Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Важно!
Уведомление об устаревании: агенты SIEM Microsoft Defender for Cloud Apps
В рамках текущего процесса конвергенции во всех рабочих нагрузках Microsoft Defender агенты SIEM Microsoft Defender for Cloud Apps будут выведены из эксплуатации начиная с ноября 2025 г.
Существующие агенты SIEM Microsoft Defender for Cloud Apps будут продолжать функционировать до ноября 2025 года. По состоянию на 19 июня 2025 г. новые агенты SIEM не могут быть настроены, но Microsoft Sentinel интеграции агентов (предварительная версия) будет поддерживаться и добавляться по-прежнему.
Рекомендуется перейти на API- интерфейсы, поддерживающие управление действиями и оповещениями из нескольких рабочих нагрузок. Эти API-интерфейсы повышают уровень мониторинга и управления безопасностью и предоставляют дополнительные возможности с использованием данных из нескольких рабочих нагрузок Microsoft Defender.
Чтобы обеспечить непрерывность и доступ к данным, доступным через агенты SIEM Microsoft Defender for Cloud Apps, рекомендуется перейти к поддерживаемым API, таким как API потоковой передачи Microsoft Defender XDR, IdentityLogonEvents, API оповещений системы безопасности Microsoft Graph и API инцидентов Microsoft Defender XDR:
- Оповещения и действия см. в разделе API потоковой передачи Microsoft Defender XDR.
- Сведения о событиях входа в систему Защита Microsoft Entra ID см. в таблице IdentityLogonEvents в схеме расширенного поиска.
- Api оповещений системы безопасности Microsoft Graph см. в статье Список alerts_v2
- Чтобы просмотреть данные оповещений Microsoft Defender for Cloud Apps в API инцидентов Microsoft Defender XDR, см. раздел API инцидентов Microsoft Defender XDR и тип ресурса инцидентов
Вы можете интегрировать Microsoft Defender for Cloud Apps с Microsoft Sentinel (масштабируемыми облачными SIEM и SOAR), чтобы обеспечить централизованный мониторинг оповещений и данных обнаружения. Интеграция с Microsoft Sentinel позволяет лучше защищать облачные приложения, поддерживая обычный рабочий процесс безопасности, автоматив процедуры безопасности и сопоставляя события в облаке и локальной среде.
Преимущества использования Microsoft Sentinel:
- Более длительное хранение данных, предоставляемое Log Analytics.
- Готовые визуализации.
- Используйте такие средства, как Microsoft Power BI или книги Microsoft Sentinel, чтобы создать собственные визуализации данных обнаружения, которые соответствуют потребностям вашей организации.
Другие поддерживаемые решения интеграции для Defender for Cloud Apps включают:
- Универсальные SIEM-системы - Интегрируйте Defender for Cloud Apps с вашим универсальным SIEM-сервером. Сведения об интеграции с универсальным SIEM см. в разделе Универсальная интеграция SIEM.
- API Графа безопасности Майкрософт — служба-посредник (или брокер), которая предоставляет единый программный интерфейс для подключения нескольких поставщиков безопасности. Дополнительные сведения см. в статье Интеграция решений безопасности с помощью API безопасности Microsoft Graph.
Интеграция с Microsoft Sentinel включает конфигурацию как в Defender for Cloud Apps, так и в Microsoft Sentinel.
Предварительные условия
Чтобы интегрироваться с Microsoft Sentinel, выполните приведенные далее действия.
- У вас должна быть действительная лицензия Microsoft Sentinel
- Вы должны быть как минимум Администратором безопасности в вашем арендаторе.
Поддержка правительства США
Прямая Defender for Cloud Apps — Microsoft Sentinel интеграция доступна только для коммерческих клиентов.
Однако все Defender for Cloud Apps данные доступны в Microsoft Defender XDR и, следовательно, доступны в Microsoft Sentinel через соединитель Microsoft Defender XDR.
Мы рекомендуем клиентам GCC, GCC High и DoD, которые хотят видеть данные Defender for Cloud Apps в Microsoft Sentinel, установить решение Microsoft Defender XDR.
Дополнительные сведения см. в разделе:
- интеграция Microsoft Defender XDR с Microsoft Sentinel
- Предложения Microsoft Defender for Cloud Apps для государственных организаций США
Интеграция с Microsoft Sentinel
На портале Microsoft Defender выберите Параметры Облачные > приложения.
В разделе Система выберите Агенты SIEM > Добавить агент SIEM > Sentinel. Например, вы можете:
Примечание.
Параметр добавления Microsoft Sentinel недоступен, если вы ранее выполняли интеграцию.
В мастере выберите типы данных, которые нужно перенаправить в Microsoft Sentinel. Интеграцию можно настроить следующим образом:
- Оповещения. Оповещения автоматически включаются после включения Microsoft Sentinel.
- Журналы обнаружения. Используйте ползунок, чтобы включить и отключить их. По умолчанию выбрано все, а затем используйте раскрывающийся список Применить к, чтобы отфильтровать, какие журналы обнаружения отправляются в Microsoft Sentinel.
Например, вы можете:
Нажмите кнопку Далее и перейдите к Microsoft Sentinel, чтобы завершить интеграцию. Сведения о настройке Microsoft Sentinel см. в статье Соединитель данных Microsoft Sentinel для Defender for Cloud Apps. Например, вы можете:
Примечание.
Новые журналы обнаружения обычно отображаются в Microsoft Sentinel в течение 15 минут после их настройки в Defender for Cloud Apps. Однако это может занять больше времени в зависимости от условий системной среды. Дополнительные сведения см. в разделе Обработка задержки приема данных в правилах аналитики.
Оповещения и журналы обнаружения в Microsoft Sentinel
После завершения интеграции вы можете просматривать Defender for Cloud Apps оповещения и журналы обнаружения в Microsoft Sentinel.
В Microsoft Sentinel в разделе Журналы в разделе Аналитика безопасности можно найти журналы для Defender for Cloud Apps типов данных следующим образом:
| Тип данных | Таблица |
|---|---|
| Журналы обнаружения | McasShadowItReporting |
| Оповещения | Оповещение безопасности |
В следующей таблице описано каждое поле в схеме McasShadowItReporting :
| Поле | Тип | Описание | Примеры |
|---|---|---|---|
| Идентификатор клиента | String | Идентификатор рабочей области | aaaabbbb-0000-cccc-1111-dddd2222eeee |
| SourceSystem | String | Исходная система — статическое значение | Azure |
| Время создания [UTC] | DateTime | Дата обнаружения данных | 2019-07-23T11:00:35.858Z |
| StreamName | String | Имя конкретного потока | Отдел маркетинга |
| TotalEvents | Целое число | Общее количество событий в сеансе | 122 |
| Заблокированные события | Целое число | Количество заблокированных событий | 0 |
| UploadedBytes | Целое число | Объем отправленных данных | 1,514,874 |
| Всего байт | Целое число | Общий объем данных | 4,067,785 |
| Скачанные байты | Целое число | Объем скачанных данных | 2,552,911 |
| IpAddress | String | Исходный IP-адрес | 127.0.0.0 |
| UserName | String | Имя пользователя | Raegan@contoso.com |
| EnrichedUserName | String | Имя пользователя, обогащенное именем пользователя Microsoft Entra | Raegan@contoso.com |
| AppName | String | Имя облачного приложения | Microsoft OneDrive для бизнеса |
| Appid | Целое число | Идентификатор облачного приложения | 15600 |
| AppCategory | String | Категория облачного приложения | Облачное хранилище |
| AppTags | Массив строк | Встроенные и настраиваемые теги, определенные для приложения | ["санкционировано"] |
| AppScore | Целое число | Оценка риска приложения по шкале от 0 до 10, 10 — оценка для приложения, не являющегося рискованным | 10 |
| Тип | String | Тип журналов — статическое значение | McasShadowItReporting |
Использование Power BI с данными Defender for Cloud Apps в Microsoft Sentinel
После завершения интеграции можно также использовать Defender for Cloud Apps данные, хранящиеся в Microsoft Sentinel в других средствах.
Вы можете использовать Microsoft Power BI с данными Defender for Cloud Apps в Microsoft Sentinel для формирования и объединения данных и создания отчетов и панелей мониторинга, которые соответствуют потребностям вашей организации.
Для начала сделайте следующее:
В Power BI импортируйте запросы из Microsoft Sentinel для данных Defender for Cloud Apps. Дополнительные сведения см. в статье Импорт данных журнала Azure Monitor в Power BI.
Установите приложение Defender for Cloud Apps для обнаружения теневых ИТ-приложений и подключите его к данным журнала обнаружения, чтобы просмотреть встроенную панель мониторинга обнаружения теневых ИТ-приложений. Чтобы подключить приложение, откройте его в Power BI, выберите "Подключиться", введите идентификатор Microsoft Sentinel рабочей области и войдите в систему. Подробные инструкции см. в статье "Подключение приложения Defender for Cloud Apps".
Примечание.
В настоящее время приложение не опубликовано в Microsoft AppSource. Поэтому вам может потребоваться обратиться к администратору Power BI за разрешениями на установку приложения.
Например, вы можете:
При необходимости создайте пользовательские панели мониторинга в Power BI Desktop и настройте их в соответствии с требованиями к визуальной аналитике и отчетности вашей организации.
Подключение приложения Defender for Cloud Apps
Выполните следующие действия, чтобы подключить в Power BI приложение Shadow IT Discovery для Defender for Cloud Apps.
В Power BI выберите приложение Apps > Shadow IT Discovery.
На странице Начало работы с новым приложением выберите Подключиться. Например, вы можете:
На странице «Идентификатор рабочей области» введите идентификатор рабочей области Microsoft Sentinel, как он отображается на странице обзора Log Analytics, а затем выберите Далее. Например, вы можете:
На странице проверки подлинности укажите метод проверки подлинности и уровень конфиденциальности, а затем выберите Войти. Например, вы можете:
После подключения данных перейдите на вкладку Наборы данных рабочей области и выберите Обновить. Это обновит отчет вашими собственными данными.
Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.