Del via


Integration af SIEM-server (Security Information and Event Management) med Microsoft 365-tjenester og -programmer

Tip

Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde dig og prøvevilkår i Prøv Microsoft Defender for Office 365.

Oversigt

Bruger eller planlægger din organisation at få en SIEM-server (Security Information and Event Management)? Du undrer dig måske over, hvordan den kan integreres med Microsoft 365 eller Office 365. Denne artikel indeholder en liste over ressourcer, du kan bruge til at integrere din SIEM-server med Microsoft 365-tjenester og -programmer.

Tip

Hvis du endnu ikke har en SIEM-server og udforsker dine muligheder, kan du overveje Microsoft Sentinel.

Har jeg brug for en SIEM-server?

Om du har brug for en SIEM-server, afhænger af mange faktorer, f.eks. din organisations sikkerhedskrav, og hvor dine data er placeret. Microsoft 365 indeholder en lang række sikkerhedsfunktioner, der opfylder mange organisationers sikkerhedsbehov uden yderligere servere, f.eks. en SIEM-server. Nogle organisationer har særlige omstændigheder, der kræver brug af en SIEM-server. Her er nogle eksempler:

  • Fabrikam har noget indhold og programmer i det lokale miljø, og nogle i cloudmiljøet (de har en hybrid cloududrulning). Fabrikam implementerede en SIEM-server for at hente sikkerhedsrapporter for alt deres indhold og alle programmer.
  • Contoso er en organisation for finansielle tjenesteydelser, der har strenge sikkerhedskrav. De har føjet en SIEM-server til deres miljø for at drage fordel af den ekstra sikkerhedsbeskyttelse, de har brug for.

SIEM-serverintegration med Microsoft 365

En SIEM-server kan modtage data fra en lang række Microsoft 365-tjenester og -programmer. I følgende tabel vises flere Microsoft 365-tjenester og -programmer sammen med SIEM-serverinput og -ressourcer for at få mere at vide.

Microsoft 365-tjeneste eller -program SIEM-serverinput/-metoder Ressourcer til at få mere at vide
Microsoft Defender for Office 365 Overvågningslogge SIEM-integration med Microsoft Defender for Office 365
Microsoft Defender for Endpoint HTTPS-slutpunkt, der hostes i Azure

REST API

Pullbeskeder til dine SIEM-værktøjer
Microsoft Defender for Cloud Apps Logintegration SIEM-integration med Microsoft Defender for Cloud Apps

Tip

Se Microsoft Sentinel. Microsoft Sentinel leveres med connectors til Microsoft-løsninger. Disse connectors er "klar til brug" og sikrer integration i realtid. Du kan bruge Microsoft Sentinel sammen med dine Microsoft Defender XDR-løsninger og Microsoft 365-tjenester, herunder Office 365, Microsoft Entra ID, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps og meget mere.

Overvågningslogføring skal være slået til

Sørg for, at overvågningslogføring er slået til, før du konfigurerer SIEM-serverintegration:

Integrationstrin, hvis din SIEM er Microsoft Sentinel

Kontrollér følgende krav:

  • Dit aktuelle Microsoft 365-abonnement (f.eks. Microsoft Defender for Office 365 Plan 2) giver mulighed for Microsoft Sentinel integration.
  • Din konto i Microsoft Defender for Office 365 eller Microsoft Defender XDR er sikkerhedsadministrator.
  • Kontrollér, at du har skriverettigheder i Microsoft Sentinel.
  1. Gå til Microsoft Sentinel.

  2. I navigationen til venstre for skærmens Configuration>Data-connectors.

  3. Søg efter Microsoft Defender XDR, og vælg connectoren Microsoft Defender XDR (prøveversion).

  4. Vælg Åbn forbindelsesside til højre på skærmen.

  5. Under Konfiguration> skal du vælge Forbind hændelser & beskeder

    Deaktiver alle Microsoft-regler for oprettelse af hændelser for de produkter, der er valgt i øjeblikket.

  6. Rul til Microsoft Defender for Office 365 i sektionen Connect events på siden.

    Du kan vælge tabeller fra et hvilket som helst andet Microsoft Defender produkt, du finder nyttigt og relevant, mens du fuldfører følgende sidste trin:

  7. Vælg EmailEvents, EmailUrlInfo, EmailAttachmentInfo og EmailPostDeliveryEvents> og Anvend ændringer.

Flere ressourcer

Integrer sikkerhedsløsninger i Microsoft Defender for Cloud

Integrer Microsoft Graph sikkerhed-API beskeder med en SIEM