Obecná integrace SIEM

  • Článek

Microsoft Defender for Cloud Apps můžete integrovat s obecným serverem SIEM, a umožnit tak centralizované monitorování výstrah a aktivit z připojených aplikací. Vzhledem k tomu, že propojené aplikace podporují nové aktivity a události, je jejich přehled pak zpřístupněný v Microsoft Defenderu for Cloud Apps. Integrace se službou SIEM umožňuje lepší ochranu cloudových aplikací při zachování běžného pracovního postupu zabezpečení, zajištění automatizace postupů zabezpečení a vytvoření korelace mezi cloudovými a místními událostmi. Agent SIEM Microsoft Defenderu for Cloud Apps běží na serveru a získává upozornění a aktivity z Microsoft Defenderu for Cloud Apps, které streamuje na server SIEM.

Při první integraci SIEM s Defenderem for Cloud Apps se aktivity a upozornění z posledních dvou dnů předávají do SIEM a všechny aktivity a výstrahy (na základě vybraného filtru) od té doby. Pokud tuto funkci zakážete po delší dobu, pak ji znovu povolíte, předají se poslední dva dny výstrah a aktivit a pak se všechny výstrahy a aktivity od té doby přeposílají.

Mezi další integrační řešení patří:

  • Microsoft Sentinel – škálovatelný cloudový model SIEM a SOAR pro nativní integraci. Informace o integraci s Microsoft Sentinelem najdete v tématu Integrace microsoft Sentinelu.
  • Rozhraní Microsoft Security Graph API – zprostředkovatelská služba (nebo zprostředkovatel), která poskytuje jedno programové rozhraní pro připojení více poskytovatelů zabezpečení. Další informace najdete v tématu Integrace řešení zabezpečení pomocí Rozhraní API pro zabezpečení Microsoft Graphu.

Důležité

Pokud integrujete Microsoft Defender for Identity v programu Defender for Cloud Apps a obě služby jsou nakonfigurované tak, aby odesílaly oznámení o upozorněních na SIEM, začnete dostávat duplicitní oznámení SIEM pro stejnou výstrahu. Jedna výstraha bude vydána z každé služby a budou mít různá ID výstrah. Abyste se vyhnuli duplikaci a nejasnostem, nezapomeňte tento scénář zpracovat. Můžete například rozhodnout, kde chcete provádět správu výstrah, a pak zastavit odesílání oznámení SIEM z jiné služby.

Obecná architektura integrace SIEM

Agent SIEM je nasazený v síti vaší organizace. Po nasazení a konfiguraci načte datové typy nakonfigurované (výstrahy a aktivity) pomocí rozhraní RESTful API služby Defender for Cloud Apps. Přenosy se pak odesílají přes zašifrovaný kanál HTTPS na portu 443.

Jakmile agent SIEM načte data z Defenderu for Cloud Apps, odešle zprávy Syslogu do místního SYSTÉMU SIEM. Defender for Cloud Apps používá konfigurace sítě, které jste zadali během instalace (TCP nebo UDP s vlastním portem).

SIEM integration architecture.

Podporované siEM

Defender for Cloud Apps aktuálně podporuje Micro Focus ArcSight a obecný CEF.

Jak integrovat

Integrace s vaším řešením SIEM probíhá ve třech krocích:

  1. Nastavte ho na portálu Defender for Cloud Apps.
  2. Stažení souboru JAR a jeho spuštění na serveru
  3. Ověření funkčnosti agenta SIEM

Požadavky

  • Standardní Windows nebo Linux server (může být virtuální počítač)
  • Operační systém: Windows nebo Linux
  • Procesory: 2
  • Místo na disku: 20 GB
  • RAM: 2 GB
  • Na serveru musí běžet Java 8. Starší verze nejsou podporované.
  • Tls (Transport Layer Security) 1.2+. Starší verze nejsou podporované.
  • Nastavení brány firewall podle popisu v požadavcích na síť

Integrace s řešením SIEM

Krok 1: Nastavení na portálu Defender for Cloud Apps

  1. Na portálu Microsoft Defender vyberte Nastavení. Pak zvolte Cloud Apps.

  2. V části Systém zvolte agenty SIEM. Vyberte Přidat agenta SIEM a pak zvolte Obecný SIEM.

    Screenshot showing Add SIEM integration menu.

