Integrazione del server SIEM (Security Information and Event Management) con applicazioni e servizi Microsoft 365

Consiglio

Sapevi che puoi provare gratuitamente le funzionalità in Microsoft Defender per Office 365 Piano 2? Usa la versione di prova di Defender per Office 365 di 90 giorni nell'hub delle versioni di prova del portale Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione in Prova Microsoft Defender per Office 365.

Questo articolo illustra come integrare un server SIEM (Security Information and Event Management) con Microsoft 365 servizi e applicazioni. Vengono illustrati i metodi di integrazione disponibili, i prerequisiti di registrazione di controllo e le istruzioni dettagliate per la connessione di Microsoft Sentinel ai dati Microsoft 365 Defender.

Riepilogo

L'organizzazione sta usando o pianificando di ottenere un server SIEM (Security Information and Event Management)? Ci si potrebbe chiedere come si integra con Microsoft 365 o Office 365. Questo articolo fornisce un elenco di risorse che è possibile usare per integrare il server SIEM con i servizi e le applicazioni di Microsoft 365.

Consiglio

Se non si dispone ancora di un server SIEM e si stanno esplorando le opzioni, prendere in considerazione Microsoft Sentinel.

È necessario un server SIEM?

La necessità di un server SIEM dipende da molti fattori, ad esempio i requisiti di sicurezza dell'organizzazione e la posizione dei dati. Microsoft 365 include un'ampia gamma di funzionalità di sicurezza che soddisfano le esigenze di sicurezza di molte organizzazioni senza server aggiuntivi, ad esempio un server SIEM. Alcune organizzazioni hanno circostanze speciali che richiedono l'uso di un server SIEM. Ecco alcuni esempi:

  • Fabrikam ha alcuni contenuti e applicazioni in locale e alcuni nel cloud (hanno una distribuzione cloud ibrida). Per ottenere report di sicurezza per tutti i contenuti e le applicazioni, Fabrikam ha implementato un server SIEM.
  • Contoso è un'organizzazione di servizi finanziari con requisiti di sicurezza rigorosi. È stato aggiunto un server SIEM all'ambiente per sfruttare le protezioni di sicurezza aggiuntive necessarie.

Integrazione del server SIEM con Microsoft 365

Un server SIEM può ricevere dati da un'ampia gamma di servizi e applicazioni Microsoft 365. Nella tabella seguente sono elencati diversi servizi e applicazioni di Microsoft 365, insieme agli input e alle risorse del server SIEM per altre informazioni.

Servizio o applicazione Microsoft 365 Metodi di input del server SIEM Risorse per approfondire
Microsoft Defender per Office 365 Log di audit Integrazione di SIEM con Microsoft Defender per Office 365
Microsoft Defender per endpoint Endpoint HTTPS ospitato in Azure

API REST

Importa gli avvisi nei tuoi strumenti SIEM
Microsoft Defender for Cloud Apps Integrazione dei log Integrazione di SIEM con Microsoft Defender for Cloud Apps

Consiglio

Dai un'occhiata a Microsoft Sentinel. Microsoft Sentinel viene fornito con connettori per soluzioni Microsoft. Questi connettori sono disponibili "pronti all'uso" e consentono l'integrazione in tempo reale. È possibile usare Microsoft Sentinel con le soluzioni di Microsoft Defender XDR e i servizi di Microsoft 365, tra cui Office 365, Microsoft Entra ID, Microsoft Defender per identità, Microsoft Defender for Cloud Apps, e altro ancora.

La registrazione di controllo deve essere attivata

Assicurarsi che la registrazione di controllo sia attivata prima di configurare l'integrazione del server SIEM:

Passaggi di integrazione se SIEM è Microsoft Sentinel

Verificare i requisiti seguenti:

  • L'abbonamento corrente a Microsoft 365 (ad esempio, Microsoft Defender per Office 365 piano 2) consente l'integrazione Microsoft Sentinel.
  • Il tuo account di Microsoft Defender per Office 365 o Microsoft Defender ha il ruolo di Amministratore della sicurezza.
  • Verificare di disporre delle autorizzazioni di scrittura in Microsoft Sentinel.
  1. Passare a Microsoft Sentinel.

  2. Nel riquadro di spostamento a sinistra, selezionare Configurazione>Connettori dati.

  3. Cerca Microsoft Defender XDR e seleziona il connettore Microsoft Defender XDR (anteprima).

  4. A destra della schermata selezionare Apri pagina connettore.

  5. In Configurazione> selezionare Connetti eventi imprevisti & avvisi

    Disattiva tutte le regole di creazione di eventi imprevisti Microsoft per i prodotti attualmente selezionati.

  6. Scorrere fino a Microsoft Defender per Office 365 nella sezione Connetti eventi della pagina.

    È anche possibile scegliere tabelle da qualsiasi altro prodotto Microsoft Defender risulta utile e applicabile prima di selezionare Applica modifiche nel passaggio successivo:

  7. Selezionare EmailEvents, EmailUrlInfo, EmailAttachmentInfo e EmailPostDeliveryEvents> e Applica modifiche.

Gli articoli seguenti forniscono indicazioni aggiuntive sull'integrazione di soluzioni di sicurezza e avvisi con il server SIEM: