Integrace Microsoft Sentinel (Preview)
Můžete integrovat Microsoft Defender for Cloud Apps s Microsoft Sentinel (škálovatelné siem a SOAR nativní pro cloud) a umožnit tak centralizované monitorování výstrah a dat zjišťování. Integrace se službou Microsoft Sentinel umožňuje lépe chránit cloudové aplikace při zachování obvyklého pracovního postupu zabezpečení, automatizaci postupů zabezpečení a korelaci mezi cloudovými a místními událostmi.
Mezi výhody používání Microsoft Sentinel patří:
- Delší uchovávání dat poskytované službou Log Analytics
- Předefinované vizualizace.
- Pomocí nástrojů, jako je Microsoft Power BI nebo Microsoft Sentinel sešitů, můžete vytvářet vlastní vizualizace dat zjišťování, které vyhovují potřebám vaší organizace.
Mezi další integrační řešení patří:
- Obecné siemy – Integrujte Defender for Cloud Apps s obecným serverem SIEM. Informace o integraci s obecným SIEM najdete v tématu Obecná integrace SIEM.
- Rozhraní Microsoft Security Graph API – zprostředkující služba (nebo zprostředkovatel), která poskytuje jedno programové rozhraní pro připojení více poskytovatelů zabezpečení. Další informace najdete v tématu Integrace řešení zabezpečení pomocí Rozhraní API pro zabezpečení Microsoft Graphu.
Integrace s Microsoft Sentinel zahrnuje konfiguraci v Defender for Cloud Apps i Microsoft Sentinel.
Požadavky
Integrace s Microsoft Sentinel:
- Musíte mít platnou Microsoft Sentinel licenci.
- Ve svém tenantovi musíte být alespoň správcem zabezpečení.
Podpora pro státní správu USA
Přímá integrace Defender for Cloud Apps – Microsoft Sentinel je dostupná jenom pro komerční zákazníky.
Všechna Defender for Cloud Apps data jsou však k dispozici v Microsoft Defender XDR, a proto jsou k dispozici v Microsoft Sentinel prostřednictvím konektoru Microsoft Defender XDR.
Doporučujeme zákazníkům GCC, GCC High a DoD, kteří mají zájem o zobrazení Defender for Cloud Apps dat v Microsoft Sentinel nainstalovat řešení Microsoft Defender XDR.
Další informace najdete tady:
- Microsoft Defender XDR integrace s Microsoft Sentinel
- Microsoft Defender for Cloud Apps pro nabídky pro státní správu USA
Integrace s Microsoft Sentinel
Na portálu Microsoft Defender vyberte Nastavení > Cloud Apps.
V části Systém vyberte Agenti > SIEM Přidat agenta > SIEM Sentinel. Příklady:
Poznámka
Možnost přidat Microsoft Sentinel není k dispozici, pokud jste dříve provedli integraci.
V průvodci vyberte datové typy, které chcete přeposlat do Microsoft Sentinel. Integraci můžete nakonfigurovat následujícím způsobem:
- Výstrahy: Výstrahy se automaticky zapnou, jakmile je povolená Microsoft Sentinel.
- Protokoly zjišťování: Pomocí posuvníku je povolte a zakažte. Ve výchozím nastavení je vybráno vše a pak pomocí rozevíracího seznamu Použít na vyfiltrujte, které protokoly zjišťování se odesílají do Microsoft Sentinel.
Příklady:
Vyberte Další a pokračujte Microsoft Sentinel dokončení integrace. Informace o konfiguraci Microsoft Sentinel najdete v tématu Microsoft Sentinel datový konektor pro Defender for Cloud Apps. Příklady:
Poznámka
Nové protokoly zjišťování se obvykle zobrazí v Microsoft Sentinel do 15 minut od jejich konfigurace na portálu Defender for Cloud Apps. V závislosti na podmínkách systémového prostředí to ale může trvat déle. Další informace najdete v tématu Zpracování zpoždění příjmu dat v analytických pravidlech.
Výstrahy a protokoly zjišťování v Microsoft Sentinel
Po dokončení integrace můžete v Microsoft Sentinel zobrazit upozornění a protokoly zjišťování Defender for Cloud Apps.
V Microsoft Sentinel najdete v části Protokoly v části Přehledy zabezpečení protokoly pro datové typy Defender for Cloud Apps následujícím způsobem:
| Datový typ | Stůl |
|---|---|
| Protokoly zjišťování | McasShadowItReporting |
| Upozornění | SecurityAlert |
Následující tabulka popisuje všechna pole ve schématu McasShadowItReporting :
| :----- | Typ | Popis | Příklady |
|---|---|---|---|
| Id tenanta | String | ID pracovního prostoru | b459b4u5-912x-46d5-9cb1-p43069212nb4 |
| SourceSystem | String | Zdrojový systém – statická hodnota | Azure |
| TimeGenerated [UTC] | Datum a čas | Datum zjišťování dat | 2019-07-23T11:00:35.858Z |
| Název streamu | String | Název konkrétního streamu | Marketingové oddělení |
| TotalEvents | Celé číslo | Celkový počet událostí na relaci | 122 |
| BlockedEvents | Celé číslo | Počet blokovaných událostí | 0 |
| Nahranébyty | Celé číslo | Množství nahraných dat | 1,514,874 |
| TotalBytes | Celé číslo | Celkový objem dat | 4,067,785 |
| DownloadedBytes | Celé číslo | Množství stažených dat | 2,552,911 |
| IpAddress | String | Zdrojová IP adresa | 127.0.0.0 |
| Uživatelské jméno | String | Uživatelské jméno | Raegan@contoso.com |
| EnrichedUserName | String | Rozšířené uživatelské jméno o uživatelské jméno Microsoft Entra | Raegan@contoso.com |
| Název aplikace | String | Název cloudové aplikace | Microsoft OneDrive pro firmy |
| AppId | Celé číslo | Identifikátor cloudové aplikace | 15600 |
| AppCategory | String | Kategorie cloudové aplikace | Cloudové úložiště |
| AppTags | Pole řetězců | Předdefinované a vlastní značky definované pro aplikaci | ["schváleno"] |
| AppScore | Celé číslo | Rizikové skóre aplikace ve škále 0–10, 10 je skóre pro nerizikové aplikace. | 10 |
| Typ | String | Typ protokolů – statická hodnota | McasShadowItReporting |
Použití Power BI s Defender for Cloud Apps daty v Microsoft Sentinel
Po dokončení integrace můžete také použít Defender for Cloud Apps data uložená v Microsoft Sentinel v jiných nástrojích.
Tato část popisuje, jak můžete pomocí Microsoft Power BI snadno tvarovat a kombinovat data a vytvářet sestavy a řídicí panely, které vyhovují potřebám vaší organizace.
Jak začít:
V Power BI importujte dotazy z Microsoft Sentinel pro Defender for Cloud Apps data. Další informace najdete v tématu Import dat protokolu služby Azure Monitor do Power BI.
Nainstalujte aplikaci Defender for Cloud Apps Shadow IT Discovery a připojte ji k datům protokolu zjišťování, abyste mohli zobrazit integrovaný řídicí panel stínového zjišťování IT.
Poznámka
V současné době není aplikace publikovaná na Microsoft AppSource. Proto možná budete muset požádat správce Power BI o oprávnění k instalaci aplikace.
Příklady:
Volitelně můžete v Power BI Desktop vytvářet vlastní řídicí panely a upravovat je tak, aby vyhovovaly požadavkům vaší organizace na vizuální analýzu a vytváření sestav.
Připojení aplikace Defender for Cloud Apps
V Power BI vyberte Aplikace > Stínové aplikace pro zjišťování IT .
Na stránce Začínáme s novou aplikací vyberte Připojit. Příklady:
Na stránce ID pracovního prostoru zadejte ID pracovního prostoru Microsoft Sentinel, jak se zobrazí na stránce přehledu služby Log Analytics, a pak vyberte Další. Příklady:
Na stránce ověřování zadejte metodu ověřování a úroveň ochrany osobních údajů a pak vyberte Přihlásit se. Příklady:
Po připojení dat přejděte na kartu Datové sady pracovního prostoru a vyberte Aktualizovat. Tím sestavu aktualizujete vlastními daty.
Pokud narazíte na nějaké problémy, jsme tu, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu pro váš problém s produktem, otevřete lístek podpory.