تكامل Microsoft Sentinel (معاينة)

مقالة
11/28/2024

يمكنك دمج Microsoft Defender for Cloud Apps مع Microsoft Sentinel (SIEM وSOAR قابل للتطوير وسحابة أصلية) لتمكين المراقبة المركزية للتنبيهات وبيانات الاكتشاف. يسمح لك التكامل مع Microsoft Sentinel بحماية تطبيقات السحابة بشكل أفضل مع الحفاظ على سير عمل الأمان المعتاد، وأتمتة إجراءات الأمان، والربط بين الأحداث المستندة إلى السحابة والأحداث المحلية.

تشمل فوائد استخدام Microsoft Sentinel ما يلي:

استبقاء بيانات أطول يوفره Log Analytics.
المرئيات الجاهزة.
استخدم أدوات مثل Microsoft Power BI أو Microsoft Sentinel المصنفات لإنشاء مرئيات بيانات الاكتشاف الخاصة بك التي تناسب احتياجاتك التنظيمية.

تتضمن حلول التكامل الإضافية ما يلي:

SIEMs العامة - دمج Defender for Cloud Apps مع خادم SIEM العام الخاص بك. للحصول على معلومات حول التكامل مع SIEM عام، راجع تكامل SIEM العام.
Microsoft security graph API - خدمة وسيطة (أو وسيط) توفر واجهة برمجية واحدة لتوصيل موفري أمان متعددين. لمزيد من المعلومات، راجع تكاملات حلول الأمان باستخدام واجهة برمجة تطبيقات الأمان Microsoft Graph.

يتضمن التكامل مع Microsoft Sentinel التكوين في كل من Defender for Cloud Apps Microsoft Sentinel.

المتطلبات الأساسية

للتكامل مع Microsoft Sentinel:

يجب أن يكون لديك ترخيص Microsoft Sentinel صالح
يجب أن تكون على الأقل مسؤول أمان في المستأجر الخاص بك.

دعم حكومة الولايات المتحدة

يتوفر تكامل Defender for Cloud Apps المباشر - Microsoft Sentinel للعملاء التجاريين فقط.

ومع ذلك، تتوفر جميع البيانات Defender for Cloud Apps في Microsoft Defender XDR، وبالتالي تتوفر في Microsoft Sentinel عبر موصل Microsoft Defender XDR.

نوصي عملاء GCC و GCC High و DoD المهتمين برؤية بيانات Defender for Cloud Apps في Microsoft Sentinel تثبيت حل Microsoft Defender XDR.

لمزيد من المعلومات، اطلع على:

التكامل مع Microsoft Sentinel

في Microsoft Defender Portal، حدد Settings > Cloud Apps.
ضمن System، حدد SIEM agents > Add SIEM agent > Sentinel. على سبيل المثال:

ملاحظة

لا يتوفر خيار إضافة Microsoft Sentinel إذا كنت قد أجريت التكامل مسبقا.
في المعالج، حدد أنواع البيانات التي تريد إعادة توجيهها إلى Microsoft Sentinel. يمكنك تكوين التكامل، كما يلي:
- التنبيهات: يتم تشغيل التنبيهات تلقائيا بمجرد تمكين Microsoft Sentinel.
- سجلات الاكتشاف: استخدم شريط التمرير لتمكينها وتعطيلها، بشكل افتراضي، يتم تحديد كل شيء، ثم استخدم القائمة المنسدلة تطبيق على لتصفية سجلات الاكتشاف التي يتم إرسالها إلى Microsoft Sentinel.
على سبيل المثال:
حدد التالي، وتابع Microsoft Sentinel لإنهاء التكامل. للحصول على معلومات حول تكوين Microsoft Sentinel، راجع موصل بيانات Microsoft Sentinel Defender for Cloud Apps. على سبيل المثال:

ملاحظة

ستظهر سجلات الاكتشاف الجديدة عادة في Microsoft Sentinel في غضون 15 دقيقة من تكوينها في Defender for Cloud Apps. ومع ذلك، قد يستغرق وقتا أطول اعتمادا على ظروف بيئة النظام. لمزيد من المعلومات، راجع معالجة تأخير الاستيعاب في قواعد التحليلات.

التنبيهات وسجلات الاكتشاف في Microsoft Sentinel

بمجرد اكتمال التكامل، يمكنك عرض Defender for Cloud Apps التنبيهات وسجلات الاكتشاف في Microsoft Sentinel.

في Microsoft Sentinel، ضمن Logs، ضمن Security Insights، يمكنك العثور على سجلات أنواع البيانات Defender for Cloud Apps، كما يلي:

نوع البيانات	جدول
سجلات الاكتشاف	McasShadowItReporting
التنبيهات	SecurityAlert

يصف الجدول التالي كل حقل في مخطط McasShadowItReporting :

ميدان	نوع	الوصف	أمثلة
معرف المستأجر	سلسلة	معرف مساحة العمل	b459b4u5-912x-46d5-9cb1-p43069212nb4
نظام المصدر	سلسلة	النظام المصدر - قيمة ثابتة	Azure
TimeGenerated [UTC]	التاريخ والوقت	تاريخ اكتشاف البيانات	2019-07-23T11:00:35.858Z
اسم الدفق	سلسلة	اسم الدفق المحدد	قسم التسويق
إجمالي الأحداث	العدد الصحيح	إجمالي عدد الأحداث لكل جلسة عمل	122
أحداث محظورة	العدد الصحيح	عدد الأحداث المحظورة	0
تم تحميل وحدات البايت	العدد الصحيح	كمية البيانات التي تم تحميلها	1,514,874
إجمالي وحدات البايت	العدد الصحيح	إجمالي كمية البيانات	4,067,785
وحدات البايت التي تم تنزيلها	العدد الصحيح	كمية البيانات التي تم تنزيلها	2,552,911
عنوان Ip	سلسلة	عنوان IP المصدر	127.0.0.0
اسم المستخدم	سلسلة	اسم المستخدم	`Raegan@contoso.com`
EnrichedUserName	سلسلة	اسم المستخدم الذي تم إثرائه باستخدام اسم مستخدم Microsoft Entra	`Raegan@contoso.com`
اسم التطبيق	سلسلة	اسم تطبيق السحابة	Microsoft OneDrive for Business
معرف التطبيق	العدد الصحيح	معرف تطبيق السحابة	15600
AppCategory	سلسلة	فئة تطبيق السحابة	التخزين السحابي
علامات تعريف التطبيقات	صفيف السلسلة	العلامات المضمنة والمخصصة المحددة للتطبيق	["تمت العقوبات"]
AppScore	العدد الصحيح	درجة مخاطر التطبيق في مقياس من 0 إلى 10، و10 درجة لتطبيق غير محفوف بالمخاطر	10
نوع	سلسلة	نوع السجلات - قيمة ثابتة	McasShadowItReporting

استخدام Power BI مع بيانات Defender for Cloud Apps في Microsoft Sentinel

بمجرد اكتمال التكامل، يمكنك أيضا استخدام بيانات Defender for Cloud Apps المخزنة في Microsoft Sentinel في أدوات أخرى.

يصف هذا القسم كيف يمكنك استخدام Microsoft Power BI لتشكيل البيانات ودمجها بسهولة لإنشاء التقارير ولوحات المعلومات التي تلبي احتياجات مؤسستك.

لبدء الاستخدام:

في Power BI، قم باستيراد الاستعلامات من Microsoft Sentinel للبيانات Defender for Cloud Apps. لمزيد من المعلومات، راجع استيراد بيانات سجل Azure Monitor إلى Power BI.
قم بتثبيت تطبيق Defender for Cloud Apps Shadow IT Discovery وقم بتوصيله ببيانات سجل الاكتشاف لعرض لوحة معلومات Shadow IT Discovery المضمنة.

ملاحظة

حاليا، لا يتم نشر التطبيق على Microsoft AppSource. لذلك، قد تحتاج إلى الاتصال بمسؤول Power BI للحصول على أذونات لتثبيت التطبيق.

على سبيل المثال:
اختياريا، أنشئ لوحات معلومات مخصصة في Power BI Desktop وقم بتعديلها لتناسب متطلبات التحليلات المرئية وإعداد التقارير لمؤسستك.

توصيل تطبيق Defender for Cloud Apps

في Power BI، حدد تطبيقات > Shadow IT Discovery app.
في صفحة بدء استخدام التطبيق الجديد ، حدد اتصال. على سبيل المثال:
في صفحة معرف مساحة العمل، أدخل معرف مساحة العمل Microsoft Sentinel كما هو معروض في صفحة نظرة عامة على تحليلات السجل، ثم حدد التالي. على سبيل المثال:
في صفحة المصادقة، حدد أسلوب المصادقة ومستوى الخصوصية، ثم حدد تسجيل الدخول. على سبيل المثال:
بعد توصيل بياناتك، انتقل إلى علامة التبويب مجموعات بيانات مساحة العمل وحدد تحديث. سيؤدي ذلك إلى تحديث التقرير ببياناتك الخاصة.

إذا واجهت أي مشاكل، فنحن هنا للمساعدة. للحصول على المساعدة أو الدعم لقضية المنتج، يرجى فتح تذكرة دعم.

مشاركة عبر