ThreatSync+ SaaS Integrationen konfigurieren — Microsoft 365

Gilt für: ThreatSync+ SaaS

Um Bedrohungen in Bezug auf Microsoft 365-Benutzeraktivitäten zu erkennen, benötigt ThreatSync+ SaaS-Benutzeraktivitätsprotokolldaten von Microsoft 365. Um diese Daten zu sammeln, die Benutzeraktivität zu überwachen und Problembehebungsaktionen durchzuführen, müssen Sie in WatchGuard Cloud eine SaaS-Integration hinzufügen und konfigurieren.

Bevor Sie beginnen

Bevor Sie eine SaaS-Integration mit Microsoft 365 erstellen können, müssen folgende Voraussetzungen erfüllt sein:

  • Mindestens eine Microsoft Office 365 E1- oder eine Microsoft 365 Business Basic-Lizenz
  • Aktivierte Audit-Protokollierung für Ihre Microsoft 365-Organisation
  • Überprüfung der Microsoft 365-Rollen und -Berechtigungen

Audit-Protokollierung aktivieren

Bevor ThreatSync+ SaaS sich über eine SaaS-Integration mit Daten verbinden kann, müssen Sie die Audit-Protokollierung für Ihre Microsoft 365-Organisation aktivieren.

Die Audit-Protokollierung ist für Microsoft 365-Organisationen standardmäßig aktiviert. Um zu prüfen, ob die Audit-Protokollierung aktiviert ist, führen Sie den folgenden PowerShell-Befehl auf dem Computer aus, auf den Sie die SaaS-Integration hinzufügen:

Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

Falls die Audit-Protokollierung nicht aktiviert ist, lautet der Status False:

UnifiedAuditLogIngestionEnabled : False

Falls der Status True lautet, ist keine weitere Maßnahme erforderlich. Falls der Status False lautet, führen Sie folgenden PowerShell-Befehl aus, um die Audit-Protokollierung zu aktivieren:

Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

Die Konfigurationsänderung Audit-Protokollierung kann bis zu 60 Minuten dauern.

Weitere Informationen finden Sie unter Audit aktivieren bzw. deaktivieren in der Microsoft-Dokumentation.

Rollen und Berechtigungen überprüfen

Der Administrator, der die SaaS-Konfiguration hinzufügt, muss die folgenden Administrator-Rollen und -Berechtigungen in seinem Microsoft 365-Konto aktiviert haben:

  • Globaler Administrator
  • Sicherheitsadministrator
  • Service Support-Administrator
  • Benutzeradministrator

Sie können einen bestehenden Administrator auswählen oder einen neuen Administrator mit den richtigen Berechtigungen erstellen. Weitere Informationen finden Sie unter Admin-Rollen im Microsoft Admin Center zuweisen in der Microsoft-Dokumentation.

Administratorrollen und -berechtigungen sind nur für die Erstkonfiguration der SaaS-Integration erforderlich. Nachdem die SaaS-Integration hinzugefügt wurde, sind keine Administratorberechtigungen mehr erforderlich.

SaaS-Integrationen erstellen

Um eine SaaS-Integration zu erstellen, benötigen Sie den primären Microsoft 365-Domänennamen und das Administratorbenutzerkonto, das Sie für Ihre SaaS-Integration verwenden möchten.

Der primäre Domänenname ist die Domäne des Microsoft 365-Mandanten, den Sie auf Bedrohungen überwachen wollen. Beispielsweise beispiel.com. Weitere Informationen finden Sie unter Primären Office 365-Domänennamen finden.

So erstellen Sie eine SaaS-Integration in WatchGuard Cloud:

  1. Wählen Sie Konfigurieren > ThreatSync+ Integrationen > SaaS-Integration.
    Die Seite SaaS-Integrationen wird geöffnet.
  2. Klicken Sie auf SaaS-Integration hinzufügen.

Screenshot of the Add SaaS Integration page

  1. Wählen Sie aus der Dropdown-Liste SaaS-Dienst die Option Microsoft 365 aus.
  2. Geben Sie im Textfeld Microsoft 365-Domänenname den Namen der primären Domäne für den Microsoft-Mandanten ein, den Sie überwachen wollen.
  3. Um die Möglichkeit zum Deaktivieren bzw. Aktivieren von Microsoft 365-Benutzern zu aktivieren, wählen Sie Problembehebung aktivieren.