  3. V průvodci vyberte Spustit průvodce.

  4. V průvodci zadejte název a zvolte možnost Vyberte formát SIEM a zadejte informace v části Upřesnit nastavení relevantní pro daný formát. Vyberte Další.

    General SIEM settings.

  5. Zadejte IP adresu nebo název hostitele vzdáleného protokolu syslog a číslo portu syslog. Jako vzdálený protokol syslog vyberte TCP nebo UDP. Pokud tyto informace nemáte, můžete o ně požádat správce zabezpečení. Vyberte Další.

    Remote Syslog settings.

  6. Vyberte datové typy, které chcete exportovat na server SIEM pro výstrahy a aktivity. Povolíte a zakážete je pomocí posuvníku, standardně jsou vybrané všechny možnosti. Můžete použít rozevírací seznam Platí pro a nastavit filtry, na základě kterých se budou na server SIEM posílat jenom určitá upozornění a aktivity. Výběrem možnosti Upravit a zobrazit náhled výsledků zkontrolujte, jestli filtr funguje podle očekávání. Vyberte Další.

    Data types settings.

  7. Zkopírujte token a uložte ho pro pozdější použití. Vyberte Dokončit a ponechte Průvodce. Vraťte se na stránku SIEM a zobrazte agenta SIEM, který jste přidali do tabulky. Zobrazí se, že se vytvoří , dokud se nepřipojí později.

Poznámka:

Jakýkoli token, který vytvoříte, je vázán na správce, který ho vytvořil. To znamená, že pokud se uživatel správce odebere z Defenderu for Cloud Apps, token už nebude platný. Obecný token SIEM poskytuje oprávnění jen pro čtení k jediným požadovaným prostředkům. Část tohoto tokenu nejsou udělena žádná další oprávnění.

Krok 2: Stažení souboru JAR a jeho spuštění na serveru

  1. Po přijetí licenčních podmínek pro software si na webu Stažení softwaru stáhněte soubor .zip a rozbalte ho.

  2. Spusťte extrahovaný soubor na serveru:

    java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN

Poznámka:

  • Název souboru se může lišit v závislosti na verzi agenta SIEM.
  • Parametry v hranatých závorkách [ ] jsou volitelné a měly by se použít pouze v případě potřeby.
  • Při spuštění serveru se doporučuje spustit soubor JAR.
    • Windows: Spusťte jako naplánovanou úlohu a ujistěte se, že jste úlohu nakonfigurovali tak, aby se spustila bez ohledu na to, jestli je uživatel přihlášený nebo ne a že zrušíte zaškrtnutí políčka Zastavit úlohu, pokud běží déle, než je zaškrtávací políčko.
    • Linux: Přidejte příkaz pro spuštění do souboru rc.local. Příklad: java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN &

Je v nich možné použít následující proměnné:

  • DIRNAME je cesta k adresáři, který chcete použít pro protokoly ladění místního agenta.
  • ADDRESS[:P ORT] je adresa a port proxy serveru, který server používá pro připojení k internetu.
  • TOKEN je token agenta SIEM, který jste zkopírovali v předchozím kroku.

Nápovědu můžete kdykoliv zobrazit tak, že zadáte -h.

