Intégration à SIEMSIEM integration

Vous pouvez maintenant intégrer Cloud App Security avec votre serveur SIEM pour bénéficier de la surveillance centralisée des alertes et des activités des applications connectées.You can now integrate Cloud App Security with your SIEM server to enable centralized monitoring of alerts and activities from connected apps. Comme les nouveaux événements et nouvelles activités sont pris en charge par les applications connectées, leur visibilité est ensuite transférée dans Cloud App Security.As new activities and events are supported by connected apps, visibility into them is then rolled out into Cloud App Security. L’intégration à un service SIEM vous permet de mieux protéger vos applications cloud tout en conservant votre flux de travail de sécurité habituel, en automatisant les procédures de sécurité et en établissant une corrélation entre les événements cloud et locaux.Integrating with a SIEM service allows you to better protect your cloud applications while maintaining your usual security workflow, automating security procedures and correlating between cloud-based and on-premises events. L’agent SIEM de Cloud App Security s’exécute sur votre serveur, extrait les alertes et les activités de Cloud App Security et les envoie sous forme de flux continu au serveur SIEM.The Cloud App Security SIEM agent runs on your server and pulls alerts and activities from Cloud App Security and streams them into the SIEM server.

Quand vous intégrez pour la première fois votre serveur SIEM à Cloud App Security, les activités et les alertes des deux derniers jours sont transférées vers le serveur SIEM, ainsi que toutes les activités et alertes (en fonction du filtre que vous sélectionnez) à partir de ce moment-là.When you first integrate your SIEM with Cloud App Security, activities and alerts from the last two days will be forwarded to the SIEM and all activities and alerts (based on the filter you select) from then on. En outre, si vous désactivez cette fonctionnalité pour une période prolongée, quand vous la réactivez, elle transfère les deux derniers jours d’alertes et d’activités, et puis toutes les alertes et activités à partir de ce moment-là.Additionally, if you disable this feature for an extended period, when you enable it again it will forward the past two days of alerts and activities and then all alerts and activities from then on.

Architecture d'intégration SIEMSIEM integration architecture

L’agent SIEM est déployé dans le réseau de votre organisation.The SIEM agent is deployed in your organization’s network. Quand il est déployé et configuré, il extrait les types de données qui ont été configurés (alertes et activités) à l’aide des API RESTful de Cloud App Security.When deployed and configured, it pulls the data types that were configured (alerts and activities) using Cloud App Security RESTful APIs. Le trafic est ensuite envoyé via un canal HTTPS chiffré sur le port 443.The traffic is then sent over an encrypted HTTPS channel on port 443.

Une fois que l’agent SIEM extrait les données à partir de Cloud App Security, il envoie les messages Syslog à votre SIEM local en utilisant les configurations réseau que vous avez fournies lors de l’installation (TCP ou UDP avec un port personnalisé).Once the SIEM agent retrieves the data from Cloud App Security, it sends the Syslog messages to your local SIEM using the network configurations you provided during the setup (TCP or UDP with a custom port).

Architecture d'intégration SIEM

SIEM pris en chargeSupported SIEMs

Actuellement, Cloud App Security prend en charge Micro Focus ArcSight et le format CEF générique.Cloud App Security currently supports Micro Focus ArcSight and generic CEF.

Procédure d’intégrationHow to integrate

L’intégration à votre serveur SIEM s’effectue en trois étapes :Integrating with your SIEM is accomplished in three steps:

  1. Configurez-le dans le portail Cloud App Security.Set it up in the Cloud App Security portal.
  2. Téléchargez le fichier JAR et exécutez-le sur votre serveur.Download the JAR file and run it on your server.
  3. Vérifiez que l’agent SIEM fonctionne.Validate that the SIEM agent is working.

Conditions préalablesPrerequisites

  • Un serveur Windows ou Linux standard (il peut s’agir d’une machine virtuelle).A standard Windows or Linux server (can be a virtual machine).
  • Le serveur doit exécuter Java 8 ; les versions antérieures ne sont pas prises en charge.The server must be running Java 8; earlier versions are not supported.

Intégration à votre serveur SIEMIntegrating with your SIEM

Étape 1 : Configurez-le dans le portail Cloud App SecurityStep 1: Set it up in the Cloud App Security portal

  1. Dans le portail Cloud App Security, dans Paramètres (roue dentée), cliquez sur Extensions de sécurité, puis sur l’onglet Agents SIEM.In the Cloud App Security portal, under the Settings cog, click Security extensions and then click on the SIEM agents tab.

  2. Cliquez sur l’icône plus pour démarrer l’Assistant Ajouter un agent SIEM.Click the plus icon to start the Add SIEM agent wizard.

  3. Dans l’Assistant, cliquez sur Démarrer l’Assistant.In the wizard, click Start Wizard.
  4. Dans l’Assistant, entrez un nom, sélectionner votre format SIEM et définissez les paramètres avancés appropriés pour ce format.In the wizard, fill in a name, and Select your SIEM format and set any Advanced settings that are relevant to that format. Cliquez sur Suivant.Click Next.

    Paramètres SIEM généraux

  5. Entrez l’adresse IP ou le nom d’hôte de l’hôte Syslog distant et le numéro de port Syslog.Type in the IP address or hostname of the Remote syslog host and the Syslog port number. Sélectionnez TCP ou UDP comme protocole Syslog distant.Select TCP or UDP as the Remote Syslog protocol. Vous pouvez travailler avec votre administrateur de la sécurité pour obtenir ces informations si vous n’en disposez pas.You can work with your security admin to get these details if you don't have them. Cliquez sur Suivant.Click Next.

    Paramètres Syslog distants

  6. Sélectionnez les types de données, les Alertes et les Activités que vous voulez exporter vers votre serveur SIEM.Select which data types, Alerts and Activities you want to export to your SIEM server. Utilisez le curseur pour les activer et les désactiver. Par défaut, tout est sélectionné.Use the slider to enable and disable them, by default, everything is selected. Vous pouvez utiliser la liste déroulante Appliquer à pour définir des filtres pour envoyer seulement des alertes et des activités spécifiques à votre serveur SIEM.You can use the Apply to drop-down to set filters to send only specific alerts and activities to your SIEM server. Vous pouvez cliquer sur Modifier et afficher un aperçu des résultats pour vérifier que le filtre fonctionne comme prévu.You can click Edit and preview results to check that the filter works as expected. Cliquez sur Suivant.Click Next.

    Paramètres des types de données

  7. Copiez le jeton et enregistrez-le pour l’utiliser ultérieurement.Copy the token and save it for later. Une fois que vous avez cliqué sur Terminer et que vous avez quitté l’Assistant, dans la page SIEM, vous pouvez voir l’agent SIEM que vous avez ajouté dans le tableau.After you click Finish and leave the Wizard, back in the SIEM page, you can see the SIEM agent you added in the table. Il indique qu’il est créé jusqu’à ce qu’il soit connecté.It will show that it's Created until it’s connected later.

Étape 2 : Téléchargez le fichier JAR et exécutez-le sur votre serveurStep 2: Download the JAR file and run it on your server

  1. Dans le Centre de téléchargement Microsoft, après avoir accepté les termes du contrat de licence logiciel, téléchargez le fichier zip et décompressez-le.In the Microsoft Download Center, after accepting the software license terms, download the .zip file and unzip it.

  2. Exécutez le fichier extrait sur votre serveur :Run the extracted file on your server:

     java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN
    

Note

  • Le nom de fichier peut différer selon la version de l’agent SIEM.The file name may differ depending on the version of the SIEM agent.
  • Les paramètres entre crochets [ ] sont facultatifs et doivent être utilisés seulement si nécessaire.Parameters in brackets [ ] are optional, and should be used only if relevant.
  • Il est recommandé d’exécuter le fichier JAR lors du démarrage du serveur.It is recommended to run the JAR during server startup.
    • Windows : Exécutez en tant que tâche planifiée et vérifiez que vous configurez la tâche pour qu’elle s’exécute si l’utilisateur est connecté ou non et que la case Arrêter la tâche si elle s’exécute plus de est décochée.Windows: Run as a scheduled task and make sure that you configure the task to Run whether the user is logged on or not and that you uncheck the Stop the task if it runs logner than checkbox.
    • Linux : Ajoutez la commande d’exécution avec un & au fichier rc.local.Linux: Add the run command with an & to the rc.local file. Par exemple : java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN &For example: java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN &

Où les variables suivantes sont utilisées :Where the following variables are used:

  • NOM_RÉPERTOIRE est le chemin du répertoire à utiliser pour les journaux de débogage de l’agent local.DIRNAME is the path to the directory you want to use for local agent debug logs.
  • ADRESSE[:PORT] est l’adresse et le port du serveur proxy que le serveur utilise pour se connecter à Internet.ADDRESS[:PORT] is the proxy server address and port that the server uses to connect to the Internet.
  • JETON est le jeton de l’agent SIEM que vous avez copié à l’étape précédente.TOKEN is the SIEM agent token you copied in the previous step.

Vous pouvez taper -h à tout moment pour obtenir de l’aide.You can type -h at any time to get help.

Voici des exemples de journaux d’activité envoyés à votre serveur SIEM :The following are sample activity logs sent to your SIEM:

2017-11-22T17:50:04.000Z CEF:0|MCAS|SIEM_Agent|0.111.85|EVENT_CATEGORY_LOGOUT|Log out|0|externalId=1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0 rt=1511373004000 start=1511373004000 end=1511373004000 msg=Log out suser=admin@contoso.com destinationServiceName=ServiceNow dvc=13.82.149.151 requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:40:15.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_VIEW_REPORT|View report|0|externalId=1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a rt=1511898015000 start=1511898015000 end=1511898015000 msg=View report: ServiceNow Report 23 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=23,sys_report,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:25:34.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798 rt=1511897134000 start=1511897134000 end=1511897134000 msg=Delete object: ServiceNow Object f5122008db360300906ff34ebf96198a suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-27T20:40:14.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_CREATE_USER|Create user|0|externalId=1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c rt=1511815214000 start=1511815214000 end=1511815214000 msg=Create user: user 747518c0db360300906ff34ebf96197c suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,747518c0db360300906ff34ebf96197c,sys_user,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-27T20:41:20.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_DELETE_USER|Delete user|0|externalId=1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383 rt=1511815280000 start=1511815280000 end=1511815280000 msg=Delete user: user 233490c0db360300906ff34ebf9619ef suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,233490c0db360300906ff34ebf9619ef,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:24:55.000Z LAB-EUW-ARCTEST CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897117617_5be018ee-f676-4473-a9b5-5982527409be rt=1511897095000 start=1511897095000 end=1511897095000 msg=Delete object: ServiceNow Object b1709c40db360300906ff34ebf961923 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897117617_5be018ee-f676-4473-a9b5-5982527409be,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

Ainsi que l’exemple de fichier journal d’alertes suivant :As well as the following alerts logfile example:

2017-07-15T20:42:30.531Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|myPolicy|3|externalId=596a7e360c204203a335a3fb start=1500151350531 end=1500151350531 msg=Activity policy ''myPolicy'' was triggered by ''admin@box-contoso.com'' suser=admin@box-contoso.com destinationServiceName=Box cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596a7e360c204203a335a3fb cs2Label=uniqueServiceAppIds cs2=APPID_BOX cs3Label=relatedAudits cs3=1500151288183_acc891bf-33e1-424b-a021-0d4370789660 cs4Label=policyIDs cs4=59f0ab82f797fa0681e9b1c7

2017-07-16T09:36:26.550Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b339b0c204203a33a51ae start=1500197786550 end=1500197786550 msg=Activity policy ''test-activity-policy'' was triggered by ''user@contoso.com'' suser=user@contoso.com destinationServiceName=Salesforce cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b339b0c204203a33a51ae cs2Label=uniqueServiceAppIds cs2=APPID_SALESFORCE cs3Label=relatedAudits cs3=1500197720691_b7f6317c-b8de-476a-bc8f-dfa570e00349 cs4Label=policyIDs cs4=

