重要事項
棄用通知:Microsoft Defender for Cloud Apps SIEM 代理程式
作為跨 Microsoft Defender 工作負載進行的融合程式的一部分,Microsoft Defender for Cloud Apps SIEM 代理程式將從 2025 年 11 月開始被取代。
現有的 Microsoft Defender for Cloud Apps SIEM 代理程式將繼續依原樣運作,直到該時間為止。 自 2025 年 6 月 19 日起, 無法設定新的 SIEM 代理程式,但 Microsoft Sentinel 代理程式整合 (預覽版) 仍將受到支援,並且仍可新增。
我們建議移轉至支援管理來自多個工作負載之活動與警示資料的 API。 這些 API 可增強安全性監視和管理,並使用來自多個 Microsoft Defender 工作負載的數據提供其他功能。
若要確保持續性和存取目前透過 Microsoft Defender for Cloud Apps SIEM 代理程式提供的資料,建議您轉換至下列支援的 API:
- 如需警示和活動,請參閱:Microsoft Defender 全面偵測回應 串流 API。
- 若要查看 Microsoft Entra ID Protection 登入事件,請參閱進階搜捕結構描述中的 IdentityLogonEvents 資料表。
- 如需 Microsoft Graph 安全性警示 API,請參閱: 清單alerts_v2
- 若要檢視Microsoft Defender 全面偵測回應事件 API 中的Microsoft Defender for Cloud Apps警示資料,請參閱 Microsoft Defender 全面偵測回應事件 API 和事件資源類型
您可以將 Microsoft Defender for Cloud Apps 與一般 SIEM 伺服器整合,以集中監視來自連線應用程式的警示和活動。 當已連線的應用程式支援新的活動和事件時,Microsoft Defender for Cloud Apps 也會提供這些活動和事件的可見性。 與 SIEM 服務整合可讓您更好地保護雲端應用程式,同時維護通常的安全工作流程、自動化安全程序以及在雲端和內部部署事件之間建立關聯。 Microsoft Defender for Cloud Apps SIEM 代理程式會在您的伺服器上執行,並從適用於雲端的 Microsoft Defender Defender Apps 提取警示和活動,並將其串流至 SIEM 伺服器。
當您首次將 SIEM 與 Defender for Cloud Apps 整合時,過去兩天的活動與警示會轉發至 SIEM,之後所有活動與警示(根據您在 SIEM 設定時設定的警示與活動篩選器)都會被轉發給 SIEM。 如果您長時間停用此功能,然後重新啟用,則會轉送過去兩天的警示和活動,然後轉送此後的所有警示和活動。
其他整合解決方案包括:
- Microsoft Sentinel - 可調整的雲端原生 SIEM 和 SOAR,用於原生整合。 如需與 Microsoft Sentinel 整合的相關資訊,請參閱 Microsoft Sentinel 整合。
- Microsoft 安全性圖形 API - 提供單一程式設計介面來連線多個安全性提供者的中介服務 (或代理程式) 。 如需詳細資訊,請參閱使用 Microsoft Graph 安全性 API 進行安全性解決方案整合。
一般 SIEM 整合架構
SIEM 代理程式會部署在您組織的網路中。 部署並完成設定後,它會使用 Defender for Cloud Apps RESTful API 擷取已設定的資料類型(警示和活動)。 警報與活動資料隨後會透過加密的 HTTPS 通道在 443 埠傳送。
一旦 SIEM 代理程式從 Defender for Cloud Apps 擷取資料,它就會將 Syslog 訊息傳送至您的本機 SIEM。 Defender for Cloud Apps 會使用您在設定期間提供的網路組態 (TCP 或 UDP 搭配自訂連接埠) 。
支援的 SIEM
Defender for Cloud Apps 目前支援 Micro Focus ArcSight 和一般 CEF。
如何將您的 SIEM 與 Defender for Cloud Apps 整合
與 SIEM 整合可透過三個步驟完成:
- 在 Defender for Cloud Apps 中設定它。
- 下載 JAR 檔案並在您的伺服器上執行它。
- 驗證 SIEM 代理程式是否正常運作。
必要條件
- 標準 Windows 或 Linux 伺服器 (可以是虛擬機器) 。
- 作業系統:Windows 或 Linux
- 中央處理器:2
- 磁碟空間:20 GB
- 內存:2 GB
- 伺服器必須執行 Java 8。 不支援舊版。
- 傳輸層安全性 (TLS) 1.2+。 不支援舊版。
- 設定防火牆,如網路需求中所述
與您的 SIEM 整合
步驟 1:在 Defender for Cloud Apps 中設定
請執行以下步驟,在 Defender for Cloud Apps 中建立並設定 SIEM 代理:
在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [雲端應用程式]。
在 [系統] 下,選擇 [SIEM 代理程式]。 選取 [新增 SIEM 代理程式],然後選擇 [一般 SIEM]。
在精靈中,選取 [啟動精靈]。
在精靈中,填寫名稱,然後 選取您的 SIEM 格式 ,然後設定與該格式相關的任何 進階設定 。 選取 [下一步]。
輸入 遠端系統日誌主機 的IP地址或主機名以及 系統日誌埠號。 選擇TCP或UDP作為遠端系統日誌協定。 如果您沒有這些詳細資料,您可以與安全性管理員合作取得這些詳細資料。 選取 [下一步]。
選取您要匯出至 SIEM 伺服器以取得 警示 和 活動的資料類型。 使用滑桿啟用和停用它們,預設情況下,所有內容都處於選中狀態。 您可以使用 [套用至 ] 下拉式清單來設定篩選器,以僅將特定警示和活動傳送至 SIEM 伺服器。 選取 [編輯並預覽結果] 以檢查篩選器是否如預期般運作。 選取 [下一步]。
複製權杖並儲存以供日後使用。 選取 [完成] ,然後離開精靈。 返回 SIEM 頁面,查看您在表格中新增的 SIEM 代理程式。 SIEM 代理會以已建立狀態出現在表格中,直到代理連接到 Defender for Cloud Apps。
注意事項
您建立的任何權杖都會綁定至建立該權杖的管理員。 這表示如果系統管理員使用者從 Defender for Cloud Apps 中移除,權杖將不再有效。 一般 SIEM 權杖會為唯一必要的資源提供唯讀權限。 除了此權杖所包含的權限外,不會授予任何其他權限。
第 2 步:下載 JAR 檔案並在伺服器上運行它
在 Microsoft下載中心,接受軟體授權條款後,下載 .zip 檔案並解壓縮。
在您的伺服器上執行解壓縮的檔案:
java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN
注意事項
- 檔案名稱可能會因 SIEM 代理程式的版本而異。
- 括弧 [ ] 中的參數是選擇性的,只有在相關時才應使用。
- 我們建議在伺服器啟動期間執行 JAR。
- Windows:以排程工作的形式執行,並確定您將工作設定為 [無論使用者是否登入都執行] ,並取消核取 [如果執行時間超過則停止工作] 核取方塊。
- Linux:將帶有 & 的執行命令新增至 rc.local 檔案。 例如:
java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN &
其中使用了下列變數:
- DIRNAME 是您想要用於本機代理程式偵錯記錄的目錄路徑。
- ADDRESS[:PORT] 是伺服器用來連線至網際網路的代理伺服器位址和連接埠。
- TOKEN 是你在 Defender for Cloud Apps 建立 SIEM 代理時複製的 SIEM 代理令牌。
您可以隨時鍵入 -h 以取得協助。
範例活動記錄
以下是傳送至 SIEM 的範例活動記錄:
2017-11-22T17:50:04.000Z CEF:0|MCAS|SIEM_Agent|0.111.85|EVENT_CATEGORY_LOGOUT|Log out|0|externalId=1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0 rt=1511373004000 start=1511373004000 end=1511373004000 msg=Log out suser=admin@contoso.com destinationServiceName=ServiceNow dvc=13.82.149.151 requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
2017-11-28T19:40:15.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_VIEW_REPORT|View report|0|externalId=1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a rt=1511898015000 start=1511898015000 end=1511898015000 msg=View report: ServiceNow Report 23 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=23,sys_report,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
2017-11-28T19:25:34.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798 rt=1511897134000 start=1511897134000 end=1511897134000 msg=Delete object: ServiceNow Object f5122008db360300906ff34ebf96198a suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
2017-11-27T20:40:14.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_CREATE_USER|Create user|0|externalId=1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c rt=1511815214000 start=1511815214000 end=1511815214000 msg=Create user: user 747518c0db360300906ff34ebf96197c suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,747518c0db360300906ff34ebf96197c,sys_user,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
2017-11-27T20:41:20.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_DELETE_USER|Delete user|0|externalId=1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383 rt=1511815280000 start=1511815280000 end=1511815280000 msg=Delete user: user 233490c0db360300906ff34ebf9619ef suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,233490c0db360300906ff34ebf9619ef,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
2017-11-28T19:24:55.000Z LAB-EUW-ARCTEST CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897117617_5be018ee-f676-4473-a9b5-5982527409be rt=1511897095000 start=1511897095000 end=1511897095000 msg=Delete object: ServiceNow Object b1709c40db360300906ff34ebf961923 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897117617_5be018ee-f676-4473-a9b5-5982527409be,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
下列文字是警示記錄檔範例:
2017-07-15T20:42:30.531Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|myPolicy|3|externalId=596a7e360c204203a335a3fb start=1500151350531 end=1500151350531 msg=Activity policy ''myPolicy'' was triggered by ''admin@box-contoso.com'' suser=admin@box-contoso.com destinationServiceName=Box cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596a7e360c204203a335a3fb cs2Label=uniqueServiceAppIds cs2=APPID_BOX cs3Label=relatedAudits cs3=1500151288183_acc891bf-33e1-424b-a021-0d4370789660 cs4Label=policyIDs cs4=59f0ab82f797fa0681e9b1c7
2017-07-16T09:36:26.550Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b339b0c204203a33a51ae start=1500197786550 end=1500197786550 msg=Activity policy ''test-activity-policy'' was triggered by ''user@contoso.com'' suser=user@contoso.com destinationServiceName=Salesforce cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b339b0c204203a33a51ae cs2Label=uniqueServiceAppIds cs2=APPID_SALESFORCE cs3Label=relatedAudits cs3=1500197720691_b7f6317c-b8de-476a-bc8f-dfa570e00349 cs4Label=policyIDs cs4=
2017-07-16T09:17:03.361Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy3|3|externalId=596b2fd70c204203a33a3eeb start=1500196623361 end=1500196623361 msg=Activity policy ''test-activity-policy3'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft 365 cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eeb cs2Label=uniqueServiceAppIds cs2=APPID_O365 cs3Label=relatedAudits cs3=1500196549157_a0e01f8a-e29a-43ae-8599-783c1c11597d cs4Label=policyIDs cs4=
2017-07-16T09:17:15.426Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b2fd70c204203a33a3eec start=1500196635426 end=1500196635426 msg=Activity policy ''test-activity-policy'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft 365 admin center cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eec cs2Label=uniqueServiceAppIds cs2=APPID_O365_PORTAL cs3Label=relatedAudits cs3=1500196557398_3e102b20-d9fa-4f66-b550-8c7a403bb4d8 cs4Label=policyIDs cs4=59f0ab35f797fa9811e9b1c7
2017-07-16T09:17:46.290Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy4|3|externalId=596b30200c204203a33a4765 start=1500196666290 end=1500196666290 msg=Activity policy ''test-activity-policy4'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft Exchange Online cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b30200c204203a33a4765 cs2Label=uniqueServiceAppIds cs2=APPID_OUTLOOK cs3Label=relatedAudits cs3=1500196587034_a8673602-7e95-46d6-a1fe-c156c4709c5d cs4Label=policyIDs cs4=
2017-07-16T09:41:04.369Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy2|3|externalId=596b34b10c204203a33a5240 start=1500198064369 end=1500198064369 msg=Activity policy ''test-activity-policy2'' was triggered by ''user2@test15-adallom.com'' suser=user2@test15-adallom.com destinationServiceName=Google cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b34b10c204203a33a5240 cs2Label=uniqueServiceAppIds cs2=APPID_33626 cs3Label=relatedAudits cs3=1500197996117_fd71f265-1e46-4f04-b372-2e32ec874cd3 cs4Label=policyIDs cs4=
Defender for Cloud Apps 的 CEF 格式警示範例
下表描述了 Defender for Cloud Apps 警示與活動中使用的 CEF 欄位。
| 適用於 | CEF 欄位名稱 | 描述 |
|---|---|---|
| 活動/警報 | 開始 | 活動或警示時間戳記 |
| 活動/警報 | 端 | 活動或警示時間戳記 |
| 活動/警報 | RT | 活動或警示時間戳記 |
| 活動/警報 | msg | 入口網站中顯示的活動或警示描述 |
| 活動/警報 | 超級使用者 | 活動或警示主體使用者 |
| 活動/警報 | 目的地服務名稱 | 活動或警示來源應用程式,例如 Microsoft 365、Sharepoint、Box。 |
| 活動/警報 | cs<X>標籤 | 每個標籤都有不同的意義,但標籤本身會解釋它,例如 targetObjects。 |
| 活動/警報 | cs<X> | 與標籤相對應的資訊 (活動或警示的目標使用者,如標籤範例) 。 |
| 活動 | EVENT_CATEGORY_* | 活動的高階類別 |
| 活動 | <動作> | 活動類型,如入口網站中所示 |
| 活動 | 外部識別碼 | 事件識別碼 |
| 活動 | dvc | 用戶端裝置的 IP |
| 活動 | requestClientApplication | 用戶端裝置的使用者代理程式 |
| 警示 | <警示類型> | 例如,「ALERT_CABINET_EVENT_MATCH_AUDIT」 |
| 警示 | <名字> | 相符的原則名稱 |
| 警示 | 外部識別碼 | 警示標識碼 |
| 警示 | 來源 | 用戶端裝置的 IPv4 位址 |
| 警示 | c6a1 | 用戶端裝置的 IPv6 位址 |
步驟 3:驗證 SIEM 代理程式是否正常運作
請確定入口網站中 SIEM 代理程式的狀態不是 [連線錯誤 ] 或 [ 中斷連線 ],而且沒有代理程式通知。 如果連線關閉超過兩小時,狀態會變更為 連線錯誤。 如果連線關閉超過 12 小時,狀態會變更為 [ 已中斷連線]。
而是,狀態應顯示為「已連線」,如下所示:
在您的 Syslog/SIEM 伺服器中,請確定您看到來自 Defender for Cloud Apps 的活動和警示。
正在重新產生您的 Token
如果您遺失該權杖,隨時都可以在表格中 SIEM 代理程式那一列的末端點選三點圖示,重新產生權杖。 選取 [重新產生權杖 ] 以取得新的權杖。
編輯您的 SIEM 代理程式
若要編輯 SIEM 代理程式,請選取表格中 SIEM 代理程式資料列結尾的三個點,然後選取 [編輯]。 如果您編輯 SIEM 代理程式,則不需要重新執行 .jar 檔案,它會自動更新。
刪除您的 SIEM 代理程式
若要刪除 SIEM 代理程式,請選取表格中 SIEM 代理程式資料列結尾的三個點,然後選取 [刪除]。
後續步驟
如果您遇到任何問題,我們隨時為您提供協助。 若要就您的產品問題取得協助或支援,請提交支援單。