Integración de SIEM genérica

Nota

• Hemos cambiado el nombre de Microsoft Cloud App Security. Ahora se llama Microsoft Defender for Cloud Apps. En las próximas semanas, actualizaremos las capturas de pantalla e instrucciones aquí y en las páginas relacionadas. Para obtener más información sobre el cambio, consulte este anuncio. Para obtener más información sobre el cambio de nombre reciente de los servicios de seguridad de Microsoft, consulte el blog seguridad de Microsoft Ignite.

• Microsoft Defender for Cloud Apps ahora forma parte de Microsoft 365 Defender. El portal de Microsoft 365 Defender permite a los administradores de seguridad realizar sus tareas de seguridad en una ubicación. Esto simplificará los flujos de trabajo y agregará la funcionalidad de los demás servicios Microsoft 365 Defender. Microsoft 365 Defender será el hogar para supervisar y administrar la seguridad en las identidades, los datos, los dispositivos, las aplicaciones y la infraestructura de Microsoft. Para obtener más información sobre estos cambios, consulte Microsoft Defender for Cloud Apps en Microsoft 365 Defender.

Puede integrar Microsoft Defender for Cloud Apps con el servidor SIEM genérico para habilitar la supervisión centralizada de alertas y actividades desde aplicaciones conectadas. A medida que las aplicaciones conectadas admiten nuevas actividades y eventos, la visibilidad en ellas se implementa en Microsoft Defender for Cloud Apps. La integración de un servicio SIEM le permite proteger mejor sus aplicaciones de nube a la vez que mantiene el flujo de trabajo de seguridad habitual, automatizando así los procedimientos de seguridad y estableciendo correlaciones entre eventos basados en la nube y eventos locales. El agente SIEM de Microsoft Defender for Cloud Apps se ejecuta en el servidor y extrae alertas y actividades de Microsoft Defender for Cloud Apps y los transmite al servidor SIEM.

La primera vez que integre su SIEM con Defender for Cloud Aplicaciones, las actividades y las alertas de los últimos dos días se reenviarán al SIEM y a todas las actividades y alertas (según el filtro que seleccione) desde entonces. Si deshabilita esta característica durante un período prolongado y la habilita de nuevo, se reenviarán las alertas y las actividades de los dos últimos días, así como las que se produzcan a partir de entonces.

Entre las soluciones de integración adicionales se incluyen:

• Microsoft Sentinel : siEM y SOAR escalables nativos de la nube para la integración nativa. Para obtener información sobre la integración con Microsoft Sentinel, consulte Integración de Microsoft Sentinel.
• MICROSOFT Security Graph API : un servicio intermediario (o agente) que proporciona una única interfaz de programación para conectar varios proveedores de seguridad. Para obtener más información, consulte Integraciones de soluciones de seguridad con Microsoft Graph API para seguridad.

Importante

Si va a integrar Microsoft Defender for Identity en Defender for Cloud Aplicaciones y ambos servicios están configurados para enviar notificaciones de alerta a un SIEM, comenzará a recibir notificaciones SIEM duplicadas para la misma alerta. Se emitirá una alerta para todos los servicios y tendrán id. de alerta distintas. Para evitar la duplicación y confusión, asegúrese de controlar el escenario. Por ejemplo, decida dónde quiere realizar la administración de alertas y, a continuación, detenga las notificaciones SIEM que se envían desde el otro servicio.

Arquitectura de integración de SIEM genérica

El agente SIEM se implementa en la red de la organización. Cuando se implementa y configura, extrae los tipos de datos configurados (alertas y actividades) mediante Defender for Cloud Apps RESTful API. El tráfico se envía a través de un canal HTTPS cifrado en el puerto 443.

Una vez que el agente SIEM recupera los datos de Defender for Cloud Apps, envía los mensajes de Syslog a su SIEM local. Defender for Cloud Aplicaciones usa las configuraciones de red que proporcionó durante la instalación (TCP o UDP con un puerto personalizado).

