Általános SIEM-integráció

  • Cikk

Integrálhatja az általános SIEM-kiszolgálóját a Microsoft Defender for Cloud Apps szolgáltatásba, hogy lehetővé tegye a csatlakoztatott alkalmazások riasztásainak és tevékenységeinek központosított monitorozását. Mivel a csatlakoztatott alkalmazások támogatják az új tevékenységeket és eseményeket, a Microsoft Defender for Cloud Apps lehetővé teszi az ezekbe való betekintést is. A SIEM szolgáltatással történő integrálás növeli a felhőalkalmazások biztonságát, miközben megőrizheti a szokásos biztonsági munkafolyamatokat, automatizálhatja a biztonsági eljárásokat, valamint összekapcsolhatja a felhőalapú és a helyszíni eseményeket. A Microsoft Defender for Cloud Apps SIEM-ügynök a kiszolgálón fut, és riasztásokat és tevékenységeket vesz fel a Microsoft Defender for Cloud Apps rendszerből, majd a SIEM-kiszolgálóra továbbítja őket.

Amikor először integrálja a SIEM-et Felhőhöz készült Defender-alkalmazásokkal, az elmúlt két nap tevékenységeit és riasztásait a rendszer továbbítja a SIEM-nek, és az összes tevékenységet és riasztást (a kiválasztott szűrő alapján) ettől kezdve továbbítja. Ha hosszabb időre letiltja ezt a funkciót, majd újra engedélyezi, a rendszer az elmúlt két nap riasztásait és tevékenységeit továbbítja, majd onnantól kezdve az összes riasztást és tevékenységet.

További integrációs megoldások:

  • Microsoft Sentinel – Skálázható, natív felhőbeli SIEM és SOAR natív integrációhoz. A Microsoft Sentinel integrációjával kapcsolatos információkért lásd a Microsoft Sentinel integrációját.
  • Microsoft security graph API – Egy közvetítő szolgáltatás (vagy közvetítő), amely egyetlen programozott felületet biztosít több biztonsági szolgáltató összekapcsolásához. További információt a Microsoft Graph Biztonsági API használatával végzett biztonsági megoldásintegrációkban talál.

Fontos

Ha integrálja a Microsoft Defendert az Felhőhöz készült Defender-alkalmazásokba, és mindkét szolgáltatás úgy van konfigurálva, hogy riasztási értesítéseket küldjön egy SIEM-nek, akkor ugyanazon riasztáshoz ismétlődő SIEM-értesítéseket fog kapni. Minden szolgáltatásból egy-egy riasztás lesz kibocsátva, és különböző riasztási azonosítókkal fognak rendelkezni. A duplikáció és a keveredés elkerülése érdekében mindenképpen kezelje a forgatókönyvet. Döntse el például, hogy hol szeretné elvégezni a riasztáskezelést, majd állítsa le a SIEM-értesítések küldését a másik szolgáltatásból.

Általános SIEM integrációs architektúra

A SIEM-ügynök a szervezet hálózatában van üzembe helyezve. Üzembe helyezéskor és konfiguráláskor lekéri a konfigurált adattípusokat (riasztásokat és tevékenységeket) Felhőhöz készült Defender Apps RESTful API-k használatával. Ezután a forgalom a 443-as porton lévő titkosított csatornán keresztül halad.

Miután a SIEM-ügynök lekérte az adatokat Felhőhöz készült Defender Apps alkalmazásból, elküldi a Syslog-üzeneteket a helyi SIEM-nek. Felhőhöz készült Defender Az alkalmazások a beállítás során megadott hálózati konfigurációkat használják (tcp vagy UDP egyéni porttal).

SIEM integration architecture.

Támogatott SIEM-ek

Felhőhöz készült Defender Alkalmazások jelenleg a Micro Focus ArcSightot és az általános CEF-et támogatják.

Az integrálás menete

Az SIEM-mel történő integrálást három lépésben lehet megvalósítani:

  1. Állítsa be a Felhőhöz készült Defender Alkalmazások portálon.
  2. A JAR-fájl letöltése és futtatása a kiszolgálón.
  3. Ellenőrizze, hogy működik-e a SIEM-ügynök.