Ukázkové protokoly aktivit

Níže jsou uvedené ukázkové protokoly aktivit odesílané do systému SIEM:

2017-11-22T17:50:04.000Z CEF:0|MCAS|SIEM_Agent|0.111.85|EVENT_CATEGORY_LOGOUT|Log out|0|externalId=1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0 rt=1511373004000 start=1511373004000 end=1511373004000 msg=Log out suser=admin@contoso.com destinationServiceName=ServiceNow dvc=13.82.149.151 requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:40:15.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_VIEW_REPORT|View report|0|externalId=1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a rt=1511898015000 start=1511898015000 end=1511898015000 msg=View report: ServiceNow Report 23 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=23,sys_report,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:25:34.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798 rt=1511897134000 start=1511897134000 end=1511897134000 msg=Delete object: ServiceNow Object f5122008db360300906ff34ebf96198a suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-27T20:40:14.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_CREATE_USER|Create user|0|externalId=1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c rt=1511815214000 start=1511815214000 end=1511815214000 msg=Create user: user 747518c0db360300906ff34ebf96197c suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,747518c0db360300906ff34ebf96197c,sys_user,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-27T20:41:20.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_DELETE_USER|Delete user|0|externalId=1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383 rt=1511815280000 start=1511815280000 end=1511815280000 msg=Delete user: user 233490c0db360300906ff34ebf9619ef suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,233490c0db360300906ff34ebf9619ef,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:24:55.000Z LAB-EUW-ARCTEST CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897117617_5be018ee-f676-4473-a9b5-5982527409be rt=1511897095000 start=1511897095000 end=1511897095000 msg=Delete object: ServiceNow Object b1709c40db360300906ff34ebf961923 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897117617_5be018ee-f676-4473-a9b5-5982527409be,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

Následující text je příklad souboru protokolu upozornění:

2017-07-15T20:42:30.531Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|myPolicy|3|externalId=596a7e360c204203a335a3fb start=1500151350531 end=1500151350531 msg=Activity policy ''myPolicy'' was triggered by ''admin@box-contoso.com'' suser=admin@box-contoso.com destinationServiceName=Box cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596a7e360c204203a335a3fb cs2Label=uniqueServiceAppIds cs2=APPID_BOX cs3Label=relatedAudits cs3=1500151288183_acc891bf-33e1-424b-a021-0d4370789660 cs4Label=policyIDs cs4=59f0ab82f797fa0681e9b1c7

2017-07-16T09:36:26.550Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b339b0c204203a33a51ae start=1500197786550 end=1500197786550 msg=Activity policy ''test-activity-policy'' was triggered by ''user@contoso.com'' suser=user@contoso.com destinationServiceName=Salesforce cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b339b0c204203a33a51ae cs2Label=uniqueServiceAppIds cs2=APPID_SALESFORCE cs3Label=relatedAudits cs3=1500197720691_b7f6317c-b8de-476a-bc8f-dfa570e00349 cs4Label=policyIDs cs4=

2017-07-16T09:17:03.361Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy3|3|externalId=596b2fd70c204203a33a3eeb start=1500196623361 end=1500196623361 msg=Activity policy ''test-activity-policy3'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft 365 cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eeb cs2Label=uniqueServiceAppIds cs2=APPID_O365 cs3Label=relatedAudits cs3=1500196549157_a0e01f8a-e29a-43ae-8599-783c1c11597d cs4Label=policyIDs cs4=

2017-07-16T09:17:15.426Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b2fd70c204203a33a3eec start=1500196635426 end=1500196635426 msg=Activity policy ''test-activity-policy'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft 365 admin center cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eec cs2Label=uniqueServiceAppIds cs2=APPID_O365_PORTAL cs3Label=relatedAudits cs3=1500196557398_3e102b20-d9fa-4f66-b550-8c7a403bb4d8 cs4Label=policyIDs cs4=59f0ab35f797fa9811e9b1c7

2017-07-16T09:17:46.290Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy4|3|externalId=596b30200c204203a33a4765 start=1500196666290 end=1500196666290 msg=Activity policy ''test-activity-policy4'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft Exchange Online cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b30200c204203a33a4765 cs2Label=uniqueServiceAppIds cs2=APPID_OUTLOOK cs3Label=relatedAudits cs3=1500196587034_a8673602-7e95-46d6-a1fe-c156c4709c5d cs4Label=policyIDs cs4=

2017-07-16T09:41:04.369Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy2|3|externalId=596b34b10c204203a33a5240 start=1500198064369 end=1500198064369 msg=Activity policy ''test-activity-policy2'' was triggered by ''user2@test15-adallom.com'' suser=user2@test15-adallom.com destinationServiceName=Google cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b34b10c204203a33a5240 cs2Label=uniqueServiceAppIds cs2=APPID_33626 cs3Label=relatedAudits cs3=1500197996117_fd71f265-1e46-4f04-b372-2e32ec874cd3 cs4Label=policyIDs cs4=

Ukázková upozornění Defenderu pro Cloud Apps ve formátu CEF

Platí pro Název pole CEF Popis
Aktivity/výstrahy start Časové razítko aktivity nebo upozornění
Aktivity/výstrahy end Časové razítko aktivity nebo upozornění
Aktivity/výstrahy Rt Časové razítko aktivity nebo upozornění
Aktivity/výstrahy msg Popis aktivity nebo upozornění, jak je znázorněno na portálu
Aktivity/výstrahy suser Uživatel předmětu aktivity nebo upozornění
Aktivity/výstrahy destinationServiceName Aktivita nebo upozornění pocházející z aplikace, například Microsoft 365, SharePoint, Box.
Aktivity/výstrahy cs<X>Label Každý popisek má jiný význam, ale samotný popisek ho vysvětluje, například targetObjects.
Aktivity/výstrahy cs<X> Informace odpovídající popisku (cílový uživatel aktivity nebo výstrahy podle příkladu popisku)
Aktivity EVENT_CATEGORY_* Kategorie aktivity vysoké úrovně
Aktivity <AKCE> Typ aktivity zobrazený na portálu
Aktivity externalId ID události
Aktivity dvc IP adresa klientského zařízení
Aktivity requestClientApplication Uživatelský agent klientského zařízení
Výstrahy <typ výstrahy> Například "ALERT_CABINET_EVENT_MATCH_AUDIT"
Výstrahy <Jméno> Odpovídající název zásady
Výstrahy externalId ID upozornění
Výstrahy src Adresa IPv4 klientského zařízení
Výstrahy c6a1 Adresa IPv6 klientského zařízení

Krok 3: Ověření funkčnosti agenta SIEM

  1. Ujistěte se, že stav agenta SIEM na portálu není Připojení chyba nebo Odpojeno a nejsou k dispozici žádná oznámení agenta. Pokud je připojení po dobu delší než dvě hodiny, zobrazí se jako chyba Připojení ion. Stav se zobrazí jako Odpojeno, pokud je připojení po dobu více než 12 hodin vypnuté .

    SIEM disconnected.

    Místo toho by se měl stav připojit, jak je vidět tady:

    SIEM connected.

  2. Na serveru Syslog/SIEM se ujistěte, že vidíte aktivity a výstrahy přicházející z Defenderu pro Cloud Apps.

Nové vygenerování tokenu

Pokud token ztratíte, můžete ho vždy znovu vygenerovat tak, že vyberete tři tečky na konci řádku pro agenta SIEM v tabulce. Vyberte Znovu vygenerovat token , abyste získali nový token.

SIEM - regenerate token.

Úpravy agenta SIEM

Pokud chcete upravit agenta SIEM, vyberte tři tečky na konci řádku pro agenta SIEM v tabulce a vyberte Upravit. Pokud upravíte agenta SIEM, nemusíte znovu spustit .jar soubor, aktualizuje se automaticky.

SIEM - edit.

Odstranění agenta SIEM

Pokud chcete odstranit agenta SIEM, vyberte tři tečky na konci řádku pro agenta SIEM v tabulce a vyberte Odstranit.

SIEM - delete.

Další kroky

Odstraňování potíží s integrací řešení SIEM

Pokud narazíte na nějaké problémy, jsme tady, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu k problému s produktem, otevřete lístek podpory.