Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Совет
Знаете ли вы, что вы можете попробовать функции в Microsoft Defender для Office 365 план 2 бесплатно? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.
Если ваша организация использует сервер управления информационной безопасностью и событиями безопасности (SIEM), вы можете интегрировать Microsoft Defender для Office 365 с сервером SIEM. Эту интеграцию можно настроить с помощью API управления действиями Office 365.
Интеграция SIEM позволяет просматривать сведения, например вредоносные программы или фишинг, обнаруженные Microsoft Defender для Office 365, в отчетах сервера SIEM.
- Пример интеграции SIEM с Microsoft Defender для Office 365 см. в блоге о безопасности Майкрософт. Повышение эффективности SOC с помощью Defender для Office 365 и API управления O365.
- Дополнительные сведения об API управления Office 365 см. в статье Общие сведения об API управления Office 365.
Принцип работы интеграции SIEM
API управления действиями Office 365 извлекает сведения о действиях и событиях пользователей, администраторов, систем и политик из журналов действий Microsoft 365 и Microsoft Entra вашей организации. Если в вашей организации есть Microsoft Defender для Office 365 (план 1), 2 или Office 365 E5, можно использовать схему Microsoft Defender для Office 365.
Недавно события из возможностей автоматического исследования и реагирования в Microsoft Defender для Office 365 плане 2 были добавлены в API действий управления Office 365. Помимо включения данных об основных сведениях исследования, таких как идентификатор, имя и состояние, API также содержит общие сведения о действиях и сущностях исследования.
Сервер SIEM или другая аналогичная система опрашивает рабочую нагрузку audit.general для доступа к событиям обнаружения. Дополнительные сведения см. в статье Начало работы с API управления Office 365.
Enum: AuditLogRecordType; Type: Edm.Int32
AuditLogRecordType
В следующей таблице перечислены значения AuditLogRecordType, относящиеся к событиям Microsoft Defender для Office 365:
| Значение | Имя элемента | Описание |
|---|---|---|
| 28 | ThreatIntelligence | События фишинга и вредоносных программ из Exchange Online Protection и Microsoft Defender для Office 365. |
| 41 | ThreatIntelligenceUrl | Безопасные ссылки по времени блокируют и блокируют события переопределения из Microsoft Defender для Office 365. |
| 47 | ThreatIntelligenceAtpContent | Фишинговые и вредоносные события для файлов в SharePoint Online, OneDrive для бизнеса и Microsoft Teams с Microsoft Defender для Office 365. |
| 64 | AirInvestigation | События автоматического исследования и реагирования, такие как сведения о расследовании и соответствующие артефакты, из Microsoft Defender для Office 365 плана 2. |
Важно!
Для настройки интеграции SIEM с Microsoft Defender для Office 365 вам должна быть назначена роль глобального администратора* или администратора безопасности. Дополнительные сведения см. в разделе Разрешения на портале Microsoft Defender.
*Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.
Ведение журнала аудита должно быть включено для среды Microsoft 365 (оно включено по умолчанию). Чтобы убедиться, что ведение журнала аудита включено или включить его, см. статью Включение и отключение аудита.
См. также
Анализ угроз и реагирование на них в Office 365
Автоматическое исследование и реагирование (AIR) в Office 365