Megosztás a következőn keresztül:


Biztonsági információk és események kezelése (SIEM) kiszolgálóintegráció a Microsoft 365 szolgáltatásaival és alkalmazásaival

Tipp

Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender XDR funkcióit Office 365 2. csomagban? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. A Try Office 365-höz készült Microsoft Defender című cikkből megtudhatja, hogy ki regisztrálhat és ki használhatja a próbaverziót.

Összefoglalás

A szervezet biztonsági információ- és eseménykezelési (SIEM) kiszolgálót használ vagy tervez beszerezni? Felmerülhet a kérdés, hogyan integrálható a Microsoft 365-be vagy Office 365. Ez a cikk felsorolja azokat az erőforrásokat, amelyek segítségével integrálhatja SIEM-kiszolgálóját a Microsoft 365 szolgáltatásaival és alkalmazásaival.

Tipp

Ha még nem rendelkezik SIEM-kiszolgálóval, és jelenleg is vizsgálja a lehetőségeket, fontolja meg Microsoft Sentinel.

Szükségem van SIEM-kiszolgálóra?

Az, hogy szüksége van-e SIEM-kiszolgálóra, számos tényezőtől függ, például a szervezet biztonsági követelményeitől és az adatok helyétől. A Microsoft 365 számos olyan biztonsági funkciót tartalmaz, amely számos szervezet biztonsági igényeit kielégíti további kiszolgálók, például SIEM-kiszolgáló nélkül. Egyes szervezetek speciális körülmények között igényelnek SIEM-kiszolgálót. Néhány példa:

  • A Fabrikam egyes tartalmakat és alkalmazásokat a helyszínen, néhányat pedig a felhőben (hibrid felhőbeli üzembe helyezéssel) is rendelkezik. A Fabrikam egy SIEM-kiszolgálót implementált az összes tartalomhoz és alkalmazáshoz tartozó biztonsági jelentések lekéréséhez.
  • A Contoso egy pénzügyi szolgáltatási szervezet, amely szigorú biztonsági követelményekkel rendelkezik. Hozzáadtak egy SIEM-kiszolgálót a környezetükhöz, hogy kihasználhassák az általuk igényelt további biztonsági védelmet.

SIEM-kiszolgáló integrálása a Microsoft 365-be

A SIEM-kiszolgálók számos Microsoft 365-szolgáltatásból és -alkalmazásból fogadhatnak adatokat. Az alábbi táblázat több Microsoft 365-szolgáltatást és -alkalmazást, valamint SIEM-kiszolgálóbemeneteket és -erőforrásokat sorol fel, amelyekből többet is megtudhat.

Microsoft 365 szolgáltatás vagy alkalmazás SIEM-kiszolgáló bemenetei/metódusai További információ forrásanyagok
Office 365-höz készült Microsoft Defender Auditnaplók SIEM-integráció Office 365-höz készült Microsoft Defender
Végponthoz készült Microsoft Defender Az Azure-ban üzemeltetett HTTPS-végpont

REST API

Riasztások lekérése a SIEM-eszközökhöz
Microsoft Defender for Cloud Apps Naplóintegráció SIEM-integráció Microsoft Defender for Cloud Apps

Tipp

Tekintse meg a Microsoft Sentinel. Microsoft Sentinel a Microsoft-megoldások összekötőit is tartalmaz. Ezek az összekötők "beépítetten" érhetők el, és valós idejű integrációt biztosítanak. A Microsoft Sentinel a Microsoft Defender XDR-megoldásokkal és a Microsoft 365-szolgáltatásokkal, többek között Office 365, Microsoft Entra ID, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps és még sok más.

A naplózást be kell kapcsolni

A SIEM-kiszolgálóintegráció konfigurálása előtt győződjön meg arról, hogy a naplózás be van kapcsolva:

Integrációs lépések, ha a SIEM Microsoft Sentinel

Ellenőrizze a következő követelményeket:

  • Jelenlegi Microsoft 365-előfizetése (például Office 365-höz készült Microsoft Defender 2. csomag) lehetővé teszi Microsoft Sentinel integrációt.
  • A Office 365-höz készült Microsoft Defender vagy Microsoft Defender XDR fiókja biztonsági rendszergazda.
  • Ellenőrizze, hogy rendelkezik-e írási engedélyekkel a Microsoft Sentinel.
  1. Lépjen a Microsoft Sentinel.

  2. A képernyő bal oldalán található Konfigurációs>adatösszekötők.

  3. Keresse meg a Microsoft Defender XDR, és válassza ki a Microsoft Defender XDR (előzetes verzió) összekötőt.

  4. A képernyő jobb oldalán válassza az Összekötőlap megnyitása lehetőséget.

  5. A Konfiguráció> területen válassza az Incidensek csatlakoztatása & riasztások lehetőséget

    Kapcsolja ki az összes Microsoft-incidenslétrehozási szabályt az aktuálisan kiválasztott termékekhez.

  6. Görgessen Office 365-höz készült Microsoft Defender az oldal Connect events (Események csatlakoztatása) szakaszában.

    A következő utolsó lépés végrehajtásakor bármely más Microsoft Defender termékből választhat táblázatokat, amely hasznosnak és alkalmazhatónak bizonyul:

  7. Válassza az EmailEvents, EmailUrlInfo, EmailAttachmentInfo és EmailPostDeliveryEvents> lehetőséget, és alkalmazza a módosításokat.

További források

Biztonsági megoldások integrálása a Microsoft Defender for Cloudban

Microsoft Graph-Biztonság-riasztások integrálása SIEM-sel