Integrasi SIEM generik

  • Artikel

Anda dapat mengintegrasikan Microsoft Defender for Cloud Apps dengan server SIEM generik Anda untuk memungkinkan pemantauan pemberitahuan dan aktivitas terpusat dari aplikasi yang tersambung. Karena aktivitas dan peristiwa baru didukung oleh aplikasi yang tersambung, visibilitas ke dalamnya diluncurkan ke Microsoft Defender for Cloud Apps. Dengan mengintegrasikan dengan layanan SIEM, Anda dapat melindungi aplikasi cloud secara lebih baik sambil mempertahankan alur kerja keamanan yang biasanya, mengotomatiskan prosedur keamanan, dan mengkorelasikan antara peristiwa berbasis cloud dan lokal. Agen Microsoft Defender for Cloud Apps SIEM menjalankan server serta mengambil pemberitahuan dan aktivitas dari Microsoft Defender for Cloud Apps dan menyederhanakannya ke server SIEM.

Ketika Anda pertama kali mengintegrasikan SIEM Anda dengan aplikasi Defender untuk Cloud, aktivitas dan pemberitahuan dari dua hari terakhir akan diteruskan ke SIEM dan semua aktivitas dan pemberitahuan (berdasarkan filter yang Anda pilih) sejak saat itu. Jika Anda menonaktifkan fitur ini untuk jangka waktu yang lama, aktifkan kembali, dua hari terakhir pemberitahuan dan aktivitas diteruskan lalu semua pemberitahuan dan aktivitas sejak saat itu.

Solusi integrasi tambahan meliputi:

  • Microsoft Sentinel - SIEM cloud-native dan SOAR yang dapat diskalakan untuk integrasi asli. Untuk informasi tentang mengintegrasikan dengan Microsoft Azure Sentinel, lihat Integrasi Microsoft Azure Sentinel.
  • API grafik keamanan Microsoft - Layanan perantara (atau broker) yang menyediakan satu antarmuka terprogram untuk menghubungkan beberapa penyedia keamanan. Untuk informasi selengkapnya, lihat Integrasi solusi keamanan menggunakan Microsoft Graph Security API.

Penting

Jika Mengintegrasikan Microsoft Defender untuk Identitas di Defender untuk Cloud Apps dan kedua layanan dikonfigurasi untuk mengirim pemberitahuan pemberitahuan ke SIEM, Anda akan mulai menerima pemberitahuan SIEM duplikat untuk pemberitahuan yang sama. Satu pemberitahuan akan dikeluarkan dari setiap layanan dan mereka akan memiliki ID pemberitahuan yang berbeda. Untuk menghindari duplikasi dan kebingungan, pastikan untuk menangani skenario. Misalnya, putuskan di mana Anda ingin melakukan manajemen pemberitahuan, lalu hentikan pemberitahuan SIEM yang dikirim dari layanan lain.

Arsitektur integrasi SIEM generik

Agen SIEM disebarkan di jaringan organisasi Anda. Saat disebarkan dan dikonfigurasi, ia menarik jenis data yang dikonfigurasi (pemberitahuan dan aktivitas) menggunakan API RESTful Aplikasi Defender untuk Cloud. Lalu lintas kemudian dikirim melalui saluran HTTPS terenkripsi pada port 443.

Setelah agen SIEM mengambil data dari Defender untuk Cloud Apps, agen SIEM mengirimkan pesan Syslog ke SIEM lokal Anda. Defender untuk Cloud Apps menggunakan konfigurasi jaringan yang Anda berikan selama penyiapan (TCP atau UDP dengan port kustom).

SIEM integration architecture.

SIEM yang didukung

Defender untuk Cloud Apps saat ini mendukung Micro Focus ArcSight dan CEF generik.

Cara berintegrasi

Mengintegrasikan dengan SIEM Anda dicapai dalam tiga langkah:

  1. Siapkan di portal aplikasi Defender untuk Cloud.
  2. Unduh file JAR dan jalankan di server Anda.
  3. Validasi bahwa agen SIEM berfungsi.

