通用 SIEM 集成
注意
我们重命名了Microsoft Cloud App Security。 现在称为Microsoft Defender for Cloud Apps。 在接下来的几周内,我们将更新此处和相关页面中的屏幕截图和说明。 有关更改的详细信息,请参阅 此公告。 若要了解有关 Microsoft 安全服务最近重命名的详细信息,请参阅 Microsoft Ignite Security 博客。
Microsoft Defender for Cloud Apps现在是Microsoft 365 Defender的一部分。 Microsoft 365 Defender门户允许安全管理员在一个位置执行其安全任务。 这将简化工作流,并添加其他Microsoft 365 Defender服务的功能。 Microsoft 365 Defender是监视和管理 Microsoft 标识、数据、设备、应用和基础结构安全性的主场。 有关这些更改的详细信息,请参阅Microsoft 365 Defender中的Microsoft Defender for Cloud Apps。
可以将Microsoft Defender for Cloud Apps与通用 SIEM 服务器集成,以便集中监视连接的应用中的警报和活动。 当已连接应用支持新活动和事件时,会将其可见性推出到Microsoft Defender for Cloud Apps中。 通过与 SIEM 服务集成,可以更好地保护云应用程序,同时保持正常的安全工作流、自动执行安全过程,并将基于云的事件与本地事件关联。 Microsoft Defender for Cloud Apps SIEM 代理在服务器上运行,并从Microsoft Defender for Cloud Apps拉取警报和活动,并将其流式传输到 SIEM 服务器。
首次将 SIEM 与 Defender for Cloud 应用集成时,过去两天内的活动和警报将转发到 SIEM,并根据从中选择) 的筛选器 (所有活动和警报。 如果较长时间禁用此功能,然后再次启用,将转发过去两天内的警报和活动,之后的所有警报和活动都将如此。
其他集成解决方案包括:
- Microsoft Sentinel - 一种可缩放的云原生 SIEM 和 SOAR,用于本机集成。 有关与 Microsoft Sentinel 集成的信息,请参阅 Microsoft Sentinel 集成。
- Microsoft 安全图 API - 中间服务 (或中转站) ,提供单个编程接口来连接多个安全提供程序。 有关详细信息,请参阅使用 Microsoft Graph 安全性 API的安全解决方案集成。
重要
如果要在 Defender for Cloud 应用中集成Microsoft Defender for Identity,并且这两个服务都配置为将警报通知发送到 SIEM,则开始接收同一警报的重复 SIEM 通知。 每个服务将发出一个警报,并且它们将具有不同的警报 ID。 为了避免重复和混淆,请确保处理方案。 例如,确定要执行警报管理的位置,然后停止从其他服务发送 SIEM 通知。
通用 SIEM 集成体系结构
SIEM 代理部署在组织的网络中。 部署和配置后,它会使用 Defender for Cloud Apps RESTful API 拉取配置 (警报和活动) 的数据类型。 然后,通过端口 443 上的加密 HTTPS 通道发送流量。
SIEM 代理从 Defender for Cloud Apps 检索数据后,会将 Syslog 消息发送到本地 SIEM。 Defender for Cloud应用使用在安装过程中提供的网络配置, (TCP 或 UDP 与自定义端口) 。
支持的 SIEM
Defender for Cloud应用目前支持 Micro Focus ArcSight 和泛型 CEF。
如何集成
通过三个步骤完成与 SIEM 的集成:
- 在Defender for Cloud应用门户中设置它。
- 下载 JAR 文件并在服务器上运行。
- 验证 SIEM 代理能否正常运行。
先决条件
- 标准 Windows 或 Linux 服务器(可以是虚拟机)。
- 操作系统:Windows 或 Linux
- CPU:2 个
- 磁盘空间:20 GB
- RAM:2 GB
- 服务器必须正在运行 Java 8。 不支持早期版本。
- 传输层安全性 (TLS) 1.2+ 。 不支持早期版本。
- 按网络要求所述设置防火墙
与 SIEM 集成
步骤 1:在Defender for Cloud应用门户中设置
在Defender for Cloud应用门户的设置齿轮下,选择“安全扩展”。
在 SIEM 代理 选项卡上,选择“添加” () + ,然后选择 泛型 SIEM。
在向导中,选择"开始"菜单向导。
在向导中,填写名称,然后选择 SIEM 格式并设置任何与该格式相关的高级设置。 选择“下一步”。
键入“远程 Syslog 主机”的 IP 地址或主机名以及“Syslog 端口号”。 选择 TCP 或 UDP 作为远程 Syslog 协议。 如果没有这些协议,可向安全管理员了解相关详细信息。 选择“下一步”。
选择想要导出到 SIEM 服务器的数据类型 - 警报和活动。 使用滑块启用和禁用它们,默认会选中所有内容。 可以使用 “应用” 下拉列表来设置筛选器,以便仅将特定警报和活动发送到 SIEM 服务器。 选择 “编辑”和“预览结果 ”以检查筛选器是否按预期工作。 选择“下一步”。
复制并保留令牌,供稍后使用。 选择 “完成” 并离开向导。 返回到 SIEM 页面以查看添加到表中的 SIEM 代理。 它将显示它 已创建 ,直到以后连接。
注意
你创建的任何令牌都会绑定到创建该令牌的管理员。 这意味着,如果管理员用户从Defender for Cloud应用中删除,令牌将不再有效。 通用 SIEM 令牌为唯一所需的资源提供只读权限。 没有其他权限授予此令牌的一部分。
步骤 2:下载 JAR 文件并在服务器上运行
在接受软件许可条款后,在 Microsoft 下载中心中下载 .zip 文件并解压缩该文件。
在服务器上运行所提取的文件:
java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN
注意
- 文件名称可能根据 SIEM 代理的版本而有所不同。
- 括号 [ ] 中的参数是可选的,并且仅当相关时才应使用。
- 建议在服务器启动期间运行 JAR。
- Windows:以计划任务的形式运行,并确保将任务配置为运行用户是否已登录,并且取消选中“停止任务”(如果任务运行时间超过复选框)。
- Linux:将带有 的运行命令添加到 rc.local 文件&。 例如:
java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN &
可使用以下变量:
- DIRNAME 是想要用于本地代理调试日志的目录路径。
- ADDRESS[:P ORT] 是服务器用于连接到 Internet 的代理服务器地址和端口。
- TOKEN 是在之前步骤中复制的 SIEM 代理令牌。
若需要帮助,可随时键入 -h。
活动日志示例
下面展示了发送到 SIEM 的示例活动日志:
