提示
你知道可以免费试用Microsoft Defender for Office 365计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。
如果组织使用安全信息和事件管理 (SIEM) 服务器,则可以将Microsoft Defender for Office 365与 SIEM 服务器集成。 可以使用Office 365活动管理 API 设置此集成。
SIEM 集成使你能够在 SIEM 服务器报告中查看信息,例如Microsoft Defender for Office 365检测到的恶意软件或网络钓鱼。
- 若要查看 SIEM 与 Microsoft Defender for Office 365 集成的示例,请参阅Microsoft安全博客 - 使用 Defender for Office 365 和 O365 管理 API 提高 SOC 的有效性。
- 若要详细了解Office 365管理 API,请参阅Office 365管理 API 概述。
SIEM 集成的工作原理
Office 365活动管理 API 从组织的 Microsoft 365 和Microsoft Entra活动日志中检索有关用户、管理员、系统和策略作和事件的信息。 如果组织具有 Microsoft Defender for Office 365 计划 1、2 或Office 365 E5,则可以使用 Microsoft Defender for Office 365 架构。
最近,Microsoft Defender for Office 365计划 2 中的自动调查和响应功能的事件已添加到 Office 365 管理活动 API。 除了包含有关核心调查详细信息(如 ID、名称和状态)的数据外,API 还包含有关调查作和实体的高级信息。
SIEM 服务器或其他类似系统轮询 audit.general 工作负载以访问检测事件。 若要了解详细信息,请参阅 Office 365 管理 API 入门。
枚举:AuditLogRecordType - 类型:Edm.Int32
AuditLogRecordType
下表汇总了与Microsoft Defender for Office 365事件相关的 AuditLogRecordType 的值:
| 值 | 成员名称 | 说明 |
|---|---|---|
| 28 | ThreatIntelligence | Exchange Online Protection 和 Microsoft Defender for Office 365 中的网络钓鱼和恶意软件事件。 |
| 41 | ThreatIntelligenceUrl | 安全链接来自Microsoft Defender for Office 365的阻止和阻止替代事件的时间。 |
| 47 | ThreatIntelligenceAtpContent | SharePoint、OneDrive 和 Microsoft Teams 中文件的钓鱼和恶意软件事件Microsoft Defender for Office 365。 |
| 64 | AirInvestigation | 计划 2 Microsoft Defender for Office 365 中的自动调查和响应事件,例如调查详细信息和相关项目。 |
重要
必须分配有全局管理员*或安全管理员角色才能设置 SIEM 与Microsoft Defender for Office 365的集成。 有关详细信息,请参阅 Microsoft Defender 门户中的权限。
*Microsoft 建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。
Microsoft 365 环境必须启用审核日志记录, (默认) 启用。 若要验证审核日志记录是否已打开或打开,请参阅 打开或关闭审核。