Integration af SIEM-server (Security Information and Event Management) med Microsoft 365-tjenester og -programmer
Tip
Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde dig og prøvevilkår i Prøv Microsoft Defender for Office 365.
Oversigt
Bruger eller planlægger din organisation at få en SIEM-server (Security Information and Event Management)? Du undrer dig måske over, hvordan den kan integreres med Microsoft 365 eller Office 365. Denne artikel indeholder en liste over ressourcer, du kan bruge til at integrere din SIEM-server med Microsoft 365-tjenester og -programmer.
Tip
Hvis du endnu ikke har en SIEM-server og udforsker dine muligheder, kan du overveje Microsoft Sentinel.
Har jeg brug for en SIEM-server?
Om du har brug for en SIEM-server, afhænger af mange faktorer, f.eks. din organisations sikkerhedskrav, og hvor dine data er placeret. Microsoft 365 indeholder en lang række sikkerhedsfunktioner, der opfylder mange organisationers sikkerhedsbehov uden yderligere servere, f.eks. en SIEM-server. Nogle organisationer har særlige omstændigheder, der kræver brug af en SIEM-server. Her er nogle eksempler:
- Fabrikam har noget indhold og programmer i det lokale miljø, og nogle i cloudmiljøet (de har en hybrid cloududrulning). Fabrikam implementerede en SIEM-server for at hente sikkerhedsrapporter for alt deres indhold og alle programmer.
- Contoso er en organisation for finansielle tjenesteydelser, der har strenge sikkerhedskrav. De har føjet en SIEM-server til deres miljø for at drage fordel af den ekstra sikkerhedsbeskyttelse, de har brug for.
SIEM-serverintegration med Microsoft 365
En SIEM-server kan modtage data fra en lang række Microsoft 365-tjenester og -programmer. I følgende tabel vises flere Microsoft 365-tjenester og -programmer sammen med SIEM-serverinput og -ressourcer for at få mere at vide.
Microsoft 365-tjeneste eller -program | SIEM-serverinput/-metoder | Ressourcer til at få mere at vide |
---|---|---|
Microsoft Defender for Office 365 | Overvågningslogge | SIEM-integration med Microsoft Defender for Office 365 |
Microsoft Defender for Endpoint | HTTPS-slutpunkt, der hostes i Azure REST API |
Pullbeskeder til dine SIEM-værktøjer |
Microsoft Defender for Cloud Apps | Logintegration | SIEM-integration med Microsoft Defender for Cloud Apps |
Tip
Se Microsoft Sentinel. Microsoft Sentinel leveres med connectors til Microsoft-løsninger. Disse connectors er "klar til brug" og sikrer integration i realtid. Du kan bruge Microsoft Sentinel sammen med dine Microsoft Defender XDR-løsninger og Microsoft 365-tjenester, herunder Office 365, Microsoft Entra ID, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps og meget mere.
Overvågningslogføring skal være slået til
Sørg for, at overvågningslogføring er slået til, før du konfigurerer SIEM-serverintegration:
- For SharePoint, OneDrive og Microsoft Entra ID skal du se Slå overvågning til eller fra.
- Du kan få Exchange Online under Administrer overvågning af postkasser.
Integrationstrin, hvis din SIEM er Microsoft Sentinel
Kontrollér følgende krav:
- Dit aktuelle Microsoft 365-abonnement (f.eks. Microsoft Defender for Office 365 Plan 2) giver mulighed for Microsoft Sentinel integration.
- Din konto i Microsoft Defender for Office 365 eller Microsoft Defender XDR er sikkerhedsadministrator.
- Kontrollér, at du har skriverettigheder i Microsoft Sentinel.
Gå til Microsoft Sentinel.
I navigationen til venstre for skærmens Configuration>Data-connectors.
Søg efter Microsoft Defender XDR, og vælg connectoren Microsoft Defender XDR (prøveversion).
Vælg Åbn forbindelsesside til højre på skærmen.
Under Konfiguration> skal du vælge Forbind hændelser & beskeder
Deaktiver alle Microsoft-regler for oprettelse af hændelser for de produkter, der er valgt i øjeblikket.
Rul til Microsoft Defender for Office 365 i sektionen Connect events på siden.
Du kan vælge tabeller fra et hvilket som helst andet Microsoft Defender produkt, du finder nyttigt og relevant, mens du fuldfører følgende sidste trin:
Vælg EmailEvents, EmailUrlInfo, EmailAttachmentInfo og EmailPostDeliveryEvents> og Anvend ændringer.