SIEM admitidos

Defender for Cloud Apps admite actualmente Micro Focus ArcSight y CEF genérico.

Integración

La integración con SIEM se realiza en tres pasos:

1. Configúrelo en el portal de aplicaciones de Defender for Cloud.
2. Descarga del archivo JAR y ejecución en el servidor
3. Valide que el agente SIEM funcione.

Requisitos previos

• Servidor Windows o Linux estándar (puede ser una máquina virtual).
• Sistema operativo: Windows o Linux
• CPU: 2
• Espacio en disco: 20 GB
• RAM: 2 GB
• El servidor debe ejecutar Java 8. No se admiten las versiones anteriores.
• Seguridad de la capa de transporte (TLS) 1.2 y versiones posteriores. No se admiten las versiones anteriores.
• Configuración del firewall, tal como se describe en Requisitos de red

Integración con su SIEM

Paso 1: Configurarlo en el portal de aplicaciones de Defender for Cloud

1. En el portal Defender for Cloud Aplicaciones, en el engranaje Configuración, seleccione Extensiones de seguridad.

2. En la pestaña Agentes DE SIEM , seleccione "agregar" (+) y, a continuación, elija SIEM genérico.

   

3. En el asistente, seleccione Asistente para inicio.

4. En el asistente, asigne un nombre, seleccione el formato SIEM y establezca la Configuración avanzada que esté relacionada con ese formato. Seleccione Next (Siguiente).

   

5. Escriba la dirección IP o nombre de host del host de syslog remoto y el número de puerto de syslog. Seleccione TCP o UDP como protocolo de syslog remoto. Puede trabajar con el administrador de seguridad para obtener estos detalles si no los tiene. Seleccione Next (Siguiente).

   

6. Seleccione los tipos de datos que quiera exportar al servidor SIEM para Alertas y Actividades. Use el control deslizante para habilitarlas y deshabilitarlas; de forma predeterminada todo está seleccionado. Puede usar el menú desplegable Apply to (Aplicar a) para establecer filtros para enviar solo alertas y actividades específicas al servidor SIEM. Seleccione Editar y obtener una vista previa de los resultados para comprobar que el filtro funciona según lo previsto. Seleccione Next (Siguiente).

   

7. Copie el token y guárdelo para más adelante. Seleccione Finalizar y deje el Asistente. Vuelva a la página de SIEM para ver al agente SIEM que ha agregado en la tabla. Se mostrará que se crea hasta que se conecte más adelante.

Nota

Los tokens que se creen se enlazan al administrador que los haya creado. Esto significa que si el usuario administrador se quita de Defender for Cloud Aplicaciones, el token ya no será válido. Un token SIEM genérico proporciona permisos de solo lectura a los únicos recursos necesarios. No se concede ningún otro permiso a una parte de este token.

Paso 2: descarga del archivo JAR y ejecución en el servidor

1. En Centro de descarga de Microsoft, después de aceptar los términos de licencia del software, descargue el archivo .zip y descomprímalo.

2. Ejecute el archivo extraído en el servidor:

   java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN

Nota

• El nombre de archivo puede diferir dependiendo de la versión del agente SIEM.
• Los parámetros entre corchetes [ ] son opcionales y solo se deben usar si procede.
• Se recomienda ejecutar el archivo JAR mientras el servidor se inicia.
  • Windows: ejecute como una tarea programada y asegúrese de configurar la tarea para ejecutar si el usuario ha iniciado sesión o no y que desactiva la casilla Detener la tarea si se ejecuta más de lo que se ejecuta.
  • Linux: agregue el comando run con un símbolo & al archivo rc.local. Por ejemplo: java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN &

Se usan las variables siguientes:

• NOMBRE_DIRECTORIO es la ruta de acceso al directorio que quiere usar para los registros de depuración del agente local.
• ADDRESS[:P ORT] es la dirección del servidor proxy y el puerto que usa el servidor para conectarse a Internet.
• TOKEN es el token del agente SIEM que ha copiado en el paso anterior.

Puede escribir -h en cualquier momento para obtener ayuda.

Ejemplo de registros de actividad

Estos son registros de actividad de ejemplo que se envían al servidor SIEM:

2017-11-22T17:50:04.000Z CEF:0|MCAS|SIEM_Agent|0.111.85|EVENT_CATEGORY_LOGOUT|Log out|0|externalId=1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0 rt=1511373004000 start=1511373004000 end=1511373004000 msg=Log out suser=admin@contoso.com destinationServiceName=ServiceNow dvc=13.82.149.151 requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:40:15.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_VIEW_REPORT|View report|0|externalId=1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a rt=1511898015000 start=1511898015000 end=1511898015000 msg=View report: ServiceNow Report 23 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=23,sys_report,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:25:34.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798 rt=1511897134000 start=1511897134000 end=1511897134000 msg=Delete object: ServiceNow Object f5122008db360300906ff34ebf96198a suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-27T20:40:14.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_CREATE_USER|Create user|0|externalId=1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c rt=1511815214000 start=1511815214000 end=1511815214000 msg=Create user: user 747518c0db360300906ff34ebf96197c suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,747518c0db360300906ff34ebf96197c,sys_user,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-27T20:41:20.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_DELETE_USER|Delete user|0|externalId=1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383 rt=1511815280000 start=1511815280000 end=1511815280000 msg=Delete user: user 233490c0db360300906ff34ebf9619ef suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,233490c0db360300906ff34ebf9619ef,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:24:55.000Z LAB-EUW-ARCTEST CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897117617_5be018ee-f676-4473-a9b5-5982527409be rt=1511897095000 start=1511897095000 end=1511897095000 msg=Delete object: ServiceNow Object b1709c40db360300906ff34ebf961923 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897117617_5be018ee-f676-4473-a9b5-5982527409be,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

El siguiente texto es un ejemplo de archivo de registro de alertas:

2017-07-15T20:42:30.531Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|myPolicy|3|externalId=596a7e360c204203a335a3fb start=1500151350531 end=1500151350531 msg=Activity policy ''myPolicy'' was triggered by ''admin@box-contoso.com'' suser=admin@box-contoso.com destinationServiceName=Box cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596a7e360c204203a335a3fb cs2Label=uniqueServiceAppIds cs2=APPID_BOX cs3Label=relatedAudits cs3=1500151288183_acc891bf-33e1-424b-a021-0d4370789660 cs4Label=policyIDs cs4=59f0ab82f797fa0681e9b1c7

2017-07-16T09:36:26.550Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b339b0c204203a33a51ae start=1500197786550 end=1500197786550 msg=Activity policy ''test-activity-policy'' was triggered by ''user@contoso.com'' suser=user@contoso.com destinationServiceName=Salesforce cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b339b0c204203a33a51ae cs2Label=uniqueServiceAppIds cs2=APPID_SALESFORCE cs3Label=relatedAudits cs3=1500197720691_b7f6317c-b8de-476a-bc8f-dfa570e00349 cs4Label=policyIDs cs4=

2017-07-16T09:17:03.361Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy3|3|externalId=596b2fd70c204203a33a3eeb start=1500196623361 end=1500196623361 msg=Activity policy ''test-activity-policy3'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Office 365 cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eeb cs2Label=uniqueServiceAppIds cs2=APPID_O365 cs3Label=relatedAudits cs3=1500196549157_a0e01f8a-e29a-43ae-8599-783c1c11597d cs4Label=policyIDs cs4=

2017-07-16T09:17:15.426Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b2fd70c204203a33a3eec start=1500196635426 end=1500196635426 msg=Activity policy ''test-activity-policy'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft 365 admin center cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eec cs2Label=uniqueServiceAppIds cs2=APPID_O365_PORTAL cs3Label=relatedAudits cs3=1500196557398_3e102b20-d9fa-4f66-b550-8c7a403bb4d8 cs4Label=policyIDs cs4=59f0ab35f797fa9811e9b1c7

