Compartilhar via


Integração do servidor de Gestão de Informações e Eventos de Segurança (SIEM) com aplicações e serviços do Microsoft 365

Dica

Sabia que pode experimentar as funcionalidades do Microsoft Defender para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.

Resumo

A sua organização está a utilizar ou a planear obter um servidor de Gestão de Informações e Eventos de Segurança (SIEM)? Poderá estar a perguntar-se como se integra com o Microsoft 365 ou Office 365. Este artigo fornece uma lista de recursos que pode utilizar para integrar o seu servidor SIEM nos serviços e aplicações do Microsoft 365.

Dica

Se ainda não tiver um servidor SIEM e estiver a explorar as suas opções, considere Microsoft Sentinel.

Preciso de um servidor SIEM?

A necessidade de um servidor SIEM depende de muitos fatores, como os requisitos de segurança da sua organização e onde residem os seus dados. O Microsoft 365 inclui uma grande variedade de funcionalidades de segurança que satisfazem as necessidades de segurança de muitas organizações sem servidores adicionais, como um servidor SIEM. Algumas organizações têm circunstâncias especiais que requerem a utilização de um servidor SIEM. Aqui estão alguns exemplos:

  • A Fabrikam tem alguns conteúdos e aplicações no local e alguns na cloud (têm uma implementação na cloud híbrida). Para obter relatórios de segurança para todos os respetivos conteúdos e aplicações, a Fabrikam implementou um servidor SIEM.
  • A Contoso é uma organização de serviços financeiros que tem requisitos de segurança rigorosos. Adicionaram um servidor SIEM ao respetivo ambiente para tirar partido das proteções de segurança adicionais necessárias.

Integração do servidor SIEM com o Microsoft 365

Um servidor SIEM pode receber dados de uma grande variedade de serviços e aplicações do Microsoft 365. A tabela seguinte lista vários serviços e aplicações do Microsoft 365, juntamente com entradas e recursos do servidor SIEM para saber mais.

Serviço ou Aplicação do Microsoft 365 Entradas/métodos do servidor SIEM Recursos para saber mais
Obter o Microsoft Defender para Office 365 Logs de auditoria Integração do SIEM com Microsoft Defender para Office 365
Microsoft Defender para Ponto de Extremidade Ponto final HTTPS alojado no Azure

API do REST

Solicitar alertas para as ferramentas SIEM
Microsoft Defender for Cloud Apps Integração de registos Integração do SIEM com Microsoft Defender para Aplicativos de Nuvem

Dica

Veja Microsoft Sentinel. Microsoft Sentinel inclui conectores para soluções da Microsoft. Estes conectores estão disponíveis "fora da caixa" e fornecem integração em tempo real. Pode utilizar Microsoft Sentinel com as suas soluções de Microsoft Defender XDR e serviços do Microsoft 365, incluindo Office 365, Microsoft Entra ID, Microsoft Defender para Identidade, Microsoft Defender para Aplicativos de Nuvem e muito mais.

O registo de auditoria tem de estar ativado

Certifique-se de que o registo de auditoria está ativado antes de configurar a integração do servidor SIEM:

Passos de integração se o SIEM estiver Microsoft Sentinel

Verifique os seguintes requisitos:

  • A sua subscrição atual do Microsoft 365 (por exemplo, Microsoft Defender para Office 365 Plano 2) permite Microsoft Sentinel integração.
  • A sua conta no Microsoft Defender para Office 365 ou Microsoft Defender XDR é um Administrador de Segurança.
  • Verifique se tem permissões de Escrita no Microsoft Sentinel.
  1. Navegue para Microsoft Sentinel.

  2. Na navegação à esquerda do ecrãConectores de Dados de Configuração>.

  3. Procure Microsoft Defender XDR e selecione o conector Microsoft Defender XDR (pré-visualização).

  4. À direita do ecrã, selecione Abrir Página do Conector.

  5. Em Configuração> , selecione Ligar incidentes & alertas

    Desative todas as regras de criação de incidentes da Microsoft para os produtos atualmente selecionados.

  6. Desloque-se para Microsoft Defender para Office 365 na secção Ligar eventos da página.

    Pode escolher tabelas de qualquer outro produto Microsoft Defender que considera útil e aplicável ao concluir o passo final seguinte:

  7. Selecione EmailEvents, EmailUrlInfo, EmailAttachmentInfo e EmailPostDeliveryEvents> e Aplicar Alterações.

Mais recursos

Integrar soluções de segurança no Microsoft Defender para a Cloud

Integrar alertas da API de Segurança do Microsoft Graph com um SIEM