SIEM-Integration in Office 365 Advanced Security Management

Office 365 Advanced Security Management (ASM) kann nun in Ihren SIEM-Server integriert werden, um eine zentralisierte Überwachung von Warnungen zu ermöglichen. Die Integration in einen SIEM-Dienst bietet Ihnen die Möglichkeit, Ihre Office 365-Anwendungen besser zu schützen, während Ihr üblicher Sicherheitsworkflow beibehalten wird, Sicherheitsprozeduren automatisiert werden und cloudbasierte und lokale Ereignisse in Beziehung gesetzt werden. Der SIEM-Agent wird auf Ihrem Server ausgeführt, ruft Warnungen aus Office 365 ASM ab und sendet diese an den SIEM-Server.

Wenn Sie Ihren SIEM-Dienst neu mit Office 365 ASM integrieren, werden Warnungen aus den letzten zwei Tagen sowie Warnungen, die ab diesem Zeitpunkt auftreten (basierend auf den ausgewählten Filtern), an den SIEM weitergeleitet. Darüber hinaus erfolgt bei der erneuten Aktivierung nach einer längeren Deaktivierung dieses Features ebenfalls eine Weiterleitung der Warnungen aus den letzten zwei Tagen sowie aller ab diesem Zeitpunkt auftretenden Warnungen.

HINWEIS Dieses Feature befindet sich in Public Preview.

Architektur der SIEM-Integration

Der SIEM-Agent wird im Netzwerk Ihrer Organisation bereitgestellt. Wenn er bereitgestellt und konfiguriert ist, ruft er die konfigurierten Datentypen (Warnungen) mithilfe der Office 365 ASM-RESTful-APIs ab. Der Datenverkehr wird anschließend über einen verschlüsselten HTTPS-Kanal an Port 443 gesendet.

Nachdem der SIEM-Agent die Daten bei Office 365 ASM abgerufen hat, sendet er Syslog-Nachrichten an Ihren lokalen SIEM-Dienst. Er verwendet dazu die Netzwerkkonfigurationen, die Sie im Setup festgelegt haben (TCP oder UDP mit einem benutzerdefinierten Port).

Übersicht zur Architektur der SIEM-Integration

SIEM-Beispielprotokolle

Die Protokolle, die von Cloud App Security für Ihren SIEM-Dienst bereitgestellt werden, liegen als CEF-over-Syslog vor. In den folgenden Beispielprotokollen können Sie den Typ von Ereignis sehen, der normalerweise von Office 365 ASM an Ihren SIEM-Server gesendet wird. In ihnen können Sie Folgendes sehen: wann die Warnung ausgelöst wurde, den Ereignistyp, die Richtlinie, die verletzt wurde, den Benutzer, der das Ereignis ausgelöst hat, die App, die der Benutzer beim Auftreten der Verletzung verwendete, und die URL, von der die Warnung kommt:

Beispielprotokolle für Warnungen:

2017-05-12T13:25:57.640Z CEF:0|MCAS|SIEM_Agent|0.97.33|ALERT_CABINET_EVENT_MATCH_AUDIT|asddsddas|3|externalId=5915b7e50d5d72daaf394da9 start=1494595557640 end=1494595557640 msg=Activity policy 'Mass Download by User' was triggered by 'admin@contoso.com' suser=admin@contoso.com destinationServiceName=Office 365 cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://contoso.cloudappsecurity.com/#/alerts/5915b7e50d5d72daaf394da9 cs2Label=uniqueServiceAppIds cs2=APPID_OFFICE365 cs3Label=relatedAudits cs3=AVv81ljWeXPEqTlM-j-j

Vorgehen zur Integration

Die Integration mit Ihrem SIEM erfolgt in drei Schritten:

  1. Einrichtung im Office 365 ASM-Portal

  2. Herunterladen der JAR-Datei und deren Ausführung auf Ihrem Server

  3. Überprüfung der Funktion des SIEM-Agents

Voraussetzungen

  • Ein Windows- oder Linux-Standardserver (kann ein virtueller Computer sein).

  • Auf dem Server muss Java 8 ausgeführt werden; frühere Versionen werden nicht unterstützt.

Schritt 1: Einrichtung im Office 365 ASM-Portal

  1. Klicken Sie im Office 365 ASM-Portal unter dem Einstellungen-Zahnrad auf SIEM-Agents.

  2. Wählen Sie SIEM-Agent hinzufügen aus, um den Assistenten zu starten.

  3. Wählen Sie im Assistenten SIEM-Agent hinzufügen aus.

  4. Setzen Sie im Assistenten einen Namen ein, Wählen Sie Ihr SIEM-Format aus, und legen Sie alle eventuellen Erweiterten Einstellungen fest, die für das Format relevant sind. Wählen Sie Weiter aus.

    Auswählen Ihres SIEM-Formats und der erweiterten Einstellungen

  5. Geben Sie die IP-Adresse oder den Hostnamen des Remote-Syslog-Hosts und die Syslog-Portnummer ein. Wählen Sie TCP oder UDP als Protokoll für Remote-Syslog aus. Erfragen Sie diese Details bei Ihrem Sicherheitsadministrator, wenn sie Ihnen nicht bekannt sind. Wählen Sie dann Weiter aus.

    Geben Sie Ihren Syslog-Remotehost und Ihre Syslog-Portnummer an

  6. Wählen Sie die Aktivitäten aus, die Sie auf Ihren SIEM-Server exportieren möchten. Verwenden Sie den Schieberegler, um sie zu aktivieren oder deaktivieren. Standardmäßig ist alles aktiviert. Sie können das Dropdownfeld Anwenden auf verwenden, um Filter festzulegen und nur bestimmte Warnungen an Ihren SIEM-Server zu senden. Sie können auf Ergebnisse bearbeiten und Vorschau anzeigen klicken, um zu überprüfen, ob der Filter wie erwartet funktioniert. Klicken Sie auf Weiter.

    Wählen Sie die Warnungen und Aktivitäten aus, die auf Ihren SIEM-Server exportiert werden sollen.

  7. Kopieren Sie das Token, und speichern Sie es zur späteren Verwendung. Nachdem Sie auf "Fertig stellen" geklickt und den Assistenten verlassen haben, können Sie auf der SIEM-Seite den SIEM-Agent, den Sie hinzugefügt haben, in der Tabelle sehen. Er zeigt seinen Status als Erstellt an, bis er zu einem späteren Zeitpunkt verbunden wird.

Schritt 2: Herunterladen der JAR-Datei und ihre Ausführung auf Ihrem Server

  1. Laden Sie den Microsoft Cloud App Security-SIEM-Agent herunter, und entzippen Sie den Ordner.

  2. Extrahieren Sie die JAR-Datei aus der ZIP-Datei, und führen Sie sie auf Ihrem Server aus.

  3. Führen Sie nach dem Ausführen der Datei den folgenden Befehl aus:

    java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN

    Hinweis : Der Dateiname kann je nach verwendeter Version des SIEM-Agents abweichen.

    Parameter in eckigen Klammern [ ] sind optional und sollten nur verwendet werden, wenn sie relevant sind.

    Bedeutung der folgenden Variablen:
    DIRNAME ist der Pfad zum Verzeichnis, das Sie für die Debugprotokolle des lokalen Agents verwenden möchten.
    ADDRESS[:PORT] sind Adresse und Port des Proxyservers, die der Server für Verbindungen mit dem Internet verwendet.
    TOKEN ist das SIEM-Agenttoken, das Sie im vorhergegangenen Schritt kopiert haben.

    Sie können jederzeit Hilfe anzeigen, indem Sie "-h" eingeben.

Schritt 3: Überprüfung der Funktion des SIEM-Agents

Vergewissern Sie sich, dass der Status des SIEM-Agents im Office 365 ASM-Portal nicht Verbindungsfehler oder Getrennt ist und keine Agent-Benachrichtigungen vorliegen.

Suchen Sie nach dem Status "Getrennt" oder "Verbindungsfehler" für Ihren SIEM-Agent.

  • Wenn die Verbindung länger als zwei Stunden nicht verfügbar ist, wird Verbindungsfehler angezeigt.

  • Wenn die Verbindung länger als 12 Stunden nicht verfügbar ist, wird Getrennt angezeigt

Der gewünschte Status ist Verbunden, wie in der folgenden Abbildung dargestellt:

Der Status für Ihren SIEM-Agent sollte "Verbunden" sein

Überprüfen Sie auf Ihrem Syslog/SIEM-Server, ob Warnungen von Office 365 ASM eingehen.

Neugenerierung Ihres Tokens

Wenn Sie Ihr Token verlieren, können Sie es jederzeit neu generieren. Suchen Sie in der Tabelle die Zeile für den SIEM-Agent. Klicken Sie auf das Auslassungszeichen, und wählen Sie dann Token erneut generieren aus.

Wiederholen Sie die Generierung eines Tokens, indem Sie auf die Auslassungspunkte für Ihren SIEM-Agent klicken

Bearbeiten Ihres SIEM-Agents

Um den SIEM-Agent zu bearbeiten, suchen Sie die Zeile für den SIEM-Agent in der Tabelle. Klicken Sie auf die Auslassungspunkte, und wählen Sie dann Bearbeiten aus. Wenn Sie den SIEM-Agent bearbeiten, müssen Sie die JAR-Datei nicht erneut ausführen; sie wird automatisch aktualisiert.

Um Ihren SIEM-Agent zu bearbeiten, wählen Sie die Auslassungspunkte und dann "Bearbeiten" aus.

Löschen Ihres SIEM-Agents

Um den SIEM-Agent zu löschen, suchen Sie in der Tabelle die Zeile für den SIEM-Agent. Klicken Sie auf die Auslassungspunkte, und wählen Sie dann Löschen aus.

Um einen SIEM-Agent zu löschen, wählen Sie die Auslassungspunkte und dann "Löschen" aus.

Verwandte Themen

Advanced Security Management (Hilfe und Anleitungen)
Was ist Cloud App Security?

Ihre Fähigkeiten erweitern
Schulung erkunden
Neue Funktionen als Erster erhalten
An Office Insider teilnehmen

War diese Information hilfreich?

Vielen Dank für Ihr Feedback!

Vielen Dank für Ihr Feedback. Es klingt, als ob es hilfreich sein könnte, Sie mit einem unserer Office-Supportmitarbeiter zu verbinden.

×