Microsoft Azure Sentinel集成指南
Microsoft Azure Sentinel是一种基于云的安全信息事件管理(SIEM)和安全编排自动响应(SOAR)解决方案,具有高度可扩展性。 Azure Sentinel可帮助组织实现:
-
云端规模的数据采集
-
发现既往未检测到的威胁
-
利用人工智能调查威胁
-
快速响应安全事件
关于Azure Sentinel及其 移动安全 控制台通信
该 移动安全 控制台的配置支持通过API接口与Microsoft Azure Sentinel共享移动威胁数据。 当设备向控制台报告威胁时,若威胁严重性达到或超过配置过程中设定的最低阈值,该威胁的详细信息将被传输至已配置的Microsoft Azure Sentinel集成模块。威胁详情包含用户信息(如可获取)、设备信息、操作系统及威胁取证数据。当移动设备上的威胁被解决后,相关威胁状态更新将自动同步至Microsoft Azure Sentinel。 Microsoft Azure Sentinel集成模块可接收来自MDM托管设备和非托管设备的威胁详情。所有 移动安全 控制台的MDM供应商集成均支持向Microsoft Azure Sentinel发送威胁事件。
配置步骤
执行以下步骤以设置 移动安全 控制台集成:
-
登录 移动安全 控制台。
-
在导航面板中选择 管理 .
-
当 管理 页面打开后,选择 集成 选项卡,再选择 威胁报告 选项卡,随后将打开以下窗口:
-
点击绿色 添加集成 按钮,将显示可选集成合作伙伴列表的窗口。
-
选择所需集成。
-
在打开的窗口中填写必填信息并点击 继续 按钮。
-
随后将打开另一个窗口以完成集成设置。请在该窗口中输入以下信息:
-
名称 - 为Microsoft Azure Sentinel环境中的此集成输入唯一名称
-
过滤级别 - 从下拉菜单中选择需上报的严重级别:
-
严重 - 仅显示严重级别。
-
高及以上 - 显示高和严重级别
-
低及以上 - 显示低、高和严重级别
-
普通及以上 - 显示所有严重级别
-
-
-
点击 完成 按钮,当配置正确保存后,主威胁报告窗口将打开并显示集成成功。