Microsoft Sentinel 集成(预览版)

你可以将 Microsoft Defender for Cloud Apps 与 Microsoft Sentinel(可缩放的云原生 SIEM 和 SOAR)集成,以便集中监视警报和发现数据。 通过与 Microsoft Sentinel 服务集成,可以更好地保护云应用程序,同时保持正常的安全工作流、自动执行安全过程,并将基于云的事件与本地事件关联。

使用 Microsoft Sentinel 的优势包括:

  • Log Analytics 提供更长的数据保留时间。
  • 开箱即用的可视化效果。
  • 使用 Microsoft Power BI 或 Microsoft Sentinel 工作簿等工具创建自己的发现数据可视化效果,以满足组织需求。

其他集成解决方案包括:

与 Microsoft Sentinel 集成涉及到 Defender for Cloud Apps 和 Microsoft Sentinel 中的配置。

先决条件

与 Microsoft Sentinel 集成:

  • 必须具有有效的 Microsoft Sentinel 许可证。
  • 你必须至少是租户中的安全管理员。

美国政府支持

直接 Defender for Cloud Apps - Microsoft Sentinel 集成仅适用于商业客户。

但是,Microsoft Defender XDR 中提供了所有 Defender for Cloud Apps 数据,因此可通过 Microsoft Defender XDR 连接器在 Microsoft Sentinel 中访问这些数据。

建议在 Microsoft Sentinel 中查看 Defender for Cloud Apps 数据的 GCC、GCC High 和 DoD 客户安装 Microsoft Defender XDR 解决方案。

有关详细信息,请参阅:

与 Microsoft Sentinel 集成

  1. 在 Microsoft Defender 门户,选择“设置”>“云应用”

  2. 在“系统”下,选择“SIEM 代理>添加 SIEM 代理 > Sentinel”。 例如:

    显示“添加 SIEM 集成”菜单的屏幕截图。

    注意

    如果之前已执行集成,则添加 Microsoft Sentinel 的选项不可用。

  3. 在向导中,选择要转发到 Microsoft Sentinel 的数据类型。 可以将集成配置如下:

    • 警报:启用 Microsoft Sentinel 后,警报会自动打开。
    • 发现日志:使用滑块启用和禁用这些日志,默认情况下已选中所有内容,然后使用“应用到”下拉列表筛选发送到 Microsoft Sentinel 的发现日志。

    例如:

    显示配置 Microsoft Sentinel 集成起始页的屏幕截图。

  4. 选择“下一步”,然后继续转到 Microsoft Sentinel 以完成集成。 有关配置 Microsoft Sentinel 的信息,请参阅 Defender for Cloud Apps 的 Microsoft Sentinel 数据连接器。 例如:

    显示配置 Microsoft Sentinel 集成完成页的屏幕截图。

注意

新的发现日志通常会在 Defender for Cloud Apps 门户中配置后 15 分钟内出现在 Microsoft Sentinel 中。 但是,根据系统环境条件,可能需要更长的时间。 有关详细信息,请参阅处理分析规则中的引入延迟

Microsoft Sentinel 中的警报和发现日志

集成完成后,可在 Microsoft Sentinel 中查看 Defender for Cloud Apps 警报和发现日志。

在 Microsoft Sentinel 中“日志”的“安全见解”下,可以找到 Defender for Cloud Apps 数据类型的日志,如下所示:

Data type
发现日志 McasShadowItReporting
警报 SecurityAlert

下表描述了 McasShadowItReporting 架构中的每个字段:

字段 类型​​ 说明 示例
TenantId 字符串 工作区 ID b459b4u5-912x-46d5-9cb1-p43069212nb4
SourceSystem 字符串 源系统 - 静态值 Azure
TimeGenerated [UTC] DateTime 发现数据的日期 2019-07-23T11:00:35.858Z
StreamName 字符串 特定流的名称 市场部门
TotalEvents Integer 每个会话的事件总数 122
BlockedEvents Integer 阻止的事件数 0
UploadedBytes Integer 上传的数据量 1,514,874
TotalBytes Integer 总数据量 4,067,785
DownloadedBytes Integer 下载的数据量 2,552,911
IpAddress 字符串 源 IP 地址 127.0.0.0
UserName 字符串 用户名 Raegan@contoso.com
EnrichedUserName 字符串 使用 Microsoft Entra 用户名扩充用户名 Raegan@contoso.com
应用名称 字符串 云应用的名称 适用于企业的 Microsoft OneDrive
AppId Integer 云应用标识符 15600
AppCategory 字符串 云应用的类别 云存储
AppTags 字符串数组 为应用定义的内置和自定义标记 ["sanctioned"]
AppScore Integer 应用的风险评分为 0-10 分,10 分为无风险应用的评分 10
类型 字符串 日志类型 - 静态值 McasShadowItReporting

将 Power BI 与 Microsoft Sentinel 中的 Defender for Cloud Apps 数据结合使用

集成完成后,还可以在其他工具中使用 Microsoft Sentinel 中存储的 Defender for Cloud Apps 数据。

本部分介绍如何使用 Microsoft Power BI 轻松调整和合并数据,以生成满足组织需求的报告和仪表板。

开始操作:

  1. 在 Power BI 中,从 Microsoft Sentinel 的 Defender for Cloud Apps 数据导入查询。 有关详细信息,请参阅将 Azure Monitor 日志数据导入 Power BI

  2. 安装 Defender for Cloud Shadow IT Discovery 应用并将其连接到发现日志数据,以查看内置的 Shadow IT Discovery 仪表板。

    注意

    目前,该应用未在 Microsoft AppSource 上发布。 因此,可能需要联系 Power BI 管理员,以获取安装该应用的权限。

    例如:

    显示 Shadow IT Discovery 仪表板的屏幕截图。

  3. (可选)在 Power BI Desktop 中生成自定义仪表板,并对其进行调整以适应组织的可视化分析和报告要求。

连接 Defender for Cloud Apps 应用

  1. 在 Power BI 中,选择 “应用 > 影子 IT 发现”应用。

  2. 在“开始使用新应用”页面,选择“连接”。 例如:

    显示连接应用数据页的屏幕截图。

  3. 在工作区 ID 页上,输入日志分析概述页面中显示的 Microsoft Sentinel 工作区 ID,然后选择“下一步”。 例如:

    显示工作区 ID 请求的屏幕截图。

  4. 在身份验证页上,指定身份验证方法和隐私级别,然后选择“登录”。 例如:

    显示“身份验证”页的屏幕截图。

  5. 连接数据后,转到工作区的“数据集”选项卡,然后选择“刷新”。 此操作将使用自己的数据更新报告。

如果遇到任何问题,我们随时提供帮助。 要获取产品问题的帮助或支持,请开立支持票证