Einrichten Microsoft Sentinel Integration für Defender for Cloud Apps (Vorschau)

Wichtig

Hinweis zur Einstellung: Microsoft Defender for Cloud Apps SIEM-Agents

Im Rahmen unseres kontinuierlichen Konvergenzprozesses für Microsoft Defender Workloads werden Microsoft Defender for Cloud Apps SIEM-Agents ab November 2025 eingestellt.

Bestehende Microsoft Defender for Cloud Apps SIEM-Agenten werden bis November 2025 weiterhin unverändert funktionieren. Ab dem 19. Juni 2025 können keine neuen SIEM-Agents konfiguriert werden, aber Microsoft Sentinel Agent-Integration (Vorschau) wird weiterhin unterstützt und kann weiterhin hinzugefügt werden.

Es wird empfohlen, auf APIs umzusteigen, die die Verwaltung von Aktivitäten und Warnungsdaten aus mehreren Workloads unterstützen. Diese APIs verbessern die Sicherheitsüberwachung und -verwaltung und bieten zusätzliche Funktionen unter Verwendung von Daten aus mehreren Microsoft Defender Workloads.

Um die Kontinuität und den Zugriff auf daten sicherzustellen, die derzeit über Microsoft Defender for Cloud Apps SIEM-Agents verfügbar sind, empfehlen wir den Übergang zu unterstützten APIs wie der Microsoft Defender XDR Streaming-API, IdentityLogonEvents, der Microsoft Graph Sicherheitswarnungs-API und der Microsoft Defender XDR Vorfall-API:

Sie können Microsoft Defender for Cloud Apps in Microsoft Sentinel (ein skalierbares, cloudnatives SIEM und SOAR) integrieren, um eine zentralisierte Überwachung von Warnungen und Ermittlungsdaten zu ermöglichen. Die Integration in Microsoft Sentinel ermöglicht es Ihnen, Ihre Cloudanwendungen besser zu schützen, während Sie Ihren üblichen Sicherheitsworkflow beibehalten, Sicherheitsverfahren automatisieren und zwischen cloudbasierten und lokalen Ereignissen korrelieren.

Die Verwendung von Microsoft Sentinel bietet folgende Vorteile:

  • Längere Datenaufbewahrung, die von Log Analytics bereitgestellt wird.
  • Sofort einsatzbereite Visualisierungen.
  • Verwenden Sie Tools wie Microsoft Power BI oder Microsoft Sentinel Arbeitsmappen, um Eigene Visualisierungen für Ermittlungsdaten zu erstellen, die den Anforderungen Ihrer Organisation entsprechen.

Weitere unterstützte Integrationslösungen für Defender for Cloud Apps:

Die Integration in Microsoft Sentinel umfasst die Konfiguration in Defender for Cloud Apps und Microsoft Sentinel.

Voraussetzungen

So integrieren Sie Microsoft Sentinel:

  • Sie müssen über eine gültige Microsoft Sentinel-Lizenz verfügen.
  • Sie müssen mindestens ein Sicherheitsadministrator in Ihrem Mandanten sein.

Unterstützung der US-Regierung

Die direkte Defender for Cloud Apps - Microsoft Sentinel Integration ist nur für gewerbliche Kunden verfügbar.

Alle Defender for Cloud Apps Daten sind jedoch in Microsoft Defender XDR verfügbar und daher in Microsoft Sentinel über den Microsoft Defender XDR-Connector verfügbar.

Wir empfehlen GCC-, GCC High- und DoD-Kunden, die Defender for Cloud Apps-Daten in Microsoft Sentinel anzeigen möchten, die Microsoft Defender XDR-Lösung zu installieren.

Weitere Informationen finden Sie unter:

Integration mit Microsoft Sentinel

  1. Wählen Sie im Microsoft Defender Portal Einstellungen > Cloud-Apps aus.

  2. Wählen Sie unter Systemdie Option SIEM-Agents > SIEM-Agent > Sentinel hinzufügen aus. Zum Beispiel:

    Screenshot der SIEM-Agents-Seite in Defender for Cloud Apps mit der Option

    Hinweis

    Die Option zum Hinzufügen von Microsoft Sentinel ist nicht verfügbar, wenn Sie die Integration zuvor durchgeführt haben.

  3. Wählen Sie im Assistenten die Datentypen aus, die Sie an Microsoft Sentinel weiterleiten möchten. Sie können die Integration wie folgt konfigurieren:

    • Warnungen: Warnungen werden automatisch aktiviert, sobald Microsoft Sentinel aktiviert ist.
    • Ermittlungsprotokolle: Verwenden Sie den Schieberegler, um sie zu aktivieren und zu deaktivieren. Standardmäßig ist alles ausgewählt, und verwenden Sie dann die Dropdownliste Anwenden für, um zu filtern, welche Ermittlungsprotokolle an Microsoft Sentinel gesendet werden.

    Zum Beispiel:

    Screenshot des Assistenten zum Konfigurieren der Microsoft-Sentinel-Integration, in dem Sie die Datentypen für Warnungen und Erkennungsprotokolle auswählen, die weitergeleitet werden sollen.

  4. Wählen Sie Weiter aus, und fahren Sie mit Microsoft Sentinel fort, um die Integration abzuschließen. Informationen zum Konfigurieren von Microsoft Sentinel finden Sie unter Microsoft Sentinel-Datenkonnektor für Defender for Cloud Apps. Zum Beispiel:

    Screenshot der Abschlussseite, auf der bestätigt wird, dass das Microsoft Sentinel Integrationssetup abgeschlossen ist und in Microsoft Sentinel abgeschlossen werden kann.

Hinweis

Neue Ermittlungsprotokolle werden in der Regel innerhalb von 15 Minuten nach der Konfiguration in Defender for Cloud Apps in Microsoft Sentinel angezeigt. Abhängig von den Bedingungen der Systemumgebung kann dies jedoch länger dauern. Weitere Informationen finden Sie unter Behandeln der Erfassungsverzögerung in Analyseregeln.

Warnungen und Ermittlungsprotokolle in Microsoft Sentinel

Nach Abschluss der Integration können Sie Defender for Cloud Apps Warnungen und Ermittlungsprotokolle in Microsoft Sentinel anzeigen.

In Microsoft Sentinel finden Sie unter Protokolle unter Security Insights die Protokolle für die Defender for Cloud Apps Datentypen wie folgt:

Datentyp Tabelle
Ermittlungsprotokolle McasShadowItReporting
Warnungen Sicherheitswarnung

In der folgenden Tabelle werden die einzelnen Felder im McasShadowItReporting-Schema beschrieben:

Feld Typ Beschreibung Beispiele
TenantId Zeichenfolge Arbeitsbereichs-ID aaaabbbb-0000-cccc-1111-dddd2222eeee
SourceSystem Zeichenfolge Quellsystem – statischer Wert Azure
TimeGenerated [UTC] DateTime Datum der Ermittlungsdaten 2019-07-23T11:00:35.858Z
StreamName Zeichenfolge Name des bestimmten Datenstroms Marketingabteilung
TotalEvents Integer Gesamtanzahl von Ereignissen pro Sitzung 122
BlockedEvents Integer Anzahl blockierter Ereignisse 0
UploadedBytes Integer Menge der hochgeladenen Daten 1,514,874
TotalBytes Integer Die Gesamtmenge der Daten 4,067,785
DownloadedBytes Integer Menge der heruntergeladenen Daten 2,552,911
IpAddress Zeichenfolge Quell-IP-Adresse 127.0.0.0
UserName Zeichenfolge Benutzername Raegan@contoso.com
EnrichedUserName Zeichenfolge Benutzername mit dem Microsoft Entra-Benutzernamen angereichert Raegan@contoso.com
AppName Zeichenfolge Name der Cloud-App Microsoft OneDrive for Business
Appid Integer Bezeichner der Cloud-App 15600
AppCategory Zeichenfolge Kategorie der Cloud-App Cloudspeicher
AppTags String-Array Integrierte und benutzerdefinierte Tags, die für die App definiert sind ["sanktioniert"]
AppScore Integer Die Risikobewertung der App in einer Skala von 0 bis 10, wobei 10 eine Bewertung für eine nicht riskante App ist 10
Typ Zeichenfolge Protokolltyp – statischer Wert McasShadowItReporting

Verwenden Sie Power BI mit Daten aus Defender for Cloud Apps in Microsoft Sentinel

Nach Abschluss der Integration können Sie die in Microsoft Sentinel gespeicherten Defender for Cloud Apps Daten auch in anderen Tools verwenden.

Sie können Microsoft Power BI mit Defender for Cloud Apps Daten in Microsoft Sentinel verwenden, um Daten zu modellieren und zu kombinieren und Berichte und Dashboards zu erstellen, die den Anforderungen Ihrer Organisation entsprechen.

Erste Schritte:

  1. Importieren Sie in Power BI Abfragen aus Microsoft Sentinel für Defender for Cloud Apps Daten. Weitere Informationen finden Sie unter Importieren von Azure Monitor-Protokolldaten in Power BI.

  2. Installieren Sie die Defender for Cloud Apps Shadow IT Discovery-App, und verbinden Sie sie mit Ihren Discoveryprotokolldaten, um das integrierte Schatten-IT Discovery-Dashboard anzuzeigen. Um die App zu verbinden, öffnen Sie sie in Power BI, wählen Sie "Verbinden" aus, geben Sie Ihre Microsoft Sentinel Arbeitsbereichs-ID ein, und melden Sie sich dann an. Ausführliche Schritte finden Sie unter Verbinden der Defender for Cloud Apps-App.

    Hinweis

    Derzeit wird die App nicht in Microsoft AppSource veröffentlicht. Daher müssen Sie sich möglicherweise an Ihren Power BI-Administrator wenden, um Berechtigungen zum Installieren der App zu erfragen.

    Zum Beispiel:

    Screenshot des Schatten-IT Discovery-Dashboards in Power BI mit ermittelten Cloud-App-Nutzungs- und Aktivitätsmetriken aus Defender for Cloud Apps.

  3. Optional können Sie benutzerdefinierte Dashboards in Power BI Desktop erstellen und an die Anforderungen ihrer organization für visuelle Analysen und Berichterstellung anpassen.

Verbinden Sie die Defender for Cloud Apps-App

Führen Sie die folgenden Schritte aus, um die Defender for Cloud Apps Schatten-IT Discovery-App in Power BI zu verbinden.

  1. Wählen Sie in Power BI Apps > Schatten-IT-Ermittlungs-App aus.

  2. Wählen Sie auf der Seite Erste Schritte mit Ihrer neuen Appdie Option Verbinden aus. Zum Beispiel:

    Screenshot der Power BI Erste Schritte mit Ihrer neuen App-Seite, auf der Sie

  3. Geben Sie auf der Seite Workspace ID (Arbeitsbereichs-ID) Ihre Microsoft Sentinel Arbeitsbereichs-ID ein, wie auf der Log Analytics-Übersichtsseite angezeigt, und wählen Sie dann Weiter aus. Zum Beispiel:

    Screenshot der Power BI Eingabeaufforderung zum Eingeben der Microsoft Sentinel Arbeitsbereichs-ID zum Verbinden der Shadow IT Discovery-App.

  4. Geben Sie auf der Seite Authentifizierung die Authentifizierungsmethode und die Datenschutzebene an, und wählen Sie dann Anmelden aus. Zum Beispiel:

    Screenshot der Authentifizierungsseite zum Anmelden, um die Power BI Schatten-IT Discovery-App mit Microsoft Sentinel Daten zu verbinden.

  5. Navigieren Sie nach dem Verbinden Ihrer Daten zur Registerkarte Datasets für den Arbeitsbereich, und wählen Sie Aktualisieren aus. Dadurch wird der Bericht mit Ihren eigenen Daten aktualisiert.

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie ein Supportticket.