Office 365 클라우드 App 보안 SIEM 서버 통합

참고:  사용자 언어로 가능한 한 빨리 가장 최신의 도움말 콘텐츠를 제공하고자 합니다. 이 페이지는 자동화를 통해 번역되었으며 문법 오류나 부정확한 설명을 포함할 수 있습니다. 이 목적은 콘텐츠가 사용자에게 유용하다는 것입니다. 이 페이지 하단의 정보가 도움이 되었다면 알려주세요. 쉽게 참조할 수 있는 영어 문서 가 여기 있습니다.

이제 Office 365 고급 보안 관리Office 365 Cloud App Security 됩니다.

평가    >

계획    >

배포    >

사용률   

평가 시작

계획 시작

현재 위치!

다음 단계

활용 하 여 시작

Office 365 클라우드 App 보안 알림의 중앙에서 모니터링을 사용 하 여 보안 정보 및 이벤트 관리 (SIEM) 서버와 통합할 수 있습니다. SIEM 서비스와 통합 보안 절차를 자동화을 클라우드 기반 사이의 상관 일반적인 보안 워크플로 유지 하면서 Office 365 응용 프로그램을 보호할 수 있습니다 및 온-프레미스 이벤트입니다. SIEM 에이전트 서버에서 실행 Office 365 Cloud App Security 알림을 가져오고 및 SIEM 서버에 스트리밍합니다.

Office 365 Cloud App Security 전자 SIEM 부합 먼저 때 지난 2 일에서 알림을 전달 됩니다는 SIEM 뿐만 아니라 모든 알림을 그 (선택한 필터에 따라). 또한 장기간 사용 하면이 기능을 해제 하는 경우 다시 보냅니다 지난 2 일의 알림 및 모든 알림을 다음 그 합니다.

참고: 이 문서에 설명 된 작업을 수행 하려면 전역 관리자 또는 보안 관리자 여야 합니다. Office 365 보안 및 규정 준수 센터에서 사용 권한을참조 하십시오.

SIEM 통합 아키텍처

SIEM 에이전트는 조직의 네트워크에 배포 합니다. 데이터 형식 구성된 (알림)에 있던 폴링합니다 배포 하 고 구성 하는 경우 Office 365 Cloud App Security RESTful Api를 사용 합니다. 트래픽은 포트 443에 암호화 된 HTTPS 채널을 통해 전송 됩니다.

SIEM 에이전트 Office 365 Cloud App Security 에서 데이터를 검색, 되 면 Syslog 메시지 (TCP 또는 UDP 포트를 사용자 지정 된) 설치 하는 동안 제공 하는 네트워크 구성을 사용 하 여 로컬 SIEM를 보냅니다.

샘플 SIEM 로그

Microsoft 클라우드 App 보안에서 제공 하 여 SIEM 로그는 Syslog 보다 CEF. 다음 예제 로그에 일반적으로 Office 365 ASM SIEM 서버에 전송한 이벤트 유형을 확인할 수 있습니다. 이러한 알림을 트리거 되었을 때 볼 수 이벤트 유형, 위반 된 정책, 이벤트를 발생 사용자, 의 위반 발생 한 경우 사용자가 사용 및 URL 알림에 사용할 수 있음 보낸 사람:

예제 알림 로그:

2017-05-12T13:25:57.640Z CEF:0 | MCAS | SIEM_Agent | 0.97.33 | ALERT_CABINET_EVENT_MATCH_AUDIT | asddsddas | 3 | externalId = 5915b7e50d5d72daaf394da9 시작 1494595557640 끝 = 1494595557640 = msg =활동 정책 ' 질량 사용자가 다운로드 ' 가 'admin@contoso.com' 하면 열리는 suser=admin@contoso.com 대상ServiceName Office 365 = cn1Label riskScore cn1 = cs1Label = 포털 =URL cs1 https://contoso.cloudappsecurity.com =/#/alerts/5915b7e50d5d72daaf394da9 cs2Label uniqueServiceAppIds c s 2 = APPID_OFFICE365 cs3Label = = relatedAudits c s 3 AVv81ljWeXPEqTlM-j-j =

통합 하는 방법

SIEM 서버와 통합 세 단계에 따라 이루어집니다.

  1. 설정할 Office 365 Cloud App Security 포털에서.

  2. JAR 파일을 다운로드 하 고 서버에서 실행 됩니다.

  3. SIEM 에이전트 제대로 작동 하는지 확인 합니다.

필수 구성 요소

  • 표준 Windows 또는 Linux 서버 (가상 컴퓨터 될 수 있음).

  • 서버 Java 8; 실행 중 이어야 합니다. 이전 버전 지원 되지 않습니다.

1 단계: 설정 하는 Office 365 Cloud App Security 포털에서

  1. Https://protection.office.com 을 Office 365 에 대 한 회사 또는 학교 계정을 사용 하 여 로그인 합니다. (이렇게 하면 보안 및 규정 준수 센터.)

  2. 알림 이동 > 고급 알림을 관리 합니다.

  3. Office 365 클라우드 App 보안으로 이동Office 365 Cloud App Security 포털로 이동 하려면 선택 합니다.

    보안 및 규정 준수 센터에서 Office 365 클라우드 App 보안으로 이동 하려면 고급 알림 관리를 선택 합니다.

  4. 설정 > SIEM 에이전트 합니다.

  5. 마법사를 시작 하려면 SIEM 추가 에이전트 선택 합니다.

  6. 마법사에서 추가 SIEM 에이전트 를 선택 합니다.

  7. 마법사의 이름 및 SIEM 형식 선택 지정 하 고 모든 고급 설정 해당 형식으로과 관련 된 설정 합니다. 다음 찾기를 선택 합니다.

    SIEM 형식 및 고급 설정 선택

  8. IP 주소 또는 호스트 이름 원격 syslog 호스트Syslog 포트 번호 를 입력 합니다. 원격 Syslog 프로토콜로 TCP 또는 UDP를 선택 합니다. 보안 관리자 되어 있지 않으면 다음과 같은 세부이 사항을 가져옵니다에 작업할 수 있습니다. 다음 을 선택 합니다.

    원격 syslog 호스트 및 Syslog 포트 번호를 지정

  9. SIEM 서버에 내보낼 활동을 선택 합니다. 설정 및 해제 하려면 슬라이더를 사용 합니다. 기본적으로 모든 항목이 선택 됩니다. SIEM 서버에 특정 알림을 보낼 필터를 설정 적용 대상 드롭다운을 사용할 수 있습니다. 편집 하 고 결과 미리 보기 필터 예상 대로 작동 하는지 확인 하려면 클릭 수 있습니다. 다음 을 클릭 합니다.

    알림 및 SIEM 서버에 내보낼 활동을 선택 합니다.

  10. 토큰을 복사 하 고 나중에 저장 합니다. 마침을 클릭 하 고 SIEM 페이지에서 다시 마법사를 종료 한 후 테이블에 추가 된 SIEM 에이전트를 볼 수 있습니다. 나중에 연결 될 때까지 만든 이 표시 됩니다.

2 단계: JAR 파일을 다운로드 하 고 서버에서 실행

  1. Microsoft 클라우드 App 보안 SIEM 에이전트 를 다운로드 하 고 폴더 압축을 풉니다.

  2. Zip 파일에서.jar 파일을 추출 하 고 서버에서 실행 합니다.

  3. 파일을 실행 한 후 다음을 실행: 명령:

    java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN

    참고: 파일 이름 SIEM 에이전트의 버전에 따라 다를 수 있습니다.

    대괄호에서 매개 변수는 선택 사항 및 관련 된 경우에 사용 해야 합니다.

    다음 변수 사용 되는 위치:
    DIRNAME 로컬 에이전트 디버그 로그에 사용 하려는 디렉터리에 경로입니다.
    주소 [: 포트] 프록시 서버 주소 및 포트 서버를 사용 하 여 인터넷에 연결 됩니다.
    토큰은 이전 단계에서 복사한 SIEM 에이전트 토큰입니다.

    언제 든 지 도움말을 보려면-h을 입력할 수 있습니다.

3 단계: SIEM 에이전트 제대로 작동 하는지 확인

Office 365 Cloud App Security 포털에서 SIEM 에이전트의 상태는 연결 오류 또는 연결 끊김 및 에이전트 알림이 없는 있는지 확인 합니다.

SIEM 에이전트와의 연결이 끊긴 상태 또는 connecetion 오류에 대 한 비디오를 시청 합니다.

  • 두 개 이상의 시간에 대 한 연결이 끊어지면, 연결 오류가 표시 됩니다.

  • 연결 끊김 12 시간 이상에 대 한 연결이 끊어지면, 경우 나타납니다.

다음 이미지와 같이 연결 상태를 확인 하려면:

SIEM 에이전트에 대 한 연결 상태를 확인.

Syslog/SIEM 서버에서 Office 365 Cloud App Security 에서 도착 알림 표시 되었는지 확인 합니다.

사용자 토큰 다시 생성

토큰 사용자를 잊어버리면 항상 생성 수 있습니다. 테이블에서 SIEM 에이전트에 대 한 행을 찾습니다. 줄임표를 클릭 하 고 토큰이 생성 을 선택 합니다.

SIEM 에이전트 줄임표를 클릭 하 여 토큰이 생성

SIEM 에이전트 편집

테이블에서 SIEM 에이전트를 편집 하려면 SIEM 에이전트에 대 한 행을 찾습니다. 줄임표를 클릭 한 다음 편집 을 선택 합니다. 다시 실행.jar 파일; 필요 SIEM 에이전트를 편집 하는 경우 하지 자동으로 업데이트 합니다.

SIEM 에이전트를 편집 하려면 줄임표를 선택한 다음 편집을 선택 합니다.

SIEM 에이전트 삭제

테이블에서 SIEM 에이전트를 삭제 하려면 SIEM 에이전트에 대 한 행을 찾습니다. 줄임표를 클릭 한 다음 삭제 를 선택 합니다.

SIEM 에이전트를 삭제 하려면 줄임표를 선택한 다음 삭제를 선택 합니다.

다음 단계

Office 기술 확장
교육 살펴보기
새로운 기능 우선 가져오기
Office Insider 참여

이 정보가 유용한가요?

의견 주셔서 감사합니다!

피드백을 주셔서 감사합니다. Office 지원 에이전트와 연락하는 것이 도움이 될 것 같습니다.

×