Intégration à SIEMSIEM integration

Vous pouvez maintenant intégrer Cloud App Security à votre serveur SIEM pour permettre la surveillance centralisée des alertes et des activités Office 365.You can now integrate Cloud App Security with your SIEM server to enable centralized monitoring of Office 365 alerts and activities. Lorsque des activités et des événements nouveaux sont pris en charge par Office 365, leur visibilité est ensuite transférée dans Cloud App Security.As new activities and events are supported by Office 365, visibility into them is then rolled out into Cloud App Security. L’intégration à un service SIEM vous permet de mieux protéger vos applications cloud tout en conservant votre flux de travail de sécurité habituel, en automatisant les procédures de sécurité et en établissant une corrélation entre les événements cloud et locaux.Integrating with a SIEM service allows you to better protect your cloud applications while maintaining your usual security workflow, automating security procedures and correlating between cloud-based and on-premises events. L’agent SIEM de Cloud App Security s’exécute sur votre serveur, extrait les alertes et les activités de Cloud App Security et les envoie sous forme de flux continu au serveur SIEM.The Cloud App Security SIEM agent runs on your server and pulls alerts and activities from Cloud App Security and streams them into the SIEM server.

Quand vous intégrez pour la première fois votre serveur SIEM à Cloud App Security, les activités et les alertes des deux derniers jours sont transférées vers le serveur SIEM, ainsi que toutes les activités et alertes (en fonction du filtre que vous sélectionnez) à partir de ce moment-là.When you first integrate your SIEM with Cloud App Security, activities and alerts from the last two days will be forwarded to the SIEM and all activities and alerts (based on the filter you select) from then on. En outre, si vous désactivez cette fonctionnalité pour une période prolongée, quand vous la réactivez, elle transfère les deux derniers jours d’alertes et d’activités, et puis toutes les alertes et activités à partir de ce moment-là.Additionally, if you disable this feature for an extended period, when you enable it again it will forward the past two days of alerts and activities and then all alerts and activities from then on.

Architecture d'intégration SIEMSIEM integration architecture

L’agent SIEM est déployé dans le réseau de votre organisation.The SIEM agent is deployed in your organization’s network. Quand il est déployé et configuré, il extrait les types de données qui ont été configurés (alertes et activités) à l’aide des API RESTful de Cloud App Security.When deployed and configured, it pulls the data types that were configured (alerts and activities) using Cloud App Security RESTful APIs. Le trafic est ensuite envoyé via un canal HTTPS chiffré sur le port 443.The traffic is then sent over an encrypted HTTPS channel on port 443.

Une fois que l’agent SIEM extrait les données à partir de Cloud App Security, il envoie les messages Syslog à votre SIEM local en utilisant les configurations réseau que vous avez fournies lors de l’installation (TCP ou UDP avec un port personnalisé).Once the SIEM agent retrieves the data from Cloud App Security, it sends the Syslog messages to your local SIEM using the network configurations you provided during the setup (TCP or UDP with a custom port).

Architecture d'intégration SIEM

Procédure d’intégrationHow to integrate

L’intégration à votre serveur SIEM s’effectue en trois étapes :Integrating with your SIEM is accomplished in three steps:

  1. Configurez-le dans le portail Cloud App Security.Set it up in the Cloud App Security portal.
  2. Téléchargez le fichier JAR et exécutez-le sur votre serveur.Download the JAR file and run it on your server.
  3. Vérifiez que l’agent SIEM fonctionne.Validate that the SIEM agent is working.

PrérequisPrerequisites

  • Un serveur Windows ou Linux standard (il peut s’agir d’une machine virtuelle).A standard Windows or Linux server (can be a virtual machine).
  • Le serveur doit exécuter Java 8 ; les versions antérieures ne sont pas prises en charge.The server must be running Java 8; earlier versions are not supported.

Intégration à votre serveur SIEMIntegrating with your SIEM

Étape 1 : Configurez-le dans le portail Cloud App SecurityStep 1: Set it up in the Cloud App Security portal

  1. Dans le portail Cloud App Security, dans Paramètres (roue dentée), cliquez sur Extensions de sécurité, puis sur l’onglet Agents SIEM.In the Cloud App Security portal, under the Settings cog, click Security extensions and then click on the SIEM agents tab.

