Integração do servidor de Gestão de Informações e Eventos de Segurança (SIEM) com aplicações e serviços do Microsoft 365
Sugestão
Sabia que pode experimentar as funcionalidades no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação aqui.
Resumo
A sua organização está a utilizar ou a planear obter um servidor de Gestão de Informações e Eventos de Segurança (SIEM)? Poderá estar a perguntar-se como se integra com o Microsoft 365 ou Office 365. Este artigo fornece uma lista de recursos que pode utilizar para integrar o seu servidor SIEM nos serviços e aplicações do Microsoft 365.
Sugestão
Se ainda não tiver um servidor SIEM e estiver a explorar as suas opções, considere o Microsoft Sentinel.
Preciso de um servidor SIEM?
A necessidade de um servidor SIEM depende de muitos fatores, como os requisitos de segurança da sua organização e onde residem os seus dados. O Microsoft 365 inclui uma grande variedade de funcionalidades de segurança que satisfazem as necessidades de segurança de muitas organizações sem servidores adicionais, como um servidor SIEM. Algumas organizações têm circunstâncias especiais que requerem a utilização de um servidor SIEM. Eis alguns exemplos:
- A Fabrikam tem alguns conteúdos e aplicações no local e alguns na cloud (têm uma implementação na cloud híbrida). Para obter relatórios de segurança para todos os respetivos conteúdos e aplicações, a Fabrikam implementou um servidor SIEM.
- A Contoso é uma organização de serviços financeiros que tem requisitos de segurança rigorosos. Adicionaram um servidor SIEM ao respetivo ambiente para tirar partido das proteções de segurança adicionais necessárias.
Integração do servidor SIEM com o Microsoft 365
Um servidor SIEM pode receber dados de uma grande variedade de serviços e aplicações do Microsoft 365. A tabela seguinte lista vários serviços e aplicações do Microsoft 365, juntamente com entradas e recursos do servidor SIEM para saber mais.
| Serviço ou Aplicação do Microsoft 365 | Entradas/métodos do servidor SIEM | Recursos para saber mais |
|---|---|---|
| Microsoft Defender para Office 365 | Registos de auditoria | Integração do SIEM com Microsoft Defender para Office 365 |
| Microsoft Defender para Endpoint | Ponto final HTTPS alojado no Azure REST API |
Solicitar alertas para as ferramentas SIEM |
| Microsoft Defender for Cloud Apps | Integração de registos | Integração do SIEM com o Microsoft Defender for Cloud Apps |
Sugestão
Veja o Microsoft Sentinel. O Microsoft Sentinel inclui conectores para soluções da Microsoft. Estes conectores estão disponíveis "fora da caixa" e fornecem integração em tempo real. Pode utilizar o Microsoft Sentinel com as suas soluções de Microsoft Defender XDR e serviços do Microsoft 365, incluindo Office 365, Microsoft Entra ID, Microsoft Defender para Identidade, Microsoft Defender for Cloud Apps e muito mais.
O registo de auditoria tem de estar ativado
Certifique-se de que o registo de auditoria está ativado antes de configurar a integração do servidor SIEM:
- Para o SharePoint, OneDrive e Microsoft Entra ID, consulte Ativar ou desativar a auditoria.
- Para Exchange Online, consulte Gerir a auditoria da caixa de correio.
Passos de integração se o SIEM for o Microsoft Sentinel
Verifique os seguintes requisitos:
- A sua subscrição atual do Microsoft 365 (por exemplo, Microsoft Defender para Office 365 Plano 2) permite a integração do Microsoft Sentinel.
- A sua conta no Microsoft Defender para Office 365 ou Microsoft Defender XDR é um Administrador de Segurança.
- Verifique se tem permissões de Escrita no Microsoft Sentinel.
Navegue para o Microsoft Sentinel.
Na navegação à esquerda do ecrãConectores de Dados de Configuração>.
Pesquisa para Microsoft Defender XDR e selecione o conector Microsoft Defender XDR (pré-visualização).
À direita do ecrã, selecione Abrir Página do Conector.
Em Configuração> , selecione Ligar incidentes & alertas
Desative todas as regras de criação de incidentes da Microsoft para os produtos atualmente selecionados.
Desloque-se para Microsoft Defender para Office 365 na secção Ligar eventos da página.
Pode escolher tabelas de qualquer outro produto Microsoft Defender que considera útil e aplicável ao concluir o passo final seguinte:
Selecione EmailEvents, EmailUrlInfo, EmailAttachmentInfo e EmailPostDeliveryEvents> e Aplicar Alterações.
Mais recursos
Integrar soluções de segurança no Microsoft Defender para a Cloud
Integrar alertas de API de Segurança do Microsoft Graph com um SIEM
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários