Integrace Služby Microsoft Sentinel a Microsoft Purview (Public Preview)
Microsoft Purview poskytuje organizacím přehled o tom, kde jsou uložené citlivé informace, a pomáhá tak stanovit prioritu rizikových dat pro účely ochrany. Další informace najdete v dokumentaci k zásadám správného řízení dat Microsoft Purview.
Integrujte Microsoft Purview se službou Microsoft Sentinel, abyste zúžili velký objem incidentů a hrozeb, které se ve službě Microsoft Sentinel vysílaly, a porozuměli nejdůležitějším oblastem, které je potřeba začít.
Začněte příjmem protokolů Microsoft Purview do služby Microsoft Sentinel prostřednictvím datového konektoru. Potom pomocí sešitu Služby Microsoft Sentinel zobrazte data, jako jsou naskenované prostředky, nalezené klasifikace a popisky použité microsoft purview. Pomocí analytických pravidel můžete vytvářet upozornění na změny v rámci citlivosti dat.
Přizpůsobte si sešit a analytická pravidla Microsoft Purview tak, aby co nejlépe vyhovovaly potřebám vaší organizace, a kombinováním protokolů Microsoft Purview s daty ingestovanými z jiných zdrojů vytvořte rozšířené přehledy ve službě Microsoft Sentinel.
Důležité
Řešení Microsoft Purview je ve verzi PREVIEW. Další právní podmínky, které se vztahují na funkce Azure, které jsou ve verzi beta, preview nebo jinak ještě nejsou obecně dostupné, najdete v doplňkových podmínkách použití pro verze Microsoft Azure Preview .
V tomto článku:
- Instalace řešení Microsoft Sentinel pro Microsoft Purview
- Povolení datového konektoru Microsoft Purview
- Další informace o pravidlech sešitu a analytických pravidlech nasazených do pracovního prostoru Služby Microsoft Sentinel pomocí řešení Microsoft Purview
Požadavky
Než začnete, ujistěte se, že máte nasazený pracovní prostor Služby Microsoft Sentinel i Microsoft Purview a že má váš uživatel následující role:
Role vlastníka nebo přispěvatele účtu Microsoft Purview pro nastavení diagnostiky a konfiguraci datového konektoru
Role Přispěvatel služby Microsoft Sentinel s oprávněními k zápisu pro povolení datového konektoru, zobrazení sešitu a vytváření analytických pravidel
Instalace řešení Microsoft Purview
Řešení Microsoft Purview je sada balíčku obsahu, včetně datového konektoru, sešitu a analytických pravidel nakonfigurovaných speciálně pro data Microsoft Purview.
Tip
Řešení Microsoft Sentinel vám můžou pomoct s onboardingem obsahu zabezpečení služby Microsoft Sentinel pro konkrétní datový konektor pomocí jediného procesu.
Instalace řešení
Ve službě Microsoft Sentinel v části Správa obsahu vyberte Centrum obsahu a vyhledejte řešení Microsoft Purview .
V pravém dolním rohu vyberte Zobrazit podrobnosti a pak Vytvořit. Vyberte předplatné, skupinu prostředků a pracovní prostor, do kterého chcete řešení nainstalovat, a pak zkontrolujte datový konektor a související obsah zabezpečení, který se nasadí.
Až budete hotovi, vyberte Zkontrolovat a vytvořit a nainstalujte řešení.
Další informace najdete v tématech o obsahu a řešeních služby Microsoft Sentinel a Centrální zjišťování a nasazování předefinované verze obsahu a řešení.
Zahájení ingestování dat Microsoft Purview ve službě Microsoft Sentinel
Nakonfigurujte nastavení diagnostiky tak, aby protokoly citlivosti dat Microsoft Purview proudily do služby Microsoft Sentinel, a pak spusťte kontrolu Microsoft Purview, abyste mohli začít přijímat data.
Nastavení diagnostiky odesílají události protokolu pouze po spuštění úplné kontroly nebo při zjištění změny během přírůstkové kontroly. Obvykle trvá přibližně 10 až 15 minut, než se protokoly začnou zobrazovat ve službě Microsoft Sentinel.
Tip
Pokyny k povolení datového konektoru jsou k dispozici také ve službě Microsoft Sentinel na stránce datového konektoru Microsoft Purview .
Povolení toku protokolů citlivosti dat do služby Microsoft Sentinel:
V Azure Portal přejděte na svůj účet Microsoft Purview a vyberte Nastavení diagnostiky.
Vyberte + Přidat nastavení diagnostiky a nakonfigurujte nové nastavení pro odesílání protokolů z Microsoft Purview do služby Microsoft Sentinel:
- Zadejte smysluplný název nastavení.
- V části Protokoly vyberte DataSensitivityLogEvent.
- V části Podrobnosti o cíli vyberte Odeslat do pracovního prostoru služby Log Analytics a vyberte podrobnosti o předplatném a pracovním prostoru, které se používají pro Microsoft Sentinel.
Vyberte Uložit.
Další informace najdete v tématu Připojení služby Microsoft Sentinel k jiným službám Microsoftu pomocí připojení na základě nastavení diagnostiky.
Spuštění kontroly a zobrazení dat v Microsoft Purview ve službě Microsoft Sentinel:
V Microsoft Purview spusťte úplnou kontrolu vašich prostředků. Další informace najdete v tématu Správa zdrojů dat v Microsoft Purview.
Po dokončení kontrol v Microsoft Purview se vraťte do datového konektoru Microsoft Purview ve službě Microsoft Sentinel a ověřte, že byla přijata data.
Zobrazení nedávných dat zjištěných službou Microsoft Purview
Řešení Microsoft Purview poskytuje dvě šablony analytických pravidel, které můžete povolit, včetně obecného pravidla a přizpůsobeného pravidla.
- Obecná verze Citlivá data zjištěná za posledních 24 hodin monitoruje detekci všech klasifikací nalezených v datovém majetku během kontroly Microsoft Purview.
- Přizpůsobená verze Citlivá data zjištěná za posledních 24 hodin – Přizpůsobená, monitoruje a generuje výstrahy pokaždé, když byla zjištěna zadaná klasifikace, například číslo sociálního pojištění.
Tento postup slouží k přizpůsobení dotazů analytických pravidel Microsoft Purview pro detekci prostředků s konkrétní klasifikací, popiskem citlivosti, zdrojovou oblastí a dalšími. Kombinováním vygenerovaných dat s dalšími daty ve službě Microsoft Sentinel můžete rozšířit vaše detekce a výstrahy.
Poznámka
Analytická pravidla Microsoft Sentinelu jsou dotazy KQL, které aktivují výstrahy při zjištění podezřelé aktivity. Přizpůsobte si a seskupte pravidla a vytvořte incidenty pro váš tým SOC, který bude prošetřovat.
Úprava šablon analytických pravidel Microsoft Purview
Ve službě Microsoft Sentinel v části Konfigurace vyberte Analýza>Aktivní pravidla a vyhledejte pravidlo s názvem Citlivá data zjištěná za posledních 24 hodin – přizpůsobená.
Ve výchozím nastavení jsou analytická pravidla vytvořená řešeními Microsoft Sentinelu nastavená na zakázáno. Než budete pokračovat, nezapomeňte pravidlo pro váš pracovní prostor povolit:
Vyberte pravidlo a v pravém dolním rohu vyberte Upravit.
V průvodci analytickým pravidlem přepněte v dolní části karty Obecnéstav na Povoleno.
Na kartě Nastavit logiku pravidla upravte dotaz pravidlo tak, aby se dotazoval na datová pole a klasifikace, pro které chcete generovat výstrahy. Další informace o tom, co je možné zahrnout do dotazu, najdete tady:
- Podporovaná datová pole jsou sloupce tabulky PurviewDataSensitivityLogs .
- Podporované klasifikace
Formátované dotazy mají následující syntaxi:
| where {data-field} contains {specified-string}
.Například:
PurviewDataSensitivityLogs | where Classification contains “Social Security Number” | where SourceRegion contains “westeurope” | where SourceType contains “Amazon” | where TimeGenerated > ago (24h)
V části Plánování dotazů definujte nastavení tak, aby pravidla zobrazovala data zjištěná za posledních 24 hodin. Doporučujeme také nastavit seskupení událostí tak, aby se všechny události seskupily do jednoho upozornění.
V případě potřeby přizpůsobte nastavení incidentu a karty Automatizovaná odpověď . Například na kartě Nastavení incidentů ověřte, že je vybraná možnost Vytvořit incidenty z výstrah aktivovaných tímto analytickým pravidlem .
Na kartě Revize a aktualizace vyberte Uložit.
Další informace najdete v tématu Vytvoření vlastních analytických pravidel pro detekci hrozeb.
Zobrazení dat Microsoft Purview v sešitech služby Microsoft Sentinel
Ve službě Microsoft Sentinel v části Správa hrozeb vyberte Sešity>Moje sešity a vyhledejte sešit Microsoft Purview nasazený s řešením Microsoft Purview . Otevřete sešit a podle potřeby přizpůsobte všechny parametry.
Sešit Microsoft Purview zobrazí následující karty:
- Přehled: Zobrazí oblasti a typy prostředků, ve kterých se data nacházejí.
- Klasifikace: Zobrazí prostředky, které obsahují zadané klasifikace, jako jsou čísla platebních karet.
- Popisky citlivosti: Zobrazí prostředky, které mají důvěrné popisky, a prostředky, které aktuálně nemají žádné popisky.
Přechod k podrobnostem v sešitu Microsoft Purview:
- Vyberte konkrétní zdroj dat a přejděte na tento prostředek v Azure.
- Výběrem odkazu na cestu k prostředku zobrazíte další podrobnosti se všemi datovými poli sdílenými v ingestované protokoly.
- Vyberte řádek v tabulkách Zdroj dat, Klasifikace nebo Popisek citlivosti a vyfiltrujte data na úrovni majetku podle konfigurace.
Prověřování incidentů aktivovaných událostmi Microsoft Purview
Při vyšetřování incidentů aktivovaných analytickými pravidly Microsoft Purview najdete podrobné informace o prostředcích a klasifikacích nalezených v událostech incidentu.
Například:
Další kroky
Další informace naleznete v tématu:
- Vizualizace shromážděných dat
- Vytváření vlastních analytických pravidel pro detekci hrozeb
- Vyšetřování incidentů s využitím služby Microsoft Sentinel
- Informace o obsahu a řešeních služby Microsoft Sentinel
- Centrálně zjišťovat a nasazovat předefinovaný obsah a řešení služby Microsoft Sentinel (Public Preview)