SIEM-integrointi Microsoft Defender for Office 365 kanssa
Vihje
Tiesitkö, että voit kokeilla Microsoft Defender XDR ominaisuuksia ilmaiseksi palvelupakettiin Office 365 2? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lisätietoja siitä, ketkä voivat rekisteröityä ja kokeilla käyttöehtoja, on artikkelissa Kokeile Microsoft Defender for Office 365.
Jos organisaatiosi käyttää suojaustietojen ja tapahtumien hallintapalvelinta (SIEM), voit integroida Microsoft Defender for Office 365 SIEM-palvelimeen. Voit määrittää tämän integroinnin käyttämällä Office 365 Toimintojen hallinnan ohjelmointirajapintaa.
SIEM-integroinnin avulla voit tarkastella siem-palvelimen raporteissa tietoja, kuten haittaohjelmistoa tai tietojenkalastelua, jonka Microsoft Defender for Office 365 on havainnut.
- Jos haluat nähdä esimerkin SIEM-integroinnista Microsoft Defender for Office 365 kanssa, lue Tech Community -blogi: SoC:n tehokkuuden parantaminen Defender for Office 365 ja O365:n hallinnan ohjelmointirajapinnan avulla.
- Lisätietoja Office 365 hallinnan ohjelmointirajapinnoista on Office 365 hallinnan ohjelmointirajapintoja yleiskatsauksessa.
Miten SIEM-integrointi toimii
Office 365 Toiminnan hallinta -ohjelmointirajapinta hakee tietoja käyttäjän, järjestelmänvalvojan, järjestelmänvalvojan ja käytännön toiminnoista sekä tapahtumista organisaatiosi Microsoft 365-Microsoft Entra toimintolokeista. Jos organisaatiollasi on Microsoft Defender for Office 365 -palvelupaketti 1 tai 2 tai Office 365 E5, voit käyttää Microsoft Defender for Office 365 rakennetta.
Äskettäin Microsoft Defender for Office 365 palvelupaketin 2 automaattisen tutkinnan ja vastausominaisuuksien tapahtumat lisättiin Office 365 hallintatoiminnon ohjelmointirajapintaan. Sen lisäksi, että ohjelmointirajapinta sisältää tietoja keskeisistä tutkimustiedoista, kuten tunnuksesta, nimestä ja tilasta, se sisältää myös korkean tason tietoja tutkimustoimista ja entiteeteistä.
SIEM-palvelin tai muu vastaava järjestelmä suorittaa audit.general-kuormituksen käyttöoikeuksien havaitsemistapahtumiin. Lisätietoja on artikkelissa Office 365 hallinnan ohjelmointirajapintoja.
Luettelointi: AuditLogRecordType - Tyyppi: Edm.Int32
AuditLogRecordType
Seuraavassa taulukossa on yhteenveto AuditLogRecordType-arvoista, jotka liittyvät Microsoft Defender for Office 365 tapahtumiin:
Arvo | Jäsenen nimi | Kuvaus |
---|---|---|
28 | ThreatIntelligence | tietojenkalastelu- ja haittaohjelmatapahtumat Exchange Online Protection ja Microsoft Defender for Office 365. |
41 | ThreatIntelligenceUrl | Safe Links -aikalohko ja estä Microsoft Defender for Office 365 ohitustapahtumat. |
47 | ThreatIntelligenceAtpContent | Tiedostojen tietojenkalastelu- ja haittaohjelmatapahtumat SharePoint Onlinessa, OneDrive for Business ja Microsoft Teamsissa Microsoft Defender for Office 365. |
64 | Ilmanvestigaatio | Automatisoidut tutkimus- ja vastaustapahtumat, kuten tutkimustiedot ja olennaiset artefaktit, Microsoft Defender for Office 365 palvelupaketti 2:sta. |
Tärkeää
Sinulla on oltava joko yleinen järjestelmänvalvoja*- tai suojauksen järjestelmänvalvoja -rooli määritettynä SIEM-integroinnin määrittämiseksi Microsoft Defender for Office 365 kanssa. Lisätietoja on Microsoft Defender portaalin kohdassa Käyttöoikeudet.
*Microsoft suosittelee, että käytät rooleja, joilla on vähiten käyttöoikeuksia. Alemman käyttöoikeuden auttaminen parantaa organisaatiosi suojausta. Yleinen järjestelmänvalvoja on hyvin etuoikeutettu rooli, joka tulisi rajata hätätilanteisiin, joissa et voi käyttää olemassa olevaa roolia.
Valvontaloki on otettava käyttöön Microsoft 365 -ympäristössäsi (se on oletusarvoisesti käytössä). Jos haluat varmistaa, että valvontaloki on käytössä tai ottaa sen käyttöön, katso Ota valvonta käyttöön tai poista se käytöstä.