Microsoft Sentinel-integráció (előzetes verzió)
Megjegyzés
Átneveztük Microsoft Cloud App Security. Most már Microsoft Defender for Cloud Apps- nak hívják. Az elkövetkező hetekben frissítjük a képernyőképeket és az utasításokat itt és a kapcsolódó oldalakon. A módosítással kapcsolatos további információkért tekintse meg ezt a bejelentést. Ha többet szeretne megtudni a Microsoft biztonsági szolgáltatásainak átnevezéséről, tekintse meg a Microsoft Ignite Security blogot.
A riasztások és felderítési adatok központosított monitorozásának lehetővé tételéhez integrálhatja a Microsoft Defender for Cloud Apps a Microsoft Sentinellel (skálázható, natív felhőbeli SIEM és SOAR). A Microsoft Sentinellel való integráció lehetővé teszi a felhőalkalmazások jobb védelmét, miközben fenntartja a szokásos biztonsági munkafolyamatot, automatizálja a biztonsági eljárásokat, valamint korrelál a felhőalapú és a helyszíni események között.
A Microsoft Sentinel használatának előnyei a következők:
- A Log Analytics hosszabb adatmegőrzést biztosít.
- Beépített vizualizációk.
- Az olyan eszközökkel, mint a Microsoft Power BI vagy a Microsoft Sentinel-munkafüzetek, saját felderítési adatvizualizációkat hozhat létre, amelyek megfelelnek a szervezeti igényeknek.
További integrációs megoldások:
- Általános SIEM-ek – Felhőhöz készült Defender-alkalmazások integrálása az általános SIEM-kiszolgálóval. Az általános SIEM-integrációval kapcsolatos információkért lásd: Általános SIEM-integráció.
- Microsoft security graph API – Közvetítő szolgáltatás (vagy közvetítő), amely egyetlen programozott felületet biztosít több biztonsági szolgáltató összekapcsolásához. További információ: Biztonsági megoldások integrációja a Microsoft Graph Biztonság használatával.
Az integrálás menete
A SIEM-sel való integráció két lépésben történik:
- Állítsa be a Felhőhöz készült Defender Appsben.
- Állítsa be a Microsoft Sentinelben.
Megjegyzés
A Microsoft Sentinel hozzáadásának lehetősége nem érhető el, ha korábban már elvégezte az integrációt.
Előfeltételek
Integrálás a Microsoft Sentinellel:
- Érvényes Microsoft Sentinel-licenccel kell rendelkeznie
- Globális rendszergazdának vagy biztonsági rendszergazdának kell lennie a bérlőben.
Integrálás a Microsoft Sentinellel
Az Felhőhöz készült Defender Apps portálon, a Gépház fogaskerék alatt válassza a Biztonsági bővítmények lehetőséget.
A SIEM-ügynökök lapon válassza a Hozzáadás (+), majd a Microsoft Sentinel lehetőséget.
A varázslóban válassza ki a Microsoft Sentinelnek továbbítani kívánt adattípusokat. Az integrációt az alábbiak szerint konfigurálhatja:
- Riasztások: A riasztások automatikusan be vannak kapcsolva, amint a Microsoft Sentinel engedélyezve van.
- Felderítési naplók: A csúszkával alapértelmezés szerint minden ki van jelölve, majd az Alkalmaz legördülő menüben szűrheti, hogy mely felderítési naplók legyenek elküldve a Microsoft Sentinelnek.
Válassza a Tovább gombot, és folytassa a Microsoft Sentinellal az integráció véglegesítéséhez. A Microsoft Sentinel konfigurálásával kapcsolatos információkért tekintse meg a Microsoft Sentinel adatösszekötőt Felhőhöz készült Defender-alkalmazásokhoz.
Megjegyzés
Az új felderítési naplók általában a konfigurálásuk után 15 percen belül megjelennek a Microsoft Sentinelben az Felhőhöz készült Defender Apps portálon. A rendszerkörnyezeti feltételektől függően azonban hosszabb időt is igénybe vehet. További információt az elemzési szabályok betöltési késleltetésének kezelése című témakörben talál.
Riasztások és felderítési naplók a Microsoft Sentinelben
Az integráció befejezése után megtekintheti Felhőhöz készült Defender Alkalmazások riasztásait és felderítési naplóit a Microsoft Sentinelben.
A Microsoft Sentinel Naplók területén, a Biztonsági Elemzések területen az alábbi módon keresheti meg a Felhőhöz készült Defender-alkalmazások adattípusainak naplóit:
| Adattípus | Tábla |
|---|---|
| Felderítési naplók | McasShadowItReporting |
| Riasztások | SecurityAlert |
Az alábbi táblázat a McasShadowItReporting séma minden mezőjét ismerteti:
| Mező | Típus | Description | Példák |
|---|---|---|---|
| TenantId | Sztring | Munkaterület azonosítója | b459b4u5-912x-46d5-9cb1-p43069212nb4 |
| SourceSystem | Sztring | Forrásrendszer – statikus érték | Azure |
| TimeGenerated [UTC] | DateTime | A felderítési adatok dátuma | 2019-07-23T11:00:35.858Z |
| StreamName | Sztring | Az adott stream neve | Marketing osztály |
| TotalEvents | Egész szám | Események teljes száma munkamenetenként | 122 |
| BlockedEvents | Egész szám | Letiltott események száma | 0 |
| Feltöltött bájtok | Egész szám | Feltöltött adatok mennyisége | 1,514,874 |
| TotalBytes | Egész szám | Adatok teljes mennyisége | 4,067,785 |
| Letöltött bájtok | Egész szám | A letöltött adatok mennyisége | 2,552,911 |
| IpAddress | Sztring | Forrás IP-címe | 127.0.0.0 |
| Felhasználónév | Sztring | Felhasználónév | Raegan@contoso.com |
| EnrichedUserName | Sztring | Bővített felhasználónév Azure AD felhasználónévvel | Raegan@contoso.com |
| Alkalmazásnév | Sztring | A felhőalkalmazás neve | Microsoft OneDrive Vállalati verzió |
| AppId | Egész szám | Felhőalkalmazás azonosítója | 15600 |
| AppCategory | Sztring | A felhőalkalmazás kategóriája | Felhőalapú tárolás |
| Alkalmazáscímkék | Sztringtömb | Az alkalmazáshoz definiált beépített és egyéni címkék | ["engedélyezett"] |
| AppScore | Egész szám | Az alkalmazás kockázati pontszáma egy 0–10-es skálán, 10 pedig egy nem kockázatos alkalmazás pontszáma | 10 |
| Típus | Sztring | Naplók típusa – statikus érték | McasShadowItReporting |
A Power BI használata Felhőhöz készült Defender Apps-adatokkal a Microsoft Sentinelben
Az integráció befejezése után más eszközökben is használhatja a Microsoft Sentinelben tárolt Felhőhöz készült Defender Apps-adatokat.
Ez a szakasz azt ismerteti, hogy a Microsoft Power BI hogyan alakíthatja és kombinálhatja az adatokat a szervezet igényeinek megfelelő jelentések és irányítópultok készítéséhez.
Az alábbi lépésekkel gyorsan megkezdheti az első lépéseket:
A Power BI importálja a Microsoft Sentinelből az Felhőhöz készült Defender Apps-adatokra vonatkozó lekérdezéseket. További információ: Azure Monitor-naplóadatok importálása Power BI.
Telepítse a Felhőhöz készült Defender Apps Árnyék-informatikai felderítési alkalmazást, és csatlakoztassa a felderítési napló adataihoz a beépített Árnyék-informatikai felderítési irányítópult megtekintéséhez.
Megjegyzés
Az alkalmazás jelenleg nincs közzétéve a Microsoft AppSource-on. Ezért előfordulhat, hogy az alkalmazás telepítéséhez szükséges engedélyekért kapcsolatba kell lépnie Power BI rendszergazdájával.
Igény szerint egyéni irányítópultokat hozhat létre Power BI Desktop, és módosíthatja azt a szervezet vizuális elemzési és jelentéskészítési követelményeinek megfelelően.
A Felhőhöz készült Defender Apps alkalmazás Csatlakozás
A Power BI válassza az Alkalmazások, majd az Árnyék it-felderítési alkalmazás lehetőséget.
Az új alkalmazásoldallal Első lépések válassza a Csatlakozás lehetőséget.
A munkaterület-azonosító lapon adja meg a Microsoft Sentinel-munkaterület azonosítóját a Log Analytics áttekintő oldalán látható módon, majd válassza a Tovább gombot.
A hitelesítési lapon adja meg a hitelesítési módszert és az adatvédelmi szintet, majd válassza a Bejelentkezés lehetőséget.
Az adatok csatlakoztatása után lépjen a munkaterület Adathalmazok lapjára, és válassza a Frissítés lehetőséget. Ez frissíti a jelentést a saját adataival.
Ha bármilyen problémába ütközik, segítünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson támogatási jegyet.