安全信息和事件管理 (SIEM) 服务器与 Microsoft 365 服务和应用程序的集成

• 适用于:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

提示

你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗？ 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 在此处了解谁可以注册和试用条款。

摘要

组织是否使用或计划获取安全信息和事件管理 (SIEM) 服务器？ 你可能想知道它如何与 Microsoft 365 或 Office 365 集成。 本文提供了可用于将 SIEM 服务器与 Microsoft 365 服务和应用程序集成的资源列表。

提示

如果你还没有 SIEM 服务器，并且正在探索你的选项，请考虑 Microsoft Sentinel。

是否需要 SIEM 服务器？

是否需要 SIEM 服务器取决于许多因素，例如组织的安全要求和数据所在的位置。 Microsoft 365 包括各种安全功能，无需其他服务器（如 SIEM 服务器）即可满足许多组织的安全需求。 某些组织存在需要使用 SIEM 服务器的特殊情况。 下面是一些示例：

• Fabrikam 在本地提供一些内容和应用程序，一些内容和应用程序位于云中， (它们具有混合云部署) 。 为了获取其所有内容和应用程序的安全报告，Fabrikam 实现了 SIEM 服务器。
• Contoso 是一家具有严格安全要求的金融服务组织。 他们向环境添加了 SIEM 服务器，以利用所需的额外安全保护。

SIEM 服务器与 Microsoft 365 集成

SIEM 服务器可以从各种 Microsoft 365 服务和应用程序接收数据。 下表列出了多个 Microsoft 365 服务和应用程序，以及 SIEM 服务器输入和资源，以便了解详细信息。

Microsoft 365 服务或应用程序	SIEM 服务器输入/方法	了解详细信息的资源
Microsoft Defender for Office 365	审核日志	SIEM 与 Microsoft Defender for Office 365 集成
Microsoft Defender for Endpoint	Azure 中托管的 HTTPS 终结点 REST API	将警报拉取到 SIEM 工具
Microsoft Defender for Cloud Apps	日志集成	SIEM 与 Microsoft Defender for Cloud Apps 集成

提示

查看 Microsoft Sentinel。 Microsoft Sentinel 附带适用于 Microsoft 解决方案的连接器。 这些连接器“开箱即用”可用，并提供实时集成。 可以将 Microsoft Sentinel 与Microsoft Defender XDR解决方案和 Microsoft 365 服务配合使用，包括Office 365、Microsoft Entra ID、Microsoft Defender for Identity、Microsoft Defender for Cloud Apps等。

必须启用审核日志记录

在配置 SIEM 服务器集成之前，请确保已启用审核日志记录：

• 对于 SharePoint、OneDrive 和 Microsoft Entra ID，请参阅打开或关闭审核。
• 有关Exchange Online，请参阅管理邮箱审核。

如果 SIEM 是 Microsoft Sentinel，则集成步骤

验证以下要求：

• 例如，当前的 Microsoft 365 订阅 (Microsoft Defender for Office 365计划 2) 允许 Microsoft Sentinel 集成。
• Microsoft Defender for Office 365或Microsoft Defender XDR中的帐户是安全管理员。
• 验证你在 Microsoft Sentinel 中是否具有“写入”权限。

1. 导航到 Microsoft Sentinel。

2. 在屏幕左侧的导航中 ，配置>数据连接器。

3. 搜索Microsoft Defender XDR并选择Microsoft Defender XDR (预览) 连接器。

4. 在屏幕右侧选择“ 打开连接器页”。

5. 在“配置”>下，选择“连接事件 & 警报”

   关闭当前所选产品的所有 Microsoft 事件创建规则。

6. 滚动到页面的“连接事件”部分中的Microsoft Defender for Office 365。

   在完成以下最后一步时，你可以从任何其他Microsoft Defender产品中选择表，你认为有用且适用：

7. 选择 “EmailEvents”、“ EmailUrlInfo”、“ EmailAttachmentInfo”和 “EmailPostDeliveryEvents”> 和 “应用更改”。

更多资源

在 Microsoft Defender for Cloud 中集成安全解决方案

将 Microsoft Graph 安全性 API 警报与 SIEM 集成