SIEM 솔루션과 커뮤니케이션 규정 준수 사용
커뮤니케이션 규정 준수 는 Microsoft Purview의 내부 위험 솔루션으로, 조직에서 부적절한 메시지를 감지, 캡처 및 조치를 취하도록 지원하여 통신 위험을 최소화하는 데 도움이 됩니다. Microsoft Sentinel 또는 Splunk와 같은 SIEM(보안 정보 및 이벤트 관리) 솔루션은 일반적으로 조직 내에서 위협을 집계하고 추적하는 데 사용됩니다.
조직의 일반적인 요구 사항은 통신 규정 준수 경고와 이러한 SIEM 솔루션을 통합하는 것입니다. 이러한 통합을 통해 조직은 SIEM 솔루션에서 통신 규정 준수 경고를 확인한 다음 통신 규정 준수 워크플로 및 사용자 환경 내에서 경고를 수정할 수 있습니다. 예를 들어 직원이 다른 직원에게 불쾌한 메시지를 보내고 해당 메시지는 부적절한 콘텐츠에 대한 통신 규정 준수 정책에 의해 검색됩니다. 이러한 이벤트는 통신 규정 준수 솔루션에 의해 Microsoft 365 감사("통합 감사 로그"라고도 함)에서 추적되고 SIEM 솔루션으로 가져옵니다. 그러면 통신 규정 준수 경고와 연결된 Microsoft 365 감사에 포함된 이벤트에서 조직의 SIEM 솔루션에서 경고가 트리거됩니다. 조사자는 SIEM 솔루션에서 경고에 대한 알림을 받은 다음 통신 규정 준수 솔루션에서 경고를 조사하고 수정합니다.
Microsoft 365 감사의 통신 준수 경고
모든 통신 준수 정책 일치는 Microsoft 365 감사에서 캡처됩니다. 다음 예제에서는 선택한 통신 준수 정책 일치 활동에 사용할 수 있는 세부 정보를 보여 줍니다.
부적절한 콘텐츠 정책 템플릿 일치에 대한 감사 로그 항목의 예:
RunspaceId: 5c7bc9b0-7672-4091-a112-0635bd5f7732
RecordType: ComplianceSupervisionExchange
CreationDate: 7/7/2021 5:30:11 AM
UserIds: user1@contoso.onmicrosoft.com
Operations: SupervisionRuleMatch
AuditData: {"CreationTime":"2021-07-07T05:30:11","Id":"44e98a7e-57fd-4f89-79b8-08d941084a35","Operation":"SupervisionRuleMatch","OrganizationId":"338397e6\-697e-4dbe-a66b-2ea3497ef15c","RecordType":68,"ResultStatus":"{\\"ItemClass\\":\\"IPM.Note\\",\\"CcsiResults\\":\\"\\"}","UserKey":"SupervisionStoreDeliveryAgent","UserType":0,"Version":1,"Workload":"Exchange","ObjectId":"\<HE1P190MB04600526C0524C75E5750C5AC61A9@HE1P190MB0460.EURP190.PROD.OUTLOOK.COM\>","UserId":"user1@contoso.onmicrosoft.com","IsPolicyHit":true,"SRPolicyMatchDetails":{"SRPolicyId":"53be0bf4-75ee-4315-b65d-17d63bdd53ae","SRPolicyName":"Adult images","SRRuleMatchDetails":\[\]}}
ResultIndex: 24
ResultCount: 48
Identity: 44e98a7e-57fd-4f89-79b8-08d941084a35
IsValid: True
ObjectState: Unchanged
사용자 지정 키워드 일치(사용자 지정 중요한 정보 유형)가 있는 정책에 대한 Microsoft 365 감사 로그 항목의 예:
RunspaceId: 5c7bc9b0-7672-4091-a112-0635bd5f7732
RecordType: ComplianceSupervisionExchange
CreationDate: 7/6/2021 9:50:12 PM
UserIds: user2@contoso.onmicrosoft.com
Operations: SupervisionRuleMatch
AuditData: {"CreationTime":"2021-07-06T21:50:12","Id":"5c61aae5-26fc-4c8e-0791-08d940c8086f","Operation":"SupervisionRuleMatch","OrganizationId":"338397e6\-697e-4dbe-a66b-2ea3497ef15c","RecordType":68,"ResultStatus":"{\\"ItemClass\\":\\"IPM.Note\\",\\"CcsiResults\\":\\"public\\"}","UserKey":"SupervisionStoreDeliveryAgent","UserType":0,"Version":1,"Workload":"Exchange","ObjectId":"\<20210706174831.24375086.807067@sailthru.com\>","UserId":"user2@contoso.onmicrosoft.com","IsPolicyHit":true,"SRPolicyMatchDetails":{"SRPolicyId":"a97cf128-c0fc-42a1-88e3-fd3b88af9941","SRPolicyName":"Insiders","SRRuleMatchDetails":\[{"SRCategoryName":"New insiders lexicon"}\]}}
ResultIndex: 46
ResultCount: 48
Identity: 5c61aae5-26fc-4c8e-0791-08d940c8086f
IsValid: True
ObjectState: Unchanged
참고
현재 Microsoft 365 감사에서 정책 일치가 기록되는 시간과 통신 규정 준수에서 정책 일치를 조사할 수 있는 시간 사이에는 최대 24시간이 지연될 수 있습니다.
통신 규정 준수 및 Microsoft Sentinel 통합 구성
Microsoft Sentinel을 사용하여 통신 준수 정책 일치를 집계하는 경우 Sentinel은 Microsoft 365 감사를 데이터 원본으로 사용합니다. Sentinel과 통신 규정 준수 경고를 통합하려면 다음 단계를 완료합니다.
Microsoft Sentinel에 온보딩합니다. 온보딩 프로세스의 일부로 데이터 원본을 구성합니다.
Microsoft Sentinel Microsoft Office 365 데이터 커넥터를 구성하고 커넥터 구성에서 Exchange 를 선택합니다.
통신 준수 경고를 검색하도록 검색 쿼리를 구성합니다. 예를 들면 다음과 같습니다.
| OfficeActivity | 여기서 OfficeWorkload == "Exchange" 및 Operation == "SupervisionRuleMatch" | Sort by TimeGenerated
특정 사용자를 필터링하려면 다음 쿼리 형식을 사용합니다.
| OfficeActivity | 여기서 OfficeWorkload == "Exchange" 및 Operation == "SupervisionRuleMatch" 및 UserId == "User1@Contoso.com" | Sort by TimeGenerated
Microsoft Sentinel에서 수집한 Office 365 대한 Microsoft 365 감사 로그에 대한 자세한 내용은 Azure Monitor 로그 참조를 참조하세요.
통신 규정 준수 및 Splunk 통합 구성
Splunk와 통신 규정 준수 경고를 통합하려면 다음 단계를 완료합니다.
Microsoft Office 365 Splunk 추가 기능에 대한 Azure AD 통합 애플리케이션 구성
Splunk 솔루션에서 검색 쿼리를 구성합니다. 다음 검색 예제를 사용하여 모든 통신 준수 경고를 식별합니다.
index=* sourcetype="o365:management:activity" Workload=Exchange Operation=SupervisionRuleMatch
특정 통신 준수 정책에 대한 결과를 필터링하려면 SRPolicyMatchDetails.SRPolicyName 매개 변수를 사용할 수 있습니다.
예를 들어 다음 검색 예제에서는 부적절한 콘텐츠 라는 통신 규정 준수 정책에 일치하는 항목에 대한 경고를 반환합니다.
index=* sourcetype='o365:management:activity' Workload=Exchange Operation=SupervisionRuleMatch SRPolicyMatchDetails.SRPolicyName=<Inappropriate content>
다음 표에서는 다양한 정책 유형에 대한 샘플 검색 결과를 보여줍니다.
| 정책 유형 | 예제 검색 결과 |
|---|---|
| 사용자 지정 중요한 정보 유형 키워드 목록을 검색하는 정책 | { CreationTime: 2021-09-17T16:29:57 ID: 4b9ce23d-ee60-4f66-f38d-08d979f8631f IsPolicyHit: true Objectid: CY1PR05MB27158B96AF7F3AFE62E1F762CFDD9@CY1PR05MB2715.namprd05.prod.outlook.com 작업: SupervisionRuleMatch OrganizationId: d6a06676-95e8-4632-b949-44bc00f0793f RecordType: 68 ResultStatus: {"ItemClass":"IPM. 참고","CcsiResults":"leak"} SRPolicyMatchDetails: { [+] } UserId: user1@contoso.OnMicrosoft.com UserKey: SupervisionStoreDeliveryAgent UserType: 0 버전: 1 워크로드: Exchange } |
| 부적절한 언어를 검색하는 정책 | { CreationTime: 2021-09-17T23:44:35 ID: e0ef6f54-9a52-4e4c-9584-08d97a351ad0 IsPolicyHit: true Objectid: BN6PR05MB3571AD9FBB85C4E12C1F66B4CCDD9@BN6PR05MB3571.namprd05.prod.outlook.com 작업: SupervisionRuleMatch OrganizationId: d6a06676-95e8-4632-b949-44bc00f0793f RecordType: 68 ResultStatus: {"ItemClass":"IPM. Yammer.Message","CcsiResults":""} SRPolicyMatchDetails: { [+] } UserId: user1@contoso.com UserKey: SupervisionStoreDeliveryAgent UserType: 0 버전: 1 } |
다른 SIEM 솔루션과의 통신 규정 준수 구성
Microsoft 365 감사에서 통신 준수 정책 일치를 검색하려면 PowerShell 또는 Office 365 관리 API를 사용할 수 있습니다.
PowerShell을 사용하는 경우 Search-UnifiedAuditLog cmdlet과 함께 이러한 매개 변수 중 하나를 사용하여 통신 준수 활동에 대한 감사 로그 이벤트를 필터링할 수 있습니다.
| 감사 로그 매개 변수 | 통신 준수 매개 변수 값 |
|---|---|
| 작업 | SupervisionRuleMatch |
| RecordType | ComplianceSupervisionExchange |
예를 들어 Operations 매개 변수 및 SupervisionRuleMatch 값을 사용하는 샘플 검색은 다음과 같습니다.
Search-UnifiedAuditLog -StartDate $startDate -EndDate $endDate -Operations SupervisionRuleMatch | ft CreationDate,UserIds,AuditData
다음은 RecordsType 매개 변수 및 ComplianceSupervisionExchange 값을 사용하는 샘플 검색입니다.
Search-UnifiedAuditLog -StartDate $startDate -EndDate $endDate -RecordType ComplianceSuperVisionExchange | ft CreationDate,UserIds,AuditData