Integrering av siem-server (Security Information and Event Management) med Microsoft 365-tjenester og -programmer
Tips
Visste du at du kan prøve funksjonene i Microsoft Defender for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Lær om hvem som kan registrere deg og prøveabonnementer på Prøv Microsoft Defender for Office 365.
Sammendrag
Bruker eller planlegger organisasjonen å få en SIEM-server (Security Information and Event Management) ? Du lurer kanskje på hvordan det integreres med Microsoft 365 eller Office 365. Denne artikkelen inneholder en liste over ressurser du kan bruke til å integrere SIEM-serveren med Microsoft 365-tjenester og -programmer.
Tips
Hvis du ikke har en SIEM-server ennå og utforsker alternativene dine, bør du vurdere Microsoft Sentinel.
Trenger jeg en SIEM-server?
Hvorvidt du trenger en SIEM-server, avhenger av mange faktorer, for eksempel organisasjonens sikkerhetskrav og hvor dataene befinner seg. Microsoft 365 inkluderer en rekke sikkerhetsfunksjoner som oppfyller mange organisasjoners sikkerhetsbehov uten flere servere, for eksempel en SIEM-server. Noen organisasjoner har spesielle omstendigheter som krever bruk av en SIEM-server. Her er noen eksempler:
- Fabrikam har noe innhold og programmer lokalt, og noen i skyen (de har en hybrid skydistribusjon). Fabrikam implementerte en SIEM-server for å få sikkerhetsrapporter for alt innholdet og programmene sine.
- Contoso er en organisasjon for finansielle tjenester som har strenge sikkerhetskrav. De har lagt til en SIEM-server i miljøet for å dra nytte av de ekstra sikkerhetsbeskyttelsene de trenger.
SIEM-serverintegrasjon med Microsoft 365
En SIEM-server kan motta data fra en rekke Microsoft 365-tjenester og -programmer. Tabellen nedenfor viser flere Microsoft 365-tjenester og -programmer, sammen med SIEM-serverinndata og ressurser for å finne ut mer.
| Microsoft 365-tjeneste eller -program | SIEM-serverinndata/-metoder | Ressurser for å finne ut mer |
|---|---|---|
| Microsoft Defender for Office 365 | Overvåkingslogger | SIEM-integrering med Microsoft Defender for Office 365 |
| Microsoft Defender for endepunkt | HTTPS-endepunkt driftet i Azure REST-API |
Hente varsler til SIEM-verktøyene |
| Microsoft Defender for skyapper | Loggintegrering | SIEM-integrering med Microsoft Defender for Cloud Apps |
Tips
Ta en titt på Microsoft Sentinel. Microsoft Sentinel leveres med koblinger for Microsoft-løsninger. Disse koblingene er tilgjengelige «ute av esken» og sørger for sanntidsintegrasjon. Du kan bruke Microsoft Sentinel med Microsoft Defender XDR løsninger og Microsoft 365-tjenester, inkludert Office 365, Microsoft Entra ID, Microsoft Defender for identitet Microsoft Defender for Cloud Apps og mer.
Overvåkingslogging må være aktivert
Kontroller at overvåkingslogging er aktivert før du konfigurerer SIEM-serverintegrering:
- For SharePoint, OneDrive og Microsoft Entra ID kan du se Aktivere eller deaktivere overvåking.
- Hvis du vil ha Exchange Online, kan du se Behandle overvåking av postboks.
Integreringstrinn hvis SIEM er Microsoft Sentinel
Kontroller følgende krav:
- Det gjeldende Microsoft 365-abonnementet (for eksempel Microsoft Defender for Office 365 Plan 2) tillater Microsoft Sentinel integrering.
- Kontoen din i Microsoft Defender for Office 365 eller Microsoft Defender XDR er en sikkerhetsadministrator.
- Kontroller at du har skrivetilgang i Microsoft Sentinel.
Gå til Microsoft Sentinel.
På navigasjonen til venstre for skjermenkonfigurasjonsdatakoblinger>.
Søk etter Microsoft Defender XDR, og velg koblingen Microsoft Defender XDR (forhåndsvisning).
Velg Åpne koblingsside til høyre på skjermen.
Velg Koble til hendelser & varsler underKonfigurasjon>
Deaktiver alle regler for oppretting av Microsoft-hendelser for produktene som for øyeblikket er valgt.
Rull for å Microsoft Defender for Office 365 i delen Koble til hendelser på siden.
Du kan velge tabeller fra et annet Microsoft Defender produkt du synes er nyttig og aktuelt når du fullfører følgende siste trinn:
Velg EmailEvents, EmailUrlInfo, EmailAttachmentInfo og EmailPostDeliveryEvents> og Bruk endringer.