A Microsoft Sentinel és a Microsoft Purview integrálása (nyilvános előzetes verzió)

  • Cikk

A Microsoft Purview lehetővé teszi a szervezetek számára a bizalmas adatok tárolásának helyét, így segít a veszélyeztetett adatok védelmének rangsorolásában. További információt a Microsoft Purview adatszabályozási dokumentációjában talál.

Integrálja a Microsoft Purview-t a Microsoft Sentinellel, hogy segítsen leszűkíteni a Microsoft Sentinelben megjelenő incidensek és fenyegetések nagy mennyiségét, és megérteni a legfontosabb területeket.

Először egy adatösszekötőn keresztül betölti a Microsoft Purview-naplókat a Microsoft Sentinelbe. Ezután egy Microsoft Sentinel-munkafüzettel megtekintheti az adatokat, például a beolvasott objektumokat, a talált besorolásokat és a Microsoft Purview által alkalmazott címkéket. Az elemzési szabályok használatával riasztásokat hozhat létre az adatérzékenység változásaihoz.

Testre szabhatja a Microsoft Purview munkafüzet- és elemzési szabályait a szervezet igényeinek megfelelően, és a Microsoft Purview-naplókat más forrásokból betöltött adatokkal kombinálva gazdagított elemzéseket hozhat létre a Microsoft Sentinelben.

Fontos

A Microsoft Purview megoldás előzetes verzióban érhető el. A Microsoft Azure Previews kiegészítő használati feltételei című cikkben talál további jogi feltételeket, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem elérhető Azure-funkciókra vonatkoznak.

Ebben a cikkben:

  • A Microsoft Purview-hoz készült Microsoft Sentinel-megoldás telepítése
  • A Microsoft Purview-adatösszekötő engedélyezése
  • Tudnivalók a Microsoft Sentinel-munkaterületen a Microsoft Purview megoldással üzembe helyezett munkafüzet- és elemzési szabályokról

Előfeltételek

A kezdés előtt győződjön meg arról, hogy a Microsoft Sentinel-munkaterület és a Microsoft Purview is elő van készítve, és hogy a felhasználó a következő szerepkörökhöz tartozik:

A Microsoft Purview-megoldás telepítése

A Microsoft Purview-megoldás egy csomagban lévő tartalomkészlet, beleértve a kifejezetten a Microsoft Purview-adatokhoz konfigurált adatösszekötőt, munkafüzetet és elemzési szabályokat.

Tipp

A Microsoft Sentinel-megoldások segíthetnek a Microsoft Sentinel biztonsági tartalmának előkészítésében egy adott adatösszekötőhöz egyetlen folyamat használatával.

A megoldás telepítése

  1. A Microsoft Sentinel Tartalomkezelés területén válassza a Tartalomközpont lehetőséget, majd keresse meg a Microsoft Purview-megoldást .

  2. A jobb alsó sarokban válassza a Részletek megtekintése, majd a Létrehozás lehetőséget. Válassza ki azt az előfizetést, erőforráscsoportot és munkaterületet, ahol telepíteni szeretné a megoldást, majd tekintse át az üzembe helyezendő adatösszekötőt és a kapcsolódó biztonsági tartalmakat.

    Ha végzett, válassza a Felülvizsgálat + Létrehozás lehetőséget a megoldás telepítéséhez.

További információ: A Microsoft Sentinel tartalmai és megoldásai , valamint a beépített tartalmak és megoldások központi felderítése és üzembe helyezése.

Microsoft Purview-adatok betöltésének megkezdése a Microsoft Sentinelben

Konfigurálja a diagnosztikai beállításokat, hogy a Microsoft Purview adat bizalmassági naplói a Microsoft Sentinelbe áramoljanak, majd futtasson egy Microsoft Purview-vizsgálatot az adatok betöltésének megkezdéséhez.

A diagnosztikai beállítások csak a teljes vizsgálat futtatása után küldenek naplóeseményeket, vagy ha változás észlelhető egy növekményes vizsgálat során. Általában körülbelül 10–15 percet vesz igénybe, amíg a naplók megjelennek a Microsoft Sentinelben.

Tipp

Útmutatás az adatösszekötő engedélyezéséhez a Microsoft Sentinelben is, a Microsoft Purview adatösszekötő oldalán.

Az adatérzékenység naplóinak a Microsoft Sentinelbe való áramlásának engedélyezése:

  1. Lépjen a Microsoft Purview-fiókjára a Azure Portal, és válassza a Diagnosztikai beállítások lehetőséget.

    Képernyőkép a Microsoft Purview-fiók Diagnosztikai beállítások lapjáról.

  2. Válassza a + Diagnosztikai beállítás hozzáadása lehetőséget , és konfigurálja az új beállítást, hogy naplókat küldjön a Microsoft Purview-ból a Microsoft Sentinelnek:

    • Adjon meg egy értelmes nevet a beállításnak.
    • A Naplók területen válassza a DataSensitivityLogEvent lehetőséget.
    • A Céladatok területen válassza a Küldés Log Analytics-munkaterületre lehetőséget, majd válassza ki a Microsoft Sentinelhez használt előfizetési és munkaterület-adatokat.

  3. Kattintson a Mentés gombra.

További információ: A Microsoft Sentinel csatlakoztatása más Microsoft-szolgáltatásokhoz diagnosztikai beállításokon alapuló kapcsolatok használatával.

Microsoft Purview-vizsgálat futtatása és adatok megtekintése a Microsoft Sentinelben:

  1. A Microsoft Purview-ban futtassa az erőforrások teljes vizsgálatát. További információ: Adatforrások kezelése a Microsoft Purview-ban.

  2. Miután a Microsoft Purview-vizsgálat befejeződött, lépjen vissza a Microsoft Purview adatösszekötőjéhez a Microsoft Sentinelben, és győződjön meg arról, hogy az adatok megérkeztek.

A Microsoft Purview által felderített legutóbbi adatok megtekintése

A Microsoft Purview megoldás két, engedélyezhető elemzési szabálysablont biztosít, köztük egy általános szabályt és egy testre szabott szabályt.

  • Az általános verzió, az elmúlt 24 órában észlelt bizalmas adatok figyeli az adattulajdonban található besorolások észlelését egy Microsoft Purview-vizsgálat során.
  • Az elmúlt 24 órában észlelt bizalmas adatok – Testre szabott, monitorozott és generált testreszabott verzió minden alkalommal riasztásokat hoz létre, amikor a megadott besorolást (például a társadalombiztosítási számot) észlelik.

Ezzel az eljárással testre szabhatja a Microsoft Purview-elemzési szabályok lekérdezését az adott besorolású, bizalmassági címkével, forrásrégióval és egyebekkel rendelkező objektumok észleléséhez. A Microsoft Sentinelben létrehozott adatok kombinálásával bővítheti az észleléseket és a riasztásokat.

Megjegyzés

A Microsoft Sentinel elemzési szabályai olyan KQL-lekérdezések, amelyek gyanús tevékenység észlelésekor riasztásokat aktiválnak. Szabja testre és csoportosítsa a szabályokat, hogy incidenseket hozzon létre az SOC-csapat számára a kivizsgáláshoz.

A Microsoft Purview elemzési szabálysablonjainak módosítása

  1. A Microsoft Sentinel Konfiguráció területén válassza az Aktív elemzési>szabályok lehetőséget, és keressen egy Bizalmas adatok felderítve az elmúlt 24 órában – testre szabott szabályt.

    Alapértelmezés szerint a Microsoft Sentinel-megoldások által létrehozott elemzési szabályok le vannak tiltva. A folytatás előtt mindenképpen engedélyezze a szabályt a munkaterületen:

    1. Jelölje ki a szabályt, majd a jobb alsó sarokban válassza a Szerkesztés lehetőséget.

    2. Az Elemzési szabály varázsló Általános lapjának alján állítsa az Állapot beállítást Engedélyezve értékre.

  2. A Szabálylogika beállítása lapon módosítsa a Szabály lekérdezést azoknak az adatmezőknek és besorolásoknak a lekérdezéséhez, amelyekhez riasztásokat szeretne létrehozni. További információ arról, hogy mi szerepelhet a lekérdezésben:

    A formázott lekérdezések szintaxisa a következő: | where {data-field} contains {specified-string}.

    Például:

    PurviewDataSensitivityLogs
| where Classification contains “Social Security Number”
| where SourceRegion contains “westeurope”
| where SourceType contains “Amazon”
| where TimeGenerated > ago (24h)

  3. A Lekérdezés ütemezése területen adja meg a beállításokat, hogy a szabályok az elmúlt 24 órában felderített adatokat jeleníthessék meg. Azt is javasoljuk, hogy az eseménycsoportozást úgy állítsa be, hogy az összes eseményt egyetlen riasztásba csoportosítsa.

    Képernyőkép az elmúlt 24 órában észlelt adatok megjelenítéséhez definiált elemzési szabály varázslóról.

  4. Szükség esetén testre szabhatja az Incidensbeállításokat és az Automatikus válaszfüleket . Az Incidensek beállításai lapon például ellenőrizze, hogy be van-e jelölve az Incidensek létrehozása az elemzési szabály által aktivált riasztásokból .

  5. A Véleményezés és frissítés lapon válassza a Mentés lehetőséget.

További információ: Egyéni elemzési szabályok létrehozása a fenyegetések észleléséhez.

Microsoft Purview-adatok megtekintése a Microsoft Sentinel-munkafüzetekben

A Microsoft Sentinel fenyegetéskezelés területén válassza a Munkafüzetek>Saját munkafüzetek lehetőséget, és keresse meg a Microsoft Purview megoldással üzembe helyezett Microsoft Purview-munkafüzetet. Nyissa meg a munkafüzetet, és igény szerint szabja testre a paramétereket.

Képernyőkép a Microsoft Purview-munkafüzetről.

A Microsoft Purview-munkafüzet a következő lapokat jeleníti meg:

  • Áttekintés: Megjeleníti azokat a régiókat és erőforrástípusokat, ahol az adatok találhatók.
  • Besorolások: A megadott besorolásokat (például hitelkártyaszámokat) tartalmazó eszközöket jeleníti meg.
  • Bizalmassági címkék: Megjeleníti a bizalmas címkéket tartalmazó eszközöket, valamint azokat az eszközöket, amelyek jelenleg nincsenek címkével.

A Microsoft Purview-munkafüzet részletezése:

  • Válasszon ki egy adott adatforrást, hogy az erőforrásra ugorjon az Azure-ban.
  • Jelöljön ki egy eszközútvonal-hivatkozást, hogy további részleteket jelenítsen meg, és az összes adatmező meg van osztva a betöltött naplókban.
  • Jelöljön ki egy sort az Adatforrás, besorolás vagy bizalmassági címke táblákban az eszközszintű adatok konfigurált szűréséhez.

A Microsoft Purview-események által kiváltott incidensek vizsgálata

A Microsoft Purview-elemzési szabályok által kiváltott incidensek vizsgálatakor részletes információkat talál az incidens eseményeiben található objektumokról és besorolásokról.

Például:

A Purview-események által kiváltott incidens képernyőképe.

Következő lépések

További információkért lásd: