Microsoft Defender pour Office 365 à votre serveur SIEM. Vous pouvez configurer cette intégration à l’aide de l’API Office 365 Activity Management.
L’intégration SIEM vous permet d’afficher des informations, telles que des programmes malveillants ou des hameçonnages détectés par Microsoft Defender pour Office 365, dans vos rapports de serveur SIEM.
- Pour voir un exemple d’intégration SIEM à Microsoft Defender pour Office 365, consultez blog sécurité Microsoft - Améliorer l’efficacité de votre SOC avec Defender for Office 365 et l’API de gestion O365.
- Pour en savoir plus sur les API de gestion Office 365, consultez Vue d’ensemble des API de gestion Office 365.
Fonctionnement de l’intégration SIEM
L’API de gestion des activités Office 365 récupère des informations sur les actions et les événements des utilisateurs, des administrateurs, du système et des stratégies à partir des journaux d’activité Microsoft 365 et Microsoft Entra de votre organization. Si votre organization a Microsoft Defender for Office 365 Plan 1, 2 ou Office 365 E5, vous pouvez utiliser le schéma Microsoft Defender pour Office 365.
Récemment, des événements provenant des fonctionnalités d’investigation et de réponse automatisées dans Microsoft Defender pour Office 365 Plan 2 ont été ajoutés à l’API d’activité de gestion Office 365. En plus d’inclure des données sur les principaux détails d’investigation tels que l’ID, le nom et le status, l’API contient également des informations générales sur les actions et les entités d’investigation.
Le serveur SIEM ou un autre système similaire interroge la charge de travail audit.general pour accéder aux événements de détection. Pour plus d’informations, consultez Prise en main des API de gestion Office 365.
Énumération : AuditLogRecordType - Type : Edm.Int32
AuditLogRecordType
Le tableau suivant récapitule les valeurs de AuditLogRecordType qui sont pertinentes pour les événements Microsoft Defender pour Office 365 :
| Valeur | Nom du membre | Description |
|---|---|---|
| 28 | ThreatIntelligence | Événements de hameçonnage et de programmes malveillants depuis Exchange Online Protection et Microsoft Defender pour Office 365. |
| 41 | ThreatIntelligenceUrl | Temps de blocage des liens sécurisés et événements de remplacement de blocage à partir de Microsoft Defender pour Office 365. |
| 47 | ThreatIntelligenceAtpContent | Événements d’hameçonnage et de programmes malveillants pour les fichiers dans SharePoint Online, OneDrive Entreprise et Microsoft Teams, à partir de Microsoft Defender pour Office 365. |
| 64 | AirInvestigation | Événements d’investigation et de réponse automatisés, tels que les détails d’investigation et les artefacts pertinents, de Microsoft Defender pour Office 365 Plan 2. |
Importante
Vous devez disposer du rôle Administrateur* général ou Administrateur de la sécurité pour configurer l’intégration SIEM à Microsoft Defender pour Office 365. Pour plus d’informations, consultez Autorisations dans le portail Microsoft Defender.
*Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. L’utilisation de comptes avec autorisation inférieure permet d’améliorer la sécurité de vos organization. Le rôle d’administrateur général dispose de privilèges élevés. Il doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.
La journalisation d’audit doit être activée pour votre environnement Microsoft 365 (elle est activée par défaut). Pour vérifier que la journalisation d’audit est activée ou pour l’activer, consultez Activer ou désactiver l’audit.