一般 SIEM 整合

  • 發行項

您可以整合 Microsoft Defender for Cloud Apps 與泛型 SIEM 伺服器,以集中監視來自連線應用程式的警示及活動。 隨著連線應用程式支援的新活動與事件,Microsoft Defender for Cloud Apps 也會隨之推出對應的支援。 與 SIEM 服務整合可讓您進一步保護雲端應用程式,同時維護一般安全性工作流程、自動化安全性程序,以及將雲端型事件與內部部署事件相互關聯。 Microsoft Defender for Cloud Apps SIEM 代理程式會在您的伺服器上執行,並從 Microsoft Defender for Cloud Apps 提取警示和活動,再將其串流至 SIEM 伺服器。

當您第一次將 SIEM 與 適用於雲端的 Defender Apps 整合時,過去兩天的活動和警示將會轉送至 SIEM 和所有活動和警示(根據您選取的篩選條件),然後開始。 如果您延長此功能的停用期間,然後重新啟用,系統會轉寄過去兩天內的警示和活動,接著轉寄那時候開始的所有警示和活動。

其他整合解決方案包括:

  • Microsoft Sentinel - 適用於原生整合的可調整、雲端原生 SIEM 和 SOAR。 如需與 Microsoft Sentinel 整合的相關信息,請參閱 Microsoft Sentinel 整合
  • Microsoft 安全性圖形 API - 提供單一程序設計介面來連接多個安全性提供者的中繼服務(或訊息代理程式)。 如需詳細資訊,請參閱使用 Microsoft Graph 安全性 API 的安全性解決方案整合。

重要

如果您要在 適用於雲端的 Defender Apps 中整合 適用於身分識別的 Microsoft Defender,且這兩個服務都已設定為將警示通知傳送至 SIEM,您就會開始收到相同警示的重複 SIEM 通知。 每個服務都會發出一個警示,而且會有不同的警示標識符。 若要避免重複和混淆,請務必處理案例。 例如,決定您想要執行警示管理的位置,然後停止從其他服務傳送 SIEM 通知。

一般 SIEM 整合架構

SIEM 代理程式會部署在組織的網路中。 部署和設定時,它會使用 適用於雲端的 Defender Apps RESTful API 來提取已設定的數據類型(警示和活動)。 之後,便會透過連接埠 443 上加密的 HTTPS 通道進行流量傳輸。

SIEM 代理程式從 適用於雲端的 Defender Apps 擷取數據之後,它會將 Syslog 訊息傳送至本機 SIEM。 適用於雲端的 Defender 應用程式會使用您在安裝期間所提供的網路組態(TCP 或 UDP 搭配自定義埠)。

SIEM integration architecture.

支援的 SIEM

適用於雲端的 Defender Apps 目前支援 Micro Focus ArcSight 和一般 CEF。

如何整合

與 SIEM 整合是透過三個步驟完成︰

  1. 在 適用於雲端的 Defender Apps 入口網站中設定它。
  2. 下載 JAR 檔案,並在您的伺服器上執行該檔案。
  3. 驗證 SIEM 代理程式正在運作。

必要條件

  • 標準 Windows 或 Linux 伺服器 (可以是虛擬機器)。
  • OS:Windows 或 Linux
  • CPU:2
  • 磁碟空間:20 GB
  • RAM:2 GB
  • 伺服器必須執行 Java 8。 不支援舊版。
  • 傳輸層安全性 (TLS) 1.2+。 不支援舊版。
  • 網路需求中所述,設定您的防火牆

與 SIEM 整合

步驟 1:在 適用於雲端的 Defender Apps 入口網站中設定

  1. 在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [ 雲端應用程式]。

  2. 在 [系統] 下,選擇 [SIEM 代理程式]。 選取 [新增 SIEM 代理程式],然後選擇 [ 一般 SIEM]。

    Screenshot showing Add SIEM integration menu.

  3. 在精靈中,選取 [ 啟動精靈]。

  4. 在精靈中,填入名稱,並選取 SIEM 格式,然後設定與該格式相關的任何 [進階設定]。 選取 [下一步]。

    General SIEM settings.

  5. 輸入 [遠端 Syslog 主機] 的 IP 位址或主機名稱,以及 [Syslog 連接埠號碼]。 選取 TCP 或 UDP 作為遠端 Syslog 通訊協定。 如果您沒有這些詳細資料,則可以與安全性系統管理員合作,來取得這些詳細資料。 選取 [下一步]。

    Remote Syslog settings.

  6. 針對 [警示] 和 [活動] 選取您想要匯出至 SIEM 伺服器的資料類型。 使用滑桿來啟用和停用它們,預設會選取所有項目。 您可以使用 [套用至] 下拉式清單來設定篩選條件,以便只將特定警示和活動傳送至 SIEM 伺服器。 選取 [編輯並預覽結果 ],檢查篩選是否如預期般運作。 選取 [下一步]。

    Data types settings.

