与 Office 365 云应用程序安全集成 SIEM 服务器

注意:  我们希望能够尽快以你的语言为你提供最新的帮助内容。 本页面是自动翻译的,可能包含语法错误或不准确之处。我们的目的是使此内容能对你有所帮助。可以在本页面底部告诉我们此信息是否对你有帮助吗? 请在此处查看本文的 英文版本 以便参考。

Office 365 高级安全管理现在是Office 365 云应用安全性。

评估   >

规划   >

部署   >

使用率   

开始评估

开始计划

在这里 !

下一步

开始使用

您可以将Office 365 云应用程序安全集成以启用集中式监视的通知您安全信息和事件管理 (SIEM) 服务器。集成 SIEM 服务使您能够同时保持您通常安全工作流、 自动化安全过程并关联之间基于云的更好地保护Office 365应用程序和本地事件。SIEM 代理服务器上运行和提取来自Office 365 云应用安全性通知并将其流式传输到 SIEM 服务器。

当您第一次将集成到您 SIEM Office 365 云应用安全性时,来自过去两天通知会转发给 SIEM 以及所有通知此后 (基于您所选择的筛选器)。此外,如果长时间,启用时禁用此功能再次它将转发在过去两天的警报和然后所有通知此后。

注意: 您必须是全局管理员或安全管理员执行本文中所述的任务。请参阅在 Office 365 安全和合规性中心中的权限

SIEM 集成体系结构

在您的组织的网络中部署 SIEM 代理。部署和配置时,它轮询已配置 (警报) 的数据类型使用Office 365 云应用安全性 rest 风格 Api。然后通过在端口 443 HTTPS 加密通道发送流量。

一旦 SIEM 代理从Office 365 云应用安全性检索数据,还会发送到您使用网络配置设置 (TCP 或自定义的端口与 UDP) 时,可提供的本地 SIEM 系统日志消息。

示例 SIEM 日志

从 Microsoft 云应用程序安全提供给您 SIEM 日志超过系统日志了 CEF。在下面的示例日志中不能看到事件通常由 Office 365 ASM 发送到 SIEM 服务器的类型。在这些触发通知时,您可以看到事件的类型、 已破坏策略用户触发事件、 违反发生时的用户正在使用该应用程序URL警报即将从:

示例通知日志:

2017-05-12T13:25:57.640Z CEF:0 |MCAS |SIEM_Agent | 0.97.33 |ALERT_CABINET_EVENT_MATCH_AUDIT | asddsddas | 3 | externalId = 5915b7e50d5d72daaf394da9 开始 = 1494595557640 结束 = 1494595557640 消息 =活动策略由用户下载质量admin@contoso.com由触发 suser=admin@contoso.com目标服务 = Office 365 cn1Label = riskScore cn1 = cs1Label = 门户URL cs1 = https://contoso.cloudappsecurity.com/#/alerts/5915b7e50d5d72daaf394da9 cs2Label = uniqueServiceAppIds cs2 = APPID_OFFICE365 cs3Label =relatedAudits cs3 = AVv81ljWeXPEqTlM-j j

如何将集成

用三个步骤完成与 SIEM server 集成:

  1. 将其设置Office 365 云应用安全性门户中。

  2. 下载 JAR 文件,并在服务器上运行。

  3. 验证 SIEM 代理正常工作。

先决条件

  • 标准 Windows 或 Linux 服务器 (可以是虚拟机)。

  • 服务器必须运行 Java 8;早期版本不支持。

步骤 1: 将其设置Office 365 云应用安全性门户中

  1. 转到https://protection.office.com和Office 365为使用您的工作或学校帐户登录。(这让你转到安全与合规中心。)

  2. 转到警报>管理高级通知

  3. 选择转到 Office 365 云应用程序安全以转到Office 365 云应用安全性门户。

    在安全和合规性中心中,选择管理高级警报,请转到 Office 365 云应用程序安全

  4. 单击设置> SIEM 代理

  5. 选择添加 SIEM 代理以启动向导。

  6. 在向导中,选择添加 SIEM 代理

  7. 在向导中,指定名称,然后选择 SIEM 格式,并设置任何高级设置相关的该格式。选择下一步

    选择您 SIEM 格式和高级的设置

  8. 在 IP 地址或远程系统日志主机系统日志端口号的主机名中键入。选择 TCP 或 UDP 作为远程系统日志协议。您可以处理您的安全管理员以获得以下详细信息,如果您没有使用它们。选择下一步

    指定远程系统日志主机和系统日志端口号

  9. 选择要导出到 SIEM 服务器的活动。使用滑块以启用和禁用它们。默认情况下,选中所有内容。您可以使用应用于下拉列表筛选器设置为发送到 SIEM 服务器仅特定的通知。您可以单击编辑和预览结果检查筛选器按预期方式工作。单击下一步

    选择通知和活动,以将导出到 SIEM 服务器。

  10. 复制该标记,并将其保存以备此后。您单击完成,并返回 SIEM 页中保留向导后,您可以看到您在表格中添加 SIEM 代理。它将显示它是创建,直到它已连接更高版本。

步骤 2: 下载 JAR 文件,并在您的服务器上运行

  1. 下载Microsoft 云应用程序安全 SIEM 代理并解压缩文件夹。

  2. 从 zip 文件中提取.jar 文件,并在服务器上运行。

  3. 运行该文件之后, 运行以下命令: 命令:

    java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN

    注意: 文件名可能异 SIEM 代理的版本。

    在方括号 [] 中的参数是可选的并应仅在相关。

    使用以下变量的位置:
    DIRNAME 是您想要用于本地代理调试日志目录的路径。
    地址 [: 端口] 是代理服务器地址和端口服务器用来连接到 Internet。
    标记是 SIEM 代理您在上一步中复制。

    您可以键入-h 随时以获取帮助。

步骤 3: 验证 SIEM 代理正常工作

请确保 SIEM 代理Office 365 云应用安全性门户中的状态不是连接错误已断开并且没有代理通知。

与 SIEM 代理观看断开连接的状态或 connecetion 错误。

  • 如果连接两个小时以上下,您将看到连接错误

  • 如果连接超过 12 小时下,您将看到已断开

您想要查看状态为已连接,如下图所示:

您想要查看已连接状态 SIEM 代理

在系统日志/SIEM 服务器中,确保您查看从Office 365 云应用安全性到达的通知。

重新生成您的令牌

如果您遗失了您的令牌,始终可以生成它。在表中,找到 SIEM 代理的行。单击省略号,,然后选择重新生成的令牌

通过单击省略号 SIEM 代理生成的令牌

编辑 SIEM 代理

若要编辑您 SIEM 代理,在表中,定位到行 SIEM 代理。单击省略号,,然后选择编辑。如果您编辑 SIEM 代理,您不需要重新运行.jar 文件;自动更新。

若要编辑 SIEM 代理,选择省略号,,然后选择编辑。

删除 SIEM 代理

若要删除您 SIEM 代理,在表中,定位到行 SIEM 代理。单击省略号,,然后选择删除

若要删除 SIEM 代理,选择省略号,,然后选择删除。

后续步骤

扩展你的 Office 技能
了解培训
抢先获得新功能
加入 Office 预览体验计划

此信息是否有帮助?

谢谢您的反馈!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×