安全性資訊和事件管理 (SIEM) 伺服器與Microsoft 365服務和應用程式的整合
適用於
提示
您知道您可以免費試用Office 365方案 2 的Microsoft 365 Defender功能嗎? 使用 Microsoft 365 Defender 入口網站試用中樞的 90 天適用於 Office 365 的 Defender試用版。 在這裡瞭解誰可以註冊和 試用條款。
摘要
您的組織是否使用或計畫取得 SIEM) 伺服器 (安全性資訊和事件管理? 您可能想知道它如何與Microsoft 365或Office 365整合。 本文提供可用來整合 SIEM 伺服器與Microsoft 365服務和應用程式的資源清單。
提示
如果您還沒有 SIEM 伺服器,而且正在探索您的選項,請考慮 使用 Microsoft Sentinel。
我需要 SIEM 伺服器嗎?
您是否需要 SIEM 伺服器取決於許多因素,例如貴組織的安全性需求和資料所在的位置。 Microsoft 365包含各種安全性功能,可滿足許多組織的安全性需求,而不需要其他伺服器,例如 SIEM 伺服器。 有些組織有需要使用 SIEM 伺服器的特殊情況。 範例如下:
- Fabrikam 有一些內部部署內容和應用程式,有些則位於雲端 (具有混合式雲端部署) 。 為了取得所有內容和應用程式的安全性報告,Fabrikam 已實作 SIEM 伺服器。
- Contoso 是一個金融服務組織,具有特別嚴格的安全性需求。 他們已將 SIEM 伺服器新增至其環境,以利用所需的額外安全性保護。
SIEM 伺服器與 Microsoft 365 整合
SIEM 伺服器可以從各種Microsoft 365服務和應用程式接收資料。 下表列出數個Microsoft 365服務和應用程式,以及 SIEM 伺服器輸入和資源以深入瞭解。
| Microsoft 365服務或應用程式 | SIEM 伺服器輸入/方法 | 可深入了解的資源 |
|---|---|---|
| 適用於 Office 365 的 Microsoft Defender | 稽核記錄 | SIEM 與 適用於 Office 365 的 Microsoft Defender 整合 |
| 適用於端點的 Microsoft Defender | 裝載于 Azure 中的 HTTPS 端點 REST API |
將警示提取到 SIEM 工具 |
| Microsoft 雲端 App 安全性 | 記錄整合 | SIEM 與 Microsoft Defender for Cloud Apps 整合 |
提示
請參閱 Microsoft Sentinel。 Microsoft Sentinel 隨附 Microsoft 解決方案的連接器。 這些連接器是「現成可用的」,並提供即時整合。 您可以使用 Microsoft Sentinel 搭配Microsoft 365 Defender解決方案和Microsoft 365服務,包括 Office 365、Azure AD、適用於身分識別的 Microsoft Defender、Microsoft Defender for Cloud Apps等等。
必須開啟稽核記錄
設定 SIEM 伺服器整合之前,請確定稽核記錄已開啟。
如果您的 SIEM 是 Microsoft Sentinel,則會執行整合步驟
請確定您目前的計畫允許 Microsoft Sentinel 整合 (例如,您已適用於 Office 365 的 Microsoft Defender方案 2 或更新版本) ,且您在 適用於 Office 365 的 Microsoft Defender 或 Microsoft 365 Defender 中的帳戶是 安全性系統管理員。 最後,請確定您在 Microsoft Sentinel 中具有寫入權限。
- 流覽至 Microsoft Sentinel。
- 在 畫面 > 左側的導覽中,設定 資料連線器。
- 搜尋 Microsoft 365 Defender,然後選 取Microsoft 365 Defender (預覽) 連接器。
- 在畫面右側選取 [ 開啟連接器頁面]。
- 在 [設定>] 底下 ,選取連線事件&警示
- 針對目前選取的產品關閉所有 Microsoft 事件建立規則。
- 捲動至 頁面連線 事件區段中的 適用於 Office 365 的 Microsoft Defender。
請注意,您可以在完成最後一個步驟時,從您覺得有説明且適用的 任何其他 Microsoft Defender 產品 中選擇資料表, (下) 。
- 選 取 EmailEvents、 EmailUrlInfo、 EmailAttachmentInfo 和 EmailPostDeliveryEvents >並 套用變更。