一般的な SIEM 統合

  • [アーティクル]

Microsoft Defender for Cloud Apps と汎用 SIEM サーバーを統合することで、接続アプリから、アラートとアクティビティを一元的に監視できます。 接続アプリでは新しいアクティビティとイベントがサポートされるため、それらの表示が Microsoft Defender for Cloud Apps にロールアウトされます。 SIEM サービスとの統合により、通常のセキュリティ ワークフローを維持し、セキュリティ手順を自動化してクラウドベースのイベントとオンプレミス イベントを関連付けた状態で、クラウド アプリケーションの保護を強化できます。 Microsoft Defender for Cloud Apps SIEM エージェントはサーバー上で実行され、Microsoft Defender for Cloud Apps からアラートとアクティビティを取得し、SIEM サーバーに送ります。

SIEM を Defender for Cloud Apps と初めて統合した場合、過去 2 日間のアクティビティとアラートは SIEM に転送され、以降のすべてのアクティビティとアラートも (選択したフィルターに基づいて) 転送されます。 この機能を長期間無効にしてから再び有効にすると、過去 2 日間分のアラートとアクティビティが転送され、それからそれ以降のすべてのアラートとアクティビティが転送されます。

追加の統合ソリューションには次のものがあります。

  • Microsoft Sentinel - ネイティブ統合用のスケーラブルでクラウドネイティブの SIEM および SOAR です。 Microsoft Sentinel との統合の詳細については、Microsoft sentinel の統合に関するページを参照してください。
  • Microsoft セキュリティ グラフ API - 複数のセキュリティ プロバイダーを接続するための単一のプログラム インターフェイスを提供する仲介サービス (またはブローカー)。 詳細については、「Microsoft Graph Security API を使用したセキュリティ ソリューションの統合」を参照してください。

重要

Defender for Cloud Apps に Microsoft Defender for Identity を統合し、アラート通知を SIEM に送信するように両方のサービスを構成している場合、同じアラートに対して重複する SIEM 通知が送られてきます。 各サービスから 1 つのアラートが発行され、それぞれに異なるアラート ID が割り当てられます。 重複や混乱を避けるために、必ずシナリオを処理してください。 たとえば、アラート管理を実行する場所を決定し、他のサービスから送信される SIEM 通知を停止します。

汎用 SIEM 統合アーキテクチャ

SIEM エージェントは組織のネットワークに展開されます。 展開と構成が行われると、Defender for Cloud Apps RESTful API を使用して構成を行ったデータの種類 (アラートとアクティビティ) がプルされます。 ポーリングされるトラフィックはポート 443 の暗号化された HTTPS チャネルを通じて送信されます。

SIEM エージェントで Defender for Cloud Apps からデータが受け取られると、ローカル SIEM に Syslog メッセージが送信されます。 Defender for Cloud Apps では、セットアップ時に指定したネットワーク構成 (カスタムポートによる TCP または UDP) が使用されます。

SIEM integration architecture.

サポートされる SIEM

Defender for Cloud Apps では現在、Micro Focus ArcSight と汎用 CEF がサポートされています。

統合方法

SIEM との統合は次の 3 つの手順で行われます。

  1. Defender for Cloud Apps ポータルで設定します。
  2. JAR ファイルをダウンロードし、サーバーで実行します。
  3. SIEM エージェントが動作しているか検証します。

前提条件

  • 標準的な Windows または Linux サーバー (仮想マシンを使用可)。
  • OS: Windows または Linux
  • CPU:2
  • ディスク領域: 20 GB
  • RAM: 2 GB
  • サーバーは Java 8 を実行している必要があります。 以前のバージョンはサポートされません。
  • トランスポート層セキュリティ (TLS) 1.2+。 以前のバージョンはサポートされません。
  • ネットワーク要件で説明されているとおりにファイアウォールを設定する

SIEM との統合

手順 1: Defender for Cloud Apps ポータルで設定します

  1. Microsoft Defender ポータルで、[設定] を選択します。 次に、[クラウド アプリ] を選択します。

  2. [システム][SIEM エージェント] を選択します。 [SIEM エージェントの追加] を選択し、[汎用 SIEM] を選択します。

    Screenshot showing Add SIEM integration menu.

  3. ウィザードで、 ウィザードの開始を選択します。

  4. ウィザードで、名前を入力し、SIEM 形式を選択して、その形式に関する詳細設定をすべて設定します。 [次へ] を選択します。

    General SIEM settings.

  5. リモートの Syslog ホストの IP アドレスまたはホスト名と Syslog ポート番号を入力します。 リモートの Syslog プロトコルとして TCP または UDP を選択します。 これらの詳細がわからない場合は、セキュリティ管理者と協力して取得してださい。 [次へ] を選択します。

    Remote Syslog settings.

  6. [アラート][アクティビティ] に対して、SIEM サーバーにエクスポートするデータの種類を選択します。 スライダーを使用してこれらを有効および無効にします。既定では、すべて選択されます。 [適用先] ドロップダウンを使用して、SIEM サーバーに特定のアラートとアクティビティのみを送信するようにフィルターを設定することができます。 [結果の編集とプレビュー] を選択して、フィルターが期待どおりに機能することを確認します。 [次へ] を選択します。

    Data types settings.

  7. トークンをコピーし、保存して後で使用できるようにします。 [完了] を選択してウィザードを終了します。 SIEM ページに戻ると、追加した SIEM エージェントがテーブルに表示されます。 後で接続するまで、作成されたことが表示されます。

Note

作成した任意のトークンは作成した管理者に属します。 これは、管理者ユーザーが Defender for Cloud Apps から削除されると、トークンが有効でなくなることを意味します。 汎用 SIEM トークンは、必要なリソースのみに読み取り専用のアクセス許可を提供します。 このトークンの一部には他の権限は付与されません。

手順 2: JAR ファイルをダウンロードし、サーバーで実行する

  1. Microsoft ダウンロード センター で、ソフトウェア ライセンス条項に同意した後、.zip ファイルをダウンロードして解凍します。

  2. 抽出されたファイルをサーバーで実行します。

    java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN

Note

  • ファイル名は、SIEM エージェントのバージョンによって異なる場合があります。
  • 角かっこ [ ] で囲まれたパラメーターは省略可能で、関係する場合にのみ使用してください。
  • サーバーの起動時に JAR を実行することをお勧めします。
    • Windows スケジュールされたタスクとして実行し、ユーザーがログオンしているかどうかにかかわらず実行するように設定し、実行時間が長くなったらタスクを停止するチェックボックスのチェックを外してください。
    • Linux: & を使用して実行コマンドを rc.local ファイルに追加します。 例: java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN &

各変数の使用方法:

  • DIRNAME は、ローカル エージェント デバッグ ログで使用するディレクトリのパスです。
  • ADDRESS[:PORT] は、サーバーがインターネットに接続するために使用するプロキシ サーバーのアドレスとポートです。
  • TOKEN は、前の手順でコピーした SIEM エージェント トークンです。

「-h」と入力すれば、いつでもヘルプを表示できます。

アクティビティ ログのサンプル

SIEM に送信されるアクティビティ ログのサンプルを次に示します。

2017-11-22T17:50:04.000Z CEF:0|MCAS|SIEM_Agent|0.111.85|EVENT_CATEGORY_LOGOUT|Log out|0|externalId=1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0 rt=1511373004000 start=1511373004000 end=1511373004000 msg=Log out suser=admin@contoso.com destinationServiceName=ServiceNow dvc=13.82.149.151 requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:40:15.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_VIEW_REPORT|View report|0|externalId=1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a rt=1511898015000 start=1511898015000 end=1511898015000 msg=View report: ServiceNow Report 23 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=23,sys_report,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:25:34.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798 rt=1511897134000 start=1511897134000 end=1511897134000 msg=Delete object: ServiceNow Object f5122008db360300906ff34ebf96198a suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-27T20:40:14.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_CREATE_USER|Create user|0|externalId=1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c rt=1511815214000 start=1511815214000 end=1511815214000 msg=Create user: user 747518c0db360300906ff34ebf96197c suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,747518c0db360300906ff34ebf96197c,sys_user,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-27T20:41:20.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_DELETE_USER|Delete user|0|externalId=1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383 rt=1511815280000 start=1511815280000 end=1511815280000 msg=Delete user: user 233490c0db360300906ff34ebf9619ef suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,233490c0db360300906ff34ebf9619ef,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:24:55.000Z LAB-EUW-ARCTEST CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897117617_5be018ee-f676-4473-a9b5-5982527409be rt=1511897095000 start=1511897095000 end=1511897095000 msg=Delete object: ServiceNow Object b1709c40db360300906ff34ebf961923 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897117617_5be018ee-f676-4473-a9b5-5982527409be,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

次のテキストはアラートのログ ファイル例です。

2017-07-15T20:42:30.531Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|myPolicy|3|externalId=596a7e360c204203a335a3fb start=1500151350531 end=1500151350531 msg=Activity policy ''myPolicy'' was triggered by ''admin@box-contoso.com'' suser=admin@box-contoso.com destinationServiceName=Box cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596a7e360c204203a335a3fb cs2Label=uniqueServiceAppIds cs2=APPID_BOX cs3Label=relatedAudits cs3=1500151288183_acc891bf-33e1-424b-a021-0d4370789660 cs4Label=policyIDs cs4=59f0ab82f797fa0681e9b1c7

2017-07-16T09:36:26.550Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b339b0c204203a33a51ae start=1500197786550 end=1500197786550 msg=Activity policy ''test-activity-policy'' was triggered by ''user@contoso.com'' suser=user@contoso.com destinationServiceName=Salesforce cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b339b0c204203a33a51ae cs2Label=uniqueServiceAppIds cs2=APPID_SALESFORCE cs3Label=relatedAudits cs3=1500197720691_b7f6317c-b8de-476a-bc8f-dfa570e00349 cs4Label=policyIDs cs4=

2017-07-16T09:17:03.361Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy3|3|externalId=596b2fd70c204203a33a3eeb start=1500196623361 end=1500196623361 msg=Activity policy ''test-activity-policy3'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft 365 cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eeb cs2Label=uniqueServiceAppIds cs2=APPID_O365 cs3Label=relatedAudits cs3=1500196549157_a0e01f8a-e29a-43ae-8599-783c1c11597d cs4Label=policyIDs cs4=

2017-07-16T09:17:15.426Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b2fd70c204203a33a3eec start=1500196635426 end=1500196635426 msg=Activity policy ''test-activity-policy'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft 365 admin center cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eec cs2Label=uniqueServiceAppIds cs2=APPID_O365_PORTAL cs3Label=relatedAudits cs3=1500196557398_3e102b20-d9fa-4f66-b550-8c7a403bb4d8 cs4Label=policyIDs cs4=59f0ab35f797fa9811e9b1c7

2017-07-16T09:17:46.290Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy4|3|externalId=596b30200c204203a33a4765 start=1500196666290 end=1500196666290 msg=Activity policy ''test-activity-policy4'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft Exchange Online cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b30200c204203a33a4765 cs2Label=uniqueServiceAppIds cs2=APPID_OUTLOOK cs3Label=relatedAudits cs3=1500196587034_a8673602-7e95-46d6-a1fe-c156c4709c5d cs4Label=policyIDs cs4=

2017-07-16T09:41:04.369Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy2|3|externalId=596b34b10c204203a33a5240 start=1500198064369 end=1500198064369 msg=Activity policy ''test-activity-policy2'' was triggered by ''user2@test15-adallom.com'' suser=user2@test15-adallom.com destinationServiceName=Google cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b34b10c204203a33a5240 cs2Label=uniqueServiceAppIds cs2=APPID_33626 cs3Label=relatedAudits cs3=1500197996117_fd71f265-1e46-4f04-b372-2e32ec874cd3 cs4Label=policyIDs cs4=

Defender for Cloud Apps の CEF 形式でのアラートのサンプル

適用対象 CEF フィールド名 説明
アクティビティ/アラート start アクティビティまたはアラートのタイムスタンプ
アクティビティ/アラート end アクティビティまたはアラートのタイムスタンプ
アクティビティ/アラート rt アクティビティまたはアラートのタイムスタンプ
アクティビティ/アラート msg ポータルで表示されるアクティビティまたはアラートの説明
アクティビティ/アラート suser アクティビティまたはアラートの対象ユーザー
アクティビティ/アラート destinationServiceName アクティビティまたはアラートの発信元アプリ (Microsoft 365、Sharepoint、Box など)。
アクティビティ/アラート cs<X>Label 各ラベルにはそれぞれ別の意味があり、ラベル自体からその意味がわかる (例: targetObjects)。
アクティビティ/アラート cs<X> ラベルに対応する情報 (ラベル例では、アクティビティまたはアラートの対象ユーザー)。
活動 EVENT_CATEGORY_* アクティビティの大まかなカテゴリ
活動 <アクション> ポータルに表示されるアクティビティの種類
活動 externalId イベント ID
活動 dvc クライアント デバイスの IP
活動 requestClientApplication クライアント デバイスのユーザー エージェント
警告 <アラートの種類> 例: 「ALERT_CABINET_EVENT_MATCH_AUDIT」
警告 <name> 一致するポリシー名
警告 externalId アラート ID
警告 src クライアントデバイスのIPv4アドレス
警告 c6a1 クライアントデバイスのIPv6アドレス

手順 3: SIEM エージェントが動作しているか検証する

  1. ポータルの SIEM エージェントの状態が [接続エラー] または [切断] ではないことと、エージェント通知がないことを確認します。 接続が 2 時間以上停止した場合、[接続エラー] と表示されます。 接続の停止時間が 12 時間を超えると、状態が [切断] と表示されます。

    SIEM disconnected.

    以下のように接続状態である必要があります。

    SIEM connected.

  2. Syslog/SIEM サーバーで、Defender for Cloud Apps から送られたアクティビティとアラートが表示されていることを確認します。

トークンの再生成

トークンを失った場合は、テーブルの SIEM エージェント行の末尾にある 3 つのドットを選択すれば、いつでも再生成できます。 [トークンの再生成] を選択すると、新しいトークンが与えられます。

SIEM - regenerate token.

SIEM エージェントの編集

SIEM エージェントを編集するには、表内の SIEM エージェントの行の末尾にある 3 つのドットを選択し、 編集を選択します。 SIEM エージェントを編集する場合、.jar ファイルを再実行する必要はありません。自動的に更新されます。

SIEM - edit.

SIEM エージェントの削除

SIEM エージェントを削除するには、表内の SIEM エージェントの行の末尾にある 3 つのドットを選択し、 削除を選択します。

SIEM - delete.

次のステップ

SIEM 統合問題のトラブルシューティング

問題が発生した場合は、私たちがお手伝いいたします。 お使いの製品の問題について支援やサポートを受けるには、サポート チケットを作成してください。