Integração do servidor de Gestão de Eventos e Informações de Segurança (SIEM) com Microsoft 365 serviços e aplicações

Aplica-se a

Dica

Sabia que pode experimentar as funcionalidades do Microsoft 365 Defender para Office 365 Plano 2 gratuitamente? Utilize a versão de avaliação de 90 dias do Defender para Office 365 no hub de avaliação do portal do Microsoft 365 Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação aqui.

Resumo

A sua organização está a utilizar ou a planear obter um servidor de Gestão de Eventos e Informações de Segurança (SIEM)? Poderá estar a perguntar-se como se integra com o Microsoft 365 ou Office 365. Este artigo fornece uma lista dos recursos que pode utilizar para integrar o seu servidor SIEM com serviços e aplicações Microsoft 365 siem.

Dica

Se ainda não tiver um servidor SIEM e estiver a explorar as suas opções, considere o Microsoft Sintonel.

Preciso de um servidor SIEM?

Se precisa de um servidor SIEM depende de vários fatores, como os requisitos de segurança da sua organização e onde se encontram os seus dados. Microsoft 365 inclui uma grande variedade de funcionalidades de segurança que cumprem as necessidades de segurança de muitas organizações sem servidores adicionais, como um servidor SIEM. Algumas organizações têm circunstâncias especiais que exigem a utilização de um servidor SIEM. Eis alguns exemplos:

  • A Fabrikam tem alguns conteúdos e aplicações no local e algumas na nuvem (têm uma implementação híbrida na nuvem). Para obter relatórios de segurança em todos os seus conteúdos e aplicações, a Fabrikam implementou um servidor SIEM.
  • A Contoso é uma organização de serviços financeiros que tem requisitos de segurança particularmente rigorosos. Adicionou um servidor SIEM ao seu ambiente para tirar partido da proteção de segurança adicional necessária.

Integração do servidor SIEM com Microsoft 365

Um servidor SIEM pode receber dados de uma grande variedade de Microsoft 365 e aplicações. A seguinte tabela lista várias Microsoft 365 e aplicações, juntamente com entradas de servidores e recursos do SIEM para saber mais.



Microsoft 365 Serviço ou Aplicação Entradas/métodos do servidor SIEM Recursos para saber mais
Microsoft Defender para Office 365 Registos de auditoria Integração do SIEM com Microsoft Defender para Office 365
Microsoft Defender para Endpoint Ponto final HTTPS alocado no Azure

REST API

Remete alertas para as ferramentas do SIEM
Microsoft Defender for Cloud Apps Integração de registos Integração do SIEM com Microsoft Defender for Cloud Apps

Dica

Veja o Microsoft Sintonel. O Microsoft Sintonel vem com conectores para soluções Microsoft. Estes conectores estão disponíveis "fora de caixa" e fornecem uma integração em tempo real. Pode utilizar o Microsoft Sintonel com as suas soluções Microsoft 365 Defender e serviços Microsoft 365, incluindo serviços de Office 365, Azure AD, Microsoft Defender para Identidade, Microsoft Defender for Cloud Apps e muito mais.

O registo de auditoria tem de estar ação

Certifique-se de que o registo de auditoria está ativado antes de configurar a integração do servidor SIEM.

Passos de integração se o seu SIEM for o Microsoft Asnel

Certifique-se de que o seu plano Microsoft Defender para Office 365 atual permite a integração do Microsoft Asnel (por exemplo, se tem um Plano 2 ou superior) e que a sua conta no Microsoft Defender para Office 365 ou Microsoft 365 Defender é uma Administrador de Segurança. Por fim, certifique-se de que tem permissões de Escrita no Microsoft Sintonel.

  1. Navegue até Ao Microsoft Sentenel.
  2. Na navegação à esquerda do ecrã ConfigurationData > connectors.
  3. Procure o Microsoft 365 Defender e selecione o Microsoft 365 Defender (pré-visualização).
  4. No lado direito do ecrã, selecione Abrir Página do Conector.
  5. Em Definition > select Ligação incidents & alerts
    1. Deslige todas as regras de criação de incidentes da Microsoft para os produtos atualmente selecionados.
  6. Desloco até Microsoft Defender para Office 365 na Ligação de eventos da página.

Tenha em atenção que pode escolher tabelas a partir de qualquer outro produto do Microsoft Defender que achar útil e aplicável ao concluir o passo final (abaixo).

  1. Selecione EmailEvents, EmailUrlInfo, EmailAttachmentInfo e EmailPostDeliveryEvents > e Apply Changes.

Mais recursos

Integrar soluções de segurança Microsoft Defender para a Cloud

Integrar alertas do Microsoft Graph API de Segurança com um SIEM