SIEM-integrering med Microsoft Defender for Office 365
Tips
Visste du at du kan prøve funksjonene i Microsoft Defender for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Lær om hvem som kan registrere deg og prøveabonnementer på Prøv Microsoft Defender for Office 365.
Hvis organisasjonen bruker en SIEM-server (Security Information and Event Management), kan du integrere Microsoft Defender for Office 365 med SIEM-serveren. Du kan konfigurere denne integreringen ved hjelp av API-en for Office 365 Activity Management.
SIEM-integrering gjør det mulig å vise informasjon, for eksempel skadelig programvare eller phish oppdaget av Microsoft Defender for Office 365, i SIEM-serverrapportene.
- Hvis du vil se et eksempel på SIEM-integrering med Microsoft Defender for Office 365, kan du se Tech Community-bloggen: Forbedre effektiviteten til SOC med Defender for Office 365 og API-en for O365 Management.
- Hvis du vil ha mer informasjon om API-ene for Office 365 Management, kan du se Office 365 Oversikt over API-er for administrasjon.
Slik fungerer SIEM-integrering
API-en for Office 365 Activity Management henter informasjon om bruker-, administrator-, system- og policyhandlinger og -hendelser fra organisasjonens aktivitetslogger for Microsoft 365 og Microsoft Entra. Hvis organisasjonen har Microsoft Defender for Office 365-pakke 1 eller 2, eller Office 365 E5, kan du bruke Microsoft Defender for Office 365-skjemaet.
Nylig ble hendelser fra automatiserte undersøkelses- og svarfunksjoner i Microsoft Defender for Office 365 Plan 2 lagt til i API-en for Office 365 Management Activity. I tillegg til å inkludere data om kjerneundersøkelsesdetaljer som ID, navn og status, inneholder API-en også informasjon på høyt nivå om undersøkelseshandlinger og enheter.
SIEM-serveren eller andre lignende system avspørrer audit.general-arbeidsbelastningen for å få tilgang til gjenkjenningshendelser. Hvis du vil ha mer informasjon, kan du se Komme i gang med API-er for administrasjon av Office 365.
Enum: AuditLogRecordType - Type: Edm.Int32
AuditLogRecordType
Tabellen nedenfor oppsummerer verdiene i AuditLogRecordType som er relevante for Microsoft Defender for Office 365 hendelser:
| Verdi | Medlemsnavn | Beskrivelse |
|---|---|---|
| 28 | ThreatIntelligence | Phishing- og skadelig programvarehendelser fra Exchange Online Protection og Microsoft Defender for Office 365. |
| 41 | ThreatIntelligenceUrl | Klarerte koblinger tid for blokkering og blokkering overstyrer hendelser fra Microsoft Defender for Office 365. |
| 47 | ThreatIntelligenceAtpContent | Phishing- og skadelig programvarehendelser for filer i SharePoint Online, OneDrive for Business og Microsoft Teams, fra Microsoft Defender for Office 365. |
| 64 | AirInvestigation | Automatiserte undersøkelses- og responshendelser, for eksempel undersøkelsesdetaljer og relevante artefakter, fra Microsoft Defender for Office 365 Plan 2. |
Viktig
Du må enten ha rollen global administrator* eller sikkerhetsadministrator tilordnet for å konfigurere SIEM-integrering med Microsoft Defender for Office 365. Hvis du vil ha mer informasjon, kan du se Tillatelser i Microsoft Defender-portalen.
*Microsoft anbefaler at du bruker roller med færrest tillatelser. Bruk av kontoer med lavere tillatelser bidrar til å forbedre sikkerheten for organisasjonen. Global administrator er en svært privilegert rolle som bør begrenses til nødscenarioer når du ikke kan bruke en eksisterende rolle.
Overvåkingslogging må være aktivert for Microsoft 365-miljøet (det er aktivert som standard). Hvis du vil kontrollere at overvåkingslogging er aktivert eller aktiverer den, kan du se Aktivere eller deaktivere overvåking.