Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wichtig
Hinweis zur Einstellung: Microsoft Defender for Cloud Apps SIEM-Agents
Im Rahmen unseres kontinuierlichen Konvergenzprozesses für Microsoft Defender Workloads werden Microsoft Defender for Cloud Apps SIEM-Agents ab November 2025 eingestellt.
Vorhandene Microsoft Defender for Cloud Apps SIEM-Agents funktionieren bis zu diesem Zeitpunkt unverändert. Ab dem 19. Juni 2025 können keine neuen SIEM-Agents konfiguriert werden, aber die Microsoft Sentinel-Agent-Integration (Vorschau) wird weiterhin unterstützt und kann weiterhin hinzugefügt werden.
Es wird empfohlen, auf APIs umzusteigen, die die Verwaltung von Aktivitäten und Warnungsdaten aus mehreren Workloads unterstützen. Diese APIs verbessern die Sicherheitsüberwachung und -verwaltung und bieten zusätzliche Funktionen unter Verwendung von Daten aus mehreren Microsoft Defender Workloads.
Um Kontinuität und Zugriff auf Daten zu gewährleisten, die derzeit über Microsoft Defender for Cloud Apps SIEM-Agents verfügbar sind, empfehlen wir den Übergang zu den folgenden unterstützten APIs:
- Warnungen und Aktivitäten finden Sie unter Microsoft Defender XDR Streaming-API.
- Informationen zu Microsoft Entra ID Protection Anmeldeereignissen finden Sie in der Tabelle IdentityLogonEvents im Schema für die erweiterte Suche.
- Informationen zur Microsoft Graph-Sicherheitswarnungs-API finden Sie unter Auflisten alerts_v2
- Informationen zum Anzeigen von Microsoft Defender for Cloud Apps Warnungsdaten in der Microsoft Defender XDR-Incidents-API finden Sie unter apIs für Microsoft Defender XDR Incidents und den Ressourcentyp incidents.
Sie können Microsoft Defender for Cloud Apps in Microsoft Sentinel (ein skalierbares, cloudnatives SIEM und SOAR) integrieren, um eine zentralisierte Überwachung von Warnungen und Ermittlungsdaten zu ermöglichen. Die Integration in Microsoft Sentinel ermöglicht es Ihnen, Ihre Cloudanwendungen besser zu schützen, während Sie Ihren üblichen Sicherheitsworkflow beibehalten, Sicherheitsverfahren automatisieren und zwischen cloudbasierten und lokalen Ereignissen korrelieren.
Die Verwendung von Microsoft Sentinel bietet folgende Vorteile:
- Längere Datenaufbewahrung, die von Log Analytics bereitgestellt wird.
- Sofort einsatzbereite Visualisierungen.
- Verwenden Sie Tools wie Microsoft Power BI oder Microsoft Sentinel-Arbeitsmappen, um Eigene Visualisierungen für Ermittlungsdaten zu erstellen, die den Anforderungen Ihrer Organisation entsprechen.
Weitere Integrationslösungen umfassen:
- Generische SIEMs: Integrieren Sie Defender for Cloud Apps in Ihren generischen SIEM-Server. Informationen zur Integration in ein generisches SIEM finden Sie unter Generische SIEM-Integration.
- Microsoft Security Graph-API : Ein zwischengeschalteter Dienst (oder Broker), der eine einzige programmgesteuerte Schnittstelle zum Verbinden mehrerer Sicherheitsanbieter bereitstellt. Weitere Informationen finden Sie unter Integrationen von Sicherheitslösungen mithilfe der Microsoft Graph-Sicherheits-API.
Die Integration in Microsoft Sentinel umfasst die Konfiguration sowohl in Defender for Cloud Apps als auch in Microsoft Sentinel.
Voraussetzungen
So integrieren Sie Microsoft Sentinel:
- Sie benötigen eine gültige Microsoft Sentinel-Lizenz.
