Integrar seu servidor SIEM com segurança de aplicativo de nuvem do Office 365

Observação:  Desejamos fornecer o conteúdo da Ajuda mais recente no seu idioma da forma mais rápida possível. Esta página foi traduzida de forma automatizada e pode conter imprecisões ou erros gramaticais. Nosso objetivo é que este conteúdo seja útil para você. As informações foram úteis? Dê sua opinião no final desta página. Aqui está o artigo em inglês para facilitar a referência.

Gerenciamento de Segurança Avançada do Office 365 agora é Cloud App Security do Office 365.

Avaliação    >

Planejamento    >

Implantação    >

Utilização   

Começar avaliando

Iniciar o planejamento

Você está aqui!

Próxima etapa

Iniciar utilizando

Você pode integrar Segurança de aplicativo de nuvem do Office 365 com sua segurança eventos e informações management (SIEM) server para habilitar o monitoramento centralizado de alertas. Integração com um serviço SIEM permite que você proteja melhor seus aplicativos de Office 365, mantendo seu fluxo de trabalho de segurança usual, automatizar procedimentos de segurança e correlação entre baseado em nuvem e eventos locais. O agente SIEM é executado no servidor e extrai os alertas de Cloud App Security do Office 365 e fluxos-los no servidor SIEM.

Quando você primeiro integra seu SIEM com Cloud App Security do Office 365, alertas de últimos dois dias serão encaminhados para o SIEM bem como todos os alertas do (com base no filtro Selecionar). Além disso, se você desabilitar esse recurso por um longo período, quando você habilita novamente encaminhará últimos dois dias de alertas e, em seguida, todos os alertas do.

Observação: Você deve ser um administrador global ou administrador de segurança para realizar as tarefas descritas neste artigo. Consulte permissões no Centro de conformidade de segurança do Office 365.

Arquitetura de integração de SIEM

O agente SIEM é implantado na rede da sua organização. Quando implantado e configurado, ele controla os tipos de dados que foram configuradas (alertas) usando Cloud App Security do Office 365 APIs RESTful. O tráfego é enviado por um canal criptografado de HTTPS na porta 443.

Depois que o agente SIEM recupera os dados de Cloud App Security do Office 365, ele envia mensagens do Syslog para seu local SIEM usando as configurações de rede que você forneceu durante a instalação (TCP ou UDP com uma porta personalizada).

Logs SIEM de amostra

Os logs fornecidos para sua SIEM de segurança de aplicativo do Microsoft Cloud excedam CEF Syslog. Os logs de exemplo a seguir você é capaz de ver o tipo de evento geralmente enviado por ASM do Office 365 ao seu servidor SIEM. Nesses casos que você pode ver quando o alerta foi acionado, o tipo de evento, a política que foi violado, o usuário que disparou o evento, o aplicativo que o usuário estava usando quando ocorreu a violação e a URL de alerta está chegando De:

Log de alertas de amostra:

2017-05-12T13:25:57.640Z CEF:0 | NO MCAS | SIEM_Agent | 0.97.33 | ALERT_CABINET_EVENT_MATCH_AUDIT | asddsddas | 3 | externalId = início 5915b7e50d5d72daaf394da9 = 1494595557640 end = 1494595557640 msg =política de atividade ' em massa Download pelo usuário ' foi acionado por 'admin@contoso.com' suser=admin@contoso.com destinoServiceName = Office 365 cn1Label = riskScore cn1 = cs1Label = portalcs1 URL = https://contoso.cloudappsecurity.com/#/alerts/5915b7e50d5d72daaf394da9 cs2Label = uniqueServiceAppIds cs2 = APPID_OFFICE365 cs3Label = relatedAudits cs3 = AVv81ljWeXPEqTlM-j-j

Como integrar

Integração com o seu servidor SIEM realizado em três etapas:

  1. Configure-o no portal do Cloud App Security do Office 365.

  2. Baixe o arquivo JAR e executá-lo no seu servidor.

  3. Valide se o agente SIEM está funcionando.

Pré-requisitos

  • Um Windows ou Linux servidor padrão (pode ser uma máquina virtual).

  • O servidor deve estar executando Java 8; Não há suporte para versões anteriores.

Etapa 1: Configurá-lo no portal do Cloud App Security do Office 365

  1. Vá para https://protection.office.com e entre usando sua conta corporativa ou de estudante para Office 365. (Isso o leva para o Centro de Conformidade e Segurança.)

  2. Vá para alertas > Gerenciar avançadas alertas.

  3. Escolha Ir para segurança de aplicativo de nuvem do Office 365 para ir para o portal de Cloud App Security do Office 365.

