Biztonsági információk és események kezelése (SIEM) kiszolgálóintegráció a Microsoft 365 szolgáltatásaival és alkalmazásaival
Tipp
Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender XDR funkcióit Office 365 2. csomagban? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. A Try Office 365-höz készült Microsoft Defender című cikkből megtudhatja, hogy ki regisztrálhat és ki használhatja a próbaverziót.
Összefoglalás
A szervezet biztonsági információ- és eseménykezelési (SIEM) kiszolgálót használ vagy tervez beszerezni? Felmerülhet a kérdés, hogyan integrálható a Microsoft 365-be vagy Office 365. Ez a cikk felsorolja azokat az erőforrásokat, amelyek segítségével integrálhatja SIEM-kiszolgálóját a Microsoft 365 szolgáltatásaival és alkalmazásaival.
Tipp
Ha még nem rendelkezik SIEM-kiszolgálóval, és jelenleg is vizsgálja a lehetőségeket, fontolja meg Microsoft Sentinel.
Szükségem van SIEM-kiszolgálóra?
Az, hogy szüksége van-e SIEM-kiszolgálóra, számos tényezőtől függ, például a szervezet biztonsági követelményeitől és az adatok helyétől. A Microsoft 365 számos olyan biztonsági funkciót tartalmaz, amely számos szervezet biztonsági igényeit kielégíti további kiszolgálók, például SIEM-kiszolgáló nélkül. Egyes szervezetek speciális körülmények között igényelnek SIEM-kiszolgálót. Néhány példa:
- A Fabrikam egyes tartalmakat és alkalmazásokat a helyszínen, néhányat pedig a felhőben (hibrid felhőbeli üzembe helyezéssel) is rendelkezik. A Fabrikam egy SIEM-kiszolgálót implementált az összes tartalomhoz és alkalmazáshoz tartozó biztonsági jelentések lekéréséhez.
- A Contoso egy pénzügyi szolgáltatási szervezet, amely szigorú biztonsági követelményekkel rendelkezik. Hozzáadtak egy SIEM-kiszolgálót a környezetükhöz, hogy kihasználhassák az általuk igényelt további biztonsági védelmet.
SIEM-kiszolgáló integrálása a Microsoft 365-be
A SIEM-kiszolgálók számos Microsoft 365-szolgáltatásból és -alkalmazásból fogadhatnak adatokat. Az alábbi táblázat több Microsoft 365-szolgáltatást és -alkalmazást, valamint SIEM-kiszolgálóbemeneteket és -erőforrásokat sorol fel, amelyekből többet is megtudhat.
Microsoft 365 szolgáltatás vagy alkalmazás | SIEM-kiszolgáló bemenetei/metódusai | További információ forrásanyagok |
---|---|---|
Office 365-höz készült Microsoft Defender | Auditnaplók | SIEM-integráció Office 365-höz készült Microsoft Defender |
Végponthoz készült Microsoft Defender | Az Azure-ban üzemeltetett HTTPS-végpont REST API |
Riasztások lekérése a SIEM-eszközökhöz |
Microsoft Defender for Cloud Apps | Naplóintegráció | SIEM-integráció Microsoft Defender for Cloud Apps |
Tipp
Tekintse meg a Microsoft Sentinel. Microsoft Sentinel a Microsoft-megoldások összekötőit is tartalmaz. Ezek az összekötők "beépítetten" érhetők el, és valós idejű integrációt biztosítanak. A Microsoft Sentinel a Microsoft Defender XDR-megoldásokkal és a Microsoft 365-szolgáltatásokkal, többek között Office 365, Microsoft Entra ID, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps és még sok más.
A naplózást be kell kapcsolni
A SIEM-kiszolgálóintegráció konfigurálása előtt győződjön meg arról, hogy a naplózás be van kapcsolva:
- SharePoint, OneDrive és Microsoft Entra ID esetén olvassa el a Naplózás be- és kikapcsolása című témakört.
- A Exchange Online a Postaláda-naplózás kezelése című témakörben talál.
Integrációs lépések, ha a SIEM Microsoft Sentinel
Ellenőrizze a következő követelményeket:
- Jelenlegi Microsoft 365-előfizetése (például Office 365-höz készült Microsoft Defender 2. csomag) lehetővé teszi Microsoft Sentinel integrációt.
- A Office 365-höz készült Microsoft Defender vagy Microsoft Defender XDR fiókja biztonsági rendszergazda.
- Ellenőrizze, hogy rendelkezik-e írási engedélyekkel a Microsoft Sentinel.
Lépjen a Microsoft Sentinel.
A képernyő bal oldalán található Konfigurációs>adatösszekötők.
Keresse meg a Microsoft Defender XDR, és válassza ki a Microsoft Defender XDR (előzetes verzió) összekötőt.
A képernyő jobb oldalán válassza az Összekötőlap megnyitása lehetőséget.
A Konfiguráció> területen válassza az Incidensek csatlakoztatása & riasztások lehetőséget
Kapcsolja ki az összes Microsoft-incidenslétrehozási szabályt az aktuálisan kiválasztott termékekhez.
Görgessen Office 365-höz készült Microsoft Defender az oldal Connect events (Események csatlakoztatása) szakaszában.
A következő utolsó lépés végrehajtásakor bármely más Microsoft Defender termékből választhat táblázatokat, amely hasznosnak és alkalmazhatónak bizonyul:
Válassza az EmailEvents, EmailUrlInfo, EmailAttachmentInfo és EmailPostDeliveryEvents> lehetőséget, és alkalmazza a módosításokat.
További források
Biztonsági megoldások integrálása a Microsoft Defender for Cloudban