Előfeltételek

  • Szabványos Windows vagy Linux rendszerű kiszolgáló (virtuális gép is lehet).
  • Operációs rendszer: Windows vagy Linux
  • Processzor: 2
  • Lemezterület: 20 GB
  • RAM: 2 GB
  • A kiszolgálónak Java 8-at kell futtatnia. A korábbi verziók nem támogatottak.
  • Transport Layer Security (TLS) 1.2+. A korábbi verziók nem támogatottak.
  • A tűzfal beállítása a hálózati követelményekben leírtak szerint

Integráció az SIEM-mel

1. lépés: Beállítás a Felhőhöz készült Defender Alkalmazások portálon

  1. A Microsoft Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget.

  2. A Rendszer területen válassza a SIEM-ügynököket. Válassza a SIEM-ügynök hozzáadása, majd az Általános SIEM lehetőséget.

    Screenshot showing Add SIEM integration menu.

  3. A varázslóban válassza a Varázsló indítása lehetőséget.

  4. A varázsló segítségével adja meg a nevet, válassza ki az SIEM formátumát, és végezze el a formátumra vonatkozó speciális beállítások konfigurálását. Válassza a Tovább lehetőséget.

    General SIEM settings.

  5. Írja be a távoli Syslog gazdagépének IP-címét vagy állomásnevét és a Syslog portszámát. Adja meg a TCP vagy UDP lehetőséget a távoli Syslog protokolljaként. Ha nem rendelkezik ezekkel az adatokkal, a biztonsági adminisztrátorral együttműködve szerezze be őket. Válassza a Tovább lehetőséget.

    Remote Syslog settings.

  6. Válassza ki, hogy mely adattípusokat szeretné exportálni a SIEM-kiszolgálóra riasztások és tevékenységek céljából. Ezeket a csúszka segítségével engedélyezheti vagy tilthatja le. Alapértelmezés szerint minden lehetőség ki van választva. A Hatókör legördülő lista szűrőivel beállíthatja, hogy a rendszer csak konkrét riasztásokat és tevékenységeket küldjön az SIEM-kiszolgálóra. Válassza a Szerkesztés és az eredmények előnézete lehetőséget annak ellenőrzéséhez, hogy a szűrő a várt módon működik-e. Válassza a Tovább lehetőséget.

    Data types settings.

  7. Végezze el a jogkivonat másolását, és későbbi használatra mentse azt. Válassza a Befejezés lehetőséget, és hagyja meg a varázslót. Térjen vissza a SIEM lapra a táblázatban hozzáadott SIEM-ügynök megtekintéséhez. Ez azt mutatja, hogy létrejött, amíg később nem csatlakozik.

Feljegyzés

A létrehozott jogkivonatok az azt létrehozó rendszergazdához vannak kötve. Ez azt jelenti, hogy ha a rendszergazda felhasználót eltávolítják Felhőhöz készült Defender Apps alkalmazásból, a jogkivonat már nem lesz érvényes. Az általános SIEM-jogkivonat írásvédett engedélyeket biztosít az egyetlen szükséges erőforráshoz. A jogkivonatnak nincs más engedélye.

2. lépés: A JAR-fájl letöltése és futtatása a kiszolgálón

  1. A Microsoft Letöltőközpontban a szoftverlicenc feltételeinek elfogadása után töltse le a .zip fájlt, és bontsa ki.

  2. Futtassa a kinyert fájlt a kiszolgálón:

    java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN

Feljegyzés

  • A fájlnév az SIEM-ügynök aktuális verziójától függően eltérhet.
  • A zárójelben lévő paraméterek [] nem kötelezőek, és csak akkor használhatók, ha relevánsak.
  • Javasoljuk, hogy a JAR-t a kiszolgáló indításakor futtassa.
    • Windows: Futtassa ütemezett feladatként, és győződjön meg arról, hogy a feladatot úgy konfigurálja, hogy a felhasználó bejelentkezett-e, vagy sem , és törölje a jelet a Feladat leállítása jelölőnégyzetből, ha az hosszabb ideig fut, mint a jelölőnégyzet.
    • Linux: Adja hozzá a futtatási parancsot egy > paranccsal az rc.local fájlhoz. Például: java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN &

A következő változók használhatók:

  • A KÖNYVTÁRNÉV a helyi ügynök hibakeresési naplóinak tárolására szolgáló könyvtár elérési útja.
  • A ADDRESS[:P ORT] a proxykiszolgáló címe és portja, amelyet a kiszolgáló az internethez való csatlakozáshoz használ.
  • A JOGKIVONAT az SIEM-ügynök jogkivonata, amelyről az előző lépésben készített másolatot.

