تكامل SIEM العام
يمكنك دمج Microsoft Defender for Cloud Apps مع خادم SIEM العام لتمكين المراقبة المركزية للتنبيهات والأنشطة من التطبيقات المتصلة. نظرا لأن الأنشطة والأحداث الجديدة مدعومة من قبل التطبيقات المتصلة، يتم بعد ذلك نشر الرؤية فيها في Microsoft Defender for Cloud Apps. يسمح لك التكامل مع خدمة SIEM بحماية تطبيقات السحابة بشكل أفضل مع الحفاظ على سير عمل الأمان المعتاد، وأتمتة إجراءات الأمان، والربط بين الأحداث المستندة إلى السحابة والأحداث المحلية. يعمل عامل Microsoft Defender for Cloud Apps SIEM على الخادم الخاص بك ويسحب التنبيهات والأنشطة من Microsoft Defender for Cloud Apps ويتدفقها إلى خادم SIEM.
عند دمج SIEM لأول مرة مع Defender for Cloud Apps، ستتم إعادة توجيه الأنشطة والتنبيهات من اليومين الماضيين إلى SIEM وجميع الأنشطة والتنبيهات (استنادا إلى عامل التصفية الذي تحدده) من ذلك الحين فصاعدا. إذا قمت بتعطيل هذه الميزة لفترة طويلة، فقم بإعادة التمكين، تتم إعادة توجيه اليومين الماضيين من التنبيهات والأنشطة ثم جميع التنبيهات والأنشطة من ذلك الحين فصاعدا.
تتضمن حلول التكامل الإضافية ما يلي:
- Microsoft Sentinel - SIEM وسحابة أصلية قابلة للتطوير وSOAR للتكامل الأصلي. للحصول على معلومات حول التكامل مع Microsoft Sentinel، راجع تكامل Microsoft Sentinel.
- Microsoft security graph API - خدمة وسيطة (أو وسيط) توفر واجهة برمجية واحدة لتوصيل موفري أمان متعددين. لمزيد من المعلومات، راجع تكاملات حلول الأمان باستخدام واجهة برمجة تطبيقات الأمان Microsoft Graph.
هام
إذا كنت تقوم بدمج Microsoft Defender for Identity في Defender for Cloud Apps وتم تكوين كلتا الخدمتين لإرسال إعلامات التنبيه إلى SIEM، فستبدأ في تلقي إعلامات SIEM المكررة لنفس التنبيه. سيتم إصدار تنبيه واحد من كل خدمة وسيكون لديهم معرفات تنبيه مختلفة. لتجنب التكرار والارتباك، تأكد من التعامل مع السيناريو. على سبيل المثال، حدد المكان الذي تنوي إجراء إدارة التنبيه فيه، ثم أوقف إرسال إعلامات SIEM من الخدمة الأخرى.
يتم نشر عامل SIEM في شبكة مؤسستك. عند التوزيع والتكوين، فإنه يسحب أنواع البيانات التي تم تكوينها (التنبيهات والأنشطة) باستخدام واجهات برمجة تطبيقات RESTful Defender for Cloud Apps. ثم يتم إرسال نسبة استخدام الشبكة عبر قناة HTTPS مشفرة على المنفذ 443.
بمجرد أن يسترد عامل SIEM البيانات من Defender for Cloud Apps، فإنه يرسل رسائل Syslog إلى SIEM المحلي الخاص بك. يستخدم Defender for Cloud Apps تكوينات الشبكة التي قدمتها أثناء الإعداد (TCP أو UDP مع منفذ مخصص).
يدعم Defender for Cloud Apps حاليا Micro Focus ArcSight وCEF العام.
يتم تحقيق التكامل مع SIEM الخاص بك في ثلاث خطوات:
- قم بإعداده في Defender for Cloud Apps.
- قم بتنزيل ملف JAR وتشغيله على الخادم الخاص بك.
- تحقق من أن عامل SIEM يعمل.
- خادم Windows أو Linux قياسي (يمكن أن يكون جهازا ظاهريا).
