Office 365 進階安全性管理 SIEM 整合

重要:  本文係由機器翻譯而成,請參閱免責聲明。本文的英文版本請見這裡,以供參考。

若要啟用集中監控的提醒您 SIEM 伺服器,您可以整合Office 365 進階安全性管理(ASM)。整合與 SIEM 服務可讓您更有效地維護您的主要安全性工作流程自動化安全性程序與雲端之間相互關聯時保護您的 Office 365 應用程式和內部部署的事件。SIEM 代理程式會在您的伺服器上執行從 Office 365 ASM 擷取通知,並會傳送到他們 SIEM 伺服器。

過去兩天的通知當您第一次您 SIEM 與整合 Office 365 ASM 時,都會從轉寄給 SIEM,以及所有通知 (根據您所選取的篩選器)。此外,如果您停用此功能長時間,當您啟用再次轉送過去兩天的通知,然後所有通知從。

附註這項功能在公用預覽。

SIEM 整合架構

SIEM 代理程式已部署在您組織的網路。當部署,並設定,它會輪詢的資料類型已設定使用 Office 365 ASM RESTful Api (通知)。透過加密 HTTPS 通道連接埠 443 上再傳送流量。

後從 Office 365 ASM SIEM 代理程式中擷取的資料,它會傳送至您的本機 SIEM 使用您在安裝 (TCP 或 UDP 與自訂的連接埠) 所提供的網路設定系統訊息。

SIEM 整合架構的概觀

範例 SIEM 記錄

從雲端應用程式的安全性所提供給您 SIEM 記錄是 CEF 系統上。在下列範例記錄中也可以查看事件通常由 Office 365 ASM 傳送,到 SIEM 伺服器的類型。在這些觸發提醒時,您可以看到事件類型、 已破壞原則、 觸發事件使用者應用程式的使用者正在使用發生違反和URL提醒來自:

範例通知記錄:

2017-05-12T13:25:57.640Z CEF:0 |MCAS |SIEM_Agent | 0.97.33 |ALERT_CABINET_EVENT_MATCH_AUDIT | asddsddas | 3 | externalId = 5915b7e50d5d72daaf394da9 開始 = 1494595557640 結束 = 1494595557640 訊息 ='質量下載由使用者' 活動原則所觸發 「 admin@contoso.com' suser=admin@contoso.com目的地ServiceName = Office 365 cn1Label = riskScore cn1 = cs1Label = 入口網站URL cs1 = https://contoso.cloudappsecurity.com/#/alerts/5915b7e50d5d72daaf394da9 cs2Label = uniqueServiceAppIds cs2 = APPID_OFFICE365 cs3Label = relatedAudits cs3 = AVv81ljWeXPEqTlM-j j

如何將整合

整合與您 SIEM 已完成三個步驟:

  1. 在 Office 365 ASM 入口網站設定。

  2. 下載 JAR 檔案,並在您的伺服器上執行。

  3. 驗證 SIEM 代理程式正常運作。

先決條件

  • 標準 Windows 或 Linux 伺服器 (可虛擬機器)。

  • 伺服器必須執行 Java 8。不支援舊版。

步驟 1: 將其設定在 Office 365 ASM 入口網站

  1. 在 Office 365 ASM 入口網站設定齒輪中,按一下 [ SIEM 代理程式

  2. 選擇 [新增 SIEM 代理程式來啟動精靈]。

  3. 在精靈中,選擇 [新增 SIEM 代理程式]。

  4. 在精靈中,填寫命名,然後選取您 SIEM 格式,並設定任何進階設定相關的格式。選擇 [下一步]。

    選取您 SIEM 格式和進階的設定

  5. 輸入的 IP 位址或主機名稱遠端系統主機系統連接埠號碼。選取 [TCP 或 UDP 為遠端系統通訊協定。您可以使用您的安全性系統管理員以取得這些詳細資料,如果您沒有它們。請選擇 [下一步]。

    指定遠端系統主機] 和 [系統連接埠號碼

  6. 選取您要匯出至 SIEM 伺服器的活動。使用滑桿以啟用及停用它們。根據預設,所有項目已選取。您可以使用 [套用至]下拉式功能表設定篩選僅特定通知傳送至 SIEM 伺服器。您可以按一下編輯及預覽結果檢查篩選運作正常。按一下 [下一步]。

    選取通知和匯出到 SIEM 伺服器的活動。

  7. 複製權杖,並將其儲存以供下次使用。按一下 [完成] 後,當您離開回 SIEM 頁面的 [精靈],您可以看到您在表格中新增 SIEM 代理程式。隨即會顯示它,建立,直到它稍後再連線。

步驟 2: 下載 JAR 檔案,並在您的伺服器上執行

  1. 下載Microsoft 雲端應用程式的安全性 SIEM 代理程式 ,並將它解壓縮的資料夾。

  2. Zip 檔案中擷取.jar 檔案,並在伺服器上執行。

  3. 後執行的檔案,請執行下列動作:] 命令:

    java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN

    附註: 檔案名稱可能會有所不同 SIEM 代理程式的版本。

    方括弧中的參數是選擇性的然後只有相關才能使用。

    使用下列變數的位置:
    DIRNAME 是您想要使用的本機代理程式偵錯記錄目錄的路徑。
    地址 [: 連接埠] 是用來連線到網際網路的伺服器連接埠與 proxy 伺服器位址。
    權杖是您在上一個步驟中複製的 SIEM 代理程式 token。

    您可以輸入-h 隨時取得協助。

步驟 3: 驗證正在 SIEM 代理程式

請確定在 Office 365 ASM 入口網站 SIEM 代理程式的狀態不是錯誤連線中斷連線,且沒有代理程式通知。

觀看中斷連線的狀態或 connecetion 錯誤與您 SIEM 代理程式。

  • 如果連線是向下超過兩個小時的時間,您會看到連接錯誤

  • 如果連線是向下多個 12 小時,您會看到中斷連線

您要查看狀態為 [已連線,如下圖所示:

您想要查看狀態為 [已連線,您 SIEM 代理程式

在您的系統/SIEM 伺服器,請確定您請參閱從 Office 365 ASM 送達的通知。

重新產生您的憑證

如果您遺失了您的憑證,您可以隨時重新產生。在資料表中,找出 SIEM 代理程式的資料列。按一下省略符號,然後再選擇 [重新產生的權杖

重新產生的權杖,按一下省略符號,您 SIEM 代理程式

編輯您的 SIEM 代理程式

若要編輯您 SIEM 代理程式,在資料表中,找出 SIEM 代理程式的資料列。按一下省略符號,然後再選擇 [編輯]。如果您編輯 SIEM 代理程式時,您不需要重新執行.jar 檔案。自動更新。

以編輯您的 SIEM 代理程式,請選擇省略符號,然後選擇 [編輯]。

刪除您 SIEM 代理程式

若要刪除您 SIEM 代理程式,在資料表中,找出 SIEM 代理程式的資料列。按一下省略符號,然後再選擇 [刪除]。

若要刪除 SIEM 代理程式,請選擇省略符號,,然後選擇 [刪除]。

相關主題

進階安全性管理 (說明及使用方法)
什麼是雲端應用程式的安全性?

附註: 機器翻譯免責聲明︰本文係以電腦系統翻譯而成,未經人為介入。Microsoft 提供此等機器翻譯旨在協助非英語系使用者輕鬆閱讀 Microsoft 產品、服務及技術相關內容。基於本文乃由機器翻譯而成,因此文中可能出現詞辭、語法、文法上之錯誤。

擴展您的技能
探索訓練
優先取得新功能
加入 Office 測試人員

這項資訊有幫助嗎?

感謝您的意見反應!

感謝您的意見反應! 我們將協助您與其中一位 Office 支援專員連絡以深入了解您的意見。

×