Integrare il server SIEM con sicurezza App Cloud di Office 365

Importante :  Il presente articolo è stato tradotto automaticamente, vedere la dichiarazione di non responsabilità. Per visualizzare la versione inglese dell'articolo, fare clic qui.

Gestione sicurezza avanzata di Office 365 è ora Office 365 Cloud App Security.

Valutazione    >

Pianificazione    >

Distribuzione    >

Utilizzo   

Avviare la valutazione

Iniziare a pianificare

Sei qui!

Passaggi successivi

Avviare l'utilizzo

È possibile integrare Office 365 Cloud App sicurezza con sicurezza eventi e informazioni server di gestione (SIEM) per abilitare il monitoraggio centralizzato degli avvisi. Integrazione con un servizio SIEM consente di proteggere le applicazioni Office 365 mantenendo il flusso di lavoro di sicurezza comune, procedure di protezione di automazione e la correlazione tra basate su cloud e gli eventi in locale. Agente di SIEM viene eseguita nel server e recupera gli avvisi di Office 365 Cloud App Security e li flussi nel server SIEM.

Quando si integra prima di tutto il SIEM con Office 365 Cloud App Security, gli avvisi di ultimi due giorni verranno inoltrati alla SIEM, nonché tutti gli avvisi in poi (in base del filtro selezionato). Inoltre, se si disattiva questa caratteristica per un periodo, quando si attiva nuovamente inoltra ultimi due giorni di avvisi e quindi tutti gli avvisi in poi.

Architettura di integrazione SIEM

L'agente SIEM viene distribuito nella rete dell'organizzazione. Se distribuito e configurato, l'esame sui tipi di dati che sono stati configurati (avvisi) utilizzando Office 365 Cloud App Security API REST. Il traffico viene quindi inviato su un canale crittografato HTTPS sulla porta 443.

Dopo l'agente SIEM recupera i dati da Office 365 Cloud App Security, invia messaggi registro di sistema per il SIEM locale utilizzando le configurazioni di rete che disponibili durante l'installazione (TCP o UDP con una porta personalizzata).

Log SIEM di esempio

I registri provvisto il SIEM da Microsoft Cloud App Security sono il formato CEF il Registro di sistema. Nei registri di esempio seguente in grado di vedere il tipo di evento in genere inviato da Office 365 ASM al server SIEM. In questi elementi che è possibile visualizzare l'avviso è stato attivato, il tipo di evento, il criterio che è stata soddisfatta, l' utente che ha avviato l'evento, l' app che l'utente utilizza quando la violazione e l' URL dell'avviso sarà disponibile a breve Da:

Log di avviso di esempio:

2017-05-12T13:25:57.640Z CEF:0|MCAS|SIEM_Agent|0.97.33|ALERT_CABINET_EVENT_MATCH_AUDIT|asddsddas|3|externalId=5915b7e50d5d72daaf394da9 start=1494595557640 end=1494595557640 msg=Il criterio attività 'Download di massa da un singolo utente' è stato attivato da 'admin@contoso.com' suser=admin@contoso.com destinationServiceName=Office 365 cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://contoso.cloudappsecurity.com/#/alerts/5915b7e50d5d72daaf394da9 cs2Label=uniqueServiceAppIds cs2=APPID_OFFICE365 cs3Label=relatedAudits cs3=AVv81ljWeXPEqTlM-j-j

Come eseguire l'integrazione

Integrazione con il server SIEM avviene in tre passaggi:

  1. È configurato nel portale di Office 365 Cloud App Security.

  2. Scaricare il file JAR ed eseguirlo nel server.

  3. Verificare che l'agente SIEM sia in funzione.

Prerequisiti

  • Server standard Windows o Linux (può essere una macchina virtuale).

  • Il server deve eseguire Java 8. Non sono supportate versioni precedenti.

Passaggio 1: È configurato nel portale di Office 365 Cloud App Security

  1. Passare a https://protection.office.com e accedere usando l'account aziendale o dell'istituto di istruzione per Office 365. Viene visualizzato Centro sicurezza e conformità.

  2. Scegliere Avvisi > Gestisci avvisi avanzati.

  3. Scegliere passare alla sicurezza App Cloud di Office 365 per accedere al portale di Office 365 Cloud App Security.

    Sicurezza e conformità Center, scegliere Gestisci avvisi avanzate per passare alla sicurezza App Cloud di Office 365

  4. Fare clic su Impostazioni > agenti SIEM.

  5. Scegliere Aggiungi l'agente SIEM per avviare la procedura guidata.

  6. Nella procedura guidata scegliere Aggiungi l'agente SIEM.

  7. Nella procedura guidata, specificare un nome e Selezionare il formato SIEM e configurare le Impostazioni avanzate in relazione al formato. Scegliere Avanti.

    Selezionare il formato SIEM e le impostazioni avanzate

  8. Digitare l'indirizzo IP o il nome host per l'host SysLog remoto e il numero di porta SysLog. Selezionare TCP o UDP come protocollo SysLog remoto. Se non sono disponibili, è possibile rivolgersi all'amministratore della sicurezza per ottenere questi dettagli. Quindi scegliere Avanti.

    Specificare l'host SysLog remoto e il numero di porta SysLog

  9. Selezionare le attività da esportare nel server SIEM. Usare il dispositivo di scorrimento per abilitarle e disabilitarle. Per impostazione predefinita, è tutto selezionato. È possibile usare l'elenco a discesa Applica a per impostare i filtri per inviare solo avvisi specifici al server SIEM. È possibile fare clic su Modifica e mostra anteprima dei risultati per verificare che il filtro funzioni come previsto. Fare clic su Avanti.

    Selezionare gli avvisi e le attività da esportare nel server SIEM.

  10. Copiare il token e salvarlo per i passaggi successivi. Dopo aver fatto clic su Fine e aver chiuso la procedura guidata, si torna alla pagina SIEM in cui è visualizzato l'agente SIEM aggiunto nella tabella. Lo stato visualizzato sarà Creato finché non verrà connesso successivamente.

Passaggio 2: Scaricare il file JAR ed eseguirlo nel server

  1. Scaricare l'agente SIEM di Microsoft Cloud App Security e decomprimere la cartella.

  2. Estrarre il file JAR dal file ZIP ed eseguirlo nel server.

  3. Dopo avere eseguito il file, usare il comando seguente:

    java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN

    Nota : Il nome file potrebbe variare a seconda della versione dell'agente SIEM.

    I parametri tra parentesi quadre [] sono facoltativi e devono essere usati solo se pertinenti.

    Queste sono le variabili usate:
    DIRNAME è il percorso della directory da usare per i log di debug dell'agente locale.
    ADDRESS[:PORT] è l'indirizzo del server proxy e la porta che il server usa per la connessione a Internet.
    TOKEN è il token dell'agente SIEM copiato nel passaggio precedente.

    È possibile digitare -h in qualsiasi momento per ottenere assistenza.

Passaggio 3: Verificare che l'agente SIEM sia in funzione

Verificare lo stato dell'agente SIEM nel portale di Office 365 Cloud App Security non sia di errore di connessione o disconnessione e non sono presenti notifiche agente.

Prestare attenzione allo stato di errore di connessione o disconnessione dell'agente SIEM.

  • Se la connessione viene interrotta per più di due ore, si vedrà Si è verificato un errore di connessione

  • Se la connessione viene interrotta per più di 12 ore, si vedrà Disconnesso

Lo stato desiderato è Connesso, come illustrato nell'immagine seguente:

Si vuole vedere lo stato di connessione per l'agente SIEM

In server di registro di sistema/SIEM, verificare che sia disponibile avvisi provenienti da Office 365 Cloud App Security.

Rigenerazione del token

Se si perde il token, è sempre possibile rigenerarlo. Nella tabella individuare la riga per l'agente SIEM. Fare clic sui puntini di sospensione e quindi scegliere Rigenera il token.

Rigenerare un token facendo clic sui puntini di sospensione per l'agente SIEM

Modifica dell'agente SIEM

Per modificare l'agente SIEM, nella tabella individuare la riga che lo contiene. Fare clic sui puntini di sospensione e quindi scegliere Modifica. Se si modifica l'agente SIEM, non è necessario eseguire nuovamente il file JAR, perché viene aggiornato automaticamente.

Per modificare l'agente SIEM, scegliere i puntini di sospensione e quindi Modifica.

Eliminazione dell'agente SIEM

Per eliminare l'agente SIEM; nella tabella individuare la riga che lo contiene. Fare clic sui puntini di sospensione e quindi scegliere Elimina.

Per eliminare un agente SIEM, scegliere i puntini di sospensione e quindi Elimina.

Passaggi successivi

Nota : Dichiarazione di non responsabilità per la traduzione automatica: Il presente articolo è stato tradotto tramite un software di traduzione automatica e non da una persona. Microsoft offre le traduzioni automatiche per consentire a coloro che non conoscono la lingua inglese di leggere gli articoli sui prodotti, sui servizi e sulle tecnologie Microsoft. Dal momento che l'articolo è stato tradotto automaticamente, potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli.

Amplia le tue competenze
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa al programma Office Insider

Queste informazioni sono risultate utili?

Grazie per i tuoi commenti e suggerimenti

Grazie per il tuo feedback! Potrebbe essere utile metterti in contatto con uno dei nostri operatori del supporto di Office.

×