SIEM とMicrosoft Defender for Office 365の統合

  • [アーティクル]

適用対象

ヒント

Office 365プラン2のMicrosoft 365 Defenderの機能を無料で試すことができることをご存知でしたか? Microsoft 365 Defender ポータル試用版ハブで 90 日間のDefender for Office 365試用版を使用します。 サインアップできるユーザーと試用版の条件については、 こちらを参照してください

組織でセキュリティ情報とイベント管理 (SIEM) サーバーを使用している場合は、Microsoft Defender for Office 365を SIEM サーバーと統合できます。 この統合は、Office 365 Activity Management API を使用して設定できます。

SIEM 統合を使用すると、Microsoft Defender for Office 365によって検出されたマルウェアやフィッシングなどの情報を SIEM サーバー レポートに表示できます。

SIEM 統合のしくみ

Office 365 Activity Management API は、組織の Microsoft 365 および Azure Active Directory アクティビティ ログから、ユーザー、管理者、システム、ポリシーのアクションとイベントに関する情報を取得します。 組織に Microsoft Defender for Office 365 プラン 1 または 2 または Office 365 E5がある場合は、Microsoft Defender for Office 365 スキーマを使用できます。

最近、Microsoft Defender for Office 365 プラン 2 の自動調査と対応機能からのイベントが、Office 365 Management Activity API に追加されました。 ID、名前、状態などの主要な調査の詳細に関するデータを含めるだけでなく、API には調査アクションとエンティティに関する高レベルの情報も含まれています。

SIEM サーバーまたはその他の同様のシステムは、検出イベントにアクセスするために audit.general ワークロードをポーリングします。 詳細については、「Office 365管理 API の概要」を参照してください。

列挙値: AuditLogRecordType - 型: Edm.Int32

AuditLogRecordType

次の表は、Microsoft Defender for Office 365 イベントに関連する AuditLogRecordType の値をまとめたものです。

メンバ名 説明
28 ThreatIntelligence Exchange Online Protection と Microsoft Defender for Office 365 からのフィッシングとマルウェアのイベント。
41 ThreatIntelligenceUrl セーフ リンクのブロック時間とブロックの時間は、Microsoft Defender for Office 365からのオーバーライド イベントです。
47 ThreatIntelligenceAtpContent Microsoft Defender for Office 365からの SharePoint Online、OneDrive for Business、Microsoft Teams のファイルのフィッシングおよびマルウェア イベント。
64 AIR 調査 Microsoft Defender for Office 365 Plan 2 の調査の詳細や関連する成果物などの自動調査と対応イベント。

重要

SIEM とMicrosoft Defender for Office 365の統合を設定するには、Microsoft 365 Defender ポータルでグローバル管理者またはセキュリティ管理者ロールが割り当てられている必要があります。 詳細については、「Microsoft 365 Defender ポータルのアクセス許可」を参照してください。

Microsoft 365 環境で監査ログを有効にする必要があります。 これに関するヘルプについては、「 監査ログ検索のオンとオフを切り替える」を参照してください。

関連項目

Office 365 脅威の調査および対応

Office 365 での自動調査および対応 (AIR)