Wenn Sie die Problembehebung für eine bestehende SaaS-Integration mit Microsoft 365 aktivieren oder deaktivieren, müssen Sie die SaaS-Integration neu aktivieren und die Schritte 6 bis 8 wiederholen. Weitere Informationen finden Sie unter SaaS-Integrationen bearbeiten.

  1. Klicken Sie auf Aktivieren.
    Sie werden zur Authentifizierung an die Microsoft-Anmeldeseite weitergeleitet.

Screenshot of the Microsoft Login page

  1. Melden Sie sich als Administratorbenutzer mit den erforderlichen Berechtigungen an.
    Nachdem Sie sich bei Microsoft angemeldet haben, wird Microsoft Sie zu einer Einwilligungsseite weiterleiten.

Screenshot of the Microsoft Permissions Requested dialog box

  1. Überprüfen Sie die Einwilligungsdetails und klicken Sie auf Akzeptieren, um zuzustimmen. Die Einwilligung ist erforderlich, um die SaaS-Integration fertigzustellen.
    Nachdem Sie eingewilligt haben, werden Sie an die ThreatSync+ SaaS-Benutzeroberfläche weitergeleitet. Der Status der SaaS-Integration wird als Initialisierung angezeigt. Es kann bis zu 30 Minuten dauern, bis der Status zu Aktiv wechselt.

Screenshot of a successful SaaS integration added to ThreatSync+ SaaS that shows the Active status

  1. Wenn der Status zu Aktiv wechselt, ist die Konfiguration der SaaS-Integration abgeschlossen. Um den Microsoft 365 Erfassungsstatus und Diagramme zur Protokollanzahl anzuzeigen, klicken Sie auf den Namen der Integration in der Spalte Name.

Screenshot of the Microsoft 365 domain name details after a successful SaaS integration with ThreatSync+ SaaS

Es kann bis zu sieben Tage dauern, bis ThreatSync+ SaaS mit Ihrer Umgebung vertraut ist und beginnt, Warnmeldungen im Menü Überwachen anzuzeigen.

SaaS-Integrationen bearbeiten

Sie können eine bestehende aktive SaaS-Integration bearbeiten, um den Namen zu ändern, wiederholte Fehlerbenachrichtigungen stumm zu schalten oder die Problembehebung für Microsoft 365-Benutzer zu aktivieren oder zu deaktivieren.

Screenshot of the Edit SaaS Integration page

So bearbeiten Sie eine SaaS-Integration:

  1. Wählen Sie Konfigurieren > ThreatSync+ Integrationen > SaaS-Integration.

    Die Seite SaaS-Integrationen wird geöffnet.
  2. Klicken Sie auf den Namen der SaaS-Integration, die Sie bearbeiten wollen.
    Die Seite SaaS-Integrationen bearbeiten wird geöffnet.
  3. (Optional) Bearbeiten Sie im Textfeld Beschreibung den Namen der SaaS-Integration.
  4. Aktivieren Sie das Kontrollkästchen Wiederholte Fehlerbenachrichtigungen stumm schalten, wenn Sie wollen, dass nur eine einzige Benachrichtigung für diesen SaaS-Kollektor gesendet wird, wenn ein SaaS-Kollektorfehler eintritt.
  5. Um die Möglichkeit zum Deaktivieren bzw. Aktivieren von Microsoft 365-Benutzern zu aktivieren, wählen Sie Problembehebung aktivieren.

Wenn Sie die Problembehebung für eine bestehende SaaS-Integration mit Microsoft 365 aktivieren oder deaktivieren, müssen Sie die Integration neu aktivieren und die Einwilligung für die Integration erneut erteilen.

  1. Klicken Sie auf Speichern.

Ähnliche Themen

Über die ThreatSync+ SaaS-Integration — Microsoft 365

ThreatSync+ Benutzer

ThreatSync+ konfigurieren