Integração SIEM genérica

  • Artigo

Pode integrar o Microsoft Defender for Cloud Apps no servidor SIEM genérico para ativar a monitorização centralizada de alertas e atividades a partir de aplicações ligadas. À medida que as novas atividades e eventos são suportados por aplicações ligadas, a visibilidade das mesmas é implementada no Microsoft Defender for Cloud Apps. A integração num serviço SIEM permite-lhe proteger melhor as aplicações na cloud enquanto mantém o fluxo de trabalho de segurança habitual, automatiza procedimentos de segurança e correlaciona eventos baseados na cloud e no local. O agente SIEM do Microsoft Defender for Cloud Apps é executado no servidor, extrai alertas e atividades do Microsoft Defender for Cloud Apps e transmite-os ao servidor SIEM.

Quando você integrar seu SIEM pela primeira vez com o Defender for Cloud Apps, as atividades e alertas dos últimos dois dias serão encaminhados para o SIEM e todas as atividades e alertas (com base no filtro selecionado) a partir de então. Se você desativar esse recurso por um período prolongado, reative os últimos dois dias de alertas e atividades serão encaminhados e, em seguida, todos os alertas e atividades a partir de então.

As soluções de integração adicionais incluem:

  • Microsoft Sentinel - Um SIEM e SOAR escalável e nativo da nuvem para integração nativa. Para obter informações sobre a integração com o Microsoft Sentinel, consulte Integração do Microsoft Sentinel.
  • API de gráfico de segurança da Microsoft - Um serviço intermediário (ou broker) que fornece uma única interface programática para conectar vários provedores de segurança. Para obter mais informações, consulte Integrações de soluções de segurança usando a API de segurança do Microsoft Graph.

Importante

Se você estiver integrando o Microsoft Defender for Identity no Defender for Cloud Apps e ambos os serviços estiverem configurados para enviar notificações de alerta para um SIEM, você começará a receber notificações SIEM duplicadas para o mesmo alerta. Será emitido um alerta de cada serviço e estes terão diferentes IDs de alerta. Para evitar duplicação e confusão, certifique-se de lidar com o cenário. Por exemplo, decida onde você pretende executar o gerenciamento de alertas e, em seguida, interrompa o envio de notificações SIEM do outro serviço.

Arquitetura de integração SIEM genérica

O agente SIEM é implantado na rede da sua organização. Quando implantado e configurado, ele extrai os tipos de dados que foram configurados (alertas e atividades) usando as APIs RESTful do Defender for Cloud Apps. Em seguida, o tráfego é enviado através de um canal HTTPS encriptado na porta 443.

Depois que o agente SIEM recupera os dados do Defender for Cloud Apps, ele envia as mensagens do Syslog para o SIEM local. O Defender for Cloud Apps usa as configurações de rede fornecidas durante a configuração (TCP ou UDP com uma porta personalizada).

SIEM integration architecture.

SIEMs suportados

Atualmente, o Defender for Cloud Apps é compatível com Micro Focus, ArcSight e CEF genérico.

Como integrar

A integração da sua SIEM é efetuada em três passos:

  1. Configure-o no portal do Defender for Cloud Apps.
  2. Transferir o ficheiro JAR e executá-lo no seu servidor
  3. Verificar se o agente SIEM está a funcionar.

Pré-requisitos

  • Um servidor Windows ou Linux padrão (pode ser uma máquina virtual).
  • SO: Windows ou Linux
  • CPU: 2
  • Espaço em disco: 20 GB
  • RAM: 2 GB
  • O servidor deve estar executando Java 8. Não há suporte para versões anteriores.
  • Segurança da camada de transporte (TLS) 1.2+. Não há suporte para versões anteriores.
  • Defina o firewall conforme descrito em Requisitos de rede

Integrar em SIEM

Etapa 1: configurá-lo no portal do Defender for Cloud Apps

  1. No Portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Cloud Apps.

  2. Em Sistema, escolha Agentes SIEM. Selecione Adicionar agente SIEM e, em seguida, escolha SIEM Genérico.

    Screenshot showing Add SIEM integration menu.

  3. No assistente, selecione Iniciar assistente.

  4. No assistente, escreva um nome e Selecione o seu formato SIEM e configure as Definições avançadas relevantes para esse formato. Selecione Seguinte.

    General SIEM settings.

  5. Escreva o endereço IP ou o nome do anfitrião do Sistema anfitrião syslog remoto e o Número de porta de syslog. Selecione TCP ou UDP como Protocolo de Syslog remoto. Pode trabalhar com o seu administrador de segurança para obter estes detalhes se não os tiver. Selecione Seguinte.

    Remote Syslog settings.

  6. Selecione quais tipos de dados você deseja exportar para o servidor SIEM para Alertas e Atividades. Utilize o controlo de deslize para ativar e desativá-los. Por predefinição, todas as opções estão selecionadas. Pode utilizar a lista pendente Aplicar a para definir filtros de forma a enviar apenas atividades e alertas específicos para o seu servidor SIEM. Selecione Editar e visualizar resultados para verificar se o filtro funciona conforme o esperado. Selecione Seguinte.

    Data types settings.

  7. Copie o token e guarde-o para utilizar mais tarde. Selecione Concluir e saia do Assistente. Volte para a página SIEM para ver o agente SIEM que você adicionou na tabela. Ele mostrará que ele foi criado até que seja conectado mais tarde.

Nota

Qualquer token que você criar está vinculado ao administrador que o criou. Isso significa que, se o usuário administrador for removido do Defender for Cloud Apps, o token não será mais válido. Um token SIEM genérico fornece permissões somente leitura para os únicos recursos necessários. Nenhuma outra permissão é concedida uma parte deste token.

Passo 2: transferir o ficheiro JAR e executá-lo no seu servidor

  1. No Centro de Download da Microsoft, depois de aceitar os termos de licença do software, baixe o arquivo .zip e descompacte-o.

  2. Execute o arquivo extraído no seu servidor:

    java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN

Nota

  • O nome do ficheiro poderá ser diferente dependendo da versão do agente SIEM.
  • Os parâmetros entre parênteses [ ] são opcionais e só devem ser utilizados se forem relevantes.
  • Recomenda-se executar o JAR durante a inicialização do servidor.
    • Windows: Executar como uma tarefa agendada e certifique-se de configurar a tarefa para Executar independentemente de o usuário estar conectado ou não e de desmarcar a caixa de seleção Parar a tarefa se ela for executada por mais tempo .
    • Linux: Adicione o comando run com um & ao arquivo rc.local. Por exemplo: java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN &

Onde as seguintes variáveis são utilizadas:

  • DIRNAME é o caminho para o diretório que pretende utilizar para os registos de depuração do agente local.
  • ADDRESS[:P ORT] é o endereço e a porta do servidor proxy que o servidor usa para se conectar à Internet.
  • TOKEN é o token do agente SIEM que copiou no passo anterior.

Pode escrever -h em qualquer altura para obter ajuda.

Exemplos de registros de atividades

A seguir estão exemplos de logs de atividade enviados ao seu SIEM:

2017-11-22T17:50:04.000Z CEF:0|MCAS|SIEM_Agent|0.111.85|EVENT_CATEGORY_LOGOUT|Log out|0|externalId=1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0 rt=1511373004000 start=1511373004000 end=1511373004000 msg=Log out suser=admin@contoso.com destinationServiceName=ServiceNow dvc=13.82.149.151 requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:40:15.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_VIEW_REPORT|View report|0|externalId=1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a rt=1511898015000 start=1511898015000 end=1511898015000 msg=View report: ServiceNow Report 23 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=23,sys_report,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:25:34.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798 rt=1511897134000 start=1511897134000 end=1511897134000 msg=Delete object: ServiceNow Object f5122008db360300906ff34ebf96198a suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-27T20:40:14.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_CREATE_USER|Create user|0|externalId=1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c rt=1511815214000 start=1511815214000 end=1511815214000 msg=Create user: user 747518c0db360300906ff34ebf96197c suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,747518c0db360300906ff34ebf96197c,sys_user,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-27T20:41:20.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_DELETE_USER|Delete user|0|externalId=1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383 rt=1511815280000 start=1511815280000 end=1511815280000 msg=Delete user: user 233490c0db360300906ff34ebf9619ef suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,233490c0db360300906ff34ebf9619ef,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:24:55.000Z LAB-EUW-ARCTEST CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897117617_5be018ee-f676-4473-a9b5-5982527409be rt=1511897095000 start=1511897095000 end=1511897095000 msg=Delete object: ServiceNow Object b1709c40db360300906ff34ebf961923 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897117617_5be018ee-f676-4473-a9b5-5982527409be,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

O texto a seguir é um exemplo de arquivo de log de alertas:

2017-07-15T20:42:30.531Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|myPolicy|3|externalId=596a7e360c204203a335a3fb start=1500151350531 end=1500151350531 msg=Activity policy ''myPolicy'' was triggered by ''admin@box-contoso.com'' suser=admin@box-contoso.com destinationServiceName=Box cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596a7e360c204203a335a3fb cs2Label=uniqueServiceAppIds cs2=APPID_BOX cs3Label=relatedAudits cs3=1500151288183_acc891bf-33e1-424b-a021-0d4370789660 cs4Label=policyIDs cs4=59f0ab82f797fa0681e9b1c7

2017-07-16T09:36:26.550Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b339b0c204203a33a51ae start=1500197786550 end=1500197786550 msg=Activity policy ''test-activity-policy'' was triggered by ''user@contoso.com'' suser=user@contoso.com destinationServiceName=Salesforce cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b339b0c204203a33a51ae cs2Label=uniqueServiceAppIds cs2=APPID_SALESFORCE cs3Label=relatedAudits cs3=1500197720691_b7f6317c-b8de-476a-bc8f-dfa570e00349 cs4Label=policyIDs cs4=