Ha segítségre van szüksége, bármikor beírhatja a -h paramétert.

Tevékenységnaplók mintája

A SIEM-nek küldött mintatevékenység-naplók a következők:

2017-11-22T17:50:04.000Z CEF:0|MCAS|SIEM_Agent|0.111.85|EVENT_CATEGORY_LOGOUT|Log out|0|externalId=1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0 rt=1511373004000 start=1511373004000 end=1511373004000 msg=Log out suser=admin@contoso.com destinationServiceName=ServiceNow dvc=13.82.149.151 requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:40:15.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_VIEW_REPORT|View report|0|externalId=1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a rt=1511898015000 start=1511898015000 end=1511898015000 msg=View report: ServiceNow Report 23 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=23,sys_report,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:25:34.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798 rt=1511897134000 start=1511897134000 end=1511897134000 msg=Delete object: ServiceNow Object f5122008db360300906ff34ebf96198a suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-27T20:40:14.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_CREATE_USER|Create user|0|externalId=1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c rt=1511815214000 start=1511815214000 end=1511815214000 msg=Create user: user 747518c0db360300906ff34ebf96197c suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,747518c0db360300906ff34ebf96197c,sys_user,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-27T20:41:20.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_DELETE_USER|Delete user|0|externalId=1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383 rt=1511815280000 start=1511815280000 end=1511815280000 msg=Delete user: user 233490c0db360300906ff34ebf9619ef suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,233490c0db360300906ff34ebf9619ef,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:24:55.000Z LAB-EUW-ARCTEST CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897117617_5be018ee-f676-4473-a9b5-5982527409be rt=1511897095000 start=1511897095000 end=1511897095000 msg=Delete object: ServiceNow Object b1709c40db360300906ff34ebf961923 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897117617_5be018ee-f676-4473-a9b5-5982527409be,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

A következő szöveg egy riasztási naplófájl példája:

2017-07-15T20:42:30.531Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|myPolicy|3|externalId=596a7e360c204203a335a3fb start=1500151350531 end=1500151350531 msg=Activity policy ''myPolicy'' was triggered by ''admin@box-contoso.com'' suser=admin@box-contoso.com destinationServiceName=Box cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596a7e360c204203a335a3fb cs2Label=uniqueServiceAppIds cs2=APPID_BOX cs3Label=relatedAudits cs3=1500151288183_acc891bf-33e1-424b-a021-0d4370789660 cs4Label=policyIDs cs4=59f0ab82f797fa0681e9b1c7

2017-07-16T09:36:26.550Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b339b0c204203a33a51ae start=1500197786550 end=1500197786550 msg=Activity policy ''test-activity-policy'' was triggered by ''user@contoso.com'' suser=user@contoso.com destinationServiceName=Salesforce cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b339b0c204203a33a51ae cs2Label=uniqueServiceAppIds cs2=APPID_SALESFORCE cs3Label=relatedAudits cs3=1500197720691_b7f6317c-b8de-476a-bc8f-dfa570e00349 cs4Label=policyIDs cs4=

2017-07-16T09:17:03.361Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy3|3|externalId=596b2fd70c204203a33a3eeb start=1500196623361 end=1500196623361 msg=Activity policy ''test-activity-policy3'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft 365 cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eeb cs2Label=uniqueServiceAppIds cs2=APPID_O365 cs3Label=relatedAudits cs3=1500196549157_a0e01f8a-e29a-43ae-8599-783c1c11597d cs4Label=policyIDs cs4=

2017-07-16T09:17:15.426Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b2fd70c204203a33a3eec start=1500196635426 end=1500196635426 msg=Activity policy ''test-activity-policy'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft 365 admin center cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eec cs2Label=uniqueServiceAppIds cs2=APPID_O365_PORTAL cs3Label=relatedAudits cs3=1500196557398_3e102b20-d9fa-4f66-b550-8c7a403bb4d8 cs4Label=policyIDs cs4=59f0ab35f797fa9811e9b1c7

2017-07-16T09:17:46.290Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy4|3|externalId=596b30200c204203a33a4765 start=1500196666290 end=1500196666290 msg=Activity policy ''test-activity-policy4'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft Exchange Online cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b30200c204203a33a4765 cs2Label=uniqueServiceAppIds cs2=APPID_OUTLOOK cs3Label=relatedAudits cs3=1500196587034_a8673602-7e95-46d6-a1fe-c156c4709c5d cs4Label=policyIDs cs4=

