Siem-Serverintegration (Security Information and Event Management) mit Microsoft 365-Diensten und -Anwendungen

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-Tage-Testversion von Defender für Office 365 im Microsoft Defender-Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.

In diesem Artikel wird erläutert, wie Sie einen SIEM-Server (Security Information and Event Management) in Microsoft 365 Dienste und Anwendungen integrieren. Es behandelt die verfügbaren Integrationsmethoden, Überwachungsprotokollierungsvoraussetzungen und schrittweise Anleitungen zum Verbinden von Microsoft Sentinel mit Microsoft 365 Defender Daten.

Zusammenfassung

Verwendet Ihre Organisation einen SIEM-Server (Security Information and Event Management) oder plant sie, einen anzuschaffen? Sie fragen sich vielleicht, wie es in Microsoft 365 oder Office 365 integriert werden kann. Dieser Artikel enthält eine Liste der Ressourcen, mit denen Sie Ihren SIEM-Server in Microsoft 365-Dienste und -Anwendungen integrieren können.

Tipp

Wenn Sie noch keinen SIEM-Server haben und Ihre Optionen abwägen, sollten Sie Microsoft Sentinel in Betracht ziehen.

Benötige ich einen SIEM-Server?

Ob Sie einen SIEM-Server benötigen, hängt von vielen Faktoren ab, z. B. den Sicherheitsanforderungen Ihres organization und dem Speicherort Ihrer Daten. Microsoft 365 enthält eine Vielzahl von Sicherheitsfeatures, die die Sicherheitsanforderungen vieler Organisationen ohne zusätzliche Server erfüllen, z. B. einen SIEM-Server. Einige Organisationen haben besondere Umstände, die die Verwendung eines SIEM-Servers erfordern. Hier sind einige Beispiele:

  • Fabrikam verfügt über einige Inhalte und Anwendungen lokal und einige in der Cloud (sie verfügen über eine Hybrid Cloud-Bereitstellung). Um Sicherheitsberichte für alle Inhalte und Anwendungen zu erhalten, hat Fabrikam einen SIEM-Server implementiert.
  • Contoso ist ein organization für Finanzdienstleistungen mit strengen Sicherheitsanforderungen. Sie haben ihrer Umgebung einen SIEM-Server hinzugefügt, um die zusätzlichen Sicherheitsschutzfunktionen zu nutzen, die sie benötigen.

Integration eines SIEM-Servers mit Microsoft 365

Ein SIEM-Server kann Daten von einer Vielzahl von Microsoft 365-Diensten und -Anwendungen empfangen. In der folgenden Tabelle sind mehrere Microsoft 365-Dienste und -Anwendungen sowie SIEM-Servereingaben und -Ressourcen aufgeführt, um mehr zu erfahren.

Microsoft 365-Dienst oder -Anwendung SIEM-Servereingaben/-methoden Ressourcen mit mehr Informationen
Microsoft Defender für Office 365 Überwachungsprotokolle SIEM-Integration mit Microsoft Defender für Office 365
Microsoft Defender for Endpoint HTTPS-Endpunkt, der in Azure gehostet wird

REST-API

Warnungen in Ihre SIEM-Tools abrufen
Microsoft Defender für Cloud-Apps Protokollintegration SIEM-Integration mit Microsoft Defender for Cloud Apps

Tipp

Sehen Sie sich Microsoft Sentinel an. Microsoft Sentinel enthält Connectors für Microsoft-Lösungen. Diese Connectors sind sofort verfügbar und ermöglichen die Integration in Echtzeit. Sie können Microsoft Sentinel mit Ihren Microsoft Defender XDR-Lösungen und Microsoft 365-Diensten verwenden, einschließlich Office 365, Microsoft Entra ID, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps und mehr.

Die Überwachungsprotokollierung muss aktiviert sein.

Stellen Sie sicher, dass die Überwachungsprotokollierung aktiviert ist, bevor Sie die SIEM-Serverintegration konfigurieren:

Integrationsschritte, falls Ihr SIEM Microsoft Sentinel ist

Überprüfen Sie die folgenden Anforderungen:

  • Ihr aktuelles Microsoft 365-Abonnement (z. B. Microsoft Defender für Office 365 Plan 2) ermöglicht Microsoft Sentinel Integration.
  • Ihr Konto in Microsoft Defender für Office 365 oder Microsoft Defender hat die Rolle Sicherheitsadministrator.
  • Vergewissern Sie sich, dass Sie über Schreibberechtigungen in Microsoft Sentinel verfügen.
  1. Navigieren Sie zu Microsoft Sentinel.

  2. Wählen Sie im linken Navigationsbereich Konfiguration>Datenkonnektoren aus.

  3. Suchen Sie nach Microsoft Defender XDR und wählen Sie den Connector „Microsoft Defender XDR (Vorschau)“ aus.

  4. Wählen Sie auf der rechten Seite des Bildschirms Connectorseite öffnen aus.

  5. Wählen Sie unter Konfiguration> die Option Vorfälle und Warnmeldungen verbinden aus.

    Deaktivieren Sie alle Microsoft-Vorfallserstellungsregeln für die aktuell ausgewählten Produkte.

  6. Scrollen Sie im Abschnitt Connect-Ereignisse auf der Seite zu Microsoft Defender für Office 365.

    Sie können auch Tabellen aus jedem anderen Microsoft Defender Produkt auswählen, das Sie hilfreich und zutreffend finden, bevor Sie im nächsten Schritt "Änderungen übernehmen" auswählen:

  7. Wählen Sie EmailEvents, EmailUrlInfo, EmailAttachmentInfo und EmailPostDeliveryEvents> und Änderungen anwenden aus.

Die folgenden Artikel enthalten zusätzliche Anleitungen zum Integrieren von Sicherheitslösungen und Warnungen mit Ihrem SIEM-Server: