Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Важно!
Уведомление об устаревании: агенты SIEM Microsoft Defender for Cloud Apps
В рамках текущего процесса конвергенции для рабочих нагрузок Microsoft Defender агенты SIEM Microsoft Defender for Cloud Apps будут устареть с ноября 2025 г.
Существующие Microsoft Defender for Cloud Apps агенты SIEM будут продолжать работать как есть до этого времени. По состоянию на 19 июня 2025 г. новые агенты SIEM не могут быть настроены, но Microsoft Sentinel интеграции агентов (предварительная версия) будет поддерживаться и добавляться по-прежнему.
Рекомендуется перейти на API- интерфейсы, поддерживающие управление действиями и оповещениями из нескольких рабочих нагрузок. Эти API-интерфейсы повышают уровень мониторинга и управления безопасностью и предоставляют дополнительные возможности с использованием данных из нескольких рабочих нагрузок Microsoft Defender.
Чтобы обеспечить непрерывность и доступ к данным, доступным в настоящее время через Microsoft Defender for Cloud Apps агентов SIEM, рекомендуется перейти на следующие поддерживаемые API:
- Оповещения и действия см. в разделе API потоковой передачи #REF!.
- Сведения о событиях входа Защита Microsoft Entra ID см. в таблице IdentityLogonEvents в схеме расширенной охоты.
- Api оповещений системы безопасности Microsoft Graph см. в статье Список alerts_v2
- Сведения о Microsoft Defender for Cloud Apps данных оповещений в API инцидентов #REF! см. в разделе API инцидентов #REF! и тип ресурса инцидентов.
Вы можете интегрировать Microsoft Defender for Cloud Apps с Microsoft Sentinel (масштабируемыми облачными SIEM и SOAR), чтобы обеспечить централизованный мониторинг оповещений и данных обнаружения. Интеграция с Microsoft Sentinel позволяет лучше защищать облачные приложения, поддерживая обычный рабочий процесс безопасности, автоматив процедуры безопасности и сопоставляя события в облаке и локальной среде.
Преимущества использования Microsoft Sentinel:
- Более длительное хранение данных, предоставляемое #REF!.
- Встроенные визуализации.
- Используйте такие средства, как Microsoft Power BI или книги Microsoft Sentinel, чтобы создать собственные визуализации данных обнаружения, которые соответствуют потребностям вашей организации.
К дополнительным решениям интеграции относятся:
- Универсальные SIEMs— интеграция Defender for Cloud Apps с универсальным сервером SIEM. Сведения об интеграции с универсальным SIEM см. в разделе Универсальная интеграция SIEM.
- API Графа безопасности Майкрософт — служба-посредник (или брокер), которая предоставляет единый программный интерфейс для подключения нескольких поставщиков безопасности. Дополнительные сведения см. в статье Интеграция решений безопасности с помощью API безопасности Microsoft Graph.
Интеграция с Microsoft Sentinel включает конфигурацию как в Defender for Cloud Apps, так и в Microsoft Sentinel.
Предварительные условия
Чтобы интегрироваться с Microsoft Sentinel, выполните приведенные далее действия.
- У вас должна быть действительная лицензия Microsoft Sentinel
- Вы должны быть по крайней мере администратором безопасности в клиенте.
Поддержка правительства США
Прямая Defender for Cloud Apps — Microsoft Sentinel интеграция доступна только для коммерческих клиентов.
Однако все Defender for Cloud Apps данные доступны в #REF! и, следовательно, доступны в Microsoft Sentinel через соединитель #REF!.
Мы рекомендуем клиентам GCC, GCC High и DoD, заинтересованным в просмотре Defender for Cloud Apps данных в Microsoft Sentinel, установить решение #REF!.
Дополнительные сведения см. в разделе:
- интеграция #REF! с Microsoft Sentinel
- Microsoft Defender for Cloud Apps предложений для государственных организаций США
Интеграция с Microsoft Sentinel
На портале Microsoft Defender выберите Параметры Облачные > приложения.
В разделе Система выберите агенты > SIEM Добавить Sentinel агента > SIEM. Например, вы можете:
Примечание.
Параметр добавления Microsoft Sentinel недоступен, если вы ранее выполняли интеграцию.
В мастере выберите типы данных, которые нужно перенаправить в Microsoft Sentinel. Интеграцию можно настроить следующим образом:
- Оповещения. Оповещения автоматически включаются после включения Microsoft Sentinel.
- Журналы обнаружения. Используйте ползунок, чтобы включить и отключить их. По умолчанию выбрано все, а затем используйте раскрывающийся список Применить к, чтобы отфильтровать, какие журналы обнаружения отправляются в Microsoft Sentinel.
Например, вы можете:
Нажмите кнопку Далее и перейдите к Microsoft Sentinel, чтобы завершить интеграцию. Сведения о настройке Microsoft Sentinel см. в разделе соединитель данных Microsoft Sentinel для Defender for Cloud Apps. Например, вы можете:
Примечание.
Новые журналы обнаружения обычно отображаются в Microsoft Sentinel в течение 15 минут после их настройки в Defender for Cloud Apps. Однако это может занять больше времени в зависимости от условий системной среды. Дополнительные сведения см. в разделе Обработка задержки приема в правилах аналитики.
Оповещения и журналы обнаружения в Microsoft Sentinel
После завершения интеграции вы можете просматривать Defender for Cloud Apps оповещения и журналы обнаружения в Microsoft Sentinel.
В Microsoft Sentinel в разделе Журналы в разделе Аналитика безопасности можно найти журналы для Defender for Cloud Apps типов данных следующим образом:
| Тип данных | Таблица |
|---|---|
| Журналы обнаружения | McasShadowItReporting |
| Оповещения | SecurityAlert |
В следующей таблице описано каждое поле в схеме McasShadowItReporting :
| Поле | Тип | Описание | Примеры |
|---|---|---|---|
| Идентификатор клиента | String | Идентификатор рабочей области | aaaabbbb-0000-cccc-1111-dddd2222eeeeee |
| SourceSystem | String | Исходная система — статическое значение | #REF! |
| ВремяGenerated [UTC] | DateTime | Дата обнаружения данных | 2019-07-23T11:00:35.858Z |
| StreamName | String | Имя конкретного потока | Отдел маркетинга |
| TotalEvents | Integer | Общее количество событий в сеансе | 122 |
| Заблокированные события | Integer | Количество заблокированных событий | 0 |
| UploadedBytes | Integer | Объем отправленных данных | 1,514,874 |
| Всего байтов | Integer | Общий объем данных | 4,067,785 |
| Скачанные байты | Integer | Объем скачанных данных | 2,552,911 |
| Ipaddress | String | Исходный IP-адрес | 127.0.0.0 |
| UserName | String | Имя пользователя | Raegan@contoso.com |
| EnrichedUserName | String | Обогащенное имя пользователя с помощью #REF! имени пользователя | Raegan@contoso.com |
| AppName | String | Имя облачного приложения | Microsoft OneDrive для бизнеса |
| Appid | Integer | Идентификатор облачного приложения | 15600 |
| AppCategory | String | Категория облачного приложения | Облачное хранилище |
| AppTags | Массив строк | Встроенные и настраиваемые теги, определенные для приложения | ["санкционировано"] |
| AppScore | Integer | Оценка риска приложения по шкале от 0 до 10, 10 — оценка для приложения, не являющегося рискованным | 10 |
| Type | String | Тип журналов — статическое значение | McasShadowItReporting |
Использование Power BI с Defender for Cloud Apps данными в Microsoft Sentinel
После завершения интеграции можно также использовать Defender for Cloud Apps данные, хранящиеся в Microsoft Sentinel в других средствах.
В этом разделе описывается, как с помощью Microsoft Power BI легко формировать и объединять данные для создания отчетов и панелей мониторинга, которые отвечают потребностям вашей организации.
Для начала сделайте следующее:
В Power BI импортируйте запросы из Microsoft Sentinel для Defender for Cloud Apps данных. Дополнительные сведения см. в статье Импорт данных журнала Azure Monitor в Power BI.
Установите приложение обнаружения теневых ИТ-ресурсов Defender for Cloud Apps и подключите его к данным журнала обнаружения, чтобы просмотреть встроенную панель мониторинга обнаружения теневых ИТ-специалистов.
Примечание.
В настоящее время приложение не опубликовано в #REF!. Поэтому вам может потребоваться обратиться к администратору Power BI за разрешениями на установку приложения.
Например, вы можете:
При необходимости создайте пользовательские панели мониторинга в Power BI Desktop и настройте их в соответствии с требованиями к визуальной аналитике и отчетности вашей организации.
Подключение приложения Defender for Cloud Apps
В Power BI выберите Приложения Для > обнаружения теневых ИТ-ресурсов .
На странице Начало работы с новым приложением выберите Подключиться. Например, вы можете:
На странице идентификатора рабочей области введите идентификатор Microsoft Sentinel рабочей области, как показано на странице обзора log analytics, а затем нажмите кнопку Далее. Например, вы можете:
На странице проверки подлинности укажите метод проверки подлинности и уровень конфиденциальности, а затем выберите Войти. Например, вы можете:
После подключения данных перейдите на вкладку Наборы данных рабочей области и выберите Обновить. В отчете будут обновлены ваши собственные данные.
Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.