הערה
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות להיכנס או לשנות מדריכי כתובות.
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות לשנות מדריכי כתובות.
חשוב
הודעת יציאה משימוש: יישומי ענן של Microsoft Defender SIEM Agents
כחלק מתהליך ההתכנסות המתמשך שלנו בכל Microsoft Defender העבודה, יישומי ענן של Microsoft Defender SIEM יפחתו החל מנובמבר 2025.
קיימים יישומי ענן של Microsoft Defender SIEM ימשיכו לפעול כפי שהם עד אז. נכון ל- 19 ביוני 2025, לא ניתן לקבוע תצורה של סוכני SIEM חדשים, אך שילוב סוכן Microsoft Sentinel (Preview) יישאר נתמך ועדיין ניתן יהיה להוסיף אותו.
אנו ממליצים לעבור לממשקי API התומכים בניהול פעילויות והתראות על נתונים מעומסי עבודה מרובים. ממשקי API אלה משפרים את ניטור האבטחה וההנהלה ומציעים יכולות נוספות באמצעות נתונים מעומסי Microsoft Defender מרובים.
כדי להבטיח המשכיות וגישה לנתונים הזמינים כעת באמצעות יישומי ענן של Microsoft Defender SIEM, מומלץ לעבור אל ממשקי ה- API הנתמכים הבאים:
- לקבלת התראות ופעילויות, ראה: Microsoft Defender XDR API של זרימה.
- לקבלת הגנה למזהה Microsoft Entra כניסה למערכת, ראה הטבלה IdentityLogonEvents בסכימת הציד המתקדם.
- עבור API של התראות אבטחה של Microsoft Graph, ראה: פרטי alerts_v2
- כדי להציג יישומי ענן של Microsoft Defender נתונים של התראות ב- API Microsoft Defender XDR, ראה Microsoft Defender XDR API של אירועים וסוג משאב האירועים
באפשרותך לשלב את יישומי ענן של Microsoft Defender עם שרת SIEM הכללי שלך כדי לאפשר ניטור מרכזי של התראות ופעילויות מאפליקציות מחוברות. כאשר אפליקציות מחוברות תומכות בפעילויות ואירועים חדשים, הניראות שלהן נפרסת יישומי ענן של Microsoft Defender. שילוב עם שירות SIEM מאפשר לך להגן טוב יותר על אפליקציות הענן שלך תוך שמירה על זרימת העבודה הרגילה של האבטחה, הפיכת הליכי אבטחה לאוטומטיים ומתאם בין אירועים מבוססי ענן לאירועים מקומיים. סוכן יישומי ענן של Microsoft Defender SIEM פועל בשרת שלך ומשוך התראות ופעילויות מ- יישומי ענן של Microsoft Defender ומזרים אותן לשרת SIEM.
כאשר תשלב לראשונה את ה- SIEM עם יישומי ענן של Defender, פעילויות והתראות מהיומיים האחרונים יועברו ל- SIEM וכל הפעילויות וההתראות (בהתבסס על המסנן שבחרת) מתאריך זה ואילך. אם תהפוך תכונה זו ללא זמינה למשך תקופה מותכת, תהפוך אותה לזמינה מחדש, הימים האחרונים של התראות ופעילויות יועברו ולאחר מכן כל ההתראות והפעילויות מנקודה זו ואילך.
פתרונות שילוב נוספים כוללים:
- Microsoft Sentinel - סיאם ו- SOAR מדרגיות, מקוריות בענן, לשילוב מקורי. לקבלת מידע אודות שילוב עם Microsoft Sentinel, ראה שילוב Microsoft Sentinel.
- API של גרף אבטחה של Microsoft - שירות ביניים (או מתווך) המספק ממשק תוכניתי יחיד לחיבור ספקי אבטחה מרובים. לקבלת מידע נוסף, ראה שילובים של פתרונות אבטחה באמצעות Microsoft Graph API של אבטחה.
ארכיטקטורה כללית של שילוב SIEM
סוכן SIEM נפרס ברשת של הארגון שלך. כאשר הוא פרוס ומוגדר, הוא מושך את סוגי הנתונים שתצורתם נקבעה (התראות ופעילויות) באמצעות ממשקי API יישומי ענן של Defender RESTful. לאחר מכן, התעבורה נשלחת דרך ערוץ HTTPS מוצפן ביציאה 443.
