Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wichtig
Hinweis zur Einstellung: Microsoft Defender for Cloud Apps SIEM-Agents
Im Rahmen unseres kontinuierlichen Konvergenzprozesses für Microsoft Defender Workloads werden Microsoft Defender for Cloud Apps SIEM-Agents ab November 2025 eingestellt.
Bestehende Microsoft Defender for Cloud Apps SIEM-Agenten werden bis November 2025 weiterhin unverändert funktionieren. Ab dem 19. Juni 2025 können keine neuen SIEM-Agents konfiguriert werden, aber Microsoft Sentinel Agent-Integration (Vorschau) wird weiterhin unterstützt und kann weiterhin hinzugefügt werden.
Es wird empfohlen, auf APIs umzusteigen, die die Verwaltung von Aktivitäten und Warnungsdaten aus mehreren Workloads unterstützen. Diese APIs verbessern die Sicherheitsüberwachung und -verwaltung und bieten zusätzliche Funktionen unter Verwendung von Daten aus mehreren Microsoft Defender Workloads.
Um die Kontinuität und den Zugriff auf daten sicherzustellen, die derzeit über Microsoft Defender for Cloud Apps SIEM-Agents verfügbar sind, empfehlen wir den Übergang zu unterstützten APIs wie der Microsoft Defender XDR Streaming-API, IdentityLogonEvents, der Microsoft Graph Sicherheitswarnungs-API und der Microsoft Defender XDR Vorfall-API:
- Warnungen und Aktivitäten finden Sie unter Microsoft Defender XDR Streaming-API.
- Informationen zu Microsoft Entra ID Protection-Anmeldeereignissen finden Sie in der Tabelle IdentityLogonEvents im Schema für die erweiterte Suche.
- Informationen zur Microsoft Graph Security Alerts-API finden Sie hier: alerts_v2 auflisten
- Informationen dazu, wie Sie Warnungsdaten von Microsoft Defender for Cloud Apps in der Microsoft Defender XDR-Incidents-API anzeigen, finden Sie unter Microsoft Defender XDR-Incidents-APIs und der Ressourcentyp incidents.
Sie können Microsoft Defender for Cloud Apps in Microsoft Sentinel (ein skalierbares, cloudnatives SIEM und SOAR) integrieren, um eine zentralisierte Überwachung von Warnungen und Ermittlungsdaten zu ermöglichen. Die Integration in Microsoft Sentinel ermöglicht es Ihnen, Ihre Cloudanwendungen besser zu schützen, während Sie Ihren üblichen Sicherheitsworkflow beibehalten, Sicherheitsverfahren automatisieren und zwischen cloudbasierten und lokalen Ereignissen korrelieren.
Die Verwendung von Microsoft Sentinel bietet folgende Vorteile:
- Längere Datenaufbewahrung, die von Log Analytics bereitgestellt wird.
- Sofort einsatzbereite Visualisierungen.
- Verwenden Sie Tools wie Microsoft Power BI oder Microsoft Sentinel Arbeitsmappen, um Eigene Visualisierungen für Ermittlungsdaten zu erstellen, die den Anforderungen Ihrer Organisation entsprechen.
Weitere unterstützte Integrationslösungen für Defender for Cloud Apps:
- Generische SIEMs: Integrieren Sie Defender for Cloud Apps in Ihren generischen SIEM-Server. Informationen zur Integration in ein generisches SIEM finden Sie unter Generische SIEM-Integration.
- Microsoft Security Graph-API : Ein zwischengeschalteter Dienst (oder Broker), der eine einzige programmgesteuerte Schnittstelle zum Verbinden mehrerer Sicherheitsanbieter bereitstellt. Weitere Informationen finden Sie unter Integrationen von Sicherheitslösungen mithilfe der Microsoft Graph-Sicherheits-API.
Die Integration in Microsoft Sentinel umfasst die Konfiguration in Defender for Cloud Apps und Microsoft Sentinel.
Voraussetzungen
So integrieren Sie Microsoft Sentinel:
- Sie müssen über eine gültige Microsoft Sentinel-Lizenz verfügen.
