Generische SIEM-Integration
Sie können Microsoft Defender for Cloud Apps in Ihren generischen SIEM-Server integrieren, um die zentralisierte Überwachung von Warnungen und Aktivitäten von verbundenen Apps zu ermöglichen. Wenn neue Aktivitäten und Ereignisse von verbundenen Apps unterstützt werden, wird der Einblick in sie dann in Microsoft Defender for Cloud Apps eingeführt. Die Integration in einen SIEM-Dienst bietet Ihnen die Möglichkeit, Ihre Cloudanwendungen besser zu schützen, während Ihr üblicher Sicherheitsworkflow beibehalten wird, Sicherheitsprozeduren automatisiert werden und Korrelation zwischen cloudbasierten und lokalen Ereignisse erfolgt. Der Microsoft Defender for Cloud Apps SIEM-Agent wird auf Ihrem Server ausgeführt und ruft Warnungen und Aktivitäten von Microsoft Defender for Cloud Apps ab und streamt sie an den SIEM-Server.
Wenn Sie Ihr SIEM zum ersten Mal in Defender for Cloud Apps integrieren, werden Aktivitäten und Warnungen der letzten zwei Tage an das SIEM weitergeleitet und alle Aktivitäten und Warnungen (basierend auf dem von Ihnen ausgewählten Filter) ab diesem Zeitpunkt. Wenn Sie dieses Feature für einen längeren Zeitraum deaktivieren und dann erneut aktivieren, werden die Warnungen und Aktivitäten der letzten zwei Tage weitergeleitet und dann alle Warnungen und Aktivitäten ab diesem Tag.
Weitere Integrationslösungen umfassen:
- Microsoft Sentinel: Eine skalierbare, cloudnative SIEM- und SOAR-Lösung für die native Integration. Informationen zur Integration in Microsoft Sentinel finden Sie unter Microsoft Sentinel Integration.
- Microsoft Security Graph-API : Ein zwischengeschalteter Dienst (oder Broker), der eine einzige programmgesteuerte Schnittstelle zum Verbinden mehrerer Sicherheitsanbieter bereitstellt. Weitere Informationen finden Sie unter Integrationen von Sicherheitslösungen mithilfe der Microsoft Graph-Sicherheits-API.
Wichtig
Wenn Sie Microsoft Defender for Identity in Defender for Cloud Apps integrieren und beide Dienste so konfiguriert sind, dass sie Warnungsbenachrichtigungen an ein SIEM senden, erhalten Sie doppelte SIEM-Benachrichtigungen für dieselbe Warnung. Von jedem Dienst wird eine Warnung ausgegeben, die unterschiedliche Warnungs-IDs aufweist. Um Duplizierungen und Verwirrung zu vermeiden, stellen Sie sicher, dass Sie das Szenario behandeln. Entscheiden Sie beispielsweise, wo Sie die Warnungsverwaltung durchführen möchten, und beenden Sie dann das Senden von SIEM-Benachrichtigungen vom anderen Dienst.
Der SIEM-Agent wird im Netzwerk Ihres organization bereitgestellt. Bei der Bereitstellung und Konfiguration werden die konfigurierten Datentypen (Warnungen und Aktivitäten) mithilfe Defender for Cloud Apps RESTful-APIs abgerufen. Der Datenverkehr wird dann über einen verschlüsselten HTTPS-Kanal an Port 443 gesendet.
Sobald der SIEM-Agent die Daten aus Defender for Cloud Apps abruft, sendet er die Syslog-Nachrichten an Ihr lokales SIEM. Defender for Cloud Apps verwendet die Netzwerkkonfigurationen, die Sie während des Setups angegeben haben (TCP oder UDP mit einem benutzerdefinierten Port).
Defender for Cloud Apps unterstützt derzeit Micro Focus ArcSight und generische CEF.
Die Integration in Ihr SIEM erfolgt in drei Schritten:
- Richten Sie es im Defender for Cloud Apps-Portal ein.
- Laden Sie die JAR-Datei herunter, und führen Sie sie auf Ihrem Server aus.
- Überprüfen Sie, ob der SIEM-Agent funktioniert.
- Ein Standard-Windows- oder Linux-Server (kann ein virtueller Computer sein).
