Integração do servidor de Gestão de Informações e Eventos de Segurança (SIEM) com aplicações e serviços do Microsoft 365
Dica
Sabia que pode experimentar as funcionalidades do Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Utilize a versão de avaliação de 90 dias do Defender para Office 365 no hub de avaliações do portal do Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar o Microsoft Defender para Office 365.
Resumo
A sua organização está a utilizar ou a planear obter um servidor de Gestão de Informações e Eventos de Segurança (SIEM)? Poderá estar a perguntar-se como se integra com o Microsoft 365 ou o Office 365. Este artigo fornece uma lista de recursos que pode utilizar para integrar o seu servidor SIEM nos serviços e aplicações do Microsoft 365.
Dica
Se ainda não tiver um servidor SIEM e estiver a explorar as suas opções, considere o Microsoft Sentinel.
Preciso de um servidor SIEM?
A necessidade de um servidor SIEM depende de muitos fatores, como os requisitos de segurança da sua organização e onde residem os seus dados. O Microsoft 365 inclui uma grande variedade de funcionalidades de segurança que satisfazem as necessidades de segurança de muitas organizações sem servidores adicionais, como um servidor SIEM. Algumas organizações têm circunstâncias especiais que requerem a utilização de um servidor SIEM. Aqui estão alguns exemplos:
- A Fabrikam tem alguns conteúdos e aplicações no local e alguns na cloud (têm uma implementação na cloud híbrida). Para obter relatórios de segurança para todos os respetivos conteúdos e aplicações, a Fabrikam implementou um servidor SIEM.
- A Contoso é uma organização de serviços financeiros que tem requisitos de segurança rigorosos. Adicionaram um servidor SIEM ao respetivo ambiente para tirar partido das proteções de segurança adicionais necessárias.
Integração do servidor SIEM com o Microsoft 365
Um servidor SIEM pode receber dados de uma grande variedade de serviços e aplicações do Microsoft 365. A tabela seguinte lista vários serviços e aplicações do Microsoft 365, juntamente com entradas e recursos do servidor SIEM para saber mais.
| Serviço ou Aplicação do Microsoft 365 | Entradas/métodos do servidor SIEM | Recursos para saber mais |
|---|---|---|
| Obter o Microsoft Defender para Office 365 | Logs de auditoria | Integração do SIEM com o Microsoft Defender para Office 365 |
| Microsoft Defender para Ponto de Extremidade | Ponto final HTTPS alojado no Azure API do REST |
Solicitar alertas para as ferramentas SIEM |
| Microsoft Defender for Cloud Apps | Integração de registos | Integração do SIEM com o Microsoft Defender para Aplicações na Cloud |
Dica
Veja o Microsoft Sentinel. O Microsoft Sentinel inclui conectores para soluções da Microsoft. Estes conectores estão disponíveis "fora da caixa" e fornecem integração em tempo real. Pode utilizar o Microsoft Sentinel com as suas soluções XDR do Microsoft Defender e serviços do Microsoft 365, incluindo o Office 365, o Microsoft Entra ID, o Microsoft Defender for Identity, o Microsoft Defender for Cloud Apps e muito mais.
O registo de auditoria tem de estar ativado
Certifique-se de que o registo de auditoria está ativado antes de configurar a integração do servidor SIEM:
- Para o SharePoint, OneDrive e Microsoft Entra ID, consulte Ativar ou desativar a auditoria.
- Para o Exchange Online, consulte Gerir a auditoria de caixas de correio.
Passos de integração se o SIEM for o Microsoft Sentinel
Verifique os seguintes requisitos:
- A sua subscrição atual do Microsoft 365 (por exemplo, o Microsoft Defender para Office 365 Plano 2) permite a integração do Microsoft Sentinel.
- A sua conta no Microsoft Defender para Office 365 ou Microsoft Defender XDR é um Administrador de Segurança.
- Verifique se tem permissões de Escrita no Microsoft Sentinel.
Navegue para o Microsoft Sentinel.
Na navegação à esquerda do ecrãConectores de Dados de Configuração>.
Procurar Microsoft Defender XDR e selecione o conector Microsoft Defender XDR (pré-visualização).
À direita do ecrã, selecione Abrir Página do Conector.
Em Configuração> , selecione Ligar incidentes & alertas
Desative todas as regras de criação de incidentes da Microsoft para os produtos atualmente selecionados.
Desloque-se para o Microsoft Defender para Office 365 na secção Ligar eventos da página.
Pode escolher tabelas de qualquer outro produto do Microsoft Defender que considera úteis e aplicáveis ao concluir o passo final seguinte:
Selecione EmailEvents, EmailUrlInfo, EmailAttachmentInfo e EmailPostDeliveryEvents> e Aplicar Alterações.
Mais recursos
Integrar soluções de segurança no Microsoft Defender para Cloud
Integrar alertas da API de Segurança do Microsoft Graph com um SIEM