- Sie müssen mindestens ein Sicherheitsadministrator in Ihrem Mandanten sein.
Unterstützung der US-Regierung
Die direkte Defender for Cloud Apps - Microsoft Sentinel Integration ist nur für gewerbliche Kunden verfügbar.
Alle Defender for Cloud Apps Daten sind jedoch in Microsoft Defender XDR verfügbar und daher in Microsoft Sentinel über den Microsoft Defender XDR-Connector verfügbar.
Wir empfehlen GCC-, GCC High- und DoD-Kunden, die Defender for Cloud Apps-Daten in Microsoft Sentinel anzeigen möchten, die Microsoft Defender XDR-Lösung zu installieren.
Weitere Informationen finden Sie unter:
- Microsoft Defender XDR Integration mit Microsoft Sentinel
- Microsoft Defender for Cloud Apps für Angebote der US-Regierung
Integration mit Microsoft Sentinel
Wählen Sie im Microsoft Defender Portal Einstellungen > Cloud-Apps aus.
Wählen Sie unter Systemdie Option SIEM-Agents > SIEM-Agent > Sentinel hinzufügen aus. Zum Beispiel:
Hinweis
Die Option zum Hinzufügen von Microsoft Sentinel ist nicht verfügbar, wenn Sie die Integration zuvor durchgeführt haben.
Wählen Sie im Assistenten die Datentypen aus, die Sie an Microsoft Sentinel weiterleiten möchten. Sie können die Integration wie folgt konfigurieren:
- Warnungen: Warnungen werden automatisch aktiviert, sobald Microsoft Sentinel aktiviert ist.
- Ermittlungsprotokolle: Verwenden Sie den Schieberegler, um sie zu aktivieren und zu deaktivieren. Standardmäßig ist alles ausgewählt, und verwenden Sie dann die Dropdownliste Anwenden für, um zu filtern, welche Ermittlungsprotokolle an Microsoft Sentinel gesendet werden.
Zum Beispiel:
Wählen Sie Weiter aus, und fahren Sie mit Microsoft Sentinel fort, um die Integration abzuschließen. Informationen zum Konfigurieren von Microsoft Sentinel finden Sie unter Microsoft Sentinel-Datenkonnektor für Defender for Cloud Apps. Zum Beispiel:
Hinweis
Neue Ermittlungsprotokolle werden in der Regel innerhalb von 15 Minuten nach der Konfiguration in Defender for Cloud Apps in Microsoft Sentinel angezeigt. Abhängig von den Bedingungen der Systemumgebung kann dies jedoch länger dauern. Weitere Informationen finden Sie unter Behandeln der Erfassungsverzögerung in Analyseregeln.
Warnungen und Ermittlungsprotokolle in Microsoft Sentinel
Nach Abschluss der Integration können Sie Defender for Cloud Apps Warnungen und Ermittlungsprotokolle in Microsoft Sentinel anzeigen.
In Microsoft Sentinel finden Sie unter Protokolle unter Security Insights die Protokolle für die Defender for Cloud Apps Datentypen wie folgt:
| Datentyp | Tabelle |
|---|---|
| Ermittlungsprotokolle | McasShadowItReporting |
| Warnungen | Sicherheitswarnung |
In der folgenden Tabelle werden die einzelnen Felder im McasShadowItReporting-Schema beschrieben:
| Feld | Typ | Beschreibung | Beispiele |
|---|---|---|---|
| TenantId | Zeichenfolge | Arbeitsbereichs-ID | aaaabbbb-0000-cccc-1111-dddd2222eeee |
| SourceSystem | Zeichenfolge | Quellsystem – statischer Wert | Azure |
| TimeGenerated [UTC] | DateTime | Datum der Ermittlungsdaten | 2019-07-23T11:00:35.858Z |
| StreamName | Zeichenfolge | Name des bestimmten Datenstroms | Marketingabteilung |
| TotalEvents | Integer | Gesamtanzahl von Ereignissen pro Sitzung | 122 |
| BlockedEvents | Integer | Anzahl blockierter Ereignisse | 0 |
| UploadedBytes | Integer | Menge der hochgeladenen Daten | 1,514,874 |
| TotalBytes | Integer | Die Gesamtmenge der Daten | 4,067,785 |