2017-07-16T09:17:46.290Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy4|3|externalId=596b30200c204203a33a4765 start=1500196666290 end=1500196666290 msg=Activity policy ''test-activity-policy4'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft Exchange Online cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b30200c204203a33a4765 cs2Label=uniqueServiceAppIds cs2=APPID_OUTLOOK cs3Label=relatedAudits cs3=1500196587034_a8673602-7e95-46d6-a1fe-c156c4709c5d cs4Label=policyIDs cs4=

2017-07-16T09:41:04.369Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy2|3|externalId=596b34b10c204203a33a5240 start=1500198064369 end=1500198064369 msg=Activity policy ''test-activity-policy2'' was triggered by ''user2@test15-adallom.com'' suser=user2@test15-adallom.com destinationServiceName=Google cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b34b10c204203a33a5240 cs2Label=uniqueServiceAppIds cs2=APPID_33626 cs3Label=relatedAudits cs3=1500197996117_fd71f265-1e46-4f04-b372-2e32ec874cd3 cs4Label=policyIDs cs4=

Alertas de Defender for Cloud Apps de ejemplo en formato CEF

Aplicable a	Nombre del campo CEF	Descripción
Actividades y alertas	start	Marca de tiempo de actividad o alerta
Actividades y alertas	end	Marca de tiempo de actividad o alerta
Actividades y alertas	rt	Marca de tiempo de actividad o alerta
Actividades y alertas	msg	Descripción de la actividad o alerta, tal como se muestra en el portal
Actividades y alertas	suser	Usuario asunto de la actividad o alerta
Actividades y alertas	destinationServiceName	Aplicación que origina la actividad o alerta, por ejemplo, Office 365, SharePoint, Box.
Actividades y alertas	CS<X>Label	Cada etiqueta tiene un significado diferente, pero la misma etiqueta lo explica, por ejemplo, targetObjects.
Actividades y alertas	cs<X>	La información correspondiente a la etiqueta (el usuario de destino de la actividad o alerta según el ejemplo de etiqueta).
Actividades	EVENT_CATEGORY_*	Categoría general de la actividad
Actividades	<ACCIÓN>	Tipo de actividad, tal como se muestra en el portal
Actividades	externalId	Id. de evento
Actividades	dvc	Dirección IP del dispositivo del cliente
Actividades	requestClientApplication	Agente de usuario del dispositivo del cliente
Alertas	<tipo de alerta>	Por ejemplo, "ALERT_CABINET_EVENT_MATCH_AUDIT"
Alertas	<name>	Nombre de la directiva coincidente
Alertas	externalId	Id. de alerta
Alertas	src	Dirección IPv4 del dispositivo cliente
Alertas	c6a1	Dirección IPv6 del dispositivo cliente

Paso 3: validación del correcto funcionamiento del agente SIEM

1. Asegúrese de que el estado del agente SIEM en el portal de aplicaciones de Defender for Cloud no es Error de conexión o Desconectado y no hay notificaciones del agente. Se mostrará como Error de conexión si la conexión está inactiva durante más de dos horas. El estado se muestra como Desconectado si la conexión está inactiva durante más de 12 horas.

   En su lugar, el estado debe estar conectado, como se muestra aquí:

2. En el servidor Syslog/SIEM, asegúrese de que ve actividades y alertas que llegan desde Defender for Cloud Apps.

Volver a generar el token

Si pierde el token, siempre puede volver a generarlo haciendo clic en los tres puntos al final de la fila del agente SIEM de la tabla. Seleccione Regenerar token para obtener un nuevo token.

Editar el agente SIEM

Para editar el agente SIEM, seleccione los tres puntos al final de la fila del agente SIEM de la tabla y seleccione Editar. Si edita el agente SIEM, no es necesario volver a ejecutar el archivo .jar, ya que se actualiza automáticamente.

Eliminación al agente SIEM

Para eliminar el agente SIEM, seleccione los tres puntos al final de la fila del agente SIEM de la tabla y seleccione Eliminar.

Pasos siguientes

Solución de problemas de integración de SIEM

Si surgen problemas, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.