安全信息和事件管理 (SIEM) 服务器与 Microsoft 365 服务和应用程序的集成
提示
你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。
摘要
组织是否使用或计划获取安全信息和事件管理 (SIEM) 服务器? 你可能想知道它如何与 Microsoft 365 或 Office 365 集成。 本文提供了可用于将 SIEM 服务器与 Microsoft 365 服务和应用程序集成的资源列表。
提示
如果还没有 SIEM 服务器,并且正在探索你的选项,请考虑Microsoft Sentinel。
是否需要 SIEM 服务器?
是否需要 SIEM 服务器取决于许多因素,例如组织的安全要求和数据所在的位置。 Microsoft 365 包括各种安全功能,无需其他服务器(例如 SIEM 服务器)即可满足许多组织的安全需求。 某些组织存在需要使用 SIEM 服务器的特殊情况。 下面是一些示例:
- Fabrikam 在本地提供一些内容和应用程序,一些内容和应用程序位于云中, (它们具有混合云部署) 。 为了获取其所有内容和应用程序的安全报告,Fabrikam 实现了 SIEM 服务器。
- Contoso 是一家具有严格安全要求的金融服务组织。 他们向环境添加了 SIEM 服务器,以利用所需的额外安全保护。
SIEM 服务器与 Microsoft 365 集成
SIEM 服务器可以从各种Microsoft 365 服务和应用程序接收数据。 下表列出了多个Microsoft 365 服务和应用程序,以及 SIEM 服务器输入和资源,以便了解详细信息。
| Microsoft 365 服务或应用程序 | SIEM 服务器输入/方法 | 了解详细信息的资源 |
|---|---|---|
| Microsoft Defender for Office 365 | 审核日志 | SIEM 与 Microsoft Defender for Office 365 集成 |
| Microsoft Defender for Endpoint | Azure 中托管的 HTTPS 终结点 REST API |
将警报拉取到 SIEM 工具 |
| Microsoft Defender for Cloud Apps | 日志集成 | SIEM 与 Microsoft Defender for Cloud Apps 集成 |
提示
查看Microsoft Sentinel。 Microsoft Sentinel附带用于Microsoft解决方案的连接器。 这些连接器“开箱即用”可用,并提供实时集成。 可以将Microsoft Sentinel与Microsoft Defender XDR解决方案和Microsoft 365 服务(包括Office 365、Microsoft Entra ID、Microsoft Defender for Identity)Microsoft Defender for Cloud Apps等。
必须启用审核日志记录
在配置 SIEM 服务器集成之前,请确保已启用审核日志记录:
如果 SIEM 是Microsoft Sentinel,则集成步骤
验证以下要求:
- 例如,当前Microsoft 365 订阅 (Microsoft Defender for Office 365计划 2) 允许Microsoft Sentinel集成。
- Microsoft Defender for Office 365或Microsoft Defender XDR中的帐户是安全管理员。
- 验证是否在 Microsoft Sentinel 中具有写入权限。
导航到Microsoft Sentinel。
在屏幕左侧的导航中 ,配置>数据连接器。
搜索Microsoft Defender XDR并选择Microsoft Defender XDR (预览) 连接器。
在屏幕右侧选择“ 打开连接器页”。
在“配置”>下,选择“连接事件 & 警报”
关闭当前所选产品的所有Microsoft事件创建规则。
滚动到页面的“连接事件”部分中的Microsoft Defender for Office 365。
在完成以下最后一步时,你可以从任何其他Microsoft Defender产品中选择表,你认为有用且适用:
选择 “EmailEvents”、“ EmailUrlInfo”、“ EmailAttachmentInfo”和 “EmailPostDeliveryEvents”> 和 “应用更改”。