Általános SIEM-integráció

Megjegyzés

Átneveztük Microsoft Cloud App Security. Most Microsoft Defender for Cloud Apps- nak hívják. Az elkövetkező hetekben itt és a kapcsolódó oldalakon frissítjük a képernyőképeket és az utasításokat. A módosítással kapcsolatos további információkért tekintse meg ezt a bejelentést. A Microsoft biztonsági szolgáltatásainak legutóbbi átnevezéséről a Microsoft Ignite Security blogban talál további információt.

A Microsoft Defender for Cloud Apps integrálhatja az általános SIEM-kiszolgálóval, hogy lehetővé tegye a csatlakoztatott alkalmazások riasztásainak és tevékenységeinek központosított figyelését. Mivel a csatlakoztatott alkalmazások támogatják az új tevékenységeket és eseményeket, a láthatóságot a rendszer Microsoft Defender for Cloud Apps alakítja ki. Az SIEM-szolgáltatással való integráció lehetővé teszi a felhőalkalmazások jobb védelmét, miközben fenntartja a szokásos biztonsági munkafolyamatot, automatizálja a biztonsági eljárásokat, és korrelál a felhőalapú és a helyszíni események között. A Microsoft Defender for Cloud Apps SIEM-ügynök fut a kiszolgálón, és lekéri a riasztásokat és tevékenységeket Microsoft Defender for Cloud Apps, és streameli őket a SIEM-kiszolgálóra.

Amikor először integrálja a SIEM-et Felhőhöz készült Defender-alkalmazásokkal, az elmúlt két nap tevékenységeit és riasztásait a rendszer továbbítja a SIEM-nek, és ettől kezdve az összes tevékenységet és riasztást (a kiválasztott szűrő alapján) továbbítja. Ha hosszabb időre letiltja ezt a funkciót, majd újra engedélyezi, a rendszer az elmúlt két nap riasztásait és tevékenységeit továbbítja, majd onnantól kezdve az összes riasztást és tevékenységet.

További integrációs megoldások:

Fontos

Ha Microsoft Defender for Identity integrál az Felhőhöz készült Defender Appsbe, és mindkét szolgáltatás úgy van konfigurálva, hogy riasztási értesítéseket küldjön egy SIEM-nek, akkor ugyanahhoz a riasztáshoz ismétlődő SIEM-értesítéseket fog kapni. Minden szolgáltatásból egy riasztás lesz kibocsátva, és különböző riasztási azonosítókkal fognak rendelkezni. Az ismétlődés és a félreértések elkerülése érdekében mindenképpen kezelje a forgatókönyvet. Döntse el például, hogy hol szeretné végrehajtani a riasztáskezelést, majd állítsa le a másik szolgáltatástól érkező SIEM-értesítések küldését.

Általános SIEM-integrációs architektúra

Az SIEM-ügynök a szervezet hálózatában van üzembe helyezve. Üzembe helyezéskor és konfiguráláskor lekéri a konfigurált adattípusokat (riasztásokat és tevékenységeket) Felhőhöz készült Defender Apps RESTful API-kkal. Ezután a forgalom a 443-as porton lévő titkosított csatornán keresztül halad.

Miután a SIEM-ügynök lekérte az adatokat az Felhőhöz készült Defender Apps alkalmazásból, elküldi a Syslog-üzeneteket a helyi SIEM-nek. Felhőhöz készült Defender Alkalmazások a telepítés során megadott hálózati konfigurációkat használják (TCP vagy UDP egyéni porttal).

SIEM integration architecture.

Támogatott SIEM-ek

Felhőhöz készült Defender Apps jelenleg a Micro Focus ArcSightot és az általános CEF-et támogatja.

Az integrálás menete

Az SIEM-mel történő integrálást három lépésben lehet megvalósítani:

  1. Állítsa be a Felhőhöz készült Defender Alkalmazások portálon.
  2. A JAR-fájl letöltése és futtatása a kiszolgálón.
  3. Ellenőrizze, hogy működik-e a SIEM-ügynök.

Előfeltételek

  • Szabványos Windows vagy Linux rendszerű kiszolgáló (virtuális gép is lehet).
  • Operációs rendszer: Windows vagy Linux
  • Processzor: 2
  • Lemezterület: 20 GB
  • RAM: 2 GB
  • A kiszolgálón Java 8-nak kell futnia. A korábbi verziók nem támogatottak.
  • Transport Layer Security (TLS) 1.2+. A korábbi verziók nem támogatottak.
  • Állítsa be a tűzfalat a hálózati követelményeknek megfelelően

Integráció az SIEM-mel

1. lépés: Beállítás az Felhőhöz készült Defender Apps portálon

  1. Az Felhőhöz készült Defender Alkalmazások portálon, a Gépház fogaskerék alatt válassza a Biztonsági bővítmények lehetőséget.

  2. A SIEM-ügynökök lapon válassza a "hozzáadás" (+), majd az Általános SIEM lehetőséget.

    Screenshot showing Add SIEM integration menu.

  3. A varázslóban válassza a Varázsló indítása lehetőséget.

  4. A varázsló segítségével adja meg a nevet, válassza ki az SIEM formátumát, és végezze el a formátumra vonatkozó speciális beállítások konfigurálását. Kattintson a Tovább gombra.

    General SIEM settings.

  5. Írja be a távoli Syslog gazdagépének IP-címét vagy állomásnevét és a Syslog portszámát. Adja meg a TCP vagy UDP lehetőséget a távoli Syslog protokolljaként. Ha nem rendelkezik ezekkel az adatokkal, a biztonsági adminisztrátorral együttműködve szerezze be őket. Kattintson a Tovább gombra.

    Remote Syslog settings.

  6. Válassza ki, hogy mely adattípusokat szeretné exportálni a SIEM-kiszolgálóra riasztások és tevékenységek céljából. Ezeket a csúszka segítségével engedélyezheti vagy tilthatja le. Alapértelmezés szerint minden lehetőség ki van választva. A Hatókör legördülő lista szűrőivel beállíthatja, hogy a rendszer csak konkrét riasztásokat és tevékenységeket küldjön az SIEM-kiszolgálóra. A Találatok szerkesztése és előnézete lehetőség kiválasztásával ellenőrizze, hogy a szűrő a várt módon működik-e. Kattintson a Tovább gombra.

    Data types settings.

  7. Végezze el a jogkivonat másolását, és későbbi használatra mentse azt. Válassza a Befejezés lehetőséget , és hagyja el a varázslót. Vissza az SIEM-lapra a táblázatban hozzáadott SIEM-ügynök megtekintéséhez. Ekkor megjelenik, hogy létrejött , amíg később nem csatlakozik.

Megjegyzés

A létrehozott jogkivonatok a létrehozó rendszergazdához vannak kötve. Ez azt jelenti, hogy ha a rendszergazda felhasználót eltávolítják Felhőhöz készült Defender Apps alkalmazásból, a jogkivonat már nem lesz érvényes. Az általános SIEM-jogkivonatok csak olvasási engedélyeket biztosítanak a szükséges erőforrásokhoz. A jogkivonatnak nincs más engedélye.

2. lépés: A JAR-fájl letöltése és futtatása a kiszolgálón

  1. A Microsoft letöltőközpontban a szoftverlicenc-feltételek elfogadása után töltse le a .zip fájlt, és csomagolja ki.

  2. Futtassa a kibontott fájlt a kiszolgálón:

    java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN

Megjegyzés

  • A fájlnév az SIEM-ügynök aktuális verziójától függően eltérhet.
  • A szögletes zárójelben lévő paraméterek [] nem kötelezőek, és csak akkor használhatók, ha relevánsak.
  • Javasoljuk, hogy a JAR-t a kiszolgáló indításakor futtassa.
    • Windows: Futtatás ütemezett feladatként, és győződjön meg arról, hogy a feladatot úgy konfigurálja, hogy a Felhasználó bejelentkezve legyen-e, vagy sem, és törölje a jelet a Feladat leállítása jelölőnégyzetből, ha az hosszabb ideig fut, mint a jelölőnégyzet.
    • Linux: Adja hozzá a futtatási parancsot az & rc.local fájlhoz. Például: java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN &

A következő változók használhatók:

  • A KÖNYVTÁRNÉV a helyi ügynök hibakeresési naplóinak tárolására szolgáló könyvtár elérési útja.
  • ADDRESS[:P ORT] a proxykiszolgáló címe és portja, amelyet a kiszolgáló az internethez való csatlakozáshoz használ.
  • A JOGKIVONAT az SIEM-ügynök jogkivonata, amelyről az előző lépésben készített másolatot.

Ha segítségre van szüksége, bármikor beírhatja a -h paramétert.

Mintául szolgáló tevékenységnaplók

Az alábbiakban a SIEM-nek küldött mintatevékenység-naplók találhatók:

2017-11-22T17:50:04.000Z CEF:0|MCAS|SIEM_Agent|0.111.85|EVENT_CATEGORY_LOGOUT|Log out|0|externalId=1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0 rt=1511373004000 start=1511373004000 end=1511373004000 msg=Log out suser=admin@contoso.com destinationServiceName=ServiceNow dvc=13.82.149.151 requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:40:15.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_VIEW_REPORT|View report|0|externalId=1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a rt=1511898015000 start=1511898015000 end=1511898015000 msg=View report: ServiceNow Report 23 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=23,sys_report,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:25:34.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798 rt=1511897134000 start=1511897134000 end=1511897134000 msg=Delete object: ServiceNow Object f5122008db360300906ff34ebf96198a suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-27T20:40:14.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_CREATE_USER|Create user|0|externalId=1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c rt=1511815214000 start=1511815214000 end=1511815214000 msg=Create user: user 747518c0db360300906ff34ebf96197c suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,747518c0db360300906ff34ebf96197c,sys_user,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-27T20:41:20.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_DELETE_USER|Delete user|0|externalId=1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383 rt=1511815280000 start=1511815280000 end=1511815280000 msg=Delete user: user 233490c0db360300906ff34ebf9619ef suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,233490c0db360300906ff34ebf9619ef,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:24:55.000Z LAB-EUW-ARCTEST CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897117617_5be018ee-f676-4473-a9b5-5982527409be rt=1511897095000 start=1511897095000 end=1511897095000 msg=Delete object: ServiceNow Object b1709c40db360300906ff34ebf961923 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897117617_5be018ee-f676-4473-a9b5-5982527409be,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

Az alábbi szöveg egy riasztási naplófájlra mutat példát:

2017-07-15T20:42:30.531Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|myPolicy|3|externalId=596a7e360c204203a335a3fb start=1500151350531 end=1500151350531 msg=Activity policy ''myPolicy'' was triggered by ''admin@box-contoso.com'' suser=admin@box-contoso.com destinationServiceName=Box cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596a7e360c204203a335a3fb cs2Label=uniqueServiceAppIds cs2=APPID_BOX cs3Label=relatedAudits cs3=1500151288183_acc891bf-33e1-424b-a021-0d4370789660 cs4Label=policyIDs cs4=59f0ab82f797fa0681e9b1c7

2017-07-16T09:36:26.550Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b339b0c204203a33a51ae start=1500197786550 end=1500197786550 msg=Activity policy ''test-activity-policy'' was triggered by ''user@contoso.com'' suser=user@contoso.com destinationServiceName=Salesforce cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b339b0c204203a33a51ae cs2Label=uniqueServiceAppIds cs2=APPID_SALESFORCE cs3Label=relatedAudits cs3=1500197720691_b7f6317c-b8de-476a-bc8f-dfa570e00349 cs4Label=policyIDs cs4=

2017-07-16T09:17:03.361Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy3|3|externalId=596b2fd70c204203a33a3eeb start=1500196623361 end=1500196623361 msg=Activity policy ''test-activity-policy3'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Office 365 cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eeb cs2Label=uniqueServiceAppIds cs2=APPID_O365 cs3Label=relatedAudits cs3=1500196549157_a0e01f8a-e29a-43ae-8599-783c1c11597d cs4Label=policyIDs cs4=

2017-07-16T09:17:15.426Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b2fd70c204203a33a3eec start=1500196635426 end=1500196635426 msg=Activity policy ''test-activity-policy'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft 365 admin center cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eec cs2Label=uniqueServiceAppIds cs2=APPID_O365_PORTAL cs3Label=relatedAudits cs3=1500196557398_3e102b20-d9fa-4f66-b550-8c7a403bb4d8 cs4Label=policyIDs cs4=59f0ab35f797fa9811e9b1c7

2017-07-16T09:17:46.290Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy4|3|externalId=596b30200c204203a33a4765 start=1500196666290 end=1500196666290 msg=Activity policy ''test-activity-policy4'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft Exchange Online cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b30200c204203a33a4765 cs2Label=uniqueServiceAppIds cs2=APPID_OUTLOOK cs3Label=relatedAudits cs3=1500196587034_a8673602-7e95-46d6-a1fe-c156c4709c5d cs4Label=policyIDs cs4=

2017-07-16T09:41:04.369Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy2|3|externalId=596b34b10c204203a33a5240 start=1500198064369 end=1500198064369 msg=Activity policy ''test-activity-policy2'' was triggered by ''user2@test15-adallom.com'' suser=user2@test15-adallom.com destinationServiceName=Google cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b34b10c204203a33a5240 cs2Label=uniqueServiceAppIds cs2=APPID_33626 cs3Label=relatedAudits cs3=1500197996117_fd71f265-1e46-4f04-b372-2e32ec874cd3 cs4Label=policyIDs cs4=

Minta Felhőhöz készült Defender Apps-riasztások CEF formátumban

A CEF mezőnév Description
Tevékenységek/riasztások start Tevékenység vagy riasztás időbélyege
Tevékenységek/riasztások befejezés Tevékenység vagy riasztás időbélyege
Tevékenységek/riasztások Rt Tevékenység vagy riasztás időbélyege
Tevékenységek/riasztások msg Tevékenység vagy riasztás leírása a portálon látható módon
Tevékenységek/riasztások suser Tevékenység vagy riasztás tárgyának felhasználója
Tevékenységek/riasztások destinationServiceName Az alkalmazásból származó tevékenység vagy riasztás, például Office 365, SharePoint, Box.
Tevékenységek/riasztások csXLabel<> Minden címkének más jelentése van, de maga a címke magyarázza, például targetObjects.
Tevékenységek/riasztások csX<> A címkének megfelelő információk (a tevékenység vagy riasztás célfelhasználója a címke példájának megfelelően).
Tevékenységek EVENT_CATEGORY_* A tevékenység magas szintű kategóriája
Tevékenységek <AKCIÓ> A tevékenység típusa a portálon látható módon
Tevékenységek externalId Eseményazonosító
Tevékenységek Dvc Az ügyféleszköz IP-címe
Tevékenységek requestClientApplication Az ügyféleszköz felhasználói ügynöke
Riasztások <riasztás típusa> Például: "ALERT_CABINET_EVENT_MATCH_AUDIT"
Riasztások <név> Az egyező szabályzat neve
Riasztások externalId Riasztás azonosítója
Riasztások src Az ügyféleszköz IPv4-címe
Riasztások c6a1 Az ügyféleszköz IPv6-címe

3. lépés: Az SIEM működésének ellenőrzése

  1. Győződjön meg arról, hogy a SIEM-ügynök állapota az Felhőhöz készült Defender Apps portálon nem csatlakozási hiba vagy leválasztva, és nincsenek ügynökértesítések. Kapcsolati hibaként jelenik meg, ha a kapcsolat több mint két órán keresztül nem működik. Ha a kapcsolat több mint 12 órán keresztül megszakadt, az állapot megszakadt állapotúként jelenik meg. SIEM disconnected.

    Ehelyett az állapotnak csatlakoznia kell, ahogy az itt látható: SIEM connected.

  2. A Syslog/SIEM-kiszolgálón győződjön meg arról, hogy látja az Felhőhöz készült Defender-alkalmazásokból érkező tevékenységeket és riasztásokat.

A jogkivonat újragenerálása

Ha elveszíti a jogkivonatot, a tábla SIEM-ügynökének sorának végén található három pontra kattintva bármikor újragenerálhatja azt. Új jogkivonat beszerzéséhez válassza az Újragenerálás jogkivonatot .

SIEM - regenerate token.

Az SIEM-ügynök szerkesztése

A SIEM-ügynök szerkesztéséhez jelölje ki a táblázat SIEM-ügynökének sorának végén található három elemet, és válassza a Szerkesztés lehetőséget. Ha szerkeszti a SIEM-ügynököt, nem kell újrafuttatnia a .jar fájlt, az automatikusan frissül.

SIEM - edit.

Az SIEM-ügynök törlése

A SIEM-ügynök törléséhez válassza ki a táblázat SIEM-ügynökének sorának végén található három elemet, majd válassza a Törlés lehetőséget.

SIEM - delete.

Következő lépések

Ha bármilyen problémába ütközik, azért vagyunk itt, hogy segítsünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson meg egy támogatási jegyet.