Microsoft Sentinel-Integration (Vorschau)
Sie können Microsoft Defender for Cloud Apps in Microsoft Sentinel (ein skalierbares, cloudnatives SIEM und SOAR) integrieren, um eine zentralisierte Überwachung von Warnungen und Ermittlungsdaten zu ermöglichen. Die Integration in Microsoft Sentinel ermöglicht es Ihnen, Ihre Cloudanwendungen besser zu schützen, während Sie Ihren üblichen Sicherheitsworkflow beibehalten, Sicherheitsverfahren automatisieren und zwischen cloudbasierten und lokalen Ereignissen korrelieren.
Die Verwendung von Microsoft Sentinel bietet folgende Vorteile:
- Längere Datenaufbewahrung, die von Log Analytics bereitgestellt wird.
- Sofort einsatzbereite Visualisierungen.
- Verwenden Sie Tools wie Microsoft Power BI oder Microsoft Sentinel Arbeitsmappen, um Eigene Visualisierungen für Ermittlungsdaten zu erstellen, die den Anforderungen Ihrer Organisation entsprechen.
Weitere Integrationslösungen umfassen:
- Generische SIEMs: Integrieren Sie Defender for Cloud Apps in Ihren generischen SIEM-Server. Informationen zur Integration in ein generisches SIEM finden Sie unter Generische SIEM-Integration.
- Microsoft Security Graph-API : Ein zwischengeschalteter Dienst (oder Broker), der eine einzige programmgesteuerte Schnittstelle zum Verbinden mehrerer Sicherheitsanbieter bereitstellt. Weitere Informationen finden Sie unter Integrationen von Sicherheitslösungen mithilfe der Microsoft Graph-Sicherheits-API.
Die Integration in Microsoft Sentinel umfasst die Konfiguration in Defender for Cloud Apps und Microsoft Sentinel.
Voraussetzungen
So integrieren Sie Microsoft Sentinel:
- Sie müssen über eine gültige Microsoft Sentinel-Lizenz verfügen.
- Sie müssen mindestens ein Sicherheitsadministrator in Ihrem Mandanten sein.
Unterstützung der US-Regierung
Die direkte Defender for Cloud Apps - Microsoft Sentinel Integration ist nur für gewerbliche Kunden verfügbar.
Alle Defender for Cloud Apps Daten sind jedoch in Microsoft Defender XDR verfügbar und daher in Microsoft Sentinel über den Microsoft Defender XDR-Connector verfügbar.
Es wird empfohlen, dass GCC-, GCC High- und DoD-Kunden, die an Defender for Cloud Apps Daten in Microsoft Sentinel die Microsoft Defender XDR-Lösung installieren möchten.
Weitere Informationen finden Sie unter:
- Microsoft Defender XDR Integration mit Microsoft Sentinel
- Microsoft Defender for Cloud Apps für Angebote der US-Regierung
Integration in Microsoft Sentinel
Wählen Sie im Microsoft Defender Portal Einstellungen > Cloud-Apps aus.
Wählen Sie unter Systemdie Option SIEM-Agents > SIEM-Agent > Sentinel hinzufügen aus. Zum Beispiel:
Hinweis
Die Option zum Hinzufügen von Microsoft Sentinel ist nicht verfügbar, wenn Sie die Integration zuvor durchgeführt haben.
Wählen Sie im Assistenten die Datentypen aus, die Sie an Microsoft Sentinel weiterleiten möchten. Sie können die Integration wie folgt konfigurieren:
- Warnungen: Warnungen werden automatisch aktiviert, sobald Microsoft Sentinel aktiviert ist.
- Ermittlungsprotokolle: Verwenden Sie den Schieberegler, um sie zu aktivieren und zu deaktivieren. Standardmäßig ist alles ausgewählt, und verwenden Sie dann die Dropdownliste Anwenden für, um zu filtern, welche Ermittlungsprotokolle an Microsoft Sentinel gesendet werden.
Zum Beispiel:
Wählen Sie Weiter aus, und fahren Sie mit Microsoft Sentinel fort, um die Integration abzuschließen. Informationen zum Konfigurieren von Microsoft Sentinel finden Sie unter Microsoft Sentinel-Datenconnector für Defender for Cloud Apps. Zum Beispiel:
Hinweis
Neue Ermittlungsprotokolle werden in der Regel innerhalb von 15 Minuten nach der Konfiguration im Defender for Cloud Apps-Portal in Microsoft Sentinel angezeigt. Abhängig von den Bedingungen der Systemumgebung kann dies jedoch länger dauern. Weitere Informationen finden Sie unter Behandeln der Erfassungsverzögerung in Analyseregeln.
Warnungen und Ermittlungsprotokolle in Microsoft Sentinel
Nach Abschluss der Integration können Sie Defender for Cloud Apps Warnungen und Ermittlungsprotokolle in Microsoft Sentinel anzeigen.
In Microsoft Sentinel finden Sie unter Protokolle unter Security Insights die Protokolle für die Defender for Cloud Apps Datentypen wie folgt:
| Datentyp | Tabelle |
|---|---|
| Ermittlungsprotokolle | McasShadowItReporting |
| Warnungen | SecurityAlert |
In der folgenden Tabelle werden die einzelnen Felder im McasShadowItReporting-Schema beschrieben:
| Feld | Typ | Beschreibung | Beispiele |
|---|---|---|---|
| TenantId | String | Arbeitsbereichs-ID | b459b4u5-912x-46d5-9cb1-p43069212nb4 |
| SourceSystem | String | Quellsystem – statischer Wert | Azure |
| TimeGenerated [UTC] | DateTime | Datum der Ermittlungsdaten | 2019-07-23T11:00:35.858Z |
| StreamName | String | Name des bestimmten Datenstroms | Marketingabteilung |
| TotalEvents | Ganze Zahl | Gesamtanzahl von Ereignissen pro Sitzung | 122 |
| BlockedEvents | Ganze Zahl | Anzahl blockierter Ereignisse | 0 |
| UploadedBytes | Ganze Zahl | Menge der hochgeladenen Daten | 1,514,874 |
| TotalBytes | Ganze Zahl | Die Gesamtmenge der Daten | 4,067,785 |
| DownloadedBytes | Ganze Zahl | Menge der heruntergeladenen Daten | 2,552,911 |
| IpAddress | String | Quell-IP-Adresse | 127.0.0.0 |
| UserName | String | Benutzername | Raegan@contoso.com |
| EnrichedUserName | String | Angereicherter Benutzername mit Microsoft Entra Benutzernamen | Raegan@contoso.com |
| AppName | String | Name der Cloud-App | Microsoft OneDrive for Business |
| AppId | Ganze Zahl | Bezeichner der Cloud-App | 15600 |
| AppCategory | String | Kategorie der Cloud-App | Cloudspeicher |
| AppTags | Zeichenfolgenarray | Integrierte und benutzerdefinierte Tags, die für die App definiert sind | ["sanktioniert"] |
| AppScore | Ganze Zahl | Die Risikobewertung der App in einer Skala von 0 bis 10, wobei 10 eine Bewertung für eine nicht riskante App ist | 10 |
| Typ | String | Protokolltyp – statischer Wert | McasShadowItReporting |
Verwenden von Power BI mit Defender for Cloud Apps Daten in Microsoft Sentinel
Nach Abschluss der Integration können Sie die in Microsoft Sentinel gespeicherten Defender for Cloud Apps Daten auch in anderen Tools verwenden.
In diesem Abschnitt wird beschrieben, wie Sie Microsoft Power BI verwenden können, um Daten einfach zu strukturieren und zu kombinieren, um Berichte und Dashboards zu erstellen, die den Anforderungen Ihrer organization entsprechen.
Erste Schritte:
Importieren Sie in Power BI Abfragen aus Microsoft Sentinel für Defender for Cloud Apps Daten. Weitere Informationen finden Sie unter Importieren von Azure Monitor-Protokolldaten in Power BI.
Installieren Sie die Defender for Cloud Apps Schatten-IT-Ermittlungs-App, und verbinden Sie sie mit Ihren Ermittlungsprotokolldaten, um die integrierte Schatten-IT-Ermittlungs-Dashboard anzuzeigen.
Hinweis
Derzeit wird die App nicht in Microsoft AppSource veröffentlicht. Daher müssen Sie sich möglicherweise an Ihren Power BI-Administrator wenden, um Berechtigungen zum Installieren der App zu erfragen.
Zum Beispiel:
Optional können Sie benutzerdefinierte Dashboards in Power BI Desktop erstellen und an die Anforderungen ihrer organization für visuelle Analysen und Berichterstellung anpassen.
Verbinden der Defender for Cloud Apps-App
Wählen Sie in Power BI Apps > Schatten-IT-Ermittlungs-App aus.
Wählen Sie auf der Seite Erste Schritte mit Ihrer neuen Appdie Option Verbinden aus. Zum Beispiel:
Geben Sie auf der Seite Workspace ID (Arbeitsbereichs-ID) Ihre Microsoft Sentinel Arbeitsbereichs-ID ein, wie auf der Log Analytics-Übersichtsseite angezeigt, und wählen Sie dann Weiter aus. Zum Beispiel:
Geben Sie auf der Seite Authentifizierung die Authentifizierungsmethode und die Datenschutzebene an, und wählen Sie dann Anmelden aus. Zum Beispiel:
Navigieren Sie nach dem Verbinden Ihrer Daten zur Registerkarte Datasets für den Arbeitsbereich, und wählen Sie Aktualisieren aus. Dadurch wird der Bericht mit Ihren eigenen Daten aktualisiert.
Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.