Condividi tramite


Integrazione di Microsoft Sentinel (anteprima)

È possibile integrare Microsoft Defender per il cloud Apps con Microsoft Sentinel (una soluzione SIEM e SOAR nativa del cloud scalabile) per abilitare il monitoraggio centralizzato degli avvisi e dei dati di individuazione. L'integrazione con Microsoft Sentinel consente di proteggere meglio le applicazioni cloud mantenendo il flusso di lavoro di sicurezza consueto, automatizzando le procedure di sicurezza e correlando tra eventi locali e basati sul cloud.

I vantaggi dell'uso di Microsoft Sentinel includono:

  • Conservazione dei dati più lunga fornita da Log Analitica.
  • Visualizzazioni predefinite.
  • Usare strumenti come Microsoft Power BI o cartelle di lavoro di Microsoft Sentinel per creare visualizzazioni dei dati di individuazione personalizzate in base alle esigenze dell'organizzazione.

Altre soluzioni di integrazione includono:

L'integrazione con Microsoft Sentinel include la configurazione sia in Defender per il cloud Apps che in Microsoft Sentinel.

Prerequisiti

Per l'integrazione con Microsoft Sentinel:

  • È necessario disporre di una licenza valida di Microsoft Sentinel
  • È necessario essere almeno un amministratore della sicurezza nel tenant.

Supporto per il governo degli Stati Uniti

L'integrazione diretta Defender per il cloud Apps - Microsoft Sentinel è disponibile solo per i clienti commerciali.

Tuttavia, tutti i dati delle app di Defender per il cloud sono disponibili in Microsoft Defender XDR e pertanto disponibili in Microsoft Sentinel tramite il connettore Microsoft Defender XDR.

È consigliabile che i clienti GCC, GCC High e DoD interessati a visualizzare i dati delle app Defender per il cloud in Microsoft Sentinel installino la soluzione Microsoft Defender XDR.

Per altre informazioni, vedi:

Integrazione con Microsoft Sentinel

  1. Nel portale di Microsoft Defender selezionare Impostazioni > app cloud.

  2. In Sistema selezionare Agenti > SIEM Aggiungi agente > SIEM Sentinel. Ad esempio:

    Screenshot che mostra il menu Aggiungi integrazione SIEM.

    Nota

    L'opzione per aggiungere Microsoft Sentinel non è disponibile se in precedenza è stata eseguita l'integrazione.

  3. Nella procedura guidata selezionare i tipi di dati da inoltrare a Microsoft Sentinel. È possibile configurare l'integrazione, come indicato di seguito:

    • Avvisi: gli avvisi vengono attivati automaticamente dopo l'abilitazione di Microsoft Sentinel.
    • Log di individuazione: usare il dispositivo di scorrimento per abilitarli e disabilitarli, per impostazione predefinita, tutti gli elementi sono selezionati e quindi usare l'elenco a discesa Applica a per filtrare i log di individuazione inviati a Microsoft Sentinel.

    Ad esempio:

    Screenshot che mostra la pagina iniziale di Configurare l'integrazione di Microsoft Sentinel.

  4. Selezionare Avanti e passare a Microsoft Sentinel per finalizzare l'integrazione. Per informazioni sulla configurazione di Microsoft Sentinel, vedere connettore dati di Microsoft Sentinel per Defender per il cloud Apps. Ad esempio:

    Screenshot che mostra la pagina di fine di Configurare l'integrazione di Microsoft Sentinel.

Nota

I nuovi log di individuazione verranno in genere visualizzati in Microsoft Sentinel entro 15 minuti dalla configurazione nel portale delle app di Defender per il cloud. Tuttavia, potrebbe essere necessario più tempo a seconda delle condizioni dell'ambiente di sistema. Per altre informazioni, vedere Gestire il ritardo di inserimento nelle regole di analitica.

Avvisi e log di individuazione in Microsoft Sentinel

Al termine dell'integrazione, è possibile visualizzare Defender per il cloud avvisi e log di individuazione delle app in Microsoft Sentinel.

