Siem-serverintegratie (Security Information and Event Management) met Microsoft 365-services en -toepassingen
Tip
Wist u dat u de functies in Microsoft Defender XDR gratis kunt uitproberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en proefabonnementen kan uitvoeren op Try Microsoft Defender voor Office 365.
Samenvatting
Gebruikt of is uw organisatie van plan om een SIEM-server (Security Information and Event Management) op te halen? U vraagt zich misschien af hoe het kan worden geïntegreerd met Microsoft 365 of Office 365. Dit artikel bevat een lijst met resources die u kunt gebruiken om uw SIEM-server te integreren met Microsoft 365-services en -toepassingen.
Tip
Als u nog geen SIEM-server hebt en uw opties verkent, kunt u overwegen Microsoft Sentinel.
Heb ik een SIEM-server nodig?
Of u een SIEM-server nodig hebt, is afhankelijk van veel factoren, zoals de beveiligingsvereisten van uw organisatie en waar uw gegevens zich bevinden. Microsoft 365 bevat een groot aantal beveiligingsfuncties die voldoen aan de beveiligingsbehoeften van veel organisaties zonder extra servers, zoals een SIEM-server. Sommige organisaties hebben speciale omstandigheden die het gebruik van een SIEM-server vereisen. Dit zijn enkele voorbeelden:
- Fabrikam heeft een aantal inhoud en toepassingen on-premises en sommige in de cloud (ze hebben een hybride cloudimplementatie). Fabrikam heeft een SIEM-server geïmplementeerd om beveiligingsrapporten op te halen voor al hun inhoud en toepassingen.
- Contoso is een organisatie voor financiële dienstverlening die strenge beveiligingsvereisten heeft. Ze hebben een SIEM-server toegevoegd aan hun omgeving om te profiteren van de extra beveiliging die ze nodig hebben.
SIEM-serverintegratie met Microsoft 365
Een SIEM-server kan gegevens ontvangen van een groot aantal Microsoft 365-services en -toepassingen. De volgende tabel bevat verschillende Microsoft 365-services en -toepassingen, samen met SIEM-serverinvoer en -resources voor meer informatie.
Microsoft 365-service of -toepassing | SIEM-serverinvoer/-methoden | Informatiebronnen |
---|---|---|
Microsoft Defender voor Office 365 | Auditlogboeken | SIEM-integratie met Microsoft Defender voor Office 365 |
Microsoft Defender voor Eindpunt | HTTPS-eindpunt gehost in Azure REST API |
Waarschuwingen naar uw SIEM-hulpprogramma's ophalen |
Microsoft Defender for Cloud Apps | Logboekintegratie | SIEM-integratie met Microsoft Defender for Cloud Apps |
Tip
Bekijk Microsoft Sentinel. Microsoft Sentinel wordt geleverd met connectors voor Microsoft-oplossingen. Deze connectors zijn 'out-of-the-box' beschikbaar en bieden realtime integratie. U kunt Microsoft Sentinel gebruiken met uw Microsoft Defender XDR-oplossingen en Microsoft 365-services, waaronder Office 365, Microsoft Entra ID, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps en meer.
Auditlogboekregistratie moet zijn ingeschakeld
Zorg ervoor dat auditlogboekregistratie is ingeschakeld voordat u siem-serverintegratie configureert:
- Zie Controle in- of uitschakelen voor SharePoint, OneDrive en Microsoft Entra ID.
- Zie Postvakcontrole beheren voor Exchange Online.
Integratiestappen als uw SIEM Microsoft Sentinel
Controleer de volgende vereisten:
- Met uw huidige Microsoft 365-abonnement (bijvoorbeeld Microsoft Defender voor Office 365 Abonnement 2) kunt u Microsoft Sentinel integreren.
- Uw account in Microsoft Defender voor Office 365 of Microsoft Defender XDR is een beveiligingsbeheerder.
- Controleer of u schrijfmachtigingen hebt in Microsoft Sentinel.
Navigeer naar Microsoft Sentinel.
In de navigatie aan de linkerkant van het schermConfiguratiegegevensconnectors>.
Zoek naar Microsoft Defender XDR en selecteer de connector Microsoft Defender XDR (preview).
Selecteer aan de rechterkant van het scherm Connectorpagina openen.
Selecteer onder Configuratie>de optie Incidenten verbinden & waarschuwingen
Schakel alle regels voor het maken van Microsoft-incidenten uit voor de producten die momenteel zijn geselecteerd.
Schuif naar Microsoft Defender voor Office 365 in de sectie Connect events van de pagina.
U kunt tabellen kiezen uit elk ander Microsoft Defender product dat u nuttig en van toepassing vindt tijdens het voltooien van de volgende laatste stap:
Selecteer EmailEvents, EmailUrlInfo, EmailAttachmentInfo en EmailPostDeliveryEvents> en Wijzigingen toepassen.
Meer informatie
Beveiligingsoplossingen integreren in Microsoft Defender voor cloud
Microsoft Graph beveiligings-API-waarschuwingen integreren met een SIEM