Integrasi SIEM generik

  • Artikel
  • 8 menit untuk membaca

Catatan

  • Kami telah mengganti nama Microsoft Cloud App Security. Sekarang disebut Microsoft Defender for Cloud Apps. Dalam beberapa minggu mendatang, kami akan memperbarui cuplikan layar dan instruksi di sini dan di halaman terkait. Untuk informasi selengkapnya tentang perubahan tersebut, lihat pengumuman ini. Untuk mempelajari selengkapnya tentang penggantian nama layanan keamanan Microsoft baru-baru ini, lihat blog Microsoft Ignite Security.

  • Microsoft Defender for Cloud Apps sekarang menjadi bagian dari Pertahanan Microsoft 365. Portal Pertahanan Microsoft 365 memungkinkan admin keamanan untuk melakukan tugas keamanan mereka di satu lokasi. Ini akan menyederhanakan alur kerja, dan menambahkan fungsionalitas layanan Pertahanan Microsoft 365 lainnya. Pertahanan Microsoft 365 akan menjadi rumah bagi pemantauan dan pengelolaan keamanan di seluruh identitas, data, perangkat, aplikasi, dan infrastruktur Microsoft Anda. Untuk informasi selengkapnya tentang perubahan ini, lihat Microsoft Defender for Cloud Apps di Pertahanan Microsoft 365.

Anda dapat mengintegrasikan Microsoft Defender for Cloud Apps dengan server SIEM generik Anda untuk memungkinkan pemantauan pemberitahuan dan aktivitas terpusat dari aplikasi yang terhubung. Karena aktivitas dan peristiwa baru didukung oleh aplikasi yang terhubung, visibilitas ke dalamnya kemudian diluncurkan ke Microsoft Defender for Cloud Apps. Mengintegrasikan dengan layanan SIEM memungkinkan Anda melindungi aplikasi cloud dengan lebih baik sambil mempertahankan alur kerja keamanan yang biasa, mengotomatiskan prosedur keamanan, dan berkorelasi antara peristiwa berbasis cloud dan lokal. Agen SIEM Microsoft Defender for Cloud Apps berjalan di server Anda dan menarik pemberitahuan dan aktivitas dari Microsoft Defender for Cloud Apps dan mengalirkannya ke server SIEM.

Ketika Anda pertama kali mengintegrasikan SIEM Anda dengan Defender untuk Cloud Apps, aktivitas dan pemberitahuan dari dua hari terakhir akan diteruskan ke SIEM dan semua aktivitas dan pemberitahuan (berdasarkan filter yang Anda pilih) sejak saat itu. Jika Anda menonaktifkan fitur ini untuk jangka waktu yang lama, aktifkan kembali, dua hari terakhir pemberitahuan dan aktivitas diteruskan lalu semua pemberitahuan dan aktivitas sejak saat itu.

Solusi integrasi tambahan meliputi:

Penting

Jika Anda mengintegrasikan Pertahanan Microsoft untuk Identitas di Defender untuk Cloud Apps dan kedua layanan dikonfigurasi untuk mengirim pemberitahuan pemberitahuan ke SIEM, Anda akan mulai menerima pemberitahuan SIEM duplikat untuk pemberitahuan yang sama. Satu pemberitahuan akan dikeluarkan dari setiap layanan dan mereka akan memiliki ID pemberitahuan yang berbeda. Untuk menghindari duplikasi dan kebingungan, pastikan untuk menangani skenario. Misalnya, putuskan di mana Anda ingin melakukan manajemen pemberitahuan, lalu hentikan pemberitahuan SIEM yang dikirim dari layanan lain.

Arsitektur integrasi SIEM generik

Agen SIEM disebarkan di jaringan organisasi Anda. Saat disebarkan dan dikonfigurasi, ia menarik jenis data yang dikonfigurasi (pemberitahuan dan aktivitas) menggunakan DEFENDER UNTUK CLOUD Apps RESTful API. Lalu lintas kemudian dikirim melalui saluran HTTPS terenkripsi pada port 443.

Setelah agen SIEM mengambil data dari Defender untuk Cloud Apps, agen SIEM mengirim pesan Syslog ke SIEM lokal Anda. Defender untuk Cloud Apps menggunakan konfigurasi jaringan yang Anda berikan selama penyiapan (TCP atau UDP dengan port kustom).

SIEM integration architecture.

SIEM yang didukung

Defender untuk Cloud Apps saat ini mendukung Micro Focus ArcSight dan CEF generik.

Cara berintegrasi

Mengintegrasikan dengan SIEM Anda dicapai dalam tiga langkah:

  1. Siapkan di portal Defender untuk Cloud Apps.
  2. Unduh file JAR dan jalankan di server Anda.
  3. Validasi bahwa agen SIEM berfungsi.

Prasyarat

  • Windows standar atau server Linux (bisa menjadi komputer virtual).
  • OS: Windows atau Linux
  • CPU: 2
  • Ruang disk: 20 GB
  • RAM: 2 GB
  • Server harus menjalankan Java 8. Versi sebelumnya tidak didukung.
  • Keamanan Lapisan Transportasi (TLS) 1.2+. Versi sebelumnya tidak didukung.
  • Atur firewall Anda seperti yang dijelaskan dalam Persyaratan jaringan

Mengintegrasikan dengan SIEM Anda

Langkah 1: Menyiapkannya di portal Defender untuk Cloud Apps

  1. Di portal Defender untuk Cloud Apps, di bawah Pengaturan cog, pilih Ekstensi keamanan.

  2. Pada tab agen SIEM , pilih "tambahkan" (+), lalu pilih SIEM Generik.

    Screenshot showing Add SIEM integration menu.

  3. Di wizard, pilih Mulai Wizard.

  4. Di wizard, isi nama, dan Pilih format SIEM Anda dan atur pengaturan Tingkat Lanjut apa pun yang relevan dengan format tersebut. Pilih Selanjutnya.

    General SIEM settings.

  5. Ketik alamat IP atau nama host host syslog Jarak Jauh dan nomor port Syslog. Pilih TCP atau UDP sebagai protokol Syslog Jarak Jauh. Anda dapat bekerja dengan admin keamanan untuk mendapatkan detail ini jika Anda tidak memilikinya. Pilih Selanjutnya.

    Remote Syslog settings.

  6. Pilih jenis data mana yang ingin Anda ekspor ke server SIEM Anda untuk Pemberitahuan dan Aktivitas. Gunakan slider untuk mengaktifkan dan menonaktifkannya, secara default, semuanya dipilih. Anda dapat menggunakan drop-down Terapkan ke untuk mengatur filter untuk mengirim hanya pemberitahuan dan aktivitas tertentu ke server SIEM Anda. Pilih Edit dan pratinjau hasil untuk memeriksa apakah filter berfungsi seperti yang diharapkan. Pilih Selanjutnya.

    Data types settings.

  7. Salin token dan simpan untuk nanti. Pilih Selesai dan tinggalkan Wizard. Kembali ke halaman SIEM untuk melihat agen SIEM yang Anda tambahkan dalam tabel. Ini akan menunjukkan bahwa itu Dibuat sampai tersambung nanti.

Catatan

Token apa pun yang Anda buat terikat dengan admin yang membuatnya. Ini berarti bahwa jika pengguna admin dihapus dari Defender untuk Cloud Apps, token tidak akan valid lagi. Token SIEM generik menyediakan izin baca-saja untuk satu-satunya sumber daya yang diperlukan. Tidak ada izin lain yang diberikan bagian dari token ini.

Langkah 2: Unduh file JAR dan jalankan di server Anda

  1. Di Pusat Unduhan Microsoft, setelah menerima persyaratan lisensi perangkat lunak, unduh file .zip dan buka zipnya.

  2. Jalankan file yang diekstrak di server Anda:

    java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN

Catatan

  • Nama file mungkin berbeda tergantung pada versi agen SIEM.
  • Parameter dalam tanda kurung [ ] bersifat opsional, dan harus digunakan hanya jika relevan.
  • Disarankan untuk menjalankan JAR selama startup server.
    • Windows: Jalankan sebagai tugas terjadwal dan pastikan Anda mengonfigurasi tugas untuk Menjalankan apakah pengguna masuk atau tidak dan Anda menghapus centang kotak centang Hentikan tugas jika berjalan lebih lama dari kotak centang.
    • Linux: Tambahkan perintah jalankan dengan & ke file rc.local. Misalnya: java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN &

Di mana variabel berikut digunakan:

  • DIRNAME adalah jalur ke direktori yang ingin Anda gunakan untuk log debug agen lokal.
  • ADDRESS[:P ORT] adalah alamat server proksi dan port yang digunakan server untuk terhubung ke internet.
  • TOKEN adalah token agen SIEM yang Anda salin di langkah sebelumnya.

Anda dapat mengetik -h kapan saja untuk mendapatkan bantuan.

Sampel log aktivitas

Berikut ini adalah contoh log aktivitas yang dikirim ke SIEM Anda:

2017-11-22T17:50:04.000Z CEF:0|MCAS|SIEM_Agent|0.111.85|EVENT_CATEGORY_LOGOUT|Log out|0|externalId=1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0 rt=1511373004000 start=1511373004000 end=1511373004000 msg=Log out suser=admin@contoso.com destinationServiceName=ServiceNow dvc=13.82.149.151 requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:40:15.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_VIEW_REPORT|View report|0|externalId=1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a rt=1511898015000 start=1511898015000 end=1511898015000 msg=View report: ServiceNow Report 23 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=23,sys_report,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:25:34.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798 rt=1511897134000 start=1511897134000 end=1511897134000 msg=Delete object: ServiceNow Object f5122008db360300906ff34ebf96198a suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-27T20:40:14.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_CREATE_USER|Create user|0|externalId=1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c rt=1511815214000 start=1511815214000 end=1511815214000 msg=Create user: user 747518c0db360300906ff34ebf96197c suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,747518c0db360300906ff34ebf96197c,sys_user,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-27T20:41:20.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_DELETE_USER|Delete user|0|externalId=1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383 rt=1511815280000 start=1511815280000 end=1511815280000 msg=Delete user: user 233490c0db360300906ff34ebf9619ef suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,233490c0db360300906ff34ebf9619ef,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:24:55.000Z LAB-EUW-ARCTEST CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897117617_5be018ee-f676-4473-a9b5-5982527409be rt=1511897095000 start=1511897095000 end=1511897095000 msg=Delete object: ServiceNow Object b1709c40db360300906ff34ebf961923 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897117617_5be018ee-f676-4473-a9b5-5982527409be,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

Teks berikut adalah contoh logfile pemberitahuan:

2017-07-15T20:42:30.531Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|myPolicy|3|externalId=596a7e360c204203a335a3fb start=1500151350531 end=1500151350531 msg=Activity policy ''myPolicy'' was triggered by ''admin@box-contoso.com'' suser=admin@box-contoso.com destinationServiceName=Box cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596a7e360c204203a335a3fb cs2Label=uniqueServiceAppIds cs2=APPID_BOX cs3Label=relatedAudits cs3=1500151288183_acc891bf-33e1-424b-a021-0d4370789660 cs4Label=policyIDs cs4=59f0ab82f797fa0681e9b1c7

2017-07-16T09:36:26.550Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b339b0c204203a33a51ae start=1500197786550 end=1500197786550 msg=Activity policy ''test-activity-policy'' was triggered by ''user@contoso.com'' suser=user@contoso.com destinationServiceName=Salesforce cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b339b0c204203a33a51ae cs2Label=uniqueServiceAppIds cs2=APPID_SALESFORCE cs3Label=relatedAudits cs3=1500197720691_b7f6317c-b8de-476a-bc8f-dfa570e00349 cs4Label=policyIDs cs4=

2017-07-16T09:17:03.361Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy3|3|externalId=596b2fd70c204203a33a3eeb start=1500196623361 end=1500196623361 msg=Activity policy ''test-activity-policy3'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Office 365 cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eeb cs2Label=uniqueServiceAppIds cs2=APPID_O365 cs3Label=relatedAudits cs3=1500196549157_a0e01f8a-e29a-43ae-8599-783c1c11597d cs4Label=policyIDs cs4=

2017-07-16T09:17:15.426Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b2fd70c204203a33a3eec start=1500196635426 end=1500196635426 msg=Activity policy ''test-activity-policy'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft 365 admin center cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eec cs2Label=uniqueServiceAppIds cs2=APPID_O365_PORTAL cs3Label=relatedAudits cs3=1500196557398_3e102b20-d9fa-4f66-b550-8c7a403bb4d8 cs4Label=policyIDs cs4=59f0ab35f797fa9811e9b1c7

2017-07-16T09:17:46.290Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy4|3|externalId=596b30200c204203a33a4765 start=1500196666290 end=1500196666290 msg=Activity policy ''test-activity-policy4'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft Exchange Online cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b30200c204203a33a4765 cs2Label=uniqueServiceAppIds cs2=APPID_OUTLOOK cs3Label=relatedAudits cs3=1500196587034_a8673602-7e95-46d6-a1fe-c156c4709c5d cs4Label=policyIDs cs4=

2017-07-16T09:41:04.369Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy2|3|externalId=596b34b10c204203a33a5240 start=1500198064369 end=1500198064369 msg=Activity policy ''test-activity-policy2'' was triggered by ''user2@test15-adallom.com'' suser=user2@test15-adallom.com destinationServiceName=Google cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b34b10c204203a33a5240 cs2Label=uniqueServiceAppIds cs2=APPID_33626 cs3Label=relatedAudits cs3=1500197996117_fd71f265-1e46-4f04-b372-2e32ec874cd3 cs4Label=policyIDs cs4=

Contoh pemberitahuan Defender untuk Cloud Apps dalam format CEF

Berlaku untuk Nama bidang CEF Deskripsi
Aktivitas/Pemberitahuan start Tanda waktu aktivitas atau pemberitahuan
Aktivitas/Pemberitahuan akhir Tanda waktu aktivitas atau pemberitahuan
Aktivitas/Pemberitahuan rt Tanda waktu aktivitas atau pemberitahuan
Aktivitas/Pemberitahuan msg Deskripsi aktivitas atau pemberitahuan seperti yang ditunjukkan di portal
Aktivitas/Pemberitahuan suser Aktivitas atau pengguna subjek pemberitahuan
Aktivitas/Pemberitahuan destinationServiceName Aktivitas atau aplikasi asal pemberitahuan, misalnya, Office 365, Sharepoint, Box.
Aktivitas/Pemberitahuan Label X>cs< Setiap label memiliki arti yang berbeda, tetapi label itu sendiri menjelaskannya, misalnya, targetObjects.
Aktivitas/Pemberitahuan cs<X> Informasi yang sesuai dengan label (pengguna target aktivitas atau pemberitahuan sesuai contoh label).
Aktivitas EVENT_CATEGORY_* Kategori aktivitas tingkat tinggi
Aktivitas <TINDAKAN> Jenis aktivitas, seperti yang ditampilkan di portal
Aktivitas externalId ID Peristiwa
Aktivitas dvc IP perangkat klien
Aktivitas requestClientApplication Agen pengguna perangkat klien
Peringatan <jenis pemberitahuan> Misalnya, "ALERT_CABINET_EVENT_MATCH_AUDIT"
Peringatan <Nama> Nama kebijakan yang cocok
Peringatan externalId ID pemberitahuan
Peringatan src Alamat IPv4 perangkat klien
Peringatan c6a1 Alamat IPv6 perangkat klien

Langkah 3: Validasi bahwa agen SIEM berfungsi

  1. Pastikan status agen SIEM di portal aplikasi Defender untuk Cloud bukan kesalahan Koneksi atau Terputus dan tidak ada pemberitahuan agen. Ini akan muncul sebagai Kesalahan koneksi jika koneksi tidak berfungsi selama lebih dari dua jam. Status ditampilkan sebagai Terputus jika koneksi tidak berfungsi selama lebih dari 12 jam. SIEM disconnected.

    Sebagai gantinya, status harus terhubung, seperti yang terlihat di sini: SIEM connected.

  2. Di server Syslog/SIEM Anda, pastikan Anda melihat aktivitas dan pemberitahuan yang tiba dari Defender untuk Cloud Apps.

Meregenerasi token Anda

Jika Anda kehilangan token, Anda selalu dapat meregenerasinya dengan mengklik tiga titik di akhir baris untuk agen SIEM dalam tabel. Pilih Regenerasi token untuk mendapatkan token baru.

SIEM - regenerate token.

Mengedit agen SIEM Anda

Untuk mengedit agen SIEM, pilih tiga titik di akhir baris untuk agen SIEM dalam tabel, dan pilih Edit. Jika Anda mengedit agen SIEM, Anda tidak perlu menjalankan ulang file .jar, itu diperbarui secara otomatis.

SIEM - edit.

Menghapus agen SIEM Anda

Untuk menghapus agen SIEM, pilih tiga titik di akhir baris untuk agen SIEM dalam tabel, dan pilih Hapus.

SIEM - delete.

Langkah berikutnya

Pemecahan masalah integrasi SIEM

Jika Anda mengalami masalah, kami di sini untuk membantu. Untuk mendapatkan bantuan atau dukungan untuk masalah produk Anda, silakan buka tiket dukungan.