SIEM-integrációSIEM integration

A Cloud App Security most már integrálható a SIEM-kiszolgáló engedélyezéséhez az Office 365-riasztások és a tevékenységek központi figyelését.You can now integrate Cloud App Security with your SIEM server to enable centralized monitoring of Office 365 alerts and activities. Új tevékenységeknek és eseményeknek támogatottak az Office 365, mivel azok láthatósága van majd megkezdődött a Cloud App Security.As new activities and events are supported by Office 365, visibility into them is then rolled out into Cloud App Security. Az SIEM szolgáltatással történő integrálás növeli a felhőalkalmazások biztonságát, miközben megőrizheti a szokásos biztonsági munkafolyamatokat, automatizálhatja a biztonsági eljárásokat, valamint összekapcsolhatja a felhőalapú és a helyszíni eseményeket.Integrating with a SIEM service allows you to better protect your cloud applications while maintaining your usual security workflow, automating security procedures and correlating between cloud-based and on-premises events. A Cloud App Security SIEM-ügynöke a kiszolgálón fut, a riasztásokat és a tevékenységeket a Cloud App Security szolgáltatásból olvassa be, majd továbbítja azokat az SIEM-kiszolgálóra.The Cloud App Security SIEM agent runs on your server and pulls alerts and activities from Cloud App Security and streams them into the SIEM server.

A SIEM Cloud App Security szolgáltatással történő első integrálásakor a rendszer továbbítja a SIEM felé az utolsó két nap tevékenységeit és riasztásait, amit ettől kezdve minden tevékenységre és riasztásra vonatkozóan végrehajt majd (a beállított szűrő alapján).When you first integrate your SIEM with Cloud App Security, activities and alerts from the last two days will be forwarded to the SIEM and all activities and alerts (based on the filter you select) from then on. Ezenkívül, ha ezt a funkciót hosszabb időre letiltja, az ismételt engedélyezéskor a rendszer az előző két nap riasztásait és tevékenységeit továbbítja majd, amit ettől kezdve minden tevékenységre és riasztásra vonatkozóan végrehajt.Additionally, if you disable this feature for an extended period, when you enable it again it will forward the past two days of alerts and activities and then all alerts and activities from then on.

A SIEM-integráció architektúrájaSIEM integration architecture

A SIEM-ügynök a szervezet hálózatán van telepítve.The SIEM agent is deployed in your organization’s network. Ha telepítve és konfigurálva, kérjen-e az adatok, amelyek volt konfigurálva (a riasztások és a tevékenységek) Cloud App Security RESTful API-k használatával.When deployed and configured, it pulls the data types that were configured (alerts and activities) using Cloud App Security RESTful APIs. Ezután a forgalom a 443-as porton lévő titkosított csatornán keresztül halad.The traffic is then sent over an encrypted HTTPS channel on port 443.

Miután a SIEM-ügynök lekérdezte az adatokat a Cloud App Security szolgáltatásból, a telepítés során megadott hálózati konfigurációk használatával (TCP vagy UDP egyéni porttal) elküldi a Syslog-üzeneteket a helyi SIEM-re.Once the SIEM agent retrieves the data from Cloud App Security, it sends the Syslog messages to your local SIEM using the network configurations you provided during the setup (TCP or UDP with a custom port).

A SIEM-integráció architektúrája

Az integrálás meneteHow to integrate

Az SIEM-mel történő integrálást három lépésben lehet megvalósítani:Integrating with your SIEM is accomplished in three steps:

  1. Beállítás a Cloud App Security portálon.Set it up in the Cloud App Security portal.
  2. A JAR-fájl letöltése és futtatása a kiszolgálón.Download the JAR file and run it on your server.
  3. Ellenőrizze, hogy működik-e a SIEM-ügynök.Validate that the SIEM agent is working.

ElőfeltételekPrerequisites

  • Szabványos Windows vagy Linux rendszerű kiszolgáló (virtuális gép is lehet).A standard Windows or Linux server (can be a virtual machine).
  • A kiszolgálón csak Java 8 futhat, a korábbi verziók nem támogatottak.The server must be running Java 8; earlier versions are not supported.

