Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Vihje
Tiesitkö, että voit kokeilla Microsoft Defender ominaisuuksia ilmaiseksi palvelupakettiin 2 Office 365? Käytä 90 päivän Defender-Office 365 kokeiluversiota Microsoft Defender portaalin kokeilukeskuksessa. Lue lisää siitä, ketkä voivat rekisteröityä ja käyttää kokeiluehtoja Office 365 Try Microsoft Defender -ruudussa.
Yhteenveto
Käyttääkö tai suunnitteleeko organisaatiosi suojaustietojen ja tapahtumien hallinnan (SIEM) palvelimen hankkimista? Saatat ihmetellä, miten se integroituu Microsoft 365:een tai Office 365. Tässä artikkelissa on luettelo resursseista, joiden avulla voit integroida SIEM-palvelimesi Microsoft 365 -palveluihin ja -sovelluksiin.
Vihje
Jos sinulla ei vielä ole SIEM-palvelinta ja tutkit vaihtoehtojasi, harkitse Microsoft Sentinel.
Tarvitsenko SIEM-palvelimen?
Se, tarvitsetko SIEM-palvelimen, riippuu useista tekijöistä, kuten organisaatiosi suojausvaatimuksista ja siitä, missä tietosi sijaitsevat. Microsoft 365 sisältää useita erilaisia suojausominaisuuksia, jotka vastaavat monien organisaatioiden suojaustarpeita ilman muita palvelimia, kuten SIEM-palvelinta. Joissakin organisaatioissa on erityisolosuhteita, jotka edellyttävät SIEM-palvelimen käyttöä. Seuraavassa on joitakin esimerkkejä:
- Fabrikam sisältää sisältöä ja sovelluksia paikallisesti ja joitakin pilvipalveluita (niillä on hybridipilvikäyttöönotto). Fabrikam otti käyttöön SIEM-palvelimen saadakseen suojausraportteja kaikesta sisällöstään ja sovelluksistaan.
- Contoso on rahoituspalvelujen organisaatio, jolla on tiukat suojausvaatimukset. He lisäsivät SIEM-palvelimen ympäristöönsä, jotta he voivat hyödyntää tarvitsemiaan ylimääräisiä suojaustoimia.
SIEM-palvelimen integrointi Microsoft 365:n kanssa
SIEM-palvelin voi vastaanottaa tietoja monista eri Microsoft 365 -palveluista ja -sovelluksista. Seuraavassa taulukossa on lueteltu useita Microsoft 365 -palveluita ja -sovelluksia sekä SIEM-palvelimen syötteet ja resurssit, joiden avulla saat lisätietoja.
| Microsoft 365 -palvelu tai -sovellus | SIEM-palvelimen syötteet/menetelmät | Lisätietoja resursseista |
|---|---|---|
| Microsoft Defender for Office 365 | Valvontalokit | siem-integrointi Office 365 Microsoft Defender kanssa |
| Microsoft Defender for Endpoint | Azure isännöity HTTPS-päätepiste REST-ohjelmointirajapinta |
Vastaanotusilmoitukset SIEM-työkaluihin |
| Microsoft Defender for Cloud Apps | Lokin integrointi | SIEM-integrointi Microsoft Defender for Cloud Apps kanssa |
Vihje
Katso Microsoft Sentinel. Microsoft Sentinel mukana toimitetaan Microsoft-ratkaisujen liittimet. Nämä liittimet ovat käytettävissä "käyttövalmiina", ja ne mahdollistavat reaaliaikaisen integroinnin. Voit käyttää Microsoft Sentinel Microsoft Defender XDR-ratkaisuissasi ja Microsoft 365 -palveluissasi, mukaan lukien Office 365, Microsoft Entra ID, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps ja paljon muuta.
Valvontaloki on otettava käyttöön
Varmista, että valvontaloki on käytössä, ennen kuin määrität SIEM-palvelimen integroinnin:
- Lisätietoja SharePointista, OneDrivesta ja Microsoft Entra ID on kohdassa Valvonnan ottaminen käyttöön tai poistaminen käytöstä.
- Katso Exchange Online kohdasta Postilaatikoiden valvonnan hallinta.
Integroinnin vaiheet, jos siem on Microsoft Sentinel
Tarkista seuraavat vaatimukset:
- Nykyinen Microsoft 365 -tilauksesi (esimerkiksi Microsoft Defender palvelupaketille Office 365 palvelupaketti 2) mahdollistaa Microsoft Sentinel integroinnin.
- Office 365 tai Microsoft Defender XDR Microsoft Defender tilisi on suojauksen järjestelmänvalvoja.
- Varmista, että sinulla on kirjoitusoikeudet Microsoft Sentinel.
Siirry Microsoft Sentinel.
Näytön vasemmalla puolellakokoonpanotietojen> yhdistimet.
Hae Microsoft Defender XDR ja valitse Microsoft Defender XDR (esikatselu) -liitin.
Valitse näytön oikeassa reunassa Avaa liitinsivu.
Valitse Määritykset-kohdassa>Yhdistä tapaukset & hälytykset
Poista käytöstä kaikki Microsoftin tapausten luontisäännöt tällä hetkellä valituissa tuotteissa.
Siirry Office 365 Microsoft Defender sivun Yhdistä tapahtumat -osassa.
Voit valita taulukoita mistä tahansa muusta Microsoft Defender tuotteesta, josta pidät hyödyllisenä ja soveltuvana seuraavan viimeisen vaiheen suorittamisen aikana:
Valitse EmailEvents, EmailUrlInfo, EmailAttachmentInfo ja EmailPostDeliveryEvents> ja Ota muutokset käyttöön.
Lisäresursseja
Suojausratkaisujen integrointi Microsoft Defender for Cloudissa
Microsoft Graphin suojauksen ohjelmointirajapinta ilmoitusten integrointi SIEM:n kanssa