Integrazione di SIEM con Advanced Threat ProtectionSIEM integration with Advanced Threat Protection

Importante

Benvenuti in Microsoft Defender per Office 365, il nome nuovo di Office 365 Advanced Threat Protection.Welcome to Microsoft Defender for Office 365, the new name for Office 365 Advanced Threat Protection. Qui sono disponibili altre informazioni su questo e altri aggiornamenti.Read more about this and other updates here. A breve aggiorneremo i nomi nei prodotti e nei documenti.We'll be updating names in products and in the docs in the near future.

Se l'organizzazione utilizza un server di gestione eventi e incidenti di sicurezza (SIEM), è possibile integrare Office 365 Advanced Threat Protection (Office 365 ATP) con il server SIEM.If your organization is using a security incident and event management (SIEM) server, you can integrate Office 365 Advanced Threat Protection (Office 365 ATP) with your SIEM server. È possibile configurare questa integrazione utilizzando l'API di gestione delle attività di Office 365.You can set up this integration by using the Office 365 Activity Management API.

L'integrazione di SIEM consente di visualizzare le informazioni, ad esempio malware o phishing rilevate da Office 365 ATP, nei report di SIEM server.SIEM integration enables you to view information, such as malware or phish detected by Office 365 ATP, in your SIEM server reports.

Funzionamento dell'integrazione di SIEMHow SIEM integration works

L'API di gestione delle attività di Office 365 recupera informazioni sulle azioni e sugli eventi degli utenti, dell'amministratore, del sistema e dei criteri dai registri delle attività di Microsoft 365 e Azure Active Directory dell'organizzazione.The Office 365 Activity Management API retrieves information about user, admin, system, and policy actions and events from your organization's Microsoft 365 and Azure Active Directory activity logs. Se l'organizzazione dispone di Office 365 ATP piano 1 o 2 oppure Office 365 E5, è possibile utilizzare lo schema ATP di office 365.If your organization has Office 365 ATP Plan 1 or 2, or Office 365 E5, you can use the Office 365 ATP schema.

Recentemente, gli eventi provenienti da indagini automatizzate e funzionalità di risposta in office 365 ATP piano 2 sono stati aggiunti all'API di attività di gestione di Office 365.Recently, events from automated investigation and response capabilities in Office 365 ATP Plan 2 were added to the Office 365 Management Activity API. Oltre a includere i dati relativi ai dettagli dell'analisi di base, quali ID, nome e stato, l'API contiene anche informazioni di alto livello sulle azioni e sulle entità di indagine.In addition to including data about core investigation details such as ID, name and status, the API also contains high-level information about investigation actions and entities.

Il server SIEM o un altro sistema analogo esegue il polling del controllo. carico di lavoro generale per accedere agli eventi di rilevamento.The SIEM server or other similar system polls the audit.general workload to access detection events. Per ulteriori informazioni, vedere Introduzione a Office 365 Management Apis.To learn more, see Get started with Office 365 Management APIs.

Enum: AuditLogRecordType-Type: EDM. Int32Enum: AuditLogRecordType - Type: Edm.Int32

AuditLogRecordTypeAuditLogRecordType

Nella tabella seguente sono riepilogati i valori di AuditLogRecordType rilevanti per gli eventi ATP di Office 365:The following table summarizes the values of AuditLogRecordType that are relevant for Office 365 ATP events:

ValoreValue Nome membroMember name DescrizioneDescription
2828 ThreatIntelligenceThreatIntelligence Eventi di phishing e malware da Exchange Online Protection e Office 365 ATP.Phishing and malware events from Exchange Online Protection and Office 365 ATP.
4141 ThreatIntelligenceUrlThreatIntelligenceUrl Collegamenti sicuri ATP Time-of-Block e Block override Events from Office 365 ATP.ATP Safe Links time-of-block and block override events from Office 365 ATP.
4747 ThreatIntelligenceAtpContentThreatIntelligenceAtpContent Eventi di phishing e malware per i file in SharePoint Online, OneDrive for business e Microsoft teams, da Office 365 ATP.Phishing and malware events for files in SharePoint Online, OneDrive for Business, and Microsoft Teams, from Office 365 ATP.
6464 IndagineAirInvestigation Eventi di analisi e di risposta automatizzati, ad esempio i dettagli dell'indagine e gli elementi rilevanti, da Office 365 ATP piano 2.Automated investigation and response events, such as investigation details and relevant artifacts, from Office 365 ATP Plan 2.

Importante

È necessario essere un amministratore globale o disporre del ruolo di amministratore della sicurezza assegnato per il Centro sicurezza & Compliance per configurare l'integrazione di SIEM con Office 365 Advanced Threat Protection.You must be a global administrator or have the security administrator role assigned for the Security & Compliance Center to set up SIEM integration with Office 365 Advanced Threat Protection.
La registrazione di controllo deve essere attivata per l'ambiente Microsoft 365.Audit logging must be turned on for your Microsoft 365 environment. Per ottenere assistenza, vedere attivazione o disattivazione della ricerca dei log di controllo.To get help with this, see Turn audit log search on or off.

Vedere ancheSee also

Analisi delle minacce e risposta alle minacce in Office 365Office 365 threat investigation and response

Indagine automatizzata e risposta (AIR) in Office 365Automated investigation and response (AIR) in Office 365