Megosztás a következőn keresztül:


Microsoft Sentinel integráció (előzetes verzió)

Az Microsoft Defender for Cloud Apps integrálható a Microsoft Sentinel (skálázható, natív felhőbeli SIEM és SOAR) segítségével a riasztások és a felderítési adatok központosított monitorozásának lehetővé tételéhez. A Microsoft Sentinel integrálása lehetővé teszi a felhőalkalmazások jobb védelmét a szokásos biztonsági munkafolyamatok fenntartása, a biztonsági eljárások automatizálása, valamint a felhőalapú és a helyszíni események közötti korreláció fenntartása mellett.

A Microsoft Sentinel használatának előnyei:

  • A Log Analytics hosszabb adatmegőrzést biztosít.
  • Beépített vizualizációk.
  • Az olyan eszközökkel, mint a Microsoft Power BI vagy Microsoft Sentinel munkafüzetek, saját felderítési adatvizualizációkat hozhat létre, amelyek megfelelnek a szervezeti igényeknek.

További integrációs megoldások a következők:

A Microsoft Sentinel integrálása magában foglalja a konfigurációt Defender for Cloud Apps és Microsoft Sentinel is.

Előfeltételek

Integrálás Microsoft Sentinel:

  • Érvényes Microsoft Sentinel licenccel kell rendelkeznie
  • Legalább biztonsági rendszergazdának kell lennie a bérlőben.

Usa kormányzati támogatása

A közvetlen Defender for Cloud Apps – Microsoft Sentinel integráció csak kereskedelmi ügyfelek számára érhető el.

Az összes Defender for Cloud Apps adat azonban elérhető Microsoft Defender XDR, ezért Microsoft Sentinel az Microsoft Defender XDR-összekötőn keresztül érhető el.

Javasoljuk, hogy azoknak a GCC-, GCC High- és DoD-ügyfeleknek, akik szeretnének Defender for Cloud Apps adatokat látni a Microsoft Sentinel telepítse az Microsoft Defender XDR megoldást.

További információ:

Integrálás a Microsoft Sentinel

  1. A Microsoft Defender Portálon válassza a Beállítások > Felhőalkalmazások lehetőséget.

  2. A Rendszer területen válassza a SIEM-ügynökök > SIEM-ügynök > hozzáadása Sentinel lehetőséget. Például:

    Képernyőkép az Add SIEM integration menu (SIEM-integráció hozzáadása) menüről.

    Megjegyzés:

    A Microsoft Sentinel hozzáadásának lehetősége nem érhető el, ha korábban már végrehajtotta az integrációt.

  3. A varázslóban válassza ki azokat az adattípusokat, amelyeket továbbítani szeretne Microsoft Sentinel. Az integrációt az alábbiak szerint konfigurálhatja:

    • Riasztások: A riasztások automatikusan be vannak kapcsolva Microsoft Sentinel engedélyezése után.
    • Felderítési naplók: A csúszkával alapértelmezés szerint minden ki van jelölve, majd az Alkalmaz legördülő listából szűrheti, hogy mely felderítési naplók legyenek elküldve Microsoft Sentinel.

    Például:

    Képernyőkép a Microsoft Sentinel-integráció konfigurálásának kezdőlapjáról.

  4. Válassza a Tovább gombot, és folytassa a Microsoft Sentinel az integráció véglegesítéséhez. A Microsoft Sentinel konfigurálásával kapcsolatos információkért lásd a Defender for Cloud Apps Microsoft Sentinel adatösszekötőt. Például:

    Képernyőkép az Microsoft Sentinel-integráció konfigurálásának befejezési oldaláról.

Megjegyzés:

Az új felderítési naplók általában a Defender for Cloud Apps konfigurálását követő 15 percen belül megjelennek Microsoft Sentinel. A rendszerkörnyezeti feltételektől függően azonban hosszabb időt is igénybe vehet. További információ: Betöltési késés kezelése az elemzési szabályokban.

Riasztások és felderítési naplók a Microsoft Sentinel

Az integráció befejezése után megtekintheti Defender for Cloud Apps riasztásokat és felderítési naplókat Microsoft Sentinel.

A Microsoft Sentinel Naplók területén, a Security Insights területen az Defender for Cloud Apps adattípusok naplói az alábbiak szerint találhatók:

Adattípus Asztal
Felderítési naplók McasShadowItReporting
Riasztások SecurityAlert

Az alábbi táblázat a McasShadowItReporting séma minden mezőjét ismerteti:

Mező Típus Leírás Példák
TenantId Karakterlánc Munkaterület azonosítója b459b4u5-912x-46d5-9cb1-p43069212nb4
SourceSystem Karakterlánc Forrásrendszer – statikus érték Azure
TimeGenerated [UTC] DateTime Felderítési adatok dátuma 2019-07-23T11:00:35.858Z
StreamName Karakterlánc Az adott stream neve Marketing osztály
TotalEvents Egész szám Események teljes száma munkamenetenként 122
BlockedEvents Egész szám Letiltott események száma 0
Feltöltött bájtok Egész szám Feltöltött adatok mennyisége 1,514,874
Összes bájt Egész szám Az adatok teljes mennyisége 4,067,785
Letöltött bájtok Egész szám A letöltött adatok mennyisége 2,552,911
IpAddress Karakterlánc Forrás IP-címe 127.0.0.0
Felhasználónév Karakterlánc Felhasználónév Raegan@contoso.com
EnrichedUserName Karakterlánc Bővített felhasználónév Microsoft Entra felhasználónévvel Raegan@contoso.com
AppName Karakterlánc A felhőalkalmazás neve Microsoft OneDrive Vállalati verzió
AppId Egész szám Felhőalkalmazás azonosítója 15600
AppCategory Karakterlánc A felhőalkalmazás kategóriája Felhőbeli tárolás
Alkalmazáscímkék Sztringtömb Az alkalmazáshoz definiált beépített és egyéni címkék ["engedélyezett"]
AppScore Egész szám Az alkalmazás kockázati pontszáma egy 0–10- es skálán, 10 pedig egy nem kockázatos alkalmazás pontszáma 10
Típus Karakterlánc Naplók típusa – statikus érték McasShadowItReporting

A Power BI használata Defender for Cloud Apps adatokkal a Microsoft Sentinel

Az integráció befejezése után a Microsoft Sentinel más eszközökben tárolt Defender for Cloud Apps adatait is használhatja.

Ez a szakasz azt ismerteti, hogyan alakíthatja és kombinálhatja az adatokat a Microsoft Power BI használatával a szervezet igényeinek megfelelő jelentések és irányítópultok készítéséhez.

Első lépések:

  1. A Power BI-ban importálhat lekérdezéseket Microsoft Sentinel Defender for Cloud Apps adatokhoz. További információ: Azure Monitor-naplóadatok importálása a Power BI-ba.

  2. Telepítse a Defender for Cloud Apps Shadow IT Discovery alkalmazást, és csatlakoztassa a felderítési napló adataihoz a beépített Shadow IT Discovery irányítópult megtekintéséhez.

    Megjegyzés:

    Az alkalmazás jelenleg nincs közzétéve a Microsoft AppSource-on. Ezért előfordulhat, hogy az alkalmazás telepítéséhez szükséges engedélyekért kapcsolatba kell lépnie a Power BI-rendszergazdával.

    Például:

    Képernyőkép a Shadow IT Discovery irányítópultról.

  3. Igény szerint egyéni irányítópultokat hozhat létre a Power BI Desktop, és a szervezet vizuális elemzési és jelentéskészítési követelményeinek megfelelően módosíthatja.

A Defender for Cloud Apps alkalmazás csatlakoztatása

  1. A Power BI-ban válassza az Alkalmazások > Árnyék informatikai felderítési alkalmazás lehetőséget.

  2. Az Első lépések az új alkalmazással lapon válassza a Csatlakozás lehetőséget. Például:

    Képernyőkép az alkalmazásadatok csatlakoztatása oldalról.

  3. A munkaterület-azonosító lapon adja meg Microsoft Sentinel munkaterület-azonosítóját a Log Analytics áttekintő oldalán látható módon, majd válassza a Tovább gombot. Például:

    Képernyőkép a munkaterület-azonosítóra vonatkozó kérésről.

  4. A hitelesítés oldalon adja meg a hitelesítési módszert és az adatvédelmi szintet, majd válassza a Bejelentkezés lehetőséget. Például:

    Képernyőkép a hitelesítési oldalról.

  5. Az adatok csatlakoztatása után lépjen a munkaterület Adatkészletek lapjára, és válassza a Frissítés lehetőséget. Ez frissíti a jelentést a saját adataival.

Ha bármilyen problémába ütközik, segítünk. Ha segítséget vagy támogatást szeretne kapni a termék problémájához, nyisson egy támogatási jegyet.