共用方式為


安全性資訊和事件管理 (SIEM) 伺服器與 Microsoft 365 服務和應用程式的整合

提示

您知道您可以免費試用 適用於 Office 365 的 Microsoft Defender 方案 2 中的功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。

摘要

您的組織是否使用或計劃取得 SIEM) 伺服器 (安全性資訊和事件管理? 您可能想知道它如何與 Microsoft 365 或 Office 365 整合。 本文提供可用來整合 SIEM 伺服器與Microsoft 365 服務和應用程式的資源清單。

提示

如果您還沒有 SIEM 伺服器,而且正在探索您的選項,請考慮 Microsoft Sentinel

我需要 SIEM 伺服器嗎?

您是否需要 SIEM 伺服器取決於許多因素,例如貴組織的安全性需求和數據所在的位置。 Microsoft 365 包含各種安全性功能,可滿足許多組織的安全性需求,而不需要其他伺服器,例如 SIEM 伺服器。 有些組織有需要使用 SIEM 伺服器的特殊情況。 範例如下:

  • Fabrikam 有一些內部部署內容和應用程式,有些則位於雲端 (具有混合式雲端部署) 。 為了取得其所有內容和應用程式的安全性報告,Fabrikam 實作 SIEM 伺服器。
  • Contoso 是具有嚴格安全性需求的金融服務組織。 他們已將 SIEM 伺服器新增至其環境,以利用所需的額外安全性保護。

SIEM 伺服器與 Microsoft 365 整合

SIEM 伺服器可以接收來自各種Microsoft 365 服務和應用程式的數據。 下表列出數Microsoft 365 服務和應用程式,以及SIEM伺服器輸入和資源以深入瞭解。

Microsoft 365 服務或應用程式 SIEM 伺服器輸入/方法 可深入了解的資源
適用於 Office 365 的 Microsoft Defender 稽核記錄 SIEM 與 適用於 Office 365 的 Microsoft Defender整合
適用於端點的 Microsoft Defender 裝載於 Azure 中的 HTTPS 端點

REST API

將警示提取到 SIEM 工具
Microsoft 雲端 App 安全性 記錄整合 SIEM 與 Microsoft Defender for Cloud Apps整合

提示

看看 Microsoft Sentinel。 Microsoft Sentinel 隨附Microsoft解決方案的連接器。 這些連接器是「現成可用的」,並提供即時整合。 您可以將 Microsoft Sentinel 與 Microsoft Defender 全面偵測回應 解決方案和Microsoft 365 服務搭配使用,包括 Office 365、Microsoft Entra ID、適用於身分識別的 Microsoft Defender、Microsoft Defender for Cloud Apps 等等。

必須開啟稽核記錄

設定 SIEM 伺服器整合之前,請確定稽核記錄已開啟:

如果您的 SIEM 已 Microsoft Sentinel 整合步驟

確認下列需求:

  • 例如,您目前的 Microsoft 365 訂閱 (,適用於 Office 365 的 Microsoft Defender 方案 2) 允許 Microsoft Sentinel 整合。
  • 您在 適用於 Office 365 的 Microsoft Defender 或 Microsoft Defender 全面偵測回應 中的帳戶是安全性系統管理員
  • 確認您在 Microsoft Sentinel 中具有寫入許可權
  1. 流覽至 [Microsoft Sentinel]。

  2. 畫面>左側的導覽中,設定數據連接器

  3. 搜尋 Microsoft Defender 全面偵測回應,然後選取 Microsoft Defender 全面偵測回應 (預覽) 連接器

  4. 在畫面右側選取 [ 開啟連接器頁面]

  5. 在 [ 設定]> 底下,選 取 [連線事件 & 警示]

    針對目前選取的產品關閉所有Microsoft事件建立規則。

  6. 在頁面的 [連線事件] 區段中捲動至 適用於 Office 365 的 Microsoft Defender。

    您可以在完成下列最後一個步驟時,從您覺得有説明且適用的任何其他 Microsoft Defender 產品中選擇資料表:

  7. 取 [EmailEvents]、[EmailUrlInfo]、[EmailAttachmentInfo] 和 [EmailPostDeliveryEvents],然後 [套用>變更]

其他資源

在雲端 Microsoft Defender 中整合安全性解決方案

整合 Microsoft Graph 安全性 API 警示與 SIEM