- Sie müssen mindestens ein Sicherheitsadministrator in Ihrem Mandanten sein.
Unterstützung der US-Regierung
Die direkte Defender for Cloud Apps – Microsoft Sentinel-Integration steht nur kommerziellen Kunden zur Verfügung.
Alle Defender for Cloud Apps Daten sind jedoch in Microsoft Defender XDR verfügbar und daher in Microsoft Sentinel über den Microsoft Defender XDR-Connector verfügbar.
Es wird empfohlen, dass GCC-, GCC High- und DoD-Kunden, die an Defender for Cloud Apps Daten in Microsoft Sentinel interessiert sind, die Microsoft Defender XDR-Lösung installieren.
Weitere Informationen finden Sie unter:
- Microsoft Defender XDR Integration mit Microsoft Sentinel
- Microsoft Defender for Cloud Apps für Angebote der US-Regierung
Integration in Microsoft Sentinel
Wählen Sie im Microsoft Defender Portal Einstellungen > Cloud-Apps aus.
Wählen Sie unter Systemdie Option SIEM-Agents > SIEM-Agent > sentinel hinzufügen aus. Zum Beispiel:
Hinweis
Die Option zum Hinzufügen von Microsoft Sentinel ist nicht verfügbar, wenn Sie die Integration zuvor durchgeführt haben.
Wählen Sie im Assistenten die Datentypen aus, die Sie an Microsoft Sentinel weiterleiten möchten. Sie können die Integration wie folgt konfigurieren:
- Warnungen: Warnungen werden automatisch aktiviert, sobald Microsoft Sentinel aktiviert ist.
- Ermittlungsprotokolle: Verwenden Sie den Schieberegler, um sie zu aktivieren und zu deaktivieren. Standardmäßig ist alles ausgewählt, und verwenden Sie dann die Dropdownliste Anwenden für , um zu filtern, welche Ermittlungsprotokolle an Microsoft Sentinel gesendet werden.
Zum Beispiel:
Wählen Sie Weiter aus, und fahren Sie mit Microsoft Sentinel fort, um die Integration abzuschließen. Informationen zum Konfigurieren von Microsoft Sentinel finden Sie unter Microsoft Sentinel-Datenconnector für Defender for Cloud Apps. Zum Beispiel:
Hinweis
Neue Ermittlungsprotokolle werden in der Regel innerhalb von 15 Minuten nach der Konfiguration in Defender for Cloud Apps in Microsoft Sentinel angezeigt. Abhängig von den Bedingungen der Systemumgebung kann dies jedoch länger dauern. Weitere Informationen finden Sie unter Behandeln der Erfassungsverzögerung in Analyseregeln.
Warnungen und Ermittlungsprotokolle in Microsoft Sentinel
Nach Abschluss der Integration können Sie Defender for Cloud Apps Warnungen und Ermittlungsprotokolle in Microsoft Sentinel anzeigen.
In Microsoft Sentinel finden Sie unter Protokolle unter Security Insights die Protokolle für die Defender for Cloud Apps Datentypen wie folgt:
| Datentyp | Tabelle |
|---|---|
| Ermittlungsprotokolle | McasShadowItReporting |
| Warnungen | SecurityAlert |
In der folgenden Tabelle werden die einzelnen Felder im McasShadowItReporting-Schema beschrieben:
| Feld | Typ | Beschreibung | Beispiele |
|---|---|---|---|
| TenantId | Zeichenfolge | Arbeitsbereichs-ID | b459b4u5-912x-46d5-9cb1-p43069212nb4 |
| SourceSystem | Zeichenfolge | Quellsystem – statischer Wert | Azure |
| TimeGenerated [UTC] | DateTime | Datum der Ermittlungsdaten | 2019-07-23T11:00:35.858Z |
| StreamName | Zeichenfolge | Name des bestimmten Datenstroms | Marketingabteilung |
| TotalEvents | Integer | Gesamtanzahl von Ereignissen pro Sitzung | 122 |
| BlockedEvents | Integer | Anzahl blockierter Ereignisse | 0 |
| UploadedBytes | Integer | Menge der hochgeladenen Daten | 1,514,874 |
| TotalBytes | Integer | Die Gesamtmenge der Daten | 4,067,785 |
| DownloadedBytes | Integer | Menge der heruntergeladenen Daten | 2,552,911 |
| IpAddress | Zeichenfolge | Quell-IP-Adresse | 127.0.0.0 |
| UserName | Zeichenfolge | Benutzername | Raegan@contoso.com |
| EnrichedUserName | Zeichenfolge | Angereicherter Benutzername mit Microsoft Entra Benutzernamen | Raegan@contoso.com |
| AppName | Zeichenfolge | Name der Cloud-App | Microsoft OneDrive for Business |
| AppId | Integer | Bezeichner der Cloud-App | 15600 |
| AppCategory | Zeichenfolge | Kategorie der Cloud-App | Cloudspeicher |
| AppTags | Zeichenfolgenarray | Integrierte und benutzerdefinierte Tags, die für die App definiert sind | ["sanktioniert"] |
| AppScore | Integer | Die Risikobewertung der App in einer Skala von 0 bis 10, wobei 10 eine Bewertung für eine nicht riskante App ist | 10 |
| Type | Zeichenfolge | Protokolltyp – statischer Wert | McasShadowItReporting |
Verwenden von Power BI mit Defender for Cloud Apps Daten in Microsoft Sentinel
Nach Abschluss der Integration können Sie die in Microsoft Sentinel gespeicherten Defender for Cloud Apps Daten auch in anderen Tools verwenden.
In diesem Abschnitt wird beschrieben, wie Sie Microsoft Power BI verwenden können, um Daten einfach zu strukturieren und zu kombinieren, um Berichte und Dashboards zu erstellen, die den Anforderungen Ihrer organization entsprechen.
Erste Schritte:
Importieren Sie in Power BI Abfragen aus Microsoft Sentinel für Defender for Cloud Apps Daten. Weitere Informationen finden Sie unter Importieren Azure Überwachen von Protokolldaten in Power BI.
Installieren Sie die Defender for Cloud Apps Schatten-IT-Ermittlungs-App, und verbinden Sie sie mit Ihren Ermittlungsprotokolldaten, um die integrierte Schatten-IT-Ermittlungs-Dashboard anzuzeigen.
Hinweis
Derzeit wird die App nicht in Microsoft AppSource veröffentlicht. Daher müssen Sie sich möglicherweise an Ihren Power BI-Administrator wenden, um Berechtigungen zum Installieren der App zu erfragen.
Zum Beispiel:
Optional können Sie benutzerdefinierte Dashboards in Power BI Desktop erstellen und an die Anforderungen ihrer organization für visuelle Analysen und Berichterstellung anpassen.
Verbinden der Defender for Cloud Apps-App
Wählen Sie in Power BI Apps > Schatten-IT-Ermittlungs-App aus.
Wählen Sie auf der Seite Erste Schritte mit Ihrer neuen Appdie Option Verbinden aus. Zum Beispiel:
Geben Sie auf der Seite Arbeitsbereichs-ID Ihre Microsoft Sentinel-Arbeitsbereichs-ID ein, wie auf der Übersichtsseite für Log Analytics angezeigt, und wählen Sie dann Weiter aus. Zum Beispiel:
Geben Sie auf der Seite Authentifizierung die Authentifizierungsmethode und die Datenschutzebene an, und wählen Sie dann Anmelden aus. Zum Beispiel:
Navigieren Sie nach dem Verbinden Ihrer Daten zur Registerkarte Datasets für den Arbeitsbereich, und wählen Sie Aktualisieren aus. Dadurch wird der Bericht mit Ihren eigenen Daten aktualisiert.
Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie ein Supportticket.