Conformità delle comunicazioni con le soluzioni SIEM.
Importante
Conformità delle comunicazioni Microsoft Purview fornisce gli strumenti per aiutare le organizzazioni a rilevare la conformità alle normative (ad esempio SEC o FINRA) e violazioni di comportamento aziendale come informazioni sensibili o riservate, linguaggio molesto o minaccioso e condivisione di contenuti per adulti. La conformità alla comunicazione viene creata con la privacy in base alla progettazione. I nomi utente sono pseudonimizzati per impostazione predefinita, i controlli di accesso in base al ruolo sono integrati, gli investigatori sono inseriti da un amministratore e i log di controllo sono disponibili per garantire la privacy a livello di utente.
Conformità delle comunicazioni Microsoft Purview è una soluzione di rischio insider che consente di ridurre al minimo i rischi di comunicazione consentendo di rilevare, acquisire e agire su messaggi potenzialmente inappropriati nell'organizzazione. Le soluzioni siem (Security Information and Event Management) come Microsoft Sentinel o Splunk vengono comunemente usate per aggregare e tenere traccia delle minacce all'interno di un'organizzazione.
Una necessità comune per le organizzazioni è integrare gli avvisi di conformità delle comunicazioni e le soluzioni SIEM. Con questa integrazione, le organizzazioni possono visualizzare gli avvisi di conformità delle comunicazioni nella soluzione SIEM e quindi correggere gli avvisi all'interno del flusso di lavoro di conformità delle comunicazioni e dell'esperienza utente.
Ad esempio, un dipendente invia un messaggio offensivo a un altro dipendente e tale messaggio viene rilevato da un criterio di conformità delle comunicazioni per contenuti potenzialmente inappropriati. Eventi come questo vengono registrati in Controllo di Microsoft 365 (noto anche come "log di controllo unificato") dalla soluzione di conformità delle comunicazioni e vengono quindi importati nella soluzione SIEM. Gli avvisi attivati nella soluzione SIEM inclusi nel controllo di Microsoft 365 vengono quindi associati agli avvisi di conformità delle comunicazioni. Gli investigatori ricevono una notifica di questi avvisi nella soluzione SIEM e quindi possono analizzare e correggere gli avvisi corrispondenti nel dashboard di conformità delle comunicazioni.
Consiglio
Introduzione a Microsoft Security Copilot per esplorare nuovi modi per lavorare in modo più intelligente e veloce usando la potenza dell'IA. Altre informazioni su Microsoft Security Copilot in Microsoft Purview.
Avvisi di conformità delle comunicazioni in Controllo di Microsoft 365
Tutte le corrispondenze dei criteri di conformità delle comunicazioni vengono acquisite in Controllo di Microsoft 365. Gli esempi seguenti mostrano i dettagli disponibili per le attività di corrispondenza dei criteri di conformità delle comunicazioni selezionate:
Esempio di voce del log di controllo per un modello di criteri contenuto inappropriato:
RunspaceId: 5c7bc9b0-7672-4091-a112-0635bd5f7732
RecordType: ComplianceSupervisionExchange
CreationDate: 7/7/2022 5:30:11 AM
UserIds: user1@contoso.onmicrosoft.com
Operations: SupervisionRuleMatch
