Kommunikationsefterlevnad med SIEM-lösningar
Kommunikationsefterlevnad är en insider-risklösning i Microsoft 365 som bidrar till att minimera kommunikationsrisker genom att hjälpa dig att identifiera, fånga in och agera på olämpliga meddelanden i organisationen. Säkerhetsinformation och event management-lösningar (SIEM), till exempel Microsoft Sentinel eller Splunk, används ofta för att sammanställa och spåra hot inom en organisation.
Ett vanligt behov för organisationer är att integrera varningar för kommunikationsefterlevnad och de här SIEM-lösningarna. Med den här integreringen kan organisationer visa aviseringar för kommunikationsefterlevnad i sin SIEM-lösning och sedan åtgärda aviseringar inom arbetsflödet för kommunikationsefterlevnad och användarupplevelse. En anställd skickar till exempel ett stötande meddelande till en annan anställd och det meddelandet identifieras av en övervakning av kommunikationsefterlevnadsprincipen för olämpligt innehåll. Dessa händelser spåras i Microsoft 365 granskning (kallas även "enhetlig granskningslogg") av lösningen för kommunikationsefterlevnad och importeras till SIEM-lösningen. En avisering utlöses sedan i SIEM-lösningen för organisationen från händelser som övervakas i Microsoft 365-granskning som är associerade med varningar om kommunikationsefterlevnad. Godkännanden meddelas av aviseringen i SIEM-lösningarna och undersöker och åtgärdar aviseringen i kommunikationsefterlevnadslösningen.
Aviseringar om kommunikationsefterlevnad i Microsoft 365 granskning
Alla matchningar av kommunikationsefterlevnadsprinciper fångas Microsoft 365 granskning. I följande exempel visas den information som är tillgänglig för valda matchningsaktiviteter för kommunikationsefterlevnadsprincipen:
Exempel på en granskningsloggpost för en principmall för olämpligt innehåll matchar:
RunspaceId: 5c7bc9b0-7672-4091-a112-0635bd5f7732
RