Siem-serverintegratie (Security Information and Event Management) met Microsoft 365-services en -toepassingen
Van toepassing op
- Exchange Online Protection
- Abonnement 1 en abonnement 2 voor Microsoft Defender voor Office 365
- Microsoft 365 Defender
Tip
Wist u dat u de functies in Microsoft 365 Defender gratis kunt uitproberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft 365 Defender portal. Meer informatie over wie zich kan registreren en voorwaarden voor proefversies vindt u hier.
Samenvatting
Gebruikt of is uw organisatie van plan om een SIEM-server (Security Information and Event Management) op te halen? Misschien vraagt u zich af hoe het kan worden geïntegreerd met Microsoft 365 of Office 365. Dit artikel bevat een lijst met resources die u kunt gebruiken om uw SIEM-server te integreren met Microsoft 365-services en -toepassingen.
Tip
Als u nog geen SIEM-server hebt en uw opties verkent, kunt u Microsoft Sentinel overwegen.
Heb ik een SIEM-server nodig?
Of u een SIEM-server nodig hebt, is afhankelijk van veel factoren, zoals de beveiligingsvereisten van uw organisatie en waar uw gegevens zich bevinden. Microsoft 365 bevat een groot aantal beveiligingsfuncties die voldoen aan de beveiligingsbehoeften van veel organisaties zonder extra servers, zoals een SIEM-server. Sommige organisaties hebben speciale omstandigheden die het gebruik van een SIEM-server vereisen. Dit zijn enkele voorbeelden:
- Fabrikam heeft een aantal inhoud en toepassingen on-premises en sommige in de cloud (ze hebben een hybride cloudimplementatie). Fabrikam heeft een SIEM-server geïmplementeerd om beveiligingsrapporten op te halen voor alle inhoud en toepassingen.
- Contoso is een organisatie voor financiële dienstverlening die bijzonder strenge beveiligingsvereisten heeft. Ze hebben een SIEM-server aan hun omgeving toegevoegd om te profiteren van de extra beveiliging die ze nodig hebben.
SIEM-serverintegratie met Microsoft 365
Een SIEM-server kan gegevens ontvangen van een groot aantal Microsoft 365-services en -toepassingen. De volgende tabel bevat verschillende Microsoft 365-services en -toepassingen, samen met SIEM-serverinvoer en -resources voor meer informatie.
| Microsoft 365-service of -toepassing | SIEM-serverinvoer/-methoden | Informatiebronnen |
|---|---|---|
| Microsoft Defender voor Office 365 | Auditlogboeken | SIEM-integratie met Microsoft Defender voor Office 365 |
| Microsoft Defender voor Eindpunt | HTTPS-eindpunt gehost in Azure REST API |
Waarschuwingen naar uw SIEM-hulpprogramma's ophalen |
| Microsoft Defender for Cloud Apps | Logboekintegratie | SIEM-integratie met Microsoft Defender for Cloud Apps |
Tip
Bekijk Microsoft Sentinel. Microsoft Sentinel wordt geleverd met connectors voor Microsoft-oplossingen. Deze connectors zijn 'out-of-the-box' beschikbaar en bieden realtime integratie. U kunt Microsoft Sentinel gebruiken met uw Microsoft 365 Defender-oplossingen en Microsoft 365-services, waaronder Office 365, Azure AD Microsoft Defender for Identity, Microsoft Defender for Cloud Apps en meer.
Auditlogboekregistratie moet zijn ingeschakeld
Zorg ervoor dat auditlogboekregistratie is ingeschakeld voordat u siem-serverintegratie configureert.
- Zie Controle in- of uitschakelen voor SharePoint Online, OneDrive voor Bedrijven en Azure Active Directory.
- Zie Postvakcontrole beheren voor Exchange Online.
Integratiestappen als uw SIEM Microsoft Sentinel is
Zorg ervoor dat uw huidige abonnement integratie van Microsoft Sentinel toestaat (u hebt bijvoorbeeld Microsoft Defender voor Office 365 Abonnement 2 of hoger) en dat uw account in Microsoft Defender voor Office 365 of Microsoft 365 Defender een Beveiligingsbeheerder. Zorg er ten slotte voor dat u schrijfmachtigingen hebt in Microsoft Sentinel.
- Navigeer naar Microsoft Sentinel.
- In de navigatie aan de linkerkant van het schermConfiguratiegegevensconnectors>.
- Zoek naar Microsoft 365 Defender en selecteer de connector Microsoft 365 Defender (preview).
- Selecteer aan de rechterkant van het scherm Connectorpagina openen.
- Selecteer onder Configuratie>de optie Incidentenwaarschuwingen & verbinden
- Schakel alle regels voor het maken van Microsoft-incidenten uit voor de producten die momenteel zijn geselecteerd.
- Schuif naar Microsoft Defender voor Office 365 in de sectie Connect events van de pagina.
Houd er rekening mee dat u tabellen kunt kiezen uit elk ander Microsoft Defender product dat u nuttig en van toepassing vindt tijdens het voltooien van de laatste stap (hieronder).
- Selecteer EmailEvents, EmailUrlInfo, EmailAttachmentInfo en EmailPostDeliveryEvents> en Wijzigingen toepassen.
Meer informatie
Beveiligingsoplossingen integreren in Microsoft Defender voor cloud
Microsoft Graph beveiligings-API-waarschuwingen integreren met een SIEM