跳至主内容

Microsoft Azure Sentinel集成指南

Microsoft Azure Sentinel是一种基于云的安全信息事件管理(SIEM)与安全编排自动响应(SOAR)解决方案,专为可扩展性设计。 Azure Sentinel使企业能够:

  • 实现云规模的数据采集

  • 发现既往未检测到的威胁

  • 通过人工智能调查威胁

  • 快速响应安全事件

关于Azure Sentinel与 移动安全 控制台通信

移动安全 控制台的配置支持通过API接口与Microsoft Azure Sentinel共享移动威胁数据。 当设备向控制台报告威胁时,若威胁严重性达到或超过配置过程中设定的最低阈值,相关威胁详情将被传输至已配置的Microsoft Azure Sentinel集成端。威胁详情包含用户信息(如可获取)、设备信息、操作系统及威胁取证数据。当移动设备上的威胁被解决后,威胁状态更新将自动同步至Microsoft Azure Sentinel。 Microsoft Azure Sentinel集成端可接收MDM托管与非托管设备的威胁详情。所有 移动安全 控制台的MDM供应商集成能够将威胁事件发送至Microsoft Azure Sentinel。

配置步骤

执行以下步骤以设置 移动安全 控制台集成:

  1. 登录 移动安全 控制台。

  2. 在导航面板中,选择 管理 .

  3. 管理 页面打开后,选择 集成 选项卡,再选择 威胁报告 选项卡,随后将打开以下窗口:

    Mobile-security-console-manage-SIEM-integration-step-1.PNG

  4. 点击绿色的 添加集成 按钮,将打开显示可选集成合作伙伴列表的窗口。

  5. 选择所需的集成。

  6. 在打开的窗口中填写必填信息,并点击 继续 按钮。

  7. 另一个窗口将打开以完成集成设置。请在此窗口中输入以下信息。

    • 名称 - 为此Microsoft Azure Sentinel集成环境输入唯一名称

    • 过滤级别 - 从下拉菜单中选择需上报的严重级别:

      1. 严重 - 仅显示严重级别

      2. 高及更高 – 显示高和严重严重性级别

      3. 低及更高 – 显示低、高和严重严重性级别

      4. 普通及更高 – 显示所有严重性级别

  8. 点击 完成 按钮,当配置并正确保存后,主威胁报告窗口将打开,显示集成成功。

本节 :