Intégration du serveur SIEM (Security Information and Event Management) aux services et applications Microsoft 365
Conseil
Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Try Microsoft Defender pour Office 365.
Résumé
Votre organization utilise-t-il ou envisage-t-il d’obtenir un serveur SIEM (Security Information and Event Management) ? Vous vous demandez peut-être comment il s’intègre à Microsoft 365 ou Office 365. Cet article fournit la liste des ressources que vous pouvez utiliser pour intégrer votre serveur SIEM aux services et applications Microsoft 365.
Conseil
Si vous n’avez pas encore de serveur SIEM et que vous explorez vos options, envisagez Microsoft Sentinel.
Ai-je besoin d’un serveur SIEM ?
Si vous avez besoin d’un serveur SIEM dépend de nombreux facteurs, tels que les exigences de sécurité de votre organization et l’emplacement où résident vos données. Microsoft 365 inclut un large éventail de fonctionnalités de sécurité qui répondent aux besoins de sécurité de nombreuses organisations sans serveurs supplémentaires, tels qu’un serveur SIEM. Certaines organisations ont des circonstances particulières qui nécessitent l’utilisation d’un serveur SIEM. Voici quelques exemples :
- Fabrikam a du contenu et des applications localement, et d’autres dans le cloud (ils ont un déploiement cloud hybride). Pour obtenir des rapports de sécurité pour l’ensemble de leur contenu et de leurs applications, Fabrikam a implémenté un serveur SIEM.
- Contoso est un organization de services financiers qui a des exigences de sécurité strictes. Ils ont ajouté un serveur SIEM à leur environnement pour tirer parti des protections de sécurité supplémentaires dont ils ont besoin.
Intégration du serveur SIEM à Microsoft 365
Un serveur SIEM peut recevoir des données d’un large éventail de services et d’applications Microsoft 365. Le tableau suivant répertorie plusieurs services et applications Microsoft 365, ainsi que les entrées et ressources du serveur SIEM pour en savoir plus.
| Service ou application Microsoft 365 | Entrées/méthodes du serveur SIEM | Ressources pour en savoir plus |
|---|---|---|
| Microsoft Defender pour Office 365 | Journaux d’audit | Intégration de SIEM à Microsoft Defender pour Office 365 |
| Microsoft Defender pour point de terminaison | Point de terminaison HTTPS hébergé dans Azure API REST |
Tirer des alertes vers vos outils SIEM |
| Microsoft Defender for Cloud Apps | Intégration des journaux | Intégration de SIEM à Microsoft Defender for Cloud Apps |
Conseil
Jetez un coup d’œil à Microsoft Sentinel. Microsoft Sentinel est fourni avec des connecteurs pour les solutions Microsoft. Ces connecteurs sont disponibles « prêtes à l’emploi » et permettent une intégration en temps réel. Vous pouvez utiliser Microsoft Sentinel avec vos solutions de Microsoft Defender XDR et les services Microsoft 365, notamment Office 365, Microsoft Entra ID, Microsoft Defender pour Identity, Microsoft Defender for Cloud Apps, et bien plus encore.
La journalisation d’audit doit être activée
Assurez-vous que la journalisation d’audit est activée avant de configurer l’intégration du serveur SIEM :
- Pour SharePoint, OneDrive et Microsoft Entra ID, voir Activer ou désactiver l’audit.
- Pour Exchange Online, consultez Gérer l’audit des boîtes aux lettres.
Étapes d’intégration si votre SIEM est Microsoft Sentinel
Vérifiez les conditions suivantes :
- Votre abonnement Microsoft 365 actuel (par exemple, Microsoft Defender pour Office 365 Plan 2) permet l’intégration Microsoft Sentinel.
- Votre compte dans Microsoft Defender pour Office 365 ou Microsoft Defender XDR est un administrateur de la sécurité.
- Vérifiez que vous disposez des autorisations d’écriture dans Microsoft Sentinel.
Accédez à Microsoft Sentinel.
Sur la navigation à gauche de l’écranConnecteurs de donnéesde configuration>.
Recherchez Microsoft Defender XDR et sélectionnez le connecteur Microsoft Defender XDR (préversion).
À droite de votre écran, sélectionnez Ouvrir la page du connecteur.
Sous Configuration> , sélectionnez Connecter les incidents & alertes
Désactivez toutes les règles de création d’incidents Microsoft pour les produits actuellement sélectionnés.
Faites défiler jusqu’à Microsoft Defender pour Office 365 dans la section Connecter les événements de la page.
Vous pouvez choisir des tables à partir de n’importe quel autre produit Microsoft Defender que vous trouvez utile et applicable en effectuant l’étape finale suivante :
Sélectionnez EmailEvents, EmailUrlInfo, EmailAttachmentInfo et EmailPostDeliveryEvents et Appliquer les> modifications.
Plus de ressources
Intégrer des solutions de sécurité dans Microsoft Defender pour le cloud
Intégrer les alertes de l’API de sécurité Microsoft Graph avec des technologies SIEM