2017-07-16T09:17:03.361Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy3|3|externalId=596b2fd70c204203a33a3eeb start=1500196623361 end=1500196623361 msg=Activity policy ''test-activity-policy3'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft 365 cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eeb cs2Label=uniqueServiceAppIds cs2=APPID_O365 cs3Label=relatedAudits cs3=1500196549157_a0e01f8a-e29a-43ae-8599-783c1c11597d cs4Label=policyIDs cs4=

2017-07-16T09:17:15.426Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b2fd70c204203a33a3eec start=1500196635426 end=1500196635426 msg=Activity policy ''test-activity-policy'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft 365 admin center cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eec cs2Label=uniqueServiceAppIds cs2=APPID_O365_PORTAL cs3Label=relatedAudits cs3=1500196557398_3e102b20-d9fa-4f66-b550-8c7a403bb4d8 cs4Label=policyIDs cs4=59f0ab35f797fa9811e9b1c7

2017-07-16T09:17:46.290Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy4|3|externalId=596b30200c204203a33a4765 start=1500196666290 end=1500196666290 msg=Activity policy ''test-activity-policy4'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft Exchange Online cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b30200c204203a33a4765 cs2Label=uniqueServiceAppIds cs2=APPID_OUTLOOK cs3Label=relatedAudits cs3=1500196587034_a8673602-7e95-46d6-a1fe-c156c4709c5d cs4Label=policyIDs cs4=

2017-07-16T09:41:04.369Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy2|3|externalId=596b34b10c204203a33a5240 start=1500198064369 end=1500198064369 msg=Activity policy ''test-activity-policy2'' was triggered by ''user2@test15-adallom.com'' suser=user2@test15-adallom.com destinationServiceName=Google cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b34b10c204203a33a5240 cs2Label=uniqueServiceAppIds cs2=APPID_33626 cs3Label=relatedAudits cs3=1500197996117_fd71f265-1e46-4f04-b372-2e32ec874cd3 cs4Label=policyIDs cs4=

Exemplos de alertas do Defender for Cloud Apps em formato CEF

Aplicável a Nome do campo CEF Description
Atividades/Alertas iniciar Carimbo de data/hora de atividade ou alerta
Atividades/Alertas end Carimbo de data/hora de atividade ou alerta
Atividades/Alertas RT Carimbo de data/hora de atividade ou alerta
Atividades/Alertas msg Descrição da atividade ou alerta, conforme mostrado no portal
Atividades/Alertas suser Usuário sujeito de atividade ou alerta
Atividades/Alertas destinationServiceName Aplicativo de origem de atividade ou alerta, por exemplo, Microsoft 365, Sharepoint, Box.
Atividades/Alertas cs<X>Rótulo Cada rótulo tem um significado diferente, mas o próprio rótulo o explica, por exemplo, targetObjects.
Atividades/Alertas cs<X> A informação correspondente ao rótulo (o utilizador-alvo da atividade ou alerta, de acordo com o exemplo do rótulo).
Atividades EVENT_CATEGORY_* Categoria de alto nível da atividade
Atividades <AÇÃO> O tipo de atividade, conforme exibido no portal
Atividades externalId ID do Evento
Atividades DVC IP do dispositivo cliente
Atividades requestClientApplication Agente de usuário do dispositivo cliente
Alertas <Tipo de alerta> Por exemplo, "ALERT_CABINET_EVENT_MATCH_AUDIT"
Alertas <Designação> O nome da política correspondente
Alertas externalId ID do alerta
Alertas src Endereço IPv4 do dispositivo cliente
Alertas C6A1 Endereço IPv6 do dispositivo cliente

Passo 3: verificar se o agente SIEM está a funcionar

  1. Verifique se o status do agente SIEM no portal não é Erro de conexão ou Desconectado e não há notificações do agente. Ele aparecerá como erro de conexão se a conexão estiver inativa por mais de duas horas. O status é exibido como Desconectado se a conexão estiver inativa por mais de 12 horas.

    SIEM disconnected.

    Em vez disso, o status deve ser conectado, como visto aqui:

    SIEM connected.

  2. No seu servidor Syslog/SIEM, certifique-se de ver atividades e alertas chegando do Defender for Cloud Apps.

Voltar a gerar o token

Se você perder o token, sempre poderá regenerá-lo selecionando os três pontos no final da linha para o agente SIEM na tabela. Selecione Regenerar token para obter um novo token .

SIEM - regenerate token.

Editar o seu agente SIEM

Para editar o agente SIEM, selecione os três pontos no final da linha para o agente SIEM na tabela e selecione Editar. Se você editar o agente SIEM, não precisará executar novamente o arquivo .jar, ele será atualizado automaticamente.

SIEM - edit.

Eliminar o seu agente SIEM

Para excluir o agente SIEM, selecione os três pontos no final da linha do agente SIEM na tabela e selecione Excluir.

SIEM - delete.

Próximos passos

Resolução de problemas de integração do SIEM

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do seu produto, abra um ticket de suporte.