2017-11-22T17:50:04.000Z CEF:0|MCAS|SIEM_Agent|0.111.85|EVENT_CATEGORY_LOGOUT|Log out|0|externalId=1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0 rt=1511373004000 start=1511373004000 end=1511373004000 msg=Log out suser=admin@contoso.com destinationServiceName=ServiceNow dvc=13.82.149.151 requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
2017-11-28T19:40:15.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_VIEW_REPORT|View report|0|externalId=1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a rt=1511898015000 start=1511898015000 end=1511898015000 msg=View report: ServiceNow Report 23 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=23,sys_report,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
2017-11-28T19:25:34.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798 rt=1511897134000 start=1511897134000 end=1511897134000 msg=Delete object: ServiceNow Object f5122008db360300906ff34ebf96198a suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
2017-11-27T20:40:14.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_CREATE_USER|Create user|0|externalId=1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c rt=1511815214000 start=1511815214000 end=1511815214000 msg=Create user: user 747518c0db360300906ff34ebf96197c suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,747518c0db360300906ff34ebf96197c,sys_user,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
2017-11-27T20:41:20.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_DELETE_USER|Delete user|0|externalId=1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383 rt=1511815280000 start=1511815280000 end=1511815280000 msg=Delete user: user 233490c0db360300906ff34ebf9619ef suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,233490c0db360300906ff34ebf9619ef,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
2017-11-28T19:24:55.000Z LAB-EUW-ARCTEST CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897117617_5be018ee-f676-4473-a9b5-5982527409be rt=1511897095000 start=1511897095000 end=1511897095000 msg=Delete object: ServiceNow Object b1709c40db360300906ff34ebf961923 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897117617_5be018ee-f676-4473-a9b5-5982527409be,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
下面的文本是警报日志文件示例:
2017-07-15T20:42:30.531Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|myPolicy|3|externalId=596a7e360c204203a335a3fb start=1500151350531 end=1500151350531 msg=Activity policy ''myPolicy'' was triggered by ''admin@box-contoso.com'' suser=admin@box-contoso.com destinationServiceName=Box cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596a7e360c204203a335a3fb cs2Label=uniqueServiceAppIds cs2=APPID_BOX cs3Label=relatedAudits cs3=1500151288183_acc891bf-33e1-424b-a021-0d4370789660 cs4Label=policyIDs cs4=59f0ab82f797fa0681e9b1c7
2017-07-16T09:36:26.550Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b339b0c204203a33a51ae start=1500197786550 end=1500197786550 msg=Activity policy ''test-activity-policy'' was triggered by ''user@contoso.com'' suser=user@contoso.com destinationServiceName=Salesforce cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b339b0c204203a33a51ae cs2Label=uniqueServiceAppIds cs2=APPID_SALESFORCE cs3Label=relatedAudits cs3=1500197720691_b7f6317c-b8de-476a-bc8f-dfa570e00349 cs4Label=policyIDs cs4=
2017-07-16T09:17:03.361Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy3|3|externalId=596b2fd70c204203a33a3eeb start=1500196623361 end=1500196623361 msg=Activity policy ''test-activity-policy3'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Office 365 cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eeb cs2Label=uniqueServiceAppIds cs2=APPID_O365 cs3Label=relatedAudits cs3=1500196549157_a0e01f8a-e29a-43ae-8599-783c1c11597d cs4Label=policyIDs cs4=
2017-07-16T09:17:15.426Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b2fd70c204203a33a3eec start=1500196635426 end=1500196635426 msg=Activity policy ''test-activity-policy'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft 365 admin center cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eec cs2Label=uniqueServiceAppIds cs2=APPID_O365_PORTAL cs3Label=relatedAudits cs3=1500196557398_3e102b20-d9fa-4f66-b550-8c7a403bb4d8 cs4Label=policyIDs cs4=59f0ab35f797fa9811e9b1c7
2017-07-16T09:17:46.290Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy4|3|externalId=596b30200c204203a33a4765 start=1500196666290 end=1500196666290 msg=Activity policy ''test-activity-policy4'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft Exchange Online cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b30200c204203a33a4765 cs2Label=uniqueServiceAppIds cs2=APPID_OUTLOOK cs3Label=relatedAudits cs3=1500196587034_a8673602-7e95-46d6-a1fe-c156c4709c5d cs4Label=policyIDs cs4=
2017-07-16T09:41:04.369Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy2|3|externalId=596b34b10c204203a33a5240 start=1500198064369 end=1500198064369 msg=Activity policy ''test-activity-policy2'' was triggered by ''user2@test15-adallom.com'' suser=user2@test15-adallom.com destinationServiceName=Google cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b34b10c204203a33a5240 cs2Label=uniqueServiceAppIds cs2=APPID_33626 cs3Label=relatedAudits cs3=1500197996117_fd71f265-1e46-4f04-b372-2e32ec874cd3 cs4Label=policyIDs cs4=
CEF 格式的应用警报示例Defender for Cloud
| 适用于 | CEF 字段名称 | 说明 |
|---|---|---|
| 活动/警报 | start | 活动或警报时间戳 |
| 活动/警报 | end | 活动或警报时间戳 |
| 活动/警报 | rt | 活动或警报时间戳 |
| 活动/警报 | msg | 活动或警报说明,如门户中所示 |
| 活动/警报 | suser | 活动或警报主题用户 |
| 活动/警报 | destinationServiceName | 活动或警报原始应用,例如,Office 365、Sharepoint、Box。 |
| 活动/警报 | cs<X>Label | 每个标签都具有不同的含义,但标签本身已对其进行了说明,例如,targetObjects。 |
| 活动/警报 | cs<X> | 与标签相对应的信息(每个标签示例的活动或警报的目标用户)。 |
| 活动 | EVENT_CATEGORY_* | 活动的高级别类别 |
| 活动 | <ACTION> | 活动类型,如门户中所示 |
| 活动 | externalId | 事件 ID |
| 活动 | dvc | 客户端设备的 IP |
| 活动 | requestClientApplication | 客户端设备的用户代理 |
| 警报 | <警报类型> | 例如,“ALERT_CABINET_EVENT_MATCH_AUDIT” |
| 警报 | name<> | 匹配的策略名称 |
| 警报 | externalId | 警报 ID |
| 警报 | src | 客户端设备的 IPv4 地址 |
| 警报 | c6a1 | 客户端设备的 IPv6 地址 |
步骤 3:验证 SIEM 代理工作是否正常
请确保Defender for Cloud应用门户中 SIEM 代理的状态未出现连接错误或断开连接,并且没有代理通知。 如果连接断开超过两个小时,它将显示为连接错误。 如果连接断开超过 12 小时,状态将显示为已断开。
相反,状态应已连接,如下所示:
在 Syslog/SIEM 服务器中,请确保看到来自Defender for Cloud应用的活动和警报。
重新生成令牌
如果令牌丢失,始终可以通过单击表中 SIEM 代理行末尾的三个点重新生成令牌。 选择“重新生成令牌”以获取新令牌。
编辑 SIEM 代理
若要编辑 SIEM 代理,请选择表中 SIEM 代理行末尾的三个点,然后选择“ 编辑”。 编辑 SIEM 代理时,无需再次运行 .jar 文件,它会自动更新。
删除 SIEM 代理
若要删除 SIEM 代理,请选择表中 SIEM 代理行末尾的三个点,然后选择“ 删除”。
后续步骤
若遇到任何问题,可随时向我们寻求帮助。 若要获取帮助或支持以解决产品问题,请打开支持票证。