通用 SIEM 集成
可以将 Microsoft Defender for Cloud Apps 与通用 SIEM 服务器集成,以便集中监视连接的应用中的警报和活动。 由于连接的应用支持新的活动和事件,Microsoft Defender for Cloud Apps 中推出了查看这些活动和事件的功能。 通过与 SIEM 服务集成,可以更好地保护云应用程序,同时保持正常的安全工作流、自动执行安全过程,并将基于云的事件与本地事件关联。 Microsoft Defender for Cloud Apps SIEM 代理在服务器上运行,从 Microsoft Defender for Cloud Apps 中拉取警报和活动并将其流式传输到 SIEM 服务器中。
首次将 SIEM 与 Defender for Cloud Apps 集成时,过去两天的活动和警报将转发至 SIEM,之后,所有活动和警报(基于选择的筛选器)都将如此。 如果较长时间禁用此功能,然后再次启用,将转发过去两天内的警报和活动,之后的所有警报和活动都将如此。
其他集成解决方案包括:
- Microsoft Sentinel - 一种可缩放的云原生 SIEM 和 SOAR,用于本机集成。 有关与 Microsoft Sentinel 集成的信息,请参阅 Microsoft Sentinel 集成。
- Microsoft 安全图形 API - 一种中介服务(或代理),提供一个编程接口来连接多个安全提供程序。 有关详细信息,请参阅使用 Microsoft Graph 安全性 API 实现安全解决方案集成。
重要
如果要在 Defender for Cloud Apps 中集成 Microsoft Defender for Identity,并且这两项服务都配置为将警报通知发送到 SIEM,则开始接收同一警报的重复 SIEM 通知。 每项服务都会发出一条警报,这些警报具有不同的警报 ID。 为了避免重复和混淆,请确保处理该应用场景。 例如,决定要在哪里执行警报管理,然后停止从其他服务发送 SIEM 通知。
通用 SIEM 集成体系结构
在贵组织的网络中部署 SIEM 代理。 进行部署和配置时,它会拉取使用 Defender for Cloud Apps RESTful API 配置的数据类型(警报和活动)。 然后,通过端口 443 上的加密 HTTPS 通道发送流量。
一旦 SIEM 代理检索来自 Defender for Cloud Apps 的数据,就会将 Syslog 消息发送到本地 SIEM。 Defender for Cloud Apps 使用在安装期间(TCP 或 UDP 自定义端口)提供的网络配置。
支持的 SIEM
Defender for Cloud Apps 目前支持 Micro Focus ArcSight 和通用 CEF。
如何集成
通过三个步骤完成与 SIEM 的集成:
- 在 Defender for Cloud Apps 门户中进行设置。
- 下载 JAR 文件并在服务器上运行。
- 验证 SIEM 代理能否正常运行。
先决条件
- 标准 Windows 或 Linux 服务器(可以是虚拟机)。
- 操作系统:Windows 或 Linux
- CPU:2 个
- 磁盘空间:20 GB
- RAM:2 GB
- 服务器必须正在运行 Java 8。 不支持早期版本。
- 传输层安全性 (TLS) 1.2+。 不支持早期版本。
- 按网络要求所述设置防火墙
与 SIEM 集成
步骤 1:在 Defender for Cloud Apps 门户中进行设置
在 Microsoft Defender 门户中,选择“设置”。 然后选择“云应用”。
在“系统”下,选择 SIEM 代理。 选择“添加 SIEM 代理”,然后选择“通用 SIEM”。
在向导中,选择“启动向导”。
在向导中,填写名称,然后选择 SIEM 格式并设置任何与该格式相关的高级设置。 选择下一步。
键入“远程 Syslog 主机”的 IP 地址或主机名以及“Syslog 端口号”。 选择 TCP 或 UDP 作为远程 Syslog 协议。 如果没有这些协议,可向安全管理员了解相关详细信息。 选择下一步。
选择想要导出到 SIEM 服务器的数据类型 - 警报和活动。 使用滑块启用和禁用它们,默认会选中所有内容。 可以使用“应用对象”下拉列表设置筛选器,向 SIEM 服务器只发送特定的警报和活动。 选择“编辑和预览结果”,检查筛选器是否按预期方式工作。 选择下一步。
复制并保留令牌,供稍后使用。 选择“完成”并退出该向导。 返回到 SIEM 页面以查看添加到表中的 SIEM 代理。 之后连接它前,它将显示为“已创建”。
注意
你创建的任何令牌都会绑定到创建该令牌的管理员。 这意味着如果从 Defender for Cloud Apps 删除管理员用户,则令牌将不再有效。 通用 SIEM 令牌提供唯一所需资源的只读权限。 此令牌不授予任何其他权限。
步骤 2:下载 JAR 文件并在服务器上运行
在接受软件许可条款后,在 Microsoft 下载中心中下载 .zip 文件并解压缩该文件。
在服务器上运行所提取的文件:
java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN
注意
- 文件名称可能根据 SIEM 代理的版本而有所不同。
- 括号 [] 中的参数为可选,应仅在相关时使用。
- 建议在服务器启动期间运行 JAR。
- Windows:作为计划任务运行,确保将任务配置为“运行用户是否已登录”,并取消选中“如果运行超时,则停止任务”复选框。
- Linux:使用 <
a0/> 将 run 命令添加到 rc.local 文件。 例如: java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN &
可使用以下变量:
- DIRNAME 是想要用于本地代理调试日志的目录路径。
- ADDRESS[:PORT] 是代理服务器用于连接到 Internet 的地址和端口。
- TOKEN 是在之前步骤中复制的 SIEM 代理令牌。
若需要帮助,可随时键入 -h。
活动日志示例
下面展示了发送到 SIEM 的示例活动日志:
2017-11-22T17:50:04.000Z CEF:0|MCAS|SIEM_Agent|0.111.85|EVENT_CATEGORY_LOGOUT|Log out|0|externalId=1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0 rt=1511373004000 start=1511373004000 end=1511373004000 msg=Log out suser=admin@contoso.com destinationServiceName=ServiceNow dvc=13.82.149.151 requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
2017-11-28T19:40:15.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_VIEW_REPORT|View report|0|externalId=1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a rt=1511898015000 start=1511898015000 end=1511898015000 msg=View report: ServiceNow Report 23 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=23,sys_report,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
2017-11-28T19:25:34.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798 rt=1511897134000 start=1511897134000 end=1511897134000 msg=Delete object: ServiceNow Object f5122008db360300906ff34ebf96198a suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
2017-11-27T20:40:14.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_CREATE_USER|Create user|0|externalId=1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c rt=1511815214000 start=1511815214000 end=1511815214000 msg=Create user: user 747518c0db360300906ff34ebf96197c suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,747518c0db360300906ff34ebf96197c,sys_user,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
2017-11-27T20:41:20.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_DELETE_USER|Delete user|0|externalId=1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383 rt=1511815280000 start=1511815280000 end=1511815280000 msg=Delete user: user 233490c0db360300906ff34ebf9619ef suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,233490c0db360300906ff34ebf9619ef,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
2017-11-28T19:24:55.000Z LAB-EUW-ARCTEST CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897117617_5be018ee-f676-4473-a9b5-5982527409be rt=1511897095000 start=1511897095000 end=1511897095000 msg=Delete object: ServiceNow Object b1709c40db360300906ff34ebf961923 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897117617_5be018ee-f676-4473-a9b5-5982527409be,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
下面的文本是警报日志文件示例:
2017-07-15T20:42:30.531Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|myPolicy|3|externalId=596a7e360c204203a335a3fb start=1500151350531 end=1500151350531 msg=Activity policy ''myPolicy'' was triggered by ''admin@box-contoso.com'' suser=admin@box-contoso.com destinationServiceName=Box cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596a7e360c204203a335a3fb cs2Label=uniqueServiceAppIds cs2=APPID_BOX cs3Label=relatedAudits cs3=1500151288183_acc891bf-33e1-424b-a021-0d4370789660 cs4Label=policyIDs cs4=59f0ab82f797fa0681e9b1c7
2017-07-16T09:36:26.550Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b339b0c204203a33a51ae start=1500197786550 end=1500197786550 msg=Activity policy ''test-activity-policy'' was triggered by ''user@contoso.com'' suser=user@contoso.com destinationServiceName=Salesforce cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b339b0c204203a33a51ae cs2Label=uniqueServiceAppIds cs2=APPID_SALESFORCE cs3Label=relatedAudits cs3=1500197720691_b7f6317c-b8de-476a-bc8f-dfa570e00349 cs4Label=policyIDs cs4=
