Integrazione SIEM generica

  • Articolo

È possibile integrare App Microsoft Defender per il cloud con il server generico delle informazioni di sicurezza e gestione degli eventi per abilitare il monitoraggio centralizzato di avvisi e attività dalle app connesse. Quando nuove attività ed eventi vengono supportati dalle app connesse, ne viene resa disponibile la visualizzazione in App Microsoft Defender per il cloud. L'integrazione con un servizio SIEM consente di proteggere meglio le applicazioni cloud mantenendo il flusso di lavoro relativo alla sicurezza, l'automazione delle procedure di sicurezza e la correlazione tra eventi basati sul cloud ed eventi locali. L'agente di informazioni di sicurezza e gestione degli eventi di App Microsoft Defender per il cloud, eseguito nel server, effettua il pull di avvisi e attività da App Microsoft Defender per il cloud e li trasmette al server SIEM.

Quando si integra per la prima volta siem con app Defender per il cloud, le attività e gli avvisi degli ultimi due giorni verranno inoltrati a SIEM e tutte le attività e gli avvisi (in base al filtro selezionato) da allora in poi. Se si disabilita questa funzionalità per un lungo periodo e quindi la si abilita nuovamente, vengono inoltrati gli avvisi e le attività degli ultimi due giorni e quindi tutti gli avvisi e le attività successivi.

Altre soluzioni di integrazione includono:

  • Microsoft Sentinel : siem e SOAR scalabili nativi del cloud per l'integrazione nativa. Per informazioni sull'integrazione con Microsoft Sentinel, vedere Integrazione di Microsoft Sentinel.
  • API Microsoft Security Graph: un servizio intermedio (o broker) che fornisce una singola interfaccia a livello di codice per connettere più provider di sicurezza. Per altre informazioni, vedere Integrazioni della soluzione di sicurezza con microsoft Graph API Sicurezza.

Importante

Se si sta integrando Microsoft Defender per identità in app Defender per il cloud e entrambi i servizi sono configurati per inviare notifiche di avviso a un sistema SIEM, si inizierà a ricevere notifiche SIEM duplicate per lo stesso avviso. Un avviso verrà generato da ogni servizio e avrà ID avviso diversi. Per evitare duplicazioni e confusione, assicurarsi di gestire lo scenario. Ad esempio, decidere dove si intende eseguire la gestione degli avvisi e quindi arrestare l'invio delle notifiche SIEM dall'altro servizio.

Architettura di integrazione SIEM generica

L'agente SIEM viene distribuito nella rete dell'organizzazione. Dopo la distribuzione e la configurazione, esegue il pull dei tipi di dati configurati (avvisi e attività) usando le API RESTful delle app Defender per il cloud. Il traffico viene quindi inviato tramite un canale HTTPS crittografato sulla porta 443.

Dopo che l'agente SIEM recupera i dati da Defender per il cloud Apps, invia i messaggi Syslog al sistema SIEM locale. Defender per il cloud App usa le configurazioni di rete fornite durante l'installazione (TCP o UDP con una porta personalizzata).

SIEM integration architecture.

SIEM supportati

Defender per il cloud App supporta attualmente Micro Focus ArcSight e CEF generico.

Modalità di integrazione

L'integrazione con il sistema SIEM richiede tre passaggi:

  1. Configurarlo nel portale delle app di Defender per il cloud.
  2. Download del file JAR ed esecuzione di questo nel server.
  3. Verifica del funzionamento dell'agente SIEM.

Prerequisiti

  • Server Windows o Linux standard. È anche possibile usare una macchina virtuale.
  • Sistema operativo: Windows o Linux
  • CPU: 2
  • Spazio su disco: 20 GB
  • RAM: 2 GB
  • Il server deve eseguire Java 8. Le versioni precedenti non sono supportate.
  • Transport Layer Security (TLS) 1.2+. Le versioni precedenti non sono supportate.
  • Impostare il firewall come descritto in Requisiti di rete

Integrazione con il sistema SIEM

Passaggio 1: Configurarlo nel portale delle app di Defender per il cloud

  1. Nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud.

  2. In Sistema scegliere Agenti SIEM. Selezionare Aggiungi agente SIEM e quindi scegliere Siem generico.

    Screenshot showing Add SIEM integration menu.

  3. Nella procedura guidata selezionare Avvia procedura guidata.

  4. Nella procedura guidata immettere un nome, selezionare il formato SIEM e definire eventuali impostazioni avanzate pertinenti a tale formato. Seleziona Avanti.

    General SIEM settings.

  5. Digitare l'indirizzo IP o il nome host in Remote syslog host (Host syslog remoto) e il numero di porta in Syslog port number (Numero di porta syslog). Come protocollo syslog remoto selezionare TCP o UDP. Se non si hanno queste informazioni è possibile rivolgersi all'amministratore della sicurezza. Seleziona Avanti.

    Remote Syslog settings.

