SIEM-integráció Office 365-höz készült Microsoft Defender
Tipp
Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender XDR funkcióit Office 365 2. csomagban? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. A Try Office 365-höz készült Microsoft Defender című cikkből megtudhatja, hogy ki regisztrálhat és ki használhatja a próbaverziót.
Ha szervezete biztonsági információs és eseménykezelési (SIEM) kiszolgálót használ, integrálhatja Office 365-höz készült Microsoft Defender az SIEM-kiszolgálóval. Ezt az integrációt a Office 365 Activity Management API-val állíthatja be.
A SIEM-integráció lehetővé teszi a SIEM-kiszolgáló jelentéseiben található információk, például a Office 365-höz készült Microsoft Defender által észlelt kártevők vagy adathalászat megtekintését.
- Az SIEM és a Office 365-höz készült Microsoft Defender integrációjának példájáért lásd a Tech Community blogját: SoC hatékonyságának javítása a Office 365-höz készült Defender és az O365 Management API használatával.
- A Office 365 Felügyeleti API-król további információt a Office 365 Felügyeleti API-k áttekintése című témakörben talál.
A SIEM-integráció működése
A Office 365 Activity Management API a szervezet Microsoft 365-ös és Microsoft Entra tevékenységnaplóiból kér le információkat a felhasználói, rendszergazdai, rendszer- és szabályzatműveletekről és eseményekről. Ha szervezete Office 365 1. csomaghoz készült Microsoft Defender, 2 vagy Office 365 E5 csomag rendelkezik, használhatja a Office 365-höz készült Microsoft Defender sémát.
A közelmúltban a Office 365-höz készült Microsoft Defender 2. csomag automatizált vizsgálati és válaszképességeiből származó események bekerültek a Office 365 Management Activity API-ba. Amellett, hogy az alapvető vizsgálati adatokkal , például az azonosítóval, a névvel és az állapotgal kapcsolatos adatokat is tartalmaz, az API magas szintű információkat is tartalmaz a vizsgálati műveletekről és entitásokról.
A SIEM-kiszolgáló vagy más hasonló rendszer lekérdezi az audit.general számítási feladatot az észlelési események eléréséhez. További információ: Ismerkedés a Office 365 Management API-kkal.
Enumerálás: AuditLogRecordType – Típus: Edm.Int32
AuditLogRecordType
Az alábbi táblázat összefoglalja az AuditLogRecordType azon értékeit, amelyek Office 365-höz készült Microsoft Defender események szempontjából relevánsak:
Érték | Tag neve | Leírás |
---|---|---|
28 | ThreatIntelligence | Adathalászati és kártevőesemények Exchange Online Védelmi szolgáltatás és Office 365-höz készült Microsoft Defender. |
41 | ThreatIntelligenceUrl | Biztonságos hivatkozások blokkolási ideje és Office 365-höz készült Microsoft Defender felülbírálási eseményeinek blokkolása. |
47 | ThreatIntelligenceAtpContent | Adathalászati és kártevőesemények a SharePoint Online-ban, a OneDrive Vállalati verzió-ban és a Microsoft Teamsben található fájlokhoz Office 365-höz készült Microsoft Defender. |
64 | AirInvestigation | Automatizált vizsgálati és válaszesemények, például a vizsgálati adatok és a kapcsolódó összetevők Office 365-höz készült Microsoft Defender 2. tervből. |
Fontos
A SIEM és a Office 365-höz készült Microsoft Defender integrációjának beállításához globális rendszergazdai* vagy biztonsági rendszergazdai szerepkörrel kell rendelkeznie. További információ: Engedélyek a Microsoft Defender portálon.
*A Microsoft azt javasolja, hogy a legkevesebb engedéllyel rendelkező szerepköröket használja. Az alacsonyabb engedélyekkel rendelkező fiókok használata segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt jogosultságokkal rendelkező szerepkör, amelyet vészhelyzeti helyzetekre kell korlátozni, ha nem használhat meglévő szerepkört.
A naplózást be kell kapcsolni a Microsoft 365-környezetben (alapértelmezés szerint be van kapcsolva). Ha ellenőrizni szeretné, hogy a naplózás be van-e kapcsolva, vagy be szeretné-e kapcsolni, olvassa el a Naplózás be- és kikapcsolása című témakört.