Integráció az SIEM-melIntegrating with your SIEM

1. lépés: Beállítás a Cloud App Security portálonStep 1: Set it up in the Cloud App Security portal

  1. A beállítások fogaskerék ikonjára, a Cloud App Security portálon kattintson biztonsági bővítmények majd kattintson a a SIEM-ügynökök fülre.In the Cloud App Security portal, under the Settings cog, click Security extensions and then click on the SIEM agents tab.

  2. A plusz ikonra kattintva indítsa el a hozzáadása SIEM-ügynök varázsló.Click the plus icon to start the Add SIEM agent wizard.

  3. A varázslóban kattintson az SIEM-ügynök hozzáadása elemre.In the wizard, click Add SIEM agent.
  4. A varázsló segítségével adja meg a nevet, válassza ki az SIEM formátumát, és végezze el a formátumra vonatkozó speciális beállítások konfigurálását.In the wizard, fill in a name, and Select your SIEM format and set any Advanced settings that are relevant to that format. Kattintson a Tovább gombra.Click Next.

    Általános SIEM-beállítások

  5. Írja be a távoli Syslog gazdagépének IP-címét vagy állomásnevét és a Syslog portszámát.Type in the IP address or hostname of the Remote syslog host and the Syslog port number. Adja meg a TCP vagy UDP lehetőséget a távoli Syslog protokolljaként.Select TCP or UDP as the Remote Syslog protocol. Ha nem rendelkezik ezekkel az adatokkal, a biztonsági adminisztrátorral együttműködve szerezze be őket.You can work with your security admin to get these details if you don't have them. Kattintson a Tovább gombra.Click Next. A távoli Syslog beállításaiRemote Syslog settings

  6. Válassza ki az SIEM-kiszolgálóra exportálandó adattípusokat, riasztásokat és tevékenységeket.Select which data types, Alerts and Activities you want to export to your SIEM server. Ezeket a csúszka segítségével engedélyezheti vagy tilthatja le. Alapértelmezés szerint minden lehetőség ki van választva.Use the slider to enable and disable them, by default, everything is selected. A Hatókör legördülő lista szűrőivel beállíthatja, hogy a rendszer csak konkrét riasztásokat és tevékenységeket küldjön az SIEM-kiszolgálóra.You can use the Apply to drop-down to set filters to send only specific alerts and activities to your SIEM server. A Szerkesztés és az eredmények előnézete elemre kattintva ellenőrizheti, hogy a szűrő a várt módon működik-e.You can click Edit and preview results to check that the filter works as expected. Kattintson a Tovább gombra.Click Next.

    Az adattípusok beállításai

  7. Végezze el a jogkivonat másolását, és későbbi használatra mentse azt.Copy the token and save it for later. Miután a Befejezés gombra kattint, és kilép a varázslóból, az SIEM lapra visszatérve láthatja a táblában a felvett SIEM-ügynököt.After you click Finish and leave the Wizard, back in the SIEM page, you can see the SIEM agent you added in the table. Az ügynök a későbbi csatlakoztatásig Létrehozva állapotú.It will show that it's Created until it’s connected later.

2. lépés: A JAR-fájl letöltése és futtatása a kiszolgálónStep 2: Download the JAR file and run it on your server

  1. Töltse le a .zip kiterjesztésű fájlt a Microsoft letöltőközpontból, és bontsa ki azt.Download the .zip file from the Microsoft Download Center and unzip it.

  2. Bontsa ki a .jar kiterjesztésű fájlt a ZIP-fájlból, majd futtassa azt a kiszolgálón.Extract the .jar file from the zip file and run it on your server. A fájl futtatása után végezze el az alábbi parancs futtatását:After running the file, run the following:

    java -jar msac-siemagent-0.87.20-signed.jar [--logsDirectory KÖNYVTÁRNÉV] [--proxy CÍM[:PORT]] --token JOGKIVONATjava -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN

    Megjegyzés
    • A fájlnév az SIEM-ügynök aktuális verziójától függően eltérhet.The file name may differ depending on the version of the SIEM agent.
    • A szögletes zárójelekben szereplő paraméterek nem kötelezők, csak szükség esetén alkalmazandók.Parameters in brackets [] are optional, and should be used only if relevant.

A következő változók használhatók:Where the following variables are used:

  • A KÖNYVTÁRNÉV a helyi ügynök hibakeresési naplóinak tárolására szolgáló könyvtár elérési útja.DIRNAME is the path to the directory you want to use for local agent debug logs.
  • A CÍM[:PORT] az a proxykiszolgálói cím és port, amelyet a kiszolgáló az internetre történő kapcsolódáshoz használ.ADDRESS[:PORT] is the proxy server address and port that the server uses to connect to the Internet.
  • A JOGKIVONAT az SIEM-ügynök jogkivonata, amelyről az előző lépésben készített másolatot.TOKEN is the SIEM agent token you copied in the previous step.

Ha segítségre van szüksége, bármikor beírhatja a -h paramétert.You can type -h at any time to get help.

A minta tevékenységi naplóit a siem-rendszerébe küldött a következők:The following are sample activity logs sent to your SIEM:

    2017-07-11T19:14:55.895Z CEF:0|MCAS|SIEM_Agent|0.102.17|EVENT_CATEGORY_LOGIN|Log on|0|externalId=1499800495894_e453bc33-a7c1-48f7-8397-8ae8e2758183 start=1499800495895 end=1499800495895 msg=Log on suser=admin@contoso.com destinationServiceName=Microsoft Exchange Online dvc=13.82.149.151 requestClientApplication=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/59.0.3071.115 Safari/537.36 machine_id_149980022970038514 cs1Label=portalURL cs1=https://cloud-app-security.com/#/audits?activity.id\=eq(1499800495894_e453bc33-a7c1-48f7-8397-8ae8e2758183,) cs2Label=uniqueServiceAppIds cs2=APPID_OUTLOOK cs3Label=targetObjects cs3=admin@contoso.com c6a1Label="Device IPv6 Address" c6a1=
    2017-07-11T19:14:56.781Z CEF:0|MCAS|SIEM_Agent|0.102.17|EVENT_CATEGORY_DOWNLOAD_FILE|Download file|0|externalId=1499800496781_2e50118e-dee7-40d7-b912-b81a10feed28 start=1499800496781 end=1499800496781 msg=Download file: file name50280117yyct6t.xlsx suser=roy@adallom.com.test destinationServiceName=Salesforce dvc=13.82.149.151 requestClientApplication=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/59.0.3071.115 Safari/537.36 machine_id_149979855250880034 cs1Label=portalURL cs1=https://cloud-app-security/#/audits?activity.id\=eq(1499800496781_2e50118e-dee7-40d7-b912-b81a10feed28,) cs2Label=uniqueServiceAppIds cs2=APPID_SALESFORCE cs3Label=targetObjects cs3=name50280117yyct6t.xlsx c6a1Label="Device IPv6 Address" c6a1=
    2017-07-11T19:16:04.666Z CEF:0|MCAS|SIEM_Agent|0.102.17|EVENT_CATEGORY_SSO_LOGIN|Single sign-on log on|0|externalId=1499800564666_06496600-edde-4d81-a995-7632e70fb24f start=1499800564666 end=1499800564666 msg=Single sign-on log on suser=admin@contoso.com destinationServiceName=Microsoft Online Services dvc=13.82.149.151 requestClientApplication=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/59.0.3071.115 Safari/537.36 machine_id_149980039637481908 cs1Label=portalURL cs1=https://cloud-app-security.com/#/audits?activity.id\=eq(1499800564666_06496600-edde-4d81-a995-7632e70fb24f,) cs2Label=uniqueServiceAppIds cs2=APPID_11394 cs3Label=targetObjects cs3=admin@contoso.com c6a1Label="Device IPv6 Address" c6a1=
    2017-07-12T13:28:29.067Z CEF:0|MCAS|SIEM_Agent|0.102.17|EVENT_CATEGORY_DOWNLOAD_FILE|Download file|0|externalId=1499866109067_8e3fae2c-ca5b-4163-84b6-fb9a03c4d052 start=1499866109067 end=1499866109067 msg=Download file: file CC004.txt suser=admin@box-contoso.com destinationServiceName=Box dvc=194.69.102.134 requestClientApplication=Mozilla/5.0 (Linux; Android 7.0; SAMSUNG SM-G930F Build/NRD90M) AppleWebKit/537.36 (KHTML, like Gecko) SamsungBrowser/5.0 Chrome/51.0.2704.106 Mobile Safari/537.36 cs1Label=portalURL cs1=https://cloud-app-security.com/#/audits?activity.id\=eq(1499866109067_8e3fae2c-ca5b-4163-84b6-fb9a03c4d052,) cs2Label=uniqueServiceAppIds cs2=APPID_BOX cs3Label=targetObjects cs3=CC004.txt c6a1Label="Device IPv6 Address" c6a1=
    2017-07-12T14:15:33.901Z CEF:0|MCAS|SIEM_Agent|0.102.17|EVENT_CATEGORY_UPLOAD_FILE|Upload file|0|externalId=1499868933901_72c21ebe-c206-4d8c-a41b-224035868d09 start=1499868933901 end=1499868933901 msg=Upload file: file response.txt suser=user1@test15-adallom.com destinationServiceName=Google Drive dvc=194.69.102.134 requestClientApplication=Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; Touch; rv:11.0) like Gecko cs1Label=portalURL cs1=https://cloud-app-security.com/#/audits?activity.id\=eq(1499868933901_72c21ebe-c206-4d8c-a41b-224035868d09,) cs2Label=uniqueServiceAppIds cs2=APPID_26069 cs3Label=targetObjects cs3=response.txt c6a1Label="Device IPv6 Address" c6a1=
    2017-07-12T18:53:16.519Z CEF:0|MCAS|SIEM_Agent|0.102.17|EVENT_CATEGORY_LOGIN|Log on|0|externalId=1499885596519_ed261269-9b07-4418-9ded-8cad464d677f start=1499885596519 end=1499885596519 msg=Log on suser=admin@contoso.com destinationServiceName=Office 365 dvc=13.82.149.151 requestClientApplication=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/59.0.3071.115 Safari/537.36 machine_id_149988543613557447 cs1Label=portalURL cs1=https://cloud-app-security.com/#/audits?activity.id\=eq(1499885596519_ed261269-9b07-4418-9ded-8cad464d677f,) cs2Label=uniqueServiceAppIds cs2=APPID_O365 cs3Label=targetObjects cs3=admin@contoso.com c6a1Label="Device IPv6 Address" c6a1=

Továbbá az alábbi riasztások logfile példa:As well as the following alerts logfile example:

  2017-07-15T20:42:30.531Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|myPolicy|3|externalId=596a7e360c204203a335a3fb start=1500151350531 end=1500151350531 msg=Activity policy ''myPolicy'' was triggered by ''admin@box-contoso.com'' suser=admin@box-contoso.com destinationServiceName=Box cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596a7e360c204203a335a3fb cs2Label=uniqueServiceAppIds cs2=APPID_BOX cs3Label=relatedAudits cs3=1500151288183_acc891bf-33e1-424b-a021-0d4370789660
  2017-07-16T09:36:26.550Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b339b0c204203a33a51ae start=1500197786550 end=1500197786550 msg=Activity policy ''test-activity-policy'' was triggered by ''user@contoso.com'' suser=user@contoso.com destinationServiceName=Salesforce cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b339b0c204203a33a51ae cs2Label=uniqueServiceAppIds cs2=APPID_SALESFORCE cs3Label=relatedAudits cs3=1500197720691_b7f6317c-b8de-476a-bc8f-dfa570e00349
  2017-07-16T09:17:03.361Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy3|3|externalId=596b2fd70c204203a33a3eeb start=1500196623361 end=1500196623361 msg=Activity policy ''test-activity-policy3'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Office 365 cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eeb cs2Label=uniqueServiceAppIds cs2=APPID_O365 cs3Label=relatedAudits cs3=1500196549157_a0e01f8a-e29a-43ae-8599-783c1c11597d
  2017-07-16T09:17:15.426Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b2fd70c204203a33a3eec start=1500196635426 end=1500196635426 msg=Activity policy ''test-activity-policy'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft Office 365 admin center cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eec cs2Label=uniqueServiceAppIds cs2=APPID_O365_PORTAL cs3Label=relatedAudits cs3=1500196557398_3e102b20-d9fa-4f66-b550-8c7a403bb4d8
  2017-07-16T09:17:46.290Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy4|3|externalId=596b30200c204203a33a4765 start=1500196666290 end=1500196666290 msg=Activity policy ''test-activity-policy4'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft Exchange Online cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b30200c204203a33a4765 cs2Label=uniqueServiceAppIds cs2=APPID_OUTLOOK cs3Label=relatedAudits cs3=1500196587034_a8673602-7e95-46d6-a1fe-c156c4709c5d
  2017-07-16T09:41:04.369Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy2|3|externalId=596b34b10c204203a33a5240 start=1500198064369 end=1500198064369 msg=Activity policy ''test-activity-policy2'' was triggered by ''user2@test15-adallom.com'' suser=user2@test15-adallom.com destinationServiceName=Google cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b34b10c204203a33a5240 cs2Label=uniqueServiceAppIds cs2=APPID_33626 cs3Label=relatedAudits cs3=1500197996117_fd71f265-1e46-4f04-b372-2e32ec874cd3

3. lépés: Az SIEM működésének ellenőrzéseStep 3: Validate that the SIEM agent is working

  1. A Cloud App Security portálon győződjön meg arról, hogy az SIEM-ügynök nem Kapcsolati hiba vagy Leválasztva állapotú, és nincsenek ügynökhöz tartozó értesítések.Make sure the status of the SIEM agent in the Cloud App Security portal is not Connection error or Disconnected and there are no agent notifications. Akkor jelenik meg Kapcsolati hiba állapot, ha a kapcsolat több mint két órája nem működött, a Leválasztva pedig akkor, ha több, mint 12 órája nem működött.It will show up as Connection error if the connection is down for more than two hours and as Disconnected if the connection is down for over 12 hours. SIEM leválasztvaSIEM disconnected

    Ehelyett az állapot kell csatlakoztatni, ahogy az képen látható: SIEM csatlakoztatvaInstead, the status should be connected, as seen here: SIEM connected

  2. A Syslog/SIEM-kiszolgálón ellenőrizze, hogy Cloud App Security szolgáltatásból származó tevékenységeket és riasztásokat lát-e.In your Syslog/SIEM server, make sure you see activities and alerts arriving from Cloud App Security.

A jogkivonat újragenerálásaRegenerating your token

Ha elveszíti a jogkivonatot, bármikor újragenerálhatja azt az SIEM-ügynökhöz tartozó táblasor végén lévő három pontra és a Jogkivonat újragenerálása elemre kattintva.If you lose the token, you can always regenerate it by clicking the three dots at the end of the row for the SIEM agent in the table, and selecting Regenerate token.

SIEM – jogkivonat újragenerálása

Az SIEM-ügynök szerkesztéseEditing your SIEM agent

Az SIEM-ügynökhöz tartozó táblasor végén lévő három pontra és a Szerkesztés elemre kattintva a későbbiekben bármikor módosíthatja az SIEM-ügynököt.If you need to edit the SIEM agent in the future, you can click on the three dots at the end of the row for the SIEM agent in the table, and select Edit. Az SIEM-ügynök szerkesztésekor nincs szükség a .jar kiterjesztésű fájl ismételt futtatására, az ügynök automatikusan frissül.If you edit the SIEM agent, you do not need to rerun the .jar file, it updates automatically.

SIEM – szerkesztés

Az SIEM-ügynök törléseDeleting your SIEM agent

Az SIEM-ügynökhöz tartozó táblasor végén lévő három pontra és a Törlés elemre kattintva a későbbiekben bármikor törölheti az SIEM-ügynököt.If you need to delete the SIEM agent in the future, you can click on the three dots at the end of the row for the SIEM agent in the table, and select Delete.

SIEM – törlés

Megjegyzés

Ez a funkció nyilvános előzetes verzióban érhető el.This feature is in public preview.

Magas rendelkezésre állású lehetőségHigh availability options

A SIEM-ügynök egy végpontot, amely támogatja az állásidő legfeljebb két napig helyreállítását.The SIEM agent is a single endpoint that supports recovery of up to two days of downtime. A magas rendelkezésre állás további mérték azzal, hogy az ügyfél-végpontként terheléselosztó érheti el.Additional measure of high availability can be achieved by having a load balancer as the customer endpoint.

A Cloud App Security az SIEM-összekötő telepítéseInstall the SIEM Connector for Cloud App Security

Lásd még:See Also

SIEM-integráció hibáinak elhárítása Troubleshooting SIEM integration issues
Műszaki támogatást a Cloud App Security személyes támogatási oldalán kaphat. For technical support, please visit the Cloud App Security assisted support page.
A Premier ügyfelek a Premier portálról közvetlenül is kiválaszthatják a Cloud App Security szolgáltatást.Premier customers can also choose Cloud App Security directly from the Premier Portal.