Интеграция SIEM с расширенным управлением безопасностью Office 365

Расширенное управление безопасностью Office 365 теперь может интегрироваться с сервером SIEM, что обеспечивает централизованное отслеживание оповещений. Интеграция со службой SIEM улучшает защиту приложений Office 365, не нарушая при этом привычный процесс обеспечения безопасности и позволяя автоматизировать процедуры безопасности и соотносить облачные и локальные события. Агент SIEM работает на сервере, получает оповещения от системы расширенного управления безопасностью Office 365 и передает их на сервер SIEM.

При первой интеграции SIEM с расширенным управлением безопасностью Office 365 на сервер SIEM передаются оповещения за последние два дня, а также все последующие оповещения с этого момента (в зависимости от выбранного фильтра). Если вы отключаете эту функцию на долгое время, то после повторного ее включения также передаются оповещения за последние два дня и все оповещения, начиная с этого момента.

ПРИМЕЧАНИЕ. Предоставляется общедоступная предварительная версия этой функции.

Архитектура интеграции с SIEM

В сети вашей организации развертывается агент SIEM. После развертывания и настройки он определяет, какие типы данных были настроены (оповещения) с помощью RESTful API расширенного управления безопасностью Office 365. Затем трафик отправляется по шифрованному HTTPS-каналу через порт 443.

Как только агент SIEM получает данные от расширенного управления безопасностью Office 365, он отправляет сообщения системного журнала (Syslog) вашему локальному экземпляру SIEM с использованием параметров сети, указанных при настройке (TCP или UDP с пользовательским портом).

Обзор архитектуры интеграции с SIEM

Примеры журналов SIEM

Cloud App Security предоставляет серверу SIEM журналы в формате CEF по протоколу Syslog. В примерах журналов ниже вы можете увидеть тип события, обычно отправляемого расширенным управлением безопасностью Office 365 на сервер SIEM. В них показаны следующие сведения: когда было создано оповещение, тип события, нарушенная политика, создавший оповещение пользователь, приложение, с которым работал пользователь в момент нарушения, и URL-адрес, с которого пришло оповещение.

Пример журнала оповещений:

2017-05-12T13:25:57.640Z CEF:0|MCAS|SIEM_Agent|0.97.33|ALERT_CABINET_EVENT_MATCH_AUDIT|asddsddas|3|externalId=5915b7e50d5d72daaf394da9 start=1494595557640 end=1494595557640 msg=Политика действия "Массовая загрузка одним пользователем" была применена "admin@contoso.com" suser=admin@contoso.com к ServiceName=Office 365 cn1Label=riskScore cn1= cs1Label=portalURL-адрес cs1=https://contoso.cloudappsecurity.com/#/alerts/5915b7e50d5d72daaf394da9 cs2Label=uniqueServiceAppIds cs2=APPID_OFFICE365 cs3Label=relatedAudits cs3=AVv81ljWeXPEqTlM-j-j

Порядок интеграции

Интеграция с SIEM выполняется в три этапа:

  1. Настройка на портале расширенного управления безопасностью Office 365.

  2. Скачивание JAR-файла и его выполнение на сервере.

  3. Проверка работоспособности агента SIEM.

Необходимые условия

  • Стандартный сервер Windows или Linux (может быть виртуальной машиной).

  • Java 8 на сервере (более ранние версии не поддерживаются).

Этап 1. Настройка на портале расширенного управления безопасностью Office 365

  1. На портале расширенного управления безопасностью Office 365 в меню параметров (значок шестеренки) выберите элемент Агенты SIEM.

  2. Выберите элемент Добавить агент SIEM, чтобы запустить мастер.

  3. В мастере выберите команду Добавить агент SIEM.

  4. Укажите имя, выберите формат SIEM и настройте дополнительные параметры для выбранного формата. Нажмите кнопку Далее.

    Выберите формат SIEM и дополнительные параметры

  5. Введите IP-адрес или имя узла для удаленного системного журнала и порт для удаленного системного журнала. Выберите протокол TCP или UDP для удаленного системного журнала. Если эти сведения вам неизвестны, спросите у администратора системы безопасности. Затем нажмите кнопку Далее.

    Укажите узел и номер порта для удаленного системного журнала

  6. Выберите действия, которые нужно экспортировать на сервер SIEM. Их можно включить или отключить с помощью ползунка. По умолчанию все включены. С помощью раскрывающегося списка Применить к вы можете задать фильтры, чтобы на сервер SIEM отправлялись только конкретные оповещения. Чтобы проверить работают ли фильтры должным образом, выберите команду Изменить и просмотреть результаты. Нажмите кнопку Далее.

    Выберите оповещения и действия для экспорта на сервер SIEM.

  7. Скопируйте токен и сохраните на будущее. Нажмите кнопку "Готово" и выйдите из мастера. По возвращении на страницу SIEM вы увидите, что в таблицу добавлен агент SIEM. Для него будет показано состояние Создано, пока позднее не произойдет подключение.

Этап 2. Скачивание JAR-файла и его выполнение на сервере

  1. Скачайте Microsoft Cloud App Security SIEM Agent и распакуйте папку.

  2. Извлеките из файла архива JAR-файл и запустите его на сервере.

  3. После запуска файла выполните следующую команду:

    java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN

    Примечание : Имя файла зависит от версии агента SIEM.

    Параметры в скобках [ ] необязательны, используйте их при необходимости.

    Используются следующие переменные:
    DIRNAME — это путь к каталогу, который вы хотите использовать для журналов отладки локального агента.
    ADDRESS[:PORT] — это адрес и порт прокси-сервера, через который ваш сервер подключается к Интернету.
    TOKEN — это токен (маркер) агента SIEM, скопированный на предыдущем этапе.

    Чтобы получить справку, введите -h.

Этап 3. Проверка работоспособности агента SIEM

На портале расширенного управления безопасностью Office 365 убедитесь, что для агента SIEM не указано состояние Ошибка подключения или Отключено и нет уведомлений.

Проверьте состояние агента SIEM: отключен или ошибка подключения.

  • Если подключения нет дольше двух часов, отображается состояние Ошибка подключения.

  • Если подключения нет дольше 12 часов, отображается состояние Отключено.

Вам нужно, чтобы отображалось состояние Подключено, как показано на изображении ниже.

Вам нужно, чтобы агент SIEM был в состоянии "Подключено"

Убедитесь, что на сервере Syslog/SIEM видны оповещения, передаваемые расширенным управлением безопасностью Office 365.

Повторное создание токена

Если вы потеряете токен, его всегда можно создать повторно. В таблице найдите строку для агента SIEM. Щелкните многоточие и выберите команду Повторно создать токен.

Повторно создайте токен, щелкнув многоточие для агента SIEM.

Изменение агента SIEM

Чтобы изменить агент SIEM, найдите в таблице строку для него. Щелкните многоточие и выберите команду Изменить. После изменения агента SIEM не нужно повторно запускать JAR-файл, обновление происходит автоматически.

Чтобы изменить агент SIEM, щелкните многоточие и выберите команду "Изменить".

Удаление агента SIEM

Чтобы удалить агент SIEM, найдите в таблице строку для него. Щелкните многоточие и выберите команду Удалить.

Чтобы удалить агент SIEM, щелкните многоточие и выберите команду "Удалить".

Связанные темы

Расширенное управление безопасностью (справка и инструкции)
Что такое Cloud App Security?

Совершенствование навыков
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединиться к программе предварительной оценки Office

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×