Siem-Serverintegration (Security Information and Event Management) mit Microsoft 365-Diensten und -Anwendungen
Tipp
Wussten Sie, dass Sie die Features in Microsoft Defender for Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.
Zusammenfassung
Verwenden Oder planen Ihre organization, einen SIEM-Server (Security Information and Event Management) zu erhalten? Sie fragen sich vielleicht, wie es in Microsoft 365 oder Office 365 integriert werden kann. Dieser Artikel enthält eine Liste der Ressourcen, mit denen Sie Ihren SIEM-Server in Microsoft 365-Dienste und -Anwendungen integrieren können.
Tipp
Wenn Sie noch keinen SIEM-Server haben und Ihre Optionen prüfen, sollten Sie Microsoft Sentinel.
Benötige ich einen SIEM-Server?
Ob Sie einen SIEM-Server benötigen, hängt von vielen Faktoren ab, z. B. den Sicherheitsanforderungen Ihres organization und dem Speicherort Ihrer Daten. Microsoft 365 enthält eine Vielzahl von Sicherheitsfeatures, die die Sicherheitsanforderungen vieler Organisationen ohne zusätzliche Server erfüllen, z. B. einen SIEM-Server. Einige Organisationen haben besondere Umstände, die die Verwendung eines SIEM-Servers erfordern. Hier sind einige Beispiele:
- Fabrikam verfügt über einige Inhalte und Anwendungen lokal und einige in der Cloud (sie verfügen über eine Hybrid Cloud-Bereitstellung). Um Sicherheitsberichte für alle Inhalte und Anwendungen zu erhalten, hat Fabrikam einen SIEM-Server implementiert.
- Contoso ist ein organization für Finanzdienstleistungen mit strengen Sicherheitsanforderungen. Sie haben ihrer Umgebung einen SIEM-Server hinzugefügt, um die zusätzlichen Sicherheitsschutzfunktionen zu nutzen, die sie benötigen.
SIEM-Serverintegration in Microsoft 365
Ein SIEM-Server kann Daten von einer Vielzahl von Microsoft 365-Diensten und -Anwendungen empfangen. In der folgenden Tabelle sind mehrere Microsoft 365-Dienste und -Anwendungen sowie SIEM-Servereingaben und -Ressourcen aufgeführt, um mehr zu erfahren.
Microsoft 365-Dienst oder -Anwendung | SIEM-Servereingaben/-methoden | Ressourcen mit mehr Informationen |
---|---|---|
Microsoft Defender für Office 365 | Überwachungsprotokolle | SIEM-Integration mit Microsoft Defender for Office 365 |
Microsoft Defender für Endpunkt | HTTPS-Endpunkt, der in Azure gehostet wird REST-API |
Pullen von Warnungen in Ihre SIEM-Tools |
Microsoft Defender for Cloud Apps | Protokollintegration | SIEM-Integration mit Microsoft Defender for Cloud Apps |
Tipp
Sehen Sie sich Microsoft Sentinel an. Microsoft Sentinel enthält Connectors für Microsoft-Lösungen. Diese Connectors sind sofort verfügbar und ermöglichen die Integration in Echtzeit. Sie können Microsoft Sentinel mit Ihren Microsoft Defender XDR-Lösungen und Microsoft 365-Diensten verwenden, einschließlich Office 365, Microsoft Entra ID, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps und mehr.
Die Überwachungsprotokollierung muss aktiviert sein.
Stellen Sie sicher, dass die Überwachungsprotokollierung aktiviert ist, bevor Sie die SIEM-Serverintegration konfigurieren:
- Informationen zu SharePoint, OneDrive und Microsoft Entra ID finden Sie unter Aktivieren oder Deaktivieren der Überwachung.
- Informationen Exchange Online finden Sie unter Verwalten der Postfachüberwachung.
Integrationsschritte, wenn Ihr SIEM Microsoft Sentinel
Überprüfen Sie die folgenden Anforderungen:
- Ihr aktuelles Microsoft 365-Abonnement (z. B. Microsoft Defender for Office 365 Plan 2) ermöglicht Microsoft Sentinel Integration.
- Ihr Konto in Microsoft Defender for Office 365 oder Microsoft Defender XDR ist ein Sicherheitsadministrator.
- Vergewissern Sie sich, dass Sie über Schreibberechtigungen in Microsoft Sentinel verfügen.
Navigieren Sie zu Microsoft Sentinel.
In der Navigation auf der linken Seite des BildschirmsKonfigurationsdatenconnectors>.
Suchen Sie nach Microsoft Defender XDR, und wählen Sie den connector Microsoft Defender XDR (Vorschau) aus.
Wählen Sie auf der rechten Seite des Bildschirms Connectorseite öffnen aus.
Wählen Sie unter Konfiguration>die Option Incidents & Warnungen verbinden aus.
Deaktivieren Sie alle Microsoft-Regeln für die Erstellung von Vorfällen für die aktuell ausgewählten Produkte.
Scrollen Sie zu Microsoft Defender for Office 365 im Abschnitt Connect events (Ereignisse verbinden) der Seite.
Sie können Tabellen aus jedem anderen Microsoft Defender Produkt auswählen, das Sie hilfreich und anwendbar finden, während Sie den folgenden letzten Schritt ausführen:
Wählen Sie EmailEvents, EmailUrlInfo, EmailAttachmentInfo und EmailPostDeliveryEvents> und Änderungen anwenden aus.
Weitere Ressourcen
Integrieren von Sicherheitslösungen in Microsoft Defender for Cloud