Integrieren von Microsoft Sentinel und Microsoft Purview (öffentliche Vorschau)

  • Artikel

Microsoft Purview bietet Organisationen Einblicke in den Speicherort vertraulicher Informationen, und hilft dabei, gefährdete Daten für den Schutz zu priorisieren. Weitere Informationen finden Sie in der Dokumentation zur Datengovernance von Microsoft Purview.

Integrieren Sie Microsoft Purview in Microsoft Sentinel, um die große Anzahl von in Microsoft Sentinel festgestellten Incidents und Bedrohungen einzugrenzen und für den Anfang die wichtigsten Bereiche zu verstehen.

Beginnen Sie, indem Sie Ihre Microsoft Purview-Protokolle über einen Datenconnector in Microsoft Sentinel erfassen. Verwenden Sie dann eine Microsoft Sentinel-Arbeitsmappe, um Daten wie gescannte Ressourcen, gefundene Klassifizierungen und von Microsoft Purview angewendete Bezeichnungen anzuzeigen. Verwenden Sie Analyseregeln, um Warnungen für Änderungen hinsichtlich der Vertraulichkeit von Daten zu erstellen.

Passen Sie die Microsoft Purview-Arbeitsmappen und -Analyseregeln an die Anforderungen Ihrer Organisation an, und kombinieren Sie Microsoft Purview-Protokolle mit Daten, die aus anderen Quellen erfasst wurden, um erweiterte Einblicke in Microsoft Sentinel zu erhalten.

Wichtig

Die Microsoft Purview-Lösung befindet sich in der VORSCHAU. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

In diesem Artikel führen Sie folgende Schritte aus:

  • Installieren der Microsoft Sentinel-Lösung für Microsoft Purview
  • Aktivieren Ihres Microsoft Purview-Datenconnectors
  • Erfahren Sie mehr über die Arbeitsmappen- und Analyseregeln, die mit der Microsoft Purview-Lösung in Ihrem Microsoft Sentinel-Arbeitsbereich bereitgestellt werden.

Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher, dass sowohl ein Microsoft Sentinel-Arbeitsbereich als auch Microsoft Purview integriert sind und dass Ihre Benutzer über die folgenden Rollen verfügen:

  • Eine Besitzer- oder Mitwirkender-Rolle für das Microsoft Purview-Konto, um Diagnoseeinstellungen einzurichten und den Datenconnector zu konfigurieren.

  • Eine Microsoft Sentinel-Rolle Mitwirkender mit Schreibberechtigungen, um den Datenconnector zu aktivieren, die Arbeitsmappe anzuzeigen und Analyseregeln zu erstellen.

Installieren der Microsoft Purview-Lösung

Die Microsoft Purview-Lösung besteht aus einem Satz gebündelter Inhalte, einschließlich eines Datenconnectors, einer Arbeitsmappe und Analyseregeln, die speziell für Microsoft Purview-Daten konfiguriert sind.

Tipp

Microsoft Sentinel-Lösungen können Ihnen helfen, Microsoft Sentinel-Sicherheitsinhalte für einen bestimmten Datenconnector in einem zentralen Prozess zu integrieren.

So installieren Sie die Lösung

  1. Wählen Sie in Microsoft Sentinel unter Inhaltsverwaltung die Option Inhaltshub aus, und suchen Sie dann nach der Microsoft Purview-Lösung.

  2. Wählen Sie rechts unten Details anzeigenund dann Erstellen aus. Wählen Sie das Abonnement, die Ressourcengruppe und den Arbeitsbereich aus, in dem Sie die Lösung installieren möchten, und überprüfen Sie dann den Datenconnector und die zugehörigen Sicherheitsinhalte, die bereitgestellt werden.

    Wenn Sie fertig sind, wählen Sie Überprüfen und erstellen aus, um die Lösung zu installieren.

Weitere Informationen finden Sie unter Informationen zu Microsoft Sentinel-Inhalten und -Lösungen und Zentrales Entdecken und Bereitstellen von vorkonfigurierten Azure Sentinel-Inhalten und -Lösungen.

Starten der Erfassung von Microsoft Purview-Daten in Microsoft Sentinel

Konfigurieren Sie Diagnoseeinstellungen, damit die Protokolle zur Vertraulichkeit von Microsoft Purview-Daten an Microsoft Sentinel übermittelt werden, und führen Sie dann eine Microsoft Purview-Überprüfung aus, um mit der Erfassung Ihrer Daten zu beginnen.

Diagnoseeinstellungen senden Protokollereignisse erst, nachdem eine vollständige Überprüfung ausgeführt wurde oder wenn während einer inkrementellen Überprüfung eine Änderung erkannt wird. Es dauert in der Regel etwa 10 bis 15 Minuten, bis die Protokolle in Microsoft Sentinel angezeigt werden.

Tipp

Anweisungen zum Aktivieren Ihres Datenconnectors sind auch in Microsoft Sentinel auf der Seite Microsoft Purview-Datenconnector verfügbar.

So aktivieren Sie die Übermittlung der Protokolle zur Vertraulichkeit von Daten an Microsoft Sentinel

  1. Navigieren Sie im Azure-Portal zu Ihrem Microsoft Purview-Konto, und wählen Sie Diagnoseeinstellungen aus.

    Screenshot: Seite „Diagnoseeinstellungen“ im Microsoft Purview-Konto

  2. Wählen Sie + Diagnoseeinstellung hinzufügen aus, und konfigurieren Sie die neue Einstellung, um Protokolle von Microsoft Purview an Microsoft Sentinel zu senden:

    • Geben Sie einen aussagekräftigen Namen für Ihren Bereich ein.
    • Wählen Sie unter Protokolle die Option DataSensitivityLogEvent aus.
    • Wählen Sie unter Zieldetailsdie Option An Log Analytics-Arbeitsbereich senden und dann die für Microsoft Sentinel verwendeten Abonnement- und Arbeitsbereichsdetails aus.

  3. Wählen Sie Speichern aus.

Weitere Informationen finden Sie unter Verbinden von Microsoft Sentinel mit anderen Microsoft-Diensten über auf Diagnoseeinstellungen basierende Verbindungen.

So führen Sie eine Microsoft Purview-Überprüfung aus und zeigen Daten in Microsoft Sentinel an

  1. Führen Sie in Microsoft Purview eine vollständige Überprüfung Ihrer Ressourcen aus. Weitere Informationen finden Sie unter Verwalten von Datenquellen in Microsoft Purview.

  2. Nachdem Ihre Microsoft Purview-Überprüfungen abgeschlossen sind, kehren Sie zum Microsoft Purview-Datenconnector in Microsoft Sentinel zurück, und vergewissern Sie sich, dass die Daten empfangen wurden.

Anzeigen der zuletzt von Microsoft Purview ermittelten Daten

Die Microsoft Purview-Lösung bietet zwei vordefinierte Analyseregelvorlagen, die Sie aktivieren können: eine generische Regel und eine benutzerdefinierte Regel.

  • Die generische Version In den letzten 24 Stunden entdeckte vertrauliche Daten überwacht die Erkennung aller Klassifizierungen, die während einer Microsoft Purview-Überprüfung in Ihrem Datenbestand gefunden werden.
  • Die angepasste Version In den letzten 24 Stunden entdeckte vertrauliche Daten – angepasst überwacht und generiert Warnungen jedes Mal, wenn die angegebene Klassifizierung erkannt wurde, z. B. eine Sozialversicherungsnummer.

Verwenden Sie dieses Verfahren, um die Abfragen der Microsoft Purview-Analyseregeln anzupassen und Ressourcen mit bestimmter Klassifizierung, Vertraulichkeitsbezeichnung, Quellregion und mehr zu erkennen. Kombinieren Sie die generierten Daten mit anderen Daten in Microsoft Sentinel, um Ihre Erkennungen und Warnungen anzureichern.

Hinweis

Microsoft Sentinel-Analyseregeln sind KQL-Abfragen, die Warnungen auslösen, wenn verdächtige Aktivitäten erkannt werden. Passen Sie Ihre Regeln an, und gruppieren Sie sie, um Incidents zu erstellen, die Ihr SOC-Team untersuchen soll.

Ändern der Microsoft Purview-Analyseregelvorlagen

  1. Wählen Sie in Microsoft Sentinel unter Konfiguration die Option Analysen>Aktive Regeln aus, und suchen Sie nach einer Regel namens In den letzten 24 Stunden entdeckte vertrauliche Daten – angepasst.

    Von Microsoft Sentinel-Lösungen erstellte Analyseregeln sind standardmäßig deaktiviert. Stellen Sie sicher, dass Sie die Regel für Ihren Arbeitsbereich aktivieren, bevor Sie fortfahren:

    1. Wählen Sie die Regel und dann unten rechts Bearbeiten aus.

    2. Wechseln Sie im Analyseregel-Assistenten unten auf der Registerkarte Allgemein den Status auf Aktiviert.

  2. Passen Sie auf der Registerkarte Regellogik festlegen die Regelabfrage so an, dass die Datenfelder und Klassifizierungen abgefragt werden, für die Sie Warnungen generieren möchten. Weitere Informationen dazu, was in Ihre Abfrage aufgenommen werden kann, finden Sie unter:

    Formatierte Abfragen weisen die folgende Syntax auf: | where {data-field} contains {specified-string}.

    Beispiel:

    PurviewDataSensitivityLogs
| where Classification contains “Social Security Number”
| where SourceRegion contains “westeurope”
| where SourceType contains “Amazon”
| where TimeGenerated > ago (24h)

  3. Definieren Sie unter Abfrageplanung Einstellungen so, dass die Regeln die in den letzten 24 Stunden ermittelten Daten anzeigen. Es wird außerdem empfohlen, die Ereignisgruppierung so festzulegen, dass alle Ereignisse in einer einzelnen Warnung gruppiert werden.

    Screenshot: Einstellung des Analyseregel-Assistenten, sodass die in den letzten 24 Stunden ermittelten Daten angezeigt werden

  4. Passen Sie bei Bedarf die Registerkarten Incidenteinstellungen und Automatisierte Antwort an. Überprüfen Sie beispielsweise auf der Registerkarte Incidenteinstellungen, ob Incidents aus Warnungen erstellen, die von dieser Analyseregel ausgelöst werden ausgewählt ist.

  5. Wählen Sie auf der Registerkarte Überprüfen und aktualisieren die Option Speichern aus.

Weitere Informationen finden Sie unter Erstellen benutzerdefinierter Analyseregeln zum Erkennen von Bedrohungen.

Anzeigen von Microsoft Purview-Daten in Microsoft Sentinel-Arbeitsmappen

Wählen Sie in Microsoft Sentinel unter Bedrohungsverwaltung die Option Arbeitsmappen>Meine Arbeitsmappen aus, und suchen Sie die mit der Microsoft Purview-Lösung bereitgestellte Microsoft Purview-Arbeitsmappe. Öffnen Sie die Arbeitsmappe, und passen Sie alle Parameter nach Bedarf an.

Screenshot: Microsoft Purview-Arbeitsmappe

Die Microsoft Purview-Arbeitsmappe zeigt die folgenden Registerkarten an:

  • Übersicht: Zeigt die Regionen und Ressourcentypen an, in denen sich die Daten befinden.
  • Klassifizierungen: Zeigt Ressourcen an, die angegebene Klassifizierungen enthalten, z. B. Kreditkartennummern.
  • Vertraulichkeitsbezeichnungen: Zeigt die Ressourcen mit vertraulichen Bezeichnungen an und die Ressourcen, die derzeit keine Bezeichnungen aufweisen.

So zeigen Sie einen Drilldown in der Microsoft Purview-Arbeitsmappe an:

  • Wählen Sie eine bestimmte Datenquelle aus, um zu dieser Ressource in Azure zu springen.
  • Wählen Sie einen Link zum Ressourcenpfad aus, um weitere Details anzuzeigen, wobei alle Datenfelder in den erfassten Protokollen geteilt werden.
  • Wählen Sie eine Zeile in den Tabellen Datenquelle, Klassifizierung oder Vertraulichkeitsbezeichnung aus, um die Daten auf Ressourcenebene wie konfiguriert zu filtern.

Untersuchen von Incidents, die durch Microsoft Purview-Ereignisse ausgelöst werden

Wenn Sie Incidents untersuchen, die durch die Microsoft Purview-Analyseregeln ausgelöst werden, finden Sie ausführliche Informationen zu den Ressourcen und Klassifizierungen in den Ereignissen des Incidents.

Beispiel:

Screenshot: Durch Purview-Ereignisse ausgelöster Incident

Nächste Schritte

Weitere Informationen finden Sie unter