Biztonsági információk és események kezelése (SIEM) kiszolgálóintegráció a Microsoft 365 szolgáltatásaival és alkalmazásaival
Tipp
Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender XDR funkcióit Office 365 2. csomagban? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. Itt megtudhatja, hogy ki regisztrálhat, és mik a próbaverzió feltételei.
Összefoglalás
A szervezet biztonsági információ- és eseménykezelési (SIEM) kiszolgálót használ vagy tervez beszerezni? Felmerülhet a kérdés, hogyan integrálható a Microsoft 365-be vagy Office 365. Ez a cikk felsorolja azokat az erőforrásokat, amelyek segítségével integrálhatja SIEM-kiszolgálóját a Microsoft 365 szolgáltatásaival és alkalmazásaival.
Tipp
Ha még nem rendelkezik SIEM-kiszolgálóval, és jelenleg is vizsgálja a lehetőségeit, fontolja meg a Microsoft Sentinel használatát.
Szükségem van SIEM-kiszolgálóra?
Az, hogy szüksége van-e SIEM-kiszolgálóra, számos tényezőtől függ, például a szervezet biztonsági követelményeitől és az adatok helyétől. A Microsoft 365 számos olyan biztonsági funkciót tartalmaz, amely számos szervezet biztonsági igényeit kielégíti további kiszolgálók, például SIEM-kiszolgáló nélkül. Egyes szervezetek speciális körülmények között igényelnek SIEM-kiszolgálót. Néhány példa:
- A Fabrikam egyes tartalmakat és alkalmazásokat a helyszínen, néhányat pedig a felhőben (hibrid felhőbeli üzembe helyezéssel) is rendelkezik. A Fabrikam egy SIEM-kiszolgálót implementált az összes tartalomhoz és alkalmazáshoz tartozó biztonsági jelentések lekéréséhez.
- A Contoso egy pénzügyi szolgáltatási szervezet, amely szigorú biztonsági követelményekkel rendelkezik. Hozzáadtak egy SIEM-kiszolgálót a környezetükhöz, hogy kihasználhassák az általuk igényelt további biztonsági védelmet.
SIEM-kiszolgáló integrálása a Microsoft 365-be
A SIEM-kiszolgálók számos Microsoft 365-szolgáltatásból és -alkalmazásból fogadhatnak adatokat. Az alábbi táblázat több Microsoft 365-szolgáltatást és -alkalmazást, valamint SIEM-kiszolgálóbemeneteket és -erőforrásokat sorol fel, amelyekből többet is megtudhat.
| Microsoft 365 szolgáltatás vagy alkalmazás | SIEM-kiszolgáló bemenetei/metódusai | További információ forrásanyagok |
|---|---|---|
| Office 365-höz készült Microsoft Defender | Auditnaplók | SIEM-integráció Office 365-höz készült Microsoft Defender |
| Végponthoz készült Microsoft Defender | Az Azure-ban üzemeltetett HTTPS-végpont REST API |
Riasztások lekérése a SIEM-eszközökhöz |
| Microsoft Defender for Cloud Apps | Naplóintegráció | SIEM-integráció Microsoft Defender for Cloud Apps |
Tipp
Tekintse meg a Microsoft Sentinelt. A Microsoft Sentinel a Microsoft-megoldások összekötőit is tartalmaz. Ezek az összekötők "beépítetten" érhetők el, és valós idejű integrációt biztosítanak. A Microsoft Sentinelt Microsoft Defender XDR-megoldásokkal és Microsoft 365-szolgáltatásokkal használhatja, beleértve a Office 365, Microsoft Entra ID, Microsoft Defender for Identity Microsoft Defender for Cloud Apps és még sok más.
A naplózást be kell kapcsolni
A SIEM-kiszolgálóintegráció konfigurálása előtt győződjön meg arról, hogy a naplózás be van kapcsolva:
- SharePoint, OneDrive és Microsoft Entra ID esetén olvassa el a Naplózás be- és kikapcsolása című témakört.
- A Exchange Online a Postaláda-naplózás kezelése című témakörben talál.
Integrációs lépések, ha a SIEM a Microsoft Sentinel
Ellenőrizze a következő követelményeket:
- Jelenlegi Microsoft 365-előfizetése (például Office 365-höz készült Microsoft Defender 2. csomag) lehetővé teszi a Microsoft Sentinel integrációját.
- A Office 365-höz készült Microsoft Defender vagy Microsoft Defender XDR fiókja biztonsági rendszergazda.
- Ellenőrizze, hogy rendelkezik-e írási engedélyekkel a Microsoft Sentinelben.
Nyissa meg a Microsoft Sentinelt.
A képernyő bal oldalán található Konfigurációs>adatösszekötők.
Keresés Microsoft Defender XDR és válassza ki a Microsoft Defender XDR (előzetes verzió) összekötőt.
A képernyő jobb oldalán válassza az Összekötőlap megnyitása lehetőséget.
A Konfiguráció> területen válassza az Incidensek csatlakoztatása & riasztások lehetőséget
Kapcsolja ki az összes Microsoft-incidenslétrehozási szabályt az aktuálisan kiválasztott termékekhez.
Görgessen Office 365-höz készült Microsoft Defender az oldal Connect events (Események csatlakoztatása) szakaszában.
A következő utolsó lépés végrehajtásakor bármely más Microsoft Defender termékből választhat táblázatokat, amely hasznosnak és alkalmazhatónak bizonyul:
Válassza az EmailEvents, EmailUrlInfo, EmailAttachmentInfo és EmailPostDeliveryEvents> lehetőséget, és alkalmazza a módosításokat.
További források
Biztonsági megoldások integrálása a Microsoft Defender for Cloudban
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: