一般 SIEM 整合

重要事項

淘汰通知：Microsoft Defender for Cloud Apps SIEM 代理程式

作為跨 Microsoft Defender 工作負載進行的融合程式的一部分，Microsoft Defender for Cloud Apps SIEM 代理程式將從 2025 年 11 月開始被取代。

現有的 Microsoft Defender for Cloud Apps SIEM 代理程式將繼續依原樣運作，直到該時間為止。 自 2025 年 6 月 19 日起， 無法設定新的 SIEM 代理程式，但 Microsoft Sentinel 代理程式整合 (預覽版) 仍將受到支援，並且仍可新增。

建議您轉換至支援管理活動的 API，並從多個工作負載警示資料。 這些 API 可增強安全性監視和管理，並使用來自多個 Microsoft Defender 工作負載的數據提供其他功能。

若要確保持續性和存取目前透過 Microsoft Defender for Cloud Apps SIEM 代理程式提供的資料，建議您轉換至下列支援的 API：

• 如需警示和活動，請參閱：Microsoft Defender 全面偵測回應 串流 API。
• 如需 Microsoft Entra ID Protection 登入事件，請參閱進階搜捕架構中的 IdentityLogonEvents 資料表。
• 如需 Microsoft Graph 安全性警示 API，請參閱： 清單alerts_v2
• 若要檢視Microsoft Defender 全面偵測回應事件 API 中的Microsoft Defender for Cloud Apps警示資料，請參閱 Microsoft Defender 全面偵測回應事件 API 和事件資源類型

您可以將 Microsoft Defender for Cloud Apps 與一般 SIEM 伺服器整合，以集中監視來自連線應用程式的警示和活動。 當連線的應用程式支援新的活動和事件時，它們的可見度會推出至 Microsoft Defender for Cloud Apps。 與 SIEM 服務整合可讓您更好地保護雲端應用程式，同時維護通常的安全工作流程、自動化安全程序以及在雲端和內部部署事件之間建立關聯。 Microsoft Defender for Cloud Apps SIEM 代理程式會在您的伺服器上執行，並從適用於雲端的 Microsoft Defender Defender Apps 提取警示和活動，並將其串流至 SIEM 伺服器。

當您第一次將 SIEM 與 Defender for Cloud Apps 整合時，過去兩天的活動和警示將會轉送至 SIEM，而所有活動和警示都會根據您從那時起選取的篩選條件) (。 如果您長時間停用此功能，然後重新啟用，則會轉送過去兩天的警示和活動，然後轉送此後的所有警示和活動。

其他整合解決方案包括：

• Microsoft Sentinel - 可調整的雲端原生 SIEM 和 SOAR，用於原生整合。 如需與 Microsoft Sentinel 整合的相關資訊，請參閱 Microsoft Sentinel 整合。
• Microsoft 安全性圖形 API - 提供單一程式設計介面來連線多個安全性提供者的中介服務 (或代理程式) 。 如需詳細資訊，請參閱使用 Microsoft Graph 安全性 API 進行安全性解決方案整合。

一般 SIEM 整合架構

SIEM 代理程式會部署在您組織的網路中。 部署和設定時，它會提取使用Defender for Cloud Apps RESTful API) (警示和活動所設定的資料類型。 然後，流量通過埠443上的加密HTTPS通道傳送。

一旦 SIEM 代理程式從 Defender for Cloud Apps 擷取資料，它就會將 Syslog 訊息傳送至您的本機 SIEM。 Defender for Cloud Apps 會使用您在設定期間提供的網路組態 (TCP 或 UDP 搭配自訂連接埠) 。

支援的 SIEM

Defender for Cloud Apps 目前支援 Micro Focus ArcSight 和一般 CEF。

如何整合

與 SIEM 整合可透過三個步驟完成：

1. 在 Defender for Cloud Apps 中設定它。
2. 下載 JAR 檔案並在您的伺服器上執行它。
3. 驗證 SIEM 代理程式是否正常運作。

必要條件

• 標準 Windows 或 Linux 伺服器 (可以是虛擬機器) 。
• 作業系統：Windows 或 Linux
• 中央處理器：2
• 磁碟空間：20 GB
• 內存：2 GB
• 伺服器必須執行 Java 8。 不支援舊版。
• 傳輸層安全性 (TLS) 1.2+。 不支援舊版。
• 設定防火牆，如網路需求中所述

與您的 SIEM 整合

步驟 1：在 Defender for Cloud Apps 中設定

1. 在 Microsoft Defender 入口網站中，選取 [設定]。 然後選擇 [雲端應用程式]。

2. 在 [系統] 下，選擇 [SIEM 代理程式]。 選取 [新增 SIEM 代理程式]，然後選擇 [一般 SIEM]。

   

3. 在精靈中，選取 [啟動精靈]。

4. 在精靈中，填寫名稱，然後 選取您的 SIEM 格式 ，然後設定與該格式相關的任何 進階設定 。 選取 [下一步]。

   

