Office 365 クラウド アプリのセキュリティと SIEM サーバーを統合します。

Office 365 Advanced Security Management (ASM) と SIEM サーバーを統合し、警告を一元的に監視できるようになりました。SIEM サービスと統合することで、Office 365 アプリケーションの保護を改善できるだけでなく、通常のセキュリティ ワークフローを維持し、セキュリティ手順を自動化し、クラウドベース イベントとオンプレミス イベント間を関連付けることができます。SIEM エージェントはサーバー上で実行され、Office 365 ASM から警告を取得して SIEM サーバーにストリーミングします。

SIEM と Office 365 ASM を初めて統合すると、(選択したフィルターに基づき) 最後の 2 日間のアラートがその後のアラートと共に SIEM に転送されます。また、長期間にわたりこの機能を無効にしていた場合、それを再度有効にしたとき、過去 2 日間のアラートがその後のすべてのアラートと共に転送されます。

この機能はパブリック プレビュー中です。

SIEM 統合アーキテクチャ

SIEM エージェントは、組織のネットワークに配置されます。このエージェントは、展開および構成されると、Office 365 ASM RESTful API を利用し、構成されたデータの種類 (アラート) をポーリングします。その後、トラフィックは、ポート 443 の暗号化された HTTPS チャネルを経由して送信されます。

SIEM エージェントが Office 365 ASM からデータを取得すると、セットアップ時に指定したネットワーク構成を利用し、ローカル SIEM に Syslog メッセージを送信します。

サンプル SIEM ログ

Cloud App Security から SIEM に提供されるログは Syslog の CEF です。次のサンプル ログからは、Office 365 ASM から SIEM サーバーに一般的に送信されるイベントの種類を確認できます。アラートが発生した時刻、イベントの種類、違反したポリシー、イベントを発生させたユーザー、違反時にユーザーが使用していたアプリ、アラートの発信元 URL を確認できます。

サンプル アラート ログ:

2017-05-12T13:25:57.640Z CEF:0|MCAS|SIEM_Agent|0.97.33|ALERT_CABINET_EVENT_MATCH_AUDIT|asddsddas|3|externalId=5915b7e50d5d72daaf394da9 start=1494595557640 end=1494595557640 msg=Activity policy 'Mass Download by User' was triggered by 'admin@contoso.com' suser=admin@contoso.com destinationServiceName=Office 365 cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://contoso.cloudappsecurity.com/#/alerts/5915b7e50d5d72daaf394da9 cs2Label=uniqueServiceAppIds cs2=APPID_OFFICE365 cs3Label=relatedAudits cs3=AVv81ljWeXPEqTlM-j-j

統合方法

SIEM との統合は、次の 3 つの手順で完了します。

  1. Office 365 ASM ポータルでセットアップします。

  2. JAR ファイルをダウンロードし、それをサーバーで実行します。

  3. SIEM エージェントが動作していることを確認します。

前提条件

  • 標準的な Windows または Linux サーバー (仮想マシンである可能性があります)。

  • サーバーで Java 8 を実行していること。それ以前のバージョンには対応していません。

手順 1:Office 365 ASM ポータルでセットアップする

  1. Office 365 ASM ポータルで、設定の歯車アイコンの下にある [SIEM エージェント] をクリックします。

  2. [SIEM エージェントを追加する] を選択し、ウィザードを開始します。

  3. ウィザードで、[SIEM エージェントを追加する] を選択します。

  4. ウィザードで、名前を入力し、SIEM 形式を選択し、その形式に関連する詳細設定があればそれを設定します。[次へ] を選択します。

    SIEM 形式と詳細設定を選択する

  5. リモート Syslog ホストSyslog ポート番号の IP アドレスまたはホスト名を入力します。リモート Syslog プロトコルとして TCP または UDP を選択します。詳細をお持ちでない場合、セキュリティ管理者と共に操作して入手することができます。次に、[次へ] を選択します。

    リモート Syslog ホストと Syslog ポート番号を指定する

  6. SIEM エージェントにエクスポートするアクティビティを選択しますスライダーを使用し、有効/無効を切り替えます。既定では、すべてが選択されています。[設定対象] ドロップダウンを利用してフィルターを設定し、特定のアラートのみを SIEM サーバーに送信します。[結果の編集とプレビュー] をクリックすると、フィルターが予想どおり機能していることを確認できます。[次へ] をクリックします。

    SIEM エージェントにエクスポートするアラートとアクティビティを選択します。

  7. トークンをコピーし、後で使用するために保存しておきます。[完了] をクリックしてウィザードを終了し、SIEM ページに戻ります。追加した SIEM エージェントを表で確認できます。後で接続するまで、[作成済み] として表示されます。

手順 2:JAR ファイルをダウンロードし、それをサーバーで実行する

  1. Microsoft Cloud App Security SIEM エージェントをダウンロードし、フォルダーを解凍します。

  2. zip ファイルから .jar ファイルを抽出し、サーバーでそれを実行します。

  3. ファイルの実行後、次のコマンドを実行します。

    java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN

    注: ファイル名は SIEM エージェントのバージョンによって異なる場合があります。

    角かっこ [ ] のパラメーターは省略可能です。該当する場合にのみ使用してください。

    次の変数が使用されます。
    DIRNAME は、ローカル エージェントのデバッグ ログに使用するディレクトリのパスです。
    ADDRESS[:PORT] は、インターネットに接続するためにサーバーにより使用されるプロキシ サーバー アドレスとポートです。
    TOKEN は、前の手順でコピーした SIEM エージェント トークンです。

    -h を入力することで、いつでもヘルプを表示できます。

手順 3:SIEM エージェントが動作していることを確認する

Office 365 ASM ポータルの SIEM エージェントの状態が [接続エラー] または [切断] ではないことと、エージェント通知がないことを確認します。

SIEM エージェントで、状態 (切断または接続エラー) を確認します。

  • 接続が 2 時間以上停止している場合、[接続エラー] が表示されます。

  • 接続が 12 時間以上停止している場合、[切断] が表示されます。

下の画像のように、[接続済み] が表示される場合:

SIEM エージェントの状態 (接続済み) を確認します

Syslog/SIEM サーバーで、Office 365 ASM からアラートが届いています。

トークンの再生成

トークンをなくした場合、いつでも再生成できます。表で、SIEM エージェントの行を見つけます。省略記号をクリックし、[トークンの再生成] を選択します。

SIEM エージェントの省略記号をクリックし、トークンを再生成します。

SIEM エージェントを編集する

SIEM エージェントを編集するには、SIEM エージェントの行を見つけます。省略記号をクリックし、[編集] を選択します。SIEM エージェントを編集する場合、.jar ファイルを再実行する必要はありません。自動的に更新されます。

SIEM エージェントを編集するには、省略記号を選択し、[編集] を選択します。

SIEM エージェントを削除する

SIEM エージェントを削除するには、表で SIEM エージェントの行を見つけます。省略記号をクリックし、[削除] を選択します。

SIEM エージェントを削除するには、省略記号を選択し、[削除] を選択します。

関連トピック

高度なセキュリティ管理 (ヘルプと使い方)
Cloud App Security とは

スキルを磨く
トレーニングの探索
新機能を最初に入手
Office Insider に参加する

この情報は役に立ちましたか?

ご意見をいただきありがとうございます。

フィードバックをお寄せいただき、ありがとうございます。Office サポートの担当者におつなぎいたします。

×