  6. Selezionare i tipi di dati da esportare nel server SIEM per Avvisi e Attività. Usare il dispositivo di scorrimento per abilitare e disabilitare queste impostazioni. Per impostazione predefinita sono tutte selezionate. È possibile usare l'elenco a discesa Apply to (Applica a) per impostare filtri in modo da inviare al server SIEM solo avvisi e attività specifici. Selezionare Modifica e visualizzare in anteprima i risultati per verificare che il filtro funzioni come previsto. Seleziona Avanti.

    Data types settings.

  7. Copiare il token e salvarlo per uso successivo. Selezionare Fine e lasciare la procedura guidata. Tornare alla pagina SIEM per visualizzare l'agente SIEM aggiunto nella tabella. Verrà mostrato che è Creato fino a quando non è connesso in un secondo momento.

Nota

Tutti i token creati sono associati all'amministratore che li ha creati. Ciò significa che se l'utente amministratore viene rimosso da app di Defender per il cloud, il token non sarà più valido. Un token SIEM generico fornisce autorizzazioni di sola lettura per le uniche risorse necessarie. Nessun'altra autorizzazione viene concessa a una parte di questo token.

Passaggio 2: Download del file JAR ed esecuzione di questo nel server

  1. Nell'Area download Microsoft, dopo aver accettato le condizioni di licenza del software, scaricare il file ZIP e decomprimerlo.

  2. Eseguire il file estratto nel server:

    java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN

Nota

  • Il nome del file può differire a seconda della versione dell'agente SIEM.
  • I parametri tra parentesi quadre [ ] sono facoltativi e devono essere usati solo se pertinenti.
  • È consigliabile eseguire il file JAR durante l'avvio del server.
    • Windows: eseguire come attività pianificata e assicurarsi di configurare l'attività per Eseguire se l'utente è connesso o meno e deselezionare la casella di controllo Arresta l'attività se viene eseguita più a lungo di .
    • Linux: aggiungere il comando run con un & al file rc.local. Ad esempio: java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN &

Uso delle variabili seguenti:

  • NOMEDIR indica il percorso della directory che si vuole usare per i registri di debug dell'agente locale.
  • ADDRESS[:P ORT] è l'indirizzo e la porta del server proxy usati dal server per connettersi a Internet.
  • TOKEN indica il token dell'agente SIEM copiato nel passaggio precedente.

In qualsiasi momento è possibile digitare -h per visualizzare le informazioni della Guida.

Log di attività di esempio

Ecco alcuni esempi di log di attività inviati a SIEM:

2017-11-22T17:50:04.000Z CEF:0|MCAS|SIEM_Agent|0.111.85|EVENT_CATEGORY_LOGOUT|Log out|0|externalId=1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0 rt=1511373004000 start=1511373004000 end=1511373004000 msg=Log out suser=admin@contoso.com destinationServiceName=ServiceNow dvc=13.82.149.151 requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:40:15.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_VIEW_REPORT|View report|0|externalId=1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a rt=1511898015000 start=1511898015000 end=1511898015000 msg=View report: ServiceNow Report 23 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=23,sys_report,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:25:34.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798 rt=1511897134000 start=1511897134000 end=1511897134000 msg=Delete object: ServiceNow Object f5122008db360300906ff34ebf96198a suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-27T20:40:14.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_CREATE_USER|Create user|0|externalId=1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c rt=1511815214000 start=1511815214000 end=1511815214000 msg=Create user: user 747518c0db360300906ff34ebf96197c suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,747518c0db360300906ff34ebf96197c,sys_user,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-27T20:41:20.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_DELETE_USER|Delete user|0|externalId=1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383 rt=1511815280000 start=1511815280000 end=1511815280000 msg=Delete user: user 233490c0db360300906ff34ebf9619ef suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,233490c0db360300906ff34ebf9619ef,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:24:55.000Z LAB-EUW-ARCTEST CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897117617_5be018ee-f676-4473-a9b5-5982527409be rt=1511897095000 start=1511897095000 end=1511897095000 msg=Delete object: ServiceNow Object b1709c40db360300906ff34ebf961923 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897117617_5be018ee-f676-4473-a9b5-5982527409be,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

Il testo seguente è un esempio di file di log degli avvisi:

2017-07-15T20:42:30.531Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|myPolicy|3|externalId=596a7e360c204203a335a3fb start=1500151350531 end=1500151350531 msg=Activity policy ''myPolicy'' was triggered by ''admin@box-contoso.com'' suser=admin@box-contoso.com destinationServiceName=Box cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596a7e360c204203a335a3fb cs2Label=uniqueServiceAppIds cs2=APPID_BOX cs3Label=relatedAudits cs3=1500151288183_acc891bf-33e1-424b-a021-0d4370789660 cs4Label=policyIDs cs4=59f0ab82f797fa0681e9b1c7

2017-07-16T09:36:26.550Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b339b0c204203a33a51ae start=1500197786550 end=1500197786550 msg=Activity policy ''test-activity-policy'' was triggered by ''user@contoso.com'' suser=user@contoso.com destinationServiceName=Salesforce cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b339b0c204203a33a51ae cs2Label=uniqueServiceAppIds cs2=APPID_SALESFORCE cs3Label=relatedAudits cs3=1500197720691_b7f6317c-b8de-476a-bc8f-dfa570e00349 cs4Label=policyIDs cs4=

