Integração do SIEM com Microsoft Defender para Office 365
Sugestão
Sabia que pode experimentar as funcionalidades no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.
Se a sua organização estiver a utilizar um servidor de gestão de informações e eventos de segurança (SIEM), pode integrar Microsoft Defender para Office 365 no servidor SIEM. Pode configurar esta integração com a API de Gestão de Atividades do Office 365.
A integração do SIEM permite-lhe ver informações, como software maligno ou phish detetado por Microsoft Defender para Office 365, nos relatórios do servidor SIEM.
- Para ver um exemplo de integração de SIEM com Microsoft Defender para Office 365, veja Blogue da Comunidade Tecnológica: Melhorar a Eficácia do SOC com Defender para Office 365 e a API de Gestão do O365.
- Para saber mais sobre as APIs de Gestão de Office 365, veja Descrição geral das APIs de Gestão de Office 365.
Como funciona a integração do SIEM
A API de Gestão de Atividades do Office 365 obtém informações sobre eventos e ações de utilizador, administrador, sistema e política do Microsoft 365 e Microsoft Entra registos de atividades da sua organização. Se a sua organização tiver Microsoft Defender para o Office 365 Plano 1, 2 ou Office 365 E5, pode utilizar o esquema de Microsoft Defender para Office 365.
Recentemente, foram adicionados eventos de capacidades de investigação e resposta automatizadas no Microsoft Defender para Office 365 Plano 2 à API de Atividade de Gestão de Office 365. Além de incluir dados sobre os principais detalhes da investigação, como o ID, o nome e o estado, a API também contém informações de alto nível sobre ações e entidades de investigação.
O servidor SIEM ou outro sistema semelhante consulta a carga de trabalho audit.general para aceder a eventos de deteção. Para saber mais, veja Introdução às APIs de Gestão de Office 365.
Enumeração: AuditLogRecordType - Tipo: Edm.Int32
AuditLogRecordType
A tabela seguinte resume os valores de AuditLogRecordType que são relevantes para Microsoft Defender para Office 365 eventos:
| Valor | Nome do membro | Descrição |
|---|---|---|
| 28 | ThreatIntelligence | Eventos de phishing e software maligno de Proteção do Exchange Online e Microsoft Defender para Office 365. |
| 41 | ThreatIntelligenceUrl | Ligações Seguras tempo de bloqueio e bloquear eventos de substituição de Microsoft Defender para Office 365. |
| 47 | ThreatIntelligenceAtpContent | Eventos de phishing e software maligno para ficheiros no SharePoint Online, OneDrive para Empresas e Microsoft Teams, a partir de Microsoft Defender para Office 365. |
| 64 | AirInvestigation | Eventos automatizados de investigação e resposta, tais como detalhes de investigação e artefactos relevantes, do Microsoft Defender para Office 365 Plano 2. |
Importante
Tem de ter a função Administrador Global ou Administrador* de Segurança atribuída para configurar a integração do SIEM com Microsoft Defender para Office 365. Para obter mais informações, veja Permissões no portal do Microsoft Defender.
*A Microsoft recomenda que utilize funções com o menor número de permissões. A utilização de contas com permissões mais baixas ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não pode utilizar uma função existente.
O registo de auditoria tem de estar ativado para o seu ambiente do Microsoft 365 (está ativado por predefinição). Para verificar se o registo de auditoria está ativado ou para o ativar, consulte Ativar ou desativar a auditoria.