- نظام التشغيل: Windows أو Linux
- وحدة المعالجة المركزية: 2
- مساحة القرص: 20 غيغابايت
- ذاكرة الوصول العشوائي: 2 غيغابايت
- يجب أن يقوم الخادم بتشغيل Java 8. الإصدارات السابقة غير مدعومة.
- بروتوكول أمان طبقة النقل (TLS) 1.2+. الإصدارات السابقة غير مدعومة.
- تعيين جدار الحماية الخاص بك كما هو موضح في متطلبات الشبكة
في مدخل Microsoft Defender، حدد الإعدادات. ثم اختر تطبيقات السحابة.
ضمن النظام، اختر عوامل SIEM. حدد Add SIEM agent، ثم اختر Generic SIEM.
في المعالج، حدد بدء المعالج.
في المعالج، املأ اسما، وحدد تنسيق SIEM وقم بتعيين أي إعدادات متقدمة ذات صلة بهذا التنسيق. حدد التالي.
اكتب عنوان IP أو اسم المضيف لمضيف syslog البعيدورقم منفذ Syslog. حدد TCP أو UDP كبروتوكول Syslog البعيد. يمكنك العمل مع مسؤول الأمان للحصول على هذه التفاصيل إذا لم تكن لديك. حدد التالي.
حدد أنواع البيانات التي تريد تصديرها إلى خادم SIEM الخاص بك للتنبيهاتوالأنشطة. استخدم شريط التمرير لتمكينها وتعطيلها، بشكل افتراضي، يتم تحديد كل شيء. يمكنك استخدام القائمة المنسدلة Apply to لتعيين عوامل التصفية لإرسال تنبيهات وأنشطة محددة فقط إلى خادم SIEM الخاص بك. حدد Edit and preview results للتحقق من أن عامل التصفية يعمل كما هو متوقع. حدد التالي.
انسخ الرمز المميز واحفظه لاحقا. حدد إنهاء واترك المعالج. ارجع إلى صفحة SIEM لمشاهدة عامل SIEM الذي أضفته في الجدول. سيظهر أنه تم إنشاؤه حتى يتم توصيله لاحقا.
ملاحظة
أي رمز مميز تقوم بإنشائه مرتبط بالمسؤول الذي أنشأه. وهذا يعني أنه إذا تمت إزالة المستخدم المسؤول من Defender for Cloud Apps، فلن يكون الرمز المميز صالحا بعد الآن. يوفر رمز SIEM المميز العام أذونات للقراءة فقط للموارد المطلوبة فقط. لا يتم منح أي أذونات أخرى جزءا من هذا الرمز المميز.
في مركز تنزيل Microsoft، بعد قبول شروط ترخيص البرنامج، قم بتنزيل ملف .zip وفك ضغطه.
قم بتشغيل الملف المستخرج على الخادم الخاص بك:
java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN
ملاحظة
- قد يختلف اسم الملف اعتمادا على إصدار عامل SIEM.
- المعلمات بين قوسين [ ] اختيارية، ويجب استخدامها فقط إذا كانت ذات صلة.
- يوصى بتشغيل JAR أثناء بدء تشغيل الخادم.
- Windows: قم بتشغيل كمهمة مجدولة وتأكد من تكوين المهمة لتشغيل ما إذا كان المستخدم قد قام بتسجيل الدخول أم لا ومن إلغاء تحديد خانة الاختيار إيقاف المهمة إذا كانت تعمل لفترة أطول من خانة الاختيار.
- Linux: أضف أمر التشغيل مع & إلى الملف rc.local. على سبيل المثال:
java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN &
حيث يتم استخدام المتغيرات التالية:
- DIRNAME هو المسار إلى الدليل الذي تريد استخدامه لسجلات تتبع أخطاء العامل المحلي.
- ADDRESS[:P ORT] هو عنوان الخادم الوكيل والمنفذ الذي يستخدمه الخادم للاتصال بالإنترنت.
- الرمز المميز هو الرمز المميز لعامل SIEM الذي نسخته في الخطوة السابقة.
يمكنك كتابة -h في أي وقت للحصول على المساعدة.
