Integrazione di Microsoft Sentinel (anteprima)
Nota
Sono stati rinominati Microsoft Cloud App Security. È ora chiamato Microsoft Defender for Cloud Apps. Nelle prossime settimane verranno aggiornati gli screenshot e le istruzioni qui e nelle pagine correlate. Per altre informazioni sulla modifica, vedere questo annuncio. Per altre informazioni sulla ridenominazione recente dei servizi di sicurezza Microsoft, vedere il blog di Microsoft Ignite Security.
Microsoft Defender for Cloud Apps fa ora parte di Microsoft 365 Defender. Il portale di Microsoft 365 Defender consente agli amministratori della sicurezza di eseguire le attività di sicurezza in una posizione. Ciò semplifica i flussi di lavoro e aggiungerà la funzionalità degli altri servizi di Microsoft 365 Defender. Microsoft 365 Defender sarà la casa per il monitoraggio e la gestione della sicurezza tra le identità, i dati, i dispositivi, le app e l'infrastruttura Microsoft. Per altre informazioni su queste modifiche, vedere Microsoft Defender for Cloud Apps in Microsoft 365 Defender.
È possibile integrare Microsoft Defender for Cloud Apps con Microsoft Sentinel (una soluzione SIEM nativa del cloud e SOAR scalabile) per abilitare il monitoraggio centralizzato degli avvisi e dei dati di individuazione. L'integrazione con Microsoft Sentinel consente di proteggere meglio le applicazioni cloud mantenendo il flusso di lavoro di sicurezza consueto, automatizzando le procedure di sicurezza e correlando tra eventi locali e basati sul cloud.
I vantaggi dell'uso di Microsoft Sentinel includono:
- Conservazione dei dati più lunga fornita da Log Analytics.
- Visualizzazioni predefinite.
- Usare strumenti come Microsoft Power BI o cartelle di lavoro di Microsoft Sentinel per creare visualizzazioni dei dati di individuazione personalizzate che soddisfano le esigenze dell'organizzazione.
Altre soluzioni di integrazione includono:
- SIEMs generici: integrare app Defender per il cloud con il server SIEM generico. Per informazioni sull'integrazione con un siem generico, vedere Integrazione SIEM generica.
- API grafo di sicurezza Microsoft : un servizio intermedio (o broker) che fornisce un'unica interfaccia a livello di codice per connettere più provider di sicurezza. Per altre informazioni, vedere Integrazioni della soluzione di sicurezza usando microsoft Graph API Sicurezza.
Modalità di integrazione
L'integrazione con siem viene eseguita in due passaggi:
- Impostarlo in app di Defender per il cloud.
- Configurarla in Microsoft Sentinel.
Nota
L'opzione per aggiungere Microsoft Sentinel non è disponibile se è stata eseguita in precedenza l'integrazione.
Prerequisiti
Per l'integrazione con Microsoft Sentinel:
- È necessario disporre di una licenza di Microsoft Sentinel valida
- È necessario essere un amministratore globale o un amministratore di sicurezza nel tenant.
Integrazione con Microsoft Sentinel
Nel portale di app Defender per il cloud selezionare Estensioni di sicurezza nel Impostazioni ingranaggio.
Nella scheda Agenti SIEM selezionare Aggiungi (+) e quindi Microsoft Sentinel.
Nella procedura guidata selezionare i tipi di dati da inoltrare a Microsoft Sentinel. È possibile configurare l'integrazione, come indicato di seguito:
- Avvisi: gli avvisi vengono attivati automaticamente dopo l'abilitazione di Microsoft Sentinel.
- Log di individuazione: usare il dispositivo di scorrimento per abilitarli e disabilitarli, per impostazione predefinita, tutto è selezionato e quindi usare l'elenco a discesa Applica per filtrare i log di individuazione inviati a Microsoft Sentinel.
Selezionare Avanti e continuare a Microsoft Sentinel per finalizzare l'integrazione. Per informazioni sulla configurazione di Microsoft Sentinel, vedere il connettore dati di Microsoft Sentinel per Defender per il cloud Apps.
Nota
I nuovi log di individuazione verranno in genere visualizzati in Microsoft Sentinel entro 15 minuti dalla configurazione nel portale di app di Defender per il cloud. Tuttavia, potrebbe richiedere più tempo a seconda delle condizioni dell'ambiente di sistema. Per altre informazioni, vedere Gestire il ritardo di inserimento nelle regole di analisi.
Avvisi e log di individuazione in Microsoft Sentinel
Al termine dell'integrazione, è possibile visualizzare Defender per il cloud avvisi delle app e i log di individuazione in Microsoft Sentinel.
In Microsoft Sentinel, in Log, in Sicurezza Insights, è possibile trovare i log per i tipi di dati Defender per il cloud Apps, come indicato di seguito:
| Tipo di dati | Tabella |
|---|---|
| Log di individuazione | McasShadowItReporting |
| Avvisi | SecurityAlert |
La tabella seguente descrive ogni campo nello schema McasShadowItReporting :
| Campo | Tipo | Descrizione | Esempi |
|---|---|---|---|
| TenantId | Stringa | ID area di lavoro | b459b4u5-912x-46d5-9cb1-p43069212nb4 |
| SourceSystem | Stringa | Sistema di origine - valore statico | Azure |
| TimeGenerated [UTC] | Datetime | Data di individuazione dei dati | 2019-07-23T11:00:35.858Z |
| StreamName | Stringa | Nome del flusso specifico | Reparto marketing |
| TotalEvents | Integer | Numero totale di eventi per sessione | 122 |
| BlockedEvents | Integer | Numero di eventi bloccati | 0 |
| UploadBytes | Integer | Quantità di dati caricati | 1,514,874 |
| TotalBytes | Integer | Quantità totale di dati | 4,067,785 |
| DownloadedBytes | Integer | Quantità di dati scaricati | 2,552,911 |
| IpAddress | Stringa | Indirizzo IP di origine | 127.0.0.0 |
| Nome utente | Stringa | Nome utente | Raegan@contoso.com |
| EnrichedUserName | Stringa | Nome utente arricchito con il nome utente di Azure AD | Raegan@contoso.com |
| AppName | Stringa | Nome dell'app cloud | Microsoft OneDrive for Business |
| AppId | Integer | Identificatore dell'app cloud | 15600 |
| AppCategory | Stringa | Categoria di app cloud | Archiviazione nel cloud |
| AppTags | Matrice di stringhe | Tag predefiniti e personalizzati definiti per l'app | ["sanzionato"] |
| AppScore | Integer | Il punteggio di rischio dell'app in una scala 0-10, 10 come punteggio per un'app non rischiosa | 10 |
| Type | string | Tipo di log: valore statico | McasShadowItReporting |
Usare Power BI con i dati delle app di Defender per il cloud in Microsoft Sentinel
Al termine dell'integrazione, è anche possibile usare i dati delle app Defender per il cloud archiviati in Microsoft Sentinel in altri strumenti.
Questa sezione descrive come usare Microsoft Power BI per modellare e combinare facilmente i dati per creare report e dashboard che soddisfano le esigenze dell'organizzazione.
Per iniziare rapidamente, seguire questa procedura:
In Power BI importare query da Microsoft Sentinel per i dati delle app di Defender per il cloud. Per altre informazioni, vedere Importare i dati di log di Monitoraggio di Azure in Power BI.
Installare l'app Shadow IT Discovery Defender per il cloud Apps e connetterla ai dati del log di individuazione per visualizzare il dashboard shadow IT Discovery predefinito.
Nota
Attualmente, l'app non viene pubblicata in Microsoft AppSource. Potrebbe quindi essere necessario contattare l'amministratore Power BI per ottenere le autorizzazioni per installare l'app.
Facoltativamente, creare dashboard personalizzati in Power BI Desktop e modificarli in base ai requisiti di analisi visiva e creazione di report dell'organizzazione.
Connessione l'app Defender per il cloud Apps
In Power BI selezionare App e quindi selezionare l'app Shadow IT Discovery.
Nella pagina Attività iniziali con la nuova app selezionare Connessione.
Nella pagina ID area di lavoro immettere l'ID dell'area di lavoro di Microsoft Sentinel come visualizzato nella pagina di panoramica di Log Analytics e quindi selezionare Avanti.
Nella pagina di autenticazione specificare il metodo di autenticazione e il livello di privacy e quindi selezionare Accedi.
Dopo aver connesso i dati, passare alla scheda Set di dati dell'area di lavoro e selezionare Aggiorna. Il report verrà aggiornato con i propri dati.
Se si verificano problemi, sono disponibili assistenza e supporto. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.