Универсальная интеграция SIEM
Вы можете интегрировать Microsoft Defender for Cloud Apps со своим универсальным сервером SIEM, чтобы обеспечить централизованный мониторинг оповещений и действий из подключенных приложений. По мере добавления поддержки новых действий и событий в подключенные приложения, в службе Microsoft Defender for Cloud Apps реализуется поддержка их мониторинга. Интеграция со службой SIEM позволяет повысить степень защищенности облачных приложений без изменения обычного рабочего процесса обеспечения безопасности путем автоматизации процедуры системы безопасности и установления взаимосвязей между действиями в облаке и локальной среде. Агент SIEM Microsoft Defender for Cloud Apps запускается на вашем сервере, получает оповещения и действия из Microsoft Defender for Cloud Apps и передает их потоком на сервер SIEM.
Когда вы сначала интегрируете SIEM с Defender для облака Приложения, действия и оповещения за последние два дня будут перенаправлены в SIEM и все действия и оповещения (на основе выбранного фильтра). Если вы отключите эту функцию на длительное время, то при повторном включении будут перенаправлены действия и оповещения за последние два дня и все последующие.
К дополнительным решениям интеграции относятся:
- Microsoft Sentinel — масштабируемый, облачный SIEM и SOAR для собственной интеграции. Сведения об интеграции с Microsoft Sentinel см. в статье об интеграции Microsoft Sentinel.
- API графа безопасности Майкрософт — промежуточная служба (или брокер), которая предоставляет один программный интерфейс для подключения нескольких поставщиков безопасности. Дополнительные сведения см. в статье об интеграции решений безопасности с помощью API безопасности Microsoft Graph.
Важно!
Если вы интегрируете Microsoft Defender для удостоверений в приложения Defender для облака и обе службы настроены для отправки уведомлений об оповещениях в SIEM, вы начнете получать повторяющиеся уведомления SIEM для одного и того же оповещения. Одно оповещение будет выдано из каждой службы, и они будут иметь разные идентификаторы оповещений. Чтобы избежать дублирования и путаницы, обязательно обработайте сценарий. Например, определите, где планируется выполнять управление оповещениями, а затем остановите отправку уведомлений SIEM из другой службы.
Универсальная архитектура интеграции SIEM
Агент SIEM развертывается в сети вашей организации. При развертывании и настройке извлекает типы данных, настроенные (оповещения и действия) с помощью API-интерфейсов RESTful приложений Defender для облака. После этого трафик отправляется через зашифрованный HTTPS-канал на порту 443.
После получения данных из Defender для облака Apps агент SIEM отправляет сообщения системного журнала в локальный SIEM. Defender для облака Приложения используют конфигурации сети, предоставляемые во время установки (TCP или UDP с пользовательским портом).
Поддерживаемые системы SIEM
Defender для облака Приложения в настоящее время поддерживают Micro Focus ArcSight и универсальный CEF.
Интеграция
Интеграция SIEM выполняется в три этапа:
- Настройте его на портале Defender для облака Apps.
- Скачивание JAR-файла и его запуск на сервере.
- Проверка работы агента SIEM.
Необходимые компоненты
- Стандартный сервер с Windows или Linux (можно использовать виртуальную машину).
- ОС: Windows или Linux
- ЦП: 2
- Место на диске: 20 ГБ
- ОЗУ: 2 ГБ
- На сервере должна работать версия Java 8. Более ранние версии не поддерживаются.
- Протокол TLS 1.2+. Более ранние версии не поддерживаются.
- Настройте брандмауэр, как описано в перечне требований к сети
Интеграция SIEM
Шаг 1. Настройка на портале приложений Defender для облака
На портале Microsoft Defender выберите Параметры. Затем выберите "Облачные приложения".
В разделе "Система" выберите агенты SIEM. Выберите " Добавить агент SIEM" и выберите универсальный SIEM.
В мастере выберите мастер запуска.
В окне мастера введите название и выберите формат SIEM, а также укажите любые дополнительные параметры для этого формата. Выберите Далее.
Введите IP-адрес или имя узла с удаленным системным журналом и номер порта для системного журнала. Выберите TCP или UDP в качестве протокола для удаленного системного журнала. Если у вас нет этих данных, их можно получить у вашего администратора по безопасности. Выберите Далее.
Выберите типы оповещений и действий, которые нужно экспортировать на сервер SIEM. Включите или отключите их при помощи ползунка. По умолчанию выбраны все типы. Для отправки только определенных типов оповещений и действий на сервер SIEM можно воспользоваться фильтрами из раскрывающегося списка Apply to (Применить к). Выберите "Изменить и просмотреть результаты", чтобы проверка, что фильтр работает должным образом. Выберите Далее.
Скопируйте токен и сохраните его для последующего использования. Нажмите кнопку "Готово " и оставьте мастер. Вернитесь на страницу SIEM, чтобы увидеть агент SIEM, добавленный в таблице. Он покажет, что он создан , пока не будет подключен позже.
Примечание.
Любой создаваемый маркер привязывается к создавшему его администратору. Это означает, что если пользователь администратора удален из Defender для облака Apps, маркер больше не будет допустимым. Универсальный маркер SIEM предоставляет разрешения только для чтения только для необходимых ресурсов. Никакие другие разрешения не предоставляются частью этого маркера.
Шаг 2: скачивание JAR-файла и его запуск на сервере
В Центре загрузки Майкрософт примите условия лицензии, скачайте ZIP-файл и распакуйте его.
Запустите извлеченный файл на сервере.
java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN
Примечание.
- Имя файла зависит от версии агента SIEM.
- Параметры в квадратных скобках [] необязательные; их следует использовать только при необходимости.
- Рекомендуется выполнять JAR во время запуска сервера.
- Windows: Запустите как запланированную задачу и убедитесь, что задача настроена для запуска, вошедшего или нет, и не проверка остановить задачу, если она выполняется дольше, чем проверка box.
- Linux: добавьте команду выполнения с помощью команды > в файл rc.local. Например:
java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN &
Где используются следующие переменные:
- DIRNAME — это путь к каталогу, который вы хотите использовать для журналов отладки локального агента.
- ADDRESS[:P ORT] — это адрес прокси-сервера и порт, используемый сервером для подключения к Интернету.
- Токен — токен агента SIEM, скопированный на предыдущем шаге.
Чтобы получить справку, введите -h. Эта команда доступна всегда.
Примеры журналов действий
Вот примеры журналов действий, отправляемых в службу SIEM:
2017-11-22T17:50:04.000Z CEF:0|MCAS|SIEM_Agent|0.111.85|EVENT_CATEGORY_LOGOUT|Log out|0|externalId=1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0 rt=1511373004000 start=1511373004000 end=1511373004000 msg=Log out [email protected] destinationServiceName=ServiceNow dvc=13.82.149.151 requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects [email protected],[email protected],[email protected] cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
2017-11-28T19:40:15.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_VIEW_REPORT|View report|0|externalId=1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a rt=1511898015000 start=1511898015000 end=1511898015000 msg=View report: ServiceNow Report 23 [email protected] destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=23,sys_report,[email protected],[email protected],[email protected] cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
2017-11-28T19:25:34.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798 rt=1511897134000 start=1511897134000 end=1511897134000 msg=Delete object: ServiceNow Object f5122008db360300906ff34ebf96198a [email protected] destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,[email protected],[email protected],[email protected] cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
2017-11-27T20:40:14.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_CREATE_USER|Create user|0|externalId=1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c rt=1511815214000 start=1511815214000 end=1511815214000 msg=Create user: user 747518c0db360300906ff34ebf96197c [email protected] destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,747518c0db360300906ff34ebf96197c,sys_user,[email protected],[email protected],[email protected] cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
2017-11-27T20:41:20.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_DELETE_USER|Delete user|0|externalId=1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383 rt=1511815280000 start=1511815280000 end=1511815280000 msg=Delete user: user 233490c0db360300906ff34ebf9619ef [email protected] destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,233490c0db360300906ff34ebf9619ef,,[email protected],[email protected],[email protected] cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
2017-11-28T19:24:55.000Z LAB-EUW-ARCTEST CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897117617_5be018ee-f676-4473-a9b5-5982527409be rt=1511897095000 start=1511897095000 end=1511897095000 msg=Delete object: ServiceNow Object b1709c40db360300906ff34ebf961923 [email protected] destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897117617_5be018ee-f676-4473-a9b5-5982527409be,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,[email protected],[email protected],[email protected] cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
Следующий текст — это пример файла журнала оповещений:
2017-07-15T20:42:30.531Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|myPolicy|3|externalId=596a7e360c204203a335a3fb start=1500151350531 end=1500151350531 msg=Activity policy ''myPolicy'' was triggered by ''[email protected]'' [email protected] destinationServiceName=Box cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596a7e360c204203a335a3fb cs2Label=uniqueServiceAppIds cs2=APPID_BOX cs3Label=relatedAudits cs3=1500151288183_acc891bf-33e1-424b-a021-0d4370789660 cs4Label=policyIDs cs4=59f0ab82f797fa0681e9b1c7
2017-07-16T09:36:26.550Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b339b0c204203a33a51ae start=1500197786550 end=1500197786550 msg=Activity policy ''test-activity-policy'' was triggered by ''[email protected]'' [email protected] destinationServiceName=Salesforce cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b339b0c204203a33a51ae cs2Label=uniqueServiceAppIds cs2=APPID_SALESFORCE cs3Label=relatedAudits cs3=1500197720691_b7f6317c-b8de-476a-bc8f-dfa570e00349 cs4Label=policyIDs cs4=
2017-07-16T09:17:03.361Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy3|3|externalId=596b2fd70c204203a33a3eeb start=1500196623361 end=1500196623361 msg=Activity policy ''test-activity-policy3'' was triggered by ''[email protected]'' [email protected] destinationServiceName=Microsoft 365 cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eeb cs2Label=uniqueServiceAppIds cs2=APPID_O365 cs3Label=relatedAudits cs3=1500196549157_a0e01f8a-e29a-43ae-8599-783c1c11597d cs4Label=policyIDs cs4=
2017-07-16T09:17:15.426Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b2fd70c204203a33a3eec start=1500196635426 end=1500196635426 msg=Activity policy ''test-activity-policy'' was triggered by ''[email protected]'' [email protected] destinationServiceName=Microsoft 365 admin center cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eec cs2Label=uniqueServiceAppIds cs2=APPID_O365_PORTAL cs3Label=relatedAudits cs3=1500196557398_3e102b20-d9fa-4f66-b550-8c7a403bb4d8 cs4Label=policyIDs cs4=59f0ab35f797fa9811e9b1c7
2017-07-16T09:17:46.290Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy4|3|externalId=596b30200c204203a33a4765 start=1500196666290 end=1500196666290 msg=Activity policy ''test-activity-policy4'' was triggered by ''[email protected]'' [email protected] destinationServiceName=Microsoft Exchange Online cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b30200c204203a33a4765 cs2Label=uniqueServiceAppIds cs2=APPID_OUTLOOK cs3Label=relatedAudits cs3=1500196587034_a8673602-7e95-46d6-a1fe-c156c4709c5d cs4Label=policyIDs cs4=
2017-07-16T09:41:04.369Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy2|3|externalId=596b34b10c204203a33a5240 start=1500198064369 end=1500198064369 msg=Activity policy ''test-activity-policy2'' was triggered by ''[email protected]'' [email protected] destinationServiceName=Google cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b34b10c204203a33a5240 cs2Label=uniqueServiceAppIds cs2=APPID_33626 cs3Label=relatedAudits cs3=1500197996117_fd71f265-1e46-4f04-b372-2e32ec874cd3 cs4Label=policyIDs cs4=
Пример оповещений Defender для облака приложений в формате CEF
Применимо к | Имя поля CEF | Description |
---|---|---|
Действия и оповещения | start | Метка времени для действия или оповещения |
Действия и оповещения | end | Метка времени для действия или оповещения |
Действия и оповещения | rt | Метка времени для действия или оповещения |
Действия и оповещения | msg | Описание действия или оповещения, которое отображается на портале |
Действия и оповещения | suser | Пользователь действия или оповещения |
Действия и оповещения | destinationServiceName | Действие или оповещение, исходное приложение, например Microsoft 365, Sharepoint, Box. |
Действия и оповещения | cs<X>Label | У каждой метки есть свое значение, которое ясно из ее названия, например targetObjects. |
Действия и оповещения | cs<X> | Сведения, относящиеся к метке (целевой пользователь действия или оповещения для примера метки). |
Процедуры | EVENT_CATEGORY_* | Категория действий высокого уровня |
Процедуры | <ДЕЙСТВИЕ> | Тип действия, который отображается на портале |
Процедуры | externalId | ИД события |
Процедуры | dvc | IP-адрес клиентского устройства |
Процедуры | requestClientApplication | Агент пользователя клиентского устройства |
видны узлы | <Тип оповещения> | Например, "ALERT_CABINET_EVENT_MATCH_AUDIT" |
видны узлы | <name> | Имя соответствующей политики |
видны узлы | externalId | Идентификатор оповещения |
видны узлы | src | IPv4-адрес клиентского устройства |
видны узлы | c6a1 | IPv6-адрес клиентского устройства |
Шаг 3: проверка работы агента SIEM
Убедитесь, что состояние агента SIEM на портале не Подключение ошибка или отключение, и нет уведомлений агента. Состояние Ошибка подключения возникает, если подключение отсутствует более двух часов. Состояние Отключен возникает, если подключение отсутствует более 12 часов.
Должно отображаться состояние "Подключено", как показано на этом снимке экрана:
На сервере Syslog/SIEM убедитесь, что вы видите действия и оповещения, поступающие из Defender для облака Apps.
Повторное создание токена
Если вы потеряете маркер, его всегда можно повторно создать, выбрав три точки в конце строки агента SIEM в таблице. Выберите Повторно создать токен, чтобы получить новый токен.
Изменение агента SIEM
Чтобы изменить агент SIEM, выберите три точки в конце строки агента SIEM в таблице и нажмите кнопку "Изменить". При изменении агента SIEM повторно запускать JAR-файл не нужно, он будет обновлен автоматически.
Удаление агента SIEM
Чтобы удалить агент SIEM, выберите три точки в конце строки агента SIEM в таблице и нажмите кнопку "Удалить".
Следующие шаги
Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, откройте запрос в службу поддержки.