2017-07-16T09:17:03.361Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy3|3|externalId=596b2fd70c204203a33a3eeb start=1500196623361 end=1500196623361 msg=Activity policy ''test-activity-policy3'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft 365 cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eeb cs2Label=uniqueServiceAppIds cs2=APPID_O365 cs3Label=relatedAudits cs3=1500196549157_a0e01f8a-e29a-43ae-8599-783c1c11597d cs4Label=policyIDs cs4=
2017-07-16T09:17:15.426Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b2fd70c204203a33a3eec start=1500196635426 end=1500196635426 msg=Activity policy ''test-activity-policy'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft 365 admin center cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eec cs2Label=uniqueServiceAppIds cs2=APPID_O365_PORTAL cs3Label=relatedAudits cs3=1500196557398_3e102b20-d9fa-4f66-b550-8c7a403bb4d8 cs4Label=policyIDs cs4=59f0ab35f797fa9811e9b1c7
2017-07-16T09:17:46.290Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy4|3|externalId=596b30200c204203a33a4765 start=1500196666290 end=1500196666290 msg=Activity policy ''test-activity-policy4'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft Exchange Online cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b30200c204203a33a4765 cs2Label=uniqueServiceAppIds cs2=APPID_OUTLOOK cs3Label=relatedAudits cs3=1500196587034_a8673602-7e95-46d6-a1fe-c156c4709c5d cs4Label=policyIDs cs4=
2017-07-16T09:41:04.369Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy2|3|externalId=596b34b10c204203a33a5240 start=1500198064369 end=1500198064369 msg=Activity policy ''test-activity-policy2'' was triggered by ''user2@test15-adallom.com'' suser=user2@test15-adallom.com destinationServiceName=Google cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b34b10c204203a33a5240 cs2Label=uniqueServiceAppIds cs2=APPID_33626 cs3Label=relatedAudits cs3=1500197996117_fd71f265-1e46-4f04-b372-2e32ec874cd3 cs4Label=policyIDs cs4=
CEF 格式的示例 Defender for Cloud Apps 警报
| 适用于 | CEF 字段名称 | 说明 |
|---|---|---|
| 活动/警报 | start | 活动或警报时间戳 |
| 活动/警报 | end | 活动或警报时间戳 |
| 活动/警报 | rt | 活动或警报时间戳 |
| 活动/警报 | msg | 活动或警报说明,如门户中所示 |
| 活动/警报 | suser | 活动或警报主题用户 |
| 活动/警报 | destinationServiceName | 活动或警报原始应用,例如,Microsoft 365、Sharepoint、Box。 |
| 活动/警报 | cs<X>Label | 每个标签都具有不同的含义,但标签本身已对其进行了说明,例如,targetObjects。 |
| 活动/警报 | cs<X> | 与标签相对应的信息(每个标签示例的活动或警报的目标用户)。 |
| 活动 | EVENT_CATEGORY_* | 活动的高级别类别 |
| 活动 | <ACTION> | 活动类型,如门户中所示 |
| 活动 | externalId | 事件 ID |
| 活动 | dvc | 客户端设备的 IP |
| 活动 | requestClientApplication | 客户端设备的用户代理 |
| 警报 | <警报类型> | 例如“ALERT_CABINET_EVENT_MATCH_AUDIT” |
| 警报 | <name> | 匹配的策略名称 |
| 警报 | externalId | 警报 ID |
| 警报 | src | 客户端设备的 IPv4 地址 |
| 警报 | c6a1 | 客户端设备的 IPv6 地址 |
步骤 3:验证 SIEM 代理工作是否正常
请确保 门户中的 SIEM 代理状态不是“连接错误”,也不是“已断开连接”并且没有任何代理通知。 如果连接断开超过两个小时,它将显示为连接错误。 如果连接断开超过 12 小时,状态将显示为已断开。
相反,状态应为“已连接”,如下所示:
在 Syslog/SIEM 服务器中,请确保看到来自 Defender for Cloud Apps 的活动和警报。
重新生成令牌
如果令牌丢失,始终可以通过选择表中 SIEM 代理行末尾的三个点重新生成令牌。 选择“重新生成令牌”以获取新令牌。
编辑 SIEM 代理
要编辑 SIEM 代理,请选择表中 SIEM 代理行末尾的三个点,然后选择“编辑”。 编辑 SIEM 代理时,无需再次运行 .jar 文件,它会自动更新。
删除 SIEM 代理
要删除 SIEM 代理,请选择表中 SIEM 代理行末尾的三个点,然后选择“删除”。
后续步骤
如果遇到任何问题,我们随时提供帮助。 要获取产品问题的帮助或支持,请开立支持票证。