Siem-serverintegratie (Security Information and Event Management) met Microsoft 365-services en -toepassingen
Tip
Wist u dat u de functies in Microsoft Defender XDR gratis kunt uitproberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en voorwaarden voor proefversies vindt u hier.
Samenvatting
Gebruikt of is uw organisatie van plan om een SIEM-server (Security Information and Event Management) op te halen? U vraagt zich misschien af hoe het kan worden geïntegreerd met Microsoft 365 of Office 365. Dit artikel bevat een lijst met resources die u kunt gebruiken om uw SIEM-server te integreren met Microsoft 365-services en -toepassingen.
Tip
Als u nog geen SIEM-server hebt en uw opties verkent, kunt u Microsoft Sentinel overwegen.
Heb ik een SIEM-server nodig?
Of u een SIEM-server nodig hebt, is afhankelijk van veel factoren, zoals de beveiligingsvereisten van uw organisatie en waar uw gegevens zich bevinden. Microsoft 365 bevat een groot aantal beveiligingsfuncties die voldoen aan de beveiligingsbehoeften van veel organisaties zonder extra servers, zoals een SIEM-server. Sommige organisaties hebben speciale omstandigheden die het gebruik van een SIEM-server vereisen. Dit zijn enkele voorbeelden:
- Fabrikam heeft een aantal inhoud en toepassingen on-premises en sommige in de cloud (ze hebben een hybride cloudimplementatie). Fabrikam heeft een SIEM-server geïmplementeerd om beveiligingsrapporten op te halen voor al hun inhoud en toepassingen.
- Contoso is een organisatie voor financiële dienstverlening die strenge beveiligingsvereisten heeft. Ze hebben een SIEM-server toegevoegd aan hun omgeving om te profiteren van de extra beveiliging die ze nodig hebben.
SIEM-serverintegratie met Microsoft 365
Een SIEM-server kan gegevens ontvangen van een groot aantal Microsoft 365-services en -toepassingen. De volgende tabel bevat verschillende Microsoft 365-services en -toepassingen, samen met SIEM-serverinvoer en -resources voor meer informatie.
| Microsoft 365-service of -toepassing | SIEM-serverinvoer/-methoden | Informatiebronnen |
|---|---|---|
| Microsoft Defender voor Office 365 | Auditlogboeken | SIEM-integratie met Microsoft Defender voor Office 365 |
| Microsoft Defender voor Eindpunt | HTTPS-eindpunt gehost in Azure REST API |
Waarschuwingen naar uw SIEM-hulpprogramma's ophalen |
| Microsoft Defender for Cloud Apps | Logboekintegratie | SIEM-integratie met Microsoft Defender for Cloud Apps |
Tip
Bekijk Microsoft Sentinel. Microsoft Sentinel wordt geleverd met connectors voor Microsoft-oplossingen. Deze connectors zijn 'out-of-the-box' beschikbaar en bieden realtime integratie. U kunt Microsoft Sentinel gebruiken met uw Microsoft Defender XDR-oplossingen en Microsoft 365-services, waaronder Office 365, Microsoft Entra ID, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps en meer.
Auditlogboekregistratie moet zijn ingeschakeld
Zorg ervoor dat auditlogboekregistratie is ingeschakeld voordat u siem-serverintegratie configureert:
- Zie Controle in- of uitschakelen voor SharePoint, OneDrive en Microsoft Entra ID.
- Zie Postvakcontrole beheren voor Exchange Online.
Integratiestappen als uw SIEM Microsoft Sentinel is
Controleer de volgende vereisten:
- Met uw huidige Microsoft 365-abonnement (bijvoorbeeld Microsoft Defender voor Office 365 Abonnement 2) kunt u Microsoft Sentinel integreren.
- Uw account in Microsoft Defender voor Office 365 of Microsoft Defender XDR is een beveiligingsbeheerder.
- Controleer of u schrijfmachtigingen hebt in Microsoft Sentinel.
Navigeer naar Microsoft Sentinel.
In de navigatie aan de linkerkant van het schermConfiguratiegegevensconnectors>.
Search voor Microsoft Defender XDR en selecteer de connector Microsoft Defender XDR (preview).
Selecteer aan de rechterkant van het scherm Connectorpagina openen.
Selecteer onder Configuratie>de optie Incidenten verbinden & waarschuwingen
Schakel alle regels voor het maken van Microsoft-incidenten uit voor de producten die momenteel zijn geselecteerd.
Schuif naar Microsoft Defender voor Office 365 in de sectie Connect events van de pagina.
U kunt tabellen kiezen uit elk ander Microsoft Defender product dat u nuttig en van toepassing vindt tijdens het voltooien van de volgende laatste stap:
Selecteer EmailEvents, EmailUrlInfo, EmailAttachmentInfo en EmailPostDeliveryEvents> en Wijzigingen toepassen.
Meer informatie
Beveiligingsoplossingen integreren in Microsoft Defender voor cloud
Microsoft Graph beveiligings-API-waarschuwingen integreren met een SIEM
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor