Intégration de Microsoft Sentinel (préversion)
Remarque
Microsoft Defender pour le cloud Apps fait désormais partie de Microsoft 365 Defender, qui met en corrélation les signaux de la suite Microsoft Defender et fournit des fonctionnalités de détection, d’investigation et de réponse puissantes au niveau des incidents. Pour plus d’informations, consultez Applications Microsoft Defender pour le cloud dans Microsoft 365 Defender.
Vous pouvez intégrer Microsoft Defender pour le cloud Apps à Microsoft Sentinel (un SIEM natif cloud et SOAR évolutif) pour permettre la supervision centralisée des alertes et des données de découverte. L’intégration à Microsoft Sentinel vous permet de mieux protéger vos applications cloud tout en conservant votre workflow de sécurité habituel, en automatisant les procédures de sécurité et en mettant en corrélation les événements basés sur le cloud et locaux.
Les avantages de l’utilisation de Microsoft Sentinel sont les suivants :
- Conservation des données plus longue fournie par Log Analytics.
- Visualisations prêtes à l’emploi.
- Utilisez des outils tels que Microsoft Power BI ou des classeurs Microsoft Sentinel pour créer vos propres visualisations de données de découverte qui répondent aux besoins de votre organisation.
Les solutions d’intégration supplémentaires sont les suivantes :
- SIEMs génériques : intégrez Defender pour le cloud Apps à votre serveur SIEM générique. Pour plus d’informations sur l’intégration à un SIEM générique, consultez intégration SIEM générique.
- API Microsoft Security Graph : service intermédiaire (ou répartiteur) qui fournit une interface programmatique unique pour connecter plusieurs fournisseurs de sécurité. Pour plus d’informations, consultez Intégrations de solutions de sécurité à l’aide du API de sécurité Microsoft Graph.
L’intégration à Microsoft Sentinel inclut la configuration dans les applications Defender pour le cloud et Microsoft Sentinel.
Prérequis
Pour intégrer Microsoft Sentinel :
- Vous devez disposer d’une licence Microsoft Sentinel valide
- Vous devez être Administrateur général ou Administrateur de la sécurité sur ce locataire.
Soutien du gouvernement des États-Unis
L’intégration directe Defender pour le cloud Apps - Microsoft Sentinel est disponible uniquement pour les clients commerciaux.
Toutefois, toutes les données Defender pour le cloud Apps sont disponibles dans Microsoft 365 Defender et sont donc disponibles dans Microsoft Sentinel via le connecteur Microsoft 365 Defender.
Nous recommandons aux clients GCC, GCC High et DoD qui souhaitent voir les données Defender pour le cloud Apps dans Microsoft Sentinel installer la solution Microsoft 365 Defender.
Pour en savoir plus, consultez :
- Intégration de Microsoft 365 Defender à Microsoft Sentinel
- offres Microsoft Defender pour le cloud Apps for US Government
Intégration à Microsoft Sentinel
Dans le portail Microsoft 365 Defender, sélectionnez Paramètres > Cloud Apps.
Sous Système, sélectionnez Agents > SIEM Ajouter un agent > SIEM Sentinel. Par exemple :
Remarque
L’option permettant d’ajouter Microsoft Sentinel n’est pas disponible si vous avez déjà effectué l’intégration.
Dans l’Assistant, sélectionnez les types de données que vous souhaitez transférer à Microsoft Sentinel. Vous pouvez configurer l’intégration, comme suit :
- Alertes : les alertes sont automatiquement activées une fois Que Microsoft Sentinel est activé.
- Journaux de découverte : utilisez le curseur pour les activer et les désactiver, par défaut, tout est sélectionné, puis utilisez la liste déroulante Appliquer pour filtrer les journaux de découverte envoyés à Microsoft Sentinel.
Par exemple :
Sélectionnez Suivant, puis passez à Microsoft Sentinel pour finaliser l’intégration. Pour plus d’informations sur la configuration de Microsoft Sentinel, consultez le connecteur de données Microsoft Sentinel pour Defender pour le cloud Apps. Par exemple :
Remarque
Les nouveaux journaux de découverte apparaissent généralement dans Microsoft Sentinel dans les 15 minutes suivant leur configuration dans le portail Defender pour le cloud Apps. Toutefois, cela peut prendre plus de temps en fonction des conditions d’environnement système. Pour plus d’informations, consultez Gérer le délai d’ingestion dans les règles d’analytique.
Alertes et journaux de découverte dans Microsoft Sentinel
Une fois l’intégration terminée, vous pouvez afficher les alertes Defender pour le cloud Apps et les journaux de découverte dans Microsoft Sentinel.
Dans Microsoft Sentinel, sous Journaux d’activité, sous Sécurité Recommandations, vous trouverez les journaux des types de données Defender pour le cloud Apps, comme suit :
| Type de données | Table |
|---|---|
| Journaux de découverte | McasShadowItReporting |
| Alertes | SecurityAlert |
Le tableau suivant décrit chaque champ du schéma McasShadowItReporting :
| Champ | Type | Description | Examples |
|---|---|---|---|
| TenantId | String | ID de l’espace de travail | b459b4u5-912x-46d5-9cb1-p43069212nb4 |
| SourceSystem | String | Système source : valeur statique | Azure |
| TimeGenerated [UTC] | Date et heure | Date de découverte des données | 2019-07-23T11 :00 :35.858Z |
| StreamName | String | Nom du flux spécifique | Service marketing |
| TotalEvents | Entier | Nombre total d’événements par session | 122 |
| BlockedEvents | Entier | Nombre d’événements bloqués | 0 |
| Octets chargés | Entier | Quantité de données chargées | 1,514,874 |
| TotalBytes | Entier | Quantité totale de données | 4,067,785 |
| Octets téléchargés | Entier | Quantité de données téléchargées | 2,552,911 |
| IpAddress | String | Une adresse IP source | 127.0.0.0 |
| UserName | String | Nom d'utilisateur | Raegan@contoso.com |
| EnrichedUserName | String | Nom d’utilisateur enrichi avec nom d’utilisateur Azure AD | Raegan@contoso.com |
| AppName | String | Nom de l’application cloud | Microsoft OneDrive Entreprise |
| AppId | Entier | Identificateur d’application cloud | 15600 |
| AppCategory | String | Catégorie d’application cloud | Stockage cloud |
| AppTags | Tableau de chaîne | Balises intégrées et personnalisées définies pour l’application | ["sanctionné"] |
| AppScore | Entier | Score de risque de l’application dans une échelle 0-10, 10 étant un score pour une application non risquée | 10 |
| Type | String | Type de journaux – valeur statique | McasShadowItReporting |
Utiliser Power BI avec des données Defender pour le cloud Apps dans Microsoft Sentinel
Une fois l’intégration terminée, vous pouvez également utiliser les données Defender pour le cloud Apps stockées dans Microsoft Sentinel dans d’autres outils.
Cette section explique comment utiliser Microsoft Power BI pour mettre en forme et combiner facilement des données pour créer des rapports et des tableaux de bord répondant aux besoins de votre organisation.
Pour commencer :
Dans Power BI, importez des requêtes à partir de Microsoft Sentinel pour les données Defender pour le cloud Apps. Pour plus d’informations, consultez Importation de données de journal Azure Monitor dans Power BI.
Installez l’application Defender pour le cloud Apps Shadow IT Discovery et connectez-la à vos données de journal de découverte pour afficher le tableau de bord intégré de la découverte informatique fantôme.
Remarque
Actuellement, l’application n’est pas publiée sur Microsoft AppSource. Par conséquent, vous devrez peut-être contacter votre administrateur Power BI pour obtenir les autorisations d’installation de l’application.
Par exemple :
Si vous le souhaitez, créez des tableaux de bord personnalisés dans Power BI Desktop et modifiez-le en fonction des exigences d’analyse visuelle et de création de rapports de votre organisation.
Connecter l’application Defender pour le cloud Apps
Dans Power BI, sélectionnez Application > Shadow IT Discovery apps.
Dans la page Prise en main de votre nouvelle application, sélectionnez Connecter. Par exemple :
Dans la page ID de l’espace de travail, entrez votre ID d’espace de travail Microsoft Sentinel, comme indiqué dans la page de vue d’ensemble de Log Analytics, puis sélectionnez Suivant. Par exemple :
Dans la page d’authentification, spécifiez la méthode d’authentification et le niveau de confidentialité, puis sélectionnez Se connecter. Par exemple :
Après avoir connecté vos données, accédez à l’onglet Jeux de données de l’espace de travail, puis sélectionnez Actualiser. Cela met à jour le rapport avec vos propres données.
Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, ouvrez un ticket de support.