לאחר שסוכן SIEM מאחזר את הנתונים יישומי ענן של Defender, הוא שולח את הודעות Syslog ל- SIEM המקומי שלך. יישומי ענן של Defender משתמש בתצורות הרשת שסיפקת במהלך ההתקנה (TCP או UDP עם יציאה מותאמת אישית).
הודעות SIEMs נתמכות
יישומי ענן של Defender תומך כעת ב- ArcSight Micro Focus וב- CEF כללי.
כיצד לשלב
שילוב עם ה- SIEM מתבצע בשלושה שלבים:
- הגדר זאת יישומי ענן של Defender.
- הורד את קובץ ה- JAR והפעל אותו בשרת שלך.
- ודא שסוכן SIEM פועל.
דרישות מוקדמות
- שרת סטנדרטי של Windows או Linux (יכול להיות מחשב וירטואלי).
- מערכת הפעלה: Windows או Linux
- CPU: 2
- שטח דיסק: 20 GB
- RAM: 2 GB
- בשרת חייב לפעול Java 8. גירסאות קודמות אינן נתמכות.
- Transport Layer Security (TLS) 1.2+. גירסאות קודמות אינן נתמכות.
- הגדר את חומת האש שלך כמתואר בדרישות הרשת
שילוב עם ה- SIEM
שלב 1: הגדר זאת יישומי ענן של Defender
בתיבה פורטל Microsoft Defender, בחר הגדרות. לאחר מכן בחר אפליקציות ענן.
תחת מערכת, בחר סוכני SIEM. בחר הוסף סוכן SIEM ולאחר מכן בחר GENERIC SIEM.
באשף, בחר הפעל את האשף.
באשף, מלא שם ובחר את תבנית SIEM והגדר הגדרות מתקדמות הרלוונטיות לתבנית זו. בחר באפשרות הבא.
הקלד את כתובת ה- IP או את שם המחשב המארח של מארח syslog מרוחק ואת מספר היציאה של Syslog. בחר TCP או UDP כפרוטוקול Remote Syslog. באפשרותך לעבוד עם מנהל האבטחה כדי לקבל פרטים אלה אם הם אינם ברשותך. בחר באפשרות הבא.
בחר אילו סוגי נתונים ברצונך לייצא לשרת SIEM עבור התראותופעילויות. השתמש במחוון כדי להפוך אותן לזמינות או ללא זמינות, כברירת מחדל, הכל נבחר. באפשרותך להשתמש ברשימה הנפתחת החל כדי להגדיר מסננים לשליחת התראות ופעילויות ספציפיות בלבד לשרת SIEM. בחר ערוך ובדוק בתצוגה מקדימה תוצאות כדי לוודא שהמסנן פועל כצפוי. בחר באפשרות הבא.
העתק את האסימון ושמור אותו לאחר כך. בחר סיום ועזוב את האשף. חזור לדף SIEM כדי לראות את סוכן SIEM שהוספת לטבלה. היא מראה שהיא נוצרה עד שתתחבר במועד מאוחר יותר.
הערה
כל אסימון שתיצור מאוגד למנהל המערכת שיצר אותו. משמעות הדבר היא שאם משתמש מנהל המערכת יוסר יישומי ענן של Defender, האסימון לא יהיה חוקי עוד. אסימון כללי של SIEM מספק הרשאות לקריאה בלבד למשאבים הדרושים היחידים. לא הוענקו הרשאות אחרות כחלק מסימון זה.
שלב 2: הורד את קובץ ה- JAR והפעל אותו בשרת שלך
במרכז ההורדות של Microsoft, לאחר קבלת תנאי רשיון התוכנה, הורד את .zip ובטל את דחיסתו.
הפעל את הקובץ שחולץ בשרת שלך:
java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN
הערה
- שם הקובץ עשוי להשתנות בהתאם לגירסת סוכן SIEM.
- פרמטרים בסוגריים מרובעים [ ] הם אופציונליים, ויש להשתמש בהם רק אם הם רלוונטיים.
- מומלץ להפעיל את JAR במהלך הפעלת השרת.
- Windows: הפעל כמשימה מתוזמנת וודא שאתה קובע את תצורת המשימה כך שתפעיל אם המשתמש מחובר או לא, ובטל את סימון תיבת הסימון הפסק את המשימה אם היא פועלת זמן רב יותר מ- .
- Linux: הוסף את פקודת ההפעלה עם & לקובץ rc.local. לדוגמה:
java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN &
היכן נעשה שימוש במשתנים הבאים:
- DIRNAME הוא הנתיב אל הספריה שבה ברצונך להשתמש עבור יומני איתור באגים של סוכן מקומי.
