Интеграция с облачных приложений Office 365 безопасности сервера SIEM

Важно :  Данная статья переведена с помощью машинного перевода, см. Отказ от ответственности. Используйте английский вариант этой статьи, который находится здесь, в качестве справочного материала.

Расширенное управление безопасностью Office 365 теперь называется Office 365 Cloud App Security.

Вычисление    >

Планирование    >

Развертывание    >

Использование   

Приступайте

Приступайте к планированию

Вы находитесь здесь!

Дальнейшие действия

Начало использования

Вы можете интегрировать Облачных приложений Office 365 безопасности с сервером для включения централизованного мониторинг оповещения безопасности сведений и событий управления (SIEM). Интеграция со службой SIEM позволяет лучше защитить приложения Office 365 а обслуживание рабочего процесса обычным безопасности, автоматизация процедур безопасности и сопоставление между облачной и локальных события. Агент SIEM выполняется на сервере и помещает оповещения от Office 365 Cloud App Security и отправляет их на сервер SIEM.

При первом вашей SIEM интеграции с Office 365 Cloud App Security, оповещений из последних двух дней будут пересылаться пользователю SIEM, а также все оповещения в дальнейшем (с учетом выбрать фильтр). Кроме того Если отключить эту функцию в течение длительного, когда вы включаете еще раз он будет перенаправлять последних двух дней оповещений и затем все оповещения в дальнейшем.

Архитектура интеграции с SIEM

Агент SIEM развертывается в сети организации. При развертывании и настроен, опрос типы данных, которые были настроенные (оповещения) с помощью Office 365 Cloud App Security интерфейсы API RESTful. Затем трафик отправляется через зашифрованный канал HTTPS через порт 443.

После SIEM агент получает данные из Office 365 Cloud App Security, он отправляет сообщения Syslog вашей локальной SIEM с помощью сетевых конфигураций, заданное во время установки (TCP или UDP с пользовательский порт).

Примеры журналов SIEM

Журналы, предоставляемых вашей SIEM из безопасности приложения Microsoft Cloud CEF превышают Syslog. В следующих журналах образец видеть тип обычно отправленных Office 365 ASM на сервере SIEM события. В них могут отображаться при оповещение вызвано, тип события, политики, была нарушена, пользователь, запустившего события, приложения, которые пользователь использует при возникновении нарушения и URL-адрес оповещение теперь От:

Пример журнала оповещений:

2017-05-12T13:25:57.640Z CEF:0|MCAS|SIEM_Agent|0.97.33|ALERT_CABINET_EVENT_MATCH_AUDIT|asddsddas|3|externalId=5915b7e50d5d72daaf394da9 start=1494595557640 end=1494595557640 msg=Политика действия "Массовая загрузка одним пользователем" была применена "admin@contoso.com" suser=admin@contoso.com к ServiceName=Office 365 cn1Label=riskScore cn1= cs1Label=portalURL-адрес cs1=https://contoso.cloudappsecurity.com/#/alerts/5915b7e50d5d72daaf394da9 cs2Label=uniqueServiceAppIds cs2=APPID_OFFICE365 cs3Label=relatedAudits cs3=AVv81ljWeXPEqTlM-j-j

Порядок интеграции

Интеграция с сервером SIEM выполняется в три этапа:

  1. Настройте на портале Office 365 Cloud App Security.

  2. Скачивание JAR-файла и его выполнение на сервере.

  3. Проверка работоспособности агента SIEM.

Необходимые условия

  • Стандартный сервер Windows или Linux (может быть виртуальной машиной).

  • Java 8 на сервере (более ранние версии не поддерживаются).

Шаг 1: Настройка его на портале Office 365 Cloud App Security

  1. Перейдите на сайт https://protection.office.com/ и войдите в Office 365 с помощью своей рабочей или учебной учетной записи. Откроется Центр безопасности и соответствия требованиям.

  2. Выберите Оповещения > Управление расширенными оповещениями.

  3. Выберите Перейти к безопасности Office 365 облачных приложений для перехода к порталу Office 365 Cloud App Security.

    В группе Безопасность и соответствие требованиям центра выберите дополнительные оповещения для перехода в облаке приложения безопасность в Office 365

  4. Выберите Параметры > SIEM агентов.

  5. Выберите элемент Добавить агент SIEM, чтобы запустить мастер.

