Puede integrar Microsoft Defender for Cloud Apps con el servidor SIEM genérico para habilitar la supervisión centralizada de las alertas y actividades de las aplicaciones conectadas. A medida que las aplicaciones conectadas admiten nuevas actividades y eventos, la visibilidad de ellas se implementa en Microsoft Defender for Cloud Apps. La integración con un servicio SIEM le permite proteger mejor sus aplicaciones en la nube, a la vez que mantiene su flujo de trabajo de seguridad habitual, automatiza los procedimientos de seguridad y correlaciona eventos locales y en la nube. El agente SIEM de Microsoft Defender for Cloud Apps se ejecuta en el servidor y extrae alertas y actividades de Microsoft Defender for Cloud Apps y las transmite al servidor SIEM.
La primera vez que integre siem con Defender for Cloud Apps, las actividades y alertas de los dos últimos días se reenviarán al SIEM y todas las actividades y alertas (según el filtro que seleccione) a partir de entonces. Si deshabilita esta característica durante un período prolongado, vuelva a habilitarla, se reenvía los dos últimos días de alertas y actividades y, a continuación, todas las alertas y actividades a partir de ese momento.
Las soluciones de integración adicionales incluyen:
Microsoft Sentinel: SIEM y SOAR escalables y nativos de la nube para la integración nativa. Para obtener información sobre la integración con Microsoft Sentinel, consulte integración de Microsoft Sentinel.
Si va a integrar Microsoft Defender for Identity en Defender for Cloud Apps y ambos servicios están configurados para enviar notificaciones de alerta a un SIEM, comenzará a recibir notificaciones SIEM duplicadas para la misma alerta. Se emitirá una alerta desde cada servicio y tendrán identificadores de alerta diferentes. Para evitar la duplicación y la confusión, asegúrese de controlar el escenario. Por ejemplo, decida dónde va a realizar la administración de alertas y, a continuación, detenga el envío de notificaciones SIEM desde el otro servicio.
Arquitectura de integración siem genérica
El agente SIEM se implementa en la red de la organización. Cuando se implementa y configura, extrae los tipos de datos que se configuraron (alertas y actividades) mediante Defender for Cloud Apps API RESTful.
A continuación, el tráfico se envía a través de un canal HTTPS cifrado en el puerto 443.
Una vez que el agente SIEM recupera los datos de Defender for Cloud Apps, envía los mensajes de Syslog al SIEM local. Defender for Cloud Apps usa las configuraciones de red que proporcionó durante la configuración (TCP o UDP con un puerto personalizado).
SIEMs admitidos
Defender for Cloud Apps admite actualmente Micro Focus ArcSight y CEF genérico.
Integración
La integración con SIEM se realiza en tres pasos:
Configúrela en el portal de Defender for Cloud Apps.
Descargue el archivo JAR y ejecútelo en el servidor.
Valide que el agente SIEM está funcionando.
Requisitos previos
Un servidor Estándar de Windows o Linux (puede ser una máquina virtual).
Sistema operativo: Windows o Linux
CPU: 2
Espacio en disco: 20 GB
RAM: 2 GB
El servidor debe ejecutar Java 8. No se admiten versiones anteriores.
Seguridad de la capa de transporte (TLS) 1.2+. No se admiten versiones anteriores.
Paso 1: Configurarlo en el portal de Defender for Cloud Apps
En el portal de Microsoft Defender, seleccione Configuración. A continuación, elija Aplicaciones en la nube.
En Sistema, elija Agentes SIEM. Seleccione Agregar agente SIEM y, a continuación, elija SIEM genérico.
En el asistente, seleccione Asistente para iniciar.
En el asistente, rellene un nombre y seleccione el formato SIEM y establezca cualquier configuración avanzada que sea relevante para ese formato. Seleccione Siguiente.
Escriba la dirección IP o el nombre de host del host syslog remoto y el número de puerto de Syslog. Seleccione TCP o UDP como protocolo syslog remoto.
Puede trabajar con el administrador de seguridad para obtener estos detalles si no los tiene. Seleccione Siguiente.
Seleccione los tipos de datos que desea exportar al servidor SIEM para Alertas y actividades. Use el control deslizante para habilitarlos y deshabilitarlos; de forma predeterminada, todo está seleccionado. Puede usar la lista desplegable Aplicar a para establecer filtros para enviar solo alertas y actividades específicas al servidor SIEM. Seleccione Editar y obtener una vista previa de los resultados para comprobar que el filtro funciona según lo esperado. Seleccione Siguiente.
Copie el token y guárdelo para más adelante.
