Универсальная интеграция SIEM

  • Статья

Вы можете интегрировать Microsoft Defender for Cloud Apps со своим универсальным сервером SIEM, чтобы обеспечить централизованный мониторинг оповещений и действий из подключенных приложений. По мере добавления поддержки новых действий и событий в подключенные приложения, в службе Microsoft Defender for Cloud Apps реализуется поддержка их мониторинга. Интеграция со службой SIEM позволяет повысить степень защищенности облачных приложений без изменения обычного рабочего процесса обеспечения безопасности путем автоматизации процедуры системы безопасности и установления взаимосвязей между действиями в облаке и локальной среде. Агент SIEM Microsoft Defender for Cloud Apps запускается на вашем сервере, получает оповещения и действия из Microsoft Defender for Cloud Apps и передает их потоком на сервер SIEM.

Когда вы сначала интегрируете SIEM с Defender для облака Приложения, действия и оповещения за последние два дня будут перенаправлены в SIEM и все действия и оповещения (на основе выбранного фильтра). Если вы отключите эту функцию на длительное время, то при повторном включении будут перенаправлены действия и оповещения за последние два дня и все последующие.

К дополнительным решениям интеграции относятся:

  • Microsoft Sentinel — масштабируемый, облачный SIEM и SOAR для собственной интеграции. Сведения об интеграции с Microsoft Sentinel см. в статье об интеграции Microsoft Sentinel.
  • API графа безопасности Майкрософт — промежуточная служба (или брокер), которая предоставляет один программный интерфейс для подключения нескольких поставщиков безопасности. Дополнительные сведения см. в статье об интеграции решений безопасности с помощью API безопасности Microsoft Graph.

Важно!

Если вы интегрируете Microsoft Defender для удостоверений в приложения Defender для облака и обе службы настроены для отправки уведомлений об оповещениях в SIEM, вы начнете получать повторяющиеся уведомления SIEM для одного и того же оповещения. Одно оповещение будет выдано из каждой службы, и они будут иметь разные идентификаторы оповещений. Чтобы избежать дублирования и путаницы, обязательно обработайте сценарий. Например, определите, где планируется выполнять управление оповещениями, а затем остановите отправку уведомлений SIEM из другой службы.

Универсальная архитектура интеграции SIEM

Агент SIEM развертывается в сети вашей организации. При развертывании и настройке извлекает типы данных, настроенные (оповещения и действия) с помощью API-интерфейсов RESTful приложений Defender для облака. После этого трафик отправляется через зашифрованный HTTPS-канал на порту 443.

После получения данных из Defender для облака Apps агент SIEM отправляет сообщения системного журнала в локальный SIEM. Defender для облака Приложения используют конфигурации сети, предоставляемые во время установки (TCP или UDP с пользовательским портом).

SIEM integration architecture.

Поддерживаемые системы SIEM

Defender для облака Приложения в настоящее время поддерживают Micro Focus ArcSight и универсальный CEF.

Интеграция

Интеграция SIEM выполняется в три этапа:

  1. Настройте его на портале Defender для облака Apps.
  2. Скачивание JAR-файла и его запуск на сервере.
  3. Проверка работы агента SIEM.

Необходимые компоненты

  • Стандартный сервер с Windows или Linux (можно использовать виртуальную машину).
  • ОС: Windows или Linux
  • ЦП: 2
  • Место на диске: 20 ГБ
  • ОЗУ: 2 ГБ
  • На сервере должна работать версия Java 8. Более ранние версии не поддерживаются.
  • Протокол TLS 1.2+. Более ранние версии не поддерживаются.
  • Настройте брандмауэр, как описано в перечне требований к сети

Интеграция SIEM

Шаг 1. Настройка на портале приложений Defender для облака

  1. На портале Microsoft Defender выберите Параметры. Затем выберите "Облачные приложения".

  2. В разделе "Система" выберите агенты SIEM. Выберите " Добавить агент SIEM" и выберите универсальный SIEM.

    Screenshot showing Add SIEM integration menu.

  3. В мастере выберите мастер запуска.

  4. В окне мастера введите название и выберите формат SIEM, а также укажите любые дополнительные параметры для этого формата. Выберите Далее.

    General SIEM settings.

  5. Введите IP-адрес или имя узла с удаленным системным журналом и номер порта для системного журнала. Выберите TCP или UDP в качестве протокола для удаленного системного журнала. Если у вас нет этих данных, их можно получить у вашего администратора по безопасности. Выберите Далее.

    Remote Syslog settings.

  6. Выберите типы оповещений и действий, которые нужно экспортировать на сервер SIEM. Включите или отключите их при помощи ползунка. По умолчанию выбраны все типы. Для отправки только определенных типов оповещений и действий на сервер SIEM можно воспользоваться фильтрами из раскрывающегося списка Apply to (Применить к). Выберите "Изменить и просмотреть результаты", чтобы проверка, что фильтр работает должным образом. Выберите Далее.

    Data types settings.

  7. Скопируйте токен и сохраните его для последующего использования. Нажмите кнопку "Готово " и оставьте мастер. Вернитесь на страницу SIEM, чтобы увидеть агент SIEM, добавленный в таблице. Он покажет, что он создан , пока не будет подключен позже.

Примечание.

Любой создаваемый маркер привязывается к создавшему его администратору. Это означает, что если пользователь администратора удален из Defender для облака Apps, маркер больше не будет допустимым. Универсальный маркер SIEM предоставляет разрешения только для чтения только для необходимых ресурсов. Никакие другие разрешения не предоставляются частью этого маркера.

Шаг 2: скачивание JAR-файла и его запуск на сервере

  1. В Центре загрузки Майкрософт примите условия лицензии, скачайте ZIP-файл и распакуйте его.

  2. Запустите извлеченный файл на сервере.

    java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN

Примечание.

  • Имя файла зависит от версии агента SIEM.
  • Параметры в квадратных скобках [] необязательные; их следует использовать только при необходимости.
  • Рекомендуется выполнять JAR во время запуска сервера.
    • Windows: Запустите как запланированную задачу и убедитесь, что задача настроена для запуска, вошедшего или нет, и не проверка остановить задачу, если она выполняется дольше, чем проверка box.
    • Linux: добавьте команду выполнения с помощью команды > в файл rc.local. Например: java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN &

Где используются следующие переменные:

  • DIRNAME — это путь к каталогу, который вы хотите использовать для журналов отладки локального агента.
  • ADDRESS[:P ORT] — это адрес прокси-сервера и порт, используемый сервером для подключения к Интернету.
  • Токен — токен агента SIEM, скопированный на предыдущем шаге.

Чтобы получить справку, введите -h. Эта команда доступна всегда.

Примеры журналов действий

Вот примеры журналов действий, отправляемых в службу SIEM:

2017-11-22T17:50:04.000Z CEF:0|MCAS|SIEM_Agent|0.111.85|EVENT_CATEGORY_LOGOUT|Log out|0|externalId=1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0 rt=1511373004000 start=1511373004000 end=1511373004000 msg=Log out suser=admin@contoso.com destinationServiceName=ServiceNow dvc=13.82.149.151 requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:40:15.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_VIEW_REPORT|View report|0|externalId=1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a rt=1511898015000 start=1511898015000 end=1511898015000 msg=View report: ServiceNow Report 23 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=23,sys_report,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:25:34.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798 rt=1511897134000 start=1511897134000 end=1511897134000 msg=Delete object: ServiceNow Object f5122008db360300906ff34ebf96198a suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-27T20:40:14.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_CREATE_USER|Create user|0|externalId=1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c rt=1511815214000 start=1511815214000 end=1511815214000 msg=Create user: user 747518c0db360300906ff34ebf96197c suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,747518c0db360300906ff34ebf96197c,sys_user,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-27T20:41:20.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_DELETE_USER|Delete user|0|externalId=1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383 rt=1511815280000 start=1511815280000 end=1511815280000 msg=Delete user: user 233490c0db360300906ff34ebf9619ef suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,233490c0db360300906ff34ebf9619ef,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:24:55.000Z LAB-EUW-ARCTEST CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897117617_5be018ee-f676-4473-a9b5-5982527409be rt=1511897095000 start=1511897095000 end=1511897095000 msg=Delete object: ServiceNow Object b1709c40db360300906ff34ebf961923 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897117617_5be018ee-f676-4473-a9b5-5982527409be,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

Следующий текст — это пример файла журнала оповещений:

2017-07-15T20:42:30.531Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|myPolicy|3|externalId=596a7e360c204203a335a3fb start=1500151350531 end=1500151350531 msg=Activity policy ''myPolicy'' was triggered by ''admin@box-contoso.com'' suser=admin@box-contoso.com destinationServiceName=Box cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596a7e360c204203a335a3fb cs2Label=uniqueServiceAppIds cs2=APPID_BOX cs3Label=relatedAudits cs3=1500151288183_acc891bf-33e1-424b-a021-0d4370789660 cs4Label=policyIDs cs4=59f0ab82f797fa0681e9b1c7

2017-07-16T09:36:26.550Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b339b0c204203a33a51ae start=1500197786550 end=1500197786550 msg=Activity policy ''test-activity-policy'' was triggered by ''user@contoso.com'' suser=user@contoso.com destinationServiceName=Salesforce cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b339b0c204203a33a51ae cs2Label=uniqueServiceAppIds cs2=APPID_SALESFORCE cs3Label=relatedAudits cs3=1500197720691_b7f6317c-b8de-476a-bc8f-dfa570e00349 cs4Label=policyIDs cs4=