  6. В мастере выберите команду Добавить агент SIEM.

  7. В окне мастера укажите имя и выберите свой SIEM формат и установите любые Дополнительные параметры, относящиеся к их формат. Нажмите кнопку Далее.

    Выберите формат SIEM и дополнительные параметры

  8. Введите IP-адрес или имя узла для удаленного системного журнала и порт для удаленного системного журнала. Выберите протокол TCP или UDP для удаленного системного журнала. Если эти сведения вам неизвестны, спросите у администратора системы безопасности. Затем нажмите кнопку Далее.

    Укажите узел и номер порта для удаленного системного журнала

  9. Выберите действия, которые нужно экспортировать на сервер SIEM. Их можно включить или отключить с помощью ползунка. По умолчанию все включены. С помощью раскрывающегося списка Применить к вы можете задать фильтры, чтобы на сервер SIEM отправлялись только конкретные оповещения. Чтобы проверить работают ли фильтры должным образом, выберите команду Изменить и просмотреть результаты. Нажмите кнопку Далее.

    Выберите оповещения и действия для экспорта на сервер SIEM.

  10. Скопируйте токен и сохраните на будущее. Нажмите кнопку "Готово" и выйдите из мастера. По возвращении на страницу SIEM вы увидите, что в таблицу добавлен агент SIEM. Для него будет показано состояние Создано, пока позднее не произойдет подключение.

Этап 2. Скачивание JAR-файла и его выполнение на сервере

  1. Скачайте Microsoft Cloud App Security SIEM Agent и распакуйте папку.

  2. Извлеките из файла архива JAR-файл и запустите его на сервере.

  3. После запуска файла выполните следующую команду:

    java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN

    Примечание : Имя файла зависит от версии агента SIEM.

    Параметры в скобках [ ] необязательны, используйте их при необходимости.

    Используются следующие переменные:
    DIRNAME — это путь к каталогу, который вы хотите использовать для журналов отладки локального агента.
    ADDRESS[:PORT] — это адрес и порт прокси-сервера, через который ваш сервер подключается к Интернету.
    TOKEN — это токен (маркер) агента SIEM, скопированный на предыдущем этапе.

    Чтобы получить справку, введите -h.

Этап 3. Проверка работоспособности агента SIEM

Убедитесь, что состояние агента SIEM на портале Office 365 Cloud App Security не является Ошибка при подключении или отключен и нет нет агента уведомлений.

Проверьте состояние агента SIEM: отключен или ошибка подключения.

  • Если подключения нет дольше двух часов, отображается состояние Ошибка подключения.

  • Если подключения нет дольше 12 часов, отображается состояние Отключено.

Вам нужно, чтобы отображалось состояние Подключено, как показано на изображении ниже.

Вам нужно, чтобы агент SIEM был в состоянии "Подключено"

Сервер Syslog/SIEM убедитесь, что вы видите оповещения, поступающие из Office 365 Cloud App Security.

Повторное создание токена

Если вы потеряете токен, его всегда можно создать повторно. В таблице найдите строку для агента SIEM. Щелкните многоточие и выберите команду Повторно создать токен.

Повторно создайте токен, щелкнув многоточие для агента SIEM.

Изменение агента SIEM

Чтобы изменить агент SIEM, найдите в таблице строку для него. Щелкните многоточие и выберите команду Изменить. После изменения агента SIEM не нужно повторно запускать JAR-файл, обновление происходит автоматически.

Чтобы изменить агент SIEM, щелкните многоточие и выберите команду "Изменить".

Удаление агента SIEM

Чтобы удалить агент SIEM, найдите в таблице строку для него. Щелкните многоточие и выберите команду Удалить.

Чтобы удалить агент SIEM, щелкните многоточие и выберите команду "Удалить".

Дальнейшие действия

Примечание : Отказ от ответственности относительно машинного перевода. Данная статья была переведена с помощью компьютерной системы без участия человека. Microsoft предлагает эти машинные переводы, чтобы помочь пользователям, которые не знают английского языка, ознакомиться с материалами о продуктах, услугах и технологиях Microsoft. Поскольку статья была переведена с использованием машинного перевода, она может содержать лексические,синтаксические и грамматические ошибки.

Совершенствование навыков
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединиться к программе предварительной оценки Office

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×