Microsoft Sentinel tümleştirmesi (Önizleme)
Uyarıların ve bulma verilerinin merkezi olarak izlenmesini sağlamak için Microsoft Defender for Cloud Apps Microsoft Sentinel (ölçeklenebilir, bulutta yerel SIEM ve SOAR) ile tümleştirebilirsiniz. Microsoft Sentinel ile tümleştirme, her zamanki güvenlik iş akışınızı korurken, güvenlik yordamlarını otomatikleştirirken ve bulut tabanlı olaylarla şirket içi olaylar arasında bağıntı oluştururken bulut uygulamalarınızı daha iyi korumanızı sağlar.
Microsoft Sentinel kullanmanın avantajları şunlardır:
- Log Analytics tarafından sağlanan daha uzun veri saklama.
- Kullanıma yönelik görselleştirmeler.
- Kurumsal gereksinimlerinize uygun kendi bulma verileri görselleştirmelerinizi oluşturmak için Microsoft Power BI veya Microsoft Sentinel çalışma kitapları gibi araçları kullanın.
Ek tümleştirme çözümleri şunlardır:
- Genel SIEM'ler - Defender for Cloud Apps genel SIEM sunucunuzla tümleştirin. Genel SIEM ile tümleştirme hakkında bilgi için bkz. Genel SIEM tümleştirmesi.
- Microsoft güvenlik grafı API'si - Birden çok güvenlik sağlayıcısını bağlamak için tek bir programlı arabirim sağlayan bir aracı hizmet (veya aracı). Daha fazla bilgi için bkz. Microsoft Graph Güvenlik API'si kullanarak güvenlik çözümü tümleştirmeleri.
Microsoft Sentinel ile tümleştirme hem Defender for Cloud Apps hem de Microsoft Sentinel yapılandırmayı içerir.
Önkoşullar
Microsoft Sentinel ile tümleştirmek için:
- Geçerli bir Microsoft Sentinel lisansınız olmalıdır
- Kiracınızda en az bir Güvenlik Yöneticisi olmanız gerekir.
ABD Kamu desteği
Doğrudan Defender for Cloud Apps - Microsoft Sentinel tümleştirmesi yalnızca ticari müşteriler tarafından kullanılabilir.
Ancak, tüm Defender for Cloud Apps veriler Microsoft Defender XDR'de kullanılabilir ve bu nedenle Microsoft Defender XDR bağlayıcısı aracılığıyla Microsoft Sentinel kullanılabilir.
Defender for Cloud Apps verilerini görmek isteyen GCC, GCC High ve DoD müşterilerinin Microsoft Defender XDR çözümünü yüklemelerini Microsoft Sentinel öneririz.
Daha fazla bilgi için bkz.:
- Microsoft Sentinel ile Microsoft Defender XDR tümleştirme
- ABD Kamu teklifleri için Microsoft Defender for Cloud Apps
Microsoft Sentinel ile tümleştirme
Microsoft Defender Portalı'nda Ayarlar > Cloud Apps'i seçin.
Sistem'in altında SIEM aracıları SIEM aracısı >> Sentinel ekle'yi seçin. Örneğin:
Not
Daha önce tümleştirmeyi gerçekleştirdiyseniz Microsoft Sentinel ekleme seçeneği kullanılamaz.
Sihirbazda, Microsoft Sentinel iletmek istediğiniz veri türlerini seçin. Tümleştirmeyi aşağıdaki gibi yapılandırabilirsiniz:
- Uyarılar: Microsoft Sentinel etkinleştirildikten sonra uyarılar otomatik olarak açılır.
- Bulma günlükleri: Bunları etkinleştirmek ve devre dışı bırakmak için kaydırıcıyı kullanın, varsayılan olarak her şey seçilidir ve ardından Microsoft Sentinel gönderilen bulma günlüklerini filtrelemek için Uygula açılan listesini kullanın.
Örneğin:
İleri'yi seçin ve tümleştirmeyi sonlandırmak için Microsoft Sentinel devam edin. Microsoft Sentinel yapılandırma hakkında bilgi için bkz. Defender for Cloud Apps için Microsoft Sentinel veri bağlayıcısı. Örneğin:
Not
Yeni bulma günlükleri genellikle Defender for Cloud Apps yapılandırılırken 15 dakika içinde Microsoft Sentinel görüntülenir. Ancak, sistem ortamı koşullarına bağlı olarak daha uzun sürebilir. Daha fazla bilgi için bkz. Analiz kurallarında alım gecikmesini işleme.
Microsoft Sentinel'de uyarılar ve bulma günlükleri
Tümleştirme tamamlandıktan sonra Defender for Cloud Apps uyarıları ve bulma günlüklerini Microsoft Sentinel görüntüleyebilirsiniz.
Microsoft Sentinel'da, Günlükler'in altında, Güvenlik İçgörüleri'nin altında, Defender for Cloud Apps veri türlerinin günlüklerini aşağıdaki gibi bulabilirsiniz:
| Veri türü | Tablo |
|---|---|
| Bulma günlükleri | McasShadowItReporting |
| Uyarılar | SecurityAlert |
Aşağıdaki tabloda , McasShadowItReporting şemasındaki her alan açıklanmaktadır:
| Alan | Tür | Açıklama | Örnekler |
|---|---|---|---|
| TenantId | Dize | Çalışma Alanı Kimliği | b459b4u5-912x-46d5-9cb1-p43069212nb4 |
| SourceSystem | Dize | Kaynak sistem – statik değer | Azure |
| TimeGenerated [UTC] | DateTime | Bulma verilerinin tarihi | 2019-07-23T11:00:35.858Z |
| StreamName | Dize | Belirli bir akışın adı | Pazarlama Bölümü |
| TotalEvents | Tam sayı | Oturum başına toplam olay sayısı | 122 |
| BlockedEvents | Tam sayı | Engellenen olay sayısı | 0 |
| UploadedBytes | Tam sayı | Karşıya yüklenen veri miktarı | 1,514,874 |
| TotalBytes | Tam sayı | Toplam veri miktarı | 4,067,785 |
| İndirilen Baytlar | Tam sayı | İndirilen veri miktarı | 2,552,911 |
| IpAddress | Dize | Kaynak IP adresi | 127.0.0.0 |
| Kullanıcı adı | Dize | Kullanıcı Adı | Raegan@contoso.com |
| EnrichedUserName | Dize | Microsoft Entra kullanıcı adıyla zenginleştirilmiş kullanıcı adı | Raegan@contoso.com |
| AppName | Dize | Bulut uygulamasının adı | Microsoft OneDrive İş |
| AppId | Tam sayı | Bulut uygulaması tanımlayıcısı | 15600 |
| AppCategory | Dize | Bulut uygulaması kategorisi | Bulut depolama |
| AppTag'ler | Dize dizisi | Uygulama için tanımlanan yerleşik ve özel etiketler | ["tasdikli"] |
| AppScore | Tam sayı | 0-10 ölçeğinde uygulamanın risk puanı, riskli olmayan bir uygulama için puan olan 10 | 10 |
| Tür | Dize | Günlük türü – statik değer | McasShadowItReporting |
Microsoft Sentinel'da Defender for Cloud Apps verilerle Power BI kullanma
Tümleştirme tamamlandıktan sonra, diğer araçlardaki Microsoft Sentinel depolanan Defender for Cloud Apps verilerini de kullanabilirsiniz.
Bu bölümde, kuruluşunuzun gereksinimlerini karşılayan raporlar ve panolar oluşturmak üzere verileri kolayca şekillendirmek ve birleştirmek için Microsoft Power BI'ı nasıl kullanabileceğiniz açıklanmaktadır.
Başlamak için:
Power BI'da, Defender for Cloud Apps veriler için Microsoft Sentinel sorgularını içeri aktar. Daha fazla bilgi için bkz. Azure İzleyici günlük verilerini Power BI'a aktarma.
Defender for Cloud Apps Shadow IT Discovery uygulamasını yükleyin ve yerleşik Gölge BT Bulma panosunu görüntülemek için keşif günlüğü verilerinize bağlayın.
Not
Uygulama şu anda Microsoft AppSource'ta yayımlanmaz. Bu nedenle, uygulamayı yükleme izinleri için Power BI yöneticinize başvurmanız gerekebilir.
Örneğin:
İsteğe bağlı olarak, Power BI Desktop'de özel panolar oluşturun ve kuruluşunuzun görsel analiz ve raporlama gereksinimlerine uyacak şekilde değiştirin.
Defender for Cloud Apps uygulamasını bağlama
Power BI'da Uygulamalar > Gölge BT Bulma uygulaması'nı seçin.
Yeni uygulamanızı kullanmaya başlayın sayfasında Bağlan'ı seçin. Örneğin:
Çalışma alanı kimliği sayfasında, log analytics genel bakış sayfanızda gösterildiği gibi Microsoft Sentinel çalışma alanı kimliğinizi girin ve İleri'yi seçin. Örneğin:
Kimlik doğrulama sayfasında, kimlik doğrulama yöntemini ve gizlilik düzeyini belirtin ve oturum aç'ı seçin. Örneğin:
Verilerinizi bağladıktan sonra çalışma alanı Veri kümeleri sekmesine gidin ve Yenile'yi seçin. Bu işlem raporu kendi verilerinizle güncelleştirir.
Herhangi bir sorunla karşılaşırsanız size yardımcı olmak için buradayız. Ürün sorununuzla ilgili yardım veya destek almak için lütfen bir destek bileti açın.