Microsoft Sentinel tümleştirmesi (Önizleme)
Uyarıların ve bulma verilerinin merkezi olarak izlenmesini sağlamak için Bulut için Microsoft Defender Uygulamalarını Microsoft Sentinel (ölçeklenebilir, bulutta yerel SIEM ve SOAR) ile tümleştirebilirsiniz. Microsoft Sentinel ile tümleştirme, her zamanki güvenlik iş akışınızı korurken, güvenlik yordamlarını otomatikleştirirken ve bulut tabanlı olaylarla şirket içi olaylar arasında bağıntı sağlarken bulut uygulamalarınızı daha iyi korumanıza olanak tanır.
Microsoft Sentinel kullanmanın avantajları şunlardır:
- Log Analytics tarafından sağlanan daha uzun veri saklama.
- Kullanıma yönelik görselleştirmeler.
- Kurumsal gereksinimlerinize uygun kendi bulma verileri görselleştirmelerinizi oluşturmak için Microsoft Power BI veya Microsoft Sentinel çalışma kitapları gibi araçları kullanın.
Ek tümleştirme çözümleri şunlardır:
- Genel SIEM'ler - Bulut için Defender Uygulamaları genel SIEM sunucunuzla tümleştirin. Genel SIEM ile tümleştirme hakkında bilgi için bkz . Genel SIEM tümleştirmesi.
- Microsoft güvenlik grafı API'si - Birden çok güvenlik sağlayıcısını bağlamak için tek bir programlı arabirim sağlayan bir aracı hizmet (veya aracı). Daha fazla bilgi için bkz . Microsoft Graph Güvenlik API'sini kullanarak güvenlik çözümü tümleştirmeleri.
Microsoft Sentinel ile tümleştirme hem Bulut için Defender Uygulamalarında hem de Microsoft Sentinel'de yapılandırmayı içerir.
Önkoşullar
Microsoft Sentinel ile tümleştirmek için:
- Geçerli bir Microsoft Sentinel lisansınız olmalıdır
- Kiracınızda Genel Yönetici veya Güvenlik Yöneticisi olmalısınız.
US Government desteği
Doğrudan Bulut için Defender Uygulamaları - Microsoft Sentinel tümleştirmesi yalnızca ticari müşteriler tarafından kullanılabilir.
Ancak tüm Bulut için Defender Uygulamaları verileri Microsoft Defender XDR'de ve bu nedenle Microsoft Defender XDR bağlayıcısı aracılığıyla Microsoft Sentinel'de kullanılabilir.
Microsoft Sentinel'de Bulut için Defender Uygulamaları verilerini görmek isteyen GCC, GCC High ve DoD müşterilerinin Microsoft Defender XDR çözümünü yüklemesini öneririz.
Daha fazla bilgi için bkz.
- Microsoft Sentinel ile Microsoft Defender XDR tümleştirmesi
- ABD Kamu teklifleri için Bulut için Microsoft Defender Uygulamaları
Microsoft Sentinel ile tümleştirme
Microsoft Defender Portalı'nda Ayarlar > Cloud Apps'i seçin.
Sistem'in altında SIEM aracıları > SIEM aracısı > Sentinel ekle'yi seçin. Örneğin:
Not
Tümleştirmeyi daha önce gerçekleştirdiyseniz Microsoft Sentinel ekleme seçeneği kullanılamaz.
Sihirbazda, Microsoft Sentinel'e iletmek istediğiniz veri türlerini seçin. Tümleştirmeyi aşağıdaki gibi yapılandırabilirsiniz:
- Uyarılar: Microsoft Sentinel etkinleştirildikten sonra uyarılar otomatik olarak açılır.
- Bulma günlükleri: Varsayılan olarak her şey seçilidir ve ardından Microsoft Sentinel'e gönderilen bulma günlüklerini filtrelemek için Uygula açılan listesini kullanarak bunları etkinleştirmek ve devre dışı bırakmak için kaydırıcıyı kullanın.
Örneğin:
İleri'yi seçin ve tümleştirmeyi sonlandırmak için Microsoft Sentinel'e geçin. Microsoft Sentinel'i yapılandırma hakkında bilgi için bkz. Bulut için Defender Uygulamaları için Microsoft Sentinel veri bağlayıcısı. Örneğin:
Not
Yeni bulma günlükleri genellikle Bulut için Defender Uygulamaları portalında yapılandırılmalarından sonra 15 dakika içinde Microsoft Sentinel'de görünür. Ancak, sistem ortamı koşullarına bağlı olarak daha uzun sürebilir. Daha fazla bilgi için bkz . Analiz kurallarında alım gecikmesini işleme.
Microsoft Sentinel'de uyarılar ve bulma günlükleri
Tümleştirme tamamlandıktan sonra Bulut için Defender Uygulamaları uyarılarını ve bulma günlüklerini Microsoft Sentinel'de görüntüleyebilirsiniz.
Microsoft Sentinel'de, Günlükler'in altında, Güvenlik Analizler altında, Bulut için Defender Uygulamaları veri türlerinin günlüklerini aşağıdaki gibi bulabilirsiniz:
Veri türü | Tablo |
---|---|
Bulma günlükleri | McasShadowItReporting |
Uyarılar | SecurityAlert |
Aşağıdaki tabloda McasShadowItReporting şemasındaki her alan açıklanmaktadır:
Alan | Tür | Açıklama | Örnekler |
---|---|---|---|
Kiracı Kimliği | String | Çalışma Alanı Kimliği | b459b4u5-912x-46d5-9cb1-p43069212nb4 |
SourceSystem | String | Kaynak sistem – statik değer | Azure |
TimeGenerated [UTC] | DateTime | Bulma verilerinin tarihi | 2019-07-23T11:00:35.858Z |
StreamName | String | Belirli bir akışın adı | Pazarlama Departmanı |
TotalEvents | Tam sayı | Oturum başına toplam olay sayısı | 122 |
BlockedEvents | Tam sayı | Engellenen olay sayısı | 0 |
UploadedBytes | Tam sayı | Karşıya yüklenen veri miktarı | 1,514,874 |
TotalBytes | Tam sayı | Toplam veri miktarı | 4,067,785 |
DownloadedBytes | Tam sayı | İndirilen veri miktarı | 2,552,911 |
Ipaddress | String | Kaynak IP adresi | 127.0.0.0 |
UserName | String | User name | Raegan@contoso.com |
EnrichedUserName | String | Microsoft Entra kullanıcı adıyla zenginleştirilmiş kullanıcı adı | Raegan@contoso.com |
AppName | String | Bulut uygulamasının adı | Microsoft OneDrive İş |
Appıd | Tam sayı | Bulut uygulaması tanımlayıcısı | 15600 |
AppCategory | String | Bulut uygulaması kategorisi | Bulut depolaması |
Uygulama Etiketleri | Dize dizisi | Uygulama için tanımlanan yerleşik ve özel etiketler | ["tasdikli"] |
AppScore | Tam sayı | 0-10 ölçeğindeki uygulamanın risk puanı, riskli olmayan bir uygulama için puan olan 10 | 10 |
Tür | String | Günlük türü – statik değer | McasShadowItReporting |
Microsoft Sentinel'de Bulut için Defender Apps verileriyle Power BI kullanma
Tümleştirme tamamlandıktan sonra, Microsoft Sentinel'de depolanan Bulut için Defender Uygulamaları verilerini diğer araçlarda da kullanabilirsiniz.
Bu bölümde, kuruluşunuzun gereksinimlerini karşılayan raporlar ve panolar oluşturmak üzere verileri kolayca şekillendirmek ve birleştirmek için Microsoft Power BI'ı nasıl kullanabileceğiniz açıklanmaktadır.
Başlamak için:
Power BI'da, Bulut için Defender Apps verileri için Microsoft Sentinel'den sorguları içeri aktarın. Daha fazla bilgi için bkz . Azure İzleyici günlük verilerini Power BI'a aktarma.
Bulut için Defender Uygulamaları Gölge BT Bulma uygulamasını yükleyin ve yerleşik Gölge BT Bulma panosunu görüntülemek için bulma günlük verilerinize bağlayın.
Not
Şu anda uygulama Microsoft AppSource'ta yayımlanmaz. Bu nedenle, uygulamayı yükleme izinleri için Power BI yöneticinize başvurmanız gerekebilir.
Örneğin:
İsteğe bağlı olarak, Power BI Desktop'ta özel panolar oluşturun ve kuruluşunuzun görsel analiz ve raporlama gereksinimlerine uyacak şekilde ayarlayın.
Bulut için Defender Uygulamaları uygulamasını Bağlan
Power BI'da Uygulamalar > Gölge BT Bulma uygulaması'nı seçin.
Yeni uygulamanızı kullanmaya başlayın sayfasında Bağlan'ı seçin. Örneğin:
Çalışma alanı kimliği sayfasında, Log Analytics'e genel bakış sayfanızda gösterildiği gibi Microsoft Sentinel çalışma alanı kimliğinizi girin ve İleri'yi seçin. Örneğin:
Kimlik doğrulama sayfasında, kimlik doğrulama yöntemini ve gizlilik düzeyini belirtin ve ardından Oturum aç'ı seçin. Örneğin:
Verilerinizi bağladıktan sonra çalışma alanı Veri kümeleri sekmesine gidin ve Yenile'yi seçin. Bu işlem raporu kendi verilerinizle güncelleştirir.
Herhangi bir sorunla karşılaşırsanız size yardımcı olmak için buradayız. Ürün sorununuzla ilgili yardım veya destek almak için lütfen bir destek bileti açın.