Integracja z usługą Microsoft Sentinel (wersja zapoznawcza)
Aplikacje Microsoft Defender dla Chmury można zintegrować z usługą Microsoft Sentinel (skalowalnym, natywnym dla chmury rozwiązaniem SIEM i SOAR), aby umożliwić scentralizowane monitorowanie alertów i danych odnajdywania. Integracja z usługą Microsoft Sentinel umożliwia lepszą ochronę aplikacji w chmurze przy zachowaniu zwykłego przepływu pracy zabezpieczeń, automatyzacji procedur zabezpieczeń i korelowania między zdarzeniami opartymi na chmurze i lokalnymi.
Zalety korzystania z usługi Microsoft Sentinel obejmują:
- Dłuższe przechowywanie danych zapewniane przez usługę Log Analytics.
- Gotowe wizualizacje.
- Użyj narzędzi, takich jak skoroszyty usługi Microsoft Power BI lub Microsoft Sentinel, aby utworzyć własne wizualizacje danych odnajdywania, które odpowiadają potrzebom organizacji.
Dodatkowe rozwiązania integracji obejmują:
- Ogólne siems — integrowanie aplikacji Defender dla Chmury z ogólnym serwerem SIEM. Aby uzyskać informacje na temat integracji z ogólnym rozwiązaniem SIEM, zobacz Ogólna integracja rozwiązania SIEM.
- Interfejs API programu Microsoft Security Graph — usługa pośrednicząca (lub broker), która udostępnia jeden interfejs programowy do łączenia wielu dostawców zabezpieczeń. Aby uzyskać więcej informacji, zobacz Security solution integrations using the Microsoft Graph interfejs API Zabezpieczenia (Integracje rozwiązań zabezpieczeń przy użyciu programu Microsoft Graph interfejs API Zabezpieczenia).
Integracja z usługą Microsoft Sentinel obejmuje konfigurację zarówno w aplikacjach Defender dla Chmury, jak i w usłudze Microsoft Sentinel.
Wymagania wstępne
Aby zintegrować z usługą Microsoft Sentinel:
- Musisz mieć prawidłową licencję usługi Microsoft Sentinel
- Musisz być co najmniej administratorem zabezpieczeń w dzierżawie.
Wsparcie dla instytucji rządowych USA
Bezpośrednia integracja aplikacji Defender dla Chmury — Microsoft Sentinel jest dostępna tylko dla klientów komercyjnych.
Jednak wszystkie dane Defender dla Chmury Apps są dostępne w usłudze Microsoft Defender XDR i dlatego są dostępne w usłudze Microsoft Sentinel za pośrednictwem łącznika XDR usługi Microsoft Defender.
Zalecamy, aby klienci GCC, GCC High i DoD, którzy chcą zobaczyć dane usługi Defender dla Chmury Apps w usłudze Microsoft Sentinel, zainstalują rozwiązanie XDR usługi Microsoft Defender.
Aby uzyskać więcej informacji, zobacz:
- Integracja usługi Microsoft Defender XDR z usługą Microsoft Sentinel
- Microsoft Defender dla Chmury Aplikacje dla instytucji rządowych USA
Integracja z usługą Microsoft Sentinel
W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia > Aplikacje w chmurze.
W obszarze System wybierz pozycję Agenci > SIEM Dodaj agenta > SIEM Sentinel. Na przykład:
Uwaga
Opcja dodawania usługi Microsoft Sentinel nie jest dostępna, jeśli wcześniej przeprowadzono integrację.
W kreatorze wybierz typy danych, które chcesz przekazać do usługi Microsoft Sentinel. Integrację można skonfigurować w następujący sposób:
- Alerty: alerty są automatycznie włączane po włączeniu usługi Microsoft Sentinel.
- Dzienniki odnajdywania: użyj suwaka, aby je włączyć i wyłączyć, domyślnie wszystko jest zaznaczone, a następnie użyj listy rozwijanej Zastosuj do filtrowania, które dzienniki odnajdywania są wysyłane do usługi Microsoft Sentinel.
Na przykład:
Wybierz pozycję Dalej i przejdź do usługi Microsoft Sentinel, aby sfinalizować integrację. Aby uzyskać informacje na temat konfigurowania usługi Microsoft Sentinel, zobacz łącznik danych usługi Microsoft Sentinel dla aplikacji Defender dla Chmury. Na przykład:
Uwaga
Nowe dzienniki odnajdywania są zwykle wyświetlane w usłudze Microsoft Sentinel w ciągu 15 minut od ich skonfigurowania w portalu Defender dla Chmury Apps. Jednak może to trwać dłużej w zależności od warunków środowiska systemowego. Aby uzyskać więcej informacji, zobacz Handle ingestion delay in analytics rules (Obsługa opóźnienia pozyskiwania w regułach analizy).
Alerty i dzienniki odnajdywania w usłudze Microsoft Sentinel
Po zakończeniu integracji możesz wyświetlić alerty aplikacji Defender dla Chmury i dzienniki odnajdywania w usłudze Microsoft Sentinel.
W usłudze Microsoft Sentinel w obszarze Dzienniki w obszarze Szczegółowe informacje o zabezpieczeniach można znaleźć dzienniki typów danych usługi Defender dla Chmury Apps w następujący sposób:
| Typ danych | Table |
|---|---|
| Dzienniki odnajdywania | McasShadowItReporting |
| Alerty | SecurityAlert |
W poniższej tabeli opisano każde pole w schemacie McasShadowItReporting :
| Pole | Typ | Opis | Przykłady |
|---|---|---|---|
| Identyfikator dzierżawy | String | Identyfikator obszaru roboczego | b459b4u5-912x-46d5-9cb1-p43069212nb4 |
| SourceSystem | String | System źródłowy — wartość statyczna | Azure |
| TimeGenerated [UTC] | DateTime | Data odnajdywania danych | 2019-07-23T11:00:35.858Z |
| StreamName | String | Nazwa określonego strumienia | Dział marketingu |
| TotalEvents | Integer | Łączna liczba zdarzeń na sesję | 122 |
| BlockedEvents | Integer | Liczba zablokowanych zdarzeń | 0 |
| UploadedBytes | Integer | Ilość przekazanych danych | 1,514,874 |
| Łączne bajty | Integer | Łączna ilość danych | 4,067,785 |
| Pobrane bajty | Integer | Ilość pobranych danych | 2,552,911 |
| Adresy IP | String | Źródłowy adres IP | 127.0.0.0 |
| UserName | String | User name | Raegan@contoso.com |
| Wzbogacona nazwa użytkownika | String | Wzbogacona nazwa użytkownika z nazwą użytkownika firmy Microsoft Entra | Raegan@contoso.com |
| AppName | String | Nazwa aplikacji w chmurze | Microsoft OneDrive dla biznesu |
| Identyfikator aplikacji | Integer | Identyfikator aplikacji w chmurze | 15600 |
| Kategoria aplikacji | String | Kategoria aplikacji w chmurze | Magazyn w chmurze |
| Tagi aplikacji | Tablica ciągów | Wbudowane i niestandardowe tagi zdefiniowane dla aplikacji | ["Zaakceptowano sankcje"] |
| AppScore | Integer | Ocena ryzyka aplikacji w skali 0–10, 10 jest wynikiem dla aplikacji nienależących do ryzyka | 10 |
| Type | String | Typ dzienników — wartość statyczna | McasShadowItReporting |
Używanie usługi Power BI z danymi Defender dla Chmury Apps w usłudze Microsoft Sentinel
Po zakończeniu integracji możesz również użyć danych Defender dla Chmury Apps przechowywanych w usłudze Microsoft Sentinel w innych narzędziach.
W tej sekcji opisano sposób używania usługi Microsoft Power BI do łatwego kształtowania i łączenia danych w celu tworzenia raportów i pulpitów nawigacyjnych spełniających potrzeby organizacji.
Aby rozpocząć:
W usłudze Power BI zaimportuj zapytania z usługi Microsoft Sentinel na potrzeby danych usługi Defender dla Chmury Apps. Aby uzyskać więcej informacji, zobacz Importowanie danych dziennika usługi Azure Monitor do usługi Power BI.
Zainstaluj aplikację Defender dla Chmury Apps Shadow IT Discovery i połącz ją z danymi dziennika odnajdywania, aby wyświetlić wbudowany pulpit nawigacyjny odnajdywania IT w tle.
Uwaga
Obecnie aplikacja nie jest opublikowana w usłudze Microsoft AppSource. W związku z tym może być konieczne skontaktowanie się z administratorem usługi Power BI w celu uzyskania uprawnień do zainstalowania aplikacji.
Na przykład:
Opcjonalnie możesz tworzyć niestandardowe pulpity nawigacyjne w programie Power BI Desktop i dostosowywać je do wymagań dotyczących analizy wizualnej i raportowania organizacji.
Łączenie aplikacji Defender dla Chmury Apps
W usłudze Power BI wybierz pozycję Aplikacje > niezatwierdzonych aplikacji do odnajdywania IT.
Na stronie Wprowadzenie do nowej aplikacji wybierz pozycję Połącz. Na przykład:
Na stronie Identyfikator obszaru roboczego wprowadź identyfikator obszaru roboczego usługi Microsoft Sentinel, jak pokazano na stronie przeglądu usługi Log Analytics, a następnie wybierz przycisk Dalej. Na przykład:
Na stronie uwierzytelniania określ metodę uwierzytelniania i poziom prywatności, a następnie wybierz pozycję Zaloguj. Na przykład:
Po połączeniu danych przejdź do karty Zestawy danych obszaru roboczego i wybierz pozycję Odśwież. Spowoduje to zaktualizowanie raportu własnymi danymi.
Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.