Microsoft Sentinel-Integration
Integration von Microsoft Sentinel (Vorschau) beschreibt, wie Sie Microsoft Defender for Cloud Apps mit Microsoft Sentinel (einem skalierbaren, Cloud-nativen SIEM und SOAR) integrieren, um eine zentrale Überwachung von Warnmeldungen und Erkennungsdaten zu ermöglichen. Die Integration in einen SIEM-Dienst ermöglicht Ihnen einen besseren Schutz Ihrer Cloudanwendungen bei gleichzeitiger Verwendung Ihres üblichen Sicherheitsworkflows, der Automatisierung von Sicherheitsverfahren und der Zuordnung zwischen cloudbasierten und lokalen Ereignissen.
Die Vorteile von Microsoft Sentinel umfassen:
- Längere Datenaufbewahrung, die von Log Analytics bereitgestellt wird.
- Out-of-the-Box-Visualisierungen.
- Verwenden Sie Tools wie Microsoft Power BI- oder Microsoft Sentinel-Arbeitsmappen, um eigene Ermittlungsdatenvisualisierungen zu erstellen, die Ihren Organisationsanforderungen entsprechen.
Weitere Integrationslösungen umfassen:
- Generische SIEMs – Integrieren von Defender for Cloud Apps in Ihren generischen SIEM-Server. Informationen zur Integration mit einem generischen SIEM finden Sie in der generischen SIEM-Integration.
- Microsoft-Sicherheitsgraphen-API - Ein Vermittlungsdienst (oder Broker), der eine einzige befehlsorientierte Benutzerschnittstelle zur Verbindung mehrerer Sicherheitsanbieter bietet. Weitere Informationen finden Sie unter Integrationen von Sicherheitslösungen mithilfe der Sicherheits-API von Microsoft Graph.
Die Integration in Microsoft Sentinel umfasst die Konfiguration sowohl in Defender for Cloud Apps als auch in Microsoft Sentinel.
Voraussetzungen
Integration mit Microsoft Sentinel
- Sie müssen über eine gültige Microsoft Sentinel-Lizenz verfügen.
- Sie müssen mindestens ein Sicherheitsadministrator in Ihrem Mandanten sein.
Azure Government-Support
Die direkte Defender for Cloud Apps – Microsoft Sentinel-Integration steht nur kommerziellen Kunden zur Verfügung.
Allerdings sind alle Defender for Cloud Apps-Daten in Microsoft Defender XDR verfügbar und daher über den Microsoft Defender XDR-Connector in Microsoft Sentinel verfügbar.
Es wird empfohlen, dass GCC-, GCC High- und DoD-Kunden, die defender for Cloud Apps-Daten in Microsoft Sentinel sehen möchten, die Microsoft Defender XDR-Lösung installieren.
Weitere Informationen finden Sie unter:
- Integration von Microsoft Defender XDR mit Microsoft Sentinel
- Microsoft Defender for Cloud Apps for US Government-Angebote
Integration mit Microsoft Sentinel
Wählen Sie im Microsoft Defender Portal die Option Einstellungen > Cloud Apps.
Wählen Sie unter System SIEM-Agents>SIEM-Agent>Sentinel hinzufügen aus. Zum Beispiel:
Hinweis
Die Option zum Hinzufügen von Microsoft Sentinel ist nicht verfügbar, wenn Sie die Integration zuvor ausgeführt haben.
Wählen Sie im Assistenten die Datentypen aus, die Sie an Microsoft Sentinel weiterleiten möchten. Sie können das Diagramm wie folgt konfigurieren:
- Warnungen: Warnungen werden automatisch aktiviert, sobald Microsoft Sentinel aktiviert ist.
- Ermittlungsprotokolle: Verwenden Sie den Schieberegler, um sie zu aktivieren und zu deaktivieren, standardmäßig ist alles ausgewählt, und verwenden Sie dann die DropdownlisteAnwenden, um zu filtern, welche Ermittlungsprotokolle an Microsoft Sentinel gesendet werden.
Zum Beispiel:
Wählen Sie Weiter aus, und fahren Sie mit Microsoft Sentinel fort, um die Integration abzuschließen. Informationen zum Konfigurieren von Microsoft Sentinel finden Sie im Microsoft Sentinel-Datenconnector für Defender for Cloud Apps. Zum Beispiel:
Hinweis
Neue Ermittlungsprotokolle werden in der Regel innerhalb von 15 Minuten nach der Konfiguration im Defender for Cloud Apps-Portal in Microsoft Sentinel angezeigt. Je nach Systemumgebung kann es jedoch länger dauern. Weitere Informationen finden Sie unter Behandeln von Erfassungsverzögerungen in Regeln für geplante Analysen.
Warnungen und Ermittlungsprotokolle in Microsoft Sentinel
Nachdem die Integration abgeschlossen ist, können Sie Defender for Cloud Apps-Warnungen und Ermittlungsprotokolle in Microsoft Sentinel anzeigen.