  2. Cliquez sur l’icône plus pour démarrer l’Assistant Ajouter un agent SIEM.Click the plus icon to start the Add SIEM agent wizard.

  3. Dans l’Assistant, cliquez sur Ajouter un agent SIEM.In the wizard, click Add SIEM agent.
  4. Dans l’Assistant, entrez un nom, sélectionner votre format SIEM et définissez les paramètres avancés appropriés pour ce format.In the wizard, fill in a name, and Select your SIEM format and set any Advanced settings that are relevant to that format. Cliquez sur Suivant.Click Next.

    Paramètres SIEM généraux

  5. Entrez l’adresse IP ou le nom d’hôte de l’hôte Syslog distant et le numéro de port Syslog.Type in the IP address or hostname of the Remote syslog host and the Syslog port number. Sélectionnez TCP ou UDP comme protocole Syslog distant.Select TCP or UDP as the Remote Syslog protocol. Vous pouvez travailler avec votre administrateur de la sécurité pour obtenir ces informations si vous n’en disposez pas.You can work with your security admin to get these details if you don't have them. Cliquez sur Suivant.Click Next. Paramètres Syslog distantsRemote Syslog settings

  6. Sélectionnez les types de données, les Alertes et les Activités que vous voulez exporter vers votre serveur SIEM.Select which data types, Alerts and Activities you want to export to your SIEM server. Utilisez le curseur pour les activer et les désactiver. Par défaut, tout est sélectionné.Use the slider to enable and disable them, by default, everything is selected. Vous pouvez utiliser la liste déroulante Appliquer à pour définir des filtres pour envoyer seulement des alertes et des activités spécifiques à votre serveur SIEM.You can use the Apply to drop-down to set filters to send only specific alerts and activities to your SIEM server. Vous pouvez cliquer sur Modifier et afficher un aperçu des résultats pour vérifier que le filtre fonctionne comme prévu.You can click Edit and preview results to check that the filter works as expected. Cliquez sur Suivant.Click Next.

    Paramètres des types de données

  7. Copiez le jeton et enregistrez-le pour l’utiliser ultérieurement.Copy the token and save it for later. Une fois que vous avez cliqué sur Terminer et que vous avez quitté l’Assistant, dans la page SIEM, vous pouvez voir l’agent SIEM que vous avez ajouté dans le tableau.After you click Finish and leave the Wizard, back in the SIEM page, you can see the SIEM agent you added in the table. Il indique qu’il est créé jusqu’à ce qu’il soit connecté.It will show that it's Created until it’s connected later.

Étape 2 : Téléchargez le fichier JAR et exécutez-le sur votre serveurStep 2: Download the JAR file and run it on your server

  1. Téléchargez le fichier .zip à partir du Centre de téléchargement Microsoft et décompressez-le.Download the .zip file from the Microsoft Download Center and unzip it.

  2. Extrayez le fichier .jar du fichier ZIP et exécutez-le sur votre serveur.Extract the .jar file from the zip file and run it on your server. Après avoir exécuté le fichier, exécutez la commande suivante :After running the file, run the following:

    java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory NOM_RÉPERTOIRE] [--proxy ADRESSE[:PORT]] --token JETONjava -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN

    Note
    • Le nom de fichier peut différer selon la version de l’agent SIEM.The file name may differ depending on the version of the SIEM agent.
    • Les paramètres entre crochets [] sont facultatifs et doivent être utilisés seulement si nécessaire.Parameters in brackets [] are optional, and should be used only if relevant.
    • Lors de l’exécution sur Windows, il est recommandé de configurer une tâche planifiée pour exécuter la commande.When running on Windows, it is recommended to configure a scheduled task to run the command. Cette opération permet de garantir que le service fonctionne toujours.This will make sure the service is always up.

Où les variables suivantes sont utilisées :Where the following variables are used:

  • NOM_RÉPERTOIRE est le chemin du répertoire à utiliser pour les journaux de débogage de l’agent local.DIRNAME is the path to the directory you want to use for local agent debug logs.
  • ADRESSE[:PORT] est l’adresse et le port du serveur proxy que le serveur utilise pour se connecter à Internet.ADDRESS[:PORT] is the proxy server address and port that the server uses to connect to the Internet.
  • JETON est le jeton de l’agent SIEM que vous avez copié à l’étape précédente.TOKEN is the SIEM agent token you copied in the previous step.

