Integracja z usługą Microsoft Sentinel (wersja zapoznawcza)

Aplikacje Microsoft Defender dla Chmury można zintegrować z usługą Microsoft Sentinel (skalowalnym, natywnym dla chmury rozwiązaniem SIEM i SOAR), aby umożliwić scentralizowane monitorowanie alertów i danych odnajdywania. Integracja z usługą Microsoft Sentinel umożliwia lepszą ochronę aplikacji w chmurze przy zachowaniu zwykłego przepływu pracy zabezpieczeń, automatyzacji procedur zabezpieczeń i korelowania między zdarzeniami opartymi na chmurze i lokalnymi.

Zalety korzystania z usługi Microsoft Sentinel obejmują:

  • Dłuższe przechowywanie danych zapewniane przez usługę Log Analytics.
  • Gotowe wizualizacje.
  • Użyj narzędzi, takich jak skoroszyty usługi Microsoft Power BI lub Microsoft Sentinel, aby utworzyć własne wizualizacje danych odnajdywania, które odpowiadają potrzebom organizacji.

Dodatkowe rozwiązania integracji obejmują:

Integracja z usługą Microsoft Sentinel obejmuje konfigurację zarówno w aplikacjach Defender dla Chmury, jak i w usłudze Microsoft Sentinel.

Wymagania wstępne

Aby zintegrować z usługą Microsoft Sentinel:

  • Musisz mieć prawidłową licencję usługi Microsoft Sentinel
  • Musisz być administratorem globalnym lub administratorem zabezpieczeń w swojej dzierżawie.

Wsparcie dla instytucji rządowych USA

Bezpośrednia integracja aplikacji Defender dla Chmury — Microsoft Sentinel jest dostępna tylko dla klientów komercyjnych.

Jednak wszystkie dane Defender dla Chmury Apps są dostępne w usłudze Microsoft Defender XDR i dlatego są dostępne w usłudze Microsoft Sentinel za pośrednictwem łącznika XDR usługi Microsoft Defender.

Zalecamy, aby klienci GCC, GCC High i DoD, którzy chcą zobaczyć dane usługi Defender dla Chmury Apps w usłudze Microsoft Sentinel, zainstalują rozwiązanie XDR usługi Microsoft Defender.

Aby uzyskać więcej informacji, zobacz:

Integracja z usługą Microsoft Sentinel

  1. W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia > Aplikacje w chmurze.

  2. W obszarze System wybierz pozycję Agenci > SIEM Dodaj agenta > SIEM Sentinel. Na przykład:

    Screenshot showing Add SIEM integration menu.

    Uwaga

    Opcja dodawania usługi Microsoft Sentinel nie jest dostępna, jeśli wcześniej przeprowadzono integrację.

  3. W kreatorze wybierz typy danych, które chcesz przekazać do usługi Microsoft Sentinel. Integrację można skonfigurować w następujący sposób:

    • Alerty: alerty są automatycznie włączane po włączeniu usługi Microsoft Sentinel.
    • Dzienniki odnajdywania: użyj suwaka, aby je włączyć i wyłączyć, domyślnie wszystko jest zaznaczone, a następnie użyj listy rozwijanej Zastosuj do filtrowania, które dzienniki odnajdywania są wysyłane do usługi Microsoft Sentinel.

    Na przykład:

    Screenshot showing start page of Configure Microsoft Sentinel integration.

  4. Wybierz pozycję Dalej i przejdź do usługi Microsoft Sentinel, aby sfinalizować integrację. Aby uzyskać informacje na temat konfigurowania usługi Microsoft Sentinel, zobacz łącznik danych usługi Microsoft Sentinel dla aplikacji Defender dla Chmury. Na przykład:

    Screenshot showing finish page of Configure Microsoft Sentinel integration.

Uwaga

Nowe dzienniki odnajdywania są zwykle wyświetlane w usłudze Microsoft Sentinel w ciągu 15 minut od ich skonfigurowania w portalu Defender dla Chmury Apps. Jednak może to trwać dłużej w zależności od warunków środowiska systemowego. Aby uzyskać więcej informacji, zobacz Handle ingestion delay in analytics rules (Obsługa opóźnienia pozyskiwania w regułach analizy).

Alerty i dzienniki odnajdywania w usłudze Microsoft Sentinel

Po zakończeniu integracji możesz wyświetlić alerty aplikacji Defender dla Chmury i dzienniki odnajdywania w usłudze Microsoft Sentinel.

W usłudze Microsoft Sentinel w obszarze Dzienniki w obszarze Zabezpieczenia Szczegółowe informacje można znaleźć dzienniki typów danych Defender dla Chmury Apps w następujący sposób:

Typ danych Table
Dzienniki odnajdywania McasShadowItReporting
Alerty SecurityAlert

W poniższej tabeli opisano każde pole w schemacie McasShadowItReporting :

Pole Typ Opis Przykłady
Identyfikator dzierżawy String Identyfikator obszaru roboczego b459b4u5-912x-46d5-9cb1-p43069212nb4
SourceSystem String System źródłowy — wartość statyczna Azure
TimeGenerated [UTC] DateTime Data odnajdywania danych 2019-07-23T11:00:35.858Z
StreamName String Nazwa określonego strumienia Dział marketingu
TotalEvents Integer Łączna liczba zdarzeń na sesję 122
BlockedEvents Integer Liczba zablokowanych zdarzeń 0
UploadedBytes Integer Ilość przekazanych danych 1,514,874
Łączne bajty Integer Łączna ilość danych 4,067,785
Pobrane bajty Integer Ilość pobranych danych 2,552,911
Ipaddress String Źródłowy adres IP 127.0.0.0
UserName String User name Raegan@contoso.com
Wzbogacona nazwa użytkownika String Wzbogacona nazwa użytkownika z nazwą użytkownika firmy Microsoft Entra Raegan@contoso.com
AppName String Nazwa aplikacji w chmurze Microsoft OneDrive dla biznesu
Appid Integer Identyfikator aplikacji w chmurze 15600
Kategoria aplikacji String Kategoria aplikacji w chmurze Magazyn w chmurze
Tagi aplikacji Tablica ciągów Wbudowane i niestandardowe tagi zdefiniowane dla aplikacji ["Zaakceptowano sankcje"]
AppScore Integer Ocena ryzyka aplikacji w skali 0–10, 10 jest wynikiem dla aplikacji nienależących do ryzyka 10
Type String Typ dzienników — wartość statyczna McasShadowItReporting

Używanie usługi Power BI z danymi Defender dla Chmury Apps w usłudze Microsoft Sentinel

Po zakończeniu integracji możesz również użyć danych Defender dla Chmury Apps przechowywanych w usłudze Microsoft Sentinel w innych narzędziach.

W tej sekcji opisano sposób używania usługi Microsoft Power BI do łatwego kształtowania i łączenia danych w celu tworzenia raportów i pulpitów nawigacyjnych spełniających potrzeby organizacji.

Aby rozpocząć:

  1. W usłudze Power BI zaimportuj zapytania z usługi Microsoft Sentinel na potrzeby danych usługi Defender dla Chmury Apps. Aby uzyskać więcej informacji, zobacz Importowanie danych dziennika usługi Azure Monitor do usługi Power BI.

  2. Zainstaluj aplikację Defender dla Chmury Apps Shadow IT Discovery i połącz ją z danymi dziennika odnajdywania, aby wyświetlić wbudowany pulpit nawigacyjny odnajdywania IT w tle.

    Uwaga

    Obecnie aplikacja nie jest opublikowana w usłudze Microsoft AppSource. W związku z tym może być konieczne skontaktowanie się z administratorem usługi Power BI w celu uzyskania uprawnień do zainstalowania aplikacji.

    Na przykład:

    Screenshot showing the Shadow IT Discovery dashboard.

  3. Opcjonalnie możesz tworzyć niestandardowe pulpity nawigacyjne w programie Power BI Desktop i dostosowywać je do wymagań dotyczących analizy wizualnej i raportowania organizacji.

Połączenie aplikacji Defender dla Chmury Apps

  1. W usłudze Power BI wybierz pozycję Aplikacje > niezatwierdzonych aplikacji do odnajdywania IT.

  2. Na stronie Wprowadzenie do nowej aplikacji wybierz pozycję Połączenie. Na przykład:

    Screenshot showing connect app data page.

  3. Na stronie Identyfikator obszaru roboczego wprowadź identyfikator obszaru roboczego usługi Microsoft Sentinel, jak pokazano na stronie przeglądu usługi Log Analytics, a następnie wybierz przycisk Dalej. Na przykład:

    Screenshot showing request for workspace ID.

  4. Na stronie uwierzytelniania określ metodę uwierzytelniania i poziom prywatności, a następnie wybierz pozycję Zaloguj. Na przykład:

    Screenshot showing the authentication page.

  5. Po połączeniu danych przejdź do karty Zestawy danych obszaru roboczego i wybierz pozycję Odśwież. Spowoduje to zaktualizowanie raportu własnymi danymi.

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.