2017-07-16T09:17:03.361Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy3|3|externalId=596b2fd70c204203a33a3eeb start=1500196623361 end=1500196623361 msg=Activity policy ''test-activity-policy3'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft 365 cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eeb cs2Label=uniqueServiceAppIds cs2=APPID_O365 cs3Label=relatedAudits cs3=1500196549157_a0e01f8a-e29a-43ae-8599-783c1c11597d cs4Label=policyIDs cs4=

2017-07-16T09:17:15.426Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b2fd70c204203a33a3eec start=1500196635426 end=1500196635426 msg=Activity policy ''test-activity-policy'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft 365 admin center cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eec cs2Label=uniqueServiceAppIds cs2=APPID_O365_PORTAL cs3Label=relatedAudits cs3=1500196557398_3e102b20-d9fa-4f66-b550-8c7a403bb4d8 cs4Label=policyIDs cs4=59f0ab35f797fa9811e9b1c7

2017-07-16T09:17:46.290Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy4|3|externalId=596b30200c204203a33a4765 start=1500196666290 end=1500196666290 msg=Activity policy ''test-activity-policy4'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft Exchange Online cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b30200c204203a33a4765 cs2Label=uniqueServiceAppIds cs2=APPID_OUTLOOK cs3Label=relatedAudits cs3=1500196587034_a8673602-7e95-46d6-a1fe-c156c4709c5d cs4Label=policyIDs cs4=

2017-07-16T09:41:04.369Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy2|3|externalId=596b34b10c204203a33a5240 start=1500198064369 end=1500198064369 msg=Activity policy ''test-activity-policy2'' was triggered by ''user2@test15-adallom.com'' suser=user2@test15-adallom.com destinationServiceName=Google cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b34b10c204203a33a5240 cs2Label=uniqueServiceAppIds cs2=APPID_33626 cs3Label=relatedAudits cs3=1500197996117_fd71f265-1e46-4f04-b372-2e32ec874cd3 cs4Label=policyIDs cs4=

Esempi di avvisi di app Defender per il cloud in formato CEF

Applicabile a Nome campo CEF Descrizione
Attività/avvisi Avvio Timestamp di attività o avviso
Attività/avvisi end Timestamp di attività o avviso
Attività/avvisi rt Timestamp di attività o avviso
Attività/avvisi msg Descrizione dell'attività o dell'avviso come visualizzata nel portale
Attività/avvisi suser Utente soggetto dell'attività o dell'avviso
Attività/avvisi destinationServiceName App di origine di attività o avvisi, ad esempio Microsoft 365, Sharepoint, Box.
Attività/avvisi Cs<X>Label Ogni etichetta ha un significato diverso che l'etichetta stessa spiega, ad esempio, targetObjects.
Attività/avvisi cs<X> Informazioni corrispondenti all'etichetta (utente di destinazione dell'attività o dell'avviso, come nell'esempio di etichetta).
Attività EVENT_CATEGORY_* Categoria di alto livello dell'attività
Attività <AZIONE> Tipo di attività, come visualizzato nel portale
Attività externalId ID evento
Attività dvc IP del dispositivo client
Attività requestClientApplication Agente utente del dispositivo client
Avvisi <tipo di avviso> Ad esempio, "ALERT_CABINET_EVENT_MATCH_AUDIT"
Avvisi <name> Nome del criterio associato
Avvisi externalId ID di avviso
Avvisi src Indirizzo IPv4 del dispositivo client
Avvisi c6a1 Indirizzo IPv6 del dispositivo client

Passaggio 3: Verifica del funzionamento dell'agente SIEM

  1. Assicurarsi che lo stato dell'agente SIEM nel portale non sia Connessione o errore di disconnessione e che non siano presenti notifiche dell'agente. Se la connessione è inattiva da più di due ore, viene visualizzato un Errore di connessione. Se la connessione è inattiva da più di 12 ore, viene visualizzato lo stato Disconnesso.

    SIEM disconnected.

    Lo stato deve invece corrispondere a Connesso, come illustrato qui:

    SIEM connected.

  2. Nel server Syslog/SIEM assicurarsi di visualizzare le attività e gli avvisi in arrivo da Defender per il cloud App.

Rigenerazione del token

Se si perde il token, è sempre possibile rigenerarlo selezionando i tre puntini alla fine della riga per l'agente SIEM nella tabella. Selezionare Rigenera il token per ottenere un nuovo token.

SIEM - regenerate token.

Modifica dell'agente SIEM

Per modificare l'agente SIEM, selezionare i tre puntini alla fine della riga per l'agente SIEM nella tabella e selezionare Modifica. Se si modifica l'agente SIEM, non è necessario eseguire nuovamente il file con estensione jar. Questo infatti viene aggiornato automaticamente.

SIEM - edit.

Eliminazione dell'agente SIEM

Per eliminare l'agente SIEM, selezionare i tre puntini alla fine della riga per l'agente SIEM nella tabella e selezionare Elimina.

SIEM - delete.

Passaggi successivi

Risoluzione dei problemi di integrazione SIEM

Se si verificano problemi, siamo qui per aiutare. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.