Microsoft Sentinel 集成 (预览版)

重要

弃用通知：Microsoft Defender for Cloud Apps SIEM 代理

作为跨Microsoft Defender工作负载的持续融合过程的一部分，Microsoft Defender for Cloud Apps SIEM 代理将从 2025 年 11 月开始弃用。

现有Microsoft Defender for Cloud Apps SIEM 代理将继续按原样运行，直到该时间为止。自 2025 年 6 月 19 日起， 无法配置新的 SIEM 代理，但 Microsoft Sentinel 代理集成 (预览版) 将继续受支持，仍可添加。

建议过渡到支持管理多个工作负载中的活动和警报数据的 API。这些 API 增强了安全监视和管理，并使用来自多个Microsoft Defender工作负载的数据提供附加功能。

为了确保对当前通过 Microsoft Defender for Cloud Apps SIEM 代理提供的数据的连续性和访问权限，我们建议转换为以下受支持的 API：

有关警报和活动，请参阅：Microsoft Defender XDR流式处理 API。
有关Microsoft Entra ID 保护登录事件，请参阅高级搜寻架构中的 IdentityLogonEvents 表。
有关 Microsoft Graph 安全警报 API，请参阅：列出alerts_v2
若要查看Microsoft Defender XDR事件 API 中的Microsoft Defender for Cloud Apps警报数据，请参阅Microsoft Defender XDR事件 API 和事件资源类型

可以将 Microsoft Defender for Cloud Apps 与 Microsoft Sentinel 集成， (可缩放的云原生 SIEM 和 SOAR) ，以集中监视警报和发现数据。通过与 Microsoft Sentinel 集成，可以更好地保护云应用程序，同时维护通常的安全工作流、自动执行安全过程以及关联基于云的事件和本地事件。

使用 Microsoft Sentinel 的好处包括：

Log Analytics 提供的数据保留期更长。
现装的可视化效果。
使用 Microsoft Power BI 或 Microsoft Sentinel 工作簿等工具创建适合组织需求的自己的发现数据可视化效果。

其他集成解决方案包括：

泛型 SIEM - 将Defender for Cloud Apps与通用 SIEM 服务器集成。有关与泛型 SIEM 集成的信息，请参阅泛型 SIEM 集成。
Microsoft安全图 API - 一种中介服务 (或中转站) ，提供单个编程接口来连接多个安全提供程序。有关详细信息，请参阅使用 Microsoft Graph 安全性 API 的安全解决方案集成。

与 Microsoft Sentinel 集成包括 Defender for Cloud Apps 和 Microsoft Sentinel 中的配置。

先决条件

若要与 Microsoft Sentinel 集成，请使用：

必须具有有效的 Microsoft Sentinel 许可证
必须至少是租户中的安全管理员。

美国政府支持

直接Defender for Cloud Apps - Microsoft Sentinel 集成仅适用于商业客户。

但是，所有Defender for Cloud Apps数据在 Microsoft Defender XDR 中可用，因此可通过 Microsoft Defender XDR 连接器在 Microsoft Sentinel 中使用。

我们建议有兴趣在 Microsoft Sentinel 中查看Defender for Cloud Apps数据的 GCC、GCC High 和 DoD 客户安装Microsoft Defender XDR解决方案。

有关更多信息，请参阅：

与 Microsoft Sentinel 集成

在Microsoft Defender门户中，选择“设置>云应用”。
在“ 系统”下，选择“ SIEM 代理 > 添加 SIEM 代理 > Sentinel”。例如：

注意

如果之前已执行集成，则添加Microsoft Sentinel 的选项不可用。
在向导中，选择要转发到 Microsoft Sentinel 的数据类型。可以配置集成，如下所示：
- 警报：启用 Microsoft Sentinel 后，将自动打开警报。
- 发现日志：使用滑块启用和禁用它们，默认情况下，将选中所有内容，然后使用 “应用于 ”下拉列表筛选发送到 sentinel Microsoft发现日志。
例如：
选择“ 下一步”，并继续Microsoft Sentinel 完成集成。有关配置 sentinel Microsoft的信息，请参阅用于Defender for Cloud Apps的 Microsoft Sentinel 数据连接器。例如：

注意

新发现日志通常在 Defender for Cloud Apps 中配置新日志后的 15 分钟内显示在 Microsoft Sentinel 中。但是，可能需要更长的时间，具体取决于系统环境条件。有关详细信息，请参阅处理分析规则中的引入延迟。

Microsoft Sentinel 中的警报和发现日志

集成完成后，可以在 Microsoft Sentinel 中查看Defender for Cloud Apps警报和发现日志。

在 Microsoft Sentinel 的“日志”下，可以在“安全见解”下找到Defender for Cloud Apps数据类型的日志，如下所示：

数据类型	表格
发现日志	McasShadowItReporting
警报	SecurityAlert

下表描述了 McasShadowItReporting 架构中的每个字段：

字段	类型	说明	示例
TenantId	String	工作区 ID	b459b4u5-912x-46d5-9cb1-p43069212nb4
SourceSystem	String	源系统 - 静态值	Azure
TimeGenerated [UTC]	日期时间	发现数据的日期	2019-07-23T11：00：35.858Z
StreamName	String	特定流的名称	市场部
TotalEvents	整数	每个会话的事件总数	122
BlockedEvents	整数	阻止的事件数	0
UploadedBytes	整数	上传的数据量	1,514,874
TotalBytes	整数	数据总量	4,067,785
DownloadedBytes	整数	下载的数据量	2,552,911
IpAddress	String	源 IP 地址	127.0.0.0
UserName	String	用户名	`Raegan@contoso.com`
EnrichedUserName	String	包含Microsoft Entra用户名的扩充用户名	`Raegan@contoso.com`
AppName	String	云应用的名称	Microsoft OneDrive for Business
AppId	整数	云应用标识符	15600
AppCategory	String	云应用的类别	云存储
AppTags	String array	为应用定义的内置和自定义标记	[“sanctioned”]
AppScore	整数	应用的风险评分（以 0-10 为范围，10 表示非风险应用的分数）	10
Type	String	日志类型 - 静态值	McasShadowItReporting

将 Power BI 与 Microsoft Sentinel 中的Defender for Cloud Apps数据配合使用

集成完成后，还可以在其他工具中使用存储在 Microsoft Sentinel 中的Defender for Cloud Apps数据。

本部分介绍如何使用Microsoft Power BI轻松调整和组合数据，以生成满足组织需求的报表和仪表板。

首先，请执行以下操作：

在 Power BI 中，从 Microsoft Sentinel 导入Defender for Cloud Apps数据的查询。有关详细信息，请参阅将 Azure Monitor 日志数据导入 Power BI。
安装Defender for Cloud Apps影子 IT 发现应用，并将其连接到发现日志数据，以查看内置的影子 IT 发现仪表板。

注意

目前，应用未在 Microsoft AppSource 上发布。因此，可能需要联系 Power BI 管理员以获取安装应用的权限。

例如：
（可选）在 Power BI Desktop 中生成自定义仪表板，并对其进行调整以满足组织的视觉分析和报告要求。

连接Defender for Cloud Apps应用

在 Power BI 中，选择“ 应用 > 影子 IT 发现 应用”。
在 “新应用入门 ”页上，选择“ 连接”。例如：
在工作区 ID 页上，输入 log Analytics 概述页中显示的 Microsoft Sentinel 工作区 ID，然后选择“ 下一步”。例如：
在身份验证页上，指定身份验证方法和隐私级别，然后选择 “登录”。例如：
连接数据后，转到工作区 “数据集 ”选项卡，然后选择“ 刷新”。这将使用你自己的数据更新报表。