安全性資訊和事件管理 (SIEM) 伺服器與 Microsoft 365 服務和應用程式的整合

• 適用於:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

提示

您是否知道您可以免費試用 Microsoft Defender 全面偵測回應 Office 365 方案 2 中的功能？ 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。

摘要

您的組織是否使用或計劃取得 SIEM) 伺服器 (安全性資訊和事件管理？ 您可能想知道它如何與 Microsoft 365 或 Office 365 整合。 本文提供可用來整合 SIEM 伺服器與Microsoft 365 服務和應用程式的資源清單。

提示

如果您還沒有 SIEM 伺服器，而且正在探索您的選項，請考慮 Microsoft Sentinel。

我需要 SIEM 伺服器嗎？

您是否需要 SIEM 伺服器取決於許多因素，例如貴組織的安全性需求和數據所在的位置。 Microsoft 365 包含各種安全性功能，可滿足許多組織的安全性需求，而不需要其他伺服器，例如 SIEM 伺服器。 有些組織有需要使用 SIEM 伺服器的特殊情況。 範例如下：

• Fabrikam 有一些內部部署內容和應用程式，有些則位於雲端 (具有混合式雲端部署) 。 為了取得其所有內容和應用程式的安全性報告，Fabrikam 實作 SIEM 伺服器。
• Contoso 是具有嚴格安全性需求的金融服務組織。 他們已將 SIEM 伺服器新增至其環境，以利用所需的額外安全性保護。

SIEM 伺服器與 Microsoft 365 整合

SIEM 伺服器可以接收來自各種Microsoft 365 服務和應用程式的數據。 下表列出數Microsoft 365 服務和應用程式，以及SIEM伺服器輸入和資源以深入瞭解。

Microsoft 365 服務或應用程式	SIEM 伺服器輸入/方法	可深入了解的資源
適用於 Office 365 的 Microsoft Defender	稽核記錄	SIEM 與 適用於 Office 365 的 Microsoft Defender整合
適用於端點的 Microsoft Defender	裝載於 Azure 中的 HTTPS 端點 REST API	將警示提取到 SIEM 工具
Microsoft 雲端 App 安全性	記錄整合	SIEM 與 Microsoft Defender for Cloud Apps整合

提示

請參閱 Microsoft Sentinel。 Microsoft Sentinel 隨附適用於Microsoft解決方案的連接器。 這些連接器是「現成可用的」，並提供即時整合。 您可以將 Microsoft Sentinel 與 Microsoft Defender 全面偵測回應 解決方案和Microsoft 365 服務搭配使用，包括 Office 365、Microsoft Entra ID、適用於身分識別的 Microsoft Defender、Microsoft Defender for Cloud Apps 等等。

必須開啟稽核記錄

設定 SIEM 伺服器整合之前，請確定稽核記錄已開啟：

• 針對 SharePoint、OneDrive 和 Microsoft Entra ID，請參閱開啟或關閉稽核。
• 如需 Exchange Online，請參閱管理信箱稽核。

如果您的 SIEM 已 Microsoft Sentinel 整合步驟

確認下列需求：

• 例如，目前的 Microsoft 365 訂閱 (，適用於 Office 365 的 Microsoft Defender 方案 2) 允許 Microsoft Sentinel 整合。
• 您在 適用於 Office 365 的 Microsoft Defender 或 Microsoft Defender 全面偵測回應 中的帳戶是安全性系統管理員。
• 確認您在 Microsoft Sentinel 中具有寫入許可權。

1. 流覽至 [Microsoft Sentinel]。

2. 在畫面>左側的導覽中，設定數據連接器。

3. 搜尋 Microsoft Defender 全面偵測回應，然後選取 Microsoft Defender 全面偵測回應 (預覽) 連接器。

4. 在畫面右側選取 [ 開啟連接器頁面]。

5. 在 [ 設定]> 底下，選 取 [連線事件 & 警示]

   針對目前選取的產品關閉所有Microsoft事件建立規則。

6. 在頁面的 [連線事件] 區段中捲動至 適用於 Office 365 的 Microsoft Defender。

   您可以在完成下列最後一個步驟時，從您覺得有説明且適用的任何其他 Microsoft Defender 產品中選擇資料表：

7. 選取 [EmailEvents]、[EmailUrlInfo]、[EmailAttachmentInfo] 和 [EmailPostDeliveryEvents]，然後 [套用>變更]。

其他資源

在雲端 Microsoft Defender 中整合安全性解決方案

整合 Microsoft Graph 安全性 API 警示與 SIEM