Compartilhar via


Integração do SIEM com Microsoft Defender para Office 365

Sugestão

Sabia que pode experimentar as funcionalidades do Microsoft Defender para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.

Se a sua organização estiver a utilizar um servidor de gestão de informações e eventos de segurança (SIEM), pode integrar Microsoft Defender para Office 365 no servidor SIEM. Pode configurar esta integração com a API de Gestão de Atividades do Office 365.

A integração do SIEM permite-lhe ver informações, como software maligno ou phish detetado por Microsoft Defender para Office 365, nos relatórios do servidor SIEM.

Como funciona a integração do SIEM

A API de Gestão de Atividades do Office 365 obtém informações sobre eventos e ações de utilizador, administrador, sistema e política do Microsoft 365 e Microsoft Entra registos de atividades da sua organização. Se a sua organização tiver Microsoft Defender para o Office 365 Plano 1, 2 ou Office 365 E5, pode utilizar o esquema de Microsoft Defender para Office 365.

Recentemente, foram adicionados eventos de capacidades de investigação e resposta automatizadas no Microsoft Defender para Office 365 Plano 2 à API de Atividade de Gestão de Office 365. Além de incluir dados sobre os principais detalhes da investigação, como o ID, o nome e o estado, a API também contém informações de alto nível sobre ações e entidades de investigação.

O servidor SIEM ou outro sistema semelhante consulta a carga de trabalho audit.general para aceder a eventos de deteção. Para saber mais, veja Introdução às APIs de Gestão de Office 365.

Enumeração: AuditLogRecordType - Tipo: Edm.Int32

AuditLogRecordType

A tabela seguinte resume os valores de AuditLogRecordType que são relevantes para Microsoft Defender para Office 365 eventos:

Valor Nome do membro Descrição
28 ThreatIntelligence Eventos de phishing e software maligno de Proteção do Exchange Online e Microsoft Defender para Office 365.
41 ThreatIntelligenceUrl Ligações Seguras tempo de bloqueio e bloquear eventos de substituição de Microsoft Defender para Office 365.
47 ThreatIntelligenceAtpContent Eventos de phishing e software maligno para ficheiros no SharePoint Online, OneDrive para Empresas e Microsoft Teams, a partir de Microsoft Defender para Office 365.
64 AirInvestigation Eventos automatizados de investigação e resposta, tais como detalhes de investigação e artefactos relevantes, do Microsoft Defender para Office 365 Plano 2.

Importante

Tem de ter a função Administrador Global ou Administrador* de Segurança atribuída para configurar a integração do SIEM com Microsoft Defender para Office 365. Para obter mais informações, veja Permissões no portal do Microsoft Defender.

*A Microsoft recomenda que utilize funções com o menor número de permissões. A utilização de contas com permissões mais baixas ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não pode utilizar uma função existente.

O registo de auditoria tem de estar ativado para o seu ambiente do Microsoft 365 (está ativado por predefinição). Para verificar se o registo de auditoria está ativado ou para o ativar, consulte Ativar ou desativar a auditoria.

Consulte também

Office 365 investigação e resposta a ameaças

Investigação e resposta automatizadas (AIR) no Office 365