Dotyczy: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Integracja rozwiązania SIEMSIEM integration

Microsoft Cloud App Security można teraz zintegrować z serwerem SIEM, aby korzystać ze scentralizowanego monitorowania alertów i działań z połączonych aplikacji.You can now integrate Microsoft Cloud App Security with your SIEM server to enable centralized monitoring of alerts and activities from connected apps. Ponieważ nowe działania i zdarzenia są obsługiwane przez połączonych aplikacji, wgląd w ich następnie jest udostępniona w usłudze Microsoft Cloud App Security.As new activities and events are supported by connected apps, visibility into them is then rolled out into Microsoft Cloud App Security. Integracja z usługą SIEM pozwala lepiej chronić aplikacje w chmurze, a jednocześnie korzystać ze zwykle używanego przepływu pracy zabezpieczeń i automatyzacji procedur bezpieczeństwa oraz korelacji między zdarzeniami chmurowymi i lokalnymi.Integrating with a SIEM service allows you to better protect your cloud applications while maintaining your usual security workflow, automating security procedures and correlating between cloud-based and on-premises events. Agent Microsoft Cloud App Security SIEM działa na serwerze sieci i pobiera alerty i działania usługi Microsoft Cloud App Security i przesyła je strumieniowo do serwera SIEM.The Microsoft Cloud App Security SIEM agent runs on your server and pulls alerts and activities from Microsoft Cloud App Security and streams them into the SIEM server.

Po zintegrowaniu rozwiązania SIEM z usługą Cloud App Security po raz pierwszy działania i alerty z ostatnich dwóch dni zostaną przesłane do rozwiązania SIEM, a następnie ta czynność będzie wykonywana dla wszystkich działań i alertów (w oparciu o wybrany filtr).When you first integrate your SIEM with Cloud App Security, activities and alerts from the last two days will be forwarded to the SIEM and all activities and alerts (based on the filter you select) from then on. Ponadto jeśli ta funkcja zostanie wyłączona na dłużej, jej ponowne włączenie spowoduje przesłanie alertów i działań z ostatnich dwóch dni, a następnie ta czynność będzie wykonywana dla kolejnych alertów i działań.Additionally, if you disable this feature for an extended period, when you enable it again it will forward the past two days of alerts and activities and then all alerts and activities from then on.

Architektura integracji rozwiązania SIEMSIEM integration architecture

Agent rozwiązania SIEM jest wdrażany w sieci organizacji.The SIEM agent is deployed in your organization’s network. Po wdrożeniu i skonfigurowaniu ściągane dane typy, które zostały skonfigurowane (alerty i działania) za pomocą interfejsów API RESTful zabezpieczeń aplikacji chmury.When deployed and configured, it pulls the data types that were configured (alerts and activities) using Cloud App Security RESTful APIs. Ruch jest następnie wysyłany za pośrednictwem szyfrowanego kanału protokołu HTTPS na porcie 443.The traffic is then sent over an encrypted HTTPS channel on port 443.

Po pobraniu danych z usługi Cloud App Security agent rozwiązania SIEM wysyła komunikaty dziennika systemu do lokalnego rozwiązania SIEM przy użyciu konfiguracji sieci udostępnionych podczas instalacji (protokół TCP lub UDP z portem niestandardowym).Once the SIEM agent retrieves the data from Cloud App Security, it sends the Syslog messages to your local SIEM using the network configurations you provided during the setup (TCP or UDP with a custom port).

Architektura integracji rozwiązania SIEM

Obsługiwanych rozwiązań SiemSupported SIEMs

Usługa cloud App Security obsługuje obecnie ArcSight fokus Micro i ogólne CEF.Cloud App Security currently supports Micro Focus ArcSight and generic CEF.

Sposób przeprowadzania integracjiHow to integrate

Integracja używanego rozwiązania SIEM odbywa się w trzech krokach:Integrating with your SIEM is accomplished in three steps:

  1. Konfigurowanie rozwiązania w portalu usługi Cloud App Security.Set it up in the Cloud App Security portal.
  2. Pobranie pliku JAR i uruchomienie go na serwerze.Download the JAR file and run it on your server.
  3. Sprawdzenie, czy agent SIEM działa.Validate that the SIEM agent is working.

Wymagania wstępnePrerequisites

  • Standardowy serwer z systemem Windows lub Linux (może działać na maszynie wirtualnej).A standard Windows or Linux server (can be a virtual machine).
  • Na serwerze musi być uruchomione oprogramowanie Java 8 — wcześniejsze wersje nie są obsługiwane.The server must be running Java 8; earlier versions are not supported.
  • System operacyjny: Windows lub LinuxOS: Windows or Linux
  • Ilość procesorów CPU: 2CPU: 2
  • Miejsce na dysku: 20 GBDisk space: 20 GB
  • PAMIĘCI RAM: 2 GBRAM: 2 GB
  • Serwer musi być uruchomione oprogramowanie Java 8.The server must be running Java 8. Wcześniejsze wersje nie są obsługiwane.Earlier versions are not supported.
  • Ustaw zaporę, zgodnie z opisem w wymagania dotyczące sieciSet your firewall as described in Network requirements

Integracja używanego rozwiązania SIEMIntegrating with your SIEM

Krok 1. Konfigurowanie rozwiązania w portalu usługi Cloud App Security.Step 1: Set it up in the Cloud App Security portal

  1. W portalu usługi Cloud App Security w obszarze przypominającą koło zębate kliknij rozszerzeń zabezpieczeń a następnie kliknij polecenie agenci SIEM kartę.In the Cloud App Security portal, under the Settings cog, click Security extensions and then click on the SIEM agents tab.

  2. Kliknij ikonę znaku plus, aby rozpocząć agenta SIEM Dodaj kreatora.Click the plus icon to start the Add SIEM agent wizard.

  3. W kreatorze kliknij pozycję uruchom kreatora.In the wizard, click Start Wizard.

  4. Wpisz nazwę, wybierz format SIEM i skonfiguruj ustawienia zaawansowane, które dotyczą tego formatu.In the wizard, fill in a name, and Select your SIEM format and set any Advanced settings that are relevant to that format. Kliknij przycisk Dalej.Click Next.

    Ogólne ustawienia SIEM

  5. Wpisz adres IP lub nazwę hosta zdalnej usługi Syslog oraz numer portu usługi Syslog.Type in the IP address or hostname of the Remote syslog host and the Syslog port number. Wybierz opcję TCP lub UDP jako protokół zdalnej usługi Syslog.Select TCP or UDP as the Remote Syslog protocol. Jeśli nie dysponujesz tymi szczegółowymi informacjami, możesz uzyskać je od administratora ds. zabezpieczeń.You can work with your security admin to get these details if you don't have them. Kliknij przycisk Dalej.Click Next.

    Ustawienia zdalnej usługi Syslog

  6. Wybierz, które typy danych obejmujące alerty i działania chcesz wyeksportować do serwera SIEM.Select which data types, Alerts and Activities you want to export to your SIEM server. Za pomocą suwaka wybierz odpowiednie opcje. Domyślnie wszystkie typy są wybrane.Use the slider to enable and disable them, by default, everything is selected. Za pomocą listy rozwijanej Apply to (Zastosuj do) można ustawić filtry, aby wysyłać tylko konkretne alerty i działania do serwera SIEM.You can use the Apply to drop-down to set filters to send only specific alerts and activities to your SIEM server. Przycisk Edit and preview results (Edytuj i wyświetl podgląd wyników) umożliwia sprawdzenie, czy filtr działa zgodnie z oczekiwaniami.You can click Edit and preview results to check that the filter works as expected. Kliknij przycisk Dalej.Click Next.

    Ustawienia typów danych

  7. Skopiuj token i zapisz go do późniejszego użycia.Copy the token and save it for later. Gdy klikniesz przycisk Finish (Zakończ) i zamkniesz kreatora, na stronie SIEM zobaczysz w tabeli dodanego agenta SIEM.After you click Finish and leave the Wizard, back in the SIEM page, you can see the SIEM agent you added in the table. Informacja o utworzeniu agenta będzie widoczna do momentu jego połączenia w późniejszym czasie.It will show that it's Created until it’s connected later.

Uwaga

Wszelkie token, który tworzysz jest powiązany z administratora, który go utworzył.Any token you create is bound to the admin who created it. Oznacza to, że jeśli administrator zostanie usunięty z usługi Cloud App security, token nie będzie już prawidłowy.This means that if the admin user is removed from Cloud App security, the token will no longer be valid.

Krok 2. Pobranie pliku JAR i uruchomienie go na serwerze.Step 2: Download the JAR file and run it on your server

  1. W Microsoft Download Center, po zaakceptowaniu postanowienia licencyjne dotyczące oprogramowania, Pobierz plik zip i Rozpakuj go.In the Microsoft Download Center, after accepting the software license terms, download the .zip file and unzip it.

  2. Uruchom wyodrębnionych plików na serwerze:Run the extracted file on your server:

     java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN
    

Uwaga

  • Nazwa pliku może się różnić w zależności od wersji agenta SIEM.The file name may differ depending on the version of the SIEM agent.
  • Parametry w nawiasach kwadratowych [] są opcjonalne i można używać tylko wtedy, gdy jest to odpowiednie.Parameters in brackets [ ] are optional, and should be used only if relevant.
  • Zalecane jest, aby uruchomić plik JAR podczas uruchamiania serwera.It is recommended to run the JAR during server startup.
    • Windows: Uruchom jako zaplanowane zadanie i upewnij się, należy skonfigurować zadania uruchamiania, czy użytkownik jest zalogowany oraz że usuniesz zaznaczenie pola wyboru zatrzymać zadanie, jeśli działa logner niż pola wyboru.Windows: Run as a scheduled task and make sure that you configure the task to Run whether the user is logged on or not and that you uncheck the Stop the task if it runs logner than checkbox.
    • Linux: Dodawanie polecenia uruchomienia za pomocą & pliku rc.local.Linux: Add the run command with an & to the rc.local file. Na przykład: java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN &For example: java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN &

Sposób użycia poniższych zmiennych:Where the following variables are used:

  • NAZWA_KAT jest ścieżką do katalogu, w którym mają być przechowywane dzienniki debugowania lokalnego agenta.DIRNAME is the path to the directory you want to use for local agent debug logs.
  • ADRES[: PORT] oznacza adres i port serwera proxy używane przez serwer do łączenia się z Internetem.ADDRESS[:PORT] is the proxy server address and port that the server uses to connect to the Internet.
  • TOKEN jest tokenem agenta SIEM skopiowanym w poprzednim kroku.TOKEN is the SIEM agent token you copied in the previous step.

W dowolnym momencie można uzyskać pomoc, wpisując -h.You can type -h at any time to get help.

Przykładowe Dzienniki aktywnościSample activity logs

Poniżej przedstawiono przykładowe działanie dzienniki wysyłane do rozwiązania SIEM:The following are sample activity logs sent to your SIEM:

2017-11-22T17:50:04.000Z CEF:0|MCAS|SIEM_Agent|0.111.85|EVENT_CATEGORY_LOGOUT|Log out|0|externalId=1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0 rt=1511373004000 start=1511373004000 end=1511373004000 msg=Log out suser=admin@contoso.com destinationServiceName=ServiceNow dvc=13.82.149.151 requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:40:15.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_VIEW_REPORT|View report|0|externalId=1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a rt=1511898015000 start=1511898015000 end=1511898015000 msg=View report: ServiceNow Report 23 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=23,sys_report,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:25:34.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798 rt=1511897134000 start=1511897134000 end=1511897134000 msg=Delete object: ServiceNow Object f5122008db360300906ff34ebf96198a suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-27T20:40:14.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_CREATE_USER|Create user|0|externalId=1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c rt=1511815214000 start=1511815214000 end=1511815214000 msg=Create user: user 747518c0db360300906ff34ebf96197c suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,747518c0db360300906ff34ebf96197c,sys_user,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-27T20:41:20.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_DELETE_USER|Delete user|0|externalId=1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383 rt=1511815280000 start=1511815280000 end=1511815280000 msg=Delete user: user 233490c0db360300906ff34ebf9619ef suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,233490c0db360300906ff34ebf9619ef,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:24:55.000Z LAB-EUW-ARCTEST CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897117617_5be018ee-f676-4473-a9b5-5982527409be rt=1511897095000 start=1511897095000 end=1511897095000 msg=Delete object: ServiceNow Object b1709c40db360300906ff34ebf961923 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897117617_5be018ee-f676-4473-a9b5-5982527409be,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

A także w poniższym przykładzie plik dziennika alertów:As well as the following alerts logfile example:

2017-07-15T20:42:30.531Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|myPolicy|3|externalId=596a7e360c204203a335a3fb start=1500151350531 end=1500151350531 msg=Activity policy ''myPolicy'' was triggered by ''admin@box-contoso.com'' suser=admin@box-contoso.com destinationServiceName=Box cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596a7e360c204203a335a3fb cs2Label=uniqueServiceAppIds cs2=APPID_BOX cs3Label=relatedAudits cs3=1500151288183_acc891bf-33e1-424b-a021-0d4370789660 cs4Label=policyIDs cs4=59f0ab82f797fa0681e9b1c7

2017-07-16T09:36:26.550Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b339b0c204203a33a51ae start=1500197786550 end=1500197786550 msg=Activity policy ''test-activity-policy'' was triggered by ''user@contoso.com'' suser=user@contoso.com destinationServiceName=Salesforce cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b339b0c204203a33a51ae cs2Label=uniqueServiceAppIds cs2=APPID_SALESFORCE cs3Label=relatedAudits cs3=1500197720691_b7f6317c-b8de-476a-bc8f-dfa570e00349 cs4Label=policyIDs cs4=

2017-07-16T09:17:03.361Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy3|3|externalId=596b2fd70c204203a33a3eeb start=1500196623361 end=1500196623361 msg=Activity policy ''test-activity-policy3'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Office 365 cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eeb cs2Label=uniqueServiceAppIds cs2=APPID_O365 cs3Label=relatedAudits cs3=1500196549157_a0e01f8a-e29a-43ae-8599-783c1c11597d cs4Label=policyIDs cs4=

2017-07-16T09:17:15.426Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b2fd70c204203a33a3eec start=1500196635426 end=1500196635426 msg=Activity policy ''test-activity-policy'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft Office 365 admin center cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eec cs2Label=uniqueServiceAppIds cs2=APPID_O365_PORTAL cs3Label=relatedAudits cs3=1500196557398_3e102b20-d9fa-4f66-b550-8c7a403bb4d8 cs4Label=policyIDs cs4=59f0ab35f797fa9811e9b1c7

2017-07-16T09:17:46.290Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy4|3|externalId=596b30200c204203a33a4765 start=1500196666290 end=1500196666290 msg=Activity policy ''test-activity-policy4'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft Exchange Online cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b30200c204203a33a4765 cs2Label=uniqueServiceAppIds cs2=APPID_OUTLOOK cs3Label=relatedAudits cs3=1500196587034_a8673602-7e95-46d6-a1fe-c156c4709c5d cs4Label=policyIDs cs4=

2017-07-16T09:41:04.369Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy2|3|externalId=596b34b10c204203a33a5240 start=1500198064369 end=1500198064369 msg=Activity policy ''test-activity-policy2'' was triggered by ''user2@test15-adallom.com'' suser=user2@test15-adallom.com destinationServiceName=Google cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b34b10c204203a33a5240 cs2Label=uniqueServiceAppIds cs2=APPID_33626 cs3Label=relatedAudits cs3=1500197996117_fd71f265-1e46-4f04-b372-2e32ec874cd3 cs4Label=policyIDs cs4=

Przykładowe alerty Cloud App Security w formacie CEFSample Cloud App Security alerts in CEF format

DotyczyApplicable to Nazwa pola w formacie CEFCEF field name OpisDescription
Działania/alertyActivities/Alerts Rozpocznijstart Sygnatura czasowa działania lub alertuActivity or alert timestamp
Działania/alertyActivities/Alerts koniecend Sygnatura czasowa działania lub alertuActivity or alert timestamp
Działania/alertyActivities/Alerts rtrt Sygnatura czasowa działania lub alertuActivity or alert timestamp
Działania/alertyActivities/Alerts msgmsg Opis działania lub alert, jak pokazano w portaluActivity or alert description as shown in the portal
Działania/alertyActivities/Alerts susersuser Działanie lub alertu użytkownika podmiotuActivity or alert subject user
Działania/alertyActivities/Alerts destinationServiceNamedestinationServiceName Działanie lub pochodzących z aplikacji, na przykład usługi Office 365, Sharepoint, okno alertu.Activity or alert originating app, for example, Office 365, Sharepoint, Box.
Działania/alertyActivities/Alerts CSetykietycsLabel Każda etykieta ma inne znaczenie, ale etykiety, sama wyjaśnia on na przykład targetObjects.Each label has a different meaning, but the label itself explains it, for example, targetObjects.
Działania/alertyActivities/Alerts cscs Informacje o odpowiadający etykiety (użytkownika docelowego działania lub alert zgodnie w przykładzie etykiet).The information corresponding to the label (the target user of the activity or alert as per the label example).
DziałaniaActivities EVENT_CATEGORY_*EVENT_CATEGORY_* Wysoki poziom Kategoria działaniaHigh level category of the activity
DziałaniaActivities Typ działania, wyświetlaną w portaluThe activity type, as displayed in the portal
DziałaniaActivities externalIdexternalId Identyfikator zdarzeniaEvent ID
DziałaniaActivities dvcdvc Adres IP urządzenia klienckiegoIP of the client device
DziałaniaActivities requestClientApplicationrequestClientApplication Agent użytkownika urządzenia klienckiegoUser agent of the client device
AlertyAlerts Na przykład "ALERT_CABINET_EVENT_MATCH_AUDIT"For example “ALERT_CABINET_EVENT_MATCH_AUDIT”
AlertyAlerts Nazwa dopasowane zasadyThe matched policy name
AlertyAlerts externalIdexternalId Identyfikator alertuAlert ID

Krok 3. Sprawdzenie, czy agent SIEM działa.Step 3: Validate that the SIEM agent is working

  1. Upewnij się, że stan agenta SIEM w portalu usługi Cloud App Security jest inny niż Connection error (Błąd połączenia) lub Disconnected (Odłączony) i że nie ma żadnych powiadomień agenta.Make sure the status of the SIEM agent in the Cloud App Security portal is not Connection error or Disconnected and there are no agent notifications. Stan będzie wyświetlany jako Connection error (Błąd połączenia), jeśli połączenie nie działa więcej niż dwie godziny, i jako Disconnected (Odłączony), jeśli połączenie nie działa dłużej niż 12 godzin.It will show up as Connection error if the connection is down for more than two hours and as Disconnected if the connection is down for over 12 hours. Odłączony agent SIEMSIEM disconnected

    Zamiast tego stanu powinien być połączony, jak pokazano tutaj: połączony Agent SIEMInstead, the status should be connected, as seen here: SIEM connected

  2. Upewnij się, że działania i alerty pochodzące z usługi Cloud App Security są widoczne na serwerze Syslog/SIEM.In your Syslog/SIEM server, make sure you see activities and alerts arriving from Cloud App Security.

Ponowne generowanie tokenuRegenerating your token

W dowolnej chwili możesz ponownie wygenerować utracony token. W tym celu kliknij trzy kropki na końcu wiersza agenta SIEM w tabeli i wybierz pozycję Regenerate token (Ponownie wygeneruj token).If you lose the token, you can always regenerate it by clicking the three dots at the end of the row for the SIEM agent in the table, and selecting Regenerate token.

SIEM — ponowne generowanie tokenu

Edytowanie agenta SIEMEditing your SIEM agent

Gdy w przyszłości zechcesz zmodyfikować agenta SIEM, możesz kliknąć trzy kropki na końcu wiersza agenta SIEM w tabeli i wybrać pozycję Edit (Edytuj).If you need to edit the SIEM agent in the future, you can click on the three dots at the end of the row for the SIEM agent in the table, and select Edit. W przypadku modyfikacji agenta SIEM nie trzeba ponownie uruchamiać pliku jar, ponieważ jest on automatycznie aktualizowany.If you edit the SIEM agent, you do not need to rerun the .jar file, it updates automatically.

SIEM — edytowanie

Usuwanie agenta SIEMDeleting your SIEM agent

Gdy w przyszłości zechcesz usunąć agenta SIEM, możesz kliknąć trzy kropki na końcu wiersza agenta SIEM w tabeli i wybrać pozycję Delete (Usuń).If you need to delete the SIEM agent in the future, you can click on the three dots at the end of the row for the SIEM agent in the table, and select Delete.

SIEM — usuwanie

Uwaga

Ta funkcja jest dostępna w publicznej wersji zapoznawczej.This feature is in public preview.

Zobacz teżSee Also

Rozwiązywanie problemów z problemy z integracją rozwiązania SIEMTroubleshooting SIEM integration issues

Klienci wersji Premium mogą również wybrać usługę Cloud App Security bezpośrednio z Portalu Premium.Premier customers can also choose Cloud App Security directly from the Premier Portal.