فيما يلي عينة من سجلات النشاط المرسلة إلى SIEM الخاص بك:
2017-11-22T17:50:04.000Z CEF:0|MCAS|SIEM_Agent|0.111.85|EVENT_CATEGORY_LOGOUT|Log out|0|externalId=1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0 rt=1511373004000 start=1511373004000 end=1511373004000 msg=Log out suser=admin@contoso.com destinationServiceName=ServiceNow dvc=13.82.149.151 requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
2017-11-28T19:40:15.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_VIEW_REPORT|View report|0|externalId=1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a rt=1511898015000 start=1511898015000 end=1511898015000 msg=View report: ServiceNow Report 23 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=23,sys_report,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
2017-11-28T19:25:34.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798 rt=1511897134000 start=1511897134000 end=1511897134000 msg=Delete object: ServiceNow Object f5122008db360300906ff34ebf96198a suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
2017-11-27T20:40:14.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_CREATE_USER|Create user|0|externalId=1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c rt=1511815214000 start=1511815214000 end=1511815214000 msg=Create user: user 747518c0db360300906ff34ebf96197c suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,747518c0db360300906ff34ebf96197c,sys_user,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
2017-11-27T20:41:20.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_DELETE_USER|Delete user|0|externalId=1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383 rt=1511815280000 start=1511815280000 end=1511815280000 msg=Delete user: user 233490c0db360300906ff34ebf9619ef suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,233490c0db360300906ff34ebf9619ef,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
2017-11-28T19:24:55.000Z LAB-EUW-ARCTEST CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897117617_5be018ee-f676-4473-a9b5-5982527409be rt=1511897095000 start=1511897095000 end=1511897095000 msg=Delete object: ServiceNow Object b1709c40db360300906ff34ebf961923 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897117617_5be018ee-f676-4473-a9b5-5982527409be,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
النص التالي هو مثال على ملف سجل التنبيهات:
2017-07-15T20:42:30.531Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|myPolicy|3|externalId=596a7e360c204203a335a3fb start=1500151350531 end=1500151350531 msg=Activity policy ''myPolicy'' was triggered by ''admin@box-contoso.com'' suser=admin@box-contoso.com destinationServiceName=Box cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596a7e360c204203a335a3fb cs2Label=uniqueServiceAppIds cs2=APPID_BOX cs3Label=relatedAudits cs3=1500151288183_acc891bf-33e1-424b-a021-0d4370789660 cs4Label=policyIDs cs4=59f0ab82f797fa0681e9b1c7
2017-07-16T09:36:26.550Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b339b0c204203a33a51ae start=1500197786550 end=1500197786550 msg=Activity policy ''test-activity-policy'' was triggered by ''user@contoso.com'' suser=user@contoso.com destinationServiceName=Salesforce cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b339b0c204203a33a51ae cs2Label=uniqueServiceAppIds cs2=APPID_SALESFORCE cs3Label=relatedAudits cs3=1500197720691_b7f6317c-b8de-476a-bc8f-dfa570e00349 cs4Label=policyIDs cs4=
2017-07-16T09:17:03.361Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy3|3|externalId=596b2fd70c204203a33a3eeb start=1500196623361 end=1500196623361 msg=Activity policy ''test-activity-policy3'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft 365 cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eeb cs2Label=uniqueServiceAppIds cs2=APPID_O365 cs3Label=relatedAudits cs3=1500196549157_a0e01f8a-e29a-43ae-8599-783c1c11597d cs4Label=policyIDs cs4=
