Integração do Azure Sentinel (pré-visualização)
Aplica-se a: Microsoft Cloud App Security
Importante
Os nomes dos produtos de proteção contra ameaças da Microsoft estão a mudar. Leia mais sobre esta e outras atualizações aqui. Vamos atualizar nomes em produtos e nos documentos num futuro próximo.
Pode integrar Microsoft Cloud App Security com o Azure Sentinel (um SIEM e soar) escalável e nativo da nuvem para permitir a monitorização centralizada de alertas e dados de descoberta. A integração com o Azure Sentinel permite-lhe proteger melhor as suas aplicações em nuvem, mantendo o seu fluxo de trabalho de segurança habitual, automatizando procedimentos de segurança e correlacionando-se entre eventos baseados na nuvem e no local.
Os benefícios da utilização do Azure Sentinel incluem:
- Retenção de dados mais longa fornecida pela Log Analytics.
- Visualizações fora da caixa.
- Utilize ferramentas como os Power BI microsoft ou os livros de trabalho do Azure Sentinel para criar as suas próprias visualizações de dados de descoberta que se adequam às suas necessidades organizacionais.
As soluções de integração adicionais incluem:
- SIEMs genéricos - Integre Cloud App Security com o seu servidor GENÉRICO SIEM. Para obter informações sobre a integração com um SIEM genérico, consulte a integração genérica do SIEM.
- Gráfico de segurança da Microsoft API - Um serviço intermediário (ou corretor) que fornece uma única interface programática para ligar vários fornecedores de segurança. Para obter mais informações, consulte integrações de soluções de segurança utilizando a API de Segurança microsoft Graph.
Como integrar
A integração com o seu SIEM é realizada em dois passos:
- Instale-o em Cloud App Security.
- Instale-o em Azure Sentinel.
Nota
A opção de adicionar Azure Sentinel não está disponível se já realizou a integração anteriormente.
Pré-requisitos
Para integrar no Azure Sentinel:
- Tem de ter uma licença válida do Azure Sentinel
- Deve ser administrador global ou administrador de segurança no seu inquilino.
Integrando-se com Azure Sentinel
No portal Cloud App Security, sob a engrenagem Definições, clique nas extensões de Segurança.
No separador agentes da SIEM, clique em adicionar ( + ), e depois escolha Azure Sentinel.

No assistente, selecione os tipos de dados que pretende encaminhar para Azure Sentinel. Pode configurar a integração, da seguinte forma:
- Alertas: Os alertas são automaticamente ligados assim que o Azure Sentinel estiver ativado.
- Registos de descobertas: Utilize o slider para os ativar e desativar, por padrão, tudo é selecionado e, em seguida, utilize o Apply para desligar para filtrar quais os registos de descoberta enviados para O Azure Sentinel.

Clique em seguida, e continue até Azure Sentinel para finalizar a integração. Para obter informações sobre a configuração do Azure Sentinel, consulte /azure/sentinel/connect-cloud-app-security.

Nota
Novos registos de descobertas começarão a ser encaminhados para Azure Sentinel dentro de 15 minutos após a configuração no portal Cloud App Security.
Alertas e registos de descoberta em Azure Sentinel
Uma vez concluída a integração, pode visualizar Cloud App Security alertas e registos de descoberta em Azure Sentinel.
Em Azure Sentinel, em Registos, em Informações de Segurança, pode encontrar os registos dos tipos de dados Cloud App Security, da seguinte forma:
| Tipo de dados | Tabela |
|---|---|
| Registos de descoberta | McasshadowItReporting |
| Alertas | SecurityAlert |
A tabela a seguir descreve cada campo no esquema de relato McasShadowIt:
| Campo | Tipo | Description | Exemplos |
|---|---|---|---|
| TenantId | String | ID da área de trabalho | b459b4u5-912x-46d5-9cb1-p43069212nb4 |
| SourceSystem | String | Sistema de origem – valor estático | Azure |
| TempoGerado [UTC] | DateTime | Data dos dados da descoberta | 2019-07-23T11:00:35.858Z |
| Nome de stream | String | Nome do fluxo específico | Departamento de Marketing |
| TotalEvents | Número inteiro | Número total de eventos por sessão | 122 |
| Eventos Bloqueados | Número inteiro | Número de eventos bloqueados | 0 |
| UploadedBytes | Número inteiro | Quantidade de dados carregados | 1,514,874 |
| TotalBytes | Número inteiro | Quantidade total de dados | 4,067,785 |
| DownloadEdBytes | Número inteiro | Quantidade de dados descarregados | 2,552,911 |
| IpAddress | String | Endereço IP de origem | 127.0.0.0 |
| Nome de Utilizador | String | Nome de utilizador | Raegan@contoso.com |
| Nome enriquecido do Nome do 12A | String | Nome de utilizador enriquecido com nome de utilizador Azure AD | Raegan@contoso.com |
| AppName | String | Nome da aplicação cloud | Microsoft OneDrive para Empresas |
| AppId | Número inteiro | Identificador de aplicativos em nuvem | 15600 |
| AppCategoria | String | Categoria de app cloud | Armazenamento na cloud |
| AppTags | Matriz de cadeias | Etiquetas incorporadas e personalizadas definidas para a app | ["sancionado"] |
| AppScore | Número inteiro | A pontuação de risco da app numa escala 0-10, sendo 10 uma pontuação para uma aplicação não arriscada | 10 |
| Tipo | String | Tipo de troncos - valor estático | McasshadowItReporting |
Utilize Power BI com dados de Cloud App Security em Azure Sentinel
Uma vez concluída a integração, pode também utilizar os dados Cloud App Security armazenados em Azure Sentinel noutras ferramentas.
Esta secção descreve como pode usar o Microsoft Power BI para moldar e combinar facilmente dados para construir relatórios e dashboards que atendam às necessidades da sua organização.
Pode começar rapidamente utilizando os seguintes passos:
Em Power BI, as consultas de importação de Azure Sentinel para Cloud App Security dados. Para obter mais informações, consulte os dados do Registo do Monitor de Importação em Power BI.
Instale a aplicação Shadow IT Discovery Cloud App Security e conecte-a aos dados do registo da sua descoberta para ver o painel de instrumentos Shadow IT Discovery incorporado.
Nota
Atualmente, a aplicação não é publicada no Microsoft AppSource. Por isso, poderá ter de contactar o seu administrador Power BI para obter permissões para instalar a aplicação.

Opcionalmente, construa dashboards personalizados em Power BI Desktop e ajuste-os para se adaptar aos requisitos de análise visual e de reporte da sua organização.
Ligação a aplicação Cloud App Security
Em Power BI, clique em Apps e, em seguida, clique na aplicação Shadow IT Discovery.
No Get start with your new app page, clique Ligação.

Na página de ID do espaço de trabalho, insira o seu ID do espaço de trabalho Azure Sentinel, como mostrado na página geral da sua análise de registo, e, em seguida, clique em Seguinte.

Na página de autenticação, especifique o método de autenticação e o nível de privacidade e, em seguida, clique em Iniciar sôm.

Depois de ligar os seus dados, vá ao separador Datasets do espaço de trabalho e clique em Refresh. Isto irá atualizar o relatório com os seus próprios dados.
Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o seu problema de produto, abra um bilhete de apoio.