Microsoft Sentinel-integráció (előzetes verzió)
A riasztások és felderítési adatok központosított monitorozásának lehetővé tétele érdekében integrálhatja a Felhőhöz készült Microsoft Defender-alkalmazásokat a Microsoft Sentinellel (skálázható, natív felhőbeli SIEM és SOAR). A Microsoft Sentinelrel való integráció lehetővé teszi a felhőalkalmazások jobb védelmét a szokásos biztonsági munkafolyamat fenntartása, a biztonsági eljárások automatizálása és a felhőalapú és a helyszíni események közötti korreláció mellett.
A Microsoft Sentinel használatának előnyei:
- A Log Analytics hosszabb adatmegőrzést biztosít.
- Beépített vizualizációk.
- Az olyan eszközökkel, mint a Microsoft Power BI vagy a Microsoft Sentinel-munkafüzetek, saját felderítési adatvizualizációkat hozhat létre, amelyek megfelelnek a szervezeti igényeknek.
További integrációs megoldások:
- Általános SIEM-ek – Integrálja a Felhőhöz készült Defender-alkalmazásokat az általános SIEM-kiszolgálóval. Az általános SIEM-integrációval kapcsolatos információkért lásd : Általános SIEM-integráció.
- Microsoft security graph API – Egy közvetítő szolgáltatás (vagy közvetítő), amely egyetlen programozott felületet biztosít több biztonsági szolgáltató összekapcsolásához. További információt a Microsoft Graph Biztonsági API használatával végzett biztonsági megoldásintegrációkban talál.
A Microsoft Sentinelrel való integráció a Felhőhöz készült Defender-alkalmazásokban és a Microsoft Sentinelben is tartalmazza a konfigurációt.
Előfeltételek
Integrálás a Microsoft Sentinelrel:
- Érvényes Microsoft Sentinel-licenccel kell rendelkeznie
- Globális rendszergazdának vagy biztonsági rendszergazdának kell lennie a bérlőn.
Amerikai kormányzati támogatás
A közvetlen Felhőhöz készült Defender-alkalmazások – A Microsoft Sentinel integrációja csak kereskedelmi ügyfelek számára érhető el.
Az Felhőhöz készült Defender Apps összes adata azonban elérhető a Microsoft Defender XDR-ben, ezért a Microsoft Sentinelben a Microsoft Defender XDR-összekötőn keresztül érhető el.
Javasoljuk, hogy a GCC, a GCC High és a DoD-ügyfelek, akik szeretnék látni Felhőhöz készült Defender Apps-adatokat a Microsoft Sentinelben, telepítse a Microsoft Defender XDR-megoldást.
További információkért lásd:
- Microsoft Defender XDR-integráció a Microsoft Sentinelrel
- Felhőhöz készült Microsoft Defender Apps for US Government-ajánlatok
Integráció a Microsoft Sentinelrel
A Microsoft Defender portálon válassza Gépház > Cloud Apps lehetőséget.
A System (Rendszer) területen válassza a SIEM-ügynökök > Add SIEM agent Sentinel (SIEM-ügynök > hozzáadása Sentinel) lehetőséget. Például:
Feljegyzés
A Microsoft Sentinel hozzáadásának lehetősége nem érhető el, ha korábban már végrehajtotta az integrációt.
A varázslóban válassza ki a Microsoft Sentinelnek továbbítani kívánt adattípusokat. Az integrációt az alábbiak szerint konfigurálhatja:
- Riasztások: A riasztások automatikusan be vannak kapcsolva, amint a Microsoft Sentinel engedélyezve van.
- Felderítési naplók: A csúszkával alapértelmezés szerint minden ki van jelölve, majd az Alkalmaz legördülő listában szűrheti, hogy mely felderítési naplókat küldi el a Rendszer a Microsoft Sentinelnek.
Példa:
Válassza a Tovább lehetőséget, és folytassa a Microsoft Sentinelt az integráció véglegesítéséhez. A Microsoft Sentinel konfigurálásával kapcsolatos információkért lásd a Microsoft Sentinel adatösszekötőt Felhőhöz készült Defender-alkalmazásokhoz. Például:
Feljegyzés
Az új felderítési naplók általában 15 percen belül megjelennek a Microsoft Sentinelben a Felhőhöz készült Defender Apps portálon való konfigurálásuk után. A rendszerkörnyezeti feltételektől függően azonban hosszabb időt is igénybe vehet. További információ: A betöltési késleltetés kezelése az elemzési szabályokban.
Riasztások és felderítési naplók a Microsoft Sentinelben
Az integráció befejezése után megtekintheti Felhőhöz készült Defender Alkalmazások riasztásait és felderítési naplóit a Microsoft Sentinelben.
A Microsoft Sentinel Naplók területén, a Biztonsági Elemzések területen az Felhőhöz készült Defender-alkalmazások adattípusainak naplói az alábbiak szerint találhatók:
Adattípus | Tábla |
---|---|
Felderítési naplók | McasShadowItReporting |
Riasztások | SecurityAlert |
Az alábbi táblázat a McasShadowItReporting séma minden mezőjét ismerteti:
Mező | Típus | Leírás | Példák |
---|---|---|---|
TenantId | Sztring | Munkaterület azonosítója | b459b4u5-912x-46d5-9cb1-p43069212nb4 |
SourceSystem | Sztring | Forrásrendszer – statikus érték | Azure |
TimeGenerated [UTC] | Dátum/idő | A felderítési adatok dátuma | 2019-07-23T11:00:35.858Z |
StreamName | Sztring | Az adott stream neve | Marketing részleg |
TotalEvents | Egész | Események teljes száma munkamenetenként | 122 |
BlockedEvents | Egész | Letiltott események száma | 0 |
Feltöltött bájtok | Egész | Feltöltött adatok mennyisége | 1,514,874 |
Összes bájt | Egész | Adatok teljes mennyisége | 4,067,785 |
Letöltött bájtok | Egész | Letöltött adatok mennyisége | 2,552,911 |
IpAddress | Sztring | Forrás IP-címe | 127.0.0.0 |
UserName | Sztring | Felhasználónév | Raegan@contoso.com |
EnrichedUserName | Sztring | Bővített felhasználónév Microsoft Entra felhasználónévvel | Raegan@contoso.com |
AppName | Sztring | A felhőalkalmazás neve | Microsoft OneDrive Vállalati verzió |
Appid | Egész | Felhőalkalmazás azonosítója | 15600 |
AppCategory | Sztring | A felhőalkalmazás kategóriája | Felhőtárhely |
AppTags | Sztringtömb | Az alkalmazáshoz definiált beépített és egyéni címkék | ["szentesített"] |
AppScore | Egész | Az alkalmazás kockázati pontszáma egy 0–10-es skálán, 10 pedig egy nem kockázatos alkalmazás pontszáma | 10 |
Típus | Sztring | Naplók típusa – statikus érték | McasShadowItReporting |
A Power BI használata Felhőhöz készült Defender Apps-adatokkal a Microsoft Sentinelben
Az integráció befejezése után a Microsoft Sentinelben tárolt Felhőhöz készült Defender Apps-adatokat más eszközökben is használhatja.
Ez a szakasz azt ismerteti, hogyan alakíthatja és kombinálhatja az adatokat a Microsoft Power BI használatával a szervezet igényeinek megfelelő jelentések és irányítópultok készítéséhez.
Első lépések:
A Power BI-ban importálja a lekérdezéseket a Microsoft Sentinelből Felhőhöz készült Defender Apps-adatokhoz. További információ: Azure Monitor-naplóadatok importálása a Power BI-ba.
Telepítse a Felhőhöz készült Defender Apps Shadow IT Discovery alkalmazást, és csatlakoztassa a felderítési napló adataihoz a beépített Shadow IT Discovery irányítópult megtekintéséhez.
Feljegyzés
Az alkalmazás jelenleg nincs közzétéve a Microsoft AppSource-on. Ezért előfordulhat, hogy az alkalmazás telepítéséhez szükséges engedélyekért kapcsolatba kell lépnie a Power BI rendszergazdájával.
Példa:
Igény szerint egyéni irányítópultokat hozhat létre a Power BI Desktopban, és módosíthatja a szervezet vizuális elemzési és jelentéskészítési követelményeinek megfelelően.
az Felhőhöz készült Defender Apps alkalmazás Csatlakozás
A Power BI-ban válassza az Apps > Shadow IT Discovery alkalmazást.
Az új alkalmazáslap első lépései lapon válassza a Csatlakozás. Példa:
A munkaterület-azonosító lapon adja meg a Microsoft Sentinel-munkaterület azonosítóját a naplóelemzés áttekintési oldalán látható módon, majd válassza a Tovább gombot. Példa:
A hitelesítési lapon adja meg a hitelesítési módszert és az adatvédelmi szintet, majd válassza a Bejelentkezés lehetőséget. Példa:
Az adatok csatlakoztatása után lépjen a munkaterület Adathalmazok lapjára, és válassza a Frissítés lehetőséget. Ez frissíti a jelentést a saját adataival.
Ha bármilyen problémába ütközik, azért vagyunk itt, hogy segítsünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson meg egy támogatási jegyet.