- ADDRESS[:P ORT] היא כתובת שרת ה- Proxy והיציאה שבה משתמש השרת כדי להתחבר לאינטרנט.
- TOKEN הוא אסימון סוכן SIEM שהעתקת בשלב הקודם.
באפשרותך להקליד -h בכל עת כדי לקבל עזרה.
יומני פעילות לדוגמה
להלן יומני פעילות לדוגמה שנשלחים אל ה- SIEM שלך:
2017-11-22T17:50:04.000Z CEF:0|MCAS|SIEM_Agent|0.111.85|EVENT_CATEGORY_LOGOUT|Log out|0|externalId=1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0 rt=1511373004000 start=1511373004000 end=1511373004000 msg=Log out suser=admin@contoso.com destinationServiceName=ServiceNow dvc=13.82.149.151 requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
2017-11-28T19:40:15.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_VIEW_REPORT|View report|0|externalId=1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a rt=1511898015000 start=1511898015000 end=1511898015000 msg=View report: ServiceNow Report 23 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=23,sys_report,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
2017-11-28T19:25:34.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798 rt=1511897134000 start=1511897134000 end=1511897134000 msg=Delete object: ServiceNow Object f5122008db360300906ff34ebf96198a suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
2017-11-27T20:40:14.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_CREATE_USER|Create user|0|externalId=1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c rt=1511815214000 start=1511815214000 end=1511815214000 msg=Create user: user 747518c0db360300906ff34ebf96197c suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,747518c0db360300906ff34ebf96197c,sys_user,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
2017-11-27T20:41:20.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_DELETE_USER|Delete user|0|externalId=1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383 rt=1511815280000 start=1511815280000 end=1511815280000 msg=Delete user: user 233490c0db360300906ff34ebf9619ef suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,233490c0db360300906ff34ebf9619ef,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
2017-11-28T19:24:55.000Z LAB-EUW-ARCTEST CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897117617_5be018ee-f676-4473-a9b5-5982527409be rt=1511897095000 start=1511897095000 end=1511897095000 msg=Delete object: ServiceNow Object b1709c40db360300906ff34ebf961923 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897117617_5be018ee-f676-4473-a9b5-5982527409be,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
הטקסט הבא הוא דוגמה לקובץ יומן רישום של התראות:
2017-07-15T20:42:30.531Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|myPolicy|3|externalId=596a7e360c204203a335a3fb start=1500151350531 end=1500151350531 msg=Activity policy ''myPolicy'' was triggered by ''admin@box-contoso.com'' suser=admin@box-contoso.com destinationServiceName=Box cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596a7e360c204203a335a3fb cs2Label=uniqueServiceAppIds cs2=APPID_BOX cs3Label=relatedAudits cs3=1500151288183_acc891bf-33e1-424b-a021-0d4370789660 cs4Label=policyIDs cs4=59f0ab82f797fa0681e9b1c7
2017-07-16T09:36:26.550Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b339b0c204203a33a51ae start=1500197786550 end=1500197786550 msg=Activity policy ''test-activity-policy'' was triggered by ''user@contoso.com'' suser=user@contoso.com destinationServiceName=Salesforce cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b339b0c204203a33a51ae cs2Label=uniqueServiceAppIds cs2=APPID_SALESFORCE cs3Label=relatedAudits cs3=1500197720691_b7f6317c-b8de-476a-bc8f-dfa570e00349 cs4Label=policyIDs cs4=
2017-07-16T09:17:03.361Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy3|3|externalId=596b2fd70c204203a33a3eeb start=1500196623361 end=1500196623361 msg=Activity policy ''test-activity-policy3'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft 365 cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eeb cs2Label=uniqueServiceAppIds cs2=APPID_O365 cs3Label=relatedAudits cs3=1500196549157_a0e01f8a-e29a-43ae-8599-783c1c11597d cs4Label=policyIDs cs4=
2017-07-16T09:17:15.426Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b2fd70c204203a33a3eec start=1500196635426 end=1500196635426 msg=Activity policy ''test-activity-policy'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft 365 admin center cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eec cs2Label=uniqueServiceAppIds cs2=APPID_O365_PORTAL cs3Label=relatedAudits cs3=1500196557398_3e102b20-d9fa-4f66-b550-8c7a403bb4d8 cs4Label=policyIDs cs4=59f0ab35f797fa9811e9b1c7
2017-07-16T09:17:46.290Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy4|3|externalId=596b30200c204203a33a4765 start=1500196666290 end=1500196666290 msg=Activity policy ''test-activity-policy4'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft Exchange Online cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b30200c204203a33a4765 cs2Label=uniqueServiceAppIds cs2=APPID_OUTLOOK cs3Label=relatedAudits cs3=1500196587034_a8673602-7e95-46d6-a1fe-c156c4709c5d cs4Label=policyIDs cs4=
2017-07-16T09:41:04.369Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy2|3|externalId=596b34b10c204203a33a5240 start=1500198064369 end=1500198064369 msg=Activity policy ''test-activity-policy2'' was triggered by ''user2@test15-adallom.com'' suser=user2@test15-adallom.com destinationServiceName=Google cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b34b10c204203a33a5240 cs2Label=uniqueServiceAppIds cs2=APPID_33626 cs3Label=relatedAudits cs3=1500197996117_fd71f265-1e46-4f04-b372-2e32ec874cd3 cs4Label=policyIDs cs4=
דוגמה יישומי ענן של Defender התראות בתבנית CEF
| חל על | שם שדה CEF | תיאור |
|---|---|---|
| פעילויות/התראות | התחלה | חותמת זמן של פעילות או התראה |
| פעילויות/התראות | קצה | חותמת זמן של פעילות או התראה |
| פעילויות/התראות | rt | חותמת זמן של פעילות או התראה |
| פעילויות/התראות | msg (מסג' 2 | תיאור פעילות או התראה כפי שמוצג בפורטל |
| פעילויות/התראות | משתמש ב- suser | משתמש נושא פעילות או התראה |
| פעילויות/התראות | destinationServiceName | האפליקציה 'פעילות' או 'התראה' נוצרה, לדוגמה, Microsoft 365, Sharepoint, Box. |
| פעילויות/התראות | תווית cs<X> | לכל תווית יש משמעות שונה, אך התווית עצמה מסבירה אותה, לדוגמה, targetObjects. |
| פעילויות/התראות | cs<X> | המידע המתאים לתווית (משתמש היעד של הפעילות או ההתראה לפי דוגמת התווית). |
| פעילויות | EVENT_CATEGORY_* | קטגוריה ברמה גבוהה של הפעילות |
| פעילויות | <פעולה> | סוג הפעילות, כפי שמוצג בפורטל |
| פעילויות | מזהה חיצוני | מזהה אירוע |
| פעילויות | dvc | IP של מכשיר הלקוח |
| פעילויות | requestClientApplication | סוכן משתמש של מכשיר הלקוח |
| התראות | <סוג התראה> | לדוגמה, "ALERT_CABINET_EVENT_MATCH_AUDIT" |
| התראות | <שם> | שם המדיניות התואמת |
| התראות | מזהה חיצוני | מזהה התראה |
| התראות | תסיסה תות | כתובת IPv4 של מכשיר הלקוח |
| התראות | c6a1 | כתובת IPv6 של מכשיר הלקוח |
שלב 3: אימות שסוכן SIEM פועל
ודא כי המצב של סוכן SIEM בפורטל אינו שגיאת חיבור או מנותק ולא קיימות הודעות סוכן. אם החיבור אינו פועל במשך יותר משעתיים, המצב משתנה לשגיאה בחיבור. אם החיבור אינו פועל במשך יותר מ- 12 שעות, המצב משתנה למצב מנותק.
במקום זאת, המצב אמור להיות מחובר, כפי שניתן לראות כאן:
בשרת Syslog/SIEM, ודא שאתה רואה פעילויות והתראות שמגיעות יישומי ענן של Defender.
יצירה מחדש של האסימון שלך
אם תאבד את האסימון, תוכל תמיד ליצור אותו מחדש על-ידי בחירת שלוש הנקודות בסוף השורה עבור סוכן SIEM בטבלה. בחר צור אסימון כדי לקבל אסימון חדש.
עריכת סוכן SIEM
כדי לערוך את סוכן SIEM, בחר את שלוש הנקודות בסוף השורה עבור סוכן SIEM בטבלה ובחר ערוך. אם תערוך את סוכן SIEM, לא תצטרך להפעיל מחדש את הקובץ .jar, הוא יעדכן באופן אוטומטי.
מחיקת סוכן SIEM
כדי למחוק את סוכן SIEM, בחר את שלוש הנקודות בסוף השורה עבור סוכן SIEM בטבלה ובחר מחק.
השלבים הבאים
אם אתה נתקל בבעיות כלשהן, אנחנו כאן כדי לעזור. לקבלת סיוע או תמיכה עבור בעיית המוצר שלך, פתח כרטיס תמיכה.