In Microsoft Sentinel, in Log, in Security Insights, è possibile trovare i log per i tipi di dati Defender per il cloud Apps, come indicato di seguito:

Tipo di dati Tabella
Log di individuazione McasShadowItReporting
Avvisi SecurityAlert

La tabella seguente descrive ogni campo nello schema McasShadowItReporting :

Campo Tipo Descrizione Esempi
TenantId String ID area di lavoro b459b4u5-912x-46d5-9cb1-p43069212nb4
SourceSystem String Sistema di origine : valore statico Azure
TimeGenerated [UTC] Data/Ora Data di individuazione dei dati 2019-07-23T11:00:35.858Z
StreamName String Nome del flusso specifico Reparto marketing
TotalEvents Intero Numero totale di eventi per sessione 122
BlockedEvents Intero Numero di eventi bloccati 0
Byte caricati Intero Quantità di dati caricati 1,514,874
TotalBytes Intero Quantità totale di dati 4,067,785
DownloadedBytes Intero Quantità di dati scaricati 2,552,911
IpAddress String Indirizzo IP di origine 127.0.0.0
UserName String Nome utente Raegan@contoso.com
EnrichedUserName String Nome utente arricchito con il nome utente Microsoft Entra Raegan@contoso.com
AppName String Nome dell'app cloud Microsoft OneDrive for Business
AppId Intero Identificatore dell'app cloud 15600
AppCategory String Categoria di app cloud Archiviazione nel cloud
AppTag Matrice di stringhe Tag predefiniti e personalizzati definiti per l'app ["sanzionato"]
AppScore Intero Il punteggio di rischio dell'app in una scala da 0 a 10, 10 come punteggio per un'app non rischiosa 10
Tipo String Tipo di log : valore statico McasShadowItReporting

Usare Power BI con i dati delle app di Defender per il cloud in Microsoft Sentinel

Al termine dell'integrazione, è anche possibile usare i dati delle app di Defender per il cloud archiviati in Microsoft Sentinel in altri strumenti.

Questa sezione descrive come usare Microsoft Power BI per modellare e combinare facilmente i dati per creare report e dashboard che soddisfino le esigenze dell'organizzazione.

Attività iniziali:

  1. In Power BI importare query da Microsoft Sentinel per i dati delle app di Defender per il cloud. Per altre informazioni, vedere Importare i dati di log di Monitoraggio di Azure in Power BI.

  2. Installare l'app Shadow IT Discovery di app Defender per il cloud e connetterla ai dati del log di individuazione per visualizzare il dashboard predefinito di Shadow IT Discovery.

    Nota

    Attualmente, l'app non viene pubblicata in Microsoft AppSource. Potrebbe quindi essere necessario contattare l'amministratore di Power BI per ottenere le autorizzazioni per installare l'app.

    Ad esempio:

    Screenshot che mostra il dashboard Shadow IT Discovery.

  3. Facoltativamente, creare dashboard personalizzati in Power BI Desktop e modificarli in base ai requisiti di visualizzazione analitica e creazione di report dell'organizzazione.

Connettere l'app app Defender per il cloud

  1. In Power BI selezionare App > Shadow IT Discovery .

  2. Nella pagina Introduzione alla nuova app selezionare Connetti. Ad esempio:

    Screenshot che mostra la pagina connetti i dati dell'app.

  3. Nella pagina ID area di lavoro immettere l'ID dell'area di lavoro di Microsoft Sentinel come visualizzato nella pagina di panoramica del log analitica e quindi selezionare Avanti. Ad esempio:

    Screenshot che mostra la richiesta di ID area di lavoro.

  4. Nella pagina di autenticazione specificare il metodo di autenticazione e il livello di privacy e quindi selezionare Accedi. Ad esempio:

    Screenshot che mostra la pagina di autenticazione.

  5. Dopo aver connesso i dati, passare alla scheda Set di dati dell'area di lavoro e selezionare Aggiorna. In questo modo il report verrà aggiornato con i propri dati.

Se si verificano problemi, siamo qui per aiutare. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.