2017-07-16T09:41:04.369Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy2|3|externalId=596b34b10c204203a33a5240 start=1500198064369 end=1500198064369 msg=Activity policy ''test-activity-policy2'' was triggered by ''user2@test15-adallom.com'' suser=user2@test15-adallom.com destinationServiceName=Google cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b34b10c204203a33a5240 cs2Label=uniqueServiceAppIds cs2=APPID_33626 cs3Label=relatedAudits cs3=1500197996117_fd71f265-1e46-4f04-b372-2e32ec874cd3 cs4Label=policyIDs cs4=

Minta Felhőhöz készült Defender Apps-riasztások CEF formátumban

Ajánlattípusok CEF mező neve Leírás
Tevékenységek/riasztások start Tevékenység vagy riasztás időbélyege
Tevékenységek/riasztások Végén Tevékenység vagy riasztás időbélyege
Tevékenységek/riasztások Rt Tevékenység vagy riasztás időbélyege
Tevékenységek/riasztások msg Tevékenység vagy riasztás leírása a portálon látható módon
Tevékenységek/riasztások suser Tevékenység vagy riasztás tárgyának felhasználója
Tevékenységek/riasztások destinationServiceName Az alkalmazásból származó tevékenység vagy riasztás, például Microsoft 365, SharePoint, Box.
Tevékenységek/riasztások cs<X>címke Minden címkének más jelentése van, de maga a címke magyarázza, például a targetObjects.
Tevékenységek/riasztások cs<X> A címkének megfelelő információk (a tevékenység vagy riasztás célfelhasználója a címke példájának megfelelően).
Tevékenységek EVENT_CATEGORY_* A tevékenység magas szintű kategóriája
Tevékenységek <AKCIÓ> A tevékenység típusa a portálon látható módon
Tevékenységek externalId Eseményazonosító
Tevékenységek Dvc Az ügyféleszköz IP-címe
Tevékenységek requestClientApplication Az ügyféleszköz felhasználói ügynöke
Riasztások <riasztás típusa> Például: "ALERT_CABINET_EVENT_MATCH_AUDIT"
Riasztások <név> A megfelelt házirend neve
Riasztások externalId Riasztás azonosítója
Riasztások src Az ügyféleszköz IPv4-címe
Riasztások c6a1 Az ügyféleszköz IPv6-címe

3. lépés: Az SIEM működésének ellenőrzése

  1. Győződjön meg arról, hogy a SIEM-ügynök állapota a portálon nem Csatlakozás ion hiba vagy leválasztva, és nincsenek ügynökértesítések. Csatlakozás ion hiba jelenik meg, ha a kapcsolat két óránál hosszabb ideig nem működik. Az állapot megszakadt állapotúként jelenik meg, ha a kapcsolat több mint 12 órán keresztül megszakadt.

    SIEM disconnected.

    Ehelyett az állapotnak csatlakoznia kell, ahogy az itt látható:

    SIEM connected.

  2. A Syslog/SIEM-kiszolgálón győződjön meg arról, hogy a Felhőhöz készült Defender-alkalmazásokból érkező tevékenységek és riasztások megjelennek.

A jogkivonat újragenerálása

Ha elveszíti a jogkivonatot, a tábla SIEM-ügynökének sor végén található három pont kiválasztásával bármikor újragenerálhatja azt. Új jogkivonat beszerzéséhez válassza a Token újragenerálása lehetőséget.

SIEM - regenerate token.

Az SIEM-ügynök szerkesztése

A SIEM-ügynök szerkesztéséhez jelölje ki a táblázat SIEM-ügynökének sor végén található három elemet, és válassza a Szerkesztés lehetőséget. Ha szerkessze a SIEM-ügynököt, nem kell újrafuttatnia a .jar fájlt, mert az automatikusan frissül.

SIEM - edit.

Az SIEM-ügynök törlése

A SIEM-ügynök törléséhez jelölje ki a táblázat SIEM-ügynökének sorának végén található három elemet, majd válassza a Törlés lehetőséget.

SIEM - delete.

Következő lépések

SIEM-integráció hibáinak elhárítása

Ha bármilyen problémába ütközik, azért vagyunk itt, hogy segítsünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson meg egy támogatási jegyet.