Integrace SIEM s Microsoft Defender pro Office 365
Tip
Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defender XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Zde zjistíte více o tom, kdo se může zaregistrovat a o podmínkách zkušební verze.
Pokud vaše organizace používá server pro správu událostí a informací o zabezpečení (SIEM), můžete Microsoft Defender pro Office 365 integrovat se serverem SIEM. Tuto integraci můžete nastavit pomocí rozhraní API Office 365 Activity Management.
Integrace SIEM umožňuje zobrazit informace, jako je malware nebo phish detekované Microsoft Defender pro Office 365, v sestavách serveru SIEM.
- Příklad integrace SIEM s Microsoft Defender pro Office 365 najdete v blogu Tech Community: Vylepšení efektivity SOC pomocí Defender pro Office 365 a rozhraní API pro správu O365.
- Další informace o rozhraních API pro správu Office 365 najdete v tématu Přehled rozhraní API pro správu Office 365.
Jak funguje integrace SIEM
Rozhraní API Office 365 Activity Management načítá informace o akcích a událostech uživatele, správce, systému a zásad z protokolů aktivit Microsoft 365 a Microsoft Entra vaší organizace. Pokud má vaše organizace Microsoft Defender pro Office 365 - plán 1, 2 nebo Office 365 E5, můžete použít schéma Microsoft Defender pro Office 365.
Nedávno se do rozhraní API aktivit Office 365 Management Přidaly události z automatizovaných možností vyšetřování a odpovědí v plánu Microsoft Defender pro Office 365 Plan 2. Kromě zahrnutí dat o základních podrobnostech šetření, jako jsou ID, název a stav, obsahuje rozhraní API také základní informace o akcích šetření a entitách.
Server SIEM nebo jiný podobný systém se dotazuje úlohy audit.general na přístup k událostem detekce. Další informace najdete v tématu Začínáme s rozhraními API pro správu Office 365.
Výčet: AuditLogRecordType – typ: Edm.Int32
AuditLogRecordType
Následující tabulka shrnuje hodnoty AuditLogRecordType, které jsou relevantní pro události Microsoft Defender pro Office 365:
Hodnota | Jméno člena | Popis |
---|---|---|
28 | ThreatIntelligence | Phishingové a malwarové události z Exchange Online Protection a Microsoft Defender pro Office 365 |
41 | ThreatIntelligenceUrl | Čas blokování a blokování událostí přepsání bezpečných propojení z Microsoft Defender pro Office 365. |
47 | ThreatIntelligenceAtpContent | Útoky phishing a malware u souborů v SharePointu Online, OneDrive pro firmy a Microsoft Teams z Microsoft Defender pro Office 365. |
64 | AirInvestigation | Automatizované události vyšetřování a reakce, jako jsou podrobnosti o šetření a relevantní artefakty, z Microsoft Defender pro Office 365 Plan 2. |
Důležité
Abyste mohli nastavit integraci SIEM s Microsoft Defender pro Office 365, musíte mít na portálu Microsoft Defender přiřazenou roli globálního správce nebo správce zabezpečení. Další informace najdete v tématu Oprávnění na portálu Microsoft Defender.
Protokolování auditu musí být pro vaše prostředí Microsoft 365 zapnuté (ve výchozím nastavení je zapnuté). Pokud chcete ověřit, jestli je protokolování auditu zapnuté nebo jestli ho chcete zapnout, přečtěte si téma Zapnutí nebo vypnutí auditování.
Viz také
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro