Biztonsági információk és események kezelése (SIEM) kiszolgálóintegráció Microsoft 365 szolgáltatásokkal és alkalmazásokkal
A következőkre vonatkozik:
- Exchange Online Védelmi szolgáltatás
- Office 365-höz készült Microsoft Defender 1. és 2. csomag
- Microsoft 365 Defender
Tipp
Tudta, hogy ingyenesen kipróbálhatja az Office 365-höz készült Microsoft 365 Defender 2. csomagjának funkcióit? Használja az Office 365-höz készült Defender 90 napos próbaverzióját a Microsoft 365 Defender portál próbaverziós központjában. Itt megtudhatja, hogy ki regisztrálhat, és mik a próbaverzió feltételei.
Összefoglalás
A szervezet biztonsági információ- és eseménykezelési (SIEM) kiszolgálót használ vagy tervez beszerezni? Felmerülhet a kérdés, hogyan integrálható Microsoft 365 vagy Office 365. Ez a cikk felsorolja azokat az erőforrásokat, amelyek segítségével integrálhatja a SIEM-kiszolgálót Microsoft 365 szolgáltatásokkal és alkalmazásokkal.
Tipp
Ha még nem rendelkezik SIEM-kiszolgálóval, és most ismerkedik a lehetőségekkel, fontolja meg a Microsoft Sentinel használatát.
Szükségem van SIEM-kiszolgálóra?
Az, hogy szüksége van-e SIEM-kiszolgálóra, számos tényezőtől függ, például a szervezet biztonsági követelményeitől és az adatok tárolási helyétől. Microsoft 365 számos olyan biztonsági funkciót tartalmaz, amely számos szervezet biztonsági igényeit kielégíti további kiszolgálók, például SIEM-kiszolgáló nélkül. Egyes szervezetek speciális körülmények között igényelnek SIEM-kiszolgálót. Néhány példa:
- A Fabrikam rendelkezik néhány helyszíni tartalommal és alkalmazással, néhány pedig a felhőben (hibrid felhőbeli üzembe helyezéssel). A Fabrikam egy SIEM-kiszolgálót implementált, hogy biztonsági jelentéseket kapjon az összes tartalomhoz és alkalmazáshoz.
- A Contoso egy pénzügyi szolgáltatási szervezet, amely különösen szigorú biztonsági követelményekkel rendelkezik. Hozzáadtak egy SIEM-kiszolgálót a környezetükhöz, hogy kihasználhassák a szükséges extra biztonsági védelmet.
SIEM-kiszolgálóintegráció Microsoft 365
A SIEM-kiszolgálók számos különböző Microsoft 365 szolgáltatásból és alkalmazásból fogadhatnak adatokat. Az alábbi táblázat több Microsoft 365 szolgáltatást és alkalmazást, valamint SIEM-kiszolgálóbemeneteket és -erőforrásokat sorol fel.
| Microsoft 365 szolgáltatás vagy alkalmazás | SIEM-kiszolgáló bemenetei/metódusai | További információ forrásanyagok |
|---|---|---|
| Office 365-höz készült Microsoft Defender | Auditnaplók | SIEM-integráció a Office 365-höz készült Microsoft Defender |
| Végponthoz készült Microsoft Defender | Az Azure-ban üzemeltetett HTTPS-végpont REST API |
Riasztások lekérése a SIEM-eszközökre |
| Microsoft Defender for Cloud Apps | Naplóintegráció | SIEM-integráció a Microsoft Defender for Cloud Apps |
Tipp
Tekintse meg a Microsoft Sentinelt. A Microsoft Sentinel a Microsoft-megoldások összekötőit is tartalmaz. Ezek az összekötők "használatra használatra" érhetők el, és valós idejű integrációt biztosítanak. A Microsoft Sentinelt használhatja Microsoft 365 Defender megoldásaival és Microsoft 365 szolgáltatásaival, beleértve a Office 365, Azure AD, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps és még sok más.
A naplózást be kell kapcsolni
A SIEM-kiszolgálóintegráció konfigurálása előtt győződjön meg arról, hogy a naplózás be van kapcsolva.
- Az SharePoint Online, OneDrive Vállalati verzió és Azure Active Directory a naplózás be- és kikapcsolása című témakörben olvashat.
- A Exchange Online lásd: Postaláda-naplózás kezelése.
Integrációs lépések, ha a SIEM a Microsoft Sentinel
Győződjön meg arról, hogy a jelenlegi csomag lehetővé teszi a Microsoft Sentinel integrációját (például Office 365-höz készült Microsoft Defender 2. vagy újabb csomaggal rendelkezik), és hogy a fiókja Office 365-höz készült Microsoft Defender vagy Microsoft 365 Defender biztonsági rendszergazda. Végül győződjön meg arról, hogy írási engedéllyel rendelkezik a Microsoft Sentinelben.
- Nyissa meg a Microsoft Sentinelt.
- A képernyő bal oldalán található konfigurációs > adatösszekötők navigációs sávján.
- Keresse meg a Microsoft 365 Defender, és válassza ki a Microsoft 365 Defender (előzetes verzió) összekötőt.
- A képernyő jobb oldalán válassza az Összekötő lap megnyitása lehetőséget.
- A Konfiguráció > területen válassza ki Csatlakozás incidenseket & riasztásokat
- Kapcsolja ki az összes Microsoft-incidenslétrehozási szabályt az aktuálisan kiválasztott termékekhez.
- Görgessen a lap Csatlakozás események szakaszában található Office 365-höz készült Microsoft Defender.
Vegye figyelembe, hogy bármely más Microsoft Defender-termék táblái közül választhat, amelyeket hasznosnak és alkalmazhatónak talál az utolsó lépés elvégzése során (alább).
- Válassza az EmailEvents, EmailUrlInfo, EmailAttachmentInfo és EmailPostDeliveryEvents >, és alkalmazza a módosításokat.
További források
Biztonsági megoldások integrálása a Felhőhöz készült Microsoft Defender