интеграция Microsoft Sentinel (предварительная версия)
Вы можете интегрировать Microsoft Defender for Cloud Apps с Microsoft Sentinel (масштабируемыми облачными SIEM и SOAR), чтобы обеспечить централизованный мониторинг оповещений и данных обнаружения. Интеграция с Microsoft Sentinel позволяет лучше защищать облачные приложения, поддерживая обычный рабочий процесс безопасности, автоматив процедуры безопасности и сопоставляя события в облаке и локальной среде.
Преимущества использования Microsoft Sentinel:
- Более длительное хранение данных, предоставляемое Log Analytics.
- Встроенные визуализации.
- Используйте такие средства, как Microsoft Power BI или книги Microsoft Sentinel, чтобы создавать собственные визуализации данных обнаружения, которые соответствуют потребностям вашей организации.
К дополнительным решениям интеграции относятся:
- Универсальные SIEMs— интеграция Defender for Cloud Apps с универсальным сервером SIEM. Сведения об интеграции с универсальным SIEM см. в разделе Универсальная интеграция SIEM.
- API Графа безопасности Майкрософт — служба-посредник (или брокер), которая предоставляет единый программный интерфейс для подключения нескольких поставщиков безопасности. Дополнительные сведения см. в статье Интеграция решений безопасности с помощью API безопасности Microsoft Graph.
Интеграция с Microsoft Sentinel включает конфигурацию как в Defender for Cloud Apps, так и в Microsoft Sentinel.
Чтобы интегрироваться с Microsoft Sentinel, выполните приведенные далее действия.
- У вас должна быть действительная лицензия Microsoft Sentinel
- Вы должны быть по крайней мере администратором безопасности в клиенте.
Прямая Defender for Cloud Apps — Microsoft Sentinel интеграция доступна только для коммерческих клиентов.
Однако все Defender for Cloud Apps данные доступны в Microsoft Defender XDR и, следовательно, доступны в Microsoft Sentinel через соединитель Microsoft Defender XDR.
Мы рекомендуем клиентам GCC, GCC High и DoD, заинтересованным в просмотре Defender for Cloud Apps данных в Microsoft Sentinel, установить решение Microsoft Defender XDR.
Дополнительные сведения см. в разделе:
- интеграция Microsoft Defender XDR с Microsoft Sentinel
- Microsoft Defender for Cloud Apps предложений для государственных организаций США
На портале Microsoft Defender выберите Параметры Облачные > приложения.
В разделе Система выберите агенты > SIEM Добавить Sentinel агента > SIEM. Например:
Примечание
Параметр добавления Microsoft Sentinel недоступен, если вы ранее выполняли интеграцию.
В мастере выберите типы данных, которые нужно перенаправить в Microsoft Sentinel. Интеграцию можно настроить следующим образом:
- Оповещения. Оповещения автоматически включаются после включения Microsoft Sentinel.
- Журналы обнаружения. Используйте ползунок, чтобы включить и отключить их. По умолчанию выбрано все, а затем используйте раскрывающийся список Применить к, чтобы отфильтровать, какие журналы обнаружения отправляются в Microsoft Sentinel.
Например:
Нажмите кнопку Далее и перейдите к Microsoft Sentinel, чтобы завершить интеграцию. Сведения о настройке Microsoft Sentinel см. в разделе соединитель данных Microsoft Sentinel для Defender for Cloud Apps. Например:
Примечание
Новые журналы обнаружения обычно отображаются в Microsoft Sentinel в течение 15 минут после их настройки на портале Defender for Cloud Apps. Однако это может занять больше времени в зависимости от условий системной среды. Дополнительные сведения см. в разделе Обработка задержки приема в правилах аналитики.
После завершения интеграции вы можете просматривать Defender for Cloud Apps оповещения и журналы обнаружения в Microsoft Sentinel.
В Microsoft Sentinel в разделе Журналы в разделе Аналитика безопасности можно найти журналы для Defender for Cloud Apps типов данных следующим образом:
Тип данных | Таблица |
---|---|
Журналы обнаружения | McasShadowItReporting |
Оповещения | SecurityAlert |
В следующей таблице описано каждое поле в схеме McasShadowItReporting :
Поле | Тип | Описание | Примеры |
---|---|---|---|
Идентификатор клиента | String | Идентификатор рабочей области | b459b4u5-912x-46d5-9cb1-p43069212nb4 |
SourceSystem | String | Исходная система — статическое значение | Azure |
ВремяGenerated [UTC] | DateTime | Дата обнаружения данных | 2019-07-23T11:00:35.858Z |
StreamName | String | Имя конкретного потока | Отдел маркетинга |
TotalEvents | Integer | Общее количество событий в сеансе | 122 |
Заблокированные события | Integer | Количество заблокированных событий | 0 |
UploadedBytes | Integer | Объем отправленных данных | 1,514,874 |
Всего байтов | Integer | Общий объем данных | 4,067,785 |
Скачанные байты | Integer | Объем скачанных данных | 2,552,911 |
IpAddress | String | Исходный IP-адрес | 127.0.0.0 |
UserName | String | Имя пользователя | Raegan@contoso.com |
EnrichedUserName | String | Обогащенное имя пользователя с помощью Microsoft Entra имени пользователя | Raegan@contoso.com |
AppName | String | Имя облачного приложения | Microsoft OneDrive для бизнеса |
AppId | Integer | Идентификатор облачного приложения | 15600 |
AppCategory | String | Категория облачного приложения | Облачное хранилище |
AppTags | Массив строк | Встроенные и настраиваемые теги, определенные для приложения | ["санкционировано"] |
AppScore | Integer | Оценка риска приложения по шкале от 0 до 10, 10 — оценка для приложения, не являющегося рискованным | 10 |
Тип | String | Тип журналов — статическое значение | McasShadowItReporting |
После завершения интеграции можно также использовать Defender for Cloud Apps данные, хранящиеся в Microsoft Sentinel в других средствах.
В этом разделе описывается, как с помощью Microsoft Power BI легко формировать и объединять данные для создания отчетов и панелей мониторинга, отвечающих потребностям вашей организации.
Для начала сделайте следующее:
В Power BI импортируйте запросы из Microsoft Sentinel для Defender for Cloud Apps данных. Дополнительные сведения см. в статье Импорт данных журнала Azure Monitor в Power BI.
Установите приложение обнаружения теневых ИТ-ресурсов Defender for Cloud Apps и подключите его к данным журнала обнаружения, чтобы просмотреть встроенную панель мониторинга обнаружения теневых ИТ-специалистов.
Примечание
В настоящее время приложение не опубликовано в Microsoft AppSource. Поэтому вам может потребоваться обратиться к администратору Power BI за разрешениями на установку приложения.
Например:
При необходимости создайте пользовательские панели мониторинга в Power BI Desktop и настройте их в соответствии с требованиями к визуальной аналитике и отчетности вашей организации.
В Power BI выберите Приложения Для > обнаружения теневых ИТ-ресурсов .
На странице Начало работы с новым приложением выберите Подключиться. Например:
На странице идентификатора рабочей области введите идентификатор Microsoft Sentinel рабочей области, как показано на странице обзора log analytics, а затем нажмите кнопку Далее. Например:
На странице проверки подлинности укажите метод проверки подлинности и уровень конфиденциальности, а затем выберите Войти. Например:
После подключения данных перейдите на вкладку Наборы данных рабочей области и выберите Обновить. В отчете будут обновлены ваши собственные данные.
Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.