интеграция Microsoft Sentinel (предварительная версия)

Вы можете интегрировать Microsoft Defender for Cloud Apps с Microsoft Sentinel (масштабируемыми облачными SIEM и SOAR), чтобы обеспечить централизованный мониторинг оповещений и данных обнаружения. Интеграция с Microsoft Sentinel позволяет лучше защищать облачные приложения, поддерживая обычный рабочий процесс безопасности, автоматив процедуры безопасности и сопоставляя события в облаке и локальной среде.

Преимущества использования Microsoft Sentinel:

• Более длительное хранение данных, предоставляемое Log Analytics.
• Встроенные визуализации.
• Используйте такие средства, как Microsoft Power BI или книги Microsoft Sentinel, чтобы создавать собственные визуализации данных обнаружения, которые соответствуют потребностям вашей организации.

К дополнительным решениям интеграции относятся:

• Универсальные SIEMs— интеграция Defender for Cloud Apps с универсальным сервером SIEM. Сведения об интеграции с универсальным SIEM см. в разделе Универсальная интеграция SIEM.
• API Графа безопасности Майкрософт — служба-посредник (или брокер), которая предоставляет единый программный интерфейс для подключения нескольких поставщиков безопасности. Дополнительные сведения см. в статье Интеграция решений безопасности с помощью API безопасности Microsoft Graph.

Интеграция с Microsoft Sentinel включает конфигурацию как в Defender for Cloud Apps, так и в Microsoft Sentinel.

Предварительные условия

Чтобы интегрироваться с Microsoft Sentinel, выполните приведенные далее действия.

• У вас должна быть действительная лицензия Microsoft Sentinel
• Вы должны быть по крайней мере администратором безопасности в клиенте.

Поддержка правительства США

Прямая Defender for Cloud Apps — Microsoft Sentinel интеграция доступна только для коммерческих клиентов.

Однако все Defender for Cloud Apps данные доступны в Microsoft Defender XDR и, следовательно, доступны в Microsoft Sentinel через соединитель Microsoft Defender XDR.

Мы рекомендуем клиентам GCC, GCC High и DoD, заинтересованным в просмотре Defender for Cloud Apps данных в Microsoft Sentinel, установить решение Microsoft Defender XDR.

Дополнительные сведения см. в разделе:

• интеграция Microsoft Defender XDR с Microsoft Sentinel
• Microsoft Defender for Cloud Apps предложений для государственных организаций США

Интеграция с Microsoft Sentinel

1. На портале Microsoft Defender выберите Параметры Облачные > приложения.

2. В разделе Система выберите агенты > SIEM Добавить Sentinel агента > SIEM. Например:

   

   Примечание

   Параметр добавления Microsoft Sentinel недоступен, если вы ранее выполняли интеграцию.

3. В мастере выберите типы данных, которые нужно перенаправить в Microsoft Sentinel. Интеграцию можно настроить следующим образом:

   • Оповещения. Оповещения автоматически включаются после включения Microsoft Sentinel.
   • Журналы обнаружения. Используйте ползунок, чтобы включить и отключить их. По умолчанию выбрано все, а затем используйте раскрывающийся список Применить к, чтобы отфильтровать, какие журналы обнаружения отправляются в Microsoft Sentinel.

   Например:

   

4. Нажмите кнопку Далее и перейдите к Microsoft Sentinel, чтобы завершить интеграцию. Сведения о настройке Microsoft Sentinel см. в разделе соединитель данных Microsoft Sentinel для Defender for Cloud Apps. Например:

   

Примечание

Новые журналы обнаружения обычно отображаются в Microsoft Sentinel в течение 15 минут после их настройки в Defender for Cloud Apps. Однако это может занять больше времени в зависимости от условий системной среды. Дополнительные сведения см. в разделе Обработка задержки приема в правилах аналитики.

