Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Porada
Czy wiesz, że możesz bezpłatnie wypróbować funkcje w planie Ochrona usługi Office 365 w usłudze Microsoft Defender 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Ochrona usługi Office 365 w usłudze Microsoft Defender.
Podsumowanie
Czy Twoja organizacja korzysta z serwera SIEM (Security Information and Event Management) lub planuje go pobrać? Być może zastanawiasz się, jak integruje się z platformą Microsoft 365 lub Office 365. Ten artykuł zawiera listę zasobów, których można użyć do integracji serwera SIEM z usługami i aplikacjami platformy Microsoft 365.
Porada
Jeśli nie masz jeszcze serwera SIEM i eksplorujesz swoje opcje, rozważ Microsoft Sentinel.
Czy potrzebuję serwera SIEM?
To, czy potrzebujesz serwera SIEM, zależy od wielu czynników, takich jak wymagania dotyczące zabezpieczeń organizacji i miejsce, w którym znajdują się dane. Platforma Microsoft 365 oferuje szeroką gamę funkcji zabezpieczeń, które spełniają potrzeby wielu organizacji w zakresie zabezpieczeń bez dodatkowych serwerów, takich jak serwer SIEM. Niektóre organizacje mają specjalne okoliczności, które wymagają użycia serwera SIEM. Oto kilka przykładów:
- Firma Fabrikam ma lokalną zawartość i aplikacje, a niektóre w chmurze (mają wdrożenie chmury hybrydowej). Aby uzyskać raporty zabezpieczeń dla całej zawartości i aplikacji, firma Fabrikam zaimplementował serwer SIEM.
- Contoso to organizacja usług finansowych, która ma rygorystyczne wymagania dotyczące zabezpieczeń. Dodali serwer SIEM do swojego środowiska, aby skorzystać z dodatkowych wymaganych zabezpieczeń.
Integracja serwera SIEM z platformą Microsoft 365
Serwer SIEM może odbierać dane z wielu różnych usług i aplikacji platformy Microsoft 365. W poniższej tabeli wymieniono kilka usług i aplikacji platformy Microsoft 365 oraz dane wejściowe i zasoby serwera SIEM, aby dowiedzieć się więcej.
| Usługa lub aplikacja platformy Microsoft 365 | Dane wejściowe/metody serwera SIEM | Zasoby, aby dowiedzieć się więcej |
|---|---|---|
| Ochrona usługi Office 365 w usłudze Microsoft Defender | Dzienniki inspekcji | Integracja rozwiązania SIEM z Ochrona usługi Office 365 w usłudze Microsoft Defender |
| Ochrona punktu końcowego w usłudze Microsoft Defender | Punkt końcowy HTTPS hostowany na platformie Azure REST API |
Ściąganie alertów do narzędzi SIEM |
| Microsoft Defender for Cloud Apps | Integracja dzienników | Integracja rozwiązania SIEM z Microsoft Defender for Cloud Apps |
Porada
Przyjrzyj się Microsoft Sentinel. Microsoft Sentinel zawiera łączniki dla rozwiązań firmy Microsoft. Te łączniki są dostępne "po wyjętej wersji" i zapewniają integrację w czasie rzeczywistym. Możesz używać Microsoft Sentinel z rozwiązaniami Microsoft Defender XDR i usługami platformy Microsoft 365, w tym z usługami Office 365, Tożsamość Microsoft Entra Microsoft Defender for Identity, Microsoft Defender for Cloud Apps i nie tylko.
Rejestrowanie inspekcji musi być włączone
Przed skonfigurowaniem integracji serwera SIEM upewnij się, że rejestrowanie inspekcji jest włączone:
- W przypadku programów SharePoint, OneDrive i Tożsamość Microsoft Entra zobacz Włączanie lub wyłączanie inspekcji.
- Aby uzyskać Exchange Online, zobacz Zarządzanie inspekcją skrzynek pocztowych.
Kroki integracji, jeśli rozwiązanie SIEM jest Microsoft Sentinel
Sprawdź następujące wymagania:
- Bieżąca subskrypcja platformy Microsoft 365 (na przykład Ochrona usługi Office 365 w usłudze Microsoft Defender plan 2) umożliwia integrację Microsoft Sentinel.
- Twoje konto w Ochrona usługi Office 365 w usłudze Microsoft Defender lub Microsoft Defender XDR jest administratorem zabezpieczeń.
- Sprawdź, czy masz uprawnienia do zapisu w Microsoft Sentinel.
Przejdź do Microsoft Sentinel.
Na nawigacji po lewej stronie ekranuŁączniki danych konfiguracji>.
Wyszukaj Microsoft Defender XDR i wybierz łącznik Microsoft Defender XDR (wersja zapoznawcza).
Po prawej stronie ekranu wybierz pozycję Otwórz stronę łącznika.
W obszarze Konfiguracja> wybierz pozycję Połącz zdarzenia & alerty
Wyłącz wszystkie reguły tworzenia zdarzeń firmy Microsoft dla aktualnie wybranych produktów.
Przewiń do Ochrona usługi Office 365 w usłudze Microsoft Defender w sekcji Połącz zdarzenia na stronie.
Możesz wybrać tabele z dowolnego innego produktu Microsoft Defender, który jest przydatny i odpowiedni podczas wykonywania następującego końcowego kroku:
Wybierz pozycje EmailEvents, EmailUrlInfo, EmailAttachmentInfo i EmailPostDeliveryEvents> i Zastosuj zmiany.
Więcej zasobów
Integrowanie rozwiązań zabezpieczeń w usłudze Microsoft Defender for Cloud
Integrowanie alertów interfejs API Zabezpieczenia programu Microsoft Graph z rozwiązaniem SIEM