Suojaustietojen ja tapahtumien hallinnan (SIEM) palvelinintegraatio Microsoft 365 -palveluiden ja -sovellusten kanssa
Vihje
Tiesitkö, että voit kokeilla Microsoft Defender XDR ominaisuuksia ilmaiseksi palvelupakettiin Office 365 2? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lue lisätietoja siitä, kuka voi rekisteröityä, ja kokeiluversion ehdot täältä.
Yhteenveto
Käyttääkö tai suunnitteleeko organisaatiosi suojaustietojen ja tapahtumien hallinnan (SIEM) palvelimen hankkimista? Saatat ihmetellä, miten se integroituu Microsoft 365:een tai Office 365. Tässä artikkelissa on luettelo resursseista, joiden avulla voit integroida SIEM-palvelimesi Microsoft 365 -palveluihin ja -sovelluksiin.
Vihje
Jos sinulla ei vielä ole SIEM-palvelinta ja tutkit vaihtoehtojasi, harkitse Microsoft Sentineliä.
Tarvitsenko SIEM-palvelimen?
Se, tarvitsetko SIEM-palvelimen, riippuu useista tekijöistä, kuten organisaatiosi suojausvaatimuksista ja siitä, missä tietosi sijaitsevat. Microsoft 365 sisältää useita erilaisia suojausominaisuuksia, jotka vastaavat monien organisaatioiden suojaustarpeita ilman muita palvelimia, kuten SIEM-palvelinta. Joissakin organisaatioissa on erityisolosuhteita, jotka edellyttävät SIEM-palvelimen käyttöä. Seuraavassa on joitakin esimerkkejä:
- Fabrikam sisältää sisältöä ja sovelluksia paikallisesti ja joitakin pilvipalveluita (niillä on hybridipilvikäyttöönotto). Fabrikam otti käyttöön SIEM-palvelimen saadakseen suojausraportteja kaikesta sisällöstään ja sovelluksistaan.
- Contoso on rahoituspalvelujen organisaatio, jolla on tiukat suojausvaatimukset. He lisäsivät SIEM-palvelimen ympäristöönsä, jotta he voivat hyödyntää tarvitsemiaan ylimääräisiä suojaustoimia.
SIEM-palvelimen integrointi Microsoft 365:n kanssa
SIEM-palvelin voi vastaanottaa tietoja monista eri Microsoft 365 -palveluista ja -sovelluksista. Seuraavassa taulukossa on lueteltu useita Microsoft 365 -palveluita ja -sovelluksia sekä SIEM-palvelimen syötteet ja resurssit, joiden avulla saat lisätietoja.
| Microsoft 365 -palvelu tai -sovellus | SIEM-palvelimen syötteet/menetelmät | Lisätietoja resursseista |
|---|---|---|
| Microsoft Defender for Office 365 | Valvontalokit | SIEM-integrointi Microsoft Defender for Office 365 kanssa |
| Microsoft Defender for Endpoint | Azuressa isännöity HTTPS-päätepiste REST-ohjelmointirajapinta |
Vastaanotusilmoitukset SIEM-työkaluihin |
| Microsoft Defender for Cloud Apps | Lokin integrointi | SIEM-integrointi Microsoft Defender for Cloud Apps kanssa |
Vihje
Tutustu Microsoft Sentineliin. Microsoft Sentinel sisältää Microsoft-ratkaisujen liittimet. Nämä liittimet ovat käytettävissä "käyttövalmiina", ja ne mahdollistavat reaaliaikaisen integroinnin. Voit käyttää Microsoft Sentineliä Microsoft Defender XDR ratkaisujen ja Microsoft 365 -palveluiden kanssa, mukaan lukien Office 365, Microsoft Entra ID, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps ja paljon muuta.
Valvontaloki on otettava käyttöön
Varmista, että valvontaloki on käytössä, ennen kuin määrität SIEM-palvelimen integroinnin:
- Lisätietoja SharePointista, OneDrivesta ja Microsoft Entra ID on kohdassa Valvonnan ottaminen käyttöön tai poistaminen käytöstä.
- Katso Exchange Online kohdasta Postilaatikoiden valvonnan hallinta.
Integroinnin vaiheet, jos SIEM on Microsoft Sentinel
Tarkista seuraavat vaatimukset:
- Nykyinen Microsoft 365 -tilauksesi (esimerkiksi Microsoft Defender for Office 365 palvelupaketti 2) mahdollistaa Microsoft Sentinel -integroinnin.
- Microsoft Defender for Office 365 tai Microsoft Defender XDR oleva tilisi on suojauksen järjestelmänvalvoja.
- Varmista, että sinulla on kirjoitusoikeudet Microsoft Sentinelissä.
Siirry Microsoft Sentineliin.
Näytön vasemmalla puolellakokoonpanotietojen> yhdistimet.
Haku Microsoft Defender XDR ja valitse Microsoft Defender XDR (esikatselu) -liitin.
Valitse näytön oikeassa reunassa Avaa liitinsivu.
Valitse Määritykset-kohdassa>Yhdistä tapaukset & hälytykset
Poista käytöstä kaikki Microsoftin tapausten luontisäännöt tällä hetkellä valituissa tuotteissa.
Vieritä sivun Yhdistä tapahtumat -osiossa kohtaan Microsoft Defender for Office 365.
Voit valita taulukoita mistä tahansa muusta Microsoft Defender tuotteesta, josta pidät hyödyllisenä ja soveltuvana seuraavan viimeisen vaiheen suorittamisen aikana:
Valitse EmailEvents, EmailUrlInfo, EmailAttachmentInfo ja EmailPostDeliveryEvents> ja Ota muutokset käyttöön.
Lisäresursseja
Suojausratkaisujen integrointi Microsoft Defender for Cloudissa
Microsoft Graphin suojauksen ohjelmointirajapinta ilmoitusten integrointi SIEM:n kanssa
Palaute
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä: https://aka.ms/ContentUserFeedback.
Lähetä ja näytä palaute kohteelle