2017-07-16T09:17:03.361Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy3|3|externalId=596b2fd70c204203a33a3eeb start=1500196623361 end=1500196623361 msg=Activity policy ''test-activity-policy3'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft 365 cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eeb cs2Label=uniqueServiceAppIds cs2=APPID_O365 cs3Label=relatedAudits cs3=1500196549157_a0e01f8a-e29a-43ae-8599-783c1c11597d cs4Label=policyIDs cs4=

2017-07-16T09:17:15.426Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b2fd70c204203a33a3eec start=1500196635426 end=1500196635426 msg=Activity policy ''test-activity-policy'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft 365 admin center cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eec cs2Label=uniqueServiceAppIds cs2=APPID_O365_PORTAL cs3Label=relatedAudits cs3=1500196557398_3e102b20-d9fa-4f66-b550-8c7a403bb4d8 cs4Label=policyIDs cs4=59f0ab35f797fa9811e9b1c7

2017-07-16T09:17:46.290Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy4|3|externalId=596b30200c204203a33a4765 start=1500196666290 end=1500196666290 msg=Activity policy ''test-activity-policy4'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft Exchange Online cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b30200c204203a33a4765 cs2Label=uniqueServiceAppIds cs2=APPID_OUTLOOK cs3Label=relatedAudits cs3=1500196587034_a8673602-7e95-46d6-a1fe-c156c4709c5d cs4Label=policyIDs cs4=

2017-07-16T09:41:04.369Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy2|3|externalId=596b34b10c204203a33a5240 start=1500198064369 end=1500198064369 msg=Activity policy ''test-activity-policy2'' was triggered by ''user2@test15-adallom.com'' suser=user2@test15-adallom.com destinationServiceName=Google cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b34b10c204203a33a5240 cs2Label=uniqueServiceAppIds cs2=APPID_33626 cs3Label=relatedAudits cs3=1500197996117_fd71f265-1e46-4f04-b372-2e32ec874cd3 cs4Label=policyIDs cs4=

Пример оповещений Defender для облака приложений в формате CEF

Применимо к Имя поля CEF Description
Действия и оповещения start Метка времени для действия или оповещения
Действия и оповещения end Метка времени для действия или оповещения
Действия и оповещения rt Метка времени для действия или оповещения
Действия и оповещения msg Описание действия или оповещения, которое отображается на портале
Действия и оповещения suser Пользователь действия или оповещения
Действия и оповещения destinationServiceName Действие или оповещение, исходное приложение, например Microsoft 365, Sharepoint, Box.
Действия и оповещения cs<X>Label У каждой метки есть свое значение, которое ясно из ее названия, например targetObjects.
Действия и оповещения cs<X> Сведения, относящиеся к метке (целевой пользователь действия или оповещения для примера метки).
Процедуры EVENT_CATEGORY_* Категория действий высокого уровня
Процедуры <ДЕЙСТВИЕ> Тип действия, который отображается на портале
Процедуры externalId ИД события
Процедуры dvc IP-адрес клиентского устройства
Процедуры requestClientApplication Агент пользователя клиентского устройства
видны узлы <Тип оповещения> Например, "ALERT_CABINET_EVENT_MATCH_AUDIT"
видны узлы <name> Имя соответствующей политики
видны узлы externalId Идентификатор оповещения
видны узлы src IPv4-адрес клиентского устройства
видны узлы c6a1 IPv6-адрес клиентского устройства

Шаг 3: проверка работы агента SIEM

  1. Убедитесь, что состояние агента SIEM на портале не Подключение ошибка или отключение, и нет уведомлений агента. Состояние Ошибка подключения возникает, если подключение отсутствует более двух часов. Состояние Отключен возникает, если подключение отсутствует более 12 часов.

    SIEM disconnected.

    Должно отображаться состояние "Подключено", как показано на этом снимке экрана:

    SIEM connected.

  2. На сервере Syslog/SIEM убедитесь, что вы видите действия и оповещения, поступающие из Defender для облака Apps.

Повторное создание токена

Если вы потеряете маркер, его всегда можно повторно создать, выбрав три точки в конце строки агента SIEM в таблице. Выберите Повторно создать токен, чтобы получить новый токен.

SIEM - regenerate token.

Изменение агента SIEM

Чтобы изменить агент SIEM, выберите три точки в конце строки агента SIEM в таблице и нажмите кнопку "Изменить". При изменении агента SIEM повторно запускать JAR-файл не нужно, он будет обновлен автоматически.

SIEM - edit.

Удаление агента SIEM

Чтобы удалить агент SIEM, выберите три точки в конце строки агента SIEM в таблице и нажмите кнопку "Удалить".

SIEM - delete.

Следующие шаги

Устранение проблем, связанных с агентом SIEM

Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, откройте запрос в службу поддержки.