Freigeben über


Siem-Serverintegration (Security Information and Event Management) mit Microsoft 365-Diensten und -Anwendungen

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender for Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.

Zusammenfassung

Verwenden Oder planen Ihre organization, einen SIEM-Server (Security Information and Event Management) zu erhalten? Sie fragen sich vielleicht, wie es in Microsoft 365 oder Office 365 integriert werden kann. Dieser Artikel enthält eine Liste der Ressourcen, mit denen Sie Ihren SIEM-Server in Microsoft 365-Dienste und -Anwendungen integrieren können.

Tipp

Wenn Sie noch keinen SIEM-Server haben und Ihre Optionen prüfen, sollten Sie Microsoft Sentinel.

Benötige ich einen SIEM-Server?

Ob Sie einen SIEM-Server benötigen, hängt von vielen Faktoren ab, z. B. den Sicherheitsanforderungen Ihres organization und dem Speicherort Ihrer Daten. Microsoft 365 enthält eine Vielzahl von Sicherheitsfeatures, die die Sicherheitsanforderungen vieler Organisationen ohne zusätzliche Server erfüllen, z. B. einen SIEM-Server. Einige Organisationen haben besondere Umstände, die die Verwendung eines SIEM-Servers erfordern. Hier sind einige Beispiele:

  • Fabrikam verfügt über einige Inhalte und Anwendungen lokal und einige in der Cloud (sie verfügen über eine Hybrid Cloud-Bereitstellung). Um Sicherheitsberichte für alle Inhalte und Anwendungen zu erhalten, hat Fabrikam einen SIEM-Server implementiert.
  • Contoso ist ein organization für Finanzdienstleistungen mit strengen Sicherheitsanforderungen. Sie haben ihrer Umgebung einen SIEM-Server hinzugefügt, um die zusätzlichen Sicherheitsschutzfunktionen zu nutzen, die sie benötigen.

SIEM-Serverintegration in Microsoft 365

Ein SIEM-Server kann Daten von einer Vielzahl von Microsoft 365-Diensten und -Anwendungen empfangen. In der folgenden Tabelle sind mehrere Microsoft 365-Dienste und -Anwendungen sowie SIEM-Servereingaben und -Ressourcen aufgeführt, um mehr zu erfahren.

Microsoft 365-Dienst oder -Anwendung SIEM-Servereingaben/-methoden Ressourcen mit mehr Informationen
Microsoft Defender für Office 365 Überwachungsprotokolle SIEM-Integration mit Microsoft Defender for Office 365
Microsoft Defender für Endpunkt HTTPS-Endpunkt, der in Azure gehostet wird

REST-API

Pullen von Warnungen in Ihre SIEM-Tools
Microsoft Defender for Cloud Apps Protokollintegration SIEM-Integration mit Microsoft Defender for Cloud Apps

Tipp

Sehen Sie sich Microsoft Sentinel an. Microsoft Sentinel enthält Connectors für Microsoft-Lösungen. Diese Connectors sind sofort verfügbar und ermöglichen die Integration in Echtzeit. Sie können Microsoft Sentinel mit Ihren Microsoft Defender XDR-Lösungen und Microsoft 365-Diensten verwenden, einschließlich Office 365, Microsoft Entra ID, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps und mehr.

Die Überwachungsprotokollierung muss aktiviert sein.

Stellen Sie sicher, dass die Überwachungsprotokollierung aktiviert ist, bevor Sie die SIEM-Serverintegration konfigurieren:

Integrationsschritte, wenn Ihr SIEM Microsoft Sentinel

Überprüfen Sie die folgenden Anforderungen:

  • Ihr aktuelles Microsoft 365-Abonnement (z. B. Microsoft Defender for Office 365 Plan 2) ermöglicht Microsoft Sentinel Integration.
  • Ihr Konto in Microsoft Defender for Office 365 oder Microsoft Defender XDR ist ein Sicherheitsadministrator.
  • Vergewissern Sie sich, dass Sie über Schreibberechtigungen in Microsoft Sentinel verfügen.
  1. Navigieren Sie zu Microsoft Sentinel.

  2. In der Navigation auf der linken Seite des BildschirmsKonfigurationsdatenconnectors>.

  3. Suchen Sie nach Microsoft Defender XDR, und wählen Sie den connector Microsoft Defender XDR (Vorschau) aus.

  4. Wählen Sie auf der rechten Seite des Bildschirms Connectorseite öffnen aus.

  5. Wählen Sie unter Konfiguration>die Option Incidents & Warnungen verbinden aus.

    Deaktivieren Sie alle Microsoft-Regeln für die Erstellung von Vorfällen für die aktuell ausgewählten Produkte.

  6. Scrollen Sie zu Microsoft Defender for Office 365 im Abschnitt Connect events (Ereignisse verbinden) der Seite.

    Sie können Tabellen aus jedem anderen Microsoft Defender Produkt auswählen, das Sie hilfreich und anwendbar finden, während Sie den folgenden letzten Schritt ausführen:

  7. Wählen Sie EmailEvents, EmailUrlInfo, EmailAttachmentInfo und EmailPostDeliveryEvents> und Änderungen anwenden aus.

Weitere Ressourcen

Integrieren von Sicherheitslösungen in Microsoft Defender for Cloud

Integrieren von Sicherheits-API-Warnungen in Microsoft Graph in SIEM (Security Information & Event Management)