Læs på engelsk

Del via


Generisk SIEM-integration

Du kan integrere Microsoft Defender for Cloud Apps med din generiske SIEM-server for at aktivere central overvågning af beskeder og aktiviteter fra forbundne apps. Efterhånden som nye aktiviteter og begivenheder understøttes af forbundne apps, udrulles synligheden af dem i Microsoft Defender for Cloud Apps. Integration med en SIEM-tjeneste giver dig mulighed for bedre at beskytte dine cloudprogrammer, samtidig med at du bevarer din sædvanlige sikkerhedsarbejdsproces, automatiserer sikkerhedsprocedurer og korrelerer mellem cloudbaserede hændelser og hændelser i det lokale miljø. Den Microsoft Defender for Cloud Apps SIEM-agent kører på serveren og henter beskeder og aktiviteter fra Microsoft Defender for Cloud Apps og streamer dem til SIEM-serveren.

Når du først integrerer din SIEM med Defender for Cloud Apps, videresendes aktiviteter og beskeder fra de sidste to dage til SIEM og alle aktiviteter og beskeder (baseret på det filter, du vælger) derefter. Hvis du deaktiverer denne funktion i en længere periode og derefter aktiverer den igen, videresendes de seneste to dages beskeder og aktiviteter og derefter alle beskeder og aktiviteter fra da af.

Yderligere integrationsløsninger omfatter:

Vigtigt

Hvis du integrerer Microsoft Defender for Identity i Defender for Cloud Apps, og begge tjenester er konfigureret til at sende beskedmeddelelser til en SIEM, vil du begynde at modtage dublerede SIEM-meddelelser for den samme besked. Der sendes én besked fra hver tjeneste, og de har forskellige besked-id'er. Hvis du vil undgå duplikering og forvirring, skal du sørge for at håndtere scenariet. Du kan f.eks. beslutte, hvor du vil udføre administration af beskeder, og derefter stoppe SIEM-meddelelser, der sendes fra den anden tjeneste.

Generisk SIEM-integrationsarkitektur

SIEM-agenten installeres på organisationens netværk. Når den er udrullet og konfigureret, henter den de datatyper, der er konfigureret (beskeder og aktiviteter), ved hjælp af Defender for Cloud Apps RESTful-API'er. Trafikken sendes derefter via en krypteret HTTPS-kanal på port 443.

Når SIEM-agenten henter dataene fra Defender for Cloud Apps, sendes Syslog-meddelelserne til din lokale SIEM. Defender for Cloud Apps bruger de netværkskonfigurationer, du angav under installationen (TCP eller UDP med en brugerdefineret port).

SIEM-integrationsarkitektur.

Understøttede SIEM'er

Defender for Cloud Apps understøtter i øjeblikket Micro Focus ArcSight og generisk CEF.

Sådan integrerer du

Integration med din SIEM opnås i tre trin:

  1. Konfigurer den på Defender for Cloud Apps-portalen.
  2. Download JAR-filen, og kør den på serveren.
  3. Kontrollér, at SIEM-agenten fungerer.

Forudsætninger

  • En Windows- eller Linux-standardserver (kan være en virtuel maskine).
  • OS: Windows eller Linux
  • CPU: 2
  • Diskplads: 20 GB
  • RAM: 2 GB
  • Serveren skal køre Java 8. Tidligere versioner understøttes ikke.
  • TLS (Transport Layer Security) 1.2+. Tidligere versioner understøttes ikke.
  • Angiv din firewall som beskrevet i Netværkskrav

Integration med din SIEM

Trin 1: Konfigurer den på Defender for Cloud Apps-portalen

  1. Vælg Indstillinger i Microsoft Defender Portal. Vælg derefter Cloud Apps.

  2. Under System skal du vælge SIEM-agenter. Vælg Tilføj SIEM-agent, og vælg derefter Generisk SIEM.

    Skærmbillede, der viser menuen Tilføj SIEM-integration.

  3. Vælg Start guide i guiden.

  4. I guiden skal du udfylde et navn og vælge SIEM-formatet og angive avancerede indstillinger , der er relevante for det pågældende format. Vælg Næste.

    Generelle SIEM-indstillinger.

  5. Skriv IP-adressen eller værtsnavnet på fjern syslog-værten og Syslog-portnummeret. Vælg TCP eller UDP som protokollen Remote Syslog. Du kan samarbejde med din sikkerhedsadministrator om at få disse oplysninger, hvis du ikke har dem. Vælg Næste.

    Indstillinger for fjerns syslog.

  6. Vælg, hvilke datatyper du vil eksportere til SIEM-serveren for beskeder og aktiviteter. Brug skyderen til at aktivere og deaktivere dem. Som standard er alt markeret. Du kan bruge rullelisten Anvend på til at angive filtre for kun at sende bestemte beskeder og aktiviteter til din SIEM-server. Vælg Rediger og vis resultater for at kontrollere, at filteret fungerer som forventet. Vælg Næste.

    Indstillinger for datatyper.