- Betriebssystem: Windows oder Linux
- CPU: 2
- Speicherplatz: 20 GB
- RAM: 2 GB
- Auf dem Server muss Java 8 ausgeführt werden. Frühere Versionen werden nicht unterstützt.
- Transport Layer Security (TLS) 1.2 und höher. Frühere Versionen werden nicht unterstützt.
- Legen Sie Ihre Firewall wie unter Netzwerkanforderungen beschrieben fest.
Wählen Sie im Microsoft Defender Portal die Option Einstellungen aus. Wählen Sie dann Cloud-Apps aus.
Wählen Sie unter System die Option SIEM-Agents aus. Wählen Sie SIEM-Agent hinzufügen und dann Generisches SIEM aus.
Wählen Sie im Assistenten Assistenten starten aus.
Geben Sie im Assistenten einen Namen ein, wählen Sie Ihr SIEM-Format aus , und legen Sie alle erweiterten Einstellungen fest, die für dieses Format relevant sind. Wählen Sie Weiter aus.
Geben Sie die IP-Adresse oder den Hostnamen des Remote-Syslog-Hosts und die Syslog-Portnummer ein. Wählen Sie TCP oder UDP als Remote Syslog-Protokoll aus. Sie können mit Ihrem Sicherheitsadministrator zusammenarbeiten, um diese Details zu erhalten, wenn Sie sie nicht haben. Wählen Sie Weiter aus.
Wählen Sie aus, welche Datentypen Sie für Warnungen und Aktivitäten auf Ihren SIEM-Server exportieren möchten. Verwenden Sie den Schieberegler, um sie zu aktivieren und zu deaktivieren. Standardmäßig ist alles ausgewählt. Sie können die Dropdownliste Anwenden auf verwenden, um Filter so festzulegen, dass nur bestimmte Warnungen und Aktivitäten an Ihren SIEM-Server gesendet werden. Wählen Sie Bearbeiten und Ergebnisse anzeigen aus, um zu überprüfen, ob der Filter wie erwartet funktioniert. Wählen Sie Weiter aus.
Kopieren Sie das Token, und speichern Sie es für später. Wählen Sie Fertig stellen aus, und verlassen Sie den Assistenten. Zurück zur SIEM-Seite, um den SIEM-Agent anzuzeigen, den Sie in der Tabelle hinzugefügt haben. Es wird angezeigt, dass es erstellt ist, bis es später verbunden ist.
Hinweis
Jedes Token, das Sie erstellen, ist an den Administrator gebunden, der es erstellt hat. Dies bedeutet, dass das Token nicht mehr gültig ist, wenn der Administratorbenutzer aus Defender for Cloud Apps entfernt wird. Ein generisches SIEM-Token bietet schreibgeschützte Berechtigungen für die einzigen erforderlichen Ressourcen. Für einen Teil dieses Tokens werden keine weiteren Berechtigungen gewährt.
Laden Sie im Microsoft Download Center die .zip-Datei herunter, nachdem Sie die Softwarelizenzbedingungen akzeptiert haben, und entzippen Sie sie.
Führen Sie die extrahierte Datei auf Ihrem Server aus:
java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN
Hinweis
- Der Dateiname kann sich je nach Version des SIEM-Agents unterscheiden.
- Parameter in Klammern [ ] sind optional und sollten nur verwendet werden, wenn sie relevant sind.
- Es wird empfohlen, die JAR-Datei während des Serverstarts auszuführen.
- Windows: Führen Sie als geplante Aufgabe aus, und stellen Sie sicher, dass Sie die Aufgabe so konfigurieren, dass Sie unabhängig davon ausführen, ob der Benutzer angemeldet ist oder nicht , und dass Sie das Kontrollkästchen Task beenden deaktivieren, wenn sie länger als ausgeführt wird .
- Linux: Fügen Sie den Ausführungsbefehl mit einem & zur Datei rc.local hinzu. Beispiel:
java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN &
Hier werden die folgenden Variablen verwendet:
- DIRNAME ist der Pfad zum Verzeichnis, das Sie für die Debugprotokolle des lokalen Agents verwenden möchten.
- ADDRESS[:P ORT] ist die Adresse und der Port des Proxyservers, die der Server zum Herstellen einer Verbindung mit dem Internet verwendet.
- TOKEN ist das SIEM-Agenttoken, das Sie im vorherigen Schritt kopiert haben.
