Интеграция Microsoft Sentinel и Microsoft Purview

Microsoft Purview предоставляет организациям возможность видеть, где хранятся конфиденциальные сведения, помогая присваивать приоритет данным, подверженным риску, для их защиты. Интегрируйте Microsoft Purview с Microsoft Sentinel, чтобы сузить количество инцидентов и угроз, выводимых в Microsoft Sentinel, и определить наиболее важные области, с которых следует начать.

Начните с приема журналов Microsoft Purview в Microsoft Sentinel через соединитель данных. Затем используйте книгу Microsoft Sentinel для просмотра данных, таких как проверенные ресурсы, обнаруженные классификации и метки, примененные Microsoft Purview. Используйте правила аналитики, чтобы создавать оповещения об изменениях, связанных с конфиденциальностью данных.

Настройте книгу Microsoft Purview и правила аналитики, чтобы они наилучшим образом соответствовали потребностям вашей организации. Объедините журналы Microsoft Purview с данными, полученными из других источников, чтобы создать углубленную аналитику в Microsoft Sentinel.

Необходимые компоненты

Прежде чем начать, убедитесь, что у вас есть Рабочая область Microsoft Sentinel и Microsoft Purview, а у пользователя есть следующие роли:

• Роль владельца или участника учетной записи Microsoft Purview для настройки параметров диагностики и настройки соединителя данных.

• Роль участника Microsoft Sentinel с разрешениями на запись для включения соединителя данных, просмотра книги и создания правил аналитики.

• Решение Microsoft Purview , установленное в рабочей области Log Analytics, включено для Microsoft Sentinel.

  Решение Microsoft Purview — это набор упакованных материалов, в число которых входят соединитель данных, книга и правила аналитики, настроенные специально для данных Microsoft Purview. Дополнительные сведения см. в статье о содержимом и решениях и решениях Microsoft Sentinel и управлении ими, а также о том, как управлять содержимым Microsoft Sentinel вне поля.

  Инструкции по включению соединителя данных также доступны в Microsoft Sentinel на странице соединителя данных Microsoft Purview.

Начало приема данных Microsoft Purview в Microsoft Sentinel

Настройте параметры диагностики, чтобы журналы конфиденциальности данных Microsoft Purview передавались в Microsoft Sentinel, а затем запустите проверку Microsoft Purview для начала приема данных.

Параметры диагностики отправляют события журнала только после выполнения полной проверки или при обнаружении изменений во время добавочной проверки. До появления журналов в Microsoft Sentinel обычно проходит около 10-15 минут.

Для включения передачи журналов конфиденциальности данных в Microsoft Sentinel, выполните следующие действия:

1. Перейдите к учетной записи Microsoft Purview на портале Azure и выберите Параметры диагностики.

   

2. Выберите + Добавить параметр диагностики и настройте новый параметр для отправки журналов из Microsoft Purview в Microsoft Sentinel.

   • Введите понятное имя для параметра.
   • В разделе Журналы выберите DataSensitivityLogEvent.
   • В разделе Сведения о назначении щелкните Отправить в рабочую область Log Analytics и выберите сведения о подписке и рабочей области, используемые для Microsoft Sentinel.

3. Выберите Сохранить.

Дополнительные сведения см. в разделе "Подключение Microsoft Sentinel к другим службы Майкрософт с помощью подключений на основе параметров диагностики".

Чтобы запустить проверку Microsoft Purview и просмотреть данные в Microsoft Sentinel, выполните следующие действия:

1. В Microsoft Purview выполните полную проверку ресурсов. Дополнительные сведения см. в разделе "Сканирование источников данных" в Microsoft Purview.

2. После завершения проверок Microsoft Purview вернитесь к соединителю данных Microsoft Purview в Microsoft Sentinel и убедитесь, что данные получены.

Просмотр недавних данных, обнаруженных Microsoft Purview

Решение Microsoft Purview предоставляет два готовых шаблона правил аналитики, которые можно активировать, включая универсальное правило и настроенное правило.

• Общая версия, Конфиденциальные данные, обнаруженные за последние 24 часа, наблюдает за обнаружением всех классификаций, найденных в пространстве данных при проверке Microsoft Purview.
• Настроенная версия, Конфиденциальные данные, обнаруженные за последние 24 часа — настроено, занимается слежением и генерирует предупреждения каждый раз, когда обнаруживается указанная классификация, например номер социального страхования.

Используйте эту процедуру, чтобы настроить запросы правил аналитики Microsoft Purview для обнаружения ресурсов с определенной классификацией, меткой конфиденциальности, исходным регионом и т. д. Объедините сгенерированные данные с другими данными в Microsoft Sentinel, чтобы расширить возможности обнаружения и оповещений.

Изменение шаблонов правил аналитики Microsoft Purview

1. В Microsoft Sentinel откройте решение Microsoft Purview , а затем найдите и выберите конфиденциальные данные, обнаруженные в течение последних 24 часов. Настраиваемое правило. На боковой панели выберите "Создать правило", чтобы создать новое правило на основе шаблона.

2. Перейдите на страницу "Аналитика конфигурации>" и выберите "Активные правила". Найдите правило с именем "Конфиденциальные данные", обнаруженное в течение последних 24 часов . Настроено.

   По умолчанию правила аналитики, созданные решениями Microsoft Sentinel, имеют состояние "отключено". Прежде чем продолжить, включите правило для вашей рабочей области:

   1. Выберите правило. В боковой области нажмите кнопку "Изменить".

   2. В мастере правил аналитики в нижней части вкладки Общие установите переключатель Состояние в положение Включено.

3. На вкладке Задать логику правила настройте Запрос правила, чтобы запросить поля данных и классификации, для которых нужно создавать оповещения. Дополнительные сведения о том, что можно включить в запрос, см. в следующих статьях:

   • Поддерживаемые поля данных — это столбцы таблицы PurviewDataSensitivityLogs.
   • Поддерживаемые классификации

   Отформатированные запросы имеют следующий синтаксис: | where {data-field} contains {specified-string}.

   Например:

   PurviewDataSensitivityLogs
   | where Classification contains “Social Security Number”
   | where SourceRegion contains “westeurope”
   | where SourceType contains “Amazon”
   | where TimeGenerated > ago (24h)
   

   Дополнительные сведения о следующих элементах, используемых в предыдущем примере, см. в документации Kusto:

   • Оператор where
   • функция ago()

   Дополнительные сведения о KQL см. в обзоре язык запросов Kusto (KQL).

   Другие ресурсы:

   • Краткий справочник по KQL
   • язык запросов Kusto учебные ресурсы

4. В разделе Планирование запросов определите параметры, чтобы правила отображали данные, обнаруженные за последние 24 часа. Также рекомендуется задать Группирование событий, чтобы сгруппировать все события в одном оповещении.

   

5. При необходимости настройте вкладки Параметры инцидентов и Автоматический ответ. Например, убедитесь, что на вкладке Параметры инцидентов установлен флажок Создавать инциденты из оповещений, активированных этим правилом аналитики.

6. На вкладке "Просмотр и создание " нажмите кнопку "Сохранить".

Дополнительные сведения см. в разделе Создание настраиваемых правил аналитики для обнаружения угроз.

Просмотр данных Microsoft Purview в книгах Microsoft Sentinel

1. В Microsoft Sentinel откройте решение Microsoft Purview, а затем найдите и выберите книгу Microsoft Purview. На боковой панели выберите "Конфигурация" , чтобы добавить книгу в рабочую область.

2. В Microsoft Sentinel в разделе "Управление угрозами" выберите книги>"Мои книги" и найдите книгу Microsoft Purview. Сохраните книгу в рабочей области и выберите "Просмотреть сохраненную книгу". Например:

   

В книге Microsoft Purview отображаются следующие вкладки:

• Обзор — отображает типы регионов и ресурсов, в которых находятся данные.
• Классификации — отображает ресурсы, содержащие указанные классификации, например номера кредитных карт.
• Метки конфиденциальности — отображает ресурсы с метками конфиденциальности и ресурсы, у которых в настоящее время нет меток.

Чтобы просмотреть подробные сведения в книге Microsoft Purview, выполните следующие действия:

• Выберите конкретный источник данных для перехода к этому ресурсу в Azure.
• Выберите ссылку на путь к ресурсу, чтобы просмотреть дополнительные сведения, а также все поля данных, общие для полученных журналов.
• Выберите строку в таблицах Источник данных, Классификация или Метка конфиденциальности, чтобы отфильтровать данные на уровне ресурсов в соответствии с настройками.

Исследование инцидентов, активируемых событиями Microsoft Purview

При исследовании инцидентов, активируемых правилами аналитики Microsoft Purview, найдите подробную информацию о ресурсах и классификациях, обнаруженных в разделе События инцидента.

Например:

Связанный контент

Дополнительные сведения см. в разделе:

• Визуализация собранных данных
• Создание настраиваемых правил аналитики для обнаружения угроз
• Исследование инцидентов с помощью Microsoft Sentinel