  7. Kopiér tokenet, og gem det til senere. Vælg Udfør , og forlad guiden. Gå tilbage til SIEM-siden for at se den SIEM-agent, du tilføjede i tabellen. Den viser, at den er oprettet , indtil den er tilsluttet senere.

Bemærk

Ethvert token, du opretter, er bundet til den administrator, der oprettede det. Det betyder, at hvis administratorbrugeren fjernes fra Defender for Cloud Apps, er tokenet ikke længere gyldigt. Et generisk SIEM-token giver skrivebeskyttede tilladelser til de eneste påkrævede ressourcer. Der tildeles ikke andre tilladelser til en del af dette token.

Trin 2: Download JAR-filen, og kør den på serveren

  1. Når du har accepteret licensvilkårene for softwaren, skal du downloade filen .zip og udpakke den i Microsoft Download Center.

  2. Kør den udpakkede fil på serveren:

    java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN

Bemærk

  • Filnavnet kan variere afhængigt af versionen af SIEM-agenten.
  • Parametre i parenteser [ ] er valgfrie og bør kun bruges, hvis det er relevant.
  • Det anbefales at køre JAR under serverstart.
    • Windows: Kør som en planlagt opgave, og sørg for, at du konfigurerer opgaven til at køre, om brugeren er logget på eller ej , og at du fjerner markeringen i afkrydsningsfeltet Stop opgaven, hvis den kører længere end .
    • Linux: Føj kørselskommandoen med en & til filen rc.local. For eksempel: java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN &

Hvor følgende variabler bruges:

  • DIRNAME er stien til den mappe, du vil bruge til lokale agentfejlfindingslogge.
  • ADDRESS[:P ORT] er proxyserveradressen og porten, som serveren bruger til at oprette forbindelse til internettet.
  • TOKEN er det SIEM-agenttoken, du kopierede i det forrige trin.

Du kan når som helst skrive -h for at få hjælp.

Eksempel på aktivitetslogge

Følgende er eksempel på aktivitetslogge, der er sendt til din SIEM:

2017-11-22T17:50:04.000Z CEF:0|MCAS|SIEM_Agent|0.111.85|EVENT_CATEGORY_LOGOUT|Log out|0|externalId=1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0 rt=1511373004000 start=1511373004000 end=1511373004000 msg=Log out suser=admin@contoso.com destinationServiceName=ServiceNow dvc=13.82.149.151 requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:40:15.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_VIEW_REPORT|View report|0|externalId=1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a rt=1511898015000 start=1511898015000 end=1511898015000 msg=View report: ServiceNow Report 23 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=23,sys_report,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:25:34.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798 rt=1511897134000 start=1511897134000 end=1511897134000 msg=Delete object: ServiceNow Object f5122008db360300906ff34ebf96198a suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-27T20:40:14.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_CREATE_USER|Create user|0|externalId=1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c rt=1511815214000 start=1511815214000 end=1511815214000 msg=Create user: user 747518c0db360300906ff34ebf96197c suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,747518c0db360300906ff34ebf96197c,sys_user,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-27T20:41:20.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_DELETE_USER|Delete user|0|externalId=1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383 rt=1511815280000 start=1511815280000 end=1511815280000 msg=Delete user: user 233490c0db360300906ff34ebf9619ef suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,233490c0db360300906ff34ebf9619ef,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:24:55.000Z LAB-EUW-ARCTEST CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897117617_5be018ee-f676-4473-a9b5-5982527409be rt=1511897095000 start=1511897095000 end=1511897095000 msg=Delete object: ServiceNow Object b1709c40db360300906ff34ebf961923 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897117617_5be018ee-f676-4473-a9b5-5982527409be,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

Følgende tekst er et eksempel på en logfil over beskeder:

2017-07-15T20:42:30.531Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|myPolicy|3|externalId=596a7e360c204203a335a3fb start=1500151350531 end=1500151350531 msg=Activity policy ''myPolicy'' was triggered by ''admin@box-contoso.com'' suser=admin@box-contoso.com destinationServiceName=Box cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596a7e360c204203a335a3fb cs2Label=uniqueServiceAppIds cs2=APPID_BOX cs3Label=relatedAudits cs3=1500151288183_acc891bf-33e1-424b-a021-0d4370789660 cs4Label=policyIDs cs4=59f0ab82f797fa0681e9b1c7

2017-07-16T09:36:26.550Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b339b0c204203a33a51ae start=1500197786550 end=1500197786550 msg=Activity policy ''test-activity-policy'' was triggered by ''user@contoso.com'' suser=user@contoso.com destinationServiceName=Salesforce cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b339b0c204203a33a51ae cs2Label=uniqueServiceAppIds cs2=APPID_SALESFORCE cs3Label=relatedAudits cs3=1500197720691_b7f6317c-b8de-476a-bc8f-dfa570e00349 cs4Label=policyIDs cs4=

2017-07-16T09:17:03.361Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy3|3|externalId=596b2fd70c204203a33a3eeb start=1500196623361 end=1500196623361 msg=Activity policy ''test-activity-policy3'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft 365 cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eeb cs2Label=uniqueServiceAppIds cs2=APPID_O365 cs3Label=relatedAudits cs3=1500196549157_a0e01f8a-e29a-43ae-8599-783c1c11597d cs4Label=policyIDs cs4=