Seleccione Finalizar y deje el Asistente. Volver a la página SIEM para ver el agente SIEM que agregó en la tabla. Se mostrará que se crea hasta que se conecta más adelante.
Nota
Cualquier token que cree se enlaza al administrador que lo creó. Esto significa que si el usuario administrador se quita de Defender for Cloud Apps, el token dejará de ser válido. Un token SIEM genérico proporciona permisos de solo lectura a los únicos recursos necesarios. No se concede ninguna otra parte de este token a ningún otro permiso.
Paso 2: Descargar el archivo JAR y ejecutarlo en el servidor
El nombre de archivo puede diferir en función de la versión del agente SIEM.
Los parámetros entre corchetes [ ] son opcionales y solo se deben usar si procede.
Se recomienda ejecutar el archivo JAR durante el inicio del servidor.
Windows: ejecute como una tarea programada y asegúrese de configurar la tarea para ejecutar si el usuario ha iniciado sesión o no y de desactivar la casilla Detener la tarea si se ejecuta más tiempo que .
Linux: agregue el comando run con un & al archivo rc.local. Por ejemplo: java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN &
Donde se usan las siguientes variables:
DIRNAME es la ruta de acceso al directorio que quiere usar para los registros de depuración de agente local.
ADDRESS[:P ORT] es la dirección y el puerto del servidor proxy que el servidor usa para conectarse a Internet.
TOKEN es el token del agente SIEM que copió en el paso anterior.
Puede escribir -h en cualquier momento para obtener ayuda.
Registros de actividad de ejemplo
A continuación se muestran los registros de actividad de ejemplo enviados a siem:
Alertas de Defender for Cloud Apps de ejemplo en formato CEF
Aplicable a
Nombre del campo CEF
Descripción
Actividades o alertas
start
Marca de tiempo de actividad o alerta
Actividades o alertas
end
Marca de tiempo de actividad o alerta
Actividades o alertas
Rt
Marca de tiempo de actividad o alerta
Actividades o alertas
msg
Descripción de la actividad o alerta como se muestra en el portal
Actividades o alertas
suser
Usuario del firmante de la actividad o de la alerta
Actividades o alertas
destinationServiceName
Aplicación de origen de actividad o alerta, por ejemplo, Microsoft 365, Sharepoint, Box.
Actividades o alertas
Etiqueta cs<X>
Cada etiqueta tiene un significado diferente, pero la propia etiqueta lo explica, por ejemplo, targetObjects.
Actividades o alertas
cs<X>
La información correspondiente a la etiqueta (el usuario de destino de la actividad o alerta según el ejemplo de etiqueta).
Actividades
EVENT_CATEGORY_*
Categoría de alto nivel de la actividad
Actividades
<ACCIÓN>
Tipo de actividad, como se muestra en el portal
Actividades
externalId
Id. de evento
Actividades
Dvc
DIRECCIÓN IP del dispositivo cliente
Actividades
requestClientApplication
Agente de usuario del dispositivo cliente
Alertas
<tipo de alerta>
Por ejemplo, "ALERT_CABINET_EVENT_MATCH_AUDIT"
Alertas
<nombre>
Nombre de la directiva coincidente
Alertas
externalId
Identificador de alerta
Alertas
src
Dirección IPv4 del dispositivo cliente
Alertas
c6a1
Dirección IPv6 del dispositivo cliente
Paso 3: Validar que el agente SIEM funciona
Asegúrese de que el estado del agente SIEM en el portal no es Error de conexión o Desconectado y no hay ninguna notificación del agente. Se mostrará como Error de conexión si la conexión está inactiva durante más de dos horas. El estado se muestra como Desconectado si la conexión está inactiva durante más de 12 horas.
En su lugar, el estado debe estar conectado, como se muestra aquí:
En el servidor Syslog/SIEM, asegúrese de que ve las actividades y alertas que llegan de Defender for Cloud Apps.
Regeneración del token
Si pierde el token, siempre puede volver a generarlo seleccionando los tres puntos al final de la fila para el agente SIEM de la tabla. Seleccione Regenerar token para obtener un nuevo token.
Edición del agente SIEM
Para editar el agente SIEM, seleccione los tres puntos al final de la fila para el agente SIEM de la tabla y seleccione Editar. Si edita el agente SIEM, no es necesario volver a ejecutar el archivo .jar, que se actualiza automáticamente.
Eliminación del agente SIEM
Para eliminar el agente SIEM, seleccione los tres puntos al final de la fila para el agente SIEM en la tabla y seleccione Eliminar.
Si tiene algún problema, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.