Integracja serwera usługi Security Information and Event Management (SIEM) z usługami i aplikacjami platformy Microsoft 365

• Dotyczy:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w planie Ochrona usługi Office 365 w usłudze Microsoft Defender 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Ochrona usługi Office 365 w usłudze Microsoft Defender.

Podsumowanie

Czy Twoja organizacja korzysta z serwera SIEM (Security Information and Event Management) lub planuje go pobrać? Być może zastanawiasz się, jak integruje się z platformą Microsoft 365 lub Office 365. Ten artykuł zawiera listę zasobów, których można użyć do integracji serwera SIEM z usługami i aplikacjami platformy Microsoft 365.

Porada

Jeśli nie masz jeszcze serwera SIEM i eksplorujesz swoje opcje, rozważ Microsoft Sentinel.

Czy potrzebuję serwera SIEM?

To, czy potrzebujesz serwera SIEM, zależy od wielu czynników, takich jak wymagania dotyczące zabezpieczeń organizacji i miejsce, w którym znajdują się dane. Platforma Microsoft 365 oferuje szeroką gamę funkcji zabezpieczeń, które spełniają potrzeby wielu organizacji w zakresie zabezpieczeń bez dodatkowych serwerów, takich jak serwer SIEM. Niektóre organizacje mają specjalne okoliczności, które wymagają użycia serwera SIEM. Oto kilka przykładów:

• Firma Fabrikam ma lokalną zawartość i aplikacje, a niektóre w chmurze (mają wdrożenie chmury hybrydowej). Aby uzyskać raporty zabezpieczeń dla całej zawartości i aplikacji, firma Fabrikam zaimplementował serwer SIEM.
• Contoso to organizacja usług finansowych, która ma rygorystyczne wymagania dotyczące zabezpieczeń. Dodali serwer SIEM do swojego środowiska, aby skorzystać z dodatkowych wymaganych zabezpieczeń.

Integracja serwera SIEM z platformą Microsoft 365

Serwer SIEM może odbierać dane z wielu różnych usług i aplikacji platformy Microsoft 365. W poniższej tabeli wymieniono kilka usług i aplikacji platformy Microsoft 365 oraz dane wejściowe i zasoby serwera SIEM, aby dowiedzieć się więcej.

Usługa lub aplikacja platformy Microsoft 365	Dane wejściowe/metody serwera SIEM	Zasoby, aby dowiedzieć się więcej
Ochrona usługi Office 365 w usłudze Microsoft Defender	Dzienniki inspekcji	Integracja rozwiązania SIEM z Ochrona usługi Office 365 w usłudze Microsoft Defender
Ochrona punktu końcowego w usłudze Microsoft Defender	Punkt końcowy HTTPS hostowany na platformie Azure REST API	Ściąganie alertów do narzędzi SIEM
Microsoft Defender for Cloud Apps	Integracja dzienników	Integracja rozwiązania SIEM z Microsoft Defender for Cloud Apps

Porada

Przyjrzyj się Microsoft Sentinel. Microsoft Sentinel zawiera łączniki dla rozwiązań firmy Microsoft. Te łączniki są dostępne "po wyjętej wersji" i zapewniają integrację w czasie rzeczywistym. Możesz używać Microsoft Sentinel z rozwiązaniami Microsoft Defender XDR i usługami platformy Microsoft 365, w tym z usługami Office 365, Tożsamość Microsoft Entra Microsoft Defender for Identity, Microsoft Defender for Cloud Apps i nie tylko.

Rejestrowanie inspekcji musi być włączone

Przed skonfigurowaniem integracji serwera SIEM upewnij się, że rejestrowanie inspekcji jest włączone:

• W przypadku programów SharePoint, OneDrive i Tożsamość Microsoft Entra zobacz Włączanie lub wyłączanie inspekcji.
• Aby uzyskać Exchange Online, zobacz Zarządzanie inspekcją skrzynek pocztowych.

Kroki integracji, jeśli rozwiązanie SIEM jest Microsoft Sentinel

Sprawdź następujące wymagania:

• Bieżąca subskrypcja platformy Microsoft 365 (na przykład Ochrona usługi Office 365 w usłudze Microsoft Defender plan 2) umożliwia integrację Microsoft Sentinel.
• Twoje konto w Ochrona usługi Office 365 w usłudze Microsoft Defender lub Microsoft Defender XDR jest administratorem zabezpieczeń.
• Sprawdź, czy masz uprawnienia do zapisu w Microsoft Sentinel.

1. Przejdź do Microsoft Sentinel.

2. Na nawigacji po lewej stronie ekranuŁączniki danych konfiguracji>.

3. Wyszukaj Microsoft Defender XDR i wybierz łącznik Microsoft Defender XDR (wersja zapoznawcza).

4. Po prawej stronie ekranu wybierz pozycję Otwórz stronę łącznika.

5. W obszarze Konfiguracja> wybierz pozycję Połącz zdarzenia & alerty

   Wyłącz wszystkie reguły tworzenia zdarzeń firmy Microsoft dla aktualnie wybranych produktów.

6. Przewiń do Ochrona usługi Office 365 w usłudze Microsoft Defender w sekcji Połącz zdarzenia na stronie.

   Możesz wybrać tabele z dowolnego innego produktu Microsoft Defender, który jest przydatny i odpowiedni podczas wykonywania następującego końcowego kroku:

7. Wybierz pozycje EmailEvents, EmailUrlInfo, EmailAttachmentInfo i EmailPostDeliveryEvents> i Zastosuj zmiany.

Więcej zasobów

Integrowanie rozwiązań zabezpieczeń w usłudze Microsoft Defender for Cloud

Integrowanie alertów interfejs API Zabezpieczenia programu Microsoft Graph z rozwiązaniem SIEM