Säkerhetsinformation och händelsehantering (SIEM) -serverintegrering med Microsoft 365 och program
Gäller för
- Exchange Online Protection
- Microsoft Defender för Office 365 Abonnemang 1 och Abonnemang 2
- Microsoft 365 Defender
Viktigt
Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.
Sammanfattning
Använder eller planerar din organisation att skaffa en säkerhetsinformations- och händelsehanteringsserver (SIEM) ? Du kanske undrar hur det går att integrera med Microsoft 365 eller Office 365. Den här artikeln innehåller en lista över resurser som du kan använda för att integrera SIEM-servern Microsoft 365 tjänster och program.
Tips
Om du inte har en SIEM-server ännu och utforskar alternativen kan du överväga att Microsoft Azure Sentinel.
Behöver jag en SIEM-server?
Om du behöver en SIEM-server beror på många faktorer, till exempel organisationens säkerhetskrav och var dina data finns. Microsoft 365 innehåller ett brett utbud av säkerhetsfunktioner som uppfyller många organisationers säkerhetsbehov utan ytterligare servrar, till exempel en SIEM-server. Vissa organisationer har särskilda omständigheter som kräver användningen av en SIEM-server. Här är några exempel:
- Fabrikam har en del innehåll och program lokalt och en del i molnet (de har en hybridmolndistribution). För att få säkerhetsrapporter för allt innehåll och alla program har Fabrikam implementerat en SIEM-server.
- Contoso är en organisation för finansiella tjänster som har särskilt strikta säkerhetskrav. De har lagt till en SIEM-server i miljön för att kunna dra nytta av det extra säkerhetsskydd de behöver.
SIEM-serverintegrering med Microsoft 365
En SIEM-server kan ta emot data från en mängd Microsoft 365 tjänster och program. I följande tabell visas flera Microsoft 365-tjänster och -program, tillsammans med SIEM-serverindata och -resurser för mer information.
| Microsoft 365 Tjänst eller program | SIEM-serverindata/-metoder | Resurser för att få mer information |
|---|---|---|
| Microsoft Defender för Office 365 | Granskningsloggar | SIEM-integrering med Microsoft Defender för Office 365 |
| Microsoft Defender för Endpoint | HTTPS-slutpunkt med Azure som värd REST-API |
Dra aviseringar till dina SIEM-verktyg |
| Microsoft Cloud App Security | Loggintegrering | SIEM-integrering med Microsoft Cloud App Security |
Tips
Ta en titt på Azure Sentinel. Azure Sentinel levereras med kopplingar för Microsoft-lösningar. Dessa kopplingar är tillgängliga "utan att använda" och ger integration i realtid. Du kan använda Azure Sentinel med dina Microsoft 365 Defender-lösningar och Microsoft 365-tjänster, till exempel Office 365, Azure AD, Microsoft Defender för identitet, Microsoft Cloud App Security med mera.
Granskningsloggning måste vara aktiverat
Kontrollera att granskningsloggning är aktiverat innan du konfigurerar SIEM-serverintegrering.
- Mer SharePoint online, OneDrive för företag och Azure Active Directory finns i Aktivera eller inaktivera granskning.
- Mer Exchange Online finns i Hantera granskning av postlåda.
Fler resurser
Integrera säkerhetslösningar i Azure Defender
Integrera Microsoft Graph-säkerhets-API-aviseringar med en SIEM