Microsoft 365 서비스 및 애플리케이션과 SIEM(보안 정보 및 이벤트 관리) 서버 통합

Microsoft Defender XDR Office 365 플랜 2의 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft Defender 포털 평가판 허브에서 90일 Office 365용 Defender 평가판을 사용합니다. 여기에서 등록 및 평가판 조건에 대해 알아봅니 .

요약

organization SIEM(보안 정보 및 이벤트 관리) 서버를 사용하거나 가져올 계획입니까? Microsoft 365 또는 Office 365 통합하는 방법을 궁금할 수 있습니다. 이 문서에서는 SIEM 서버를 Microsoft 365 서비스 및 애플리케이션과 통합하는 데 사용할 수 있는 리소스 목록을 제공합니다.

아직 SIEM 서버가 없고 옵션을 탐색하는 경우 Microsoft Sentinel을 고려하세요.

SIEM 서버가 필요한가요?

SIEM 서버가 필요한지 여부는 organization 보안 요구 사항 및 데이터가 있는 위치와 같은 여러 요인에 따라 달라집니다. Microsoft 365에는 SIEM 서버와 같은 추가 서버 없이 많은 조직의 보안 요구 사항을 충족하는 다양한 보안 기능이 포함되어 있습니다. 일부 조직에는 SIEM 서버를 사용해야 하는 특별한 상황이 있습니다. 다음은 몇 가지 예입니다.

  • Fabrikam 에는 일부 콘텐츠 및 애플리케이션이 온-프레미스에 있고 일부는 클라우드에 있습니다(하이브리드 클라우드 배포가 있습니다). 모든 콘텐츠 및 애플리케이션에 대한 보안 보고서를 가져오기 위해 Fabrikam은 SIEM 서버를 구현했습니다.
  • Contoso는 엄격한 보안 요구 사항이 있는 금융 서비스 organization. 필요한 추가 보안 보호를 활용하기 위해 환경에 SIEM 서버를 추가했습니다.

Microsoft 365와 SIEM 서버 통합

SIEM 서버는 다양한 Microsoft 365 서비스 및 애플리케이션에서 데이터를 받을 수 있습니다. 다음 표에는 여러 Microsoft 365 서비스 및 애플리케이션과 SIEM 서버 입력 및 리소스가 나와 있습니다.

Microsoft 365 서비스 또는 애플리케이션 SIEM 서버 입력/메서드 자세한 정보를 알아볼 수 있는 리소스
Office 365용 Microsoft Defender 감사 로그 Office 365용 Microsoft Defender SIEM 통합
엔드포인트용 Microsoft Defender Azure에서 호스트되는 HTTPS 엔드포인트

REST API

 SIEM 도구로 경고 끌어오기
Microsoft Defender for Cloud Apps 로그 통합 Microsoft Defender for Cloud Apps SIEM 통합

Microsoft Sentinel을 살펴보십시오. Microsoft Sentinel은 Microsoft 솔루션용 커넥터와 함께 제공됩니다. 이러한 커넥터는 "기본 제공"으로 제공되며 실시간 통합을 제공합니다. Office 365, Microsoft Entra ID, Microsoft Defender for Identity 등 Microsoft Defender XDR 솔루션 및 Microsoft 365 서비스와 함께 Microsoft Sentinel을 사용할 수 있습니다. Microsoft Defender for Cloud Apps 등.

감사 로깅을 켜야 합니다.

SIEM 서버 통합을 구성하기 전에 감사 로깅이 켜져 있는지 확인합니다.

SIEM이 Microsoft Sentinel인 경우 통합 단계

다음 요구 사항을 확인합니다.

  • 현재 Microsoft 365 구독(예: Office 365용 Microsoft Defender 플랜 2)에서 Microsoft Sentinel 통합을 허용합니다.
  • Office 365용 Microsoft Defender 또는 Microsoft Defender XDR 계정이 보안 관리자입니다.
  • Microsoft Sentinel에 쓰기 권한이 있는지 확인합니다.

  1. Microsoft Sentinel로 이동합니다.

  2. 화면의 왼쪽 탐색에서 구성>데이터 커넥터.

  3. Microsoft Defender XDR SearchMicrosoft Defender XDR(미리 보기) 커넥터를 선택합니다.

  4. 화면 오른쪽에서 커넥터 페이지 열기를 선택합니다.

  5. 구성>에서 경고 & 인시던트 연결을 선택합니다.

    현재 선택된 제품에 대한 모든 Microsoft 인시던트 생성 규칙을 끕니다.

  6. 페이지의 이벤트 연결 섹션에서 Office 365용 Microsoft Defender 스크롤합니다.

    다음 최종 단계를 완료하는 동안 유용하고 적용 가능한 다른 Microsoft Defender 제품 중에서 테이블을 선택할 수 있습니다.

  7. EmailEvents, EmailUrlInfo, EmailAttachmentInfoEmailPostDeliveryEvents를 선택하고 변경 내용을 적용합니다>.

추가 리소스

클라우드용 Microsoft Defender 보안 솔루션 통합

Microsoft Graph 보안 API 경고를 SIEM과 통합