AuditData: {"CreationTime":"2022-07-07T05:30:11","Id":"44e98a7e-57fd-4f89-79b8-08d941084a35","Operation":"SupervisionRuleMatch","OrganizationId":"338397e6\-697e-4dbe-a66b-2ea3497ef15c","RecordType":68,"ResultStatus":"{\\"ItemClass\\":\\"IPM.Note\\",\\"CcsiResults\\":\\"\\"}","UserKey":"SupervisionStoreDeliveryAgent","UserType":0,"Version":1,"Workload":"Exchange","ObjectId":"\<HE1P190MB04600526C0524C75E5750C5AC61A9@HE1P190MB0460.EURP190.PROD.OUTLOOK.COM\>","UserId":"user1@contoso.onmicrosoft.com","IsPolicyHit":true,"SRPolicyMatchDetails":{"SRPolicyId":"53be0bf4-75ee-4315-b65d-17d63bdd53ae","SRPolicyName":"Adult images","SRRuleMatchDetails":\[\]}}
ResultIndex: 24
ResultCount: 48
Identity: 44e98a7e-57fd-4f89-79b8-08d941084a35
IsValid: True
ObjectState: Unchanged
Esempio di voce del log di controllo di Microsoft 365 per un criterio con corrispondenza di parole chiave personalizzate (tipo di informazioni sensibili personalizzate):
RunspaceId: 5c7bc9b0-7672-4091-a112-0635bd5f7732
RecordType: ComplianceSupervisionExchange
CreationDate: 7/6/2022 9:50:12 PM
UserIds: user2@contoso.onmicrosoft.com
Operations: SupervisionRuleMatch
AuditData: {"CreationTime":"2022-07-06T21:50:12","Id":"5c61aae5-26fc-4c8e-0791-08d940c8086f","Operation":"SupervisionRuleMatch","OrganizationId":"338397e6\-697e-4dbe-a66b-2ea3497ef15c","RecordType":68,"ResultStatus":"{\\"ItemClass\\":\\"IPM.Note\\",\\"CcsiResults\\":\\"public\\"}","UserKey":"SupervisionStoreDeliveryAgent","UserType":0,"Version":1,"Workload":"Exchange","ObjectId":"\<20210706174831.24375086.807067@sailthru.com\>","UserId":"user2@contoso.onmicrosoft.com","IsPolicyHit":true,"SRPolicyMatchDetails":{"SRPolicyId":"a97cf128-c0fc-42a1-88e3-fd3b88af9941","SRPolicyName":"Insiders","SRRuleMatchDetails":\[{"SRCategoryName":"New insiders lexicon"}\]}}
ResultIndex: 46
ResultCount: 48
Identity: 5c61aae5-26fc-4c8e-0791-08d940c8086f
IsValid: True
ObjectState: Unchanged
Nota
Attualmente, potrebbe verificarsi un ritardo massimo di 24 ore tra il momento in cui viene registrata una corrispondenza dei criteri in Controllo di Microsoft 365 e l'ora in cui è possibile analizzare le corrispondenze dei criteri nella conformità delle comunicazioni.
Configurare la conformità delle comunicazioni e l'integrazione Microsoft Sentinel
Quando si usa il Microsoft Sentinel per aggregare le corrispondenze dei criteri di conformità delle comunicazioni, Microsoft Sentinel usa Controllo di Microsoft 365 come origine dati. Per integrare gli avvisi di conformità delle comunicazioni con Microsoft Sentinel, seguire questa procedura:
Eseguire l'onboarding in Microsoft Sentinel. Come parte del processo di onboarding, è possibile configurare le origini dati.
Configurare il connettore dati Microsoft Sentinel Microsoft Office 365 e in Configurazione connettore selezionare Exchange.
Configurare la query di ricerca per recuperare gli avvisi di conformità delle comunicazioni. Ad esempio:
| OfficeActivity | where OfficeWorkload == "Exchange" e Operation == "SupervisionRuleMatch" | ordinamento in base a TimeGenerated
Per filtrare per un utente specifico, usare il formato di query seguente:
| OfficeActivity | where OfficeWorkload == "Exchange" e Operation == "SupervisionRuleMatch" e UserId == "User1@Contoso.com" | sort by TimeGenerated
Per altre informazioni sui log di controllo di Microsoft 365 per Office 365 raccolti da Microsoft Sentinel, vedere Informazioni di riferimento sui log di Monitoraggio di Azure.
