Microsoft Sentinel integrering (förhandsversion)
Du kan integrera Microsoft Defender for Cloud Apps med Microsoft Sentinel (en skalbar, molnbaserad SIEM och SOAR) för att möjliggöra centraliserad övervakning av aviseringar och identifieringsdata. Genom att integrera med Microsoft Sentinel kan du bättre skydda dina molnprogram samtidigt som du underhåller ditt vanliga säkerhetsarbetsflöde, automatiserar säkerhetsprocedurer och korrelerar mellan molnbaserade och lokala händelser.
Fördelarna med att använda Microsoft Sentinel är:
- Längre datakvarhållning tillhandahålls av Log Analytics.
- Färdiga visualiseringar.
- Använd verktyg som Microsoft Power BI eller Microsoft Sentinel-arbetsböcker för att skapa egna identifieringsdatavisualiseringar som passar organisationens behov.
Ytterligare integreringslösningar är:
- Allmänna SIEM:er – Integrera Defender for Cloud Apps med den allmänna SIEM-servern. Information om hur du integrerar med en allmän SIEM finns i Allmän SIEM-integrering.
- Microsoft Security Graph API – en mellanliggande tjänst (eller asynkron meddelandekö) som tillhandahåller ett enda programmatiskt gränssnitt för att ansluta flera säkerhetsleverantörer. Mer information finns i Integrering av säkerhetslösningar med hjälp av Microsoft Graph-API för säkerhet.
Integrering med Microsoft Sentinel omfattar konfiguration i både Defender for Cloud Apps och Microsoft Sentinel.
Förhandskrav
Så här integrerar du med Microsoft Sentinel:
- Du måste ha en giltig Microsoft Sentinel licens
- Du måste vara minst säkerhetsadministratör i din klientorganisation.
Stöd för amerikanska myndigheter
Direkt Defender for Cloud Apps – Microsoft Sentinel integrering är endast tillgängligt för kommersiella kunder.
Alla Defender for Cloud Apps data är dock tillgängliga i Microsoft Defender XDR och är därför tillgängliga i Microsoft Sentinel via Microsoft Defender XDR-anslutningsappen.
Vi rekommenderar att GCC-, GCC High- och DoD-kunder som är intresserade av att se Defender for Cloud Apps data i Microsoft Sentinel installera den Microsoft Defender XDR lösningen.
Mer information finns i:
- Microsoft Defender XDR integrering med Microsoft Sentinel
- Microsoft Defender for Cloud Apps för erbjudanden från amerikanska myndigheter
Integrera med Microsoft Sentinel
I Microsoft Defender-portalen väljer du Inställningar > Molnappar.
Under System väljer du SIEM-agenter > Lägg till SIEM-agent > Sentinel. Till exempel:
Obs!
Alternativet att lägga till Microsoft Sentinel är inte tillgängligt om du tidigare har utfört integreringen.
I guiden väljer du de datatyper som du vill vidarebefordra till Microsoft Sentinel. Du kan konfigurera integreringen på följande sätt:
- Aviseringar: Aviseringar aktiveras automatiskt när Microsoft Sentinel har aktiverats.
- Identifieringsloggar: Använd skjutreglaget för att aktivera och inaktivera dem, som standard är allt markerat och använd sedan listrutan Tillämpa på för att filtrera vilka identifieringsloggar som skickas till Microsoft Sentinel.
Till exempel:
Välj Nästa och fortsätt att Microsoft Sentinel för att slutföra integreringen. Information om hur du konfigurerar Microsoft Sentinel finns i Microsoft Sentinel dataanslutning för Defender for Cloud Apps. Till exempel:
Obs!
Nya identifieringsloggar visas vanligtvis i Microsoft Sentinel inom 15 minuter efter att de konfigurerats i Defender for Cloud Apps-portalen. Det kan dock ta längre tid beroende på systemmiljöns villkor. Mer information finns i Hantera inmatningsfördröjning i analysregler.
Aviseringar och identifieringsloggar i Microsoft Sentinel
När integreringen är klar kan du visa Defender for Cloud Apps aviseringar och identifieringsloggar i Microsoft Sentinel.
I Microsoft Sentinel, under Loggar, under Security Insights, hittar du loggarna för de Defender for Cloud Apps datatyperna enligt följande:
| Datatyp | Tabell |
|---|---|
| Identifieringsloggar | McasShadowItReporting |
| Varningar | SecurityAlert |
I följande tabell beskrivs varje fält i schemat McasShadowItReporting :
| Fält | Typ | Beskrivning | Exempel |
|---|---|---|---|
| TenantId | Sträng | Arbetsyte-ID | b459b4u5-912x-46d5-9cb1-p43069212nb4 |
| SourceSystem | Sträng | Källsystem – statiskt värde | Azure |
| TimeGenerated [UTC] | DateTime | Datum för identifieringsdata | 2019-07-23T11:00:35.858Z |
| StreamName | Sträng | Namnet på den specifika dataströmmen | Marknadsföringsavdelning |
| TotalEvents | Heltal | Totalt antal händelser per session | 122 |
| BlockedEvents | Heltal | Antal blockerade händelser | 0 |
| UploadedBytes | Heltal | Mängden uppladdade data | 1,514,874 |
| Totalbyte | Heltal | Total mängd data | 4,067,785 |
| DownloadedBytes | Heltal | Mängden nedladdade data | 2,552,911 |
| IpAddress | Sträng | Källans IP-adress | 127.0.0.0 |
| Användarnamn | Sträng | Användarnamn | Raegan@contoso.com |
| EnrichedUserName | Sträng | Utökat användarnamn med Microsoft Entra användarnamn | Raegan@contoso.com |
| AppName | Sträng | Namnet på molnappen | Microsoft OneDrive för företag |
| AppId | Heltal | Molnappidentifierare | 15600 |
| AppCategory | Sträng | Kategori för molnapp | Molnlagring |
| AppTags | Strängmatris | Inbyggda och anpassade taggar som definierats för appen | ["sanktionerad"] |
| AppScore | Heltal | Riskpoängen för appen i en skala 0–10, 10 är en poäng för en icke-riskfylld app | 10 |
| Typ | Sträng | Typ av loggar – statiskt värde | McasShadowItReporting |
Använda Power BI med Defender for Cloud Apps data i Microsoft Sentinel
När integreringen är klar kan du också använda Defender for Cloud Apps data som lagras i Microsoft Sentinel i andra verktyg.
I det här avsnittet beskrivs hur du kan använda Microsoft Power BI för att enkelt forma och kombinera data för att skapa rapporter och instrumentpaneler som uppfyller organisationens behov.
Så här kommer du igång:
I Power BI importerar du frågor från Microsoft Sentinel för Defender for Cloud Apps data. Mer information finns i Importera Azure Monitor-loggdata till Power BI.
Installera Defender for Cloud Apps Shadow IT Discovery-appen och anslut den till dina identifieringsloggdata för att visa den inbyggda instrumentpanelen för Shadow IT Discovery.
Obs!
För närvarande publiceras inte appen på Microsoft AppSource. Därför kan du behöva kontakta Power BI-administratören för att få behörighet att installera appen.
Till exempel:
Du kan också skapa anpassade instrumentpaneler i Power BI Desktop och justera dem så att de passar organisationens krav på visuell analys och rapportering.
Ansluta Defender for Cloud Apps-appen
I Power BI väljer du Appar > Shadow IT Discovery-app .
På sidan Kom igång med din nya app väljer du Anslut. Till exempel:
På arbetsytans ID-sida anger du ditt Microsoft Sentinel arbetsyte-ID som visas på översiktssidan för Log Analytics och väljer sedan Nästa. Till exempel:
På autentiseringssidan anger du autentiseringsmetod och sekretessnivå och väljer sedan Logga in. Till exempel:
När du har anslutit dina data går du till fliken Datauppsättningar för arbetsytan och väljer Uppdatera. Då uppdateras rapporten med dina egna data.
Om du stöter på problem är vi här för att hjälpa till. Om du vill ha hjälp eller support för ditt produktproblem öppnar du ett supportärende.