安全信息和事件管理 (SIEM) 服务器与Microsoft 365服务和应用程序的集成
适用对象
提示
是否知道可以在 Microsoft 365 Defender 中免费试用Office 365计划 2 中的功能? 在Microsoft 365 Defender门户试用中心使用为期 90 天的Defender for Office 365试用版。 在此处了解谁可以注册和试用条款。
摘要
你的组织是否使用或计划获取 SIEM) 服务器 (安全信息和事件管理? 你可能想知道它如何与Microsoft 365或Office 365集成。 本文提供可用于将 SIEM 服务器与Microsoft 365服务和应用程序集成的资源列表。
提示
如果还没有 SIEM 服务器,并且正在浏览你的选项,请考虑 Microsoft Sentinel。
是否需要 SIEM 服务器?
是否需要 SIEM 服务器取决于许多因素,例如组织的安全要求和数据所在的位置。 Microsoft 365包括各种安全功能,无需其他服务器(如 SIEM 服务器)即可满足许多组织的安全需求。 某些组织有需要使用 SIEM 服务器的特殊情况。 下面是一些示例:
- Fabrikam 在本地有一些内容和应用程序,有些在云 (有混合云部署) 。 为了获取所有内容和应用程序的安全报告,Fabrikam 已实现 SIEM 服务器。
- Contoso 是一个金融服务组织,具有特别严格的安全要求。 他们已将 SIEM 服务器添加到其环境中,以利用所需的额外安全保护。
SIEM 服务器与 Microsoft 365 集成
SIEM 服务器可以从各种Microsoft 365服务和应用程序接收数据。 下表列出了多个Microsoft 365服务和应用程序,以及 SIEM 服务器输入和资源以了解详细信息。
| Microsoft 365服务或应用程序 | SIEM 服务器输入/方法 | 了解详细信息的资源 |
|---|---|---|
| Microsoft Defender for Office 365 | 审核日志 | SIEM 与 Microsoft Defender for Office 365 集成 |
| Microsoft Defender for Endpoint | Azure 中托管的 HTTPS 终结点 REST API |
将警报拉取到 SIEM 工具 |
| Microsoft Defender for Cloud Apps | 日志集成 | SIEM 与 Microsoft Defender for Cloud Apps 集成 |
提示
查看 Microsoft Sentinel。 Microsoft Sentinel 附带 Microsoft 解决方案的连接器。 这些连接器“开箱即用”可用,并提供实时集成。 可以将 Microsoft Sentinel 与Microsoft 365 Defender解决方案和Microsoft 365服务配合使用,包括 Office 365、Azure AD、Microsoft Defender for Identity、Microsoft Defender for Cloud Apps等。
必须打开审核日志记录
在配置 SIEM 服务器集成之前,请确保已启用审核日志记录。
- 有关SharePoint联机、OneDrive for Business和Azure Active Directory,请参阅打开或关闭审核。
- 有关Exchange Online,请参阅“管理邮箱审核”。
如果 SIEM 是 Microsoft Sentinel,则集成步骤
请确保当前计划允许 Microsoft Sentinel 集成 (例如,你已Microsoft Defender for Office 365计划 2 或更高版本) ,并且Microsoft Defender for Office 365或Microsoft 365 Defender中的帐户是 安全管理员。 最后,请确保在 Microsoft Sentinel 中具有写入权 限。
- 导航到 Microsoft Sentinel。
- 在屏幕左侧的导航中 ,配置 > 数据连接器。
- 搜索 Microsoft 365 Defender并选择 Microsoft 365 Defender (预览) 连接器。
- 在屏幕右侧选择 “打开连接器页”。
- 在 “配置”下>选择 连接事件&警报
- 关闭当前所选产品的所有 Microsoft 事件创建规则。
- 滚动到页面 连接 事件部分中的 Microsoft Defender for Office 365。
请注意,你可以在完成最后一步时从 任何其他 Microsoft Defender 产品 中选择具有帮助且适用的表, (下面) 。
- 选择 EmailEvents、 EmailUrlInfo、 EmailAttachmentInfo 和 EmailPostDeliveryEvents >并 应用更改。