Office 365용 Microsoft Defender SIEM 통합
적용 대상
참고
Microsoft 365 Defender를 경험해 보고 싶으신가요? Microsoft 365 Defender 평가하고 파일럿하는 방법에 대해 자세히 알아보세요.
조직에서 SIEM(보안 정보 및 이벤트 관리) 서버를 사용하는 경우 SIEM 서버와 Office 365용 Microsoft Defender 통합할 수 있습니다. Office 365 활동 관리 API를 사용하여 이 통합을 설정할 수 있습니다.
SIEM 통합을 사용하면 SIEM 서버 보고서에서 Office 365용 Microsoft Defender 감지된 맬웨어 또는 피싱과 같은 정보를 볼 수 있습니다.
- Office 365용 Microsoft Defender SIEM 통합의 예를 보려면 기술 Community 블로그: Office 365용 Defender 및 O365 관리 API를 사용하여 SOC의 효율성 향상을 참조하세요.
- Office 365 관리 API에 대한 자세한 내용은 Office 365 관리 API 개요를 참조하세요.
SIEM 통합 작동 방식
Office 365 활동 관리 API는 조직의 Microsoft 365 및 Azure Active Directory 활동 로그에서 사용자, 관리자, 시스템 및 정책 작업 및 이벤트에 대한 정보를 검색합니다. 조직에 계획 1 또는 2 또는 Office 365 E5 Office 365용 Microsoft Defender 경우 Office 365용 Microsoft Defender 스키마를 사용할 수 있습니다.
최근에 Office 365용 Microsoft Defender 계획 2의 자동화된 조사 및 응답 기능의 이벤트가 Office 365 관리 활동 API에 추가되었습니다. API는 ID, 이름 및 상태와 같은 핵심 조사 세부 정보에 대한 데이터를 포함할 뿐만 아니라 조사 작업 및 엔터티에 대한 개략적인 정보도 포함합니다.
SIEM 서버 또는 기타 유사한 시스템은 audit.general 워크로드를 폴링하여 검색 이벤트에 액세스합니다. 자세한 내용은 Office 365 관리 API를 사용하여 시작 참조하세요.
Enum: AuditLogRecordType - 형식: Edm.Int32
AuditLogRecordType
다음 표에는 Office 365용 Microsoft Defender 이벤트와 관련된 AuditLogRecordType 의 값이 요약되어 있습니다.
| 값 | 멤버 이름 | 설명 |
|---|---|---|
| 28 | ThreatIntelligence | Exchange Online Protection 및 Office 365용 Microsoft Defender 피싱 및 맬웨어 이벤트 |
| 41 | ThreatIntelligenceUrl | 금고 링크 차단 시간 및 블록 재정의 이벤트를 Office 365용 Microsoft Defender. |
| 47 | ThreatIntelligenceAtpContent | Office 365용 Microsoft Defender SharePoint Online, 비즈니스용 OneDrive 및 Microsoft Teams 파일에 대한 피싱 및 맬웨어 이벤트입니다. |
| 64 | AirInvestigation | Office 365용 Microsoft Defender 계획 2의 조사 세부 정보 및 관련 아티팩트와 같은 자동화된 조사 및 응답 이벤트입니다. |
중요
Office 365용 Microsoft Defender SIEM 통합을 설정하려면 Microsoft 365 Defender 포털에 전역 관리자 또는 보안 관리자 역할이 할당되어 있어야 합니다. 자세한 내용은 Microsoft 365 Defender 포털 권한을 참조하세요.
Microsoft 365 환경에 대해 감사 로깅을 설정해야 합니다. 이에 대한 도움말을 보려면 감사 로그 검색 설정 또는 해제를 참조하세요.