Pode integrar Microsoft Defender para Aplicativos de Nuvem com o servidor SIEM genérico para ativar a monitorização centralizada de alertas e atividades de aplicações ligadas. À medida que as novas atividades e eventos são suportados por aplicações ligadas, a visibilidade das mesmas é então implementada no Microsoft Defender para Aplicativos de Nuvem. A integração com um serviço SIEM permite-lhe proteger melhor as suas aplicações na cloud, mantendo o fluxo de trabalho de segurança habitual, automatizando procedimentos de segurança e correlacionando-se entre eventos baseados na cloud e no local. O Microsoft Defender para Aplicativos de Nuvem agente SIEM é executado no servidor e solicita alertas e atividades de Microsoft Defender para Aplicativos de Nuvem e transmite-os para o servidor SIEM.
Quando integrar o SIEM pela primeira vez com Defender para Aplicativos de Nuvem, as atividades e os alertas dos últimos dois dias serão reencaminhados para o SIEM e todas as atividades e alertas (com base no filtro que selecionar) a partir daí. Se desativar esta funcionalidade durante um período prolongado, reativar, os últimos dois dias de alertas e atividades são reencaminhados e, em seguida, todos os alertas e atividades a partir daí.
As soluções de integração adicionais incluem:
Microsoft Sentinel - UM SIEM nativo de cloud dimensionável e SOAR para integração nativa. Para obter informações sobre a integração com Microsoft Sentinel, veja integração de Microsoft Sentinel.
Se estiver a integrar Microsoft Defender para Identidade no Defender para Aplicativos de Nuvem e ambos os serviços estiverem configurados para enviar notificações de alerta para um SIEM, começará a receber notificações SIEM duplicadas para o mesmo alerta. Será emitido um alerta de cada serviço e terão IDs de alerta diferentes. Para evitar duplicações e confusões, certifique-se de que lida com o cenário. Por exemplo, decida onde pretende efetuar a gestão de alertas e, em seguida, pare o envio de notificações SIEM do outro serviço.
Arquitetura genérica de integração do SIEM
O agente SIEM é implementado na rede da sua organização. Quando implementado e configurado, solicita os tipos de dados que foram configurados (alertas e atividades) com Defender para Aplicativos de Nuvem APIs RESTful.
Em seguida, o tráfego é enviado através de um canal HTTPS encriptado na porta 443.
Assim que o agente SIEM obtém os dados de Defender para Aplicativos de Nuvem, envia as mensagens do Syslog para o SIEM local. Defender para Aplicativos de Nuvem utiliza as configurações de rede que forneceu durante a configuração (TCP ou UDP com uma porta personalizada).
SIEMs suportados
Defender para Aplicativos de Nuvem atualmente suporta o Micro Focus ArcSight e o CEF genérico.
Como integrar
A integração com o SIEM é efetuada em três passos:
Configure-o no portal do Defender para Aplicativos de Nuvem.
Transfira o ficheiro JAR e execute-o no servidor.
Confirme que o agente SIEM está a funcionar.
Pré-requisitos
Um servidor Windows ou Linux padrão (pode ser uma máquina virtual).
SO: Windows ou Linux
CPU: 2
Espaço em disco: 20 GB
RAM: 2 GB
O servidor tem de estar a executar o Java 8. As versões anteriores não são suportadas.
Transport Layer Security (TLS) 1.2+. As versões anteriores não são suportadas.
Passo 1: configurá-lo no portal do Defender para Aplicativos de Nuvem
No Portal do Microsoft Defender, selecione Definições. Em seguida, selecione Aplicações na Cloud.
Em Sistema, selecione Agentes SIEM. Selecione Adicionar agente SIEM e, em seguida, selecione SIEM Genérico.
No assistente, selecione Assistente de Início.
No assistente, preencha um nome e Selecione o seu formato SIEM e defina as definições Avançadas relevantes para esse formato. Selecione Avançar.
Escreva o endereço IP ou o nome do anfitrião do anfitrião syslog remoto e o número da porta do Syslog. Selecione TCP ou UDP como o protocolo Syslog Remoto.
Pode trabalhar com o seu administrador de segurança para obter estes detalhes se não os tiver. Selecione Avançar.
Selecione os tipos de dados que pretende exportar para o servidor SIEM para Alertas e Atividades. Utilize o controlo de deslize para os ativar e desativar, por predefinição, está tudo selecionado. Pode utilizar o menu pendente Aplicar a para definir filtros para enviar apenas alertas e atividades específicos para o seu servidor SIEM. Selecione Editar e pré-visualizar resultados para marcar que o filtro funciona conforme esperado. Selecione Avançar.
Copie o token e guarde-o para mais tarde.
Selecione Concluir e saia do Assistente. Voltar à página SIEM para ver o agente SIEM que adicionou na tabela. Irá mostrar que é Criado até estar ligado mais tarde.
Observação
Qualquer token que criar está vinculado ao administrador que o criou. Isto significa que, se o utilizador administrador for removido do Defender para Aplicativos de Nuvem, o token deixará de ser válido. Um token SIEM genérico fornece permissões só de leitura para os únicos recursos necessários. Não são concedidas outras permissões a uma parte deste token.
Passo 2: Transferir o ficheiro JAR e executá-lo no servidor
O nome do ficheiro pode ser diferente consoante a versão do agente SIEM.
Os parâmetros entre parênteses retos [ ] são opcionais e só devem ser utilizados se forem relevantes.
Recomenda-se que execute o JAR durante o arranque do servidor.
Windows: execute como uma tarefa agendada e certifique-se de que configura a tarefa para Executar se o utilizador tem sessão iniciada ou não e que desmarca a caixa de verificação Parar a tarefa se a mesma for executada durante mais tempo do que .
Linux: adicione o comando executar com uma & ao ficheiro rc.local. Por exemplo: java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN &
Onde são utilizadas as seguintes variáveis:
DIRNAME é o caminho para o diretório que você deseja usar para os logs de depuração do agente local.
ADDRESS[:P ORT] é o endereço do servidor proxy e a porta que o servidor utiliza para ligar à Internet.
TOKEN é o token do agente SIEM que copiou no passo anterior.
Pode escrever -h em qualquer altura para obter ajuda.
Registos de atividades de exemplo
Seguem-se os registos de atividades de exemplo enviados para o SIEM:
Alertas de Defender para Aplicativos de Nuvem de exemplo no formato CEF
Aplicável a
Nome do campo CEF
Descrição
Atividades/Alertas
iniciar
Carimbo de data/hora da atividade ou do alerta
Atividades/Alertas
end
Carimbo de data/hora da atividade ou do alerta
Atividades/Alertas
rt
Carimbo de data/hora da atividade ou do alerta
Atividades/Alertas
msg
Descrição da atividade ou do alerta, conforme mostrado no portal
Atividades/Alertas
suser
Utilizador do assunto da atividade ou do alerta
Atividades/Alertas
destinationServiceName
Atividade ou aplicação de origem de alertas, por exemplo, Microsoft 365, Sharepoint, Box.
Atividades/Alertas
cs<X>Label
Cada etiqueta tem um significado diferente, mas a própria etiqueta explica-o, por exemplo, targetObjects.
Atividades/Alertas
cs<X>
As informações correspondentes à etiqueta (o utilizador de destino da atividade ou alerta de acordo com o exemplo de etiqueta).
Atividades
EVENT_CATEGORY_*
Categoria de alto nível da atividade
Atividades
<AÇÃO>
O tipo de atividade, conforme apresentado no portal
Atividades
externalId
ID do Evento
Atividades
dvc
IP do dispositivo cliente
Atividades
requestClientApplication
Agente de utilizador do dispositivo cliente
Alertas
<tipo de alerta>
Por exemplo, "ALERT_CABINET_EVENT_MATCH_AUDIT"
Alertas
<nome>
O nome da política correspondente
Alertas
externalId
ID do Alerta
Alertas
src
Endereço IPv4 do dispositivo cliente
Alertas
c6a1
Endereço IPv6 do dispositivo cliente
Passo 3: validar se o agente SIEM está a funcionar
Certifique-se de que a status do agente SIEM no portal não é Erro de ligação ou Desligado e não existem notificações do agente. Será apresentado como Erro de ligação se a ligação estiver inativa durante mais de duas horas. O status é apresentado como Desligado se a ligação estiver inativa durante mais de 12 horas.
Em vez disso, o status deve estar ligado, como se pode ver aqui:
No servidor Syslog/SIEM, certifique-se de que vê atividades e alertas provenientes de Defender para Aplicativos de Nuvem.
Regenerar o token
Se perder o token, pode sempre regenerar o mesmo ao selecionar os três pontos no final da linha para o agente SIEM na tabela. Selecione Regenerar token para obter um novo token.
Editar o agente SIEM
Para editar o agente SIEM, selecione os três pontos no final da linha para o agente SIEM na tabela e selecione Editar. Se editar o agente SIEM, não precisa de voltar a executar o ficheiro .jar, este é atualizado automaticamente.
Eliminar o agente SIEM
Para eliminar o agente SIEM, selecione os três pontos no final da linha para o agente SIEM na tabela e selecione Eliminar.