Megosztás a következőn keresztül:


SIEM-integráció Office 365-höz készült Microsoft Defender

Tipp

Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender XDR funkcióit Office 365 2. csomagban? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. A Try Office 365-höz készült Microsoft Defender című cikkből megtudhatja, hogy ki regisztrálhat és ki használhatja a próbaverziót.

Ha szervezete biztonsági információs és eseménykezelési (SIEM) kiszolgálót használ, integrálhatja Office 365-höz készült Microsoft Defender az SIEM-kiszolgálóval. Ezt az integrációt a Office 365 Activity Management API-val állíthatja be.

A SIEM-integráció lehetővé teszi a SIEM-kiszolgáló jelentéseiben található információk, például a Office 365-höz készült Microsoft Defender által észlelt kártevők vagy adathalászat megtekintését.

A SIEM-integráció működése

A Office 365 Activity Management API a szervezet Microsoft 365-ös és Microsoft Entra tevékenységnaplóiból kér le információkat a felhasználói, rendszergazdai, rendszer- és szabályzatműveletekről és eseményekről. Ha szervezete Office 365 1. csomaghoz készült Microsoft Defender, 2 vagy Office 365 E5 csomag rendelkezik, használhatja a Office 365-höz készült Microsoft Defender sémát.

A közelmúltban a Office 365-höz készült Microsoft Defender 2. csomag automatizált vizsgálati és válaszképességeiből származó események bekerültek a Office 365 Management Activity API-ba. Amellett, hogy az alapvető vizsgálati adatokkal , például az azonosítóval, a névvel és az állapotgal kapcsolatos adatokat is tartalmaz, az API magas szintű információkat is tartalmaz a vizsgálati műveletekről és entitásokról.

A SIEM-kiszolgáló vagy más hasonló rendszer lekérdezi az audit.general számítási feladatot az észlelési események eléréséhez. További információ: Ismerkedés a Office 365 Management API-kkal.

Enumerálás: AuditLogRecordType – Típus: Edm.Int32

AuditLogRecordType

Az alábbi táblázat összefoglalja az AuditLogRecordType azon értékeit, amelyek Office 365-höz készült Microsoft Defender események szempontjából relevánsak:

Érték Tag neve Leírás
28 ThreatIntelligence Adathalászati és kártevőesemények Exchange Online Védelmi szolgáltatás és Office 365-höz készült Microsoft Defender.
41 ThreatIntelligenceUrl Biztonságos hivatkozások blokkolási ideje és Office 365-höz készült Microsoft Defender felülbírálási eseményeinek blokkolása.
47 ThreatIntelligenceAtpContent Adathalászati és kártevőesemények a SharePoint Online-ban, a OneDrive Vállalati verzió-ban és a Microsoft Teamsben található fájlokhoz Office 365-höz készült Microsoft Defender.
64 AirInvestigation Automatizált vizsgálati és válaszesemények, például a vizsgálati adatok és a kapcsolódó összetevők Office 365-höz készült Microsoft Defender 2. tervből.

Fontos

A SIEM és a Office 365-höz készült Microsoft Defender integrációjának beállításához globális rendszergazdai* vagy biztonsági rendszergazdai szerepkörrel kell rendelkeznie. További információ: Engedélyek a Microsoft Defender portálon.

*A Microsoft azt javasolja, hogy a legkevesebb engedéllyel rendelkező szerepköröket használja. Az alacsonyabb engedélyekkel rendelkező fiókok használata segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt jogosultságokkal rendelkező szerepkör, amelyet vészhelyzeti helyzetekre kell korlátozni, ha nem használhat meglévő szerepkört.

A naplózást be kell kapcsolni a Microsoft 365-környezetben (alapértelmezés szerint be van kapcsolva). Ha ellenőrizni szeretné, hogy a naplózás be van-e kapcsolva, vagy be szeretné-e kapcsolni, olvassa el a Naplózás be- és kikapcsolása című témakört.

Lásd még

Office 365 veszélyforrás-vizsgálat és reagálás

Automatizált vizsgálat és reagálás (AIR) a Office 365