Siem-Serverintegration (Security Information and Event Management) mit Microsoft 365-Diensten und -Anwendungen
Tipp
Wussten Sie, dass Sie die Features in Microsoft 365 Defender für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft 365 Defender-Portal-Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.
Zusammenfassung
Verwenden Oder planen Ihre organization, einen SIEM-Server (Security Information and Event Management) zu erhalten? Sie fragen sich vielleicht, wie es in Microsoft 365 oder Office 365 integriert werden kann. Dieser Artikel enthält eine Liste der Ressourcen, mit denen Sie Ihren SIEM-Server in Microsoft 365-Dienste und -Anwendungen integrieren können.
Tipp
Wenn Sie noch keinen SIEM-Server haben und Ihre Optionen untersuchen, sollten Sie Microsoft Sentinel in Betracht ziehen.
Benötige ich einen SIEM-Server?
Ob Sie einen SIEM-Server benötigen, hängt von vielen Faktoren ab, z. B. den Sicherheitsanforderungen Ihres organization und dem Speicherort Ihrer Daten. Microsoft 365 enthält eine Vielzahl von Sicherheitsfeatures, die die Sicherheitsanforderungen vieler Organisationen ohne zusätzliche Server erfüllen, z. B. einen SIEM-Server. Einige Organisationen haben besondere Umstände, die die Verwendung eines SIEM-Servers erfordern. Hier sind einige Beispiele:
- Fabrikam verfügt über einige Inhalte und Anwendungen lokal und einige in der Cloud (sie verfügen über eine Hybrid Cloud-Bereitstellung). Um Sicherheitsberichte für alle Inhalte und Anwendungen zu erhalten, hat Fabrikam einen SIEM-Server implementiert.
- Contoso ist ein organization für Finanzdienstleistungen mit besonders strengen Sicherheitsanforderungen. Sie haben ihrer Umgebung einen SIEM-Server hinzugefügt, um den zusätzlichen Sicherheitsschutz zu nutzen, den sie benötigen.
SIEM-Serverintegration in Microsoft 365
Ein SIEM-Server kann Daten von einer Vielzahl von Microsoft 365-Diensten und -Anwendungen empfangen. In der folgenden Tabelle sind mehrere Microsoft 365-Dienste und -Anwendungen sowie SIEM-Servereingaben und -Ressourcen aufgeführt, um mehr zu erfahren.
| Microsoft 365-Dienst oder -Anwendung | SIEM-Servereingaben/-methoden | Ressourcen mit mehr Informationen |
|---|---|---|
| Microsoft Defender für Office 365 | Überwachungsprotokolle | SIEM-Integration mit Microsoft Defender for Office 365 |
| Microsoft Defender für Endpunkt | HTTPS-Endpunkt, der in Azure gehostet wird REST-API |
Pullen von Warnungen in Ihre SIEM-Tools |
| Microsoft Defender for Cloud Apps | Protokollintegration | SIEM-Integration mit Microsoft Defender for Cloud Apps |
Tipp
Sehen Sie sich Microsoft Sentinel an. Microsoft Sentinel enthält Connectors für Microsoft-Lösungen. Diese Connectors sind sofort verfügbar und ermöglichen die Integration in Echtzeit. Sie können Microsoft Sentinel mit Ihren Microsoft 365 Defender-Lösungen und Microsoft 365-Diensten verwenden, einschließlich Office 365, Azure AD, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps und mehr..
Die Überwachungsprotokollierung muss aktiviert sein.
Stellen Sie sicher, dass die Überwachungsprotokollierung aktiviert ist, bevor Sie die SIEM-Serverintegration konfigurieren:
- Informationen zu SharePoint Online, OneDrive for Business und Azure Active Directory finden Sie unter Aktivieren oder Deaktivieren der Überwachung.
- Informationen Exchange Online finden Sie unter Verwalten der Postfachüberwachung.
Integrationsschritte, wenn Es sich bei Ihrem SIEM um Microsoft Sentinel handelt
Stellen Sie sicher, dass Ihr aktueller Plan die Integration von Microsoft Sentinel ermöglicht (z. B. Microsoft Defender for Office 365 Plan 2 oder höher) und dass Ihr Konto in Microsoft Defender for Office 365 oder Microsoft 365 Defender ein Sicherheitskonto ist. Administrator. Stellen Sie abschließend sicher, dass Sie über Schreibberechtigungen in Microsoft Sentinel verfügen.
- Navigieren Sie zu Microsoft Sentinel.
- In der Navigation auf der linken Seite des BildschirmsKonfigurationsdatenconnectors>.
- Suchen Sie nach Microsoft 365 Defender, und wählen Sie den connector Microsoft 365 Defender (Vorschau) aus.
- Wählen Sie auf der rechten Seite des Bildschirms Connectorseite öffnen aus.
- Wählen Sie unter Konfiguration> die Option Incidents-Warnungen & verbinden aus.
- Deaktivieren Sie alle Microsoft-Regeln für die Erstellung von Vorfällen für die aktuell ausgewählten Produkte.
- Scrollen Sie zu Microsoft Defender for Office 365 im Abschnitt Connect events (Ereignisse verbinden) der Seite.
Beachten Sie, dass Sie Tabellen aus jedem anderen Microsoft Defender Produkt auswählen können, das Sie beim Abschluss des letzten Schritts (unten) als hilfreich und anwendbar empfinden.
- Wählen Sie EmailEvents, EmailUrlInfo, EmailAttachmentInfo und EmailPostDeliveryEvents> und Änderungen anwenden aus.
Weitere Ressourcen
Integrieren von Sicherheitslösungen in Microsoft Defender for Cloud