Integración del servidor de administración de eventos e información de seguridad (SIEM) con aplicaciones y servicios de Microsoft 365
Sugerencia
¿Sabía que puede probar las características de Microsoft Defender XDR para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba en Probar Microsoft Defender para Office 365.
Resumen
¿Su organización usa o planea obtener un servidor de administración de eventos e información de seguridad (SIEM)? Es posible que se pregunte cómo se integra con Microsoft 365 o Office 365. En este artículo se proporciona una lista de recursos que puede usar para integrar el servidor SIEM con aplicaciones y servicios de Microsoft 365.
Sugerencia
Si aún no tiene un servidor SIEM y está explorando las opciones, considere la posibilidad de Microsoft Sentinel.
¿Necesito un servidor SIEM?
Si necesita un servidor SIEM depende de muchos factores, como los requisitos de seguridad de su organización y dónde residen los datos. Microsoft 365 incluye una amplia variedad de características de seguridad que satisfacen las necesidades de seguridad de muchas organizaciones sin servidores adicionales, como un servidor SIEM. Algunas organizaciones tienen circunstancias especiales que requieren el uso de un servidor SIEM. Estos son algunos ejemplos:
- Fabrikam tiene contenido y aplicaciones locales, y otras en la nube (tienen una implementación de nube híbrida). Para obtener informes de seguridad de todo su contenido y aplicaciones, Fabrikam implementó un servidor SIEM.
- Contoso es una organización de servicios financieros que tiene estrictos requisitos de seguridad. Agregaron un servidor SIEM a su entorno para aprovechar las protecciones de seguridad adicionales que requieren.
Integración del servidor SIEM con Microsoft 365
Un servidor SIEM puede recibir datos de una amplia variedad de servicios y aplicaciones de Microsoft 365. En la tabla siguiente se enumeran varios servicios y aplicaciones de Microsoft 365, junto con entradas y recursos del servidor SIEM para obtener más información.
Servicio o aplicación de Microsoft 365 | Métodos o entradas del servidor SIEM | Recursos para obtener más información |
---|---|---|
Microsoft Defender para Office 365 | Registros de auditoría | Integración de SIEM con Microsoft Defender para Office 365 |
Microsoft Defender para punto de conexión | Punto de conexión HTTPS hospedado en Azure API de REST |
Extracción de alertas en las herramientas SIEM |
Microsoft Defender for Cloud Apps | Integración de registros | Integración de SIEM con Microsoft Defender for Cloud Apps |
Sugerencia
Eche un vistazo a Microsoft Sentinel. Microsoft Sentinel incluye conectores para soluciones de Microsoft. Estos conectores están disponibles "de forma inmediata" y proporcionan integración en tiempo real. Puede usar Microsoft Sentinel con sus soluciones de Microsoft Defender XDR y servicios de Microsoft 365, incluidos Office 365, Microsoft Entra ID, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps, y mucho más.
El registro de auditoría debe estar activado
Asegúrese de que el registro de auditoría está activado antes de configurar la integración del servidor SIEM:
- Para SharePoint, OneDrive y Microsoft Entra ID, vea Activar o desactivar la auditoría.
- Para obtener Exchange Online, consulte Administración de la auditoría de buzones.
Pasos de integración si el SIEM está Microsoft Sentinel
Compruebe los siguientes requisitos:
- La suscripción actual de Microsoft 365 (por ejemplo, Microsoft Defender para Office 365 plan 2) permite la integración Microsoft Sentinel.
- La cuenta de Microsoft Defender para Office 365 o Microsoft Defender XDR es administrador de seguridad.
- Compruebe que tiene permisos de escritura en Microsoft Sentinel.
Vaya a Microsoft Sentinel.
En la navegación a la izquierda de la pantallaConectores de datos de configuración>.
Busque Microsoft Defender XDR y seleccione el conector Microsoft Defender XDR (versión preliminar).
A la derecha de la pantalla, seleccione Abrir página del conector.
En Configuración> , seleccione Conectar incidentes & alertas
Desactive todas las reglas de creación de incidentes de Microsoft para los productos seleccionados actualmente.
Desplácese hasta Microsoft Defender para Office 365 en la sección Conectar eventos de la página.
Puede elegir tablas de cualquier otro producto Microsoft Defender que encuentre útil y aplicable al completar el siguiente paso final:
Seleccione EmailEvents, EmailUrlInfo, EmailAttachmentInfo y EmailPostDeliveryEvents> y Aplicar cambios.
Más recursos
Integración de soluciones de seguridad en Microsoft Defender for Cloud
Integrar las alertas de la API de seguridad de Microsoft Graph con un SIEM