Prasyarat

  • Server Windows atau Linux standar (bisa menjadi komputer virtual).
  • OS: Windows atau Linux
  • CPU: 2
  • Ruang disk: 20 GB
  • RAM: 2 GB
  • Server harus menjalankan Java 8. Versi sebelumnya tidak didukung.
  • Keamanan Lapisan Transportasi (TLS) 1.2+. Versi sebelumnya tidak didukung.
  • Atur firewall Anda seperti yang dijelaskan dalam Persyaratan jaringan

Mengintegrasikan dengan SIEM Anda

Langkah 1: Menyiapkannya di portal aplikasi Defender untuk Cloud

  1. Di Portal Pertahanan Microsoft, pilih Pengaturan. Lalu pilih Cloud Apps.

  2. Di bawah Sistem, pilih agen SIEM. Pilih Tambahkan agen SIEM, lalu pilih SIEM Generik.

    Screenshot showing Add SIEM integration menu.

  3. Di wizard, pilih Mulai Wizard.

  4. Dalam wizard, isi nama, dan Pilih format SIEM Anda dan atur pengaturan Tingkat Lanjut apa pun yang relevan dengan format tersebut. Pilih Selanjutnya.

    General SIEM settings.

  5. Ketik alamat IP atau nama host host syslog Jarak Jauh dan nomor port Syslog. Pilih TCP atau UDP sebagai protokol Syslog Jarak Jauh. Anda dapat bekerja dengan admin keamanan untuk mendapatkan detail ini jika Anda tidak memilikinya. Pilih Selanjutnya.

    Remote Syslog settings.

  6. Pilih jenis data mana yang ingin Anda ekspor ke server SIEM Anda untuk Pemberitahuan dan Aktivitas. Gunakan slider untuk mengaktifkan dan menonaktifkannya, secara default, semuanya dipilih. Anda dapat menggunakan menu drop-down Terapkan ke untuk mengatur filter agar hanya mengirim pemberitahuan dan aktivitas tertentu ke server SIEM Anda. Pilih Edit dan pratinjau hasil untuk memeriksa apakah filter berfungsi seperti yang diharapkan. Pilih Selanjutnya.

    Data types settings.

  7. Salin token dan simpan untuk nanti. Pilih Selesai dan biarkan Wizard. Kembali ke halaman SIEM untuk melihat agen SIEM yang Anda tambahkan dalam tabel. Ini akan menunjukkan bahwa itu Dibuat sampai terhubung nanti.

Catatan

Token apa pun yang Anda buat terikat ke admin yang membuatnya. Ini berarti bahwa jika pengguna admin dihapus dari Defender untuk Cloud Apps, token tidak akan valid lagi. Token SIEM generik menyediakan izin baca-saja untuk satu-satunya sumber daya yang diperlukan. Tidak ada izin lain yang diberikan bagian dari token ini.

Langkah 2: Unduh file JAR dan jalankan di server Anda

  1. Di Pusat Unduhan Microsoft, setelah menerima persyaratan lisensi perangkat lunak, unduh file .zip dan unzip.

  2. Jalankan file yang diekstrak di server Anda:

    java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN

Catatan

  • Nama file mungkin berbeda tergantung pada versi agen SIEM.
  • Parameter dalam tanda kurung [ ] bersifat opsional, dan harus digunakan hanya jika relevan.
  • Disarankan untuk menjalankan JAR selama startup server.
    • Windows: Jalankan sebagai tugas terjadwal dan pastikan Anda mengonfigurasi tugas untuk Menjalankan apakah pengguna masuk atau tidak dan Anda menghapus centang pada kotak centang Hentikan tugas jika berjalan lebih lama dari .
    • Linux: Tambahkan perintah jalankan dengan & ke file rc.local. Misalnya: java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN &

Di mana variabel berikut digunakan:

  • DIRNAME adalah jalur ke direktori yang ingin Anda gunakan untuk log debug agen lokal.
  • ADDRESS[:P ORT] adalah alamat server proksi dan port yang digunakan server untuk terhubung ke internet.
  • TOKEN adalah token agen SIEM yang Anda salin di langkah sebelumnya.

Anda dapat mengetik -h kapan saja untuk mendapatkan bantuan.

