Partilhar via


Integração genérica do SIEM

Pode integrar Microsoft Defender for Cloud Apps com o seu servidor SIEM genérico para ativar a monitorização centralizada de alertas e atividades de aplicações ligadas. À medida que as novas atividades e eventos são suportados por aplicações ligadas, a visibilidade das mesmas é então implementada em Microsoft Defender for Cloud Apps. A integração com um serviço SIEM permite-lhe proteger melhor as suas aplicações na cloud, mantendo o fluxo de trabalho de segurança habitual, automatizando procedimentos de segurança e correlacionando-se entre eventos baseados na cloud e no local. O Microsoft Defender for Cloud Apps agente SIEM é executado no servidor e solicita alertas e atividades de Microsoft Defender for Cloud Apps e transmite-os para o servidor SIEM.

Quando integrar o SIEM pela primeira vez com Defender for Cloud Apps, as atividades e os alertas dos últimos dois dias serão reencaminhados para o SIEM e todas as atividades e alertas (com base no filtro que selecionar) a partir daí. Se desativar esta funcionalidade durante um período prolongado, reativar, os últimos dois dias de alertas e atividades são reencaminhados e, em seguida, todos os alertas e atividades a partir daí.

As soluções de integração adicionais incluem:

Importante

Se estiver a integrar Microsoft Defender para Identidade no Defender for Cloud Apps e ambos os serviços estiverem configurados para enviar notificações de alerta para um SIEM, começará a receber notificações SIEM duplicadas para o mesmo alerta. Será emitido um alerta de cada serviço e terão IDs de alerta diferentes. Para evitar duplicações e confusões, certifique-se de que lida com o cenário. Por exemplo, decida onde pretende efetuar a gestão de alertas e, em seguida, pare o envio de notificações SIEM do outro serviço.

Arquitetura genérica de integração do SIEM

O agente SIEM é implementado na rede da sua organização. Quando implementado e configurado, solicita os tipos de dados que foram configurados (alertas e atividades) com Defender for Cloud Apps APIs RESTful. Em seguida, o tráfego é enviado através de um canal HTTPS encriptado na porta 443.

Assim que o agente SIEM obtém os dados de Defender for Cloud Apps, envia as mensagens do Syslog para o SIEM local. Defender for Cloud Apps utiliza as configurações de rede que forneceu durante a configuração (TCP ou UDP com uma porta personalizada).

Arquitetura de integração SIEM.

SIEMs suportados

Defender for Cloud Apps atualmente suporta o Micro Focus ArcSight e o CEF genérico.

Como integrar

A integração com o SIEM é efetuada em três passos:

  1. Configure-o no portal do Defender for Cloud Apps.
  2. Transfira o ficheiro JAR e execute-o no servidor.
  3. Confirme que o agente SIEM está a funcionar.

Pré-requisitos

  • Um servidor Windows ou Linux padrão (pode ser uma máquina virtual).
  • SO: Windows ou Linux
  • CPU: 2
  • Espaço em disco: 20 GB
  • RAM: 2 GB
  • O servidor tem de estar a executar o Java 8. As versões anteriores não são suportadas.
  • Transport Layer Security (TLS) 1.2+. As versões anteriores não são suportadas.
  • Defina a firewall conforme descrito em Requisitos de rede

Integrar com o SIEM

Passo 1: configurá-lo no portal do Defender for Cloud Apps

  1. No Portal do Microsoft Defender, selecione Definições. Em seguida, selecione Aplicações na Cloud.

  2. Em Sistema, selecione Agentes SIEM. Selecione Adicionar agente SIEM e, em seguida, selecione SIEM Genérico.

    Captura de ecrã a mostrar o menu Adicionar integração SIEM.

  3. No assistente, selecione Assistente de Início.

  4. No assistente, preencha um nome e Selecione o seu formato SIEM e defina as definições Avançadas relevantes para esse formato. Selecione Seguinte.

    Definições gerais de SIEM.

  5. Escreva o endereço IP ou o nome do anfitrião do anfitrião syslog remoto e o número da porta do Syslog. Selecione TCP ou UDP como o protocolo Syslog Remoto. Pode trabalhar com o seu administrador de segurança para obter estes detalhes se não os tiver. Selecione Seguinte.

    Definições do Syslog remoto.

  6. Selecione os tipos de dados que pretende exportar para o servidor SIEM para Alertas e Atividades. Utilize o controlo de deslize para os ativar e desativar, por predefinição, está tudo selecionado. Pode utilizar o menu pendente Aplicar a para definir filtros para enviar apenas alertas e atividades específicos para o seu servidor SIEM. Selecione Editar e pré-visualizar resultados para verificar se o filtro funciona conforme esperado. Selecione Seguinte.

    Definições de tipos de dados.

  7. Copie o token e guarde-o para mais tarde. Selecione Concluir e saia do Assistente. Voltar à página SIEM para ver o agente SIEM que adicionou na tabela. Irá mostrar que é Criado até estar ligado mais tarde.

Nota

Qualquer token que criar está vinculado ao administrador que o criou. Isto significa que, se o utilizador administrador for removido do Defender for Cloud Apps, o token deixará de ser válido. Um token SIEM genérico fornece permissões só de leitura para os únicos recursos necessários. Não são concedidas outras permissões a uma parte deste token.

Passo 2: Transferir o ficheiro JAR e executá-lo no servidor

  1. No Centro de Transferências da Microsoft, depois de aceitar os termos de licenciamento de software, transfira o ficheiro .zip e deszipe-o.

  2. Execute o ficheiro extraído no servidor:

    java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN

Nota

  • O nome do ficheiro pode ser diferente consoante a versão do agente SIEM.
  • Os parâmetros entre parênteses retos [ ] são opcionais e só devem ser utilizados se forem relevantes.
  • Recomenda-se que execute o JAR durante o arranque do servidor.
    • Windows: execute como uma tarefa agendada e certifique-se de que configura a tarefa para Executar se o utilizador tem sessão iniciada ou não e que desmarca a caixa de verificação Parar a tarefa se a mesma for executada durante mais tempo do que .
    • Linux: adicione o comando executar com uma & ao ficheiro rc.local. Por exemplo: java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN &

Onde são utilizadas as seguintes variáveis:

  • DIRNAME é o caminho para o diretório que pretende utilizar para os registos de depuração do agente local.
  • ADDRESS[:P ORT] é o endereço do servidor proxy e a porta que o servidor utiliza para ligar à Internet.
  • TOKEN é o token do agente SIEM que copiou no passo anterior.

Pode escrever -h em qualquer altura para obter ajuda.

Registos de atividades de exemplo

Seguem-se os registos de atividades de exemplo enviados para o SIEM:

2017-11-22T17:50:04.000Z CEF:0|MCAS|SIEM_Agent|0.111.85|EVENT_CATEGORY_LOGOUT|Log out|0|externalId=1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0 rt=1511373004000 start=1511373004000 end=1511373004000 msg=Log out suser=admin@contoso.com destinationServiceName=ServiceNow dvc=13.82.149.151 requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:40:15.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_VIEW_REPORT|View report|0|externalId=1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a rt=1511898015000 start=1511898015000 end=1511898015000 msg=View report: ServiceNow Report 23 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=23,sys_report,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:25:34.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798 rt=1511897134000 start=1511897134000 end=1511897134000 msg=Delete object: ServiceNow Object f5122008db360300906ff34ebf96198a suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-27T20:40:14.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_CREATE_USER|Create user|0|externalId=1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c rt=1511815214000 start=1511815214000 end=1511815214000 msg=Create user: user 747518c0db360300906ff34ebf96197c suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,747518c0db360300906ff34ebf96197c,sys_user,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-27T20:41:20.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_DELETE_USER|Delete user|0|externalId=1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383 rt=1511815280000 start=1511815280000 end=1511815280000 msg=Delete user: user 233490c0db360300906ff34ebf9619ef suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,233490c0db360300906ff34ebf9619ef,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:24:55.000Z LAB-EUW-ARCTEST CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897117617_5be018ee-f676-4473-a9b5-5982527409be rt=1511897095000 start=1511897095000 end=1511897095000 msg=Delete object: ServiceNow Object b1709c40db360300906ff34ebf961923 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897117617_5be018ee-f676-4473-a9b5-5982527409be,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

O texto seguinte é um exemplo de logfile de alertas:

2017-07-15T20:42:30.531Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|myPolicy|3|externalId=596a7e360c204203a335a3fb start=1500151350531 end=1500151350531 msg=Activity policy ''myPolicy'' was triggered by ''admin@box-contoso.com'' suser=admin@box-contoso.com destinationServiceName=Box cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596a7e360c204203a335a3fb cs2Label=uniqueServiceAppIds cs2=APPID_BOX cs3Label=relatedAudits cs3=1500151288183_acc891bf-33e1-424b-a021-0d4370789660 cs4Label=policyIDs cs4=59f0ab82f797fa0681e9b1c7

2017-07-16T09:36:26.550Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b339b0c204203a33a51ae start=1500197786550 end=1500197786550 msg=Activity policy ''test-activity-policy'' was triggered by ''user@contoso.com'' suser=user@contoso.com destinationServiceName=Salesforce cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b339b0c204203a33a51ae cs2Label=uniqueServiceAppIds cs2=APPID_SALESFORCE cs3Label=relatedAudits cs3=1500197720691_b7f6317c-b8de-476a-bc8f-dfa570e00349 cs4Label=policyIDs cs4=

2017-07-16T09:17:03.361Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy3|3|externalId=596b2fd70c204203a33a3eeb start=1500196623361 end=1500196623361 msg=Activity policy ''test-activity-policy3'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft 365 cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eeb cs2Label=uniqueServiceAppIds cs2=APPID_O365 cs3Label=relatedAudits cs3=1500196549157_a0e01f8a-e29a-43ae-8599-783c1c11597d cs4Label=policyIDs cs4=

2017-07-16T09:17:15.426Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b2fd70c204203a33a3eec start=1500196635426 end=1500196635426 msg=Activity policy ''test-activity-policy'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft 365 admin center cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eec cs2Label=uniqueServiceAppIds cs2=APPID_O365_PORTAL cs3Label=relatedAudits cs3=1500196557398_3e102b20-d9fa-4f66-b550-8c7a403bb4d8 cs4Label=policyIDs cs4=59f0ab35f797fa9811e9b1c7

2017-07-16T09:17:46.290Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy4|3|externalId=596b30200c204203a33a4765 start=1500196666290 end=1500196666290 msg=Activity policy ''test-activity-policy4'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft Exchange Online cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b30200c204203a33a4765 cs2Label=uniqueServiceAppIds cs2=APPID_OUTLOOK cs3Label=relatedAudits cs3=1500196587034_a8673602-7e95-46d6-a1fe-c156c4709c5d cs4Label=policyIDs cs4=

2017-07-16T09:41:04.369Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy2|3|externalId=596b34b10c204203a33a5240 start=1500198064369 end=1500198064369 msg=Activity policy ''test-activity-policy2'' was triggered by ''user2@test15-adallom.com'' suser=user2@test15-adallom.com destinationServiceName=Google cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b34b10c204203a33a5240 cs2Label=uniqueServiceAppIds cs2=APPID_33626 cs3Label=relatedAudits cs3=1500197996117_fd71f265-1e46-4f04-b372-2e32ec874cd3 cs4Label=policyIDs cs4=

Alertas de Defender for Cloud Apps de exemplo no formato CEF

Aplicável a Nome do campo CEF Descrição
Atividades/Alertas iniciar Carimbo de data/hora da atividade ou do alerta
Atividades/Alertas fim Carimbo de data/hora da atividade ou do alerta
Atividades/Alertas rt Carimbo de data/hora da atividade ou do alerta
Atividades/Alertas msg Descrição da atividade ou do alerta, conforme mostrado no portal
Atividades/Alertas suser Utilizador do assunto da atividade ou do alerta
Atividades/Alertas destinationServiceName Atividade ou aplicação de origem de alertas, por exemplo, Microsoft 365, Sharepoint, Box.
Atividades/Alertas cs<X>Label Cada etiqueta tem um significado diferente, mas a própria etiqueta explica-o, por exemplo, targetObjects.
Atividades/Alertas cs<X> As informações correspondentes à etiqueta (o utilizador de destino da atividade ou alerta de acordo com o exemplo de etiqueta).
Atividades EVENT_CATEGORY_* Categoria de alto nível da atividade
Atividades <AÇÃO> O tipo de atividade, conforme apresentado no portal
Atividades externalId ID do Evento
Atividades dvc IP do dispositivo cliente
Atividades requestClientApplication Agente de utilizador do dispositivo cliente
Alertas <tipo de alerta> Por exemplo, "ALERT_CABINET_EVENT_MATCH_AUDIT"
Alertas <nome> O nome da política correspondente
Alertas externalId ID do Alerta
Alertas src Endereço IPv4 do dispositivo cliente
Alertas c6a1 Endereço IPv6 do dispositivo cliente

Passo 3: validar se o agente SIEM está a funcionar

  1. Confirme que o estado do agente SIEM no portal não é Erro de ligação ou Desligado e não existem notificações do agente. Será apresentado como Erro de ligação se a ligação estiver inativa durante mais de duas horas. O estado é apresentado como Desligado se a ligação estiver inativa durante mais de 12 horas.

    SIEM desligado.

    Em vez disso, o estado deve estar ligado, conforme visto aqui:

    SIEM ligado.

  2. No servidor Syslog/SIEM, certifique-se de que vê atividades e alertas provenientes de Defender for Cloud Apps.

Regenerar o token

Se perder o token, pode sempre regenerar o mesmo ao selecionar os três pontos no final da linha para o agente SIEM na tabela. Selecione Regenerar token para obter um novo token.

SIEM – regenerar o token.

Editar o agente SIEM

Para editar o agente SIEM, selecione os três pontos no final da linha para o agente SIEM na tabela e selecione Editar. Se editar o agente SIEM, não precisa de voltar a executar o ficheiro .jar, este é atualizado automaticamente.

SIEM – editar.

Eliminar o agente SIEM

Para eliminar o agente SIEM, selecione os três pontos no final da linha para o agente SIEM na tabela e selecione Eliminar.

SIEM – eliminar.

Passos seguintes

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do produto, abra um pedido de suporte.