Поделиться через


Интеграция Microsoft Sentinel и Microsoft Purview

Microsoft Purview предоставляет организациям возможность видеть, где хранятся конфиденциальные сведения, помогая присваивать приоритет данным, подверженным риску, для их защиты. Интегрируйте Microsoft Purview с Microsoft Sentinel, чтобы сузить количество инцидентов и угроз, выводимых в Microsoft Sentinel, и определить наиболее важные области, с которых следует начать.

Начните с приема журналов Microsoft Purview в Microsoft Sentinel через соединитель данных. Затем используйте книгу Microsoft Sentinel для просмотра данных, таких как проверенные ресурсы, обнаруженные классификации и метки, примененные Microsoft Purview. Используйте правила аналитики, чтобы создавать оповещения об изменениях, связанных с конфиденциальностью данных.

Настройте книгу Microsoft Purview и правила аналитики, чтобы они наилучшим образом соответствовали потребностям вашей организации. Объедините журналы Microsoft Purview с данными, полученными из других источников, чтобы создать углубленную аналитику в Microsoft Sentinel.

Необходимые компоненты

Прежде чем начать, убедитесь, что у вас есть Рабочая область Microsoft Sentinel и Microsoft Purview, а у пользователя есть следующие роли:

Начало приема данных Microsoft Purview в Microsoft Sentinel

Настройте параметры диагностики, чтобы журналы конфиденциальности данных Microsoft Purview передавались в Microsoft Sentinel, а затем запустите проверку Microsoft Purview для начала приема данных.

Параметры диагностики отправляют события журнала только после выполнения полной проверки или при обнаружении изменений во время добавочной проверки. До появления журналов в Microsoft Sentinel обычно проходит около 10-15 минут.

Для включения передачи журналов конфиденциальности данных в Microsoft Sentinel, выполните следующие действия:

  1. Перейдите к учетной записи Microsoft Purview на портале Azure и выберите Параметры диагностики.

    Снимок экрана: страница параметров диагностики учетной записи Microsoft Purview.

  2. Выберите + Добавить параметр диагностики и настройте новый параметр для отправки журналов из Microsoft Purview в Microsoft Sentinel.

    • Введите понятное имя для параметра.
    • В разделе Журналы выберите DataSensitivityLogEvent.
    • В разделе Сведения о назначении щелкните Отправить в рабочую область Log Analytics и выберите сведения о подписке и рабочей области, используемые для Microsoft Sentinel.
  3. Выберите Сохранить.

Дополнительные сведения см. в разделе "Подключение Microsoft Sentinel к другим службы Майкрософт с помощью подключений на основе параметров диагностики".

Чтобы запустить проверку Microsoft Purview и просмотреть данные в Microsoft Sentinel, выполните следующие действия:

  1. В Microsoft Purview выполните полную проверку ресурсов. Дополнительные сведения см. в разделе "Сканирование источников данных" в Microsoft Purview.

  2. После завершения проверок Microsoft Purview вернитесь к соединителю данных Microsoft Purview в Microsoft Sentinel и убедитесь, что данные получены.

Просмотр недавних данных, обнаруженных Microsoft Purview

Решение Microsoft Purview предоставляет два готовых шаблона правил аналитики, которые можно активировать, включая универсальное правило и настроенное правило.

  • Общая версия, Конфиденциальные данные, обнаруженные за последние 24 часа, наблюдает за обнаружением всех классификаций, найденных в пространстве данных при проверке Microsoft Purview.
  • Настроенная версия, Конфиденциальные данные, обнаруженные за последние 24 часа — настроено, занимается слежением и генерирует предупреждения каждый раз, когда обнаруживается указанная классификация, например номер социального страхования.

Используйте эту процедуру, чтобы настроить запросы правил аналитики Microsoft Purview для обнаружения ресурсов с определенной классификацией, меткой конфиденциальности, исходным регионом и т. д. Объедините сгенерированные данные с другими данными в Microsoft Sentinel, чтобы расширить возможности обнаружения и оповещений.

Примечание.

Правила аналитики Microsoft Sentinel — это запросы KQL, которые инициируют оповещения при обнаружении подозрительных действий. Настройте и сгруппируйте правила вместе, чтобы создать инциденты, которые будет исследовать команда SOC.

Изменение шаблонов правил аналитики Microsoft Purview

  1. В Microsoft Sentinel откройте решение Microsoft Purview , а затем найдите и выберите конфиденциальные данные, обнаруженные в течение последних 24 часов. Настраиваемое правило. На боковой панели выберите "Создать правило", чтобы создать новое правило на основе шаблона.

  2. Перейдите на страницу "Аналитика конфигурации>" и выберите "Активные правила". Найдите правило с именем "Конфиденциальные данные", обнаруженное в течение последних 24 часов . Настроено.

    По умолчанию правила аналитики, созданные решениями Microsoft Sentinel, имеют состояние "отключено". Прежде чем продолжить, включите правило для вашей рабочей области:

    1. Выберите правило. В боковой области нажмите кнопку "Изменить".

    2. В мастере правил аналитики в нижней части вкладки Общие установите переключатель Состояние в положение Включено.

  3. На вкладке Задать логику правила настройте Запрос правила, чтобы запросить поля данных и классификации, для которых нужно создавать оповещения. Дополнительные сведения о том, что можно включить в запрос, см. в следующих статьях:

    Отформатированные запросы имеют следующий синтаксис: | where {data-field} contains {specified-string}.

    Например:

    PurviewDataSensitivityLogs
    | where Classification contains “Social Security Number”
    | where SourceRegion contains “westeurope”
    | where SourceType contains “Amazon”
    | where TimeGenerated > ago (24h)
    

    Дополнительные сведения о следующих элементах, используемых в предыдущем примере, см. в документации Kusto:

    Дополнительные сведения о KQL см. в обзоре язык запросов Kusto (KQL).

    Другие ресурсы:

  4. В разделе Планирование запросов определите параметры, чтобы правила отображали данные, обнаруженные за последние 24 часа. Также рекомендуется задать Группирование событий, чтобы сгруппировать все события в одном оповещении.

    Снимок экрана: мастер правил аналитики, определенный для отображения данных, обнаруженных за последние 24 часа.

  5. При необходимости настройте вкладки Параметры инцидентов и Автоматический ответ. Например, убедитесь, что на вкладке Параметры инцидентов установлен флажок Создавать инциденты из оповещений, активированных этим правилом аналитики.

  6. На вкладке "Просмотр и создание " нажмите кнопку "Сохранить".

Дополнительные сведения см. в разделе Создание настраиваемых правил аналитики для обнаружения угроз.

Просмотр данных Microsoft Purview в книгах Microsoft Sentinel

  1. В Microsoft Sentinel откройте решение Microsoft Purview, а затем найдите и выберите книгу Microsoft Purview. На боковой панели выберите "Конфигурация" , чтобы добавить книгу в рабочую область.

  2. В Microsoft Sentinel в разделе "Управление угрозами" выберите книги>"Мои книги" и найдите книгу Microsoft Purview. Сохраните книгу в рабочей области и выберите "Просмотреть сохраненную книгу". Например:

    Снимок экрана: книга Microsoft Purview.

В книге Microsoft Purview отображаются следующие вкладки:

  • Обзор — отображает типы регионов и ресурсов, в которых находятся данные.
  • Классификации — отображает ресурсы, содержащие указанные классификации, например номера кредитных карт.
  • Метки конфиденциальности — отображает ресурсы с метками конфиденциальности и ресурсы, у которых в настоящее время нет меток.

Чтобы просмотреть подробные сведения в книге Microsoft Purview, выполните следующие действия:

  • Выберите конкретный источник данных для перехода к этому ресурсу в Azure.
  • Выберите ссылку на путь к ресурсу, чтобы просмотреть дополнительные сведения, а также все поля данных, общие для полученных журналов.
  • Выберите строку в таблицах Источник данных, Классификация или Метка конфиденциальности, чтобы отфильтровать данные на уровне ресурсов в соответствии с настройками.

Исследование инцидентов, активируемых событиями Microsoft Purview

При исследовании инцидентов, активируемых правилами аналитики Microsoft Purview, найдите подробную информацию о ресурсах и классификациях, обнаруженных в разделе События инцидента.

Например:

Снимок экрана: инцидент, инициированный событиями Purview.

Дополнительные сведения см. в разделе: