Microsoft Sentinel-integráció (előzetes verzió)

  • Cikk

A riasztások és felderítési adatok központosított monitorozásának lehetővé tétele érdekében integrálhatja a Felhőhöz készült Microsoft Defender-alkalmazásokat a Microsoft Sentinellel (skálázható, natív felhőbeli SIEM és SOAR). A Microsoft Sentinelrel való integráció lehetővé teszi a felhőalkalmazások jobb védelmét a szokásos biztonsági munkafolyamat fenntartása, a biztonsági eljárások automatizálása és a felhőalapú és a helyszíni események közötti korreláció mellett.

A Microsoft Sentinel használatának előnyei:

  • A Log Analytics hosszabb adatmegőrzést biztosít.
  • Beépített vizualizációk.
  • Az olyan eszközökkel, mint a Microsoft Power BI vagy a Microsoft Sentinel-munkafüzetek, saját felderítési adatvizualizációkat hozhat létre, amelyek megfelelnek a szervezeti igényeknek.

További integrációs megoldások:

  • Általános SIEM-ek – Integrálja a Felhőhöz készült Defender-alkalmazásokat az általános SIEM-kiszolgálóval. Az általános SIEM-integrációval kapcsolatos információkért lásd : Általános SIEM-integráció.
  • Microsoft security graph API – Egy közvetítő szolgáltatás (vagy közvetítő), amely egyetlen programozott felületet biztosít több biztonsági szolgáltató összekapcsolásához. További információt a Microsoft Graph Biztonsági API használatával végzett biztonsági megoldásintegrációkban talál.

A Microsoft Sentinelrel való integráció a Felhőhöz készült Defender-alkalmazásokban és a Microsoft Sentinelben is tartalmazza a konfigurációt.

Előfeltételek

Integrálás a Microsoft Sentinelrel:

  • Érvényes Microsoft Sentinel-licenccel kell rendelkeznie
  • Globális rendszergazdának vagy biztonsági rendszergazdának kell lennie a bérlőn.

Amerikai kormányzati támogatás

A közvetlen Felhőhöz készült Defender-alkalmazások – A Microsoft Sentinel integrációja csak kereskedelmi ügyfelek számára érhető el.

Az Felhőhöz készült Defender Apps összes adata azonban elérhető a Microsoft Defender XDR-ben, ezért a Microsoft Sentinelben a Microsoft Defender XDR-összekötőn keresztül érhető el.

Javasoljuk, hogy a GCC, a GCC High és a DoD-ügyfelek, akik szeretnék látni Felhőhöz készült Defender Apps-adatokat a Microsoft Sentinelben, telepítse a Microsoft Defender XDR-megoldást.

További információkért lásd:

Integráció a Microsoft Sentinelrel

  1. A Microsoft Defender portálon válassza Gépház > Cloud Apps lehetőséget.

  2. A System (Rendszer) területen válassza a SIEM-ügynökök > Add SIEM agent Sentinel (SIEM-ügynök > hozzáadása Sentinel) lehetőséget. Például:

    Screenshot showing Add SIEM integration menu.

    Feljegyzés

    A Microsoft Sentinel hozzáadásának lehetősége nem érhető el, ha korábban már végrehajtotta az integrációt.

  3. A varázslóban válassza ki a Microsoft Sentinelnek továbbítani kívánt adattípusokat. Az integrációt az alábbiak szerint konfigurálhatja:

    • Riasztások: A riasztások automatikusan be vannak kapcsolva, amint a Microsoft Sentinel engedélyezve van.
    • Felderítési naplók: A csúszkával alapértelmezés szerint minden ki van jelölve, majd az Alkalmaz legördülő listában szűrheti, hogy mely felderítési naplókat küldi el a Rendszer a Microsoft Sentinelnek.

    Példa:

    Screenshot showing start page of Configure Microsoft Sentinel integration.

  4. Válassza a Tovább lehetőséget, és folytassa a Microsoft Sentinelt az integráció véglegesítéséhez. A Microsoft Sentinel konfigurálásával kapcsolatos információkért lásd a Microsoft Sentinel adatösszekötőt Felhőhöz készült Defender-alkalmazásokhoz. Például:

    Screenshot showing finish page of Configure Microsoft Sentinel integration.

Feljegyzés

Az új felderítési naplók általában 15 percen belül megjelennek a Microsoft Sentinelben a Felhőhöz készült Defender Apps portálon való konfigurálásuk után. A rendszerkörnyezeti feltételektől függően azonban hosszabb időt is igénybe vehet. További információ: A betöltési késleltetés kezelése az elemzési szabályokban.

Riasztások és felderítési naplók a Microsoft Sentinelben

Az integráció befejezése után megtekintheti Felhőhöz készült Defender Alkalmazások riasztásait és felderítési naplóit a Microsoft Sentinelben.

A Microsoft Sentinel Naplók területén, a Biztonsági Elemzések területen az Felhőhöz készült Defender-alkalmazások adattípusainak naplói az alábbiak szerint találhatók:

Adattípus Tábla
Felderítési naplók McasShadowItReporting
Riasztások SecurityAlert

Az alábbi táblázat a McasShadowItReporting séma minden mezőjét ismerteti:

Mező Típus Leírás Példák
TenantId Sztring Munkaterület azonosítója b459b4u5-912x-46d5-9cb1-p43069212nb4
SourceSystem Sztring Forrásrendszer – statikus érték Azure
TimeGenerated [UTC] Dátum/idő A felderítési adatok dátuma 2019-07-23T11:00:35.858Z
StreamName Sztring Az adott stream neve Marketing részleg
TotalEvents Egész Események teljes száma munkamenetenként 122
BlockedEvents Egész Letiltott események száma 0
Feltöltött bájtok Egész Feltöltött adatok mennyisége 1,514,874
Összes bájt Egész Adatok teljes mennyisége 4,067,785
Letöltött bájtok Egész Letöltött adatok mennyisége 2,552,911
IpAddress Sztring Forrás IP-címe 127.0.0.0
UserName Sztring Felhasználónév Raegan@contoso.com
EnrichedUserName Sztring Bővített felhasználónév Microsoft Entra felhasználónévvel Raegan@contoso.com
AppName Sztring A felhőalkalmazás neve Microsoft OneDrive Vállalati verzió
Appid Egész Felhőalkalmazás azonosítója 15600
AppCategory Sztring A felhőalkalmazás kategóriája Felhőtárhely
AppTags Sztringtömb Az alkalmazáshoz definiált beépített és egyéni címkék ["szentesített"]
AppScore Egész Az alkalmazás kockázati pontszáma egy 0–10-es skálán, 10 pedig egy nem kockázatos alkalmazás pontszáma 10
Típus Sztring Naplók típusa – statikus érték McasShadowItReporting

A Power BI használata Felhőhöz készült Defender Apps-adatokkal a Microsoft Sentinelben

Az integráció befejezése után a Microsoft Sentinelben tárolt Felhőhöz készült Defender Apps-adatokat más eszközökben is használhatja.

Ez a szakasz azt ismerteti, hogyan alakíthatja és kombinálhatja az adatokat a Microsoft Power BI használatával a szervezet igényeinek megfelelő jelentések és irányítópultok készítéséhez.

Első lépések:

  1. A Power BI-ban importálja a lekérdezéseket a Microsoft Sentinelből Felhőhöz készült Defender Apps-adatokhoz. További információ: Azure Monitor-naplóadatok importálása a Power BI-ba.

  2. Telepítse a Felhőhöz készült Defender Apps Shadow IT Discovery alkalmazást, és csatlakoztassa a felderítési napló adataihoz a beépített Shadow IT Discovery irányítópult megtekintéséhez.

    Feljegyzés

    Az alkalmazás jelenleg nincs közzétéve a Microsoft AppSource-on. Ezért előfordulhat, hogy az alkalmazás telepítéséhez szükséges engedélyekért kapcsolatba kell lépnie a Power BI rendszergazdájával.

    Példa:

    Screenshot showing the Shadow IT Discovery dashboard.

  3. Igény szerint egyéni irányítópultokat hozhat létre a Power BI Desktopban, és módosíthatja a szervezet vizuális elemzési és jelentéskészítési követelményeinek megfelelően.

az Felhőhöz készült Defender Apps alkalmazás Csatlakozás

  1. A Power BI-ban válassza az Apps > Shadow IT Discovery alkalmazást.

  2. Az új alkalmazáslap első lépései lapon válassza a Csatlakozás. Példa:

    Screenshot showing connect app data page.

  3. A munkaterület-azonosító lapon adja meg a Microsoft Sentinel-munkaterület azonosítóját a naplóelemzés áttekintési oldalán látható módon, majd válassza a Tovább gombot. Példa:

    Screenshot showing request for workspace ID.

  4. A hitelesítési lapon adja meg a hitelesítési módszert és az adatvédelmi szintet, majd válassza a Bejelentkezés lehetőséget. Példa:

    Screenshot showing the authentication page.

  5. Az adatok csatlakoztatása után lépjen a munkaterület Adathalmazok lapjára, és válassza a Frissítés lehetőséget. Ez frissíti a jelentést a saját adataival.

Ha bármilyen problémába ütközik, azért vagyunk itt, hogy segítsünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson meg egy támogatási jegyet.