  7. 複製並儲存權杖,以供稍後使用。 選取 [ 完成 ],然後離開精靈。 回到 SIEM 頁面,以查看您在資料表中新增的 SIEM 代理程式。 它會顯示它已 建立 ,直到稍後連線為止。

注意

您建立的任何權杖皆會繫結到建立該權杖的系統管理員。 這表示如果系統管理員使用者從 適用於雲端的 Defender Apps 中移除,令牌將不再有效。 泛型 SIEM 令牌提供唯一必要資源的唯讀許可權。 沒有其他許可權被授與此令牌的一部分。

步驟 2:下載 JAR 檔案,並在您的伺服器上執行該檔案

  1. Microsoft 下載中心 \(英文\) 接受軟體授權條款之後,請下載 .zip 檔案並將它解壓縮。

  2. 執行伺服器上已解壓縮的檔案:

    java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN

注意

  • 根據 SIEM 代理程式的版本,檔名可能會不同。
  • 方括弧 [ ] 中的參數是選擇性的,應只在相關情況下使用。
  • 建議在伺服器啟動期間執行 JAR。
    • Windows:以排程工作的形式執行,並確定您已將工作設定為 [執行使用者是否登入 ],而且取消核取 [如果工作執行的時間超過 複選框,請停止工作]。
    • Linux:使用 和 將 run 命令新增至 rc.local 檔案。 例如:java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN &

使用下列變數的位置:

  • DIRNAME 是您想要用於本機代理程式偵錯記錄的目錄路徑。
  • ADDRESS[:P ORT] 是伺服器用來連線到因特網的 Proxy 伺服器位址和埠。
  • TOKEN 是您在前一個步驟中所複製的 SIEM 代理程式權杖。

您可以隨時輸入-h 來取得說明。

範例活動記錄

以下是傳送到 SIEM 的活動記錄範例:

2017-11-22T17:50:04.000Z CEF:0|MCAS|SIEM_Agent|0.111.85|EVENT_CATEGORY_LOGOUT|Log out|0|externalId=1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0 rt=1511373004000 start=1511373004000 end=1511373004000 msg=Log out suser=admin@contoso.com destinationServiceName=ServiceNow dvc=13.82.149.151 requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:40:15.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_VIEW_REPORT|View report|0|externalId=1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a rt=1511898015000 start=1511898015000 end=1511898015000 msg=View report: ServiceNow Report 23 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=23,sys_report,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:25:34.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798 rt=1511897134000 start=1511897134000 end=1511897134000 msg=Delete object: ServiceNow Object f5122008db360300906ff34ebf96198a suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-27T20:40:14.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_CREATE_USER|Create user|0|externalId=1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c rt=1511815214000 start=1511815214000 end=1511815214000 msg=Create user: user 747518c0db360300906ff34ebf96197c suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,747518c0db360300906ff34ebf96197c,sys_user,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-27T20:41:20.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_DELETE_USER|Delete user|0|externalId=1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383 rt=1511815280000 start=1511815280000 end=1511815280000 msg=Delete user: user 233490c0db360300906ff34ebf9619ef suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,233490c0db360300906ff34ebf9619ef,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:24:55.000Z LAB-EUW-ARCTEST CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897117617_5be018ee-f676-4473-a9b5-5982527409be rt=1511897095000 start=1511897095000 end=1511897095000 msg=Delete object: ServiceNow Object b1709c40db360300906ff34ebf961923 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897117617_5be018ee-f676-4473-a9b5-5982527409be,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

下列文字是警示記錄檔範例:

2017-07-15T20:42:30.531Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|myPolicy|3|externalId=596a7e360c204203a335a3fb start=1500151350531 end=1500151350531 msg=Activity policy ''myPolicy'' was triggered by ''admin@box-contoso.com'' suser=admin@box-contoso.com destinationServiceName=Box cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596a7e360c204203a335a3fb cs2Label=uniqueServiceAppIds cs2=APPID_BOX cs3Label=relatedAudits cs3=1500151288183_acc891bf-33e1-424b-a021-0d4370789660 cs4Label=policyIDs cs4=59f0ab82f797fa0681e9b1c7

2017-07-16T09:36:26.550Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b339b0c204203a33a51ae start=1500197786550 end=1500197786550 msg=Activity policy ''test-activity-policy'' was triggered by ''user@contoso.com'' suser=user@contoso.com destinationServiceName=Salesforce cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b339b0c204203a33a51ae cs2Label=uniqueServiceAppIds cs2=APPID_SALESFORCE cs3Label=relatedAudits cs3=1500197720691_b7f6317c-b8de-476a-bc8f-dfa570e00349 cs4Label=policyIDs cs4=

