Integracja z usługą Microsoft Sentinel (wersja zapoznawcza)

Uwaga

Zmieniono nazwę Microsoft Cloud App Security. Teraz nosi nazwę Microsoft Defender for Cloud Apps. W najbliższych tygodniach zaktualizujemy zrzuty ekranu i instrukcje na powiązanych stronach. Aby uzyskać więcej informacji na temat zmiany, zobacz to ogłoszenie. Aby dowiedzieć się więcej na temat niedawnej zmiany nazwy usług zabezpieczeń firmy Microsoft, zobacz blog Microsoft Ignite Security.

Możesz zintegrować Microsoft Defender for Cloud Apps z usługą Microsoft Sentinel (skalowalnym, natywnym dla chmury rozwiązaniem SIEM i SOAR), aby umożliwić scentralizowane monitorowanie alertów i danych odnajdywania. Integracja z usługą Microsoft Sentinel umożliwia lepszą ochronę aplikacji w chmurze przy zachowaniu zwykłego przepływu pracy zabezpieczeń, automatyzacji procedur zabezpieczeń i korelacji między zdarzeniami opartymi na chmurze i lokalnymi.

Zalety korzystania z usługi Microsoft Sentinel obejmują:

  • Dłuższe przechowywanie danych zapewniane przez usługę Log Analytics.
  • Gotowe wizualizacje.
  • Użyj narzędzi, takich jak skoroszyty microsoft Power BI lub Microsoft Sentinel, aby utworzyć własne wizualizacje danych odnajdywania, które odpowiadają potrzebom organizacji.

Dodatkowe rozwiązania integracji obejmują:

Sposób przeprowadzania integracji

Integracja z rozwiązaniem SIEM jest realizowana w dwóch krokach:

  1. Skonfiguruj ją w usłudze Defender dla Chmury Apps.
  2. Skonfiguruj ją w usłudze Microsoft Sentinel.

Uwaga

Opcja dodawania usługi Microsoft Sentinel jest niedostępna, jeśli wcześniej wykonano integrację.

Wymagania wstępne

Aby zintegrować z usługą Microsoft Sentinel:

  • Musisz mieć prawidłową licencję usługi Microsoft Sentinel
  • Musisz być administratorem globalnym lub administratorem zabezpieczeń w dzierżawie.

Integracja z usługą Microsoft Sentinel

  1. W portalu Defender dla Chmury Apps w obszarze koła zębatego Ustawienia wybierz pozycję Rozszerzenia zabezpieczeń.

  2. Na karcie Agenci SIEM wybierz pozycję Dodaj (+), a następnie wybierz pozycję Microsoft Sentinel.

    Screenshot showing Add SIEM integration menu.

  3. W kreatorze wybierz typy danych, które chcesz przekazać do usługi Microsoft Sentinel. Integrację można skonfigurować w następujący sposób:

    1. Alerty: alerty są automatycznie włączane po włączeniu usługi Microsoft Sentinel.
    2. Dzienniki odnajdywania: użyj suwaka, aby je domyślnie włączyć i wyłączyć, wszystko jest zaznaczone, a następnie użyj listy rozwijanej Zastosuj do filtrowania, które dzienniki odnajdywania są wysyłane do usługi Microsoft Sentinel.

    Screenshot showing start page of Configure Microsoft Sentinel integration.

  4. Wybierz pozycję Dalej i przejdź do pozycji Microsoft Sentinel, aby zakończyć integrację. Aby uzyskać informacje na temat konfigurowania usługi Microsoft Sentinel, zobacz Łącznik danych usługi Microsoft Sentinel dla aplikacji Defender dla Chmury.

    Screenshot showing finish page of Configure Microsoft Sentinel integration.

Uwaga

Nowe dzienniki odnajdywania są zwykle wyświetlane w usłudze Microsoft Sentinel w ciągu 15 minut od ich skonfigurowania w portalu Defender dla Chmury Apps. Jednak może to trwać dłużej w zależności od warunków środowiska systemowego. Aby uzyskać więcej informacji, zobacz Handle ingestion delay in analytics rules (Obsługa opóźnienia pozyskiwania w regułach analizy).

Alerty i dzienniki odnajdywania w usłudze Microsoft Sentinel

Po zakończeniu integracji możesz wyświetlić alerty aplikacji Defender dla Chmury i dzienniki odnajdywania w usłudze Microsoft Sentinel.

W usłudze Microsoft Sentinel w obszarze Dzienniki w obszarze Zabezpieczenia Szczegółowe informacje można znaleźć dzienniki typów danych usługi Defender dla Chmury Apps w następujący sposób:

Typ danych Tabela
Dzienniki odnajdywania McasShadowItReporting
Alerty SecurityAlert

W poniższej tabeli opisano każde pole w schemacie McasShadowItReporting :

Pole Typ Opis Przykłady
TenantId Ciąg Identyfikator obszaru roboczego b459b4u5-912x-46d5-9cb1-p43069212nb4
SourceSystem Ciąg System źródłowy — wartość statyczna Azure
TimeGenerated [UTC] DateTime Data odnajdywania danych 2019-07-23T11:00:35.858Z
Nazwa strumienia Ciąg Nazwa określonego strumienia Dział marketingu
TotalEvents Liczba całkowita Łączna liczba zdarzeń na sesję 122
BlockedEvents Liczba całkowita Liczba zablokowanych zdarzeń 0
Przekazane bajty Liczba całkowita Ilość przekazanych danych 1,514,874
TotalBytes Liczba całkowita Łączna ilość danych 4,067,785
Pobrane bajty Liczba całkowita Ilość pobranych danych 2,552,911
Ipaddress Ciąg Źródłowy adres IP 127.0.0.0
Nazwa użytkownika Ciąg Nazwa użytkownika Raegan@contoso.com
Wzbogacona nazwa użytkownika Ciąg Wzbogacona nazwa użytkownika przy użyciu nazwy użytkownika Azure AD Raegan@contoso.com
Appname Ciąg Nazwa aplikacji w chmurze Microsoft OneDrive dla Firm
AppId Liczba całkowita Identyfikator aplikacji w chmurze 15600
AppCategory Ciąg Kategoria aplikacji w chmurze Magazyn w chmurze
Tagi aplikacji Tablica ciągów Wbudowane i niestandardowe tagi zdefiniowane dla aplikacji ["Sankcje"]
AppScore Liczba całkowita Wskaźnik ryzyka aplikacji w skali 0–10, 10 jest wynikiem dla aplikacji bez ryzyka 10
Typ Ciąg Typ dzienników — wartość statyczna McasShadowItReporting

Używanie Power BI z danymi usługi Defender dla Chmury Apps w usłudze Microsoft Sentinel

Po zakończeniu integracji możesz również użyć danych usługi Defender dla Chmury Apps przechowywanych w usłudze Microsoft Sentinel w innych narzędziach.

W tej sekcji opisano sposób używania Power BI firmy Microsoft do łatwego kształtowania i łączenia danych w celu tworzenia raportów i pulpitów nawigacyjnych spełniających potrzeby organizacji.

Możesz szybko rozpocząć pracę, wykonując następujące kroki:

  1. W Power BI zaimportuj zapytania z usługi Microsoft Sentinel do danych usługi Defender dla Chmury Apps. Aby uzyskać więcej informacji, zobacz Importowanie danych dziennika usługi Azure Monitor do Power BI.

  2. Zainstaluj aplikację Defender dla Chmury Apps Shadow IT Discovery i połącz ją z danymi dziennika odnajdywania, aby wyświetlić wbudowany pulpit nawigacyjny odnajdywania IT w tle.

    Uwaga

    Obecnie aplikacja nie jest publikowana w usłudze Microsoft AppSource. W związku z tym może być konieczne skontaktowanie się z administratorem Power BI w celu uzyskania uprawnień do zainstalowania aplikacji.

    Screenshot showing the Shadow IT Discovery dashboard.

  3. Opcjonalnie możesz tworzyć niestandardowe pulpity nawigacyjne w Power BI Desktop i dostosowywać je tak, aby pasowały do wymagań dotyczących analizy wizualnej i raportowania organizacji.

Połączenie aplikacji Defender dla Chmury Apps

  1. W Power BI wybierz pozycję Aplikacje, a następnie wybierz aplikację Shadow IT Discovery.

  2. Na stronie Wprowadzenie z nową aplikacją wybierz pozycję Połączenie.

    Screenshot showing connect app data page.

  3. Na stronie Identyfikator obszaru roboczego wprowadź identyfikator obszaru roboczego usługi Microsoft Sentinel, jak pokazano na stronie przeglądu usługi Log Analytics, a następnie wybierz przycisk Dalej.

    Screenshot showing request for workspace ID.

  4. Na stronie uwierzytelniania określ metodę uwierzytelniania i poziom prywatności, a następnie wybierz pozycję Zaloguj.

    Screenshot showing the authentication page.

  5. Po połączeniu danych przejdź do karty Zestawy danych obszaru roboczego i wybierz pozycję Odśwież. Spowoduje to zaktualizowanie raportu własnymi danymi.

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.