Integração do Azure Sentinel (pré-visualização)

Aplica-se a: Microsoft Cloud App Security

Importante

Os nomes dos produtos de proteção contra ameaças da Microsoft estão a mudar. Leia mais sobre esta e outras atualizações aqui. Vamos atualizar nomes em produtos e nos documentos num futuro próximo.

Pode integrar Microsoft Cloud App Security com o Azure Sentinel (um SIEM e soar) escalável e nativo da nuvem para permitir a monitorização centralizada de alertas e dados de descoberta. A integração com o Azure Sentinel permite-lhe proteger melhor as suas aplicações em nuvem, mantendo o seu fluxo de trabalho de segurança habitual, automatizando procedimentos de segurança e correlacionando-se entre eventos baseados na nuvem e no local.

Os benefícios da utilização do Azure Sentinel incluem:

  • Retenção de dados mais longa fornecida pela Log Analytics.
  • Visualizações fora da caixa.
  • Utilize ferramentas como os Power BI microsoft ou os livros de trabalho do Azure Sentinel para criar as suas próprias visualizações de dados de descoberta que se adequam às suas necessidades organizacionais.

As soluções de integração adicionais incluem:

Como integrar

A integração com o seu SIEM é realizada em dois passos:

  1. Instale-o em Cloud App Security.
  2. Instale-o em Azure Sentinel.

Nota

A opção de adicionar Azure Sentinel não está disponível se já realizou a integração anteriormente.

Pré-requisitos

Para integrar no Azure Sentinel:

  • Tem de ter uma licença válida do Azure Sentinel
  • Deve ser administrador global ou administrador de segurança no seu inquilino.

Integrando-se com Azure Sentinel

  1. No portal Cloud App Security, sob a engrenagem Definições, clique nas extensões de Segurança.

  2. No separador agentes da SIEM, clique em adicionar ( + ), e depois escolha Azure Sentinel.

    Screenshot mostrando o menu de integração do ADD SIEM.

  3. No assistente, selecione os tipos de dados que pretende encaminhar para Azure Sentinel. Pode configurar a integração, da seguinte forma:

    1. Alertas: Os alertas são automaticamente ligados assim que o Azure Sentinel estiver ativado.
    2. Registos de descobertas: Utilize o slider para os ativar e desativar, por padrão, tudo é selecionado e, em seguida, utilize o Apply para desligar para filtrar quais os registos de descoberta enviados para O Azure Sentinel.

    Screenshot mostrando a página inicial da integração do Configure Azure Sentinel.

  4. Clique em seguida, e continue até Azure Sentinel para finalizar a integração. Para obter informações sobre a configuração do Azure Sentinel, consulte /azure/sentinel/connect-cloud-app-security.

    Screenshot mostrando a página de acabamento da integração Configure Azure Sentinel.

Nota

Novos registos de descobertas começarão a ser encaminhados para Azure Sentinel dentro de 15 minutos após a configuração no portal Cloud App Security.

Alertas e registos de descoberta em Azure Sentinel

Uma vez concluída a integração, pode visualizar Cloud App Security alertas e registos de descoberta em Azure Sentinel.

Em Azure Sentinel, em Registos, em Informações de Segurança, pode encontrar os registos dos tipos de dados Cloud App Security, da seguinte forma:

Tipo de dados Tabela
Registos de descoberta McasshadowItReporting
Alertas SecurityAlert

A tabela a seguir descreve cada campo no esquema de relato McasShadowIt:

Campo Tipo Description Exemplos
TenantId String ID da área de trabalho b459b4u5-912x-46d5-9cb1-p43069212nb4
SourceSystem String Sistema de origem – valor estático Azure
TempoGerado [UTC] DateTime Data dos dados da descoberta 2019-07-23T11:00:35.858Z
Nome de stream String Nome do fluxo específico Departamento de Marketing
TotalEvents Número inteiro Número total de eventos por sessão 122
Eventos Bloqueados Número inteiro Número de eventos bloqueados 0
UploadedBytes Número inteiro Quantidade de dados carregados 1,514,874
TotalBytes Número inteiro Quantidade total de dados 4,067,785
DownloadEdBytes Número inteiro Quantidade de dados descarregados 2,552,911
IpAddress String Endereço IP de origem 127.0.0.0
Nome de Utilizador String Nome de utilizador Raegan@contoso.com
Nome enriquecido do Nome do 12A String Nome de utilizador enriquecido com nome de utilizador Azure AD Raegan@contoso.com
AppName String Nome da aplicação cloud Microsoft OneDrive para Empresas
AppId Número inteiro Identificador de aplicativos em nuvem 15600
AppCategoria String Categoria de app cloud Armazenamento na cloud
AppTags Matriz de cadeias Etiquetas incorporadas e personalizadas definidas para a app ["sancionado"]
AppScore Número inteiro A pontuação de risco da app numa escala 0-10, sendo 10 uma pontuação para uma aplicação não arriscada 10
Tipo String Tipo de troncos - valor estático McasshadowItReporting

Utilize Power BI com dados de Cloud App Security em Azure Sentinel

Uma vez concluída a integração, pode também utilizar os dados Cloud App Security armazenados em Azure Sentinel noutras ferramentas.

Esta secção descreve como pode usar o Microsoft Power BI para moldar e combinar facilmente dados para construir relatórios e dashboards que atendam às necessidades da sua organização.

Pode começar rapidamente utilizando os seguintes passos:

  1. Em Power BI, as consultas de importação de Azure Sentinel para Cloud App Security dados. Para obter mais informações, consulte os dados do Registo do Monitor de Importação em Power BI.

  2. Instale a aplicação Shadow IT Discovery Cloud App Security e conecte-a aos dados do registo da sua descoberta para ver o painel de instrumentos Shadow IT Discovery incorporado.

    Nota

    Atualmente, a aplicação não é publicada no Microsoft AppSource. Por isso, poderá ter de contactar o seu administrador Power BI para obter permissões para instalar a aplicação.

    Screenshot mostrando o painel Shadow IT Discovery.

  3. Opcionalmente, construa dashboards personalizados em Power BI Desktop e ajuste-os para se adaptar aos requisitos de análise visual e de reporte da sua organização.

Ligação a aplicação Cloud App Security

  1. Em Power BI, clique em Apps e, em seguida, clique na aplicação Shadow IT Discovery.

  2. No Get start with your new app page, clique Ligação.

    Screenshot mostrando a página de dados do aplicativo de ligação.

  3. Na página de ID do espaço de trabalho, insira o seu ID do espaço de trabalho Azure Sentinel, como mostrado na página geral da sua análise de registo, e, em seguida, clique em Seguinte.

    Screenshot mostrando pedido de ID do espaço de trabalho.

  4. Na página de autenticação, especifique o método de autenticação e o nível de privacidade e, em seguida, clique em Iniciar sôm.

    Screenshot mostrando a página de autenticação.

  5. Depois de ligar os seus dados, vá ao separador Datasets do espaço de trabalho e clique em Refresh. Isto irá atualizar o relatório com os seus próprios dados.

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o seu problema de produto, abra um bilhete de apoio.