2017-07-16T09:17:03.361Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy3|3|externalId=596b2fd70c204203a33a3eeb start=1500196623361 end=1500196623361 msg=Activity policy ''test-activity-policy3'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Office 365 cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eeb cs2Label=uniqueServiceAppIds cs2=APPID_O365 cs3Label=relatedAudits cs3=1500196549157_a0e01f8a-e29a-43ae-8599-783c1c11597d cs4Label=policyIDs cs4=

2017-07-16T09:17:15.426Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b2fd70c204203a33a3eec start=1500196635426 end=1500196635426 msg=Activity policy ''test-activity-policy'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft Office 365 admin center cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eec cs2Label=uniqueServiceAppIds cs2=APPID_O365_PORTAL cs3Label=relatedAudits cs3=1500196557398_3e102b20-d9fa-4f66-b550-8c7a403bb4d8 cs4Label=policyIDs cs4=59f0ab35f797fa9811e9b1c7

2017-07-16T09:17:46.290Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy4|3|externalId=596b30200c204203a33a4765 start=1500196666290 end=1500196666290 msg=Activity policy ''test-activity-policy4'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft Exchange Online cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b30200c204203a33a4765 cs2Label=uniqueServiceAppIds cs2=APPID_OUTLOOK cs3Label=relatedAudits cs3=1500196587034_a8673602-7e95-46d6-a1fe-c156c4709c5d cs4Label=policyIDs cs4=

2017-07-16T09:41:04.369Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy2|3|externalId=596b34b10c204203a33a5240 start=1500198064369 end=1500198064369 msg=Activity policy ''test-activity-policy2'' was triggered by ''user2@test15-adallom.com'' suser=user2@test15-adallom.com destinationServiceName=Google cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b34b10c204203a33a5240 cs2Label=uniqueServiceAppIds cs2=APPID_33626 cs3Label=relatedAudits cs3=1500197996117_fd71f265-1e46-4f04-b372-2e32ec874cd3 cs4Label=policyIDs cs4=

Exemples d’alertes Cloud App Security au format CEFSample Cloud App Security alerts in CEF format

Journaux d’activitéActivity Logs
  • EVENT_CATEGORY_* - Catégorie générale de l’activitéEVENT_CATEGORY_* - High level category of the activity

  • - Type d’activité, tel qu’il apparaît dans le portail - The activity type, as displayed in the portal

  • externalId – ID d’événementexternalId – Event ID

  • start – Horodatage d’activitéstart – Activity timestamp

  • end – Horodatage d’activitéend – Activity timestamp

  • rt - Horodatage d’activitért - Activity timestamp

  • msg – description de l’événement comme illustré dans le portailmsg – Event description as shown in the portal

  • suser – Utilisateur de l’activitésuser – Activity User

  • destinationServiceName – Application à l’origine de l’activité, par exemple Office 365, Sharepoint, Box.destinationServiceName – Activity originating app, for example, Office 365, Sharepoint, Box.

  • dvc – IP de l’appareil clientdvc – IP of the client device

  • requestClientApplication – Agent utilisateur de l’appareil clientrequestClientApplication – User agent of the client device

  • csLabel – Chaque étiquette a une signification différente, mais l’étiquette elle-même l’explique, par exemple targetObjects.csLabel – Each label has a different meaning, but the label itself explains it, for example, targetObjects.

  • cs - Informations correspondant à l’étiquette (utilisateur cible de l’activité ou de l’alerte, selon l’exemple d’étiquette).cs - The information corresponding to the label (the target user of the activity or alert as per the label example).

AlertesAlerts
  • - Par exemple “ALERT_CABINET_EVENT_MATCH_AUDIT” - For example “ALERT_CABINET_EVENT_MATCH_AUDIT”

  • - Nom de la stratégie correspondante - The matched policy name

  • externalId – ID d’alerteexternalId – Alert ID

  • start – Horodatage de l’alertestart- Alert timestamp

  • end – Horodatage de l’alerteend – Alert timestamp

  • rt – Horodatage de l’alertert - Alert timestamp

  • msg – Description de l’alerte comme illustré dans le portailmsg – Alert description as shown in the portal

  • suser – Utilisateur de l’objet de l’alertesuser – Alert subject user

  • destinationServiceName – Application à l’origine de l’alerte, par exemple Office 365, Sharepoint, BoxdestinationServiceName – Alert originating app, for example, Office 365, Sharepoint, Box

  • csLabel – Chaque étiquette a une signification différente, mais l’étiquette elle-même l’explique, par exemple targetObjects.csLabel – Each label has a different meaning, but the label itself explains it, for example, targetObjects.

