일반 SIEM 통합

  • 아티클

클라우드용 Microsoft Defender Apps를 일반 SIEM 서버와 통합하여 연결된 앱의 경고 및 작업을 중앙 집중식으로 모니터링할 수 있습니다. 새로운 작업 및 이벤트가 연결된 앱에서 지원되면 이에 대한 표시 유형이 클라우드용 Microsoft Defender Apps로 롤아웃됩니다. SIEM 서비스와 통합하면 일반적인 보안 워크플로를 유지 관리하고, 보안 절차를 자동화하고, 클라우드 기반 이벤트와 온-프레미스 이벤트를 상호 연결하여 클라우드 애플리케이션을 더 잘 보호할 수 있습니다. 클라우드용 Microsoft Defender Apps SIEM 에이전트는 서버에서 실행되며 클라우드용 Microsoft Defender Apps에서 경고 및 작업을 가져와 SIEM 서버로 스트리밍합니다.

siEM을 클라우드용 Defender 앱과 처음 통합하면 지난 2일 간의 활동 및 경고가 SIEM에 전달되고, 그 때부터 모든 활동 및 경고(선택한 필터에 따라)가 전달됩니다. 장기간 이 기능을 사용하지 않도록 설정한 경우 다시 사용하도록 설정하면 지난 2일간의 경고와 활동을 전달한 다음, 그 이후부터 모든 경고와 활동을 전달합니다.

추가 통합 솔루션은 다음과 같습니다.

  • Microsoft Sentinel - 네이티브 통합을 위한 확장 가능한 클라우드 네이티브 SIEM 및 SOAR입니다. Microsoft Sentinel과 통합하는 방법에 대한 자세한 내용은 Microsoft Sentinel 통합을 참조 하세요.
  • Microsoft 보안 그래프 API - 여러 보안 공급자를 연결하는 단일 프로그래밍 인터페이스를 제공하는 중간 서비스(또는 broker)입니다. 자세한 내용은 Microsoft Graph 보안 API 사용하여 보안 솔루션 통합을 참조하세요.

Important

클라우드용 Defender 앱에서 Microsoft Defender for Identity를 통합하고 두 서비스가 모두 SIEM에 경고 알림을 보내도록 구성된 경우 동일한 경고에 대해 중복된 SIEM 알림을 받기 시작합니다. 각 서비스에서 하나의 경고가 발행되고 경고 ID가 다릅니다. 중복 및 혼동을 방지하려면 시나리오를 처리해야 합니다. 예를 들어 경고 관리를 수행할 위치를 결정한 다음 다른 서비스에서 전송되는 SIEM 알림을 중지합니다.

일반 SIEM 통합 아키텍처

SIEM 에이전트는 조직의 네트워크에 배포됩니다. 배포 및 구성되면 클라우드용 Defender Apps RESTful API를 사용하여 구성된 데이터 형식(경고 및 활동)을 가져옵니다. 그러면 트래픽이 포트 443의 암호화된 HTTPS 채널을 통해 전송됩니다.

SIEM 에이전트가 클라우드용 Defender 앱에서 데이터를 검색하면 Syslog 메시지를 로컬 SIEM으로 보냅니다. 클라우드용 Defender 앱은 설치 중에 제공한 네트워크 구성(사용자 지정 포트가 있는 TCP 또는 UDP)을 사용합니다.

SIEM integration architecture.

지원되는 SIEM

클라우드용 Defender 앱은 현재 Micro Focus ArcSight 및 일반 CEF를 지원합니다.

통합 방법

SIEM과의 통합은 세 단계로 수행됩니다.

  1. 클라우드용 Defender 앱 포털에서 설정합니다.
  2. JAR 파일을 다운로드하고 서버에서 실행합니다.
  3. SIEM 에이전트가 제대로 작동하는지 확인합니다.

필수 조건

  • 표준 Windows 또는 Linux 서버(가상 머신일 수 있음).
  • OS: Windows 또는 Linux
  • CPU: 2
  • 디스크 공간: 20GB
  • RAM: 2GB
  • 서버는 Java 8을 실행해야 합니다. 이전 버전은 지원되지 않습니다.
  • TLS(전송 계층 보안) 1.2 이상. 이전 버전은 지원되지 않습니다.
  • 네트워크 요구 사항에 설명된 대로 방화벽 설정

SIEM과 통합

1단계: 클라우드용 Defender 앱 포털에서 설정

  1. Microsoft Defender 포털에서 설정 선택합니다. 그런 다음, Cloud Apps를 선택합니다.

  2. 시스템 아래에서 SIEM 에이전트를 선택합니다. SIEM 에이전트 추가를 선택한 다음, 제네릭 SIEM을 선택합니다.

    Screenshot showing Add SIEM integration menu.

  3. 마법사에서 시작 마법사를 선택합니다.

  4. 마법사에서 이름을 입력하고, SIEM 형식을 선택하고, 해당 형식과 관련된 고급 설정을 지정합니다. 다음을 선택합니다.

    General SIEM settings.

  5. 원격 syslog 호스트의 IP 주소 또는 호스트 이름과 Syslog 포트 번호를 입력합니다. 원격 Syslog 프로토콜로 TCP 또는 UDP를 선택합니다. 세부 정보가 없는 경우 보안 관리자와 작업하여 세부 정보를 가져올 수 있습니다. 다음을 선택합니다.

    Remote Syslog settings.

  6. 경고활동에 대해 SIEM 서버로 내보낼 데이터 형식을 선택합니다. 슬라이더를 사용하여 사용 여부를 설정합니다. 기본적으로 모든 항목이 선택되어 있습니다. 적용 대상 드롭다운을 사용하여 특정 경고와 활동만 SIEM 서버로 보내도록 필터를 설정할 수 있습니다. 편집을 선택하고 결과를 미리 보기하여 필터가 예상대로 작동하는지 검사. 다음을 선택합니다.

    Data types settings.

  7. 토큰을 복사하고 나중을 위해 저장합니다. 마침을 선택하고 마법사를 그대로 둡니다. 테이블에 추가한 SIEM 에이전트를 보려면 SIEM 페이지로 돌아갑니다. 나중에 연결될 때까지 생성이 표시됩니다.

참고 항목

사용자가 만든 모든 토큰은 해당 토큰을 만든 관리자에게 바인딩됩니다. 즉, 관리 사용자가 클라우드용 Defender 앱에서 제거되면 토큰이 더 이상 유효하지 않습니다. 제네릭 SIEM 토큰은 필요한 유일한 리소스에 대한 읽기 전용 권한을 제공합니다. 다른 권한에는 이 토큰의 일부가 부여되지 않습니다.

2단계: JAR 파일을 다운로드하고 서버에서 실행합니다.

  1. Microsoft 다운로드 센터에서 소프트웨어 라이선스 조건에 동의한 후 .zip 파일을 다운로드하고 압축을 풉니다.

  2. 서버에서 추출된 파일을 실행하세요.

    java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN

참고 항목

  • 파일 이름은 SIEM 에이전트의 버전에 따라 달라질 수 있습니다.
  • 대괄호([ ]) 안에 있는 매개 변수는 선택 사항이며, 관련된 경우에만 사용해야 합니다.
  • 서버 시작 시 JAR을 실행하는 것이 좋습니다.
    • Windows: 예약된 작업으로 실행하고 사용자가 로그온되었는지 여부를 실행하도록 작업을 구성하고 검사box보다 오래 실행되는 경우 작업 중지를 해제해야 검사.
    • Linux: rc.local 파일에 & 명령을 사용하여 실행 명령을 추가합니다. 예: java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN &

여기서는 다음 변수가 사용됩니다.

  • DIRNAME은 로컬 에이전트 디버그 로그에 사용할 디렉터리의 경로입니다.
  • ADDRESS[:P ORT]는 서버가 인터넷에 연결하는 데 사용하는 프록시 서버 주소 및 포트입니다.
  • TOKEN은 이전 단계에서 복사한 SIEM 에이전트 토큰입니다.

언제든지 도움말을 보려면 -h를 입력할 수 있습니다.

샘플 활동 로그

다음은 SIEM에 전송된 샘플 활동 로그입니다.

2017-11-22T17:50:04.000Z CEF:0|MCAS|SIEM_Agent|0.111.85|EVENT_CATEGORY_LOGOUT|Log out|0|externalId=1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0 rt=1511373004000 start=1511373004000 end=1511373004000 msg=Log out suser=admin@contoso.com destinationServiceName=ServiceNow dvc=13.82.149.151 requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:40:15.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_VIEW_REPORT|View report|0|externalId=1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a rt=1511898015000 start=1511898015000 end=1511898015000 msg=View report: ServiceNow Report 23 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=23,sys_report,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:25:34.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798 rt=1511897134000 start=1511897134000 end=1511897134000 msg=Delete object: ServiceNow Object f5122008db360300906ff34ebf96198a suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-27T20:40:14.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_CREATE_USER|Create user|0|externalId=1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c rt=1511815214000 start=1511815214000 end=1511815214000 msg=Create user: user 747518c0db360300906ff34ebf96197c suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,747518c0db360300906ff34ebf96197c,sys_user,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-27T20:41:20.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_DELETE_USER|Delete user|0|externalId=1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383 rt=1511815280000 start=1511815280000 end=1511815280000 msg=Delete user: user 233490c0db360300906ff34ebf9619ef suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,233490c0db360300906ff34ebf9619ef,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:24:55.000Z LAB-EUW-ARCTEST CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897117617_5be018ee-f676-4473-a9b5-5982527409be rt=1511897095000 start=1511897095000 end=1511897095000 msg=Delete object: ServiceNow Object b1709c40db360300906ff34ebf961923 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897117617_5be018ee-f676-4473-a9b5-5982527409be,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

다음 텍스트는 경고 로그 파일 예제입니다.

2017-07-15T20:42:30.531Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|myPolicy|3|externalId=596a7e360c204203a335a3fb start=1500151350531 end=1500151350531 msg=Activity policy ''myPolicy'' was triggered by ''admin@box-contoso.com'' suser=admin@box-contoso.com destinationServiceName=Box cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596a7e360c204203a335a3fb cs2Label=uniqueServiceAppIds cs2=APPID_BOX cs3Label=relatedAudits cs3=1500151288183_acc891bf-33e1-424b-a021-0d4370789660 cs4Label=policyIDs cs4=59f0ab82f797fa0681e9b1c7

2017-07-16T09:36:26.550Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b339b0c204203a33a51ae start=1500197786550 end=1500197786550 msg=Activity policy ''test-activity-policy'' was triggered by ''user@contoso.com'' suser=user@contoso.com destinationServiceName=Salesforce cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b339b0c204203a33a51ae cs2Label=uniqueServiceAppIds cs2=APPID_SALESFORCE cs3Label=relatedAudits cs3=1500197720691_b7f6317c-b8de-476a-bc8f-dfa570e00349 cs4Label=policyIDs cs4=

2017-07-16T09:17:03.361Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy3|3|externalId=596b2fd70c204203a33a3eeb start=1500196623361 end=1500196623361 msg=Activity policy ''test-activity-policy3'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft 365 cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eeb cs2Label=uniqueServiceAppIds cs2=APPID_O365 cs3Label=relatedAudits cs3=1500196549157_a0e01f8a-e29a-43ae-8599-783c1c11597d cs4Label=policyIDs cs4=

2017-07-16T09:17:15.426Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b2fd70c204203a33a3eec start=1500196635426 end=1500196635426 msg=Activity policy ''test-activity-policy'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft 365 admin center cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eec cs2Label=uniqueServiceAppIds cs2=APPID_O365_PORTAL cs3Label=relatedAudits cs3=1500196557398_3e102b20-d9fa-4f66-b550-8c7a403bb4d8 cs4Label=policyIDs cs4=59f0ab35f797fa9811e9b1c7

2017-07-16T09:17:46.290Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy4|3|externalId=596b30200c204203a33a4765 start=1500196666290 end=1500196666290 msg=Activity policy ''test-activity-policy4'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft Exchange Online cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b30200c204203a33a4765 cs2Label=uniqueServiceAppIds cs2=APPID_OUTLOOK cs3Label=relatedAudits cs3=1500196587034_a8673602-7e95-46d6-a1fe-c156c4709c5d cs4Label=policyIDs cs4=

2017-07-16T09:41:04.369Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy2|3|externalId=596b34b10c204203a33a5240 start=1500198064369 end=1500198064369 msg=Activity policy ''test-activity-policy2'' was triggered by ''user2@test15-adallom.com'' suser=user2@test15-adallom.com destinationServiceName=Google cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b34b10c204203a33a5240 cs2Label=uniqueServiceAppIds cs2=APPID_33626 cs3Label=relatedAudits cs3=1500197996117_fd71f265-1e46-4f04-b372-2e32ec874cd3 cs4Label=policyIDs cs4=

CEF 형식의 샘플 클라우드용 Defender 앱 경고

적용 가능 대상 CEF 필드 이름 설명
활동/경고 start 활동 또는 경고 타임스탬프
활동/경고 end 활동 또는 경고 타임스탬프
활동/경고 rt 활동 또는 경고 타임스탬프
활동/경고 msg 포털에 표시된 활동 또는 경고 설명
활동/경고 suser 활동 또는 경고 제목 사용자
활동/경고 destinationServiceName 활동 또는 경고 시작 앱(예: Microsoft 365, Sharepoint, Box)입니다.
활동/경고 cs<X>레이블 각 레이블에는 다른 의미가 있지만 레이블 자체가 그 의미를 설명합니다(예: targetObjects).
활동/경고 cs<X> 레이블에 해당하는 정보입니다(레이블 예에 따른 활동 또는 경고의 대상 사용자).
활동 EVENT_CATEGORY_* 활동의 상위 수준 범주
활동 <ACTION> 포털에 표시된 활동 유형
활동 externalId 이벤트 ID
활동 dvc 클라이언트 디바이스의 IP
활동 requestClientApplication 클라이언트 디바이스의 사용자 에이전트
경고 <경고 유형> 예를 들어 "ALERT_CABINET_EVENT_MATCH_AUDIT"입니다.
경고 <이름> 일치하는 정책 이름
경고 externalId 경고 ID
경고 src 클라이언트 디바이스의 IPv4 주소
경고 c6a1 클라이언트 디바이스의 IPv6 주소

3단계: SIEM 에이전트가 제대로 작동하는지 확인합니다.

  1. 포털에서 SIEM 에이전트의 상태 커넥트 오류 또는 연결 끊김이 아니고 에이전트 알림이 없는지 확인합니다. 연결이 2시간을 초과하여 다운되면 연결 오류로 표시됩니다. 연결이 12시간 이상 다운되면 연결 끊김으로 표시됩니다.

    SIEM disconnected.

    대신 상태는 다음과 같이 연결된 상태여야 합니다.

    SIEM connected.

  2. Syslog/SIEM 서버에서 클라우드용 Defender 앱에서 도착하는 활동 및 경고가 표시되는지 확인합니다.

토큰 다시 생성

토큰이 손실되면 테이블의 SIEM 에이전트에 대한 행 끝에 있는 세 개의 점을 선택하여 토큰을 항상 다시 생성할 수 있습니다. 토큰 다시 생성을 선택하여 새 토큰을 가져옵니다.

SIEM - regenerate token.

SIEM 에이전트 편집

SIEM 에이전트를 편집하려면 테이블의 SIEM 에이전트에 대한 행 끝에 있는 세 개의 점을 선택하고 편집을 선택합니다. SIEM 에이전트를 편집하는 경우 .jar 파일은 자동으로 업데이트되므로 다시 실행할 필요가 없습니다.

SIEM - edit.

SIEM 에이전트 삭제

SIEM 에이전트를 삭제하려면 테이블의 SIEM 에이전트에 대한 행 끝에 있는 세 개의 점을 선택하고 삭제를 선택합니다.

SIEM - delete.

다음 단계

SIEM 통합 문제 해결

문제가 발생하면 도움을 받으세요. 제품 문제에 대한 지원 또는 지원을 받으려면 지원 티켓을 여세요.