Sie können -h jederzeit eingeben, um Hilfe zu erhalten.
Im Folgenden sind Beispielaktivitätsprotokolle aufgeführt, die an Ihr SIEM gesendet werden:
2017-11-22T17:50:04.000Z CEF:0|MCAS|SIEM_Agent|0.111.85|EVENT_CATEGORY_LOGOUT|Log out|0|externalId=1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0 rt=1511373004000 start=1511373004000 end=1511373004000 msg=Log out suser=admin@contoso.com destinationServiceName=ServiceNow dvc=13.82.149.151 requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
2017-11-28T19:40:15.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_VIEW_REPORT|View report|0|externalId=1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a rt=1511898015000 start=1511898015000 end=1511898015000 msg=View report: ServiceNow Report 23 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=23,sys_report,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
2017-11-28T19:25:34.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798 rt=1511897134000 start=1511897134000 end=1511897134000 msg=Delete object: ServiceNow Object f5122008db360300906ff34ebf96198a suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
2017-11-27T20:40:14.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_CREATE_USER|Create user|0|externalId=1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c rt=1511815214000 start=1511815214000 end=1511815214000 msg=Create user: user 747518c0db360300906ff34ebf96197c suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,747518c0db360300906ff34ebf96197c,sys_user,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
2017-11-27T20:41:20.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_DELETE_USER|Delete user|0|externalId=1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383 rt=1511815280000 start=1511815280000 end=1511815280000 msg=Delete user: user 233490c0db360300906ff34ebf9619ef suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,233490c0db360300906ff34ebf9619ef,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
2017-11-28T19:24:55.000Z LAB-EUW-ARCTEST CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897117617_5be018ee-f676-4473-a9b5-5982527409be rt=1511897095000 start=1511897095000 end=1511897095000 msg=Delete object: ServiceNow Object b1709c40db360300906ff34ebf961923 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897117617_5be018ee-f676-4473-a9b5-5982527409be,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
Der folgende Text ist ein Beispiel für eine Warnungsprotokolldatei:
2017-07-15T20:42:30.531Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|myPolicy|3|externalId=596a7e360c204203a335a3fb start=1500151350531 end=1500151350531 msg=Activity policy ''myPolicy'' was triggered by ''admin@box-contoso.com'' suser=admin@box-contoso.com destinationServiceName=Box cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596a7e360c204203a335a3fb cs2Label=uniqueServiceAppIds cs2=APPID_BOX cs3Label=relatedAudits cs3=1500151288183_acc891bf-33e1-424b-a021-0d4370789660 cs4Label=policyIDs cs4=59f0ab82f797fa0681e9b1c7
2017-07-16T09:36:26.550Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b339b0c204203a33a51ae start=1500197786550 end=1500197786550 msg=Activity policy ''test-activity-policy'' was triggered by ''user@contoso.com'' suser=user@contoso.com destinationServiceName=Salesforce cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b339b0c204203a33a51ae cs2Label=uniqueServiceAppIds cs2=APPID_SALESFORCE cs3Label=relatedAudits cs3=1500197720691_b7f6317c-b8de-476a-bc8f-dfa570e00349 cs4Label=policyIDs cs4=
2017-07-16T09:17:03.361Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy3|3|externalId=596b2fd70c204203a33a3eeb start=1500196623361 end=1500196623361 msg=Activity policy ''test-activity-policy3'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft 365 cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eeb cs2Label=uniqueServiceAppIds cs2=APPID_O365 cs3Label=relatedAudits cs3=1500196549157_a0e01f8a-e29a-43ae-8599-783c1c11597d cs4Label=policyIDs cs4=