  • cs - Informations correspondant à l’étiquette (utilisateur cible de l’activité ou de l’alerte, selon l’exemple d’étiquette).cs - The information corresponding to the label (the target user of the activity or alert as per the label example).

Étape 3 : Vérifiez que l’agent SIEM fonctionneStep 3: Validate that the SIEM agent is working

  1. Vérifiez que l’agent SIEM n’affiche pas l’état Erreur de connexion ou Déconnecté dans le portail Cloud App Security et qu’il ne fait pas l’objet de notifications.Make sure the status of the SIEM agent in the Cloud App Security portal is not Connection error or Disconnected and there are no agent notifications. L’agent affiche l’état Erreur de connexion si la connexion est interrompue depuis plus de deux heures, et l’état Déconnecté si la connexion est interrompue depuis plus de 12 heures.It will show up as Connection error if the connection is down for more than two hours and as Disconnected if the connection is down for over 12 hours. SIEM déconnectéSIEM disconnected

    Au lieu de cela, l’état doit être connecté, comme illustré ici : SIEM connectéInstead, the status should be connected, as seen here: SIEM connected

  2. Dans votre serveur Syslog/SIEM, vérifiez que vous voyez des activités et des alertes provenant de Cloud App Security.In your Syslog/SIEM server, make sure you see activities and alerts arriving from Cloud App Security.

Régénération de votre jetonRegenerating your token

Si vous perdez le jeton, vous pouvez toujours le restaurer en cliquant sur les trois points à la fin de la ligne pour l’agent SIEM dans le tableau et en sélectionnant Régénérer le jeton.If you lose the token, you can always regenerate it by clicking the three dots at the end of the row for the SIEM agent in the table, and selecting Regenerate token.

SIEM - Régénérer le jeton

Modification de votre agent SIEMEditing your SIEM agent

Si vous devez modifier l’agent SIEM à l’avenir, vous pouvez cliquer sur trois points à la fin de la ligne pour l’agent SIEM dans le tableau et sélectionner Modifier.If you need to edit the SIEM agent in the future, you can click on the three dots at the end of the row for the SIEM agent in the table, and select Edit. Si vous modifiez l’agent SIEM, vous n’avez pas besoin de réexécuter le fichier .jar car il se met à jour automatiquement.If you edit the SIEM agent, you do not need to rerun the .jar file, it updates automatically.

SIEM - Modifier

Suppression de votre agent SIEMDeleting your SIEM agent

Si vous devez supprimer l’agent SIEM à l’avenir, vous pouvez cliquer sur trois points à la fin de la ligne pour l’agent SIEM dans le tableau et sélectionner Supprimer.If you need to delete the SIEM agent in the future, you can click on the three dots at the end of the row for the SIEM agent in the table, and select Delete.

SIEM - Supprimer

Note

Cette fonctionnalité est disponible dans la préversion publique.This feature is in public preview.

Options de haute disponibilitéHigh availability options

L’agent SIEM est un point de terminaison unique qui prend en charge la récupération d’un temps d’arrêt allant jusqu'à deux jours.The SIEM agent is a single endpoint that supports recovery of up to two days of downtime. Le fait de disposer d’un équilibreur de charge en tant que point de terminaison client constitue une mesure supplémentaire pour la haute disponibilité.Additional measure of high availability can be achieved by having a load balancer as the customer endpoint.

Voir aussiSee Also

Résolution des problèmes d’intégration de SIEM Troubleshooting SIEM integration issues
Pour obtenir un support technique, visitez la page de support assisté Cloud App Security. For technical support, please visit the Cloud App Security assisted support page.
Les clients Premier peuvent également choisir Cloud App Security directement depuis le portail Premier.Premier customers can also choose Cloud App Security directly from the Premier Portal.