2017-07-16T09:17:15.426Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b2fd70c204203a33a3eec start=1500196635426 end=1500196635426 msg=Activity policy ''test-activity-policy'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft 365 admin center cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eec cs2Label=uniqueServiceAppIds cs2=APPID_O365_PORTAL cs3Label=relatedAudits cs3=1500196557398_3e102b20-d9fa-4f66-b550-8c7a403bb4d8 cs4Label=policyIDs cs4=59f0ab35f797fa9811e9b1c7

2017-07-16T09:17:46.290Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy4|3|externalId=596b30200c204203a33a4765 start=1500196666290 end=1500196666290 msg=Activity policy ''test-activity-policy4'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft Exchange Online cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b30200c204203a33a4765 cs2Label=uniqueServiceAppIds cs2=APPID_OUTLOOK cs3Label=relatedAudits cs3=1500196587034_a8673602-7e95-46d6-a1fe-c156c4709c5d cs4Label=policyIDs cs4=

2017-07-16T09:41:04.369Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy2|3|externalId=596b34b10c204203a33a5240 start=1500198064369 end=1500198064369 msg=Activity policy ''test-activity-policy2'' was triggered by ''user2@test15-adallom.com'' suser=user2@test15-adallom.com destinationServiceName=Google cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b34b10c204203a33a5240 cs2Label=uniqueServiceAppIds cs2=APPID_33626 cs3Label=relatedAudits cs3=1500197996117_fd71f265-1e46-4f04-b372-2e32ec874cd3 cs4Label=policyIDs cs4=

Eksempel på Defender for Cloud Apps beskeder i CEF-format

Gælder for Navn på CEF-felt Beskrivelse
Aktiviteter/beskeder begynde Tidsstempel for aktivitet eller beskeder
Aktiviteter/beskeder ende Tidsstempel for aktivitet eller beskeder
Aktiviteter/beskeder Rt Tidsstempel for aktivitet eller beskeder
Aktiviteter/beskeder Msg Beskrivelse af aktivitet eller besked som vist på portalen
Aktiviteter/beskeder suser Bruger af emneaktivitet eller vigtig besked
Aktiviteter/beskeder destinationServiceName App med indhold af aktivitet eller besked, f.eks. Microsoft 365, Sharepoint, Box.
Aktiviteter/beskeder cs<X-etiket> Hver etiket har forskellig betydning, men selve etiketten forklarer den, f.eks. targetObjects.
Aktiviteter/beskeder cs<X> De oplysninger, der svarer til mærkaten (destinationsbrugeren af aktiviteten eller beskeden i henhold til mærkateksepeltet).
Aktiviteter EVENT_CATEGORY_* Aktivitetskategori på højt niveau
Aktiviteter <HANDLING> Aktivitetstypen, som vist på portalen
Aktiviteter externalId Hændelses-id
Aktiviteter Dvc Klientenhedens IP-adresse
Aktiviteter requestClientApplication Klientenhedens brugeragent
Beskeder <beskedtype> For eksempel "ALERT_CABINET_EVENT_MATCH_AUDIT"
Beskeder <Navn> Det tilsvarende politiknavn
Beskeder externalId Besked-id
Beskeder Src IPv4-adressen på klientenheden
Beskeder c6a1 Klientenhedens IPv6-adresse

Trin 3: Kontrollér, at SIEM-agenten fungerer

  1. Kontrollér, at status for SIEM-agenten i portalen ikke er forbindelsesfejl eller afbrudt, og at der ikke er nogen agentmeddelelser. Den vises som forbindelsesfejl , hvis forbindelsen er nede i mere end to timer. Status vises som Afbrudt , hvis forbindelsen er nede i mere end 12 timer.

    SIEM blev afbrudt.

    Status skal i stedet være forbundet, som vist her:

    SIEM tilsluttet.

  2. I syslog/SIEM-serveren skal du sørge for, at du får vist aktiviteter og beskeder, der ankommer fra Defender for Cloud Apps.

Regenererer dit token

Hvis du mister tokenet, kan du altid genoprette det ved at vælge de tre prikker i slutningen af rækken for SIEM-agenten i tabellen. Vælg Regenerer token for at få et nyt token.

SIEM – regenerer token.

Redigering af din SIEM-agent

Hvis du vil redigere SIEM-agenten, skal du vælge de tre prikker i slutningen af rækken for SIEM-agenten i tabellen og vælge Rediger. Hvis du redigerer SIEM-agenten, behøver du ikke at køre den .jar fil igen, opdateres den automatisk.

SIEM – rediger.

Sletning af din SIEM-agent

Hvis du vil slette SIEM-agenten, skal du vælge de tre prikker i slutningen af rækken for SIEM-agenten i tabellen og vælge Slet.

SIEM – slet.

Næste trin

Hvis du støder på problemer, er vi her for at hjælpe. Hvis du vil have hjælp eller support til dit produktproblem, skal du åbne en supportanmodning.