Интеграция сервера управления информационной безопасностью и событиями безопасности (SIEM) со службами и приложениями Microsoft 365
Совет
Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.
Сводка
Использует ли ваша организация или планирует ли получить сервер управления информационной безопасностью и событиями безопасности (SIEM)? Возможно, вам будет интересно, как он интегрируется с Microsoft 365 или Office 365. В этой статье приведен список ресурсов, которые можно использовать для интеграции сервера SIEM со службами и приложениями Microsoft 365.
Совет
Если у вас еще нет сервера SIEM и вы изучаете свои варианты, рассмотрите Microsoft Sentinel.
Нужен ли сервер SIEM?
Требуется ли сервер SIEM, зависит от многих факторов, таких как требования к безопасности вашей организации и расположение данных. Microsoft 365 включает широкий спектр функций безопасности, которые отвечают требованиям безопасности многих организаций без дополнительных серверов, таких как сервер SIEM. В некоторых организациях есть особые обстоятельства, требующие использования сервера SIEM. Ниже приводятся примеры:
- Fabrikam имеет некоторые содержимое и приложения в локальной среде, а некоторые — в облаке (они имеют гибридное облачное развертывание). Чтобы получить отчеты о безопасности для всего содержимого и приложений, Fabrikam реализовал сервер SIEM.
- Contoso — это организация финансовых услуг, которая имеет строгие требования к безопасности. Они добавили сервер SIEM в свою среду, чтобы воспользоваться дополнительными средствами безопасности, которые им требуются.
Интеграция сервера SIEM с Microsoft 365
Сервер SIEM может получать данные из широкого спектра служб и приложений Microsoft 365. В следующей таблице перечислены несколько служб и приложений Microsoft 365, а также входные данные и ресурсы сервера SIEM, чтобы узнать больше.
| Служба или приложение Microsoft 365 | Входные данные и методы сервера SIEM | Дополнительные ресурсы |
|---|---|---|
| Microsoft Defender для Office 365 | Журналы аудита | Интеграция SIEM с Microsoft Defender для Office 365 |
| Microsoft Defender для конечной точки | Конечная точка HTTPS, размещенная в Azure API REST |
Вытягивание оповещений в средства SIEM |
| Microsoft Defender for Cloud Apps | Интеграция журналов | Интеграция SIEM с Microsoft Defender for Cloud Apps |
Совет
Взгляните на Microsoft Sentinel. Microsoft Sentinel поставляется с соединителями для решений Майкрософт. Эти соединители доступны "из коробки" и обеспечивают интеграцию в режиме реального времени. Вы можете использовать Microsoft Sentinel с решениями Microsoft Defender XDR и службами Microsoft 365, включая Office 365, Microsoft Entra ID, Microsoft Defender для удостоверений, Microsoft Defender for Cloud Apps и многое другое.
Ведение журнала аудита должно быть включено
Убедитесь, что ведение журнала аудита включено, прежде чем настраивать интеграцию сервера SIEM:
- Сведения о SharePoint, OneDrive и Microsoft Entra ID см. в статье Включение и отключение аудита.
- Exchange Online см. в разделе Управление аудитом почтовых ящиков.
Шаги интеграции, если SIEM Microsoft Sentinel
Проверьте следующие требования:
- Текущая подписка Microsoft 365 (например, Microsoft Defender для Office 365 план 2) обеспечивает интеграцию Microsoft Sentinel.
- Ваша учетная запись в Microsoft Defender для Office 365 или Microsoft Defender XDR является администратором безопасности.
- Убедитесь, что у вас есть разрешения на запись в Microsoft Sentinel.
Перейдите к Microsoft Sentinel.
В области навигации слева от экранаСоединители данных конфигурации>.
Найдите Microsoft Defender XDR и выберите соединитель Microsoft Defender XDR (предварительная версия).
В правой части экрана выберите Открыть страницу соединителя.
В разделе Конфигурация> выберите Подключить инциденты & оповещения.
Отключите все правила создания инцидентов Майкрософт для выбранных продуктов.
Прокрутите страницу до Microsoft Defender для Office 365 в разделе События подключения.
Вы можете выбрать таблицы из любого другого продукта Microsoft Defender, который вы найдете полезным и применимым, выполнив следующий заключительный шаг:
Выберите EmailEvents, EmailUrlInfo, EmailAttachmentInfo и EmailPostDeliveryEvents> и Применить изменения.
Дополнительные ресурсы
Интеграция решений безопасности в Microsoft Defender для облака
Интеграция оповещений API безопасности Microsoft Graph с SIEM