Integrieren von Ihrem Server SIEM mit Office 365-Cloud-App-Sicherheit

Hinweis:  Wir möchten Ihnen die aktuellsten Hilfeinhalte so schnell wie möglich in Ihrer eigenen Sprache bereitstellen. Diese Seite wurde automatisiert übersetzt und kann Grammatikfehler oder Ungenauigkeiten enthalten. Unser Ziel ist es, Ihnen hilfreiche Inhalte bereitzustellen. Teilen Sie uns bitte über den Link am unteren Rand dieser Seite mit, ob die Informationen für Sie hilfreich sind. Hier finden Sie den englischen Artikel als Referenz.

Office 365 Advanced Security Management ist jetzt Office 365 Cloud App Security.

Auswertung    >

Planung    >

Bereitstellung    >

Auslastung   

Starten der Auswertung

Mit der Planung beginnen

Sie befinden sich hier!

Als Nächstes

Starten Sie die Nutzung

Sie können Office 365-Cloud-App-Sicherheit mit der Sicherheit und Ereignissen Management (SIEM) Server zentralisierte Überwachung der Benachrichtigungen aktivieren integrieren. Integration in einem SIEM-Dienst können Sie Ihre Office 365 Applikationen besser schützen, unter Beibehaltung des Workflows üblichen Sicherheit, Sicherheitsverfahren automatisieren und zwischen cloudbasierten abgleichen und lokale Ereignisse. Der SIEM-Agent auf dem Server ausgeführt wird und Benachrichtigungen von Office 365 Cloud App Security abruft und streamt sie in dem SIEM-Server.

Wenn Sie zunächst Ihre SIEM mit Office 365 Cloud App Security integrieren, Benachrichtigungen aus der letzten beiden Tage werden weitergeleitet werden soll die SIEM als auch alle Alarme von dann an (basierend auf den Filter, die Sie auswählen). Darüber hinaus, wenn Sie dieses Feature längere, deaktivieren, wenn Sie ihn aktivieren leitet erneut er die letzten zwei Tage von Benachrichtigungen, und klicken Sie dann alle Benachrichtigungen von klicken Sie dann auf Weiter.

Hinweis: Sie müssen ein globaler Administrator oder Sicherheitsadministrator, die in diesem Artikel beschriebenen Aufgaben ausführen können. Finden Sie unter Berechtigungen in der Office 365-Sicherheit und Compliance-zentrieren.

Architektur der SIEM-Integration

Der SIEM-Agent wird im Netzwerk Ihrer Organisation bereitgestellt. Wenn bereitgestellt und konfiguriert ist, wird er fragt die Datentypen, die konfiguriert (Benachrichtigungen) wurden Office 365 Cloud App Security Rest-APIs verwenden. Der Verkehr wird dann über einen verschlüsselten HTTPS-Kanal Port 443 gesendet.

Nachdem der SIEM-Agent die Daten aus Office 365 Cloud App Security abruft, sendet er Syslog-Nachrichten an Ihrem lokalen SIEM mithilfe der Netzwerkkonfigurationen, die Sie während der Einrichtung (TCP oder UDP mit einem benutzerdefinierten Anschluss) bereitgestellt.

SIEM-Beispielprotokolle

Die Protokolle bereitgestellt, um Ihre SIEM aus Microsoft Cloud-App-Sicherheit liegen CEF Syslog. In den folgenden Beispiel Protokollen können Sie den Typ des Ereignisses von Office 365 ASM normalerweise gesendet werden, auf dem Server SIEM finden Sie unter. In diesen, die Sie sehen können, wenn die Warnung ausgelöst wurde, ist die Richtlinie, die verletzt wurde, den Typ des Ereignisses, den Benutzer, der das Ereignis ausgelöst wurde, die app, die der Benutzer verwendet wurde, wenn der Verletzung und die URL die Benachrichtigung in Kürze Von:

Beispielprotokolle für Warnungen:

2017-05-12T13:25:57.640Z CEF:0|MCAS|SIEM_Agent|0.97.33|ALERT_CABINET_EVENT_MATCH_AUDIT|asddsddas|3|externalId=5915b7e50d5d72daaf394da9 start=1494595557640 end=1494595557640 msg=Activity policy 'Mass Download by User' was triggered by 'admin@contoso.com' suser=admin@contoso.com destinationServiceName=Office 365 cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://contoso.cloudappsecurity.com/#/alerts/5915b7e50d5d72daaf394da9 cs2Label=uniqueServiceAppIds cs2=APPID_OFFICE365 cs3Label=relatedAudits cs3=AVv81ljWeXPEqTlM-j-j

Vorgehen zur Integration

Integration mit dem Server SIEM lesbar ist in drei Schritte:

  1. Richten Sie es im Portal Office 365 Cloud App Security.

  2. Herunterladen der JAR-Datei und deren Ausführung auf Ihrem Server

  3. Überprüfung der Funktion des SIEM-Agents

Voraussetzungen

  • Ein Windows- oder Linux-Standardserver (kann ein virtueller Computer sein).

  • Auf dem Server muss Java 8 ausgeführt werden; frühere Versionen werden nicht unterstützt.

Schritt 1: Richten Sie es im Portal Office 365 Cloud App Security ein

  1. Wechseln Sie zu https://protection.office.com, und melden Sie sich mit Ihrem Geschäfts-, Schul- oder Unikonto für Office 365 an. (Dadurch gelangen Sie zum Security & Compliance Center.)

  2. Wechseln Sie zu Warnungen > Erweiterte Warnungen verwalten.

  3. Wählen Sie aus, Wechseln Sie zu Office 365-Cloud-App-Sicherheit, fahren Sie mit dem Portal Office 365 Cloud App Security.

    Wählen Sie in der Sicherheit und Compliance Center erweiterte Benachrichtigungen verwalten, fahren Sie mit Office 365-Cloud-App-Sicherheit

  4. Klicken Sie auf Einstellungen > SIEM-Agents.

  5. Wählen Sie SIEM-Agent hinzufügen aus, um den Assistenten zu starten.

  6. Wählen Sie im Assistenten SIEM-Agent hinzufügen aus.

  7. Im Assistenten geben Sie einen Namen, und Wählen Sie Ihre SIEM-Format, und legen Sie alle Erweiterte Einstellungen, die in dieses Format relevant sind. Wählen Sie auf Weiter.

    Auswählen Ihres SIEM-Formats und der erweiterten Einstellungen

  8. Geben Sie die IP-Adresse oder den Hostnamen des Remote-Syslog-Hosts und die Syslog-Portnummer ein. Wählen Sie TCP oder UDP als Protokoll für Remote-Syslog aus. Erfragen Sie diese Details bei Ihrem Sicherheitsadministrator, wenn sie Ihnen nicht bekannt sind. Wählen Sie dann Weiter aus.

    Geben Sie Ihren Syslog-Remotehost und Ihre Syslog-Portnummer an

  9. Wählen Sie die Aktivitäten aus, die Sie auf Ihren SIEM-Server exportieren möchten. Verwenden Sie den Schieberegler, um sie zu aktivieren oder deaktivieren. Standardmäßig ist alles aktiviert. Sie können das Dropdownfeld Anwenden auf verwenden, um Filter festzulegen und nur bestimmte Warnungen an Ihren SIEM-Server zu senden. Sie können auf Ergebnisse bearbeiten und Vorschau anzeigen klicken, um zu überprüfen, ob der Filter wie erwartet funktioniert. Klicken Sie auf Weiter.

    Wählen Sie die Warnungen und Aktivitäten aus, die auf Ihren SIEM-Server exportiert werden sollen.

  10. Kopieren Sie das Token, und speichern Sie es zur späteren Verwendung. Nachdem Sie auf "Fertig stellen" geklickt und den Assistenten verlassen haben, können Sie auf der SIEM-Seite den SIEM-Agent, den Sie hinzugefügt haben, in der Tabelle sehen. Er zeigt seinen Status als Erstellt an, bis er zu einem späteren Zeitpunkt verbunden wird.

Schritt 2: Herunterladen der JAR-Datei und ihre Ausführung auf Ihrem Server

  1. Laden Sie den Microsoft Cloud App Security-SIEM-Agent herunter, und entzippen Sie den Ordner.

  2. Extrahieren Sie die JAR-Datei aus der ZIP-Datei, und führen Sie sie auf Ihrem Server aus.

  3. Führen Sie nach dem Ausführen der Datei den folgenden Befehl aus:

    java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN

    Hinweis: Der Dateiname kann je nach verwendeter Version des SIEM-Agents abweichen.

    Parameter in eckigen Klammern [ ] sind optional und sollten nur verwendet werden, wenn sie relevant sind.

    Bedeutung der folgenden Variablen:
    DIRNAME ist der Pfad zum Verzeichnis, das Sie für die Debugprotokolle des lokalen Agents verwenden möchten.
    ADDRESS[:PORT] sind Adresse und Port des Proxyservers, die der Server für Verbindungen mit dem Internet verwendet.
    TOKEN ist das SIEM-Agenttoken, das Sie im vorhergegangenen Schritt kopiert haben.

    Sie können jederzeit Hilfe anzeigen, indem Sie "-h" eingeben.

Schritt 3: Überprüfung der Funktion des SIEM-Agents

Stellen Sie sicher, dass der Status des SIEM-Agents im Portal Office 365 Cloud App Security keine Verbindung zurück oder getrennt wird, und es gibt keine Benachrichtigungen Agent.

Suchen Sie nach dem Status "Getrennt" oder "Verbindungsfehler" für Ihren SIEM-Agent.

  • Wenn die Verbindung länger als zwei Stunden nicht verfügbar ist, wird Verbindungsfehler angezeigt.

  • Wenn die Verbindung länger als 12 Stunden nicht verfügbar ist, wird Getrennt angezeigt

Der gewünschte Status ist Verbunden, wie in der folgenden Abbildung dargestellt:

Der Status für Ihren SIEM-Agent sollte "Verbunden" sein

Ihre Server Syslog/SIEM stellen Sie sicher, dass Sie von Office 365 Cloud App Security eingehenden Benachrichtigungen finden Sie unter.

Neugenerierung Ihres Tokens

Wenn Sie Ihr Token verlieren, können Sie es jederzeit neu generieren. Suchen Sie in der Tabelle die Zeile für den SIEM-Agent. Klicken Sie auf das Auslassungszeichen, und wählen Sie dann Token erneut generieren aus.

Wiederholen Sie die Generierung eines Tokens, indem Sie auf die Auslassungspunkte für Ihren SIEM-Agent klicken

Bearbeiten Ihres SIEM-Agents

Um den SIEM-Agent zu bearbeiten, suchen Sie die Zeile für den SIEM-Agent in der Tabelle. Klicken Sie auf die Auslassungspunkte, und wählen Sie dann Bearbeiten aus. Wenn Sie den SIEM-Agent bearbeiten, müssen Sie die JAR-Datei nicht erneut ausführen; sie wird automatisch aktualisiert.

Um Ihren SIEM-Agent zu bearbeiten, wählen Sie die Auslassungspunkte und dann "Bearbeiten" aus.

Löschen Ihres SIEM-Agents

Um den SIEM-Agent zu löschen, suchen Sie in der Tabelle die Zeile für den SIEM-Agent. Klicken Sie auf die Auslassungspunkte, und wählen Sie dann Löschen aus.

Um einen SIEM-Agent zu löschen, wählen Sie die Auslassungspunkte und dann "Löschen" aus.

Weitere Schritte

Ihre Office-Fähigkeiten erweitern
Schulung erkunden
Neue Funktionen als Erster erhalten
An Office Insider teilnehmen

War diese Information hilfreich?

Vielen Dank für Ihr Feedback!

Vielen Dank für Ihr Feedback. Es klingt, als ob es hilfreich sein könnte, Sie mit einem unserer Office-Supportmitarbeiter zu verbinden.

×