Intégrer votre serveur SIEM sécurité de l’application Cloud Office 365

Important :  Cet article a été traduit automatiquement, voir l’avertissement. Vous pouvez consulter la version en anglais de cet article ici.

Vous pouvez intégrer La gestion de sécurité avancée d’Office 365 (ASM) avec votre serveur SIEM pour activer le contrôle centralisé des alertes. Intégration à un service SIEM vous permet de mieux protéger vos applications Office 365 tout en conservant votre flux de travail habituel de sécurité, d’automatisation des procédures de sécurité et de corrélation entre sur le nuage et événements locaux. L’agent SIEM s’exécute sur votre serveur et extrait les alertes à partir d’Office 365 ASM et les transmet au serveur SIEM.

Lorsque vous intégrez tout d’abord votre SIEM avec Office 365 ASM, alertes dans les deux derniers jours sont transférés à la SIEM ainsi que toutes les alertes par la suite (basée sur le filtre que vous sélectionnez). En outre, si vous désactivez cette fonctionnalité pour une période prolongée, quand vous l’activer à nouveau il transférera les deux derniers jours d’alertes et de toutes les alertes puis par la suite.

Remarque Cette fonctionnalité est dans la version d’évaluation.

Architecture d’intégration SIEM

L’agent SIEM est déployé dans le réseau de votre organisation. Déployée et configurée, l’interrogation les types de données qui ont été configurés (alertes) à l’aide d’Office 365 ASM API RESTful. Le trafic est envoyé puis sur un canal chiffré HTTPS sur le port 443.

Une fois que l’agent SIEM extrait les données à partir d’Office 365 ASM, il envoie des messages journal système à votre SIEM local en utilisant les configurations réseau que vous avez fourni pendant l’installation (TCP ou UDP avec un port personnalisé).

Exemple SIEM journaux

Les journaux fournis à votre SIEM par Cloud application sécurité dépassent format CEF journal système. Dans les journaux d’exemple suivants, vous êtes en mesure de voir le type d’événement généralement envoyé par Office 365 ASM à votre serveur SIEM. Dans ces que vous pouvez voir quand elle a été déclenchée, le type d’événement, la stratégie qui a été violation, l' utilisateur qui a déclenché l’événement, l' application de que l’utilisateur a été à l’aide lors de la violation et l’URL l’alerte arrive à partir de :

Exemple de journal des alertes :

2017-05-12T13:25:57.640Z CEF:0 | MONTANTS COMPENSATOIRES MONÉTAIRES AINSI | SIEM_Agent | 0.97.33 | ALERT_CABINET_EVENT_MATCH_AUDIT | asddsddas | 3 | externalId = début 5915b7e50d5d72daaf394da9 = fin 1494595557640 = 1494595557640 message =stratégie activité ' masse Download par utilisateur ' a été déclenchés par 'admin@contoso.com' suser=admin@contoso.com destinationServiceName = Office 365 cn1Label = riskScore cn1 = cs1Label = portailcs1 URL = https://contoso.cloudappsecurity.com/#/alerts/5915b7e50d5d72daaf394da9 cs2Label = cs2 uniqueServiceAppIds = APPID_OFFICE365 cs3Label = cs3 relatedAudits = AVv81ljWeXPEqTlM-j-j

Comment intégrer

Intégration à votre SIEM s’effectue en trois étapes :

  1. Configurer votre messagerie dans le portail Office 365 ASM.

  2. Téléchargez le fichier JAR et exécuté sur votre serveur.

  3. Valider que l’agent SIEM fonctionne.

Conditions préalables

  • Serveur Windows ou Linux standard (peut être une machine virtuelle).

  • Le serveur doit exécuter Java 8 ; les versions antérieures ne sont pas pris en charge.

Étape 1 : Configurer votre messagerie dans le portail Office 365 ASM

  1. Dans le portail Office 365 ASM, sous la rouage paramètres, cliquez sur SIEM agents.

  2. Choisissez Ajouter SIEM agent pour démarrer l’Assistant.

  3. Dans l’Assistant, choisissez Ajouter SIEM agent.

  4. Dans l’Assistant, renseignez un nom, puis Sélectionnez format de SIEM et définir les Paramètres avancés pertinents dans ce format. Cliquez sur suivant.

    Sélectionnez votre format SIEM et paramètres avancés

  5. Tapez l’adresse IP ou le nom d’hôte de l' hôte de journal système distant et le numéro de port journal système. Sélectionnez TCP ou UDP comme protocole journal système distant. Vous pouvez travailler avec votre administrateur de sécurité pour obtenir ces informations si vous n’avez pas les. Puis cliquez sur suivant.

    Spécifiez votre hôte de journal système distant et du numéro de port journal système

  6. Sélectionnez les activités que vous souhaitez exporter vers votre serveur SIEM. Utilisez le curseur pour activer et désactiver les. Par défaut, tout est activée. Vous pouvez utiliser le menu déroulant appliquer à définir des filtres pour envoyer uniquement les alertes spécifiques à votre serveur SIEM. Vous pouvez cliquer sur modifier et afficher un aperçu des résultats pour vérifier que le filtre fonctionne comme prévu. Cliquez sur suivant.

    Sélectionnez les alertes et les activités à exporter vers votre serveur SIEM.

  7. Copiez le jeton et enregistrez-le pour rappel ultérieur. Une fois que vous cliquez sur Terminer et quitter l’Assistant, dans la page SIEM, vous pouvez voir l’agent SIEM que vous avez ajouté dans la table. Il indique qu’il est créé jusqu'à ce qu’il est connecté ultérieurement.

Étape 2 : Télécharger le fichier JAR et exécuté sur votre serveur

  1. Téléchargez le Microsoft Cloud application sécurité SIEM Agent et décompressez le dossier.

  2. Extraire le fichier .jar à partir du fichier zip et exécuté sur votre serveur.

  3. Après avoir exécuté le fichier, exécutez la commande suivante : commande :

    java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN

    Remarque : Le nom de fichier varient en fonction de la version de l’agent SIEM.

    Paramètres entre crochets [] sont facultatives et doivent être utilisés le cas échéant.

    Où les variables suivantes sont utilisées :
    DIRNAME est le chemin d’accès au répertoire que vous souhaitez utiliser pour les journaux de débogage agent local.
    ADRESSE [ : PORT] est l’adresse du serveur proxy et le port utilisé par le serveur pour vous connecter à Internet.
    JETON est le jeton de l’agent SIEM que vous avez copié à l’étape précédente.

    Vous pouvez taper -h à tout moment pour obtenir de l’aide.

Étape 3 : Valider que l’agent SIEM fonctionne

Vérifiez que l’état de l’agent SIEM dans le portail Office 365 ASM n’est pas erreur de connexion ou déconnecté et il n’existe aucune notification agent.

Recherchez une erreur connecetion avec votre agent SIEM ou l’état de déconnecté.

  • Si la connexion est arrêté pendant plus de deux heures, vous verrez l’erreur de connexion

  • Si la connexion est arrêté pendant plus de 12 heures, vous verrez déconnecté

Vous souhaitez afficher un état de connecté, comme le montre l’image suivante :

Vous souhaitez afficher un état de connecté pour votre agent SIEM

Dans votre serveur journal système/SIEM, vérifiez que vous voyez alertes parviennent à partir d’Office 365 ASM.

Régénérer votre jeton

Si vous perdez votre jeton, vous pouvez toujours le restaurer. Dans la table, recherchez la ligne de l’agent SIEM. Cliquez sur les points de suspension, puis choisissez Régénérer jeton.

Régénérer un jeton en cliquant sur les points de suspension pour votre agent SIEM

Modification de votre agent SIEM

Pour modifier votre agent SIEM, dans la table, recherchez la ligne de l’agent SIEM. Cliquez sur les points de suspension, puis cliquez sur Modifier. Si vous modifiez l’agent SIEM, vous n’avez pas besoin d’exécutez à nouveau le fichier .jar ; Il met à jour automatiquement.

Pour modifier votre agent SIEM, sélectionnez les points de suspension, puis modifier.

Suppression de votre agent SIEM

Pour supprimer votre agent SIEM, dans la table, recherchez la ligne de l’agent SIEM. Cliquez sur les points de suspension et choisissez Supprimer.

Pour supprimer un agent SIEM, sélectionnez les points de suspension, puis supprimer.

Rubriques connexes

Gestion de sécurité (aide et procédures) avancée
Nouveautés Cloud application sécurité ?

Remarque : Avertissement traduction automatique : cet article a été traduit par un ordinateur, sans intervention humaine. Microsoft propose cette traduction automatique pour offrir aux personnes ne maîtrisant pas l’anglais l’accès au contenu relatif aux produits, services et technologies Microsoft. Comme cet article a été traduit automatiquement, il risque de contenir des erreurs de grammaire, de syntaxe ou de terminologie.

Développez vos compétences
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoignez le programme Office Insider

Ces informations vous ont-elles été utiles ?

Nous vous remercions pour vos commentaires.

Merci pour vos commentaires. Il serait vraisemblablement utile pour vous de contacter l’un de nos agents du support Office.

×