Microsoft Sentinel 整合 (預覽)
您可以將 適用於雲端的 Microsoft Defender Apps 與 Microsoft Sentinel 整合(可調整的雲端原生 SIEM 和 SOAR),以集中監視警示和探索數據。 與 Microsoft Sentinel 整合可讓您更妥善地保護您的雲端應用程式,同時維護一般的安全性工作流程、自動化安全性程式,以及雲端式與內部部署事件之間的相互關聯。
使用 Microsoft Sentinel 的優點包括:
- Log Analytics 提供的數據保留時間較長。
- 現用視覺效果。
- 使用 Microsoft Power BI 或 Microsoft Sentinel 活頁簿等工具來建立符合組織需求的探索數據視覺效果。
其他整合解決方案包括:
- 一般 SIEM - 整合 適用於雲端的 Defender Apps 與一般 SIEM 伺服器。 如需與泛型 SIEM 整合的資訊,請參閱 泛型 SIEM 整合。
- Microsoft 安全性圖形 API - 提供單一程序設計介面來連接多個安全性提供者的中繼服務(或訊息代理程式)。 如需詳細資訊,請參閱使用 Microsoft Graph 安全性 API 的安全性解決方案整合。
與 Microsoft Sentinel 整合包含 適用於雲端的 Defender Apps 和 Microsoft Sentinel 中的組態。
必要條件
若要與 Microsoft Sentinel 整合:
- 您必須擁有有效的 Microsoft Sentinel 授權
- 您必須是租用戶的全域管理員或安全性管理員。
美國政府支援
直接 適用於雲端的 Defender Apps - Microsoft Sentinel 整合僅適用於商業客戶。
不過,Microsoft Defender 全面偵測回應 提供所有 適用於雲端的 Defender Apps 數據,因此可透過 Microsoft Defender 全面偵測回應 連接器在 Microsoft Sentinel 中使用。
我們建議有興趣在 Microsoft Sentinel 中看到 適用於雲端的 Defender Apps 數據的 GCC、GCC High 和 DoD 客戶安裝 Microsoft Defender 全面偵測回應 解決方案。
如需詳細資訊,請參閱
與 Microsoft Sentinel 整合
在 Microsoft Defender 入口網站中,選取 [設定 > Cloud Apps]。
在 [系統] 底下>,選取 [SIEM 代理程式][新增 SIEM 代理程式 > Sentinel]。 例如:
注意
如果您先前已執行整合,則無法使用新增 Microsoft Sentinel 的選項。
在精靈中,選取您要轉送至 Microsoft Sentinel 的數據類型。 您可以設定整合,如下所示:
- 警示:啟用 Microsoft Sentinel 之後,系統會自動開啟警示。
- 探索記錄:使用滑桿來啟用和停用它們,預設會選取所有項目,然後使用 [ 套用至 ] 下拉式清單來篩選哪些探索記錄會傳送至 Microsoft Sentinel。
例如:
選取 [下一步],然後繼續前往 Microsoft Sentinel 以完成整合。 如需設定 Microsoft Sentinel 的詳細資訊,請參閱適用於 適用於雲端的 Defender Apps 的 Microsoft Sentinel 數據連接器。 例如:
注意
新的探索記錄通常會在 適用於雲端的 Defender Apps 入口網站中設定這些記錄的 15 分鐘內出現在 Microsoft Sentinel 中。 不過,視系統環境狀況而定,可能需要較長的時間。 如需詳細資訊,請參閱 處理分析規則中的擷取延遲。
Microsoft Sentinel 中的警示和探索記錄
整合完成後,您可以在 Microsoft Sentinel 中檢視 適用於雲端的 Defender Apps 警示和探索記錄。
在 Microsoft Sentinel 的 [記錄] 下方的 [安全性深入解析] 底下,您可以找到 適用於雲端的 Defender Apps 數據類型的記錄,如下所示:
| 資料類型 | Table |
|---|---|
| 探索記錄 | McasShadowItReporting |
| 警示 | SecurityAlert |
下表描述 McasShadowItReporting 架構中的每個欄位:
| 欄位 | 類型 | 描述 | 範例 |
|---|---|---|---|
| TenantId | String | 工作區識別碼 | b459b4u5-912x-46d5-9cb1-p43069212nb4 |
| SourceSystem | String | 來源系統 – 靜態值 | Azure |
| TimeGenerated [UTC] | Datetime | 探索數據的日期 | 2019-07-23T11:00:35.858Z |
| StreamName | String | 特定數據流的名稱 | 營銷部門 |
| TotalEvents | 整數 | 每個會話的事件總數 | 122 |
| BlockedEvents | 整數 | 封鎖的事件數目 | 0 |
| UploadedBytes | 整數 | 上傳的數據量 | 1,514,874 |
| TotalBytes | 整數 | 數據總量 | 4,067,785 |
| DownloadedBytes | 整數 | 下載的數據量 | 2,552,911 |
| IpAddress | String | 來源 IP 位址 | 127.0.0.0 |
| 使用者名稱 | String | 使用者名稱 | Raegan@contoso.com |
| EnrichedUserName | String | 使用 Microsoft Entra 使用者名稱擴充的用戶名稱 | Raegan@contoso.com |
| AppName | String | 雲端應用程式的名稱 | Microsoft OneDrive for Business |
| AppId | 整數 | 雲端應用程式識別碼 | 15600 |
| AppCategory | String | 雲端應用程式的類別 | 雲端儲存空間 |
| AppTags | 字串陣列 | 為應用程式定義的內建和自定義標籤 | [“已批准”] |
| AppScore | 整數 | 規模為 0-10 的應用程式風險分數,10 是非風險應用程式的分數 | 10 |
| 型別 | String | 記錄類型 – 靜態值 | McasShadowItReporting |
在 Microsoft Sentinel 中搭配 適用於雲端的 Defender Apps 數據使用 Power BI
整合完成後,您也可以在其他工具中使用儲存在 Microsoft Sentinel 中的 適用於雲端的 Defender Apps 數據。
本節說明如何使用 Microsoft Power BI 輕鬆地塑造和合併數據,以建置符合組織需求的報表和儀錶板。
開始進行之前:
在 Power BI 中,從 Microsoft Sentinel 匯入 適用於雲端的 Defender Apps 數據的查詢。 如需詳細資訊,請參閱 將 Azure 監視器記錄數據匯入 Power BI。
安裝 適用於雲端的 Defender 應用程式影子IT探索應用程式,並將其連線至您的探索記錄數據,以檢視內建的影子IT探索儀錶板。
注意
目前,應用程式未在 Microsoft AppSource 上發佈。 因此,您可能需要連絡 Power BI 系統管理員以取得安裝應用程式的許可權。
例如:
您可以選擇性地在Power BI Desktop 中建置自定義儀錶板,並加以調整,以符合貴組織的視覺分析和報告需求。
連線 適用於雲端的 Defender Apps 應用程式
在 Power BI 中,選取 [ 應用程式 > 陰影 IT 探索 應用程式]。
在 [開始使用新的應用程式] 頁面上,選取 [連線]。 例如:
在工作區標識符頁面上,輸入您的 Microsoft Sentinel 工作區識別碼,如記錄分析概觀頁面中所示,然後選取 [下一步]。 例如:
在 [驗證] 頁面上,指定驗證方法和隱私權層級,然後選取 [ 登入]。 例如:
聯機您的數據之後,請移至 [工作區 數據集] 索引卷 標,然後選取 [ 重新整理]。 這會使用您自己的數據來更新報表。
如果您遇到任何問題,我們會在這裡提供説明。 若要取得產品問題的協助或支援,請 開啟支援票證。