Generic SIEM integration (Integração de SIEM genérico)
Aplica-se a: Microsoft Cloud App Security
Importante
Os nomes dos produtos de proteção contra ameaças da Microsoft estão a mudar. Leia mais sobre esta e outras atualizações aqui. Vamos atualizar nomes em produtos e nos documentos num futuro próximo.
Pode integrar Microsoft Cloud App Security com o seu servidor GENÉRICO SIEM para permitir a monitorização centralizada de alertas e atividades a partir de aplicações conectadas. À medida que novas atividades e eventos são suportados por aplicações conectadas, a visibilidade para elas é então lançada para Microsoft Cloud App Security. A integração com um serviço SIEM permite-lhe proteger melhor as suas aplicações em nuvem, mantendo o seu fluxo de trabalho de segurança habitual, automatizando procedimentos de segurança e correlacionando entre eventos baseados na nuvem e no local. O Microsoft Cloud App Security agente SIEM funciona no seu servidor e retira alertas e atividades de Microsoft Cloud App Security e transmite-os para o servidor SIEM.
Quando integra pela primeira vez a sua SIEM com o Cloud App Security, as atividades e os alertas dos últimos dois dias serão reencaminhados para a SIEM e todas as atividades e alertas (baseados no filtro que selecionar) a partir desse momento. Se desativar esta funcionalidade por um período prolongado, então reativar, os últimos dois dias de alertas e atividades são reencaminhados e, em seguida, todos os alertas e atividades a partir daí.
As soluções de integração adicionais incluem:
- Azure Sentinel - Um SIEM escalável, nativo em nuvem e SOAR para integração nativa. Para obter informações sobre a integração com o Azure Sentinel, consulte a integração do Azure Sentinel.
- Gráfico de segurança da Microsoft API - Um serviço intermediário (ou corretor) que fornece uma única interface programática para ligar vários fornecedores de segurança. Para obter mais informações, consulte integrações de soluções de segurança utilizando a API de Segurança microsoft Graph.
Importante
Se estiver a integrar o Microsoft Defender for Identity em Cloud App Security e ambos os serviços estiverem configurados para enviar notificações de alerta para um SIEM, começará a receber notificações siem duplicadas para o mesmo alerta. Um alerta será emitido de cada serviço e terão diferentes IDs de alerta. Para evitar duplicações e confusões, certifique-se de lidar com o cenário. Por exemplo, decida onde pretende realizar a gestão de alerta e, em seguida, impeça que as notificações do SIEM sejam enviadas do outro serviço.
Arquitetura genérica de integração do SIEM
O agente SIEM está implantado na rede da sua organização. Quando implantado e configurado, retira os tipos de dados configurados (alertas e atividades) utilizando Cloud App Security APIs RESTful. Em seguida, o tráfego é enviado através de um canal HTTPS encriptado na porta 443.
Assim que o agente SIEM recuperar os dados de Cloud App Security, envia as mensagens Syslog para o seu SIEM local. A segurança da Cloud App utiliza as configurações de rede fornecidas durante a configuração (TCP ou UDP com uma porta personalizada).

SIEMs apoiados
Cloud App Security suporta atualmente o Micro Focus ArcSight e o CEF genérico.
Como integrar
A integração da sua SIEM é efetuada em três passos:
- Configurar SIEM no portal do Cloud App Security
- Transferir o ficheiro JAR e executá-lo no seu servidor
- Verificar se o agente SIEM está a funcionar.
Pré-requisitos
- Um servidor Windows ou Linux padrão (pode ser uma máquina virtual).
- OS: Windows ou Linux
- CPU: 2
- Espaço em disco: 20 GB
- RAM: 2 GB
- O servidor deve estar a executar Java 8. Versões anteriores não são suportadas.
- Segurança da camada de transporte (TLS) 1.2+. Versões anteriores não são suportadas.
- Descreva a sua firewall como descrito nos requisitos da Rede
Integrar em SIEM
Passo 1: configurar SIEM no portal do Cloud App Security
No portal Cloud App Security,sob a engrenagem Definições, selecione extensões de Segurança.
No separador agentes siem, selecione "add" + (), e depois escolha SiEM Genérico.

No assistente, selecione Iniciar o Assistente.
No assistente, escreva um nome e Selecione o seu formato SIEM e configure as Definições avançadas relevantes para esse formato. Selecione Seguinte.

Escreva o endereço IP ou o nome do anfitrião do Sistema anfitrião syslog remoto e o Número de porta de syslog. Selecione TCP ou UDP como Protocolo de Syslog remoto. Pode trabalhar com o seu administrador de segurança para obter estes detalhes se não os tiver. Selecione Seguinte.

Selecione quais os tipos de dados que pretende exportar para o seu servidor SIEM para alertas e atividades. Utilize o controlo de deslize para ativar e desativá-los. Por predefinição, todas as opções estão selecionadas. Pode utilizar o Apply para reduzir para definir filtros para enviar apenas alertas e atividades específicas para o seu servidor SIEM. Selecione editar e pré-visualizar os resultados para verificar se o filtro funciona como esperado. Selecione Seguinte.

Copie o token e guarde-o para utilizar mais tarde. Selecione Terminar e deixar o Assistente. Volte para a página do SIEM para ver o agente SIEM que adicionou na tabela. Mostrará que foi criado até que seja conectado mais tarde.
Nota
Qualquer símbolo que crie está ligado ao administrador que o criou. Isto significa que, se o utilizador administrativo for removido do Cloud App Security, o token deixará de ser válido. Um símbolo genérico do SIEM fornece permissões apenas de leitura aos únicos recursos necessários. Nenhuma outra permissão é concedida uma parte deste símbolo.
Passo 2: transferir o ficheiro JAR e executá-lo no seu servidor
No Microsoft Download Center, depois de aceitar os termos da licença de software, descarregue o ficheiro .zip e desaperte-o.
Execute o ficheiro extraído no seu servidor:
java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN
Nota
- O nome do ficheiro poderá ser diferente dependendo da versão do agente SIEM.
- Os parâmetros nos parênteses [] são opcionais, e só devem ser utilizados se forem relevantes.
- Recomenda-se executar o JAR durante o arranque do servidor.
- Windows: Executar como uma tarefa programada e certifique-se de que configura a tarefa a executar se o utilizador está ou não ligado e que desmarque a tarefa Stop se for executada mais tempo do que a caixa de verificação.
- Linux: Adicione o comando de execução com um & ao ficheiro rc.local. Por exemplo:
java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN &
Onde as seguintes variáveis são utilizadas:
- DIRNAME é o caminho para o diretório que pretende utilizar para os registos de depuração do agente local.
- ENDEREÇO[:P ORT] é o endereço e porta do servidor proxy que o servidor utiliza para ligar à internet.
- TOKEN é o token do agente SIEM que copiou no passo anterior.
Pode escrever -h em qualquer altura para obter ajuda.
Registos de atividade da amostra
Seguem-se os registos de atividade da amostra enviados para o seu SIEM:
2017-11-22T17:50:04.000Z CEF:0|MCAS|SIEM_Agent|0.111.85|EVENT_CATEGORY_LOGOUT|Log out|0|externalId=1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0 rt=1511373004000 start=1511373004000 end=1511373004000 msg=Log out suser=admin@contoso.com destinationServiceName=ServiceNow dvc=13.82.149.151 requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
2017-11-28T19:40:15.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_VIEW_REPORT|View report|0|externalId=1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a rt=1511898015000 start=1511898015000 end=1511898015000 msg=View report: ServiceNow Report 23 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=23,sys_report,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
2017-11-28T19:25:34.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798 rt=1511897134000 start=1511897134000 end=1511897134000 msg=Delete object: ServiceNow Object f5122008db360300906ff34ebf96198a suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
2017-11-27T20:40:14.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_CREATE_USER|Create user|0|externalId=1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c rt=1511815214000 start=1511815214000 end=1511815214000 msg=Create user: user 747518c0db360300906ff34ebf96197c suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,747518c0db360300906ff34ebf96197c,sys_user,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
2017-11-27T20:41:20.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_DELETE_USER|Delete user|0|externalId=1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383 rt=1511815280000 start=1511815280000 end=1511815280000 msg=Delete user: user 233490c0db360300906ff34ebf9619ef suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,233490c0db360300906ff34ebf9619ef,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
2017-11-28T19:24:55.000Z LAB-EUW-ARCTEST CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897117617_5be018ee-f676-4473-a9b5-5982527409be rt=1511897095000 start=1511897095000 end=1511897095000 msg=Delete object: ServiceNow Object b1709c40db360300906ff34ebf961923 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897117617_5be018ee-f676-4473-a9b5-5982527409be,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
O texto a seguir é um exemplo de registo de alertas:
2017-07-15T20:42:30.531Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|myPolicy|3|externalId=596a7e360c204203a335a3fb start=1500151350531 end=1500151350531 msg=Activity policy ''myPolicy'' was triggered by ''admin@box-contoso.com'' suser=admin@box-contoso.com destinationServiceName=Box cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596a7e360c204203a335a3fb cs2Label=uniqueServiceAppIds cs2=APPID_BOX cs3Label=relatedAudits cs3=1500151288183_acc891bf-33e1-424b-a021-0d4370789660 cs4Label=policyIDs cs4=59f0ab82f797fa0681e9b1c7
2017-07-16T09:36:26.550Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b339b0c204203a33a51ae start=1500197786550 end=1500197786550 msg=Activity policy ''test-activity-policy'' was triggered by ''user@contoso.com'' suser=user@contoso.com destinationServiceName=Salesforce cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b339b0c204203a33a51ae cs2Label=uniqueServiceAppIds cs2=APPID_SALESFORCE cs3Label=relatedAudits cs3=1500197720691_b7f6317c-b8de-476a-bc8f-dfa570e00349 cs4Label=policyIDs cs4=
2017-07-16T09:17:03.361Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy3|3|externalId=596b2fd70c204203a33a3eeb start=1500196623361 end=1500196623361 msg=Activity policy ''test-activity-policy3'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Office 365 cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eeb cs2Label=uniqueServiceAppIds cs2=APPID_O365 cs3Label=relatedAudits cs3=1500196549157_a0e01f8a-e29a-43ae-8599-783c1c11597d cs4Label=policyIDs cs4=
2017-07-16T09:17:15.426Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b2fd70c204203a33a3eec start=1500196635426 end=1500196635426 msg=Activity policy ''test-activity-policy'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft 365 admin center cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eec cs2Label=uniqueServiceAppIds cs2=APPID_O365_PORTAL cs3Label=relatedAudits cs3=1500196557398_3e102b20-d9fa-4f66-b550-8c7a403bb4d8 cs4Label=policyIDs cs4=59f0ab35f797fa9811e9b1c7
2017-07-16T09:17:46.290Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy4|3|externalId=596b30200c204203a33a4765 start=1500196666290 end=1500196666290 msg=Activity policy ''test-activity-policy4'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft Exchange Online cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b30200c204203a33a4765 cs2Label=uniqueServiceAppIds cs2=APPID_OUTLOOK cs3Label=relatedAudits cs3=1500196587034_a8673602-7e95-46d6-a1fe-c156c4709c5d cs4Label=policyIDs cs4=
2017-07-16T09:41:04.369Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy2|3|externalId=596b34b10c204203a33a5240 start=1500198064369 end=1500198064369 msg=Activity policy ''test-activity-policy2'' was triggered by ''user2@test15-adallom.com'' suser=user2@test15-adallom.com destinationServiceName=Google cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b34b10c204203a33a5240 cs2Label=uniqueServiceAppIds cs2=APPID_33626 cs3Label=relatedAudits cs3=1500197996117_fd71f265-1e46-4f04-b372-2e32ec874cd3 cs4Label=policyIDs cs4=
Alertas de Cloud App Security de amostra no formato CEF
| Aplicável a | Nome de campo CEF | Description |
|---|---|---|
| Atividades/Alertas | iniciar | Calendário de atividade ou alerta |
| Atividades/Alertas | fim | Calendário de atividade ou alerta |
| Atividades/Alertas | rt | Calendário de atividade ou alerta |
| Atividades/Alertas | msg | Atividade ou descrição de alerta como mostrado no portal |
| Atividades/Alertas | suser | Utilizador de assunto de atividade ou alerta |
| Atividades/Alertas | nome de serviço de destino | Atividade ou aplicação de origem de alerta, por exemplo, Office 365, Sharepoint, Box. |
| Atividades/Alertas | <X>cs Rótulo | Cada rótulo tem um significado diferente, mas o próprio rótulo explica-o, por exemplo, targetObjects. |
| Atividades/Alertas | cs<X> | As informações correspondentes ao rótulo (utilizador-alvo da atividade ou alerta de acordo com o exemplo do rótulo). |
| Atividades | EVENT_CATEGORY_* | Categoria de alto nível da atividade |
| Atividades | <ACTION> | O tipo de atividade, como mostrado no portal |
| Atividades | externalId | ID do Evento |
| Atividades | dvc | IP do dispositivo cliente |
| Atividades | requestClientApplicação | Agente utilizador do dispositivo cliente |
| Alertas | <alert type> | Por exemplo, "ALERT_CABINET_EVENT_MATCH_AUDIT" |
| Alertas | <name> | O nome da política combinado |
| Alertas | externalId | ID de alerta |
| Alertas | src | Endereço IPv4 do dispositivo cliente |
| Alertas | c6a1 | Endereço IPv6 do dispositivo cliente |
Passo 3: verificar se o agente SIEM está a funcionar
Certifique-se de que o estado do agente SIEM no portal Cloud App Security não é erro de ligação ou desligado e não existem notificações de agente. Aparecerá como erro de ligação se a ligação estiver avariada por mais de duas horas. O estado mostra como Desligado se a ligação estiver desligada durante mais de 12 horas.

Em vez disso, o estado deve ser ligado, como se vê aqui:

No seu servidor Syslog/SIEM, certifique-se de que vê as atividades e alertas provenientes do Cloud App Security.
Voltar a gerar o token
Se perder o token, pode sempre regenerar o mesmo clicando nos três pontos no final da linha para o agente SIEM na tabela. Selecione o símbolo regenerador para obter um novo símbolo.

Editar o seu agente SIEM
Para editar o agente SIEM, selecione os três pontos no final da linha para o agente SIEM na tabela e selecione Editar. Se editar o agente SIEM, não precisa de refazer o ficheiro .jar, atualiza-o automaticamente.

Eliminar o seu agente SIEM
Para eliminar o agente SIEM, selecione os três pontos no final da linha para o agente SIEM na tabela e selecione Delete.

Passos seguintes
Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o seu problema de produto, abra um bilhete de apoio.