| DownloadedBytes | Integer | Menge der heruntergeladenen Daten | 2,552,911 |
| IpAddress | Zeichenfolge | Quell-IP-Adresse | 127.0.0.0 |
| UserName | Zeichenfolge | Benutzername | Raegan@contoso.com |
| EnrichedUserName | Zeichenfolge | Benutzername mit dem Microsoft Entra-Benutzernamen angereichert | Raegan@contoso.com |
| AppName | Zeichenfolge | Name der Cloud-App | Microsoft OneDrive for Business |
| Appid | Integer | Bezeichner der Cloud-App | 15600 |
| AppCategory | Zeichenfolge | Kategorie der Cloud-App | Cloudspeicher |
| AppTags | String-Array | Integrierte und benutzerdefinierte Tags, die für die App definiert sind | ["sanktioniert"] |
| AppScore | Integer | Die Risikobewertung der App in einer Skala von 0 bis 10, wobei 10 eine Bewertung für eine nicht riskante App ist | 10 |
| Typ | Zeichenfolge | Protokolltyp – statischer Wert | McasShadowItReporting |
Verwenden Sie Power BI mit Daten aus Defender for Cloud Apps in Microsoft Sentinel
Nach Abschluss der Integration können Sie die in Microsoft Sentinel gespeicherten Defender for Cloud Apps Daten auch in anderen Tools verwenden.
Sie können Microsoft Power BI mit Defender for Cloud Apps Daten in Microsoft Sentinel verwenden, um Daten zu modellieren und zu kombinieren und Berichte und Dashboards zu erstellen, die den Anforderungen Ihrer Organisation entsprechen.
Erste Schritte:
Importieren Sie in Power BI Abfragen aus Microsoft Sentinel für Defender for Cloud Apps Daten. Weitere Informationen finden Sie unter Importieren von Azure Monitor-Protokolldaten in Power BI.
Installieren Sie die Defender for Cloud Apps Shadow IT Discovery-App, und verbinden Sie sie mit Ihren Discoveryprotokolldaten, um das integrierte Schatten-IT Discovery-Dashboard anzuzeigen. Um die App zu verbinden, öffnen Sie sie in Power BI, wählen Sie "Verbinden" aus, geben Sie Ihre Microsoft Sentinel Arbeitsbereichs-ID ein, und melden Sie sich dann an. Ausführliche Schritte finden Sie unter Verbinden der Defender for Cloud Apps-App.
Hinweis
Derzeit wird die App nicht in Microsoft AppSource veröffentlicht. Daher müssen Sie sich möglicherweise an Ihren Power BI-Administrator wenden, um Berechtigungen zum Installieren der App zu erfragen.
Zum Beispiel:
Optional können Sie benutzerdefinierte Dashboards in Power BI Desktop erstellen und an die Anforderungen ihrer organization für visuelle Analysen und Berichterstellung anpassen.
Verbinden Sie die Defender for Cloud Apps-App
Führen Sie die folgenden Schritte aus, um die Defender for Cloud Apps Schatten-IT Discovery-App in Power BI zu verbinden.
Wählen Sie in Power BI Apps > Schatten-IT-Ermittlungs-App aus.
Wählen Sie auf der Seite Erste Schritte mit Ihrer neuen Appdie Option Verbinden aus. Zum Beispiel:
Geben Sie auf der Seite Workspace ID (Arbeitsbereichs-ID) Ihre Microsoft Sentinel Arbeitsbereichs-ID ein, wie auf der Log Analytics-Übersichtsseite angezeigt, und wählen Sie dann Weiter aus. Zum Beispiel:
Geben Sie auf der Seite Authentifizierung die Authentifizierungsmethode und die Datenschutzebene an, und wählen Sie dann Anmelden aus. Zum Beispiel:
Navigieren Sie nach dem Verbinden Ihrer Daten zur Registerkarte Datasets für den Arbeitsbereich, und wählen Sie Aktualisieren aus. Dadurch wird der Bericht mit Ihren eigenen Daten aktualisiert.
Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie ein Supportticket.