安全性資訊和事件管理 (SIEM) 伺服器與 Microsoft 365 服務和應用程式的整合

• 適用於:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

提示

您知道您可以免費試用 Office 365 方案 2 的 Microsoft Defender 全面偵測回應 功能嗎？ 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 在這裡瞭解誰可以註冊和 試用條款。

摘要

您的組織是否使用或計劃取得 SIEM) 伺服器 (安全性資訊和事件管理？ 您可能想知道它如何與 Microsoft 365 或 Office 365 整合。 本文提供可用來整合 SIEM 伺服器與 Microsoft 365 服務和應用程式的資源清單。

提示

如果您還沒有 SIEM 伺服器，而且正在探索您的選項，請考慮 使用 Microsoft Sentinel。

我需要 SIEM 伺服器嗎？

您是否需要 SIEM 伺服器取決於許多因素，例如貴組織的安全性需求和數據所在的位置。 Microsoft 365 包含各種安全性功能，可滿足許多組織的安全性需求，而不需要其他伺服器，例如 SIEM 伺服器。 有些組織有需要使用 SIEM 伺服器的特殊情況。 範例如下：

• Fabrikam 有一些內部部署內容和應用程式，有些則位於雲端 (具有混合式雲端部署) 。 為了取得其所有內容和應用程式的安全性報告，Fabrikam 實作 SIEM 伺服器。
• Contoso 是具有嚴格安全性需求的金融服務組織。 他們已將 SIEM 伺服器新增至其環境，以利用所需的額外安全性保護。

SIEM 伺服器與 Microsoft 365 整合

SIEM 伺服器可以接收來自各種 Microsoft 365 服務和應用程式的數據。 下表列出數個 Microsoft 365 服務和應用程式，以及 SIEM 伺服器輸入和資源以深入瞭解。

Microsoft 365 服務或應用程式	SIEM 伺服器輸入/方法	可深入了解的資源
適用於 Office 365 的 Microsoft Defender	稽核記錄	SIEM 與 適用於 Office 365 的 Microsoft Defender整合
適用於端點的 Microsoft Defender	裝載於 Azure 中的 HTTPS 端點 REST API	將警示提取到 SIEM 工具
Microsoft 雲端 App 安全性	記錄整合	SIEM 與 Microsoft Defender for Cloud Apps整合

提示

請參閱 Microsoft Sentinel。 Microsoft Sentinel 隨附 Microsoft 解決方案的連接器。 這些連接器是「現成可用的」，並提供即時整合。 您可以使用 Microsoft Sentinel 搭配 Microsoft Defender 全面偵測回應 解決方案和 Microsoft 365 服務，包括 Office 365、Microsoft Entra ID、適用於身分識別的 Microsoft Defender、Microsoft Defender for Cloud Apps 等等。

必須開啟稽核記錄

設定 SIEM 伺服器整合之前，請確定稽核記錄已開啟：

• 針對 SharePoint、OneDrive 和 Microsoft Entra ID，請參閱開啟或關閉稽核。
• 如需 Exchange Online，請參閱管理信箱稽核。

如果您的 SIEM 是 Microsoft Sentinel，則會執行整合步驟

確認下列需求：

• 例如，您目前的 Microsoft 365 訂閱 (，適用於 Office 365 的 Microsoft Defender 方案 2) 允許 Microsoft Sentinel 整合。
• 您在 適用於 Office 365 的 Microsoft Defender 或 Microsoft Defender 全面偵測回應 中的帳戶是安全性系統管理員。
• 確認您在 Microsoft Sentinel 中具有寫入許可權。

1. 流覽至 Microsoft Sentinel。

2. 在畫面>左側的導覽中，設定數據連接器。

3. 搜尋 Microsoft Defender 全面偵測回應，然後選取 Microsoft Defender 全面偵測回應 (預覽) 連接器。

4. 在畫面右側選取 [ 開啟連接器頁面]。

5. 在 [ 設定]> 底下，選 取 [連線事件 & 警示]

   針對目前選取的產品關閉所有 Microsoft 事件建立規則。

6. 在頁面的 [連線事件] 區段中捲動至 [適用於 Office 365 的 Microsoft Defender] 。

   您可以在完成下列最後一個步驟時，從您覺得有説明且適用的任何其他 Microsoft Defender 產品中選擇資料表：

7. 選取 [EmailEvents]、[EmailUrlInfo]、[EmailAttachmentInfo] 和 [EmailPostDeliveryEvents]，然後 [套用>變更]。

其他資源

整合雲端 Microsoft Defender 中的安全性解決方案

整合 Microsoft Graph 安全性 API 警示與 SIEM