Contoh log aktivitas

Berikut ini adalah contoh log aktivitas yang dikirim ke SIEM Anda:

2017-11-22T17:50:04.000Z CEF:0|MCAS|SIEM_Agent|0.111.85|EVENT_CATEGORY_LOGOUT|Log out|0|externalId=1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0 rt=1511373004000 start=1511373004000 end=1511373004000 msg=Log out suser=admin@contoso.com destinationServiceName=ServiceNow dvc=13.82.149.151 requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:40:15.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_VIEW_REPORT|View report|0|externalId=1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a rt=1511898015000 start=1511898015000 end=1511898015000 msg=View report: ServiceNow Report 23 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=23,sys_report,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:25:34.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798 rt=1511897134000 start=1511897134000 end=1511897134000 msg=Delete object: ServiceNow Object f5122008db360300906ff34ebf96198a suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-27T20:40:14.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_CREATE_USER|Create user|0|externalId=1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c rt=1511815214000 start=1511815214000 end=1511815214000 msg=Create user: user 747518c0db360300906ff34ebf96197c suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,747518c0db360300906ff34ebf96197c,sys_user,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-27T20:41:20.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_DELETE_USER|Delete user|0|externalId=1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383 rt=1511815280000 start=1511815280000 end=1511815280000 msg=Delete user: user 233490c0db360300906ff34ebf9619ef suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,233490c0db360300906ff34ebf9619ef,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:24:55.000Z LAB-EUW-ARCTEST CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897117617_5be018ee-f676-4473-a9b5-5982527409be rt=1511897095000 start=1511897095000 end=1511897095000 msg=Delete object: ServiceNow Object b1709c40db360300906ff34ebf961923 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897117617_5be018ee-f676-4473-a9b5-5982527409be,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

Teks berikut adalah contoh logfile pemberitahuan:

2017-07-15T20:42:30.531Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|myPolicy|3|externalId=596a7e360c204203a335a3fb start=1500151350531 end=1500151350531 msg=Activity policy ''myPolicy'' was triggered by ''admin@box-contoso.com'' suser=admin@box-contoso.com destinationServiceName=Box cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596a7e360c204203a335a3fb cs2Label=uniqueServiceAppIds cs2=APPID_BOX cs3Label=relatedAudits cs3=1500151288183_acc891bf-33e1-424b-a021-0d4370789660 cs4Label=policyIDs cs4=59f0ab82f797fa0681e9b1c7

2017-07-16T09:36:26.550Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b339b0c204203a33a51ae start=1500197786550 end=1500197786550 msg=Activity policy ''test-activity-policy'' was triggered by ''user@contoso.com'' suser=user@contoso.com destinationServiceName=Salesforce cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b339b0c204203a33a51ae cs2Label=uniqueServiceAppIds cs2=APPID_SALESFORCE cs3Label=relatedAudits cs3=1500197720691_b7f6317c-b8de-476a-bc8f-dfa570e00349 cs4Label=policyIDs cs4=

2017-07-16T09:17:03.361Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy3|3|externalId=596b2fd70c204203a33a3eeb start=1500196623361 end=1500196623361 msg=Activity policy ''test-activity-policy3'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft 365 cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eeb cs2Label=uniqueServiceAppIds cs2=APPID_O365 cs3Label=relatedAudits cs3=1500196549157_a0e01f8a-e29a-43ae-8599-783c1c11597d cs4Label=policyIDs cs4=

2017-07-16T09:17:15.426Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b2fd70c204203a33a3eec start=1500196635426 end=1500196635426 msg=Activity policy ''test-activity-policy'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft 365 admin center cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eec cs2Label=uniqueServiceAppIds cs2=APPID_O365_PORTAL cs3Label=relatedAudits cs3=1500196557398_3e102b20-d9fa-4f66-b550-8c7a403bb4d8 cs4Label=policyIDs cs4=59f0ab35f797fa9811e9b1c7

2017-07-16T09:17:46.290Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy4|3|externalId=596b30200c204203a33a4765 start=1500196666290 end=1500196666290 msg=Activity policy ''test-activity-policy4'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft Exchange Online cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b30200c204203a33a4765 cs2Label=uniqueServiceAppIds cs2=APPID_OUTLOOK cs3Label=relatedAudits cs3=1500196587034_a8673602-7e95-46d6-a1fe-c156c4709c5d cs4Label=policyIDs cs4=

