Интеграция Microsoft Sentinel и Microsoft Purview
Microsoft Purview предоставляет организациям возможность видеть, где хранятся конфиденциальные сведения, помогая присваивать приоритет данным, подверженным риску, для их защиты. Интегрируйте Microsoft Purview с Microsoft Sentinel, чтобы сузить количество инцидентов и угроз, выводимых в Microsoft Sentinel, и определить наиболее важные области, с которых следует начать.
Начните с приема журналов Microsoft Purview в Microsoft Sentinel через соединитель данных. Затем используйте книгу Microsoft Sentinel для просмотра данных, таких как проверенные ресурсы, обнаруженные классификации и метки, примененные Microsoft Purview. Используйте правила аналитики, чтобы создавать оповещения об изменениях, связанных с конфиденциальностью данных.
Настройте книгу Microsoft Purview и правила аналитики, чтобы они наилучшим образом соответствовали потребностям вашей организации. Объедините журналы Microsoft Purview с данными, полученными из других источников, чтобы создать углубленную аналитику в Microsoft Sentinel.
Необходимые компоненты
Прежде чем начать, убедитесь, что у вас есть Рабочая область Microsoft Sentinel и Microsoft Purview, а у пользователя есть следующие роли:
Роль владельца или участника учетной записи Microsoft Purview для настройки параметров диагностики и настройки соединителя данных.
Роль участника Microsoft Sentinel с разрешениями на запись для включения соединителя данных, просмотра книги и создания правил аналитики.
Решение Microsoft Purview , установленное в рабочей области Log Analytics, включено для Microsoft Sentinel.
Решение Microsoft Purview — это набор упакованных материалов, в число которых входят соединитель данных, книга и правила аналитики, настроенные специально для данных Microsoft Purview. Дополнительные сведения см. в статье о содержимом и решениях и решениях Microsoft Sentinel и управлении ими, а также о том, как управлять содержимым Microsoft Sentinel вне поля.
Инструкции по включению соединителя данных также доступны в Microsoft Sentinel на странице соединителя данных Microsoft Purview.
Начало приема данных Microsoft Purview в Microsoft Sentinel
Настройте параметры диагностики, чтобы журналы конфиденциальности данных Microsoft Purview передавались в Microsoft Sentinel, а затем запустите проверку Microsoft Purview для начала приема данных.
Параметры диагностики отправляют события журнала только после выполнения полной проверки или при обнаружении изменений во время добавочной проверки. До появления журналов в Microsoft Sentinel обычно проходит около 10-15 минут.
Для включения передачи журналов конфиденциальности данных в Microsoft Sentinel, выполните следующие действия:
Перейдите к учетной записи Microsoft Purview на портале Azure и выберите Параметры диагностики.
Выберите + Добавить параметр диагностики и настройте новый параметр для отправки журналов из Microsoft Purview в Microsoft Sentinel.
- Введите понятное имя для параметра.
- В разделе Журналы выберите DataSensitivityLogEvent.
- В разделе Сведения о назначении щелкните Отправить в рабочую область Log Analytics и выберите сведения о подписке и рабочей области, используемые для Microsoft Sentinel.
Выберите Сохранить.
Дополнительные сведения см. в разделе "Подключение Microsoft Sentinel к другим службы Майкрософт с помощью подключений на основе параметров диагностики".
Чтобы запустить проверку Microsoft Purview и просмотреть данные в Microsoft Sentinel, выполните следующие действия:
В Microsoft Purview выполните полную проверку ресурсов. Дополнительные сведения см. в разделе "Сканирование источников данных" в Microsoft Purview.
После завершения проверок Microsoft Purview вернитесь к соединителю данных Microsoft Purview в Microsoft Sentinel и убедитесь, что данные получены.
Просмотр недавних данных, обнаруженных Microsoft Purview
Решение Microsoft Purview предоставляет два готовых шаблона правил аналитики, которые можно активировать, включая универсальное правило и настроенное правило.
- Общая версия, Конфиденциальные данные, обнаруженные за последние 24 часа, наблюдает за обнаружением всех классификаций, найденных в пространстве данных при проверке Microsoft Purview.
- Настроенная версия, Конфиденциальные данные, обнаруженные за последние 24 часа — настроено, занимается слежением и генерирует предупреждения каждый раз, когда обнаруживается указанная классификация, например номер социального страхования.
Используйте эту процедуру, чтобы настроить запросы правил аналитики Microsoft Purview для обнаружения ресурсов с определенной классификацией, меткой конфиденциальности, исходным регионом и т. д. Объедините сгенерированные данные с другими данными в Microsoft Sentinel, чтобы расширить возможности обнаружения и оповещений.
Примечание.
Правила аналитики Microsoft Sentinel — это запросы KQL, которые инициируют оповещения при обнаружении подозрительных действий. Настройте и сгруппируйте правила вместе, чтобы создать инциденты, которые будет исследовать команда SOC.
Изменение шаблонов правил аналитики Microsoft Purview
В Microsoft Sentinel откройте решение Microsoft Purview , а затем найдите и выберите конфиденциальные данные, обнаруженные в течение последних 24 часов. Настраиваемое правило. На боковой панели выберите "Создать правило", чтобы создать новое правило на основе шаблона.
Перейдите на страницу "Аналитика конфигурации>" и выберите "Активные правила". Найдите правило с именем "Конфиденциальные данные", обнаруженное в течение последних 24 часов . Настроено.
По умолчанию правила аналитики, созданные решениями Microsoft Sentinel, имеют состояние "отключено". Прежде чем продолжить, включите правило для вашей рабочей области:
Выберите правило. В боковой области нажмите кнопку "Изменить".
В мастере правил аналитики в нижней части вкладки Общие установите переключатель Состояние в положение Включено.
На вкладке Задать логику правила настройте Запрос правила, чтобы запросить поля данных и классификации, для которых нужно создавать оповещения. Дополнительные сведения о том, что можно включить в запрос, см. в следующих статьях:
- Поддерживаемые поля данных — это столбцы таблицы PurviewDataSensitivityLogs.
- Поддерживаемые классификации
Отформатированные запросы имеют следующий синтаксис:
| where {data-field} contains {specified-string}
.Например:
PurviewDataSensitivityLogs | where Classification contains “Social Security Number” | where SourceRegion contains “westeurope” | where SourceType contains “Amazon” | where TimeGenerated > ago (24h)
Дополнительные сведения о следующих элементах, используемых в предыдущем примере, см. в документации Kusto:
Дополнительные сведения о KQL см. в обзоре язык запросов Kusto (KQL).
Другие ресурсы:
В разделе Планирование запросов определите параметры, чтобы правила отображали данные, обнаруженные за последние 24 часа. Также рекомендуется задать Группирование событий, чтобы сгруппировать все события в одном оповещении.
При необходимости настройте вкладки Параметры инцидентов и Автоматический ответ. Например, убедитесь, что на вкладке Параметры инцидентов установлен флажок Создавать инциденты из оповещений, активированных этим правилом аналитики.
На вкладке "Просмотр и создание " нажмите кнопку "Сохранить".
Дополнительные сведения см. в разделе Создание настраиваемых правил аналитики для обнаружения угроз.
Просмотр данных Microsoft Purview в книгах Microsoft Sentinel
В Microsoft Sentinel откройте решение Microsoft Purview, а затем найдите и выберите книгу Microsoft Purview. На боковой панели выберите "Конфигурация" , чтобы добавить книгу в рабочую область.
В Microsoft Sentinel в разделе "Управление угрозами" выберите книги>"Мои книги" и найдите книгу Microsoft Purview. Сохраните книгу в рабочей области и выберите "Просмотреть сохраненную книгу". Например:
В книге Microsoft Purview отображаются следующие вкладки:
- Обзор — отображает типы регионов и ресурсов, в которых находятся данные.
- Классификации — отображает ресурсы, содержащие указанные классификации, например номера кредитных карт.
- Метки конфиденциальности — отображает ресурсы с метками конфиденциальности и ресурсы, у которых в настоящее время нет меток.
Чтобы просмотреть подробные сведения в книге Microsoft Purview, выполните следующие действия:
- Выберите конкретный источник данных для перехода к этому ресурсу в Azure.
- Выберите ссылку на путь к ресурсу, чтобы просмотреть дополнительные сведения, а также все поля данных, общие для полученных журналов.
- Выберите строку в таблицах Источник данных, Классификация или Метка конфиденциальности, чтобы отфильтровать данные на уровне ресурсов в соответствии с настройками.
Исследование инцидентов, активируемых событиями Microsoft Purview
При исследовании инцидентов, активируемых правилами аналитики Microsoft Purview, найдите подробную информацию о ресурсах и классификациях, обнаруженных в разделе События инцидента.
Например:
Связанный контент
Дополнительные сведения см. в разделе: