Microsoft Sentinel-integráció (előzetes verzió)
Megjegyzés
Microsoft Defender for Cloud Apps mostantól a Microsoft 365 Defender része, és a következő címen érhető el a portálon: https://security.microsoft.com. Microsoft 365 Defender a végpontok, identitások, e-mailek és SaaS-alkalmazások között összekapcsolja a Microsoft Defender csomagból érkező jeleket az incidensszintű észlelési, vizsgálati és hatékony reagálási képességek biztosítása érdekében. Jobb rangsorolással és rövidebb válaszidővel javítja a működési hatékonyságot, ami hatékonyabban védi a szervezetet. Ezekről a változásokról további információt a Microsoft 365 Defender Microsoft Defender for Cloud Apps című témakörben talál.
A riasztások és felderítési adatok központosított monitorozásának lehetővé tételéhez integrálhatja a Microsoft Defender for Cloud Apps a Microsoft Sentinellel (egy skálázható, natív felhőbeli SIEM és SOAR). A Microsoft Sentinelrel való integráció lehetővé teszi a felhőalkalmazások jobb védelmét a szokásos biztonsági munkafolyamatok fenntartása, a biztonsági eljárások automatizálása és a felhőalapú és a helyszíni események közötti korreláció fenntartása mellett.
A Microsoft Sentinel használatának előnyei a következők:
- A Log Analytics hosszabb adatmegőrzést biztosít.
- Beépített vizualizációk.
- Olyan eszközökkel, mint a Microsoft Power BI vagy a Microsoft Sentinel-munkafüzetek, saját felderítési adatvizualizációkat hozhat létre, amelyek megfelelnek a szervezeti igényeknek.
További integrációs megoldások a következők:
- Általános SIEM-ek – A Defender for Cloud Apps integrálása az általános SIEM-kiszolgálóval. Az általános SIEM-integrációval kapcsolatos információkért lásd: Általános SIEM-integráció.
- Microsoft security graph API – Egy közvetítő szolgáltatás (vagy közvetítő), amely egyetlen programozott felületet biztosít több biztonsági szolgáltató összekapcsolásához. További információ: Biztonsági megoldások integrációja a Microsoft Graph Biztonság használatával.
Az integrálás menete
A SIEM-sel való integráció két lépésben történik:
- Állítsa be a Cloud Appshez készült Defenderben.
- Állítsa be a Microsoft Sentinelben.
Megjegyzés
A Microsoft Sentinel hozzáadásának lehetősége nem érhető el, ha korábban elvégezte az integrációt.
Előfeltételek
Integrálás a Microsoft Sentinellel:
- Érvényes Microsoft Sentinel-licenccel kell rendelkeznie
- Globális rendszergazdának vagy biztonsági rendszergazdának kell lennie a bérlőn.
Integráció a Microsoft Sentinellel
A Microsoft 365 Defender portálon válassza a Beállítások lehetőséget. Ezután válassza a Cloud Apps lehetőséget.
A Rendszer területen válassza a SIEM-ügynökök lehetőséget. Válassza a SIEM-ügynök hozzáadása, majd a Sentinel lehetőséget.
A varázslóban válassza ki a Microsoft Sentinelnek továbbítani kívánt adattípusokat. Az integrációt az alábbiak szerint konfigurálhatja:
- Riasztások: A riasztások automatikusan be vannak kapcsolva, amint a Microsoft Sentinel engedélyezve van.
- Felderítési naplók: A csúszkával alapértelmezés szerint minden ki van jelölve, majd az Alkalmaz gombra legördülő menüben szűrheti, hogy mely felderítési naplók lesznek elküldve a Microsoft Sentinelnek.
Válassza a Tovább gombot, és folytassa a Microsoft Sentinel elemet az integráció véglegesítéséhez. A Microsoft Sentinel konfigurálásával kapcsolatos információkért lásd a Microsoft Sentinel adatösszekötőt a Defender for Cloud Appshez.
Megjegyzés
Az új felderítési naplók általában a Microsoft Sentinelben jelennek meg a konfigurációt követő 15 percen belül a Defender for Cloud Apps portálon. A rendszerkörnyezeti feltételektől függően azonban hosszabb időt is igénybe vehet. További információ: Betöltési késleltetés kezelése az elemzési szabályokban.
Riasztások és felderítési naplók a Microsoft Sentinelben
Az integráció befejezése után megtekintheti a Defender for Cloud Apps riasztásait és felderítési naplóit a Microsoft Sentinelben.
A Microsoft Sentinel Naplók területén, a Security Insights területen található a Defender for Cloud Apps adattípusainak naplói az alábbiak szerint:
| Adattípus | Tábla |
|---|---|
| Felderítési naplók | McasShadowItReporting |
| Riasztások | SecurityAlert |
Az alábbi táblázat a McasShadowItReporting séma minden mezőjét ismerteti:
| Mező | Típus | Leírás | Példák |
|---|---|---|---|
| TenantId | Sztring | Munkaterület azonosítója | b459b4u5-912x-46d5-9cb1-p43069212nb4 |
| SourceSystem | Sztring | Forrásrendszer – statikus érték | Azure |
| TimeGenerated [UTC] | DateTime | Felderítési adatok dátuma | 2019-07-23T11:00:35.858Z |
| StreamName | Sztring | Az adott stream neve | Marketing részleg |
| TotalEvents | Egész szám | Események teljes száma munkamenetenként | 122 |
| BlockedEvents | Egész szám | Letiltott események száma | 0 |
| Feltöltött bájtok | Egész szám | Feltöltött adatok mennyisége | 1,514,874 |
| TotalBytes | Egész szám | Adatok teljes mennyisége | 4,067,785 |
| Letöltött bájtok | Egész szám | A letöltött adatok mennyisége | 2,552,911 |
| IpAddress | Sztring | Forrás IP-címe | 127.0.0.0 |
| Felhasználónév | Sztring | Felhasználónév | Raegan@contoso.com |
| EnrichedUserName | Sztring | Bővített felhasználónév Azure AD felhasználónévvel | Raegan@contoso.com |
| AppName | Sztring | A felhőalkalmazás neve | Microsoft OneDrive Vállalati verzió |
| AppId | Egész szám | Felhőalkalmazás azonosítója | 15600 |
| AppCategory | Sztring | A felhőalkalmazás kategóriája | Felhőalapú tárolás |
| Alkalmazáscímkék | Sztringtömb | Az alkalmazáshoz definiált beépített és egyéni címkék | ["szentesített"] |
| AppScore | Egész szám | Az alkalmazás kockázati pontszáma egy 0–10-es skálán, 10 pedig egy nem kockázatos alkalmazás pontszáma | 10 |
| Típus | Sztring | Naplók típusa – statikus érték | McasShadowItReporting |
A Power BI használata a Defender for Cloud Apps-adatokkal a Microsoft Sentinelben
Az integráció befejezése után a Microsoft Sentinelben tárolt Defender for Cloud Apps-adatokat más eszközökben is használhatja.
Ez a szakasz azt ismerteti, hogyan alakíthatja és kombinálhatja az adatokat a Microsoft Power BI használatával a szervezet igényeinek megfelelő jelentések és irányítópultok készítéséhez.
A következő lépésekkel gyorsan megkezdheti az első lépéseket:
A Power BI-ban importálja a lekérdezéseket a Microsoft Sentinel for Defender for Cloud Apps adataiból. További információ: Azure Monitor-naplóadatok importálása a Power BI-ba.
Telepítse a Defender for Cloud Apps Árnyék informatikai felderítési alkalmazást , és csatlakoztassa a felderítési napló adataihoz a beépített Shadow IT Discovery irányítópult megtekintéséhez.
Megjegyzés
Az alkalmazás jelenleg nincs közzétéve a Microsoft AppSource-on. Ezért előfordulhat, hogy az alkalmazás telepítéséhez szükséges engedélyekért kapcsolatba kell lépnie a Power BI-rendszergazdával.
Igény szerint egyéni irányítópultokat hozhat létre a Power BI Desktop, és finomhangolást készíthet a szervezet vizuális elemzési és jelentéskészítési követelményeinek megfelelően.
A Defender for Cloud Apps alkalmazás csatlakoztatása
A Power BI-ban válassza az Alkalmazások, majd a Shadow IT Discovery appot.
Az Új alkalmazás használatának első lépései lapon válassza a Csatlakozás lehetőséget.
A munkaterület-azonosító lapon adja meg a Microsoft Sentinel-munkaterület azonosítóját a log analytics áttekintési oldalán látható módon, majd válassza a Tovább gombot.
A hitelesítési lapon adja meg a hitelesítési módszert és az adatvédelmi szintet, majd válassza a Bejelentkezés lehetőséget.
Az adatok csatlakoztatása után lépjen a munkaterület Adathalmazok lapjára, és válassza a Frissítés lehetőséget. Ez frissíti a jelentést a saját adataival.
Ha bármilyen problémába ütközik, itt vagyunk, hogy segítsünk. Ha segítségre vagy támogatásra van szüksége a termék problémájához, nyisson meg egy támogatási jegyet.