Säkerhetsinformation och händelsehantering (SIEM) -serverintegrering med Microsoft 365 och program

Gäller för

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Sammanfattning

Använder eller planerar din organisation att skaffa en säkerhetsinformations- och händelsehanteringsserver (SIEM) ? Du kanske undrar hur det går att integrera med Microsoft 365 eller Office 365. Den här artikeln innehåller en lista över resurser som du kan använda för att integrera SIEM-servern Microsoft 365 tjänster och program.

Tips

Om du inte har en SIEM-server ännu och utforskar alternativen kan du överväga att Microsoft Azure Sentinel.

Behöver jag en SIEM-server?

Om du behöver en SIEM-server beror på många faktorer, till exempel organisationens säkerhetskrav och var dina data finns. Microsoft 365 innehåller ett brett utbud av säkerhetsfunktioner som uppfyller många organisationers säkerhetsbehov utan ytterligare servrar, till exempel en SIEM-server. Vissa organisationer har särskilda omständigheter som kräver användningen av en SIEM-server. Här är några exempel:

  • Fabrikam har en del innehåll och program lokalt och en del i molnet (de har en hybridmolndistribution). För att få säkerhetsrapporter för allt innehåll och alla program har Fabrikam implementerat en SIEM-server.
  • Contoso är en organisation för finansiella tjänster som har särskilt strikta säkerhetskrav. De har lagt till en SIEM-server i miljön för att kunna dra nytta av det extra säkerhetsskydd de behöver.

SIEM-serverintegrering med Microsoft 365

En SIEM-server kan ta emot data från en mängd Microsoft 365 tjänster och program. I följande tabell visas flera Microsoft 365-tjänster och -program, tillsammans med SIEM-serverindata och -resurser för mer information.



Microsoft 365 Tjänst eller program SIEM-serverindata/-metoder Resurser för att få mer information
Microsoft Defender för Office 365 Granskningsloggar SIEM-integrering med Microsoft Defender för Office 365
Microsoft Defender för Endpoint HTTPS-slutpunkt med Azure som värd

REST-API

Dra aviseringar till dina SIEM-verktyg
Microsoft Cloud App Security Loggintegrering SIEM-integrering med Microsoft Cloud App Security

Tips

Ta en titt på Azure Sentinel. Azure Sentinel levereras med kopplingar för Microsoft-lösningar. Dessa kopplingar är tillgängliga "utan att använda" och ger integration i realtid. Du kan använda Azure Sentinel med dina Microsoft 365 Defender-lösningar och Microsoft 365-tjänster, till exempel Office 365, Azure AD, Microsoft Defender för identitet, Microsoft Cloud App Security med mera.

Granskningsloggning måste vara aktiverat

Kontrollera att granskningsloggning är aktiverat innan du konfigurerar SIEM-serverintegrering.

Fler resurser

Integrera säkerhetslösningar i Azure Defender

Integrera Microsoft Graph-säkerhets-API-aviseringar med en SIEM