5. 輸入 遠端系統日誌主機 的IP地址或主機名以及 系統日誌埠號。 選擇TCP或UDP作為遠端系統日誌協定。 如果您沒有這些詳細資料，您可以與安全性管理員合作取得這些詳細資料。 選取 [下一步]。

   

6. 選取您要匯出至 SIEM 伺服器以取得 警示 和 活動的資料類型。 使用滑桿啟用和停用它們，預設情況下，所有內容都處於選中狀態。 您可以使用 [套用至 ] 下拉式清單來設定篩選器，以僅將特定警示和活動傳送至 SIEM 伺服器。 選取 [編輯並預覽結果] 以檢查篩選器是否如預期般運作。 選取 [下一步]。

   

7. 複製權杖並儲存以供日後使用。 選取 [完成] ，然後離開精靈。 返回 SIEM 頁面，查看您在表格中新增的 SIEM 代理程式。 它顯示它已 創建 ，直到稍後連接。

注意事項

您建立的任何權杖都會繫結至建立權杖的管理員。 這表示如果系統管理員使用者從 Defender for Cloud Apps 中移除，權杖將不再有效。 一般 SIEM 權杖會為唯一必要的資源提供唯讀權限。 不會授予此權杖的一部分其他許可權。

第 2 步：下載 JAR 檔案並在伺服器上運行它

1. 在 Microsoft下載中心，接受軟體授權條款後，下載 .zip 檔案並解壓縮。

2. 在您的伺服器上執行解壓縮的檔案：

   java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN

注意事項

• 檔案名稱可能會因 SIEM 代理程式的版本而異。
• 括弧 [ ] 中的參數是選擇性的，只有在相關時才應使用。
• 我們建議在伺服器啟動期間執行 JAR。
  • Windows：以排程工作的形式執行，並確定您將工作設定為 [無論使用者是否登入都執行] ，並取消核取 [如果執行時間超過則停止工作] 核取方塊。
  • Linux：將帶有 & 的執行命令新增至 rc.local 檔案。 例如：java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN &

使用下列變數的位置：

• DIRNAME 是您想要用於本機代理程式偵錯記錄的目錄路徑。
• ADDRESS[:P ORT] 是伺服器用來連線網際網路的 Proxy 伺服器位址和連接埠。
• TOKEN 是您在上一個步驟中複製的 SIEM 代理程式權杖。

您可以隨時鍵入 -h 以取得協助。

範例活動記錄

以下是傳送至 SIEM 的範例活動記錄：

2017-11-22T17:50:04.000Z CEF:0|MCAS|SIEM_Agent|0.111.85|EVENT_CATEGORY_LOGOUT|Log out|0|externalId=1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0 rt=1511373004000 start=1511373004000 end=1511373004000 msg=Log out suser=admin@contoso.com destinationServiceName=ServiceNow dvc=13.82.149.151 requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:40:15.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_VIEW_REPORT|View report|0|externalId=1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a rt=1511898015000 start=1511898015000 end=1511898015000 msg=View report: ServiceNow Report 23 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=23,sys_report,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:25:34.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798 rt=1511897134000 start=1511897134000 end=1511897134000 msg=Delete object: ServiceNow Object f5122008db360300906ff34ebf96198a suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-27T20:40:14.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_CREATE_USER|Create user|0|externalId=1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c rt=1511815214000 start=1511815214000 end=1511815214000 msg=Create user: user 747518c0db360300906ff34ebf96197c suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,747518c0db360300906ff34ebf96197c,sys_user,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-27T20:41:20.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_DELETE_USER|Delete user|0|externalId=1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383 rt=1511815280000 start=1511815280000 end=1511815280000 msg=Delete user: user 233490c0db360300906ff34ebf9619ef suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,233490c0db360300906ff34ebf9619ef,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:24:55.000Z LAB-EUW-ARCTEST CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897117617_5be018ee-f676-4473-a9b5-5982527409be rt=1511897095000 start=1511897095000 end=1511897095000 msg=Delete object: ServiceNow Object b1709c40db360300906ff34ebf961923 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897117617_5be018ee-f676-4473-a9b5-5982527409be,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

下列文字是警示記錄檔範例：

2017-07-15T20:42:30.531Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|myPolicy|3|externalId=596a7e360c204203a335a3fb start=1500151350531 end=1500151350531 msg=Activity policy ''myPolicy'' was triggered by ''admin@box-contoso.com'' suser=admin@box-contoso.com destinationServiceName=Box cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596a7e360c204203a335a3fb cs2Label=uniqueServiceAppIds cs2=APPID_BOX cs3Label=relatedAudits cs3=1500151288183_acc891bf-33e1-424b-a021-0d4370789660 cs4Label=policyIDs cs4=59f0ab82f797fa0681e9b1c7

2017-07-16T09:36:26.550Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b339b0c204203a33a51ae start=1500197786550 end=1500197786550 msg=Activity policy ''test-activity-policy'' was triggered by ''user@contoso.com'' suser=user@contoso.com destinationServiceName=Salesforce cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b339b0c204203a33a51ae cs2Label=uniqueServiceAppIds cs2=APPID_SALESFORCE cs3Label=relatedAudits cs3=1500197720691_b7f6317c-b8de-476a-bc8f-dfa570e00349 cs4Label=policyIDs cs4=