Оповещения и журналы обнаружения в Microsoft Sentinel

После завершения интеграции вы можете просматривать Defender for Cloud Apps оповещения и журналы обнаружения в Microsoft Sentinel.

В Microsoft Sentinel в разделе Журналы в разделе Аналитика безопасности можно найти журналы для Defender for Cloud Apps типов данных следующим образом:

Тип данных	Таблица
Журналы обнаружения	McasShadowItReporting
Оповещения	SecurityAlert

В следующей таблице описано каждое поле в схеме McasShadowItReporting :

Поле	Тип	Описание	Примеры
Идентификатор клиента	String	Идентификатор рабочей области	b459b4u5-912x-46d5-9cb1-p43069212nb4
SourceSystem	String	Исходная система — статическое значение	Azure
ВремяGenerated [UTC]	DateTime	Дата обнаружения данных	2019-07-23T11:00:35.858Z
StreamName	String	Имя конкретного потока	Отдел маркетинга
TotalEvents	Integer	Общее количество событий в сеансе	122
Заблокированные события	Integer	Количество заблокированных событий	0
UploadedBytes	Integer	Объем отправленных данных	1,514,874
Всего байтов	Integer	Общий объем данных	4,067,785
Скачанные байты	Integer	Объем скачанных данных	2,552,911
IpAddress	String	Исходный IP-адрес	127.0.0.0
UserName	String	Имя пользователя	Raegan@contoso.com
EnrichedUserName	String	Обогащенное имя пользователя с помощью Microsoft Entra имени пользователя	Raegan@contoso.com
AppName	String	Имя облачного приложения	Microsoft OneDrive для бизнеса
AppId	Integer	Идентификатор облачного приложения	15600
AppCategory	String	Категория облачного приложения	Облачное хранилище
AppTags	Массив строк	Встроенные и настраиваемые теги, определенные для приложения	["санкционировано"]
AppScore	Integer	Оценка риска приложения по шкале от 0 до 10, 10 — оценка для приложения, не являющегося рискованным	10
Тип	String	Тип журналов — статическое значение	McasShadowItReporting

Использование Power BI с Defender for Cloud Apps данными в Microsoft Sentinel

После завершения интеграции можно также использовать Defender for Cloud Apps данные, хранящиеся в Microsoft Sentinel в других средствах.

В этом разделе описывается, как с помощью Microsoft Power BI легко формировать и объединять данные для создания отчетов и панелей мониторинга, отвечающих потребностям вашей организации.

Для начала сделайте следующее:

1. В Power BI импортируйте запросы из Microsoft Sentinel для Defender for Cloud Apps данных. Дополнительные сведения см. в статье Импорт данных журнала Azure Monitor в Power BI.

2. Установите приложение обнаружения теневых ИТ-ресурсов Defender for Cloud Apps и подключите его к данным журнала обнаружения, чтобы просмотреть встроенную панель мониторинга обнаружения теневых ИТ-специалистов.

   Примечание

   В настоящее время приложение не опубликовано в Microsoft AppSource. Поэтому вам может потребоваться обратиться к администратору Power BI за разрешениями на установку приложения.

   Например:

   

3. При необходимости создайте пользовательские панели мониторинга в Power BI Desktop и настройте их в соответствии с требованиями к визуальной аналитике и отчетности вашей организации.

Подключение приложения Defender for Cloud Apps

1. В Power BI выберите Приложения Для > обнаружения теневых ИТ-ресурсов .

2. На странице Начало работы с новым приложением выберите Подключиться. Например:

   

3. На странице идентификатора рабочей области введите идентификатор Microsoft Sentinel рабочей области, как показано на странице обзора log analytics, а затем нажмите кнопку Далее. Например:

   

4. На странице проверки подлинности укажите метод проверки подлинности и уровень конфиденциальности, а затем выберите Войти. Например:

   

5. После подключения данных перейдите на вкладку Наборы данных рабочей области и выберите Обновить. В отчете будут обновлены ваши собственные данные.

Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.