    Em segurança e Centro de conformidade, escolha gerenciar alertas avançadas para ir para a segurança de aplicativo de nuvem do Office 365

  4. Clique em configurações > agentes SIEM.

  5. Escolha Adicionar SIEM agente para iniciar o assistente.

  6. No assistente, escolha Adicionar SIEM agente.

  7. No assistente, especifique um nome e Selecione o formato SIEM e defina quaisquer Configurações avançadas que sejam relevantes para esse formato. Escolha Avançar.

    Selecione o formato SIEM e configurações avançadas

  8. Digite o endereço IP ou o nome do host do host remoto syslog e o número da porta Syslog. Selecione TCP ou UDP como o protocolo de Syslog remoto. Você pode trabalhar com seu administrador de segurança para acessar esses detalhes se você não tivê-los. Escolha Avançar.

    Especificar seu host de syslog remoto e o número da porta Syslog

  9. Selecione as atividades que você deseja exportar para o seu servidor SIEM. Use o controle deslizante para ativar e desativá-los. Por padrão, tudo está selecionado. Você pode usar o menu suspenso Aplicar a para definir filtros para enviar somente alertas específicos ao seu servidor SIEM. Você pode clicar em Editar e visualizar resultados para verificar se o filtro funciona conforme esperado. Clique em Avançar.

    Selecione os alertas e atividades para exportar para o seu servidor SIEM.

  10. Copie o token e salvá-lo posteriormente. Depois de clicar em Concluir e sair do assistente, Voltar na página SIEM, você pode ver o agente SIEM que você adicionou na tabela. Ele mostrará que é criado até que ele esteja conectado mais tarde.

Etapa 2: Baixar o arquivo JAR e executá-lo em seu servidor

  1. Baixe o Agente SIEM de segurança de aplicativo do Microsoft Cloud e descompacte a pasta.

  2. Extrair o arquivo. jar do arquivo zip e execute-o no seu servidor.

  3. Depois de executar o arquivo, execute o seguinte: comando:

    java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN

    Observação: O nome do arquivo pode ser diferentes dependendo da versão do agente SIEM.

    Parâmetros entre colchetes [] são opcionais e devem ser usados somente se relevantes.

    Onde as variáveis a seguir são usadas:
    DIRNAME é o caminho para a pasta que você deseja usar para logs de depuração de agente local.
    ENDEREÇO [: porta] é o endereço do servidor proxy e a porta que o servidor usa para se conectar à Internet.
    TOKEN é o token de agente SIEM que você copiou na etapa anterior.

    Você pode digitar -h a qualquer momento para obter ajuda.

Etapa 3: Validar que o agente SIEM está funcionando

Verifique se o status do agente SIEM no portal do Cloud App Security do Office 365 não for erro de Conexão ou desconectado e não há nenhuma notificação de agente.

Assista para um erro de connecetion ou o status de desconectado com seu agente SIEM.

  • Se a conexão for pressionada por mais de duas horas, você verá o erro de Conexão

  • Se a conexão for pressionada por mais de 12 horas, você verá desconectado

Você deseja ver um status de conectado, conforme mostrado na imagem a seguir:

Você deseja ver um status de conectado para seu agente SIEM

No seu servidor de Syslog/SIEM, verifique se que você vir alertas que chega de Cloud App Security do Office 365.

Gerar o token

Se você perder seu token, você pode sempre gerá-la novamente. Na tabela, localize a linha para o agente SIEM. Clique nas reticências e escolha Gerar token novamente.

Gerar um token clicando nas reticências para seu agente SIEM

Editando seu agente SIEM

Para editar seu agente SIEM, na tabela, localize a linha para o agente SIEM. Clique nas reticências e escolha Editar. Se você editar o agente SIEM, você não precisa executar novamente o arquivo. jar; ele atualiza automaticamente.

Para editar seu agente SIEM, escolha as reticências e escolha Editar.

Excluindo seu agente SIEM

Para excluir sua SIEM agente, na tabela, localize a linha para o agente SIEM. Clique nas reticências e escolha Excluir.

Para excluir um agente SIEM, escolha as reticências e escolha Excluir.

Próximas etapas

Expanda suas habilidades no Office
Explore o treinamento
Obtenha novos recursos primeiro
Ingressar no Office Insider

Essas informações foram úteis?

Obrigado por seus comentários!

Agradecemos pelos seus comentários! Parece que pode ser útil conectar você a um de nossos agentes de suporte do Office.

×