Integrazione del server SIEM (Security Information and Event Management) con applicazioni e servizi Microsoft 365
Consiglio
Sapevi che puoi provare gratuitamente le funzionalità in Microsoft Defender per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione in Prova Microsoft Defender per Office 365.
Riepilogo
L'organizzazione sta usando o pianificando di ottenere un server SIEM (Security Information and Event Management)? Ci si potrebbe chiedere come si integra con Microsoft 365 o Office 365. Questo articolo fornisce un elenco di risorse che è possibile usare per integrare il server SIEM con i servizi e le applicazioni di Microsoft 365.
Consiglio
Se non si dispone ancora di un server SIEM e si stanno esplorando le opzioni, prendere in considerazione Microsoft Sentinel.
È necessario un server SIEM?
La necessità di un server SIEM dipende da molti fattori, ad esempio i requisiti di sicurezza dell'organizzazione e la posizione dei dati. Microsoft 365 include un'ampia gamma di funzionalità di sicurezza che soddisfano le esigenze di sicurezza di molte organizzazioni senza server aggiuntivi, ad esempio un server SIEM. Alcune organizzazioni hanno circostanze speciali che richiedono l'uso di un server SIEM. Ecco alcuni esempi:
- Fabrikam ha alcuni contenuti e applicazioni in locale e alcuni nel cloud (hanno una distribuzione cloud ibrida). Per ottenere report di sicurezza per tutti i contenuti e le applicazioni, Fabrikam ha implementato un server SIEM.
- Contoso è un'organizzazione di servizi finanziari con requisiti di sicurezza rigorosi. È stato aggiunto un server SIEM all'ambiente per sfruttare le protezioni di sicurezza aggiuntive necessarie.
Integrazione del server SIEM con Microsoft 365
Un server SIEM può ricevere dati da un'ampia gamma di servizi e applicazioni Microsoft 365. Nella tabella seguente sono elencati diversi servizi e applicazioni di Microsoft 365, insieme agli input e alle risorse del server SIEM per altre informazioni.
| Servizio o applicazione Microsoft 365 | Input/metodi del server SIEM | Risorse per approfondire |
|---|---|---|
| Microsoft Defender per Office 365 | Log di audit | Integrazione SIEM con Microsoft Defender per Office 365 |
| Microsoft Defender per endpoint | Endpoint HTTPS ospitato in Azure API REST |
Eseguire il pull degli avvisi agli strumenti SIEM |
| Microsoft Defender for Cloud Apps | Integrazione dei log | Integrazione di SIEM con Microsoft Defender for Cloud Apps |
Consiglio
Dai un'occhiata a Microsoft Sentinel. Microsoft Sentinel viene fornito con connettori per soluzioni Microsoft. Questi connettori sono disponibili "pronti all'uso" e consentono l'integrazione in tempo reale. È possibile usare Microsoft Sentinel con le soluzioni di Microsoft Defender XDR e i servizi di Microsoft 365, tra cui Office 365, Microsoft Entra ID, Microsoft Defender per identità, Microsoft Defender for Cloud Apps, e altro ancora.
La registrazione di controllo deve essere attivata
Assicurarsi che la registrazione di controllo sia attivata prima di configurare l'integrazione del server SIEM:
- Per SharePoint, OneDrive e Microsoft Entra ID, vedere Attivare o disattivare il controllo.
- Per Exchange Online, vedere Gestire il controllo delle cassette postali.
Passaggi di integrazione se SIEM è Microsoft Sentinel
Verificare i requisiti seguenti:
- L'abbonamento corrente a Microsoft 365 (ad esempio, Microsoft Defender per Office 365 Piano 2) consente l'integrazione Microsoft Sentinel.
- L'account in Microsoft Defender per Office 365 o Microsoft Defender XDR è un amministratore della sicurezza.
- Verificare di disporre delle autorizzazioni di scrittura in Microsoft Sentinel.
Passare a Microsoft Sentinel.
Nel riquadro di spostamento a sinistra della schermataConnettori dati di configurazione>.
Cercare Microsoft Defender XDR e selezionare il connettore Microsoft Defender XDR (anteprima).
A destra della schermata selezionare Apri pagina connettore.
In Configurazione> selezionare Connetti eventi imprevisti & avvisi
Disattiva tutte le regole di creazione di eventi imprevisti Microsoft per i prodotti attualmente selezionati.
Scorrere fino a Microsoft Defender per Office 365 nella sezione Connetti eventi della pagina.
È possibile scegliere tabelle da qualsiasi altro prodotto Microsoft Defender che si ritiene utile e applicabile durante il completamento del passaggio finale seguente:
Selezionare EmailEvents, EmailUrlInfo, EmailAttachmentInfo e EmailPostDeliveryEvents> e Applica modifiche.
Altre risorse
Integrare soluzioni di sicurezza in Microsoft Defender per il cloud
Integrare gli avvisi di Microsoft Graph API Sicurezza con un SIEM