SIEM-integrering med Microsoft Defender för Office 365

Gäller för

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Om organisationen använder en säkerhetsinformations- och händelsehanteringsserver (SIEM) kan du integrera Microsoft Defender för Office 365 med SIEM-servern. Du kan konfigurera den här integreringen med hjälp Office 365 API för hanteringsaktivitet.

Med SIEM-integrering kan du visa information, t.ex. skadlig kod eller phish som upptäckts av Microsoft Defender för Office 365, i dina SIEM-serverrapporter.

  • Ett exempel på SIEM-integrering med Microsoft Defender för Office 365 finns i Tech Community-bloggen:Öka effektiviteten i SOC med Defender för Office 365 och O365 Management API.
  • Mer information om hur du Office 365 Api:er för hantering finns i Office 365 över API:er för hantering.

Så här fungerar SIEM-integrering

MED API Office 365 för hantering av aktivitet hämtar du information om användar-, administratörs-, system- och principåtgärder och -händelser från organisationens Microsoft 365 och Azure Active Directory aktivitetsloggar. Om din organisation har Microsoft Defender för Office 365 abonnemang 1 eller 2 eller Office 365 E5 kan du använda Microsoft Defender för Office 365-schema.

Nyligen lades händelser från automatiserad undersökning och svarsfunktioner i Microsoft Defender för Office 365 plan 2 till i API:t för hanteringsaktivitet Office 365 hanteringsaktivitet. Förutom att inkludera data om grundläggande undersökningsinformation som ID, namn och status innehåller API:et även hög nivå-information om undersökningsåtgärder och enheter.

SIEM-servern eller något annat liknande system avsöker arbetsbelastningen audit.general för att komma åt identifieringshändelser. Mer information finns i Komma igång med att Office 365 API:er för hantering.

Uppräkning: AuditLogRecordType – Typ: Edm.Int32

AuditLogRecordType

I följande tabell sammanfattas värdena för AuditLogRecordType som är relevanta för Microsoft Defender för Office 365 händelser:

Värde Medlemsnamn Beskrivning
28 ThreatIntelligence Nätfiske- och skadlig kodhändelser från Exchange Online Protection och Microsoft Defender för Office 365.
41 ThreatIntelligenceUrl Valv Länkar tid för blockering och blockering av händelser från Microsoft Defender för Office 365.
47 ThreatIntelligenceAtpContent Nätfiske- och skadlig programvara för filer i SharePoint Online, OneDrive för företag och Microsoft Teams från Microsoft Defender för Office 365.
64 AirInvestigation Automatisk undersökning och svarshändelser, till exempel undersökningsinformation och relevanta artefakter, från Microsoft Defender för Office 365 abonnemang 2.

Viktigt

Du måste ha rollen global administratör eller säkerhetsadministratör tilldelad i Microsoft 365 Defender-portalen för att konfigurera SIEM-integrering med Microsoft Defender för Office 365. Mer information finns under Behörigheter på Microsoft 365 Defender-portalen.

Granskningsloggning måste aktiveras i din Microsoft 365 miljö. Om du behöver hjälp med detta kan du gå till Aktivera eller inaktivera granskningsloggsökning.

Se även

Office 365 undersökning av hot och svar

Automatisk undersökning och svar (AIR) i Office 365