In Microsoft Sentinel finden Sie unter Protokolle unter Sicherheitseinblicke die Protokolle für die Datentypen „Defender for Cloud Apps“, wie folgt:
| Datentyp | Tabelle |
|---|---|
| Ermittlungsprotokolle | McasShadowItReporting |
| Alerts | SecurityAlert |
In der folgenden Tabelle werden die einzelnen Felder im McasShadowItReporting-Schema beschrieben:
| Feld | Typ | Beschreibung | Beispiele |
|---|---|---|---|
| TenantId | Zeichenfolge | Arbeitsbereichs-ID | b459b4u5-912x-46d5-9cb1-p43069212nb4 |
| SourceSystem | Zeichenfolge | Quellsystem – statischer Wert | Azure |
| TimeGenerated [UTC] | DateTime | Datum der Ermittlungsdaten | 2019-07-23T11:00:35.858Z |
| StreamName | Zeichenfolge | Der angegebene Name des Datenstroms. | Marketing Department |
| TotalEvents | Integer | Gesamtanzahl der Ereignisse pro Sitzung | 122 |
| BlockedEvents | Ganzzahl | Anzahl blockierender Ereignisse | 0 |
| UploadedBytes | Ganzzahl | Menge der hochgeladenen Daten | 1,514,874 |
| TotalBytes | Ganzzahl | Gesamtdatenmenge | 4,067,785 |
| HeruntergeladeneBytes | Ganzzahl | Format der heruntergeladenen Daten. | 2,552,911 |
| IpAddress | Zeichenfolge | Quell-IP-Adresse | 127.0.0.0 |
| UserName | Zeichenfolge | Benutzername | Raegan@contoso.com |
| EnrichedUserName | Zeichenfolge | Erweiterter Benutzername mit Microsoft Entra-Benutzername | Raegan@contoso.com |
| AppName | Zeichenfolge | Name der Cloud-App | Microsoft OneDrive for Business |
| AppId | Ganzzahl | Cloud-App-ID | 15600 |
| AppCategory | Zeichenfolge | Kategorie der Cloud-App | Cloudspeicher |
| AppTags | Zeichenfolgenarray | Integrierte und benutzerdefinierte Tags, die für die App definiert sind | Genehmigt |
| AppScore | Ganzzahl | Die Risikobewertung der App in einer Skala von 0 bis 10, 10 ist eine Bewertung für eine nicht riskante App. | 10 |
| Typ | Zeichenfolge | Protokolltyp – statischer Wert | McasShadowItReporting |
Verwenden von Microsoft Defender for Cloud Apps mit Power BI
Nach Abschluss der Integration können Sie auch die in Microsoft Sentinel gespeicherten Defender for Cloud Apps-Daten in anderen Tools verwenden.
In diesem Abschnitt wird beschrieben, wie Sie Microsoft Power BI verwenden können, um Daten einfach zu gestalten und zu kombinieren, um Berichte und Dashboards zu erstellen, die den Anforderungen Ihrer Organisation entsprechen.
Um zu starten:
Importieren Sie in Power BI Abfragen aus Microsoft Sentinel für Defender for Cloud Apps-Daten. Weitere Informationen finden Sie unter Importieren von Azure Monitor-Protokolldaten in Power BI.
Installieren Sie die Defender for Cloud Apps Shadow IT Discovery-App , und verbinden Sie sie mit Ihren Ermittlungsprotokolldaten, um das integrierte Schatten-IT Discovery-Dashboard anzuzeigen.
Hinweis
Derzeit wird die App nicht in Microsoft AppSource veröffentlicht. Daher müssen Sie sich möglicherweise an Ihren Power BI-Administrator wenden, um Berechtigungen zum Installieren der App zu erhalten.
Zum Beispiel:
Erstellen Sie optional benutzerdefinierte Dashboards in Power BI Desktop, und optimieren Sie sie so, dass sie den Anforderungen für visuelle Analysen und Berichterstellung ihrer Organisation entspricht.
Verbinden von Apps in Defender for Cloud Apps
Wählen Sie in Power BI die App Apps > Schatten-IT Discovery aus.
Klicken Sie im Fenster Erste Schritte mit Ihrer neuen App auf Verbinden. Zum Beispiel:
Geben Sie auf der Arbeitsbereichs-ID-Seite Ihre Microsoft Sentinel-Arbeitsbereichs-ID ein, wie sie auf der Übersichtsseite der Protokollanalyse angezeigt wird, und wählen Sie dann Weiter aus. Zum Beispiel:
Geben Sie auf der Authentifizierungsseite die Authentifizierungsmethode und die Datenschutzstufe an, und wählen Sie dann Anmelden aus. Zum Beispiel:
Wechseln Sie nach dem Verbinden Ihrer Daten zu Registerkarte Datensätzeim Arbeitsbereich, und wählen Sie Aktualisieren aus. Dadurch wird der Bericht mit Ihren eigenen Daten aktualisiert.
Wenn Probleme auftreten, helfen wir Ihnen. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.