Microsoft Sentinel 集成(预览版)
你可以将 Microsoft Defender for Cloud Apps 与 Microsoft Sentinel(可缩放的云原生 SIEM 和 SOAR)集成,以便集中监视警报和发现数据。 通过与 Microsoft Sentinel 服务集成,可以更好地保护云应用程序,同时保持正常的安全工作流、自动执行安全过程,并将基于云的事件与本地事件关联。
使用 Microsoft Sentinel 的优势包括:
- Log Analytics 提供更长的数据保留时间。
- 开箱即用的可视化效果。
- 使用 Microsoft Power BI 或 Microsoft Sentinel 工作簿等工具创建自己的发现数据可视化效果,以满足组织需求。
其他集成解决方案包括:
- 通用 SIEM - 将 Defender for Cloud Apps 与通用 SIEM 服务器集成。 有关与通用 SIEM 集成的信息,请参阅通用 SIEM 集成。
- Microsoft 安全图形 API - 一种中介服务(或代理),提供一个编程接口来连接多个安全提供程序。 有关详细信息,请参阅使用 Microsoft Graph 安全性 API 实现安全解决方案集成。
与 Microsoft Sentinel 集成涉及到 Defender for Cloud Apps 和 Microsoft Sentinel 中的配置。
先决条件
与 Microsoft Sentinel 集成:
- 必须具有有效的 Microsoft Sentinel 许可证。
- 你必须至少是租户中的安全管理员。
美国政府支持
直接 Defender for Cloud Apps - Microsoft Sentinel 集成仅适用于商业客户。
但是,Microsoft Defender XDR 中提供了所有 Defender for Cloud Apps 数据,因此可通过 Microsoft Defender XDR 连接器在 Microsoft Sentinel 中访问这些数据。
建议在 Microsoft Sentinel 中查看 Defender for Cloud Apps 数据的 GCC、GCC High 和 DoD 客户安装 Microsoft Defender XDR 解决方案。
有关详细信息,请参阅:
与 Microsoft Sentinel 集成
在 Microsoft Defender 门户,选择“设置”>“云应用”。
在“系统”下,选择“SIEM 代理>添加 SIEM 代理 > Sentinel”。 例如:
注意
如果之前已执行集成,则添加 Microsoft Sentinel 的选项不可用。
在向导中,选择要转发到 Microsoft Sentinel 的数据类型。 可以将集成配置如下:
- 警报:启用 Microsoft Sentinel 后,警报会自动打开。
- 发现日志:使用滑块启用和禁用这些日志,默认情况下已选中所有内容,然后使用“应用到”下拉列表筛选发送到 Microsoft Sentinel 的发现日志。
例如:
选择“下一步”,然后继续转到 Microsoft Sentinel 以完成集成。 有关配置 Microsoft Sentinel 的信息,请参阅 Defender for Cloud Apps 的 Microsoft Sentinel 数据连接器。 例如:
注意
新的发现日志通常会在 Defender for Cloud Apps 门户中配置后 15 分钟内出现在 Microsoft Sentinel 中。 但是,根据系统环境条件,可能需要更长的时间。 有关详细信息,请参阅处理分析规则中的引入延迟。
Microsoft Sentinel 中的警报和发现日志
集成完成后,可在 Microsoft Sentinel 中查看 Defender for Cloud Apps 警报和发现日志。
在 Microsoft Sentinel 中“日志”的“安全见解”下,可以找到 Defender for Cloud Apps 数据类型的日志,如下所示:
| 数据类型 | 表 |
|---|---|
| 发现日志 | McasShadowItReporting |
| 警报 | SecurityAlert |
下表描述了 McasShadowItReporting 架构中的每个字段:
| 字段 | 类型 | 说明 | 示例 |
|---|---|---|---|
| TenantId | 字符串 | 工作区 ID | b459b4u5-912x-46d5-9cb1-p43069212nb4 |
| SourceSystem | 字符串 | 源系统 - 静态值 | Azure |
| TimeGenerated [UTC] | DateTime | 发现数据的日期 | 2019-07-23T11:00:35.858Z |
| StreamName | 字符串 | 特定流的名称 | 市场部门 |
| TotalEvents | Integer | 每个会话的事件总数 | 122 |
| BlockedEvents | Integer | 阻止的事件数 | 0 |
| UploadedBytes | Integer | 上传的数据量 | 1,514,874 |
| TotalBytes | Integer | 总数据量 | 4,067,785 |
| DownloadedBytes | Integer | 下载的数据量 | 2,552,911 |
| IpAddress | 字符串 | 源 IP 地址 | 127.0.0.0 |
| UserName | 字符串 | 用户名 | Raegan@contoso.com |
| EnrichedUserName | 字符串 | 使用 Microsoft Entra 用户名扩充用户名 | Raegan@contoso.com |
| 应用名称 | 字符串 | 云应用的名称 | 适用于企业的 Microsoft OneDrive |
| AppId | Integer | 云应用标识符 | 15600 |
| AppCategory | 字符串 | 云应用的类别 | 云存储 |
| AppTags | 字符串数组 | 为应用定义的内置和自定义标记 | ["sanctioned"] |
| AppScore | Integer | 应用的风险评分为 0-10 分,10 分为无风险应用的评分 | 10 |
| 类型 | 字符串 | 日志类型 - 静态值 | McasShadowItReporting |
将 Power BI 与 Microsoft Sentinel 中的 Defender for Cloud Apps 数据结合使用
集成完成后,还可以在其他工具中使用 Microsoft Sentinel 中存储的 Defender for Cloud Apps 数据。
本部分介绍如何使用 Microsoft Power BI 轻松调整和合并数据,以生成满足组织需求的报告和仪表板。
开始操作:
在 Power BI 中,从 Microsoft Sentinel 的 Defender for Cloud Apps 数据导入查询。 有关详细信息,请参阅将 Azure Monitor 日志数据导入 Power BI。
安装 Defender for Cloud Shadow IT Discovery 应用并将其连接到发现日志数据,以查看内置的 Shadow IT Discovery 仪表板。
注意
目前,该应用未在 Microsoft AppSource 上发布。 因此,可能需要联系 Power BI 管理员,以获取安装该应用的权限。
例如:
(可选)在 Power BI Desktop 中生成自定义仪表板,并对其进行调整以适应组织的可视化分析和报告要求。
连接 Defender for Cloud Apps 应用
在 Power BI 中,选择 “应用 > 影子 IT 发现”应用。
在“开始使用新应用”页面,选择“连接”。 例如:
在工作区 ID 页上,输入日志分析概述页面中显示的 Microsoft Sentinel 工作区 ID,然后选择“下一步”。 例如:
在身份验证页上,指定身份验证方法和隐私级别,然后选择“登录”。 例如:
连接数据后,转到工作区的“数据集”选项卡,然后选择“刷新”。 此操作将使用自己的数据更新报告。
如果遇到任何问题,我们随时提供帮助。 要获取产品问题的帮助或支持,请开立支持票证。