Integrazione SIEM con Gestione sicurezza avanzata di Office 365

È possibile integrare Gestione sicurezza avanzata di Office 365 (ASM) con il SIEM server per abilitare il monitoraggio centralizzato degli avvisi. L'integrazione con un servizio SIEM consente di proteggere meglio le applicazioni di Office 365, mantenendo al tempo stesso il normale flusso di lavoro per la sicurezza, automatizzando le procedure di sicurezza e correlando gli eventi basati sul cloud e quelli locali. L'agente SIEM viene eseguito nel server, recupera gli avvisi da Office 365 ASM e li trasmette al server SIEM.

Quando si integra per la prima volta SIEM con Office 365 ASM, gli avvisi degli ultimi due giorni, e tutti quelli futuri (in base al filtro selezionato), verranno inoltrati a SIEM. Inoltre, se si disabilita questa funzionalità per un periodo prolungato, quando la si abilita di nuovo verranno inoltrati gli avvisi degli ultimi due giorni e tutti gli avvisi successivi.

NOTA Questa funzionalità non è in anteprima pubblica.

Architettura di integrazione SIEM

L'agente SIEM viene distribuito nella rete dell'organizzazione. Quando viene distribuito e configurato, condurrà sondaggi sui tipi di dati configurati (avvisi) usando le API RESTful di Office 365 ASM. Il traffico viene quindi inviato su un canale crittografato HTTPS sulla porta 443.

Dopo aver recuperato i dati da Office 365 ASM, l'agente SIEM invia i messaggi SysLog al sistema SIEM locale usando le configurazioni di rete specificate durante la configurazione (TCP o UDP con una porta personalizzata).

Panoramica dell'architettura di integrazione SIEM

Log SIEM di esempio

I log forniti al sistema SIEM da Cloud App Security sono in formato CEF su SysLog. Nei log di esempio seguenti si può vedere il tipo di evento generalmente inviato da Office 365 ASM al server SIEM. In questi log è possibile vedere quando è stato attivato l'avviso, il tipo di evento, i criteri violati, l'utente che ha generato l'evento, l'app usata dall'utente al momento della violazione e l'URL da cui proviene l'avviso:

Log di avviso di esempio:

2017-05-12T13:25:57.640Z CEF:0|MCAS|SIEM_Agent|0.97.33|ALERT_CABINET_EVENT_MATCH_AUDIT|asddsddas|3|externalId=5915b7e50d5d72daaf394da9 start=1494595557640 end=1494595557640 msg=Il criterio attività 'Download di massa da un singolo utente' è stato attivato da 'admin@contoso.com' suser=admin@contoso.com destinationServiceName=Office 365 cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://contoso.cloudappsecurity.com/#/alerts/5915b7e50d5d72daaf394da9 cs2Label=uniqueServiceAppIds cs2=APPID_OFFICE365 cs3Label=relatedAudits cs3=AVv81ljWeXPEqTlM-j-j

Come eseguire l'integrazione

L'integrazione con SIEM viene completata in tre passaggi:

  1. Configurare SIEM nel portale di Office 365 ASM.

  2. Scaricare il file JAR ed eseguirlo nel server.

  3. Verificare che l'agente SIEM sia in funzione.

Prerequisiti

  • Server standard Windows o Linux (può essere una macchina virtuale).

  • Il server deve eseguire Java 8. Non sono supportate versioni precedenti.

Passaggio 1: Configurare SIEM nel portale di Office 365 ASM

  1. Nel portale di Office 365 ASM fare clic su Agenti SIEM sulla rotellina di Impostazioni.

  2. Scegliere Aggiungi l'agente SIEM per avviare la procedura guidata.

  3. Nella procedura guidata scegliere Aggiungi l'agente SIEM.

  4. Nella procedura guidata immettere un nome e Selezionare il formato SIEM, quindi impostare le eventuali Impostazioni avanzate rilevanti per il formato specificato. Scegliere Avanti.

    Selezionare il formato SIEM e le impostazioni avanzate

  5. Digitare l'indirizzo IP o il nome host per l'host SysLog remoto e il numero di porta SysLog. Selezionare TCP o UDP come protocollo SysLog remoto. Se non sono disponibili, è possibile rivolgersi all'amministratore della sicurezza per ottenere questi dettagli. Quindi scegliere Avanti.

    Specificare l'host SysLog remoto e il numero di porta SysLog

  6. Selezionare le attività da esportare nel server SIEM. Usare il dispositivo di scorrimento per abilitarle e disabilitarle. Per impostazione predefinita, è tutto selezionato. È possibile usare l'elenco a discesa Applica a per impostare i filtri per inviare solo avvisi specifici al server SIEM. È possibile fare clic su Modifica e mostra anteprima dei risultati per verificare che il filtro funzioni come previsto. Fare clic su Avanti.

    Selezionare gli avvisi e le attività da esportare nel server SIEM.

  7. Copiare il token e salvarlo per i passaggi successivi. Dopo aver fatto clic su Fine e aver chiuso la procedura guidata, si torna alla pagina SIEM in cui è visualizzato l'agente SIEM aggiunto nella tabella. Lo stato visualizzato sarà Creato finché non verrà connesso successivamente.

Passaggio 2: Scaricare il file JAR ed eseguirlo nel server

  1. Scaricare l'agente SIEM di Microsoft Cloud App Security e decomprimere la cartella.

  2. Estrarre il file JAR dal file ZIP ed eseguirlo nel server.

  3. Dopo avere eseguito il file, usare il comando seguente:

    java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN

    Nota : Il nome file potrebbe variare a seconda della versione dell'agente SIEM.

    I parametri tra parentesi quadre [] sono facoltativi e devono essere usati solo se pertinenti.

    Queste sono le variabili usate:
    DIRNAME è il percorso della directory da usare per i log di debug dell'agente locale.
    ADDRESS[:PORT] è l'indirizzo del server proxy e la porta che il server usa per la connessione a Internet.
    TOKEN è il token dell'agente SIEM copiato nel passaggio precedente.

    È possibile digitare -h in qualsiasi momento per ottenere assistenza.

Passaggio 3: Verificare che l'agente SIEM sia in funzione

Verificare che lo stato dell'agente SIEM nel portale di Office 365 ASM non sia Si è verificato un errore di connessione o Disconnesso e che non siano presenti notifiche dell'agente.

Prestare attenzione allo stato di errore di connessione o disconnessione dell'agente SIEM.

  • Se la connessione viene interrotta per più di due ore, si vedrà Si è verificato un errore di connessione

  • Se la connessione viene interrotta per più di 12 ore, si vedrà Disconnesso

Lo stato desiderato è Connesso, come illustrato nell'immagine seguente:

Si vuole vedere lo stato di connessione per l'agente SIEM

Nel server SysLog/SIEM assicurarsi che vengano visualizzati gli avvisi provenienti da Office 365 ASM.

Rigenerazione del token

Se si perde il token, è sempre possibile rigenerarlo. Nella tabella individuare la riga per l'agente SIEM. Fare clic sui puntini di sospensione e quindi scegliere Rigenera il token.

Rigenerare un token facendo clic sui puntini di sospensione per l'agente SIEM

Modifica dell'agente SIEM

Per modificare l'agente SIEM, nella tabella individuare la riga che lo contiene. Fare clic sui puntini di sospensione e quindi scegliere Modifica. Se si modifica l'agente SIEM, non è necessario eseguire nuovamente il file JAR, perché viene aggiornato automaticamente.

Per modificare l'agente SIEM, scegliere i puntini di sospensione e quindi Modifica.

Eliminazione dell'agente SIEM

Per eliminare l'agente SIEM; nella tabella individuare la riga che lo contiene. Fare clic sui puntini di sospensione e quindi scegliere Elimina.

Per eliminare un agente SIEM, scegliere i puntini di sospensione e quindi Elimina.

Argomenti correlati

Gestione sicurezza avanzata (guida e procedure)
Che cos'è Cloud App Security?

Amplia le tue competenze
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa al programma Office Insider

Queste informazioni sono risultate utili?

Grazie per i tuoi commenti e suggerimenti

Grazie per il tuo feedback! Potrebbe essere utile metterti in contatto con uno dei nostri operatori del supporto di Office.

×