2017-07-16T09:17:15.426Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b2fd70c204203a33a3eec start=1500196635426 end=1500196635426 msg=Activity policy ''test-activity-policy'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft 365 admin center cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eec cs2Label=uniqueServiceAppIds cs2=APPID_O365_PORTAL cs3Label=relatedAudits cs3=1500196557398_3e102b20-d9fa-4f66-b550-8c7a403bb4d8 cs4Label=policyIDs cs4=59f0ab35f797fa9811e9b1c7
2017-07-16T09:17:46.290Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy4|3|externalId=596b30200c204203a33a4765 start=1500196666290 end=1500196666290 msg=Activity policy ''test-activity-policy4'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft Exchange Online cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b30200c204203a33a4765 cs2Label=uniqueServiceAppIds cs2=APPID_OUTLOOK cs3Label=relatedAudits cs3=1500196587034_a8673602-7e95-46d6-a1fe-c156c4709c5d cs4Label=policyIDs cs4=
2017-07-16T09:41:04.369Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy2|3|externalId=596b34b10c204203a33a5240 start=1500198064369 end=1500198064369 msg=Activity policy ''test-activity-policy2'' was triggered by ''user2@test15-adallom.com'' suser=user2@test15-adallom.com destinationServiceName=Google cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b34b10c204203a33a5240 cs2Label=uniqueServiceAppIds cs2=APPID_33626 cs3Label=relatedAudits cs3=1500197996117_fd71f265-1e46-4f04-b372-2e32ec874cd3 cs4Label=policyIDs cs4=
Anwendbar für | CEF-Feldname | Beschreibung |
---|---|---|
Aktivitäten/Warnungen | start | Aktivitäts- oder Warnungszeitstempel |
Aktivitäten/Warnungen | end | Aktivitäts- oder Warnungszeitstempel |
Aktivitäten/Warnungen | Rt | Aktivitäts- oder Warnungszeitstempel |
Aktivitäten/Warnungen | MSG | Aktivitäts- oder Warnungsbeschreibung wie im Portal angezeigt |
Aktivitäten/Warnungen | suser | Benutzer des Aktivitäts- oder Warnungsthemas |
Aktivitäten/Warnungen | destinationServiceName | Aktivitäts- oder Warnungs-Ursprungs-App, z. B. Microsoft 365, Sharepoint, Box. |
Aktivitäten/Warnungen | cs<X>Label | Jede Bezeichnung hat eine andere Bedeutung, aber die Bezeichnung selbst erklärt sie, z. B. targetObjects. |
Aktivitäten/Warnungen | cs<X> | Die Informationen, die der Bezeichnung entsprechen (der Zielbenutzer der Aktivität oder Warnung gemäß dem Bezeichnungsbeispiel). |
Aktivitäten | EVENT_CATEGORY_* | Allgemeine Kategorie der Aktivität |
Aktivitäten | <AKTION> | Der Aktivitätstyp, wie im Portal angezeigt |
Aktivitäten | externalId | Ereignis-ID |
Aktivitäten | Dvc | IP des Clientgeräts |
Aktivitäten | requestClientApplication | Benutzer-Agent des Clientgeräts |
Warnungen | <Warnungstyp> | Beispiel: "ALERT_CABINET_EVENT_MATCH_AUDIT" |
Warnungen | <Name> | Der name der abgeglichenen Richtlinie |
Warnungen | externalId | Warnungs-ID |
Warnungen | src | IPv4-Adresse des Clientgeräts |
Warnungen | c6a1 | IPv6-Adresse des Clientgeräts |
Stellen Sie sicher, dass der status des SIEM-Agents im Portal nicht verbindungsfehler oder Getrennt lautet und keine Agent-Benachrichtigungen vorhanden sind. Es wird als Verbindungsfehler angezeigt, wenn die Verbindung für mehr als zwei Stunden nicht funktioniert. Die status wird als Getrennt angezeigt, wenn die Verbindung für mehr als 12 Stunden unterbrochen ist.
Stattdessen sollte die status verbunden werden, wie hier zu sehen:
Stellen Sie sicher, dass auf Ihrem Syslog/SIEM-Server Aktivitäten und Warnungen angezeigt werden, die von Defender for Cloud Apps empfangen werden.
Wenn Sie das Token verlieren, können Sie es jederzeit erneut generieren, indem Sie die drei Punkte am Ende der Zeile für den SIEM-Agent in der Tabelle auswählen. Wählen Sie Token erneut generieren aus, um ein neues Token zu erhalten.
Um den SIEM-Agent zu bearbeiten, wählen Sie die drei Punkte am Ende der Zeile für den SIEM-Agent in der Tabelle aus, und wählen Sie Bearbeiten aus. Wenn Sie den SIEM-Agent bearbeiten, müssen Sie die .jar Datei nicht erneut ausführen, sie wird automatisch aktualisiert.
Um den SIEM-Agent zu löschen, wählen Sie die drei Punkte am Ende der Zeile für den SIEM-Agent in der Tabelle aus, und wählen Sie Löschen aus.
Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.