Jaa


SIEM-integrointi Microsoft Defender for Office 365 kanssa

Vihje

Tiesitkö, että voit kokeilla Microsoft Defender XDR ominaisuuksia ilmaiseksi palvelupakettiin Office 365 2? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lisätietoja siitä, ketkä voivat rekisteröityä ja kokeilla käyttöehtoja, on artikkelissa Kokeile Microsoft Defender for Office 365.

Jos organisaatiosi käyttää suojaustietojen ja tapahtumien hallintapalvelinta (SIEM), voit integroida Microsoft Defender for Office 365 SIEM-palvelimeen. Voit määrittää tämän integroinnin käyttämällä Office 365 Toimintojen hallinnan ohjelmointirajapintaa.

SIEM-integroinnin avulla voit tarkastella siem-palvelimen raporteissa tietoja, kuten haittaohjelmistoa tai tietojenkalastelua, jonka Microsoft Defender for Office 365 on havainnut.

Miten SIEM-integrointi toimii

Office 365 Toiminnan hallinta -ohjelmointirajapinta hakee tietoja käyttäjän, järjestelmänvalvojan, järjestelmänvalvojan ja käytännön toiminnoista sekä tapahtumista organisaatiosi Microsoft 365-Microsoft Entra toimintolokeista. Jos organisaatiollasi on Microsoft Defender for Office 365 -palvelupaketti 1 tai 2 tai Office 365 E5, voit käyttää Microsoft Defender for Office 365 rakennetta.

Äskettäin Microsoft Defender for Office 365 palvelupaketin 2 automaattisen tutkinnan ja vastausominaisuuksien tapahtumat lisättiin Office 365 hallintatoiminnon ohjelmointirajapintaan. Sen lisäksi, että ohjelmointirajapinta sisältää tietoja keskeisistä tutkimustiedoista, kuten tunnuksesta, nimestä ja tilasta, se sisältää myös korkean tason tietoja tutkimustoimista ja entiteeteistä.

SIEM-palvelin tai muu vastaava järjestelmä suorittaa audit.general-kuormituksen käyttöoikeuksien havaitsemistapahtumiin. Lisätietoja on artikkelissa Office 365 hallinnan ohjelmointirajapintoja.

Luettelointi: AuditLogRecordType - Tyyppi: Edm.Int32

AuditLogRecordType

Seuraavassa taulukossa on yhteenveto AuditLogRecordType-arvoista, jotka liittyvät Microsoft Defender for Office 365 tapahtumiin:

Arvo Jäsenen nimi Kuvaus
28 ThreatIntelligence tietojenkalastelu- ja haittaohjelmatapahtumat Exchange Online Protection ja Microsoft Defender for Office 365.
41 ThreatIntelligenceUrl Safe Links -aikalohko ja estä Microsoft Defender for Office 365 ohitustapahtumat.
47 ThreatIntelligenceAtpContent Tiedostojen tietojenkalastelu- ja haittaohjelmatapahtumat SharePoint Onlinessa, OneDrive for Business ja Microsoft Teamsissa Microsoft Defender for Office 365.
64 Ilmanvestigaatio Automatisoidut tutkimus- ja vastaustapahtumat, kuten tutkimustiedot ja olennaiset artefaktit, Microsoft Defender for Office 365 palvelupaketti 2:sta.

Tärkeää

Sinulla on oltava joko yleinen järjestelmänvalvoja*- tai suojauksen järjestelmänvalvoja -rooli määritettynä SIEM-integroinnin määrittämiseksi Microsoft Defender for Office 365 kanssa. Lisätietoja on Microsoft Defender portaalin kohdassa Käyttöoikeudet.

*Microsoft suosittelee, että käytät rooleja, joilla on vähiten käyttöoikeuksia. Alemman käyttöoikeuden auttaminen parantaa organisaatiosi suojausta. Yleinen järjestelmänvalvoja on hyvin etuoikeutettu rooli, joka tulisi rajata hätätilanteisiin, joissa et voi käyttää olemassa olevaa roolia.

Valvontaloki on otettava käyttöön Microsoft 365 -ympäristössäsi (se on oletusarvoisesti käytössä). Jos haluat varmistaa, että valvontaloki on käytössä tai ottaa sen käyttöön, katso Ota valvonta käyttöön tai poista se käytöstä.

Tutustu myös seuraaviin ohjeartikkeleihin:

uhkien Office 365 tutkinta ja reagointi

Office 365 automatisoitu tutkinta ja reagointi