2017-07-16T09:17:03.361Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy3|3|externalId=596b2fd70c204203a33a3eeb start=1500196623361 end=1500196623361 msg=Activity policy ''test-activity-policy3'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft 365 cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eeb cs2Label=uniqueServiceAppIds cs2=APPID_O365 cs3Label=relatedAudits cs3=1500196549157_a0e01f8a-e29a-43ae-8599-783c1c11597d cs4Label=policyIDs cs4=

2017-07-16T09:17:15.426Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b2fd70c204203a33a3eec start=1500196635426 end=1500196635426 msg=Activity policy ''test-activity-policy'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft 365 admin center cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eec cs2Label=uniqueServiceAppIds cs2=APPID_O365_PORTAL cs3Label=relatedAudits cs3=1500196557398_3e102b20-d9fa-4f66-b550-8c7a403bb4d8 cs4Label=policyIDs cs4=59f0ab35f797fa9811e9b1c7

2017-07-16T09:17:46.290Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy4|3|externalId=596b30200c204203a33a4765 start=1500196666290 end=1500196666290 msg=Activity policy ''test-activity-policy4'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft Exchange Online cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b30200c204203a33a4765 cs2Label=uniqueServiceAppIds cs2=APPID_OUTLOOK cs3Label=relatedAudits cs3=1500196587034_a8673602-7e95-46d6-a1fe-c156c4709c5d cs4Label=policyIDs cs4=

2017-07-16T09:41:04.369Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy2|3|externalId=596b34b10c204203a33a5240 start=1500198064369 end=1500198064369 msg=Activity policy ''test-activity-policy2'' was triggered by ''user2@test15-adallom.com'' suser=user2@test15-adallom.com destinationServiceName=Google cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b34b10c204203a33a5240 cs2Label=uniqueServiceAppIds cs2=APPID_33626 cs3Label=relatedAudits cs3=1500197996117_fd71f265-1e46-4f04-b372-2e32ec874cd3 cs4Label=policyIDs cs4=

CEF 格式的 Defender for Cloud Apps 警示範例

適用於	CEF 欄位名稱	描述
活動/警報	開	活動或警示時間戳記
活動/警報	端	活動或警示時間戳記
活動/警報	RT	活動或警示時間戳記
活動/警報	msg	入口網站中顯示的活動或警示描述
活動/警報	用戶	活動或警示主體使用者
活動/警報	目的地服務名稱	活動或警示來源應用程式，例如 Microsoft 365、Sharepoint、Box。
活動/警報	cs<X>標籤	每個標籤都有不同的意義，但標籤本身會解釋它，例如 targetObjects。
活動/警報	CS<X>	與標籤相對應的資訊 (活動或警示的目標使用者，如標籤範例) 。
活動	EVENT_CATEGORY_*	活動的高階類別
活動	<動作>	活動類型，如入口網站中所示
活動	外部標識	事件識別碼
活動	視頻	用戶端裝置的 IP
活動	requestClientApplication	用戶端裝置的使用者代理程式
警示	<警示類型>	例如，“ALERT_CABINET_EVENT_MATCH_AUDIT”
警示	<名字>	相符的原則名稱
警示	外部標識	警示標識碼
警示	來源	用戶端裝置的 IPv4 位址
警示	C6A1	用戶端裝置的 IPv6 位址

步驟 3：驗證 SIEM 代理程式是否正常運作

1. 請確定入口網站中 SIEM 代理程式的狀態不是 [連線錯誤 ] 或 [ 中斷連線 ]，而且沒有代理程式通知。 如果連線關閉超過兩小時，狀態會變更為 連線錯誤。 如果連線關閉超過 12 小時，狀態會變更為 [ 已中斷連線]。

   

   相反地，狀態應該已連線，如下所示：

   

2. 在您的 Syslog/SIEM 伺服器中，請確定您看到來自 Defender for Cloud Apps 的活動和警示。

重新產生您的權杖

如果您遺失權杖，您隨時可以選取表格中 SIEM 代理程式資料列結尾的三個點來重新產生權杖。 選取 [重新產生權杖 ] 以取得新的權杖。

編輯您的 SIEM 代理程式

若要編輯 SIEM 代理程式，請選取表格中 SIEM 代理程式資料列結尾的三個點，然後選取 [編輯]。 如果您編輯 SIEM 代理程式，則不需要重新執行 .jar 檔案，它會自動更新。

刪除您的 SIEM 代理程式

若要刪除 SIEM 代理程式，請選取表格中 SIEM 代理程式資料列結尾的三個點，然後選取 [刪除]。

後續步驟

針對 SIEM 整合問題進行疑難排解

如果您遇到任何問題，我們隨時為您提供協助。 若要取得產品問題的協助或支援，請 開啟支援票證。