Configurare la conformità delle comunicazioni e l'integrazione di Splunk
Per integrare gli avvisi di conformità delle comunicazioni con Splunk, seguire questa procedura:
Installare il componente aggiuntivo Splunk per Microsoft Office 365
Configurare un'applicazione di integrazione in Microsoft Entra ID per il componente aggiuntivo Splunk per Microsoft Office 365
Configurare le query di ricerca nella soluzione Splunk. Usare l'esempio di ricerca seguente per identificare tutti gli avvisi di conformità delle comunicazioni:
index=* sourcetype="o365:management:activity" Workload=Exchange Operation=SupervisionRuleMatch
Per filtrare i risultati per un criterio di conformità delle comunicazioni specifico, è possibile usare il parametro SRPolicyMatchDetails.SRPolicyName .
Ad esempio, nell'esempio di ricerca seguente vengono restituiti avvisi per le corrispondenze a un criterio di conformità delle comunicazioni denominato Contenuto inappropriato:
index=* sourcetype='o365:management:activity' Workload=Exchange Operation=SupervisionRuleMatch SRPolicyMatchDetails.SRPolicyName=<Inappropriate content>
La tabella seguente mostra i risultati della ricerca di esempio per diversi tipi di criteri:
| Tipi di criteri | Risultati di ricerca di esempio |
|---|---|
| Criteri che rilevano un elenco di parole chiave del tipo di informazioni sensibili personalizzate | { CreationTime: 2022-09-17T16:29:57 ID: 4b9ce23d-ee60-4f66-f38d-08d979f8631f IsPolicyHit: true ObjectId: CY1PR05MB27158B96AF7F3AFE62E1F762CFDD9@CY1PR05MB2715.namprd05.prod.outlook.com Operazione: SupervisionRuleMatch OrganizationId: d6a06676-95e8-4632-b949-44bc00f0793f RecordType: 68 ResultStatus: {"ItemClass":"IPM. Nota","CcsiResults":"leak"} SRPolicyMatchDetails: { [+] } UserId: user1@contoso.OnMicrosoft.com UserKey: SupervisionStoreDeliveryAgent UserType: 0 Versione: 1 Carico di lavoro: Exchange } |
| Criteri che rilevano un linguaggio potenzialmente inappropriato | { CreationTime: 2022-09-17T23:44:35 ID: e0ef6f54-9a52-4e4c-9584-08d97a351ad0 IsPolicyHit: true ObjectId: BN6PR05MB3571AD9FBB85C4E12C1F66B4CCDD9@BN6PR05MB3571.namprd05.prod.outlook.com Operazione: SupervisionRuleMatch OrganizationId: d6a06676-95e8-4632-b949-44bc00f0793f RecordType: 68 ResultStatus: {"ItemClass":"IPM. Yammer.Message","CcsiResults":""} SRPolicyMatchDetails: { [+] } UserId: user1@contoso.com UserKey: SupervisionStoreDeliveryAgent UserType: 0 Versione: 1 } |
Configurare la conformità delle comunicazioni con altre soluzioni SIEM
Per recuperare le corrispondenze dei criteri di conformità delle comunicazioni da Controllo di Microsoft 365, è possibile usare PowerShell o l'API di gestione Office 365.
Quando si usa PowerShell, è possibile usare uno di questi parametri con il cmdlet Search-UnifiedAuditLog per filtrare gli eventi del log di controllo per le attività di conformità delle comunicazioni.
| Parametro del log di controllo | Valore del parametro di conformità delle comunicazioni |
|---|---|
| Operazioni | SupervisionRuleMatch |
| RecordType | ComplianceSupervisionExchange |
Ad esempio, di seguito è riportata una ricerca di esempio che usa il parametro Operations e il valore SupervisionRuleMatch :
Search-UnifiedAuditLog -StartDate $startDate -EndDate $endDate -Operations SupervisionRuleMatch | ft CreationDate,UserIds,AuditData
Di seguito è riportata una ricerca di esempio che usa il parametro RecordsType e il valore ComplianceSupervisionExchange :
Search-UnifiedAuditLog -StartDate $startDate -EndDate $endDate -RecordType ComplianceSuperVisionExchange | ft CreationDate,UserIds,AuditData