Office 365 クラウド アプリのセキュリティと SIEM サーバーを統合します。

注:  最新のヘルプ コンテンツをできるだけ早く、お客様がお使いの言語で提供したいと考えております。 このページは、自動翻訳によって翻訳されているため、文章校正のエラーや不正確な情報が含まれている可能性があります。私たちの目的は、このコンテンツがお客様の役に立つようにすることです。お客様にとって役立つ情報であったかどうかを、このページの下部でお知らせください。 簡単に参照できるように、こちらに 英語の記事 があります。

Office 365 の高度なセキュリティ管理がOffice 365 Cloud App Securityされます。

評価   >

計画   >

展開   >

使用率   

評価します。

計画を開始します。

次のとおりです。

次の手順

使用を開始します。

セキュリティ情報とイベント管理 (SIEM) サーバー通知の一元的な監視を有効にすると、 Office 365 クラウド アプリのセキュリティを統合できます。SIEM サービスとの統合比ときの通常のセキュリティ ワークフロー、セキュリティの手順を自動化するクラウド ベースの間の関連付けをOffice 365アプリケーションの保護を強化することができますや社内イベントです。SIEM エージェントは、サーバー上で実行し、 Office 365 Cloud App Securityからの通知を取得し、SIEM サーバーにストリームします。

Office 365 Cloud App Securityで最初、SIEM を統合する場合は過去 2 日からの通知に転送されるすべての通知と同様に、SIEM して (選択したフィルターに基づいて)。さらに、長期間を有効にすると、この機能を無効にする場合は、もう一度に転送します、過去 2 日間の [すべての通知されます。

注: この記事で説明したタスクを実行するには、グローバル管理者またはセキュリティ管理者があります。[Office 365 のセキュリティとコンプライアンス センターにアクセス許可を参照してください。

SIEM 統合アーキテクチャ

SIEM エージェントは、組織のネットワークに配置されます。(通知) のように構成されているデータ型の展開し、構成と、ポーリングOffice 365 Cloud App Security RESTful Api を使用します。ポート 443 で暗号化された HTTPS チャネルのトラフィックが送信されます。

SIEM エージェントOffice 365 Cloud App Securityからデータを取得後に、(TCP またはユーザー設定のポートと UDP) のセットアップ中に登録して、ネットワークの構成を使用して、ローカル SIEM に Syslog メッセージを送信します。

サンプル SIEM ログ

Microsoft クラウド アプリのセキュリティ、SIEM に提供されたログが Syslog CEF します。次のサンプル ログには、通常、Office 365 ASM によって SIEM サーバーに送信するイベントの種類を確認することができます。警告が発生したときに確認できるこれらのイベントの種類、侵害されたポリシーイベントが発生しているユーザー侵害が発生したときに、ユーザーが使用していたアプリケーションおよびURLの警告メッセージがで登場します。差出人:

サンプル アラート ログ:

2017-05-12T13:25:57.640Z CEF:0|MCAS|SIEM_Agent|0.97.33|ALERT_CABINET_EVENT_MATCH_AUDIT|asddsddas|3|externalId=5915b7e50d5d72daaf394da9 start=1494595557640 end=1494595557640 msg=Activity policy 'Mass Download by User' was triggered by 'admin@contoso.com' suser=admin@contoso.com destinationServiceName=Office 365 cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://contoso.cloudappsecurity.com/#/alerts/5915b7e50d5d72daaf394da9 cs2Label=uniqueServiceAppIds cs2=APPID_OFFICE365 cs3Label=relatedAudits cs3=AVv81ljWeXPEqTlM-j-j

統合方法

SIEM サーバーとの統合は、3 つの手順で行います。

  1. Office 365 Cloud App Securityポータルを設定します。

  2. JAR ファイルをダウンロードし、それをサーバーで実行します。

  3. SIEM エージェントが動作していることを確認します。

前提条件

  • 標準的な Windows または Linux サーバー (仮想マシンである可能性があります)。

  • サーバーで Java 8 を実行していること。それ以前のバージョンには対応していません。

手順 1: 設定Office 365 Cloud App Securityポータルで

  1. https://protection.office.com にアクセスし、Office 365 の職場または学校のアカウントを使用してサインインします (これでセキュリティ/コンプライアンス センターに移動します)。

  2. [警告]、[高度な警告の管理] を選択します。

  3. Office 365 Cloud App Securityポータルに移動するには、Office 365 クラウド アプリのセキュリティを選択します。

    セキュリティとコンプライアンス センターで、[Office 365 クラウド アプリのセキュリティに移動する高度な通知の管理] を選びます

  4. [設定] をクリックして > SIEM エージェントします。

  5. [SIEM エージェントを追加する] を選択し、ウィザードを開始します。

  6. ウィザードで、[SIEM エージェントを追加する] を選択します。

  7. ウィザードで、名前との SIEM 形式を選択を指定し、詳細設定は、その形式に関連する設定します。[次へ] を選びます。

    SIEM 形式と詳細設定を選択する

  8. リモート Syslog ホストSyslog ポート番号の IP アドレスまたはホスト名を入力します。リモート Syslog プロトコルとして TCP または UDP を選択します。詳細をお持ちでない場合、セキュリティ管理者と共に操作して入手することができます。次に、[次へ] を選択します。

    リモート Syslog ホストと Syslog ポート番号を指定する

  9. SIEM エージェントにエクスポートするアクティビティを選択しますスライダーを使用し、有効/無効を切り替えます。既定では、すべてが選択されています。[設定対象] ドロップダウンを利用してフィルターを設定し、特定のアラートのみを SIEM サーバーに送信します。[結果の編集とプレビュー] をクリックすると、フィルターが予想どおり機能していることを確認できます。[次へ] をクリックします。

    SIEM エージェントにエクスポートするアラートとアクティビティを選択します。

  10. トークンをコピーし、後で使用するために保存しておきます。[完了] をクリックしてウィザードを終了し、SIEM ページに戻ります。追加した SIEM エージェントを表で確認できます。後で接続するまで、[作成済み] として表示されます。

手順 2:JAR ファイルをダウンロードし、それをサーバーで実行する

  1. Microsoft Cloud App Security SIEM エージェントをダウンロードし、フォルダーを解凍します。

  2. zip ファイルから .jar ファイルを抽出し、サーバーでそれを実行します。

  3. ファイルの実行後、次のコマンドを実行します。

    java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN

    注: ファイル名は SIEM エージェントのバージョンによって異なる場合があります。

    角かっこ [ ] のパラメーターは省略可能です。該当する場合にのみ使用してください。

    次の変数が使用されます。
    DIRNAME は、ローカル エージェントのデバッグ ログに使用するディレクトリのパスです。
    ADDRESS[:PORT] は、インターネットに接続するためにサーバーにより使用されるプロキシ サーバー アドレスとポートです。
    TOKEN は、前の手順でコピーした SIEM エージェント トークンです。

    -h を入力することで、いつでもヘルプを表示できます。

手順 3:SIEM エージェントが動作していることを確認する

Office 365 Cloud App Securityポータルで SIEM エージェントの状態はエラーを接続または切断して、エージェントの通知がないようにします。

SIEM エージェントで、状態 (切断または接続エラー) を確認します。

  • 接続が 2 時間以上停止している場合、[接続エラー] が表示されます。

  • 接続が 12 時間以上停止している場合、[切断] が表示されます。

下の画像のように、[接続済み] が表示される場合:

SIEM エージェントの状態 (接続済み) を確認します

お使いの Syslog/SIEM サーバーでOffice 365 Cloud App Securityから通知を表示になっていることを確認します。

トークンの再生成

トークンをなくした場合、いつでも再生成できます。表で、SIEM エージェントの行を見つけます。省略記号をクリックし、[トークンの再生成] を選択します。

SIEM エージェントの省略記号をクリックし、トークンを再生成します。

SIEM エージェントを編集する

SIEM エージェントを編集するには、SIEM エージェントの行を見つけます。省略記号をクリックし、[編集] を選択します。SIEM エージェントを編集する場合、.jar ファイルを再実行する必要はありません。自動的に更新されます。

SIEM エージェントを編集するには、省略記号を選択し、[編集] を選択します。

SIEM エージェントを削除する

SIEM エージェントを削除するには、表で SIEM エージェントの行を見つけます。省略記号をクリックし、[削除] を選択します。

SIEM エージェントを削除するには、省略記号を選択し、[削除] を選択します。

次のステップ

Office のスキルを磨く
トレーニングの探索
新機能を最初に入手
Office Insider に参加する

この情報は役に立ちましたか?

ご意見をいただきありがとうございます。

フィードバックをお寄せいただき、ありがとうございます。Office サポートの担当者におつなぎいたします。

×