다음을 통해 공유

Office 365용 Microsoft Defender SIEM 통합

Office 365용 Microsoft Defender 플랜 2의 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft Defender 포털 평가판 허브에서 90일 Office 365용 Defender 평가판을 사용합니다. Office 365용 Microsoft Defender 시도에서 누가 등록하고 평가판을 사용할 수 있는지에 대해 알아봅니다.

organization SIEM(보안 정보 및 이벤트 관리) 서버를 사용하는 경우 Office 365용 Microsoft Defender SIEM 서버와 통합할 수 있습니다. Office 365 활동 관리 API를 사용하여 이 통합을 설정할 수 있습니다.

SIEM 통합을 사용하면 SIEM 서버 보고서에서 Office 365용 Microsoft Defender 감지한 맬웨어 또는 피싱과 같은 정보를 볼 수 있습니다.

SIEM 통합 작동 방식

Office 365 활동 관리 API는 organization Microsoft 365 및 Microsoft Entra 활동 로그에서 사용자, 관리자, 시스템 및 정책 작업 및 이벤트에 대한 정보를 검색합니다. organization Office 365용 Microsoft Defender 계획 1 또는 2 또는 Office 365 E5 있는 경우 Office 365용 Microsoft Defender 스키마를 사용할 수 있습니다.

최근에 Office 365용 Microsoft Defender 계획 2의 자동 조사 및 응답 기능의 이벤트가 Office 365 관리 활동 API에 추가되었습니다. ID, 이름 및 상태 같은 핵심 조사 세부 정보에 대한 데이터를 포함하는 것 외에도 API에는 조사 작업 및 엔터티에 대한 개략적인 정보도 포함되어 있습니다.

SIEM 서버 또는 기타 유사한 시스템은 audit.general 워크로드를 폴링하여 검색 이벤트에 액세스합니다. 자세한 내용은 Office 365 관리 API 시작을 참조하세요.

열거형: AuditLogRecordType - 형식: Edm.Int32

AuditLogRecordType

다음 표에는 Office 365용 Microsoft Defender 이벤트와 관련된 AuditLogRecordType 값이 요약되어 있습니다.

멤버 이름 설명
28 ThreatIntelligence Exchange Online Protection 및 Office 365용 Microsoft Defender 피싱 및 맬웨어 이벤트
41 ThreatIntelligenceUrl 안전 링크 차단 시간 및 차단 Office 365용 Microsoft Defender 재정의 이벤트.
47 ThreatIntelligenceAtpContent Office 365용 Microsoft Defender SharePoint Online, 비즈니스용 OneDrive 및 Microsoft Teams의 파일에 대한 피싱 및 맬웨어 이벤트입니다.
64 AirInvestigation Office 365용 Microsoft Defender 계획 2의 조사 세부 정보 및 관련 아티팩트와 같은 자동화된 조사 및 응답 이벤트입니다.

중요

Office 365용 Microsoft Defender SIEM 통합을 설정하려면 전역 관리자* 또는 보안 관리자 역할이 할당되어 있어야 합니다. 자세한 내용은 Microsoft Defender 포털의 권한을 참조하세요.

*사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 사용 권한이 낮은 계정을 사용하면 organization 대한 보안을 개선하는 데 도움이 됩니다. 전역 관리자는 기존 역할을 사용할 수 없는 경우 긴급 시나리오로 제한해야 하는 매우 권한이 높은 역할입니다.

Microsoft 365 환경에 대해 감사 로깅을 설정해야 합니다(기본적으로 켜져 있음). 감사 로깅이 켜져 있는지 확인하거나 켜려면 감사 켜기 또는 끄기를 참조하세요.

참고 항목

Office 365 위협 조사 및 응답

Office 365 AIR(자동 조사 및 대응)