セキュリティ情報およびイベント管理 (SIEM) サーバーと Microsoft 365 サービスおよびアプリケーションの統合
ヒント
Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。
概要
セキュリティ情報とイベント管理 (SIEM) サーバーを使用または取得する計画を立てorganizationですか? Microsoft 365 または Office 365と統合する方法を疑問に思うかもしれません。 この記事では、SIEM サーバーを Microsoft 365 のサービスとアプリケーションと統合するために使用できるリソースの一覧を提供します。
ヒント
SIEM サーバーがまだお持ちで、オプションを検討している場合は、Microsoft Sentinel検討してください。
SIEM サーバーは必要ですか?
SIEM サーバーが必要かどうかは、organizationのセキュリティ要件やデータが存在する場所など、さまざまな要因によって異なります。 Microsoft 365 には、SIEM サーバーなどの追加サーバーを使用せずに、多くの組織のセキュリティ ニーズを満たすさまざまなセキュリティ機能が含まれています。 一部の組織では、SIEM サーバーの使用を必要とする特別な状況があります。 次に、いくつかの例を示します:
- Fabrikam には、オンプレミスのコンテンツとアプリケーションと、クラウド内の一部 (ハイブリッド クラウドデプロイがある) があります。 すべてのコンテンツとアプリケーションのセキュリティ レポートを取得するために、Fabrikam は SIEM サーバーを実装しました。
- Contoso は、厳しいセキュリティ要件を持つ金融サービス organizationです。 必要な追加のセキュリティ保護を利用するために、SIEM サーバーを環境に追加しました。
SIEM サーバーと Microsoft 365 の統合
SIEM サーバーは、さまざまな Microsoft 365 サービスとアプリケーションからデータを受信できます。 次の表に、いくつかの Microsoft 365 サービスとアプリケーションと、SIEM サーバーの入力とリソースを示します。
| Microsoft 365 サービスまたはアプリケーション | SIEM サーバーの入力/メソッド | 追加情報 |
|---|---|---|
| Microsoft Defender for Office 365 | 監査ログ | SIEM とMicrosoft Defender for Office 365の統合 |
| Microsoft Defender for Endpoint | Azure でホストされる HTTPS エンドポイント REST API |
SIEM ツールにアラートをプルする |
| Microsoft Defender for Cloud Apps | ログ統合 | SIEM とMicrosoft Defender for Cloud Appsの統合 |
ヒント
Microsoft Sentinelを見てみましょう。 Microsoft Sentinelには、Microsoft ソリューション用のコネクタが付属しています。 これらのコネクタは「すぐに使用できる」ものであり、リアルタイムの統合を提供します。 Office 365、Microsoft Entra ID、Microsoft Defender for Identityなど、Microsoft Defender XDR ソリューションと Microsoft 365 サービスでMicrosoft Sentinelを使用できます。Microsoft Defender for Cloud Appsなど。
監査ログを有効にする必要がある
SIEM サーバー統合を構成する前に、監査ログがオンになっていることを確認します。
- SharePoint、OneDrive、Microsoft Entra IDについては、「監査のオンとオフを切り替える」を参照してください。
- Exchange Onlineについては、「メールボックス監査の管理」を参照してください。
SIEM がMicrosoft Sentinelされている場合の統合手順
次の要件を確認します。
- 現在の Microsoft 365 サブスクリプション (Microsoft Defender for Office 365 プラン 2 など) では、Microsoft Sentinel統合が可能です。
- Microsoft Defender for Office 365またはMicrosoft Defender XDRのアカウントはセキュリティ管理者です。
- Microsoft Sentinelに書き込みアクセス許可があることを確認します。
[Microsoft Sentinel] に移動します。
画面の左側のナビゲーションで [構成>Data コネクタ] を選択します。
Microsoft Defender XDRを検索し、Microsoft Defender XDR (プレビュー) コネクタを選択します。
画面の右側にある [ コネクタ ページを開く] を選択します。
[構成] で>[インシデント & アラートの接続] を選択します。
現在選択されている製品のすべての Microsoft インシデント作成ルールをオフにします。
ページの [Connect events]\(イベントの接続\) セクションでMicrosoft Defender for Office 365までスクロールします。
次の最後の手順を完了すると、役に立ち、適用可能なその他のMicrosoft Defender製品からテーブルを選択できます。
[EmailEvents]、[EmailUrlInfo]、[EmailAttachmentInfo]、[EmailPostDeliveryEvents] の順に選択し>変更を適用します。