SIEM-integráció Office 365-höz készült Microsoft Defender
Tipp
Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender XDR funkcióit Office 365 2. csomagban? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. Itt megtudhatja, hogy ki regisztrálhat, és mik a próbaverzió feltételei.
Ha szervezete biztonsági információs és eseménykezelési (SIEM) kiszolgálót használ, integrálhatja Office 365-höz készült Microsoft Defender az SIEM-kiszolgálóval. Ezt az integrációt a Office 365 Activity Management API-val állíthatja be.
A SIEM-integráció lehetővé teszi a SIEM-kiszolgáló jelentéseiben található információk, például a Office 365-höz készült Microsoft Defender által észlelt kártevők vagy adathalászat megtekintését.
- Az SIEM és a Office 365-höz készült Microsoft Defender integrációjának példájáért lásd a Tech Community blogját: SoC hatékonyságának javítása a Office 365-höz készült Defender és az O365 Management API használatával.
- A Office 365 Felügyeleti API-król további információt a Office 365 Felügyeleti API-k áttekintése című témakörben talál.
A SIEM-integráció működése
A Office 365 Activity Management API a szervezet Microsoft 365-ös és Microsoft Entra tevékenységnaplóiból kér le információkat a felhasználói, rendszergazdai, rendszer- és szabályzatműveletekről és eseményekről. Ha szervezete Office 365 1. csomaghoz készült Microsoft Defender, 2 vagy Office 365 E5 csomag rendelkezik, használhatja a Office 365-höz készült Microsoft Defender sémát.
A közelmúltban a Office 365-höz készült Microsoft Defender 2. csomag automatizált vizsgálati és válaszképességeiből származó események bekerültek a Office 365 Management Activity API-ba. Amellett, hogy az alapvető vizsgálati adatokkal , például az azonosítóval, a névvel és az állapotgal kapcsolatos adatokat is tartalmaz, az API magas szintű információkat is tartalmaz a vizsgálati műveletekről és entitásokról.
A SIEM-kiszolgáló vagy más hasonló rendszer lekérdezi az audit.general számítási feladatot az észlelési események eléréséhez. További információ: Ismerkedés a Office 365 Management API-kkal.
Enumerálás: AuditLogRecordType – Típus: Edm.Int32
AuditLogRecordType
Az alábbi táblázat összefoglalja az AuditLogRecordType azon értékeit, amelyek Office 365-höz készült Microsoft Defender események szempontjából relevánsak:
| Érték | Tag neve | Leírás |
|---|---|---|
| 28 | ThreatIntelligence | Adathalászati és kártevőesemények Exchange Online Védelmi szolgáltatás és Office 365-höz készült Microsoft Defender. |
| 41 | ThreatIntelligenceUrl | Biztonságos hivatkozások blokkolási ideje és Office 365-höz készült Microsoft Defender felülbírálási eseményeinek blokkolása. |
| 47 | ThreatIntelligenceAtpContent | Adathalászati és kártevőesemények a SharePoint Online-ban, a OneDrive Vállalati verzió-ban és a Microsoft Teamsben található fájlokhoz Office 365-höz készült Microsoft Defender. |
| 64 | AirInvestigation | Automatizált vizsgálati és válaszesemények, például a vizsgálati adatok és a kapcsolódó összetevők Office 365-höz készült Microsoft Defender 2. tervből. |
Fontos
Az SIEM-integráció Office 365-höz készült Microsoft Defender való beállításához a Microsoft Defender portálon globális rendszergazdai vagy biztonsági rendszergazdai szerepkörrel kell rendelkeznie. További információ: Engedélyek a Microsoft Defender portálon.
A naplózást be kell kapcsolni a Microsoft 365-környezetben (alapértelmezés szerint be van kapcsolva). Ha ellenőrizni szeretné, hogy a naplózás be van-e kapcsolva, vagy be szeretné-e kapcsolni, olvassa el a Naplózás be- és kikapcsolása című témakört.
Lásd még
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: