SIEM とMicrosoft Defender for Office 365の統合

• 適用対象:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

ヒント

Microsoft Defender for Office 365プラン2の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。

organizationがセキュリティ情報とイベント管理 (SIEM) サーバーを使用している場合は、Microsoft Defender for Office 365を SIEM サーバーと統合できます。 この統合は、Office 365 Activity Management API を使用して設定できます。

SIEM 統合を使用すると、Microsoft Defender for Office 365によって検出されたマルウェアやフィッシングなどの情報を SIEM サーバー レポートに表示できます。

• SIEM とMicrosoft Defender for Office 365の統合の例については、「Microsoft セキュリティ ブログ - Defender for Office 365と O365 Management API を使用して SOC の有効性を向上させる」を参照してください。
• Office 365管理 API の詳細については、「Office 365管理 API の概要」を参照してください。

SIEM 統合のしくみ

Office 365 Activity Management API は、ユーザー、管理者、システム、ポリシーのアクションとイベントに関する情報を、organizationの Microsoft 365 およびMicrosoft Entra アクティビティ ログから取得します。 organizationにMicrosoft Defender for Office 365 プラン 1または 2、またはOffice 365 E5がある場合は、Microsoft Defender for Office 365 スキーマを使用できます。

最近、Office 365 Management Activity API には、Microsoft Defender for Office 365 プラン 2 の自動調査と対応機能からのイベントが追加されました。 ID、名前、状態などの主要な調査の詳細に関するデータを含めるだけでなく、API には調査アクションとエンティティに関する高レベルの情報も含まれています。

SIEM サーバーまたはその他の同様のシステムは、検出イベントにアクセスするために audit.general ワークロードをポーリングします。 詳細については、「Office 365管理 API の概要」を参照してください。

列挙値: AuditLogRecordType - 型: Edm.Int32

AuditLogRecordType

次の表は、Microsoft Defender for Office 365 イベントに関連する AuditLogRecordType の値をまとめたものです。

値	メンバ名	説明
28	ThreatIntelligence	Exchange Online Protection と Microsoft Defender for Office 365 からのフィッシングとマルウェアのイベント。
41	ThreatIntelligenceUrl	セーフ リンクのブロック時間とブロックの時間は、Microsoft Defender for Office 365からのオーバーライド イベントです。
47	ThreatIntelligenceAtpContent	Microsoft Defender for Office 365からの SharePoint Online、OneDrive for Business、Microsoft Teams内のファイルのフィッシングおよびマルウェア イベント。
64	AIR 調査	Microsoft Defender for Office 365 Plan 2 の調査の詳細や関連する成果物などの自動調査と対応イベント。

重要

SIEM とMicrosoft Defender for Office 365の統合を設定するには、グローバル管理者^*またはセキュリティ管理者ロールが割り当てられている必要があります。 詳細については、「Microsoft Defender ポータルのアクセス許可」を参照してください。

^*Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。

Microsoft 365 環境で監査ログを有効にする必要があります (既定ではオンになっています)。 監査ログが有効になっていることを確認するか、有効にするには、「 監査のオンとオフを切り替える」を参照してください。

関連項目

Office 365 脅威の調査および対応

Office 365 での自動調査および対応 (AIR)