2017-07-16T09:41:04.369Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy2|3|externalId=596b34b10c204203a33a5240 start=1500198064369 end=1500198064369 msg=Activity policy ''test-activity-policy2'' was triggered by ''user2@test15-adallom.com'' suser=user2@test15-adallom.com destinationServiceName=Google cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b34b10c204203a33a5240 cs2Label=uniqueServiceAppIds cs2=APPID_33626 cs3Label=relatedAudits cs3=1500197996117_fd71f265-1e46-4f04-b372-2e32ec874cd3 cs4Label=policyIDs cs4=

Contoh pemberitahuan aplikasi Defender untuk Cloud dalam format CEF

Berlaku untuk Nama bidang CEF Deskripsi
Aktivitas/Pemberitahuan mulai Tanda waktu aktivitas atau pemberitahuan
Aktivitas/Pemberitahuan akhir Tanda waktu aktivitas atau pemberitahuan
Aktivitas/Pemberitahuan rt Tanda waktu aktivitas atau pemberitahuan
Aktivitas/Pemberitahuan msg Deskripsi aktivitas atau pemberitahuan seperti yang ditunjukkan di portal
Aktivitas/Pemberitahuan suser Pengguna subjek aktivitas atau pemberitahuan
Aktivitas/Pemberitahuan destinationServiceName Aktivitas atau aplikasi asal pemberitahuan, misalnya, Microsoft 365, Sharepoint, Box.
Aktivitas/Pemberitahuan cs<X>Label Setiap label memiliki arti yang berbeda, tetapi label itu sendiri menjelaskannya, misalnya, targetObjects.
Aktivitas/Pemberitahuan cs<X> Informasi yang sesuai dengan label (pengguna target aktivitas atau pemberitahuan sesuai contoh label).
Aktivitas EVENT_CATEGORY_* Kategori aktivitas tingkat tinggi
Aktivitas <TINDAKAN> Jenis aktivitas, seperti yang ditampilkan di portal
Aktivitas externalId ID Peristiwa
Aktivitas dvc IP perangkat klien
Aktivitas requestClientApplication Agen pengguna perangkat klien
Peringatan <jenis pemberitahuan> Misalnya, "ALERT_CABINET_EVENT_MATCH_AUDIT"
Peringatan <nama> Nama kebijakan yang cocok
Peringatan externalId ID pemberitahuan
Peringatan src Alamat IPv4 perangkat klien
Peringatan c6a1 Alamat IPv6 perangkat klien

Langkah 3: Memvalidasi bahwa agen SIEM berfungsi

  1. Pastikan status agen SIEM di portal tidak Koneksi kesalahan atau Terputus dan tidak ada pemberitahuan agen. Ini akan muncul sebagai kesalahan Koneksi ion jika koneksi tidak berfungsi selama lebih dari dua jam. Status ditampilkan sebagai Terputus jika koneksi tidak berfungsi selama lebih dari 12 jam.

    SIEM disconnected.

    Sebagai gantinya, status harus terhubung, seperti yang terlihat di sini:

    SIEM connected.

  2. Di server Syslog/SIEM Anda, pastikan Anda melihat aktivitas dan pemberitahuan yang tiba dari aplikasi Defender untuk Cloud.

Meregenerasi token Anda

Jika Anda kehilangan token, Anda selalu dapat meregenerasinya dengan memilih tiga titik di akhir baris untuk agen SIEM dalam tabel. Pilih Regenerasi token untuk mendapatkan token baru.

SIEM - regenerate token.

Mengedit agen SIEM Anda

Untuk mengedit agen SIEM, pilih tiga titik di akhir baris untuk agen SIEM dalam tabel, dan pilih Edit. Jika Anda mengedit agen SIEM, Anda tidak perlu menjalankan ulang file .jar, file tersebut akan diperbarui secara otomatis.

SIEM - edit.

Menghapus agen SIEM Anda

Untuk menghapus agen SIEM, pilih tiga titik di akhir baris untuk agen SIEM dalam tabel, dan pilih Hapus.

SIEM - delete.

Langkah berikutnya

Pemecahan masalah integrasi SIEM

Jika Anda mengalami masalah, kami di sini untuk membantu. Untuk mendapatkan bantuan atau dukungan untuk masalah produk Anda, buka tiket dukungan.