Integrar su servidor SIEM con la seguridad de aplicación de nube de Office 365

Importante:  Este artículo se ha traducido con traducción automática; vea la declinación de responsabilidades. Para su referencia, puede encontrar la versión en inglés de este artículo aquí.

Administración de seguridad avanzada de Office 365 es ahora Office 365 Cloud App Security.

Evaluación    >

Planificación    >

Implementación    >

Utilización de   

Empezar a evaluar

Empiece a planear

¡Se encuentra aquí!

Pasos siguientes

Empezar a utilizar

Puede integrar Seguridad de aplicación de nube de Office 365 con su servidor de administración (SIEM) de eventos e información de seguridad para habilitar la supervisión centralizada de alertas. Integración con un servicio SIEM protege mejor sus aplicaciones Office 365 y mantener el flujo de trabajo de seguridad habituales, automatización de los procedimientos de seguridad y correlación entre en la nube y eventos locales. El agente SIEM se ejecuta en el servidor y extrae los avisos de Office 365 Cloud App Security y transmite a ellos en el servidor SIEM.

Al integrar su SIEM con Office 365 Cloud App Security en primer lugar, las alertas de los dos últimos días se reenviarán a la SIEM, así como todas las alertas en (según el filtro que seleccione). Además, si se deshabilita esta característica durante un período prolongado, al habilitar nuevamente reenvía los dos últimos días de y, a continuación, todas las alertas de, a continuación, en.

Arquitectura de integración de SIEM

El agente SIEM se implementa en la red de su organización. Cuando se ha implementado y configurado, explora los tipos de datos que estaban (alertas) configuradas con Office 365 Cloud App Security las API de REST. A continuación, se envía el tráfico a través de un canal cifrado de HTTPS en el puerto 443.

Una vez que el agente SIEM recupera los datos de Office 365 Cloud App Security, envía mensajes de registro del sistema para su SIEM local con las configuraciones de red proporcionado durante la instalación (TCP o UDP con un puerto personalizado).

Ejemplo SIEM registros

Los registros que se proporcionan para su SIEM de seguridad de aplicación de nube de Microsoft están CEF sobre el registro del sistema. En los registros de ejemplo siguientes son vean el tipo de evento que normalmente se envía por Office 365 ASM en su servidor SIEM. En estos que puede ver cuando se ha activado la alerta, el tipo de evento, la Directiva que se ha infringido, el usuario que activó el evento, la aplicación que el usuario estaba utilizando cuando se produjo la infracción y la dirección URL de la alerta pronto estará disponible De:

Registro de alertas de ejemplo:

2017-05-12T13:25:57.640Z CEF:0 | MONTANTES COMPENSATORIOS MONETARIOS ASÍ | SIEM_Agent | 0.97.33 | ALERT_CABINET_EVENT_MATCH_AUDIT | asddsddas | 3 | ExternalID no = comienzo 5915b7e50d5d72daaf394da9 = 1494595557640 end = 1494595557640 msj = 'admin@contoso.com' activó laDirectiva de actividad ' masa descargar por usuario ' suser=admin@contoso.com destinoServiceName = Office 365 cn1Label = riskScore cn1 = cs1Label = portalcs1 URL = https://contoso.cloudappsecurity.com/#/alerts/5915b7e50d5d72daaf394da9 cs2Label = uniqueServiceAppIds cs2 = APPID_OFFICE365 cs3Label = relatedAudits cs3 = AVv81ljWeXPEqTlM-j-j

Cómo integrar

Integración con el servidor SIEM se realiza en tres pasos:

  1. Establecer en el portal de Office 365 Cloud App Security.

  2. Descargue el archivo JAR y ejecutar en el servidor.

  3. Validar que el agente SIEM está funcionando.

Requisitos previos

  • Un servidor estándar de Windows o Linux (puede ser una máquina virtual).

  • El servidor debe estar ejecutándose Java 8; las versiones anteriores no son compatibles.

Paso 1: Configurarlo en el portal de Office 365 Cloud App Security

  1. Vaya a https://protection.office.com e inicie sesión con su cuenta profesional o educativa para Office 365. (Esto le lleva a la Centro de cumplimiento y seguridad.)

  2. Vaya a alertas > Administrar avanzada alertas.

  3. Elija Ir a la seguridad de aplicación de nube de Office 365 para ir al portal de Office 365 Cloud App Security.

    En el centro de cumplimiento y seguridad, elija Administrar alertas avanzadas para ir a la seguridad de aplicación de nube de Office 365

  4. Haga clic en configuración > agentes SIEM.

  5. Elija Agregar SIEM agente para iniciar al asistente.

  6. En el asistente, elija Agregar SIEM agente.

  7. En el asistente, especifique un nombre y Seleccione el formato SIEM y establecer cualquier Configuración avanzada que son relevantes para ese formato. Elija siguiente.

    Seleccione el formato SIEM y la configuración avanzada

  8. Escriba la dirección IP o el nombre de host del host remoto de registro del sistema y el número de puerto de registro del sistema. Seleccione TCP o UDP como protocolo remoto registro del sistema. Puede trabajar con el Administrador de seguridad para obtener estos detalles si no dispone de ellos. A continuación, elija siguiente.

    Especificar el host remoto de registro del sistema y el número de puerto de registro del sistema

  9. Seleccione las actividades que desea exportar en su servidor SIEM. Use el control deslizante para activarlos y desactivarlos. De forma predeterminada, todo lo que está seleccionada. Puede usar la lista desplegable aplicar a para establecer filtros para enviar solo alertas específicas en su servidor SIEM. Puede hacer clic en Editar y obtener una vista previa de resultados para comprobar que el filtro funciona según lo esperado. Haga clic en siguiente.

    Seleccione las alertas y actividades para exportar a su servidor SIEM.

  10. Copie el token y guardar para más tarde. Después haga clic en Finalizar y salir del asistente, en la página SIEM, puede ver al agente SIEM que agregó en la tabla. Se muestran que es creado hasta que se conecta más adelante.

Paso 2: Descargar el archivo JAR y ejecutar en el servidor

  1. Descargue el Agente de SIEM de seguridad de aplicación de nube de Microsoft y descomprima la carpeta.

  2. Extraer el archivo .jar del archivo zip y ejecutar en el servidor.

  3. Después de ejecutar el archivo, ejecute el siguiente: comando:

    java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN

    Nota: El nombre del archivo puede diferir según la versión del agente SIEM.

    Parámetros entre corchetes [] son opcionales y se deben usar solo si es relevante.

    ¿Dónde se usan las variables siguientes:
    DIRNAME es la ruta del directorio que desea usar para los registros de depuración de agente local.
    DIRECCIÓN [: puerto] es la dirección del servidor proxy y el puerto que utiliza el servidor para conectarse a Internet.
    SÍMBOLO es el token de agente SIEM que copió en el paso anterior.

    Puede escribir -h en cualquier momento para obtener ayuda.

Paso 3: Validar que funciona el agente SIEM

Asegúrese de que el estado del agente SIEM en el portal de Office 365 Cloud App Security no es el error de conexión o desconectado y no hay ninguna notificación de agente.

Vea un error de connecetion o de estado de desconectado con el agente SIEM.

  • Si la conexión está inactivo durante más de dos horas, verá el error de conexión

  • Si la conexión está inactivo durante más de 12 horas, verá desconectado

Desea ver estado conectado, tal como se muestra en la siguiente imagen:

Desea ver estado conectado para el agente SIEM

En el servidor de registro del sistema/SIEM, asegúrese de que vea alertas procedentes de Office 365 Cloud App Security.

Volver a generar el token

Si pierde el token, puede regenerar siempre. En la tabla, busque la fila para el agente SIEM. Haga clic en los puntos suspensivos y elija regenerar token.

Volver a crear un token haciendo clic en los puntos suspensivos para el agente SIEM

Editar al agente SIEM

Para editar al agente SIEM, en la tabla, busque la fila para el agente SIEM. Haga clic en los puntos suspensivos y elija Editar. Si modifica al agente SIEM, no necesita volver a ejecutar el archivo .jar; se actualiza automáticamente.

Para editar al agente SIEM, elija los puntos suspensivos y, a continuación, elija Editar.

Eliminar al agente SIEM

Para eliminar al agente SIEM, en la tabla, busque la fila para el agente SIEM. Haga clic en los puntos suspensivos y elija Eliminar.

Para eliminar a un agente de SIEM, elija los puntos suspensivos y, a continuación, elija Eliminar.

Pasos siguientes

Nota: Declinación de responsabilidades de traducción automática: Este artículo se ha traducido con un sistema informático sin intervención humana. Microsoft ofrece estas traducciones automáticas para que los hablantes de otros idiomas distintos del inglés puedan disfrutar del contenido sobre los productos, los servicios y las tecnologías de Microsoft. Puesto que este artículo se ha traducido con traducción automática, es posible que contenga errores de vocabulario, sintaxis o gramática.

Ampliar sus conocimientos
Explorar los cursos
Obtener nuevas características primero
Únase a los participantes de Office Insider

¿Le ha sido útil esta información?

¡Gracias por sus comentarios!

Gracias por sus comentarios. Quizá le interese ponerse en contacto con uno de nuestros agentes de soporte de Office.

×