Siem-serverintegrering (Security Information and Event Management) med Microsoft 365-tjänster och -program
Tips
Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkor på Try Microsoft Defender för Office 365.
Sammanfattning
Använder eller planerar din organisation att skaffa en SIEM-server (Security Information and Event Management) ? Du kanske undrar hur den integreras med Microsoft 365 eller Office 365. Den här artikeln innehåller en lista över resurser som du kan använda för att integrera SIEM-servern med Microsoft 365-tjänster och -program.
Tips
Om du inte har någon SIEM-server än och utforskar dina alternativ kan du överväga Microsoft Sentinel.
Behöver jag en SIEM-server?
Om du behöver en SIEM-server beror på många faktorer, till exempel organisationens säkerhetskrav och var dina data finns. Microsoft 365 innehåller en mängd olika säkerhetsfunktioner som uppfyller många organisationers säkerhetsbehov utan ytterligare servrar, till exempel en SIEM-server. Vissa organisationer har särskilda omständigheter som kräver användning av en SIEM-server. Här är några exempel:
- Fabrikam har en del innehåll och program lokalt, och vissa i molnet (de har en hybridmolndistribution). Fabrikam implementerade en SIEM-server för att få säkerhetsrapporter för allt innehåll och program.
- Contoso är en organisation för finansiella tjänster som har stränga säkerhetskrav. De har lagt till en SIEM-server i sin miljö för att dra nytta av de extra säkerhetsskydd som de behöver.
SIEM-serverintegrering med Microsoft 365
En SIEM-server kan ta emot data från en mängd olika Microsoft 365-tjänster och -program. I följande tabell visas flera Microsoft 365-tjänster och program, tillsammans med SIEM-serverindata och resurser för att lära dig mer.
| Microsoft 365-tjänst eller -program | SIEM-serverindata/-metoder | Resurser för att få mer information |
|---|---|---|
| Microsoft Defender för Office 365 | Granskningsloggar | SIEM-integrering med Microsoft Defender för Office 365 |
| Microsoft Defender för Endpoint | HTTPS-slutpunkt i Azure REST-API |
Hämta aviseringar till SIEM-verktygen |
| Microsoft Defender for Cloud Apps | Loggintegrering | SIEM-integrering med Microsoft Defender for Cloud Apps |
Tips
Ta en titt på Microsoft Sentinel. Microsoft Sentinel levereras med anslutningsappar för Microsoft-lösningar. Dessa anslutningsappar är tillgängliga "out of the box" och tillhandahåller realtidsintegrering. Du kan använda Microsoft Sentinel med dina Microsoft Defender XDR-lösningar och Microsoft 365-tjänster, inklusive Office 365, Microsoft Entra ID, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps med mera.
Granskningsloggning måste vara aktiverat
Kontrollera att granskningsloggning är aktiverat innan du konfigurerar SIEM-serverintegrering:
- Information om SharePoint, OneDrive och Microsoft Entra ID finns i Aktivera eller inaktivera granskning.
- Mer Exchange Online finns i Hantera granskning av postlådor.
Integreringssteg om din SIEM är Microsoft Sentinel
Kontrollera följande krav:
- Din aktuella Microsoft 365-prenumeration (till exempel Microsoft Defender för Office 365 abonnemang 2) möjliggör Microsoft Sentinel integrering.
- Ditt konto i Microsoft Defender för Office 365 eller Microsoft Defender XDR är en säkerhetsadministratör.
- Kontrollera att du har skrivbehörigheter i Microsoft Sentinel.
Gå till Microsoft Sentinel.
I navigeringen till vänster på skärmenKonfigurationsdataanslutningar>.
Sök efter Microsoft Defender XDR och välj anslutningsappen Microsoft Defender XDR (förhandsversion).
Till höger på skärmen väljer du Öppna anslutningssidan.
Under Konfiguration> väljer du Anslut incidenter & aviseringar
Inaktivera alla microsoft-regler för incidentskapande för de produkter som för närvarande är valda.
Rulla till Microsoft Defender för Office 365 i avsnittet Anslut händelser på sidan.
Du kan välja tabeller från andra Microsoft Defender produkt som du tycker är användbar och tillämplig när du slutför följande sista steg:
Välj EmailEvents, EmailUrlInfo, EmailAttachmentInfo och EmailPostDeliveryEvents> och Tillämpa ändringar.
Fler resurser
Integrera säkerhetslösningar i Microsoft Defender för molnet
Integrera Microsoft Graph API för säkerhet-aviseringar med en SIEM