Integração do servidor SIEM (Gerenciamento de Eventos e Informações de Segurança) aos serviços e aplicativos do Microsoft 365
Dica
Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.
Resumo
Sua organização está usando ou planejando obter um servidor SIEM (Gerenciamento de Eventos e Informações de Segurança)? Você pode estar se perguntando como ele se integra ao Microsoft 365 ou Office 365. Este artigo fornece uma lista de recursos que você pode usar para integrar seu servidor SIEM aos serviços e aplicativos do Microsoft 365.
Dica
Se você ainda não tiver um servidor SIEM e estiver explorando suas opções, considere o Microsoft Sentinel.
Preciso de um servidor SIEM?
Se você precisa de um servidor SIEM depende de muitos fatores, como os requisitos de segurança da sua organização e onde seus dados residem. O Microsoft 365 inclui uma ampla variedade de recursos de segurança que atendem às necessidades de segurança de muitas organizações sem servidores adicionais, como um servidor SIEM. Algumas organizações têm circunstâncias especiais que exigem o uso de um servidor SIEM. Aqui estão alguns exemplos:
- O Fabrikam tem alguns conteúdos e aplicativos no local e alguns na nuvem (eles têm uma implantação de nuvem híbrida). Para obter relatórios de segurança para todo o conteúdo e aplicativos, a Fabrikam implementou um servidor SIEM.
- A Contoso é uma organização de serviços financeiros que tem requisitos de segurança rigorosos. Eles adicionaram um servidor SIEM ao seu ambiente para aproveitar as proteções de segurança extras necessárias.
Integração do servidor SIEM ao Microsoft 365
Um servidor SIEM pode receber dados de uma ampla variedade de serviços e aplicativos do Microsoft 365. A tabela a seguir lista vários serviços e aplicativos do Microsoft 365, juntamente com entradas e recursos do servidor SIEM para saber mais.
| Serviço ou aplicativo do Microsoft 365 | Entradas/métodos do servidor SIEM | Recursos para saber mais |
|---|---|---|
| Obter o Microsoft Defender para Office 365 | Logs de auditoria | Integração do SIEM com Microsoft Defender para Office 365 |
| Microsoft Defender para Ponto de Extremidade | Ponto de extremidade HTTPS hospedado no Azure API do REST |
Puxar alertas para suas ferramentas SIEM |
| Microsoft Defender for Cloud Apps | Integração de logs | Integração do SIEM com Microsoft Defender para Aplicativos de Nuvem |
Dica
Dê uma olhada no Microsoft Sentinel. O Microsoft Sentinel vem com conectores para soluções da Microsoft. Esses conectores estão disponíveis "fora da caixa" e fornecem integração em tempo real. Você pode usar o Microsoft Sentinel com suas soluções de Microsoft Defender XDR e serviços do Microsoft 365, incluindo Office 365, Microsoft Entra ID, Microsoft Defender para Identidade, Microsoft Defender para Aplicativos de Nuvem e muito mais.
O registro em log de auditoria deve ser ativado
Verifique se o log de auditoria está ativado antes de configurar a integração do servidor SIEM:
- Para SharePoint, OneDrive e Microsoft Entra ID, consulte Ativar ou desativar a auditoria.
- Para Exchange Online, consulte Gerenciar auditoria de caixa de correio.
Etapas de integração se o SIEM for o Microsoft Sentinel
Verifique os seguintes requisitos:
- Sua assinatura atual do Microsoft 365 (por exemplo, Microsoft Defender para Office 365 Plano 2) permite a integração do Microsoft Sentinel.
- Sua conta em Microsoft Defender para Office 365 ou Microsoft Defender XDR é um Administrador de Segurança.
- Verifique se você tem permissões de gravação no Microsoft Sentinel.
Navegue até o Microsoft Sentinel.
Na navegação à esquerda dosconectores de dados de configuração> de tela.
Pesquisa para Microsoft Defender XDR e selecione o conector Microsoft Defender XDR (versão prévia).
À direita da tela, selecione Abrir Página do Conector.
Em Configuração> , selecione Conectar incidentes & alertas
Desative todas as regras de criação de incidentes da Microsoft para os produtos selecionados no momento.
Role até Microsoft Defender para Office 365 na seção Conectar eventos da página.
Você pode escolher tabelas de qualquer outro produto Microsoft Defender que você achar útil e aplicável ao concluir a seguinte etapa final:
Selecione EmailEvents, EmailUrlInfo, EmailAttachmentInfo e EmailPostDeliveryEvents> e Aplicar Alterações.
Mais recursos
Integrar soluções de segurança no Microsoft Defender for Cloud
Integrar alertas da API de Segurança do Microsoft Graph com um SIEM