2017-07-16T09:17:03.361Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy3|3|externalId=596b2fd70c204203a33a3eeb start=1500196623361 end=1500196623361 msg=Activity policy ''test-activity-policy3'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft 365 cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eeb cs2Label=uniqueServiceAppIds cs2=APPID_O365 cs3Label=relatedAudits cs3=1500196549157_a0e01f8a-e29a-43ae-8599-783c1c11597d cs4Label=policyIDs cs4=

2017-07-16T09:17:15.426Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b2fd70c204203a33a3eec start=1500196635426 end=1500196635426 msg=Activity policy ''test-activity-policy'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft 365 admin center cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eec cs2Label=uniqueServiceAppIds cs2=APPID_O365_PORTAL cs3Label=relatedAudits cs3=1500196557398_3e102b20-d9fa-4f66-b550-8c7a403bb4d8 cs4Label=policyIDs cs4=59f0ab35f797fa9811e9b1c7

2017-07-16T09:17:46.290Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy4|3|externalId=596b30200c204203a33a4765 start=1500196666290 end=1500196666290 msg=Activity policy ''test-activity-policy4'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft Exchange Online cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b30200c204203a33a4765 cs2Label=uniqueServiceAppIds cs2=APPID_OUTLOOK cs3Label=relatedAudits cs3=1500196587034_a8673602-7e95-46d6-a1fe-c156c4709c5d cs4Label=policyIDs cs4=

2017-07-16T09:41:04.369Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy2|3|externalId=596b34b10c204203a33a5240 start=1500198064369 end=1500198064369 msg=Activity policy ''test-activity-policy2'' was triggered by ''user2@test15-adallom.com'' suser=user2@test15-adallom.com destinationServiceName=Google cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b34b10c204203a33a5240 cs2Label=uniqueServiceAppIds cs2=APPID_33626 cs3Label=relatedAudits cs3=1500197996117_fd71f265-1e46-4f04-b372-2e32ec874cd3 cs4Label=policyIDs cs4=

CEF 格式的範例 適用於雲端的 Defender 應用程式警示

適用於 CEF 欄位名稱 描述
活動/警示 start 活動或警示的時間戳記
活動/警示 end 活動或警示的時間戳記
活動/警示 rt 活動或警示的時間戳記
活動/警示 msg 如入口網站中顯示的活動或警示描述
活動/警示 suser 活動或警示主體使用者
活動/警示 destinationServiceName 活動或警示源自應用程式,例如 Microsoft 365、Sharepoint、Box。
活動/警示 cs<X>Label 每個標籤具有不同的意義,但標籤本身可說明其意義,例如 targetObjects。
活動/警示 cs<X> 對應到標籤的資訊 (如標籤範例所示的活動或警示目標使用者)。
活動 EVENT_CATEGORY_* 活動的高層級類別
活動 <動作> 如入口網站中顯示的活動類型
活動 externalId 事件識別碼
活動 dvc 用戶端裝置的 IP
活動 requestClientApplication 用戶端裝置的使用者代理程式
警示 <警示類型> 例如,“ALERT_CABINET_EVENT_MATCH_AUDIT”
警示 <name> 符合的原則名稱
警示 externalId 警示識別碼
警示 src 用戶端裝置的 IPv4 位址
警示 c6a1 用戶端裝置的 IPv6 位址

步驟 3:驗證 SIEM 代理程式正在運作

  1. 請確定入口網站中 SIEM 代理程式的狀態未 連線 錯誤已中斷連線,而且沒有代理程式通知。 如果連線關閉超過兩個小時,則其會顯示為 [連線錯誤]。 如果連線關閉超過 12 個小時,則狀態會顯示為 [已中斷連線]

    SIEM disconnected.

    相反地,狀態應該為已連線,如下所示:

    SIEM connected.

  2. 在您的 Syslog/SIEM 伺服器中,確定您看到來自 適用於雲端的 Defender Apps 的活動和警示。

重新產生權杖

如果您遺失令牌,您一律可以選取數據表中 SIEM 代理程式數據列結尾的三個點來重新產生令牌。 選取 [重新產生權杖] 取得新權杖。

SIEM - regenerate token.

編輯 SIEM 代理程式

若要編輯 SIEM 代理程式,請選取資料表中 SIEM 代理程式數據列結尾的三個點,然後選取 [ 編輯]。 如果您編輯 SIEM 代理程式,則不需要重新執行 .jar 檔案,它會自動更新。

SIEM - edit.

刪除 SIEM 代理程式

若要刪除 SIEM 代理程式,請選取資料表中 SIEM 代理程式數據列結尾的三個點,然後選取 [ 刪除]。

SIEM - delete.

下一步

針對 SIEM 整合問題進行疑難排解

如果您遇到任何問題,我們會在這裡提供説明。 若要取得產品問題的協助或支援,請 開啟支援票證