Integração com o Microsoft Sentinel (Pré-visualização)
Você pode integrar o Microsoft Defender for Cloud Apps ao Microsoft Sentinel (um SIEM e SOAR escalável e nativo da nuvem) para permitir o monitoramento centralizado de alertas e dados de descoberta. A integração com o Microsoft Sentinel permite-lhe proteger melhor as suas aplicações na nuvem, mantendo o seu fluxo de trabalho de segurança habitual, automatizando os procedimentos de segurança e correlacionando entre eventos baseados na nuvem e no local.
Os benefícios de usar o Microsoft Sentinel incluem:
- Maior retenção de dados fornecida pelo Log Analytics.
- Visualizações prontas para uso.
- Use ferramentas como pastas de trabalho do Microsoft Power BI ou do Microsoft Sentinel para criar suas próprias visualizações de dados de descoberta que atendam às suas necessidades organizacionais.
As soluções de integração adicionais incluem:
- SIEMs genéricos - Integre o Defender for Cloud Apps com o seu servidor SIEM genérico. Para obter informações sobre a integração com um SIEM Genérico, consulte Integração SIEM Genérica.
- API de gráfico de segurança da Microsoft - Um serviço intermediário (ou broker) que fornece uma única interface programática para conectar vários provedores de segurança. Para obter mais informações, consulte Integrações de soluções de segurança usando a API de segurança do Microsoft Graph.
A integração com o Microsoft Sentinel inclui a configuração no Defender for Cloud Apps e no Microsoft Sentinel.
Pré-requisitos
Para integrar com o Microsoft Sentinel:
- Você deve ter uma licença válida do Microsoft Sentinel
- Tem de ser um Administrador Global ou Administrador de Segurança no inquilino.
Apoio do Governo dos EUA
A integração direta do Defender for Cloud Apps - Microsoft Sentinel está disponível apenas para clientes comerciais.
No entanto, todos os dados do Defender for Cloud Apps estão disponíveis no Microsoft Defender XDR e, portanto, disponíveis no Microsoft Sentinel através do conector Microsoft Defender XDR.
Recomendamos que os clientes do GCC, GCC High e DoD interessados em ver os dados do Defender for Cloud Apps no Microsoft Sentinel instalem a solução Microsoft Defender XDR.
Para obter mais informações, consulte:
- Integração do Microsoft Defender XDR com o Microsoft Sentinel
- Ofertas do Microsoft Defender for Cloud Apps para o governo dos EUA
Integração com o Microsoft Sentinel
No Portal do Microsoft Defender, selecione Configurações > de aplicativos na nuvem.
Em Sistema, selecione Agentes > SIEM Adicionar agente > SIEM Sentinel. Por exemplo:
Nota
A opção para adicionar o Microsoft Sentinel não estará disponível se você tiver realizado a integração anteriormente.
No assistente, selecione os tipos de dados que deseja encaminhar para o Microsoft Sentinel. Você pode configurar a integração, da seguinte maneira:
- Alertas: os alertas são ativados automaticamente assim que o Microsoft Sentinel é ativado.
- Logs de descoberta: use o controle deslizante para habilitá-los e desabilitá-los, por padrão, tudo está selecionado e, em seguida, use a lista suspensa Aplicar a para filtrar quais logs de descoberta são enviados para o Microsoft Sentinel.
Por exemplo:
Selecione Avançar e continue para Microsoft Sentinel para finalizar a integração. Para obter informações sobre como configurar o Microsoft Sentinel, consulte o conector de dados do Microsoft Sentinel para Defender for Cloud Apps. Por exemplo:
Nota
Novos logs de descoberta geralmente aparecem no Microsoft Sentinel dentro de 15 minutos após configurá-los no portal do Defender for Cloud Apps. No entanto, pode levar mais tempo, dependendo das condições do ambiente do sistema. Para obter mais informações, consulte Manipular atraso de ingestão em regras de análise.
Alertas e logs de descoberta no Microsoft Sentinel
Quando a integração estiver concluída, você poderá visualizar alertas e logs de descoberta do Defender for Cloud Apps no Microsoft Sentinel.
No Microsoft Sentinel, em Logs, em Security Insights, você pode encontrar os logs dos tipos de dados do Defender for Cloud Apps, da seguinte maneira:
| Tipo de dados | Tabela |
|---|---|
| Logs de descoberta | McasShadowItReporting |
| Alertas | Alerta de Segurança |
A tabela a seguir descreve cada campo no esquema McasShadowItReporting :
| Campo | Tipo | Description | Exemplos |
|---|---|---|---|
| Identificação do locatário | String | ID da área de trabalho | b459b4u5-912x-46d5-9cb1-p43069212nb4 |
| SourceSystem [en] | String | Sistema de origem – valor estático | Azure |
| TimeGenerated [UTC] | DateTime | Data dos dados de descoberta | 2019-07-23T11:00:35.858Z |
| Nome do fluxo | String | Nome do fluxo específico | Departamento de Marketing |
| TotalEvents | Número inteiro | Número total de eventos por sessão | 122 |
| BlockedEvents | Número inteiro | Número de eventos bloqueados | 0 |
| UploadedBytes | Número inteiro | Quantidade de dados carregados | 1,514,874 |
| TotalBytes | Número inteiro | Quantidade total de dados | 4,067,785 |
| DownloadedBytes | Número inteiro | Quantidade de dados descarregados | 2,552,911 |
| Endereço IP | String | Endereço IP de origem | 127.0.0.0 |
| UserName | String | User name | Raegan@contoso.com |
| EnrichedUserName | String | Nome de usuário enriquecido com o nome de usuário do Microsoft Entra | Raegan@contoso.com |
| AppName | String | Nome do aplicativo na nuvem | Microsoft OneDrive para Empresas |
| AppId | Número inteiro | Identificador de aplicativo na nuvem | 15600 |
| AppCategory | String | Categoria de aplicação na nuvem | Armazenamento na nuvem |
| Tags de aplicativos | Matriz de cadeias de carateres | Tags internas e personalizadas definidas para o aplicativo | ["sancionado"] |
| AppScore | Número inteiro | A pontuação de risco do aplicativo em uma escala de 0 a 10, sendo 10 uma pontuação para um aplicativo sem risco | 10 |
| Tipo | String | Tipo de logs – valor estático | McasShadowItReporting |
Usar o Power BI com dados do Defender for Cloud Apps no Microsoft Sentinel
Quando a integração estiver concluída, você também poderá usar os dados do Defender for Cloud Apps armazenados no Microsoft Sentinel em outras ferramentas.
Esta seção descreve como você pode usar o Microsoft Power BI para moldar e combinar dados facilmente para criar relatórios e painéis que atendam às necessidades de sua organização.
Para começar:
No Power BI, importe consultas dos dados do Microsoft Sentinel for Defender for Cloud Apps. Para obter mais informações, consulte Importar dados de log do Azure Monitor para o Power BI.
Instale o aplicativo Defender for Cloud Apps Shadow IT Discovery e conecte-o aos dados do log de descoberta para exibir o painel interno do Shadow IT Discovery.
Nota
Atualmente, o aplicativo não é publicado no Microsoft AppSource. Portanto, talvez seja necessário entrar em contato com o administrador do Power BI para obter permissões para instalar o aplicativo.
Por exemplo:
Opcionalmente, crie painéis personalizados no Power BI Desktop e ajuste-os para se adequarem aos requisitos de análise visual e relatórios da sua organização.
Conectar o aplicativo Defender for Cloud Apps
No Power BI, selecione Aplicativo Descoberta de TI Sombra de Aplicativos>.
Na página Introdução ao seu novo aplicativo , selecione Conectar. Por exemplo:
Na página ID do espaço de trabalho, insira o ID do espaço de trabalho do Microsoft Sentinel conforme exibido na página de visão geral da análise de log e selecione Avançar. Por exemplo:
Na página de autenticação, especifique o método de autenticação e o nível de privacidade e selecione Entrar. Por exemplo:
Depois de conectar seus dados, vá para a guia Conjuntos de dados do espaço de trabalho e selecione Atualizar. Isso atualizará o relatório com seus próprios dados.
Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do seu produto, abra um ticket de suporte.