Microsoft Sentinel-integráció (előzetes verzió)

Megjegyzés

Átneveztük Microsoft Cloud App Security. Most már Microsoft Defender for Cloud Apps- nak hívják. Az elkövetkező hetekben frissítjük a képernyőképeket és az utasításokat itt és a kapcsolódó oldalakon. A módosítással kapcsolatos további információkért tekintse meg ezt a bejelentést. Ha többet szeretne megtudni a Microsoft biztonsági szolgáltatásainak átnevezéséről, tekintse meg a Microsoft Ignite Security blogot.

A riasztások és felderítési adatok központosított monitorozásának lehetővé tételéhez integrálhatja a Microsoft Defender for Cloud Apps a Microsoft Sentinellel (skálázható, natív felhőbeli SIEM és SOAR). A Microsoft Sentinellel való integráció lehetővé teszi a felhőalkalmazások jobb védelmét, miközben fenntartja a szokásos biztonsági munkafolyamatot, automatizálja a biztonsági eljárásokat, valamint korrelál a felhőalapú és a helyszíni események között.

A Microsoft Sentinel használatának előnyei a következők:

  • A Log Analytics hosszabb adatmegőrzést biztosít.
  • Beépített vizualizációk.
  • Az olyan eszközökkel, mint a Microsoft Power BI vagy a Microsoft Sentinel-munkafüzetek, saját felderítési adatvizualizációkat hozhat létre, amelyek megfelelnek a szervezeti igényeknek.

További integrációs megoldások:

Az integrálás menete

A SIEM-sel való integráció két lépésben történik:

  1. Állítsa be a Felhőhöz készült Defender Appsben.
  2. Állítsa be a Microsoft Sentinelben.

Megjegyzés

A Microsoft Sentinel hozzáadásának lehetősége nem érhető el, ha korábban már elvégezte az integrációt.

Előfeltételek

Integrálás a Microsoft Sentinellel:

  • Érvényes Microsoft Sentinel-licenccel kell rendelkeznie
  • Globális rendszergazdának vagy biztonsági rendszergazdának kell lennie a bérlőben.

Integrálás a Microsoft Sentinellel

  1. Az Felhőhöz készült Defender Apps portálon, a Gépház fogaskerék alatt válassza a Biztonsági bővítmények lehetőséget.

  2. A SIEM-ügynökök lapon válassza a Hozzáadás (+), majd a Microsoft Sentinel lehetőséget.

    Screenshot showing Add SIEM integration menu.

  3. A varázslóban válassza ki a Microsoft Sentinelnek továbbítani kívánt adattípusokat. Az integrációt az alábbiak szerint konfigurálhatja:

    1. Riasztások: A riasztások automatikusan be vannak kapcsolva, amint a Microsoft Sentinel engedélyezve van.
    2. Felderítési naplók: A csúszkával alapértelmezés szerint minden ki van jelölve, majd az Alkalmaz legördülő menüben szűrheti, hogy mely felderítési naplók legyenek elküldve a Microsoft Sentinelnek.

    Screenshot showing start page of Configure Microsoft Sentinel integration.

  4. Válassza a Tovább gombot, és folytassa a Microsoft Sentinellal az integráció véglegesítéséhez. A Microsoft Sentinel konfigurálásával kapcsolatos információkért tekintse meg a Microsoft Sentinel adatösszekötőt Felhőhöz készült Defender-alkalmazásokhoz.

    Screenshot showing finish page of Configure Microsoft Sentinel integration.

Megjegyzés

Az új felderítési naplók általában a konfigurálásuk után 15 percen belül megjelennek a Microsoft Sentinelben az Felhőhöz készült Defender Apps portálon. A rendszerkörnyezeti feltételektől függően azonban hosszabb időt is igénybe vehet. További információt az elemzési szabályok betöltési késleltetésének kezelése című témakörben talál.

Riasztások és felderítési naplók a Microsoft Sentinelben

Az integráció befejezése után megtekintheti Felhőhöz készült Defender Alkalmazások riasztásait és felderítési naplóit a Microsoft Sentinelben.

A Microsoft Sentinel Naplók területén, a Biztonsági Elemzések területen az alábbi módon keresheti meg a Felhőhöz készült Defender-alkalmazások adattípusainak naplóit:

Adattípus Tábla
Felderítési naplók McasShadowItReporting
Riasztások SecurityAlert

Az alábbi táblázat a McasShadowItReporting séma minden mezőjét ismerteti:

Mező Típus Description Példák
TenantId Sztring Munkaterület azonosítója b459b4u5-912x-46d5-9cb1-p43069212nb4
SourceSystem Sztring Forrásrendszer – statikus érték Azure
TimeGenerated [UTC] DateTime A felderítési adatok dátuma 2019-07-23T11:00:35.858Z
StreamName Sztring Az adott stream neve Marketing osztály
TotalEvents Egész szám Események teljes száma munkamenetenként 122
BlockedEvents Egész szám Letiltott események száma 0
Feltöltött bájtok Egész szám Feltöltött adatok mennyisége 1,514,874
TotalBytes Egész szám Adatok teljes mennyisége 4,067,785
Letöltött bájtok Egész szám A letöltött adatok mennyisége 2,552,911
IpAddress Sztring Forrás IP-címe 127.0.0.0
Felhasználónév Sztring Felhasználónév Raegan@contoso.com
EnrichedUserName Sztring Bővített felhasználónév Azure AD felhasználónévvel Raegan@contoso.com
Alkalmazásnév Sztring A felhőalkalmazás neve Microsoft OneDrive Vállalati verzió
AppId Egész szám Felhőalkalmazás azonosítója 15600
AppCategory Sztring A felhőalkalmazás kategóriája Felhőalapú tárolás
Alkalmazáscímkék Sztringtömb Az alkalmazáshoz definiált beépített és egyéni címkék ["engedélyezett"]
AppScore Egész szám Az alkalmazás kockázati pontszáma egy 0–10-es skálán, 10 pedig egy nem kockázatos alkalmazás pontszáma 10
Típus Sztring Naplók típusa – statikus érték McasShadowItReporting

A Power BI használata Felhőhöz készült Defender Apps-adatokkal a Microsoft Sentinelben

Az integráció befejezése után más eszközökben is használhatja a Microsoft Sentinelben tárolt Felhőhöz készült Defender Apps-adatokat.

Ez a szakasz azt ismerteti, hogy a Microsoft Power BI hogyan alakíthatja és kombinálhatja az adatokat a szervezet igényeinek megfelelő jelentések és irányítópultok készítéséhez.

Az alábbi lépésekkel gyorsan megkezdheti az első lépéseket:

  1. A Power BI importálja a Microsoft Sentinelből az Felhőhöz készült Defender Apps-adatokra vonatkozó lekérdezéseket. További információ: Azure Monitor-naplóadatok importálása Power BI.

  2. Telepítse a Felhőhöz készült Defender Apps Árnyék-informatikai felderítési alkalmazást, és csatlakoztassa a felderítési napló adataihoz a beépített Árnyék-informatikai felderítési irányítópult megtekintéséhez.

    Megjegyzés

    Az alkalmazás jelenleg nincs közzétéve a Microsoft AppSource-on. Ezért előfordulhat, hogy az alkalmazás telepítéséhez szükséges engedélyekért kapcsolatba kell lépnie Power BI rendszergazdájával.

    Screenshot showing the Shadow IT Discovery dashboard.

  3. Igény szerint egyéni irányítópultokat hozhat létre Power BI Desktop, és módosíthatja azt a szervezet vizuális elemzési és jelentéskészítési követelményeinek megfelelően.

A Felhőhöz készült Defender Apps alkalmazás Csatlakozás

  1. A Power BI válassza az Alkalmazások, majd az Árnyék it-felderítési alkalmazás lehetőséget.

  2. Az új alkalmazásoldallal Első lépések válassza a Csatlakozás lehetőséget.

    Screenshot showing connect app data page.

  3. A munkaterület-azonosító lapon adja meg a Microsoft Sentinel-munkaterület azonosítóját a Log Analytics áttekintő oldalán látható módon, majd válassza a Tovább gombot.

    Screenshot showing request for workspace ID.

  4. A hitelesítési lapon adja meg a hitelesítési módszert és az adatvédelmi szintet, majd válassza a Bejelentkezés lehetőséget.

    Screenshot showing the authentication page.

  5. Az adatok csatlakoztatása után lépjen a munkaterület Adathalmazok lapjára, és válassza a Frissítés lehetőséget. Ez frissíti a jelentést a saját adataival.

Ha bármilyen problémába ütközik, segítünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson támogatási jegyet.