Aracılığıyla paylaş


Microsoft Sentinel tümleştirmesi (Önizleme)

Uyarıların ve bulma verilerinin merkezi olarak izlenmesini sağlamak için Microsoft Defender for Cloud Apps Microsoft Sentinel (ölçeklenebilir, bulutta yerel SIEM ve SOAR) ile tümleştirebilirsiniz. Microsoft Sentinel ile tümleştirme, her zamanki güvenlik iş akışınızı korurken, güvenlik yordamlarını otomatikleştirirken ve bulut tabanlı olaylarla şirket içi olaylar arasında bağıntı oluştururken bulut uygulamalarınızı daha iyi korumanızı sağlar.

Microsoft Sentinel kullanmanın avantajları şunlardır:

  • Log Analytics tarafından sağlanan daha uzun veri saklama.
  • Kullanıma yönelik görselleştirmeler.
  • Kurumsal gereksinimlerinize uygun kendi bulma verileri görselleştirmelerinizi oluşturmak için Microsoft Power BI veya Microsoft Sentinel çalışma kitapları gibi araçları kullanın.

Ek tümleştirme çözümleri şunlardır:

Microsoft Sentinel ile tümleştirme hem Defender for Cloud Apps hem de Microsoft Sentinel yapılandırmayı içerir.

Önkoşullar

Microsoft Sentinel ile tümleştirmek için:

  • Geçerli bir Microsoft Sentinel lisansınız olmalıdır
  • Kiracınızda en az bir Güvenlik Yöneticisi olmanız gerekir.

ABD Kamu desteği

Doğrudan Defender for Cloud Apps - Microsoft Sentinel tümleştirmesi yalnızca ticari müşteriler tarafından kullanılabilir.

Ancak, tüm Defender for Cloud Apps veriler Microsoft Defender XDR'de kullanılabilir ve bu nedenle Microsoft Defender XDR bağlayıcısı aracılığıyla Microsoft Sentinel kullanılabilir.

Defender for Cloud Apps verilerini görmek isteyen GCC, GCC High ve DoD müşterilerinin Microsoft Defender XDR çözümünü yüklemelerini Microsoft Sentinel öneririz.

Daha fazla bilgi için bkz.:

Microsoft Sentinel ile tümleştirme

  1. Microsoft Defender Portalı'nda Ayarlar > Cloud Apps'i seçin.

  2. Sistem'in altında SIEM aracıları SIEM aracısı >> Sentinel ekle'yi seçin. Örneğin:

    SIEM tümleştirmesi ekle menüsünü gösteren ekran görüntüsü.

    Not

    Daha önce tümleştirmeyi gerçekleştirdiyseniz Microsoft Sentinel ekleme seçeneği kullanılamaz.

  3. Sihirbazda, Microsoft Sentinel iletmek istediğiniz veri türlerini seçin. Tümleştirmeyi aşağıdaki gibi yapılandırabilirsiniz:

    • Uyarılar: Microsoft Sentinel etkinleştirildikten sonra uyarılar otomatik olarak açılır.
    • Bulma günlükleri: Bunları etkinleştirmek ve devre dışı bırakmak için kaydırıcıyı kullanın, varsayılan olarak her şey seçilidir ve ardından Microsoft Sentinel gönderilen bulma günlüklerini filtrelemek için Uygula açılan listesini kullanın.

    Örneğin:

    Microsoft Sentinel tümleştirmesini yapılandır'ın başlangıç sayfasını gösteren ekran görüntüsü.

  4. İleri'yi seçin ve tümleştirmeyi sonlandırmak için Microsoft Sentinel devam edin. Microsoft Sentinel yapılandırma hakkında bilgi için bkz. Defender for Cloud Apps için Microsoft Sentinel veri bağlayıcısı. Örneğin:

    Microsoft Sentinel tümleştirmesini yapılandır'ın son sayfasını gösteren ekran görüntüsü.

Not

Yeni bulma günlükleri genellikle Defender for Cloud Apps yapılandırılırken 15 dakika içinde Microsoft Sentinel görüntülenir. Ancak, sistem ortamı koşullarına bağlı olarak daha uzun sürebilir. Daha fazla bilgi için bkz. Analiz kurallarında alım gecikmesini işleme.

Microsoft Sentinel'de uyarılar ve bulma günlükleri

Tümleştirme tamamlandıktan sonra Defender for Cloud Apps uyarıları ve bulma günlüklerini Microsoft Sentinel görüntüleyebilirsiniz.

Microsoft Sentinel'da, Günlükler'in altında, Güvenlik İçgörüleri'nin altında, Defender for Cloud Apps veri türlerinin günlüklerini aşağıdaki gibi bulabilirsiniz:

Veri türü Tablo
Bulma günlükleri McasShadowItReporting
Uyarılar SecurityAlert

Aşağıdaki tabloda , McasShadowItReporting şemasındaki her alan açıklanmaktadır:

Alan Tür Açıklama Örnekler
TenantId Dize Çalışma Alanı Kimliği b459b4u5-912x-46d5-9cb1-p43069212nb4
SourceSystem Dize Kaynak sistem – statik değer Azure
TimeGenerated [UTC] DateTime Bulma verilerinin tarihi 2019-07-23T11:00:35.858Z
StreamName Dize Belirli bir akışın adı Pazarlama Bölümü
TotalEvents Tam sayı Oturum başına toplam olay sayısı 122
BlockedEvents Tam sayı Engellenen olay sayısı 0
UploadedBytes Tam sayı Karşıya yüklenen veri miktarı 1,514,874
TotalBytes Tam sayı Toplam veri miktarı 4,067,785
İndirilen Baytlar Tam sayı İndirilen veri miktarı 2,552,911
IpAddress Dize Kaynak IP adresi 127.0.0.0
Kullanıcı adı Dize Kullanıcı Adı Raegan@contoso.com
EnrichedUserName Dize Microsoft Entra kullanıcı adıyla zenginleştirilmiş kullanıcı adı Raegan@contoso.com
AppName Dize Bulut uygulamasının adı Microsoft OneDrive İş
AppId Tam sayı Bulut uygulaması tanımlayıcısı 15600
AppCategory Dize Bulut uygulaması kategorisi Bulut depolama
AppTag'ler Dize dizisi Uygulama için tanımlanan yerleşik ve özel etiketler ["tasdikli"]
AppScore Tam sayı 0-10 ölçeğinde uygulamanın risk puanı, riskli olmayan bir uygulama için puan olan 10 10
Tür Dize Günlük türü – statik değer McasShadowItReporting

Microsoft Sentinel'da Defender for Cloud Apps verilerle Power BI kullanma

Tümleştirme tamamlandıktan sonra, diğer araçlardaki Microsoft Sentinel depolanan Defender for Cloud Apps verilerini de kullanabilirsiniz.

Bu bölümde, kuruluşunuzun gereksinimlerini karşılayan raporlar ve panolar oluşturmak üzere verileri kolayca şekillendirmek ve birleştirmek için Microsoft Power BI'ı nasıl kullanabileceğiniz açıklanmaktadır.

Başlamak için:

  1. Power BI'da, Defender for Cloud Apps veriler için Microsoft Sentinel sorgularını içeri aktar. Daha fazla bilgi için bkz. Azure İzleyici günlük verilerini Power BI'a aktarma.

  2. Defender for Cloud Apps Shadow IT Discovery uygulamasını yükleyin ve yerleşik Gölge BT Bulma panosunu görüntülemek için keşif günlüğü verilerinize bağlayın.

    Not

    Uygulama şu anda Microsoft AppSource'ta yayımlanmaz. Bu nedenle, uygulamayı yükleme izinleri için Power BI yöneticinize başvurmanız gerekebilir.

    Örneğin:

    Gölge BT Bulma panosunu gösteren ekran görüntüsü.

  3. İsteğe bağlı olarak, Power BI Desktop'de özel panolar oluşturun ve kuruluşunuzun görsel analiz ve raporlama gereksinimlerine uyacak şekilde değiştirin.

Defender for Cloud Apps uygulamasını bağlama

  1. Power BI'da Uygulamalar > Gölge BT Bulma uygulaması'nı seçin.

  2. Yeni uygulamanızı kullanmaya başlayın sayfasında Bağlan'ı seçin. Örneğin:

    Uygulama verilerini bağlama sayfasını gösteren ekran görüntüsü.

  3. Çalışma alanı kimliği sayfasında, log analytics genel bakış sayfanızda gösterildiği gibi Microsoft Sentinel çalışma alanı kimliğinizi girin ve İleri'yi seçin. Örneğin:

    Çalışma alanı kimliği isteğini gösteren ekran görüntüsü.

  4. Kimlik doğrulama sayfasında, kimlik doğrulama yöntemini ve gizlilik düzeyini belirtin ve oturum aç'ı seçin. Örneğin:

    Kimlik doğrulama sayfasını gösteren ekran görüntüsü.

  5. Verilerinizi bağladıktan sonra çalışma alanı Veri kümeleri sekmesine gidin ve Yenile'yi seçin. Bu işlem raporu kendi verilerinizle güncelleştirir.

Herhangi bir sorunla karşılaşırsanız size yardımcı olmak için buradayız. Ürün sorununuzla ilgili yardım veya destek almak için lütfen bir destek bileti açın.