2017-07-16T09:17:15.426Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b2fd70c204203a33a3eec start=1500196635426 end=1500196635426 msg=Activity policy ''test-activity-policy'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft 365 admin center cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eec cs2Label=uniqueServiceAppIds cs2=APPID_O365_PORTAL cs3Label=relatedAudits cs3=1500196557398_3e102b20-d9fa-4f66-b550-8c7a403bb4d8 cs4Label=policyIDs cs4=59f0ab35f797fa9811e9b1c7
2017-07-16T09:17:46.290Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy4|3|externalId=596b30200c204203a33a4765 start=1500196666290 end=1500196666290 msg=Activity policy ''test-activity-policy4'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft Exchange Online cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b30200c204203a33a4765 cs2Label=uniqueServiceAppIds cs2=APPID_OUTLOOK cs3Label=relatedAudits cs3=1500196587034_a8673602-7e95-46d6-a1fe-c156c4709c5d cs4Label=policyIDs cs4=
2017-07-16T09:41:04.369Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy2|3|externalId=596b34b10c204203a33a5240 start=1500198064369 end=1500198064369 msg=Activity policy ''test-activity-policy2'' was triggered by ''user2@test15-adallom.com'' suser=user2@test15-adallom.com destinationServiceName=Google cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b34b10c204203a33a5240 cs2Label=uniqueServiceAppIds cs2=APPID_33626 cs3Label=relatedAudits cs3=1500197996117_fd71f265-1e46-4f04-b372-2e32ec874cd3 cs4Label=policyIDs cs4=
ينطبق على | اسم حقل CEF | الوصف |
---|---|---|
الأنشطة/التنبيهات | بدء | الطابع الزمني للنشاط أو التنبيه |
الأنشطة/التنبيهات | انتهاء | الطابع الزمني للنشاط أو التنبيه |
الأنشطة/التنبيهات | rt | الطابع الزمني للنشاط أو التنبيه |
الأنشطة/التنبيهات | msg | وصف النشاط أو التنبيه كما هو موضح في المدخل |
الأنشطة/التنبيهات | suser | النشاط أو مستخدم موضوع التنبيه |
الأنشطة/التنبيهات | destinationServiceName | النشاط أو التطبيق الأصلي للتنبيه، على سبيل المثال، Microsoft 365، Sharepoint، Box. |
الأنشطة/التنبيهات | cs<X>Label | كل تسمية لها معنى مختلف، ولكن التسمية نفسها تشرحها، على سبيل المثال، targetObjects. |
الأنشطة/التنبيهات | cs<X> | المعلومات المقابلة للتسمية (المستخدم المستهدف للنشاط أو التنبيه وفقا لمثال التسمية). |
الانشطه | EVENT_CATEGORY_* | فئة عالية المستوى للنشاط |
الانشطه | <فعل> | نوع النشاط، كما هو معروض في المدخل |
الانشطه | معرف خارجي | معرف الحدث |
الانشطه | dvc | IP لجهاز العميل |
الانشطه | requestClientApplication | عامل مستخدم جهاز العميل |
التنبيهات | <نوع التنبيه> | على سبيل المثال، "ALERT_CABINET_EVENT_MATCH_AUDIT" |
التنبيهات | <اسم> | اسم النهج المطابق |
التنبيهات | معرف خارجي | معرف التنبيه |
التنبيهات | src | عنوان IPv4 لجهاز العميل |
التنبيهات | c6a1 | عنوان IPv6 لجهاز العميل |
تأكد من أن حالة عامل SIEM في المدخل ليست خطأ في الاتصال أو غير متصل ولا توجد إعلامات عامل. سيظهر كخطأ في الاتصال إذا كان الاتصال معزولا لأكثر من ساعتين. تظهر الحالة على أنها غير متصلة إذا كان الاتصال معزولا لأكثر من 12 ساعة.
بدلا من ذلك، يجب أن تكون الحالة متصلة، كما هو موضح هنا:
في خادم Syslog/SIEM، تأكد من رؤية الأنشطة والتنبيهات التي تصل من Defender for Cloud Apps.
إذا فقدت الرمز المميز، يمكنك دائما إعادة إنشائه عن طريق تحديد النقاط الثلاث في نهاية الصف لعامل SIEM في الجدول. حدد إعادة إنشاء الرمز المميز للحصول على رمز مميز جديد.
لتحرير عامل SIEM، حدد النقاط الثلاث في نهاية الصف لعامل SIEM في الجدول، وحدد تحرير. إذا قمت بتحرير عامل SIEM، فلن تحتاج إلى إعادة تشغيل ملف .jar، فإنه يتم تحديثه تلقائيا.
لحذف عامل SIEM، حدد النقاط الثلاث في نهاية الصف لعامل SIEM في الجدول، وحدد Delete.
إذا واجهت أي مشاكل، فنحن هنا للمساعدة. للحصول على المساعدة أو الدعم لقضية المنتج، يرجى فتح تذكرة دعم.