Integracja serwera usługi Security Information and Event Management (SIEM) z usługami i aplikacjami platformy Microsoft 365
Porada
Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft Defender XDR Office 365 planie 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Ochrona usługi Office 365 w usłudze Microsoft Defender.
Podsumowanie
Czy Twoja organizacja korzysta z serwera SIEM (Security Information and Event Management) lub planuje go pobrać? Być może zastanawiasz się, jak integruje się z platformą Microsoft 365 lub Office 365. Ten artykuł zawiera listę zasobów, których można użyć do integracji serwera SIEM z usługami i aplikacjami platformy Microsoft 365.
Porada
Jeśli nie masz jeszcze serwera SIEM i eksplorujesz swoje opcje, rozważ Microsoft Sentinel.
Czy potrzebuję serwera SIEM?
To, czy potrzebujesz serwera SIEM, zależy od wielu czynników, takich jak wymagania dotyczące zabezpieczeń organizacji i miejsce, w którym znajdują się dane. Platforma Microsoft 365 oferuje szeroką gamę funkcji zabezpieczeń, które spełniają potrzeby wielu organizacji w zakresie zabezpieczeń bez dodatkowych serwerów, takich jak serwer SIEM. Niektóre organizacje mają specjalne okoliczności, które wymagają użycia serwera SIEM. Oto kilka przykładów:
- Firma Fabrikam ma lokalną zawartość i aplikacje, a niektóre w chmurze (mają wdrożenie chmury hybrydowej). Aby uzyskać raporty zabezpieczeń dla całej zawartości i aplikacji, firma Fabrikam zaimplementował serwer SIEM.
- Contoso to organizacja usług finansowych, która ma rygorystyczne wymagania dotyczące zabezpieczeń. Dodali serwer SIEM do swojego środowiska, aby skorzystać z dodatkowych wymaganych zabezpieczeń.
Integracja serwera SIEM z platformą Microsoft 365
Serwer SIEM może odbierać dane z wielu różnych usług i aplikacji platformy Microsoft 365. W poniższej tabeli wymieniono kilka usług i aplikacji platformy Microsoft 365 oraz dane wejściowe i zasoby serwera SIEM, aby dowiedzieć się więcej.
| Usługa lub aplikacja platformy Microsoft 365 | Dane wejściowe/metody serwera SIEM | Zasoby, aby dowiedzieć się więcej |
|---|---|---|
| Ochrona usługi Office 365 w usłudze Microsoft Defender | Dzienniki inspekcji | Integracja rozwiązania SIEM z Ochrona usługi Office 365 w usłudze Microsoft Defender |
| Ochrona punktu końcowego w usłudze Microsoft Defender | Punkt końcowy HTTPS hostowany na platformie Azure REST API |
Ściąganie alertów do narzędzi SIEM |
| Microsoft Defender for Cloud Apps | Integracja dzienników | Integracja rozwiązania SIEM z Microsoft Defender for Cloud Apps |
Porada
Przyjrzyj się Microsoft Sentinel. Microsoft Sentinel zawiera łączniki dla rozwiązań firmy Microsoft. Te łączniki są dostępne "po wyjętej wersji" i zapewniają integrację w czasie rzeczywistym. Możesz używać Microsoft Sentinel z rozwiązaniami Microsoft Defender XDR i usługami platformy Microsoft 365, w tym z usługami Office 365, Tożsamość Microsoft Entra Microsoft Defender for Identity, Microsoft Defender for Cloud Apps i nie tylko.
Rejestrowanie inspekcji musi być włączone
Przed skonfigurowaniem integracji serwera SIEM upewnij się, że rejestrowanie inspekcji jest włączone:
- W przypadku programów SharePoint, OneDrive i Tożsamość Microsoft Entra zobacz Włączanie lub wyłączanie inspekcji.
- Aby uzyskać Exchange Online, zobacz Zarządzanie inspekcją skrzynek pocztowych.
Kroki integracji, jeśli rozwiązanie SIEM jest Microsoft Sentinel
Sprawdź następujące wymagania:
- Bieżąca subskrypcja platformy Microsoft 365 (na przykład Ochrona usługi Office 365 w usłudze Microsoft Defender plan 2) umożliwia integrację Microsoft Sentinel.
- Twoje konto w Ochrona usługi Office 365 w usłudze Microsoft Defender lub Microsoft Defender XDR jest administratorem zabezpieczeń.
- Sprawdź, czy masz uprawnienia do zapisu w Microsoft Sentinel.
Przejdź do Microsoft Sentinel.
Na nawigacji po lewej stronie ekranuŁączniki danych konfiguracji>.
Wyszukaj Microsoft Defender XDR i wybierz łącznik Microsoft Defender XDR (wersja zapoznawcza).
Po prawej stronie ekranu wybierz pozycję Otwórz stronę łącznika.
W obszarze Konfiguracja> wybierz pozycję Połącz zdarzenia & alerty
Wyłącz wszystkie reguły tworzenia zdarzeń firmy Microsoft dla aktualnie wybranych produktów.
Przewiń do Ochrona usługi Office 365 w usłudze Microsoft Defender w sekcji Połącz zdarzenia na stronie.
Możesz wybrać tabele z dowolnego innego produktu Microsoft Defender, który jest przydatny i odpowiedni podczas wykonywania następującego końcowego kroku:
Wybierz pozycje EmailEvents, EmailUrlInfo, EmailAttachmentInfo i EmailPostDeliveryEvents> i Zastosuj zmiany.
Więcej zasobów
Integrowanie rozwiązań zabezpieczeń w usłudze Microsoft Defender for Cloud
Integrowanie alertów interfejs API Zabezpieczenia programu Microsoft Graph z rozwiązaniem SIEM