Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Tipp
Wussten Sie, dass Sie die Features in Microsoft Defender für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-Tage-Testversion von Defender für Office 365 im Microsoft Defender-Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.
In diesem Artikel wird erläutert, wie Sie einen SIEM-Server (Security Information and Event Management) in Microsoft 365 Dienste und Anwendungen integrieren. Es behandelt die verfügbaren Integrationsmethoden, Überwachungsprotokollierungsvoraussetzungen und schrittweise Anleitungen zum Verbinden von Microsoft Sentinel mit Microsoft 365 Defender Daten.
Zusammenfassung
Verwendet Ihre Organisation einen SIEM-Server (Security Information and Event Management) oder plant sie, einen anzuschaffen? Sie fragen sich vielleicht, wie es in Microsoft 365 oder Office 365 integriert werden kann. Dieser Artikel enthält eine Liste der Ressourcen, mit denen Sie Ihren SIEM-Server in Microsoft 365-Dienste und -Anwendungen integrieren können.
Tipp
Wenn Sie noch keinen SIEM-Server haben und Ihre Optionen abwägen, sollten Sie Microsoft Sentinel in Betracht ziehen.
Benötige ich einen SIEM-Server?
Ob Sie einen SIEM-Server benötigen, hängt von vielen Faktoren ab, z. B. den Sicherheitsanforderungen Ihres organization und dem Speicherort Ihrer Daten. Microsoft 365 enthält eine Vielzahl von Sicherheitsfeatures, die die Sicherheitsanforderungen vieler Organisationen ohne zusätzliche Server erfüllen, z. B. einen SIEM-Server. Einige Organisationen haben besondere Umstände, die die Verwendung eines SIEM-Servers erfordern. Hier sind einige Beispiele:
- Fabrikam verfügt über einige Inhalte und Anwendungen lokal und einige in der Cloud (sie verfügen über eine Hybrid Cloud-Bereitstellung). Um Sicherheitsberichte für alle Inhalte und Anwendungen zu erhalten, hat Fabrikam einen SIEM-Server implementiert.
- Contoso ist ein organization für Finanzdienstleistungen mit strengen Sicherheitsanforderungen. Sie haben ihrer Umgebung einen SIEM-Server hinzugefügt, um die zusätzlichen Sicherheitsschutzfunktionen zu nutzen, die sie benötigen.
Integration eines SIEM-Servers mit Microsoft 365
Ein SIEM-Server kann Daten von einer Vielzahl von Microsoft 365-Diensten und -Anwendungen empfangen. In der folgenden Tabelle sind mehrere Microsoft 365-Dienste und -Anwendungen sowie SIEM-Servereingaben und -Ressourcen aufgeführt, um mehr zu erfahren.
| Microsoft 365-Dienst oder -Anwendung | SIEM-Servereingaben/-methoden | Ressourcen mit mehr Informationen |
|---|---|---|
| Microsoft Defender für Office 365 | Überwachungsprotokolle | SIEM-Integration mit Microsoft Defender für Office 365 |
| Microsoft Defender for Endpoint | HTTPS-Endpunkt, der in Azure gehostet wird REST-API |
Warnungen in Ihre SIEM-Tools abrufen |
| Microsoft Defender für Cloud-Apps | Protokollintegration | SIEM-Integration mit Microsoft Defender for Cloud Apps |
Tipp
Sehen Sie sich Microsoft Sentinel an. Microsoft Sentinel enthält Connectors für Microsoft-Lösungen. Diese Connectors sind sofort verfügbar und ermöglichen die Integration in Echtzeit. Sie können Microsoft Sentinel mit Ihren Microsoft Defender XDR-Lösungen und Microsoft 365-Diensten verwenden, einschließlich Office 365, Microsoft Entra ID, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps und mehr.
Die Überwachungsprotokollierung muss aktiviert sein.
Stellen Sie sicher, dass die Überwachungsprotokollierung aktiviert ist, bevor Sie die SIEM-Serverintegration konfigurieren:
- Informationen zu SharePoint, OneDrive und Microsoft Entra ID finden Sie unter Aktivieren oder Deaktivieren der Überwachung.
- Informationen zu Exchange Online finden Sie unter Postfachüberwachung verwalten.
Integrationsschritte, falls Ihr SIEM Microsoft Sentinel ist
Überprüfen Sie die folgenden Anforderungen:
- Ihr aktuelles Microsoft 365-Abonnement (z. B. Microsoft Defender für Office 365 Plan 2) ermöglicht Microsoft Sentinel Integration.
- Ihr Konto in Microsoft Defender für Office 365 oder Microsoft Defender hat die Rolle Sicherheitsadministrator.
- Vergewissern Sie sich, dass Sie über Schreibberechtigungen in Microsoft Sentinel verfügen.
Navigieren Sie zu Microsoft Sentinel.
Wählen Sie im linken Navigationsbereich Konfiguration>Datenkonnektoren aus.
Suchen Sie nach Microsoft Defender XDR und wählen Sie den Connector „Microsoft Defender XDR (Vorschau)“ aus.
Wählen Sie auf der rechten Seite des Bildschirms Connectorseite öffnen aus.
Wählen Sie unter Konfiguration> die Option Vorfälle und Warnmeldungen verbinden aus.
Deaktivieren Sie alle Microsoft-Vorfallserstellungsregeln für die aktuell ausgewählten Produkte.
Scrollen Sie im Abschnitt Connect-Ereignisse auf der Seite zu Microsoft Defender für Office 365.
Sie können auch Tabellen aus jedem anderen Microsoft Defender Produkt auswählen, das Sie hilfreich und zutreffend finden, bevor Sie im nächsten Schritt "Änderungen übernehmen" auswählen:
Wählen Sie EmailEvents, EmailUrlInfo, EmailAttachmentInfo und EmailPostDeliveryEvents> und Änderungen anwenden aus.
Verwandte Inhalte
Die folgenden Artikel enthalten zusätzliche Anleitungen zum Integrieren von Sicherheitslösungen und Warnungen mit Ihrem SIEM-Server: