Integrar seu servidor SIEM com segurança de aplicativo de nuvem do Office 365

Importante :  Este artigo foi traduzido por um sistema de tradução automática, leia o aviso de isenção de responsabilidade. Para sua referência, veja a versão em inglês deste artigo aqui.

Office 365 Advanced Security Management é agora Office 365 Cloud App Security.

Avaliação    >

Planejamento    >

Implantação    >

Utilização   

Começar avaliando

Iniciar o planejamento

Você está aqui!

Próximas etapas

Iniciar utilizando

Você pode integrar Segurança de aplicativo de nuvem do Office 365 com sua segurança eventos e informações management (SIEM) server para habilitar o monitoramento centralizado de alertas. Integração com um serviço SIEM permite que você proteja melhor seus aplicativos de Office 365, mantendo seu fluxo de trabalho de segurança usual, automatizar procedimentos de segurança e correlação entre baseado em nuvem e eventos locais. O agente SIEM é executado no servidor e extrai os alertas de Office 365 Cloud App Security e fluxos-los no servidor SIEM.

Quando você primeiro integra seu SIEM com Office 365 Cloud App Security, alertas de últimos dois dias serão encaminhados para o SIEM bem como todos os alertas do (com base no filtro Selecionar). Além disso, se você desabilitar esse recurso por um longo período, quando você habilita novamente encaminhará últimos dois dias de alertas e, em seguida, todos os alertas do.

Observação Este recurso está na visualização de pública.

Arquitetura de integração de SIEM

O agente SIEM é implantado na rede da sua organização. Quando implantado e configurado, ele controla os tipos de dados que foram configuradas (alertas) usando Office 365 Cloud App Security APIs RESTful. O tráfego é enviado por um canal criptografado de HTTPS na porta 443.

Depois que o agente SIEM recupera os dados de Office 365 Cloud App Security, ele envia mensagens do Syslog para seu local SIEM usando as configurações de rede que você forneceu durante a instalação (TCP ou UDP com uma porta personalizada).

Logs SIEM de amostra

Os logs fornecidos para sua SIEM de segurança de aplicativo do Microsoft Cloud excedam CEF Syslog. Os logs de exemplo a seguir você é capaz de ver o tipo de evento geralmente enviado por ASM do Office 365 ao seu servidor SIEM. Nesses casos que você pode ver quando o alerta foi acionado, o tipo de evento, a política que foi violado, o usuário que disparou o evento, o aplicativo que o usuário estava usando quando ocorreu a violação e a URL de alerta está chegando De:

Log de alertas de amostra:

2017-05-12T13:25:57.640Z CEF:0 | NO MCAS | SIEM_Agent | 0.97.33 | ALERT_CABINET_EVENT_MATCH_AUDIT | asddsddas | 3 | externalId = início 5915b7e50d5d72daaf394da9 = 1494595557640 end = 1494595557640 msg =política de atividade ' em massa Download pelo usuário ' foi acionado por 'admin@contoso.com' suser=admin@contoso.com destinoServiceName = Office 365 cn1Label = riskScore cn1 = cs1Label = portalcs1 URL = https://contoso.cloudappsecurity.com/#/alerts/5915b7e50d5d72daaf394da9 cs2Label = uniqueServiceAppIds cs2 = APPID_OFFICE365 cs3Label = relatedAudits cs3 = AVv81ljWeXPEqTlM-j-j

Como integrar

Integração com o seu servidor SIEM realizado em três etapas:

  1. Configure-o no portal do Office 365 Cloud App Security.

  2. Baixe o arquivo JAR e executá-lo no seu servidor.

  3. Valide se o agente SIEM está funcionando.

Pré-requisitos

  • Um Windows ou Linux servidor padrão (pode ser uma máquina virtual).

  • O servidor deve estar executando Java 8; Não há suporte para versões anteriores.

Etapa 1: Configurá-lo no portal do Office 365 Cloud App Security

  1. Vá para https://protection.office.com e entre usando sua conta corporativa ou de estudante para Office 365. (Isso o leva para o Security & Compliance Center.)

  2. Vá para alertas > Gerenciar avançadas alertas.

  3. Escolha Ir para segurança de aplicativo de nuvem do Office 365 para ir para o portal de Office 365 Cloud App Security.

    Em segurança e Centro de conformidade, escolha gerenciar alertas avançadas para ir para a segurança de aplicativo de nuvem do Office 365

  4. Clique em configurações > agentes SIEM.

  5. Escolha Adicionar SIEM agente para iniciar o assistente.

  6. No assistente, escolha Adicionar SIEM agente.

  7. No assistente, especifique um nome e Selecione o formato SIEM e defina quaisquer Configurações avançadas que sejam relevantes para esse formato. Escolha Avançar.

    Selecione o formato SIEM e configurações avançadas

  8. Digite o endereço IP ou o nome do host do host remoto syslog e o número da porta Syslog. Selecione TCP ou UDP como o protocolo de Syslog remoto. Você pode trabalhar com seu administrador de segurança para acessar esses detalhes se você não tivê-los. Escolha Avançar.

    Especificar seu host de syslog remoto e o número da porta Syslog

  9. Selecione as atividades que você deseja exportar para o seu servidor SIEM. Use o controle deslizante para ativar e desativá-los. Por padrão, tudo está selecionado. Você pode usar o menu suspenso Aplicar a para definir filtros para enviar somente alertas específicos ao seu servidor SIEM. Você pode clicar em Editar e visualizar resultados para verificar se o filtro funciona conforme esperado. Clique em Avançar.

    Selecione os alertas e atividades para exportar para o seu servidor SIEM.

  10. Copie o token e salvá-lo posteriormente. Depois de clicar em Concluir e sair do assistente, Voltar na página SIEM, você pode ver o agente SIEM que você adicionou na tabela. Ele mostrará que é criado até que ele esteja conectado mais tarde.

Etapa 2: Baixar o arquivo JAR e executá-lo em seu servidor

  1. Baixe o Agente SIEM de segurança de aplicativo do Microsoft Cloud e descompacte a pasta.

  2. Extrair o arquivo. jar do arquivo zip e execute-o no seu servidor.

  3. Depois de executar o arquivo, execute o seguinte: comando:

    java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN

    Observação : O nome do arquivo pode ser diferentes dependendo da versão do agente SIEM.

    Parâmetros entre colchetes [] são opcionais e devem ser usados somente se relevantes.

    Onde as variáveis a seguir são usadas:
    DIRNAME é o caminho para a pasta que você deseja usar para logs de depuração de agente local.
    ENDEREÇO [: porta] é o endereço do servidor proxy e a porta que o servidor usa para se conectar à Internet.
    TOKEN é o token de agente SIEM que você copiou na etapa anterior.

    Você pode digitar -h a qualquer momento para obter ajuda.

Etapa 3: Validar que o agente SIEM está funcionando

Verifique se o status do agente SIEM no portal do Office 365 Cloud App Security não for erro de Conexão ou desconectado e não há nenhuma notificação de agente.

Assista para um erro de connecetion ou o status de desconectado com seu agente SIEM.

  • Se a conexão for pressionada por mais de duas horas, você verá o erro de Conexão

  • Se a conexão for pressionada por mais de 12 horas, você verá desconectado

Você deseja ver um status de conectado, conforme mostrado na imagem a seguir:

Você deseja ver um status de conectado para seu agente SIEM

No seu servidor de Syslog/SIEM, verifique se que você vir alertas que chega de Office 365 Cloud App Security.

Gerar o token

Se você perder seu token, você pode sempre gerá-la novamente. Na tabela, localize a linha para o agente SIEM. Clique nas reticências e escolha Gerar token novamente.

Gerar um token clicando nas reticências para seu agente SIEM

Editando seu agente SIEM

Para editar seu agente SIEM, na tabela, localize a linha para o agente SIEM. Clique nas reticências e escolha Editar. Se você editar o agente SIEM, você não precisa executar novamente o arquivo. jar; ele atualiza automaticamente.

Para editar seu agente SIEM, escolha as reticências e escolha Editar.

Excluindo seu agente SIEM

Para excluir sua SIEM agente, na tabela, localize a linha para o agente SIEM. Clique nas reticências e escolha Excluir.

Para excluir um agente SIEM, escolha as reticências e escolha Excluir.

Próximas etapas

Observação : Aviso de Isenção de Tradução Automática: Este artigo foi traduzido por computador, sem intervenção humana. A Microsoft oferece essas traduções automáticas para ajudar as pessoas que não falam inglês a aproveitar os textos escritos sobre produtos, serviços e tecnologias da Microsoft. Como este artigo foi traduzido automaticamente, é possível que contenha erros de vocabulário, sintaxe ou gramática.

Expanda suas habilidades
Explore o treinamento
Obtenha novos recursos primeiro
Ingressar no Office Insider

Essas informações foram úteis?

Obrigado por seus comentários!

Agradecemos pelos seus comentários! Parece que pode ser útil conectar você a um de nossos agentes de suporte do Office.

×