Integracja z usługą Microsoft Sentinel (wersja zapoznawcza)
Uwaga
Zmieniono nazwę Microsoft Cloud App Security. Teraz nosi nazwę Microsoft Defender for Cloud Apps. W najbliższych tygodniach zaktualizujemy zrzuty ekranu i instrukcje na powiązanych stronach. Aby uzyskać więcej informacji na temat zmiany, zobacz to ogłoszenie. Aby dowiedzieć się więcej na temat niedawnej zmiany nazwy usług zabezpieczeń firmy Microsoft, zobacz blog Microsoft Ignite Security.
Możesz zintegrować Microsoft Defender for Cloud Apps z usługą Microsoft Sentinel (skalowalnym, natywnym dla chmury rozwiązaniem SIEM i SOAR), aby umożliwić scentralizowane monitorowanie alertów i danych odnajdywania. Integracja z usługą Microsoft Sentinel umożliwia lepszą ochronę aplikacji w chmurze przy zachowaniu zwykłego przepływu pracy zabezpieczeń, automatyzacji procedur zabezpieczeń i korelacji między zdarzeniami opartymi na chmurze i lokalnymi.
Zalety korzystania z usługi Microsoft Sentinel obejmują:
- Dłuższe przechowywanie danych zapewniane przez usługę Log Analytics.
- Gotowe wizualizacje.
- Użyj narzędzi, takich jak skoroszyty microsoft Power BI lub Microsoft Sentinel, aby utworzyć własne wizualizacje danych odnajdywania, które odpowiadają potrzebom organizacji.
Dodatkowe rozwiązania integracji obejmują:
- Ogólne siems — integrowanie aplikacji Defender dla Chmury z ogólnym serwerem SIEM. Aby uzyskać informacje na temat integracji z ogólnym rozwiązaniem SIEM, zobacz Ogólna integracja rozwiązania SIEM.
- Interfejs API programu Microsoft Security Graph — usługa pośrednicząca (lub broker), która udostępnia jeden interfejs programowy umożliwiający łączenie wielu dostawców zabezpieczeń. Aby uzyskać więcej informacji, zobacz Security solution integrations using the Microsoft Graph interfejs API Zabezpieczenia (Integracje rozwiązań zabezpieczeń przy użyciu usługi Microsoft Graph interfejs API Zabezpieczenia).
Sposób przeprowadzania integracji
Integracja z rozwiązaniem SIEM jest realizowana w dwóch krokach:
- Skonfiguruj ją w usłudze Defender dla Chmury Apps.
- Skonfiguruj ją w usłudze Microsoft Sentinel.
Uwaga
Opcja dodawania usługi Microsoft Sentinel jest niedostępna, jeśli wcześniej wykonano integrację.
Wymagania wstępne
Aby zintegrować z usługą Microsoft Sentinel:
- Musisz mieć prawidłową licencję usługi Microsoft Sentinel
- Musisz być administratorem globalnym lub administratorem zabezpieczeń w dzierżawie.
Integracja z usługą Microsoft Sentinel
W portalu Defender dla Chmury Apps w obszarze koła zębatego Ustawienia wybierz pozycję Rozszerzenia zabezpieczeń.
Na karcie Agenci SIEM wybierz pozycję Dodaj (+), a następnie wybierz pozycję Microsoft Sentinel.
W kreatorze wybierz typy danych, które chcesz przekazać do usługi Microsoft Sentinel. Integrację można skonfigurować w następujący sposób:
- Alerty: alerty są automatycznie włączane po włączeniu usługi Microsoft Sentinel.
- Dzienniki odnajdywania: użyj suwaka, aby je domyślnie włączyć i wyłączyć, wszystko jest zaznaczone, a następnie użyj listy rozwijanej Zastosuj do filtrowania, które dzienniki odnajdywania są wysyłane do usługi Microsoft Sentinel.
Wybierz pozycję Dalej i przejdź do pozycji Microsoft Sentinel, aby zakończyć integrację. Aby uzyskać informacje na temat konfigurowania usługi Microsoft Sentinel, zobacz Łącznik danych usługi Microsoft Sentinel dla aplikacji Defender dla Chmury.
Uwaga
Nowe dzienniki odnajdywania są zwykle wyświetlane w usłudze Microsoft Sentinel w ciągu 15 minut od ich skonfigurowania w portalu Defender dla Chmury Apps. Jednak może to trwać dłużej w zależności od warunków środowiska systemowego. Aby uzyskać więcej informacji, zobacz Handle ingestion delay in analytics rules (Obsługa opóźnienia pozyskiwania w regułach analizy).
Alerty i dzienniki odnajdywania w usłudze Microsoft Sentinel
Po zakończeniu integracji możesz wyświetlić alerty aplikacji Defender dla Chmury i dzienniki odnajdywania w usłudze Microsoft Sentinel.
W usłudze Microsoft Sentinel w obszarze Dzienniki w obszarze Zabezpieczenia Szczegółowe informacje można znaleźć dzienniki typów danych usługi Defender dla Chmury Apps w następujący sposób:
| Typ danych | Tabela |
|---|---|
| Dzienniki odnajdywania | McasShadowItReporting |
| Alerty | SecurityAlert |
W poniższej tabeli opisano każde pole w schemacie McasShadowItReporting :
| Pole | Typ | Opis | Przykłady |
|---|---|---|---|
| TenantId | Ciąg | Identyfikator obszaru roboczego | b459b4u5-912x-46d5-9cb1-p43069212nb4 |
| SourceSystem | Ciąg | System źródłowy — wartość statyczna | Azure |
| TimeGenerated [UTC] | DateTime | Data odnajdywania danych | 2019-07-23T11:00:35.858Z |
| Nazwa strumienia | Ciąg | Nazwa określonego strumienia | Dział marketingu |
| TotalEvents | Liczba całkowita | Łączna liczba zdarzeń na sesję | 122 |
| BlockedEvents | Liczba całkowita | Liczba zablokowanych zdarzeń | 0 |
| Przekazane bajty | Liczba całkowita | Ilość przekazanych danych | 1,514,874 |
| TotalBytes | Liczba całkowita | Łączna ilość danych | 4,067,785 |
| Pobrane bajty | Liczba całkowita | Ilość pobranych danych | 2,552,911 |
| Ipaddress | Ciąg | Źródłowy adres IP | 127.0.0.0 |
| Nazwa użytkownika | Ciąg | Nazwa użytkownika | Raegan@contoso.com |
| Wzbogacona nazwa użytkownika | Ciąg | Wzbogacona nazwa użytkownika przy użyciu nazwy użytkownika Azure AD | Raegan@contoso.com |
| Appname | Ciąg | Nazwa aplikacji w chmurze | Microsoft OneDrive dla Firm |
| AppId | Liczba całkowita | Identyfikator aplikacji w chmurze | 15600 |
| AppCategory | Ciąg | Kategoria aplikacji w chmurze | Magazyn w chmurze |
| Tagi aplikacji | Tablica ciągów | Wbudowane i niestandardowe tagi zdefiniowane dla aplikacji | ["Sankcje"] |
| AppScore | Liczba całkowita | Wskaźnik ryzyka aplikacji w skali 0–10, 10 jest wynikiem dla aplikacji bez ryzyka | 10 |
| Typ | Ciąg | Typ dzienników — wartość statyczna | McasShadowItReporting |
Używanie Power BI z danymi usługi Defender dla Chmury Apps w usłudze Microsoft Sentinel
Po zakończeniu integracji możesz również użyć danych usługi Defender dla Chmury Apps przechowywanych w usłudze Microsoft Sentinel w innych narzędziach.
W tej sekcji opisano sposób używania Power BI firmy Microsoft do łatwego kształtowania i łączenia danych w celu tworzenia raportów i pulpitów nawigacyjnych spełniających potrzeby organizacji.
Możesz szybko rozpocząć pracę, wykonując następujące kroki:
W Power BI zaimportuj zapytania z usługi Microsoft Sentinel do danych usługi Defender dla Chmury Apps. Aby uzyskać więcej informacji, zobacz Importowanie danych dziennika usługi Azure Monitor do Power BI.
Zainstaluj aplikację Defender dla Chmury Apps Shadow IT Discovery i połącz ją z danymi dziennika odnajdywania, aby wyświetlić wbudowany pulpit nawigacyjny odnajdywania IT w tle.
Uwaga
Obecnie aplikacja nie jest publikowana w usłudze Microsoft AppSource. W związku z tym może być konieczne skontaktowanie się z administratorem Power BI w celu uzyskania uprawnień do zainstalowania aplikacji.
Opcjonalnie możesz tworzyć niestandardowe pulpity nawigacyjne w Power BI Desktop i dostosowywać je tak, aby pasowały do wymagań dotyczących analizy wizualnej i raportowania organizacji.
Połączenie aplikacji Defender dla Chmury Apps
W Power BI wybierz pozycję Aplikacje, a następnie wybierz aplikację Shadow IT Discovery.
Na stronie Wprowadzenie z nową aplikacją wybierz pozycję Połączenie.
Na stronie Identyfikator obszaru roboczego wprowadź identyfikator obszaru roboczego usługi Microsoft Sentinel, jak pokazano na stronie przeglądu usługi Log Analytics, a następnie wybierz przycisk Dalej.
Na stronie uwierzytelniania określ metodę uwierzytelniania i poziom prywatności, a następnie wybierz pozycję Zaloguj.
Po połączeniu danych przejdź do karty Zestawy danych obszaru roboczego i wybierz pozycję Odśwież. Spowoduje to zaktualizowanie raportu własnymi danymi.
Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.