Integração do SIEM com o Microsoft Defender para Office 365
Sugestão
Sabia que pode experimentar as funcionalidades do Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Utilize a versão de avaliação de 90 dias do Defender para Office 365 no hub de avaliações do portal do Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação aqui.
Se a sua organização estiver a utilizar um servidor de gestão de informações e eventos de segurança (SIEM), pode integrar o Microsoft Defender para Office 365 no seu servidor SIEM. Pode configurar esta integração com a API de Gestão de Atividades do Office 365.
A integração de SIEM permite-lhe ver informações, como software maligno ou phish detetado pelo Microsoft Defender para Office 365, nos seus relatórios de servidor SIEM.
- Para ver um exemplo de integração do SIEM com o Microsoft Defender para Office 365, consulte Blogue da Comunidade Tecnológica: Melhorar a Eficácia do seu SOC com o Defender para Office 365 e a API de Gestão do O365.
- Para saber mais sobre as APIs de Gestão do Office 365, consulte Descrição geral das APIs de Gestão do Office 365.
Como funciona a integração do SIEM
A API de Gestão de Atividades do Office 365 obtém informações sobre eventos e ações de utilizador, administrador, sistema e política a partir dos registos de atividades do Microsoft 365 e do Microsoft Entra da sua organização. Se a sua organização tiver o Microsoft Defender para Office 365 Plano 1 ou 2 ou o Office 365 E5, pode utilizar o esquema do Microsoft Defender para Office 365.
Recentemente, foram adicionados eventos de capacidades de investigação e resposta automatizadas no Microsoft Defender para Office 365 Plano 2 à API de Atividade de Gestão do Office 365. Além de incluir dados sobre os principais detalhes da investigação, como o ID, o nome e o estado, a API também contém informações de alto nível sobre ações e entidades de investigação.
O servidor SIEM ou outro sistema semelhante consulta a carga de trabalho audit.general para aceder a eventos de deteção. Para saber mais, consulte Introdução às APIs de Gestão do Office 365.
Enumeração: AuditLogRecordType - Tipo: Edm.Int32
AuditLogRecordType
A tabela seguinte resume os valores de AuditLogRecordType que são relevantes para eventos do Microsoft Defender para Office 365:
| Valor | Nome do membro | Descrição |
|---|---|---|
| 28 | ThreatIntelligence | Eventos de phishing e software maligno do Exchange Online Protection e do Microsoft Defender para Office 365. |
| 41 | ThreatIntelligenceUrl | Ligações Seguras tempo de bloqueio e bloquear eventos de substituição do Microsoft Defender para Office 365. |
| 47 | ThreatIntelligenceAtpContent | Eventos de phishing e software maligno para ficheiros no SharePoint Online, OneDrive para Empresas e Microsoft Teams, a partir do Microsoft Defender para Office 365. |
| 64 | AirInvestigation | Eventos automatizados de investigação e resposta, tais como detalhes de investigação e artefactos relevantes, do Microsoft Defender para Office 365 Plano 2. |
Importante
Tem de ter a função Administrador Global ou Administrador* de Segurança atribuída para configurar a integração do SIEM com o Microsoft Defender para Office 365. Para obter mais informações, veja Permissões no portal do Microsoft Defender.
*A Microsoft recomenda que utilize funções com o menor número de permissões. A utilização de contas com permissões mais baixas ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não pode utilizar uma função existente.
O registo de auditoria tem de estar ativado para o seu ambiente do Microsoft 365 (está ativado por predefinição). Para verificar se o registo de auditoria está ativado ou para o ativar, consulte Ativar ou desativar a auditoria.