Vous pouvez taper -h à tout moment pour obtenir de l’aide.You can type -h at any time to get help.

Voici des exemples de journaux d’activité envoyés à votre serveur SIEM :The following are sample activity logs sent to your SIEM:

    2017-07-11T19:14:55.895Z CEF:0|MCAS|SIEM_Agent|0.102.17|EVENT_CATEGORY_LOGIN|Log on|0|externalId=1499800495894_e453bc33-a7c1-48f7-8397-8ae8e2758183 start=1499800495895 end=1499800495895 msg=Log on suser=admin@contoso.com destinationServiceName=Microsoft Exchange Online dvc=13.82.149.151 requestClientApplication=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/59.0.3071.115 Safari/537.36 machine_id_149980022970038514 cs1Label=portalURL cs1=https://cloud-app-security.com/#/audits?activity.id\=eq(1499800495894_e453bc33-a7c1-48f7-8397-8ae8e2758183,) cs2Label=uniqueServiceAppIds cs2=APPID_OUTLOOK cs3Label=targetObjects cs3=admin@contoso.com c6a1Label="Device IPv6 Address" c6a1=
    2017-07-11T19:14:56.781Z CEF:0|MCAS|SIEM_Agent|0.102.17|EVENT_CATEGORY_DOWNLOAD_FILE|Download file|0|externalId=1499800496781_2e50118e-dee7-40d7-b912-b81a10feed28 start=1499800496781 end=1499800496781 msg=Download file: file name50280117yyct6t.xlsx suser=roy@adallom.com.test destinationServiceName=Salesforce dvc=13.82.149.151 requestClientApplication=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/59.0.3071.115 Safari/537.36 machine_id_149979855250880034 cs1Label=portalURL cs1=https://cloud-app-security/#/audits?activity.id\=eq(1499800496781_2e50118e-dee7-40d7-b912-b81a10feed28,) cs2Label=uniqueServiceAppIds cs2=APPID_SALESFORCE cs3Label=targetObjects cs3=name50280117yyct6t.xlsx c6a1Label="Device IPv6 Address" c6a1=
    2017-07-11T19:16:04.666Z CEF:0|MCAS|SIEM_Agent|0.102.17|EVENT_CATEGORY_SSO_LOGIN|Single sign-on log on|0|externalId=1499800564666_06496600-edde-4d81-a995-7632e70fb24f start=1499800564666 end=1499800564666 msg=Single sign-on log on suser=admin@contoso.com destinationServiceName=Microsoft Online Services dvc=13.82.149.151 requestClientApplication=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/59.0.3071.115 Safari/537.36 machine_id_149980039637481908 cs1Label=portalURL cs1=https://cloud-app-security.com/#/audits?activity.id\=eq(1499800564666_06496600-edde-4d81-a995-7632e70fb24f,) cs2Label=uniqueServiceAppIds cs2=APPID_11394 cs3Label=targetObjects cs3=admin@contoso.com c6a1Label="Device IPv6 Address" c6a1=
    2017-07-12T13:28:29.067Z CEF:0|MCAS|SIEM_Agent|0.102.17|EVENT_CATEGORY_DOWNLOAD_FILE|Download file|0|externalId=1499866109067_8e3fae2c-ca5b-4163-84b6-fb9a03c4d052 start=1499866109067 end=1499866109067 msg=Download file: file CC004.txt suser=admin@box-contoso.com destinationServiceName=Box dvc=194.69.102.134 requestClientApplication=Mozilla/5.0 (Linux; Android 7.0; SAMSUNG SM-G930F Build/NRD90M) AppleWebKit/537.36 (KHTML, like Gecko) SamsungBrowser/5.0 Chrome/51.0.2704.106 Mobile Safari/537.36 cs1Label=portalURL cs1=https://cloud-app-security.com/#/audits?activity.id\=eq(1499866109067_8e3fae2c-ca5b-4163-84b6-fb9a03c4d052,) cs2Label=uniqueServiceAppIds cs2=APPID_BOX cs3Label=targetObjects cs3=CC004.txt c6a1Label="Device IPv6 Address" c6a1=
    2017-07-12T14:15:33.901Z CEF:0|MCAS|SIEM_Agent|0.102.17|EVENT_CATEGORY_UPLOAD_FILE|Upload file|0|externalId=1499868933901_72c21ebe-c206-4d8c-a41b-224035868d09 start=1499868933901 end=1499868933901 msg=Upload file: file response.txt suser=user1@test15-adallom.com destinationServiceName=Google Drive dvc=194.69.102.134 requestClientApplication=Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; Touch; rv:11.0) like Gecko cs1Label=portalURL cs1=https://cloud-app-security.com/#/audits?activity.id\=eq(1499868933901_72c21ebe-c206-4d8c-a41b-224035868d09,) cs2Label=uniqueServiceAppIds cs2=APPID_26069 cs3Label=targetObjects cs3=response.txt c6a1Label="Device IPv6 Address" c6a1=
    2017-07-12T18:53:16.519Z CEF:0|MCAS|SIEM_Agent|0.102.17|EVENT_CATEGORY_LOGIN|Log on|0|externalId=1499885596519_ed261269-9b07-4418-9ded-8cad464d677f start=1499885596519 end=1499885596519 msg=Log on suser=admin@contoso.com destinationServiceName=Office 365 dvc=13.82.149.151 requestClientApplication=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/59.0.3071.115 Safari/537.36 machine_id_149988543613557447 cs1Label=portalURL cs1=https://cloud-app-security.com/#/audits?activity.id\=eq(1499885596519_ed261269-9b07-4418-9ded-8cad464d677f,) cs2Label=uniqueServiceAppIds cs2=APPID_O365 cs3Label=targetObjects cs3=admin@contoso.com c6a1Label="Device IPv6 Address" c6a1=

Ainsi que l’exemple de fichier journal d’alertes suivant :As well as the following alerts logfile example:

  2017-07-15T20:42:30.531Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|myPolicy|3|externalId=596a7e360c204203a335a3fb start=1500151350531 end=1500151350531 msg=Activity policy ''myPolicy'' was triggered by ''admin@box-contoso.com'' suser=admin@box-contoso.com destinationServiceName=Box cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596a7e360c204203a335a3fb cs2Label=uniqueServiceAppIds cs2=APPID_BOX cs3Label=relatedAudits cs3=1500151288183_acc891bf-33e1-424b-a021-0d4370789660
  2017-07-16T09:36:26.550Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b339b0c204203a33a51ae start=1500197786550 end=1500197786550 msg=Activity policy ''test-activity-policy'' was triggered by ''user@contoso.com'' suser=user@contoso.com destinationServiceName=Salesforce cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b339b0c204203a33a51ae cs2Label=uniqueServiceAppIds cs2=APPID_SALESFORCE cs3Label=relatedAudits cs3=1500197720691_b7f6317c-b8de-476a-bc8f-dfa570e00349
  2017-07-16T09:17:03.361Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy3|3|externalId=596b2fd70c204203a33a3eeb start=1500196623361 end=1500196623361 msg=Activity policy ''test-activity-policy3'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Office 365 cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eeb cs2Label=uniqueServiceAppIds cs2=APPID_O365 cs3Label=relatedAudits cs3=1500196549157_a0e01f8a-e29a-43ae-8599-783c1c11597d
  2017-07-16T09:17:15.426Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b2fd70c204203a33a3eec start=1500196635426 end=1500196635426 msg=Activity policy ''test-activity-policy'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft Office 365 admin center cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eec cs2Label=uniqueServiceAppIds cs2=APPID_O365_PORTAL cs3Label=relatedAudits cs3=1500196557398_3e102b20-d9fa-4f66-b550-8c7a403bb4d8
  2017-07-16T09:17:46.290Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy4|3|externalId=596b30200c204203a33a4765 start=1500196666290 end=1500196666290 msg=Activity policy ''test-activity-policy4'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft Exchange Online cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b30200c204203a33a4765 cs2Label=uniqueServiceAppIds cs2=APPID_OUTLOOK cs3Label=relatedAudits cs3=1500196587034_a8673602-7e95-46d6-a1fe-c156c4709c5d
  2017-07-16T09:41:04.369Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy2|3|externalId=596b34b10c204203a33a5240 start=1500198064369 end=1500198064369 msg=Activity policy ''test-activity-policy2'' was triggered by ''user2@test15-adallom.com'' suser=user2@test15-adallom.com destinationServiceName=Google cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b34b10c204203a33a5240 cs2Label=uniqueServiceAppIds cs2=APPID_33626 cs3Label=relatedAudits cs3=1500197996117_fd71f265-1e46-4f04-b372-2e32ec874cd3

Étape 3 : Vérifiez que l’agent SIEM fonctionneStep 3: Validate that the SIEM agent is working

  1. Vérifiez que l’agent SIEM n’affiche pas l’état Erreur de connexion ou Déconnecté dans le portail Cloud App Security et qu’il ne fait pas l’objet de notifications.Make sure the status of the SIEM agent in the Cloud App Security portal is not Connection error or Disconnected and there are no agent notifications. L’agent affiche l’état Erreur de connexion si la connexion est interrompue depuis plus de deux heures, et l’état Déconnecté si la connexion est interrompue depuis plus de 12 heures.It will show up as Connection error if the connection is down for more than two hours and as Disconnected if the connection is down for over 12 hours. SIEM déconnectéSIEM disconnected

    Au lieu de cela, l’état doit être connecté, comme illustré ici : SIEM connectéInstead, the status should be connected, as seen here: SIEM connected

  2. Dans votre serveur Syslog/SIEM, vérifiez que vous voyez des activités et des alertes provenant de Cloud App Security.In your Syslog/SIEM server, make sure you see activities and alerts arriving from Cloud App Security.

Régénération de votre jetonRegenerating your token

Si vous perdez le jeton, vous pouvez toujours le restaurer en cliquant sur les trois points à la fin de la ligne pour l’agent SIEM dans le tableau et en sélectionnant Régénérer le jeton.If you lose the token, you can always regenerate it by clicking the three dots at the end of the row for the SIEM agent in the table, and selecting Regenerate token.

SIEM - Régénérer le jeton

Modification de votre agent SIEMEditing your SIEM agent

Si vous devez modifier l’agent SIEM à l’avenir, vous pouvez cliquer sur trois points à la fin de la ligne pour l’agent SIEM dans le tableau et sélectionner Modifier.If you need to edit the SIEM agent in the future, you can click on the three dots at the end of the row for the SIEM agent in the table, and select Edit. Si vous modifiez l’agent SIEM, vous n’avez pas besoin de réexécuter le fichier .jar car il se met à jour automatiquement.If you edit the SIEM agent, you do not need to rerun the .jar file, it updates automatically.

SIEM - Modifier

Suppression de votre agent SIEMDeleting your SIEM agent

Si vous devez supprimer l’agent SIEM à l’avenir, vous pouvez cliquer sur trois points à la fin de la ligne pour l’agent SIEM dans le tableau et sélectionner Supprimer.If you need to delete the SIEM agent in the future, you can click on the three dots at the end of the row for the SIEM agent in the table, and select Delete.

SIEM - Supprimer

Note

Cette fonctionnalité est disponible dans la préversion publique.This feature is in public preview.

Options de haute disponibilitéHigh availability options

L’agent SIEM est un point de terminaison unique qui prend en charge la récupération d’un temps d’arrêt allant jusqu'à deux jours.The SIEM agent is a single endpoint that supports recovery of up to two days of downtime. Le fait de disposer d’un équilibreur de charge en tant que point de terminaison client constitue une mesure supplémentaire pour la haute disponibilité.Additional measure of high availability can be achieved by having a load balancer as the customer endpoint.

Installation du connecteur SIEM pour Cloud App SecurityInstall the SIEM Connector for Cloud App Security

Voir aussiSee Also

Résolution des problèmes d’intégration de SIEM Troubleshooting SIEM integration issues
Pour obtenir un support technique, visitez la page de support assisté Cloud App Security. For technical support, please visit the Cloud App Security assisted support page.
Les clients Premier peuvent également choisir Cloud App Security directement depuis le portail Premier.Premier customers can also choose Cloud App Security directly from the Premier Portal.