SIEM-integratie met Microsoft Defender voor Office 365
Tip
Wist u dat u de functies in Microsoft Defender voor Office 365 Abonnement 2 gratis kunt uitproberen? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en proefabonnementen kan uitvoeren op Try Microsoft Defender voor Office 365.
Als uw organisatie een SIEM-server (Security Information and Event Management) gebruikt, kunt u Microsoft Defender voor Office 365 integreren met uw SIEM-server. U kunt deze integratie instellen met behulp van de Office 365 Activity Management-API.
Met SIEM-integratie kunt u informatie, zoals malware of phish gedetecteerd door Microsoft Defender voor Office 365, weergeven in uw SIEM-serverrapporten.
- Zie Microsoft Security Blog - Verbeter de effectiviteit van uw SOC met Defender voor Office 365 en de O365 Management API voor een voorbeeld van SIEM-integratie met Microsoft Defender voor Office 365.
- Zie overzicht van Office 365 management-API's voor meer informatie over de Office 365 Management-API's.
Hoe SIEM-integratie werkt
De Office 365 Activity Management-API haalt informatie op over gebruikers-, beheerders-, systeem- en beleidsacties en -gebeurtenissen uit de Microsoft 365- en Microsoft Entra-activiteitenlogboeken van uw organisatie. Als uw organisatie Microsoft Defender for Office 365 Plan 1 of 2 of Office 365 E5 heeft, kunt u het Microsoft Defender voor Office 365-schema gebruiken.
Onlangs zijn gebeurtenissen uit geautomatiseerde onderzoeks- en reactiemogelijkheden in Microsoft Defender voor Office 365 Plan 2 toegevoegd aan de Office 365 Management Activity-API. Naast het opnemen van gegevens over details van kernonderzoek, zoals id, naam en status, bevat de API ook informatie op hoog niveau over onderzoeksacties en entiteiten.
De SIEM-server of een ander soortgelijk systeem peilt de workload audit.general om toegang te krijgen tot detectiegebeurtenissen. Zie Aan de slag met Office 365 Management-API's voor meer informatie.
Enum: AuditLogRecordType - Type: Edm.Int32
AuditLogRecordType
De volgende tabel bevat een overzicht van de waarden van AuditLogRecordType die relevant zijn voor Microsoft Defender voor Office 365 gebeurtenissen:
| Waarde | Lidnaam | Beschrijving |
|---|---|---|
| 28 | ThreatIntelligence | Phishing- en malware-gebeurtenissen van Exchange Online Protection en Microsoft Defender voor Office 365. |
| 41 | ThreatIntelligenceUrl | Veilige koppelingen time-of-block- en blok-onderdrukkingsgebeurtenissen van Microsoft Defender voor Office 365. |
| 47 | ThreatIntelligenceAtpContent | Phishing- en malware-gebeurtenissen voor bestanden in SharePoint Online, OneDrive voor Bedrijven en Microsoft Teams, van Microsoft Defender voor Office 365. |
| 64 | AirInvestigation | Geautomatiseerde onderzoeks- en reactie-gebeurtenissen, zoals onderzoeksdetails en relevante artefacten, van Microsoft Defender voor Office 365 Plan 2. |
Belangrijk
U moet de rol Globale beheerder* of Beveiligingsbeheerder hebben toegewezen om SIEM-integratie met Microsoft Defender voor Office 365 in te stellen. Zie Machtigingen in de Microsoft Defender portal voor meer informatie.
*Microsoft raadt u aan rollen te gebruiken met de minste machtigingen. Het gebruik van accounts met lagere machtigingen helpt de beveiliging voor uw organisatie te verbeteren. Globale beheerder is een zeer bevoorrechte rol die moet worden beperkt tot scenario's voor noodgevallen wanneer u een bestaande rol niet kunt gebruiken.
Auditlogboekregistratie moet zijn ingeschakeld voor uw Microsoft 365-omgeving (standaard ingeschakeld). Zie Controle in- of uitschakelen om te controleren of auditlogboekregistratie is ingeschakeld of om dit in te schakelen.