安全信息和事件管理 (SIEM) 服务器与 Microsoft 365 服务和应用程序的集成

提示

你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。

摘要

组织是否使用或计划获取安全信息和事件管理 (SIEM) 服务器? 你可能想知道它如何与 Microsoft 365 或 Office 365 集成。 本文提供了可用于将 SIEM 服务器与 Microsoft 365 服务和应用程序集成的资源列表。

提示

如果还没有 SIEM 服务器,并且正在探索你的选项,请考虑Microsoft Sentinel

是否需要 SIEM 服务器?

是否需要 SIEM 服务器取决于许多因素,例如组织的安全要求和数据所在的位置。 Microsoft 365 包括各种安全功能,无需其他服务器(例如 SIEM 服务器)即可满足许多组织的安全需求。 某些组织存在需要使用 SIEM 服务器的特殊情况。 下面是一些示例:

  • Fabrikam 在本地提供一些内容和应用程序,一些内容和应用程序位于云中, (它们具有混合云部署) 。 为了获取其所有内容和应用程序的安全报告,Fabrikam 实现了 SIEM 服务器。
  • Contoso 是一家具有严格安全要求的金融服务组织。 他们向环境添加了 SIEM 服务器,以利用所需的额外安全保护。

SIEM 服务器与 Microsoft 365 集成

SIEM 服务器可以从各种Microsoft 365 服务和应用程序接收数据。 下表列出了多个Microsoft 365 服务和应用程序,以及 SIEM 服务器输入和资源,以便了解详细信息。

Microsoft 365 服务或应用程序 SIEM 服务器输入/方法 了解详细信息的资源
Microsoft Defender for Office 365 审核日志 SIEM 与 Microsoft Defender for Office 365 集成
Microsoft Defender for Endpoint Azure 中托管的 HTTPS 终结点

REST API

将警报拉取到 SIEM 工具
Microsoft Defender for Cloud Apps 日志集成 SIEM 与 Microsoft Defender for Cloud Apps 集成

提示

查看Microsoft Sentinel。 Microsoft Sentinel附带用于Microsoft解决方案的连接器。 这些连接器“开箱即用”可用,并提供实时集成。 可以将Microsoft Sentinel与Microsoft Defender XDR解决方案和Microsoft 365 服务(包括Office 365、Microsoft Entra ID、Microsoft Defender for Identity)Microsoft Defender for Cloud Apps等。

必须启用审核日志记录

在配置 SIEM 服务器集成之前,请确保已启用审核日志记录:

如果 SIEM 是Microsoft Sentinel,则集成步骤

验证以下要求:

  • 例如,当前Microsoft 365 订阅 (Microsoft Defender for Office 365计划 2) 允许Microsoft Sentinel集成。
  • Microsoft Defender for Office 365或Microsoft Defender XDR中的帐户是安全管理员
  • 验证是否在 Microsoft Sentinel 中具有写入权限
  1. 导航到Microsoft Sentinel。

  2. 在屏幕左侧的导航中 ,配置>数据连接器

  3. 搜索Microsoft Defender XDR并选择Microsoft Defender XDR (预览) 连接器

  4. 在屏幕右侧选择“ 打开连接器页”。

  5. “配置”>下,选择“连接事件 & 警报

    关闭当前所选产品的所有Microsoft事件创建规则。

  6. 滚动到页面“连接事件”部分中的Microsoft Defender for Office 365。

    在完成以下最后一步时,你可以从任何其他Microsoft Defender产品中选择表,你认为有用且适用:

  7. 选择 “EmailEvents”、“ EmailUrlInfo”、“ EmailAttachmentInfo”和 “EmailPostDeliveryEvents”> 和 “应用更改”。

更多资源

在 Microsoft Defender for Cloud 中集成安全解决方案

将 Microsoft Graph 安全性 API 警报与 SIEM 集成