اقرأ باللغة الإنجليزية

مشاركة عبر


تكامل SIEM العام

يمكنك دمج Microsoft Defender for Cloud Apps مع خادم SIEM العام لتمكين المراقبة المركزية للتنبيهات والأنشطة من التطبيقات المتصلة. نظرا لأن الأنشطة والأحداث الجديدة مدعومة من قبل التطبيقات المتصلة، يتم بعد ذلك نشر الرؤية فيها في Microsoft Defender for Cloud Apps. يسمح لك التكامل مع خدمة SIEM بحماية تطبيقات السحابة بشكل أفضل مع الحفاظ على سير عمل الأمان المعتاد، وأتمتة إجراءات الأمان، والربط بين الأحداث المستندة إلى السحابة والأحداث المحلية. يعمل عامل Microsoft Defender for Cloud Apps SIEM على الخادم الخاص بك ويسحب التنبيهات والأنشطة من Microsoft Defender for Cloud Apps ويتدفقها إلى خادم SIEM.

عند دمج SIEM لأول مرة مع Defender for Cloud Apps، ستتم إعادة توجيه الأنشطة والتنبيهات من اليومين الماضيين إلى SIEM وجميع الأنشطة والتنبيهات (استنادا إلى عامل التصفية الذي تحدده) من ذلك الحين فصاعدا. إذا قمت بتعطيل هذه الميزة لفترة طويلة، فقم بإعادة التمكين، تتم إعادة توجيه اليومين الماضيين من التنبيهات والأنشطة ثم جميع التنبيهات والأنشطة من ذلك الحين فصاعدا.

تتضمن حلول التكامل الإضافية ما يلي:

هام

إذا كنت تقوم بدمج Microsoft Defender for Identity في Defender for Cloud Apps وتم تكوين كلتا الخدمتين لإرسال إعلامات التنبيه إلى SIEM، فستبدأ في تلقي إعلامات SIEM المكررة لنفس التنبيه. سيتم إصدار تنبيه واحد من كل خدمة وسيكون لديهم معرفات تنبيه مختلفة. لتجنب التكرار والارتباك، تأكد من التعامل مع السيناريو. على سبيل المثال، حدد المكان الذي تنوي إجراء إدارة التنبيه فيه، ثم أوقف إرسال إعلامات SIEM من الخدمة الأخرى.

بنية تكامل SIEM العامة

يتم نشر عامل SIEM في شبكة مؤسستك. عند التوزيع والتكوين، فإنه يسحب أنواع البيانات التي تم تكوينها (التنبيهات والأنشطة) باستخدام واجهات برمجة تطبيقات RESTful Defender for Cloud Apps. ثم يتم إرسال نسبة استخدام الشبكة عبر قناة HTTPS مشفرة على المنفذ 443.

بمجرد أن يسترد عامل SIEM البيانات من Defender for Cloud Apps، فإنه يرسل رسائل Syslog إلى SIEM المحلي الخاص بك. يستخدم Defender for Cloud Apps تكوينات الشبكة التي قدمتها أثناء الإعداد (TCP أو UDP مع منفذ مخصص).

بنية تكامل SIEM.

SIEMs المدعومة

يدعم Defender for Cloud Apps حاليا Micro Focus ArcSight وCEF العام.

كيفية التكامل

يتم تحقيق التكامل مع SIEM الخاص بك في ثلاث خطوات:

  1. قم بإعداده في Defender for Cloud Apps.
  2. قم بتنزيل ملف JAR وتشغيله على الخادم الخاص بك.
  3. تحقق من أن عامل SIEM يعمل.

المتطلبات الأساسية

  • خادم Windows أو Linux قياسي (يمكن أن يكون جهازا ظاهريا).
  • نظام التشغيل: Windows أو Linux
  • وحدة المعالجة المركزية: 2
  • مساحة القرص: 20 غيغابايت
  • ذاكرة الوصول العشوائي: 2 غيغابايت
  • يجب أن يقوم الخادم بتشغيل Java 8. الإصدارات السابقة غير مدعومة.
  • بروتوكول أمان طبقة النقل (TLS) 1.2+. الإصدارات السابقة غير مدعومة.
  • تعيين جدار الحماية الخاص بك كما هو موضح في متطلبات الشبكة

التكامل مع SIEM الخاص بك

الخطوة 1: إعداده في Defender for Cloud Apps

  1. في مدخل Microsoft Defender، حدد الإعدادات. ثم اختر تطبيقات السحابة.

  2. ضمن النظام، اختر عوامل SIEM. حدد Add SIEM agent، ثم اختر Generic SIEM.

    لقطة شاشة تعرض إضافة قائمة تكامل SIEM.

  3. في المعالج، حدد بدء المعالج.

  4. في المعالج، املأ اسما، وحدد تنسيق SIEM وقم بتعيين أي إعدادات متقدمة ذات صلة بهذا التنسيق. حدد التالي.

    إعدادات SIEM العامة.

  5. اكتب عنوان IP أو اسم المضيف لمضيف syslog البعيدورقم منفذ Syslog. حدد TCP أو UDP كبروتوكول Syslog البعيد. يمكنك العمل مع مسؤول الأمان للحصول على هذه التفاصيل إذا لم تكن لديك. حدد التالي.

    إعدادات Syslog البعيدة.

  6. حدد أنواع البيانات التي تريد تصديرها إلى خادم SIEM الخاص بك للتنبيهاتوالأنشطة. استخدم شريط التمرير لتمكينها وتعطيلها، بشكل افتراضي، يتم تحديد كل شيء. يمكنك استخدام القائمة المنسدلة Apply to لتعيين عوامل التصفية لإرسال تنبيهات وأنشطة محددة فقط إلى خادم SIEM الخاص بك. حدد Edit and preview results للتحقق من أن عامل التصفية يعمل كما هو متوقع. حدد التالي.

    إعدادات أنواع البيانات.

  7. انسخ الرمز المميز واحفظه لاحقا. حدد إنهاء واترك المعالج. ارجع إلى صفحة SIEM لمشاهدة عامل SIEM الذي أضفته في الجدول. سيظهر أنه تم إنشاؤه حتى يتم توصيله لاحقا.

ملاحظة

أي رمز مميز تقوم بإنشائه مرتبط بالمسؤول الذي أنشأه. وهذا يعني أنه إذا تمت إزالة المستخدم المسؤول من Defender for Cloud Apps، فلن يكون الرمز المميز صالحا بعد الآن. يوفر رمز SIEM المميز العام أذونات للقراءة فقط للموارد المطلوبة فقط. لا يتم منح أي أذونات أخرى جزءا من هذا الرمز المميز.

الخطوة 2: تنزيل ملف JAR وتشغيله على الخادم الخاص بك

  1. في مركز تنزيل Microsoft، بعد قبول شروط ترخيص البرنامج، قم بتنزيل ملف .zip وفك ضغطه.

  2. قم بتشغيل الملف المستخرج على الخادم الخاص بك:

    java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN

ملاحظة

  • قد يختلف اسم الملف اعتمادا على إصدار عامل SIEM.
  • المعلمات بين قوسين [ ] اختيارية، ويجب استخدامها فقط إذا كانت ذات صلة.
  • يوصى بتشغيل JAR أثناء بدء تشغيل الخادم.
    • Windows: قم بتشغيل كمهمة مجدولة وتأكد من تكوين المهمة لتشغيل ما إذا كان المستخدم قد قام بتسجيل الدخول أم لا ومن إلغاء تحديد خانة الاختيار إيقاف المهمة إذا كانت تعمل لفترة أطول من خانة الاختيار.
    • Linux: أضف أمر التشغيل مع & إلى الملف rc.local. على سبيل المثال: java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN &

حيث يتم استخدام المتغيرات التالية:

  • DIRNAME هو المسار إلى الدليل الذي تريد استخدامه لسجلات تتبع أخطاء العامل المحلي.
  • ADDRESS[:P ORT] هو عنوان الخادم الوكيل والمنفذ الذي يستخدمه الخادم للاتصال بالإنترنت.
  • الرمز المميز هو الرمز المميز لعامل SIEM الذي نسخته في الخطوة السابقة.

يمكنك كتابة -h في أي وقت للحصول على المساعدة.

نماذج سجلات النشاط

فيما يلي عينة من سجلات النشاط المرسلة إلى SIEM الخاص بك:

2017-11-22T17:50:04.000Z CEF:0|MCAS|SIEM_Agent|0.111.85|EVENT_CATEGORY_LOGOUT|Log out|0|externalId=1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0 rt=1511373004000 start=1511373004000 end=1511373004000 msg=Log out suser=admin@contoso.com destinationServiceName=ServiceNow dvc=13.82.149.151 requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:40:15.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_VIEW_REPORT|View report|0|externalId=1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a rt=1511898015000 start=1511898015000 end=1511898015000 msg=View report: ServiceNow Report 23 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=23,sys_report,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:25:34.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798 rt=1511897134000 start=1511897134000 end=1511897134000 msg=Delete object: ServiceNow Object f5122008db360300906ff34ebf96198a suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-27T20:40:14.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_CREATE_USER|Create user|0|externalId=1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c rt=1511815214000 start=1511815214000 end=1511815214000 msg=Create user: user 747518c0db360300906ff34ebf96197c suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,747518c0db360300906ff34ebf96197c,sys_user,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-27T20:41:20.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_DELETE_USER|Delete user|0|externalId=1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383 rt=1511815280000 start=1511815280000 end=1511815280000 msg=Delete user: user 233490c0db360300906ff34ebf9619ef suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,233490c0db360300906ff34ebf9619ef,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:24:55.000Z LAB-EUW-ARCTEST CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897117617_5be018ee-f676-4473-a9b5-5982527409be rt=1511897095000 start=1511897095000 end=1511897095000 msg=Delete object: ServiceNow Object b1709c40db360300906ff34ebf961923 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897117617_5be018ee-f676-4473-a9b5-5982527409be,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

النص التالي هو مثال على ملف سجل التنبيهات:

2017-07-15T20:42:30.531Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|myPolicy|3|externalId=596a7e360c204203a335a3fb start=1500151350531 end=1500151350531 msg=Activity policy ''myPolicy'' was triggered by ''admin@box-contoso.com'' suser=admin@box-contoso.com destinationServiceName=Box cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596a7e360c204203a335a3fb cs2Label=uniqueServiceAppIds cs2=APPID_BOX cs3Label=relatedAudits cs3=1500151288183_acc891bf-33e1-424b-a021-0d4370789660 cs4Label=policyIDs cs4=59f0ab82f797fa0681e9b1c7

2017-07-16T09:36:26.550Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b339b0c204203a33a51ae start=1500197786550 end=1500197786550 msg=Activity policy ''test-activity-policy'' was triggered by ''user@contoso.com'' suser=user@contoso.com destinationServiceName=Salesforce cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b339b0c204203a33a51ae cs2Label=uniqueServiceAppIds cs2=APPID_SALESFORCE cs3Label=relatedAudits cs3=1500197720691_b7f6317c-b8de-476a-bc8f-dfa570e00349 cs4Label=policyIDs cs4=

2017-07-16T09:17:03.361Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy3|3|externalId=596b2fd70c204203a33a3eeb start=1500196623361 end=1500196623361 msg=Activity policy ''test-activity-policy3'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft 365 cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eeb cs2Label=uniqueServiceAppIds cs2=APPID_O365 cs3Label=relatedAudits cs3=1500196549157_a0e01f8a-e29a-43ae-8599-783c1c11597d cs4Label=policyIDs cs4=

2017-07-16T09:17:15.426Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b2fd70c204203a33a3eec start=1500196635426 end=1500196635426 msg=Activity policy ''test-activity-policy'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft 365 admin center cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eec cs2Label=uniqueServiceAppIds cs2=APPID_O365_PORTAL cs3Label=relatedAudits cs3=1500196557398_3e102b20-d9fa-4f66-b550-8c7a403bb4d8 cs4Label=policyIDs cs4=59f0ab35f797fa9811e9b1c7

2017-07-16T09:17:46.290Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy4|3|externalId=596b30200c204203a33a4765 start=1500196666290 end=1500196666290 msg=Activity policy ''test-activity-policy4'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft Exchange Online cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b30200c204203a33a4765 cs2Label=uniqueServiceAppIds cs2=APPID_OUTLOOK cs3Label=relatedAudits cs3=1500196587034_a8673602-7e95-46d6-a1fe-c156c4709c5d cs4Label=policyIDs cs4=

2017-07-16T09:41:04.369Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy2|3|externalId=596b34b10c204203a33a5240 start=1500198064369 end=1500198064369 msg=Activity policy ''test-activity-policy2'' was triggered by ''user2@test15-adallom.com'' suser=user2@test15-adallom.com destinationServiceName=Google cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b34b10c204203a33a5240 cs2Label=uniqueServiceAppIds cs2=APPID_33626 cs3Label=relatedAudits cs3=1500197996117_fd71f265-1e46-4f04-b372-2e32ec874cd3 cs4Label=policyIDs cs4=

عينة Defender for Cloud Apps التنبيهات بتنسيق CEF

ينطبق على اسم حقل CEF الوصف
الأنشطة/التنبيهات بدء الطابع الزمني للنشاط أو التنبيه
الأنشطة/التنبيهات انتهاء الطابع الزمني للنشاط أو التنبيه
الأنشطة/التنبيهات rt الطابع الزمني للنشاط أو التنبيه
الأنشطة/التنبيهات msg وصف النشاط أو التنبيه كما هو موضح في المدخل
الأنشطة/التنبيهات suser النشاط أو مستخدم موضوع التنبيه
الأنشطة/التنبيهات destinationServiceName النشاط أو التطبيق الأصلي للتنبيه، على سبيل المثال، Microsoft 365، Sharepoint، Box.
الأنشطة/التنبيهات cs<X>Label كل تسمية لها معنى مختلف، ولكن التسمية نفسها تشرحها، على سبيل المثال، targetObjects.
الأنشطة/التنبيهات cs<X> المعلومات المقابلة للتسمية (المستخدم المستهدف للنشاط أو التنبيه وفقا لمثال التسمية).
الانشطه EVENT_CATEGORY_* فئة عالية المستوى للنشاط
الانشطه <فعل> نوع النشاط، كما هو معروض في المدخل
الانشطه معرف خارجي معرف الحدث
الانشطه dvc IP لجهاز العميل
الانشطه requestClientApplication عامل مستخدم جهاز العميل
التنبيهات <نوع التنبيه> على سبيل المثال، "ALERT_CABINET_EVENT_MATCH_AUDIT"
التنبيهات <اسم> اسم النهج المطابق
التنبيهات معرف خارجي معرف التنبيه
التنبيهات src عنوان IPv4 لجهاز العميل
التنبيهات c6a1 عنوان IPv6 لجهاز العميل

الخطوة 3: التحقق من أن عامل SIEM يعمل

  1. تأكد من أن حالة عامل SIEM في المدخل ليست خطأ في الاتصال أو غير متصل ولا توجد إعلامات عامل. سيظهر كخطأ في الاتصال إذا كان الاتصال معزولا لأكثر من ساعتين. تظهر الحالة على أنها غير متصلة إذا كان الاتصال معزولا لأكثر من 12 ساعة.

    SIEM غير متصل.

    بدلا من ذلك، يجب أن تكون الحالة متصلة، كما هو موضح هنا:

    SIEM متصل.

  2. في خادم Syslog/SIEM، تأكد من رؤية الأنشطة والتنبيهات التي تصل من Defender for Cloud Apps.

إعادة إنشاء الرمز المميز الخاص بك

إذا فقدت الرمز المميز، يمكنك دائما إعادة إنشائه عن طريق تحديد النقاط الثلاث في نهاية الصف لعامل SIEM في الجدول. حدد إعادة إنشاء الرمز المميز للحصول على رمز مميز جديد.

SIEM - إعادة إنشاء الرمز المميز.

تحرير عامل SIEM الخاص بك

لتحرير عامل SIEM، حدد النقاط الثلاث في نهاية الصف لعامل SIEM في الجدول، وحدد تحرير. إذا قمت بتحرير عامل SIEM، فلن تحتاج إلى إعادة تشغيل ملف .jar، فإنه يتم تحديثه تلقائيا.

SIEM - تحرير.

حذف عامل SIEM الخاص بك

لحذف عامل SIEM، حدد النقاط الثلاث في نهاية الصف لعامل SIEM في الجدول، وحدد Delete.

SIEM - حذف.

الخطوات التالية

إذا واجهت أي مشاكل، فنحن هنا للمساعدة. للحصول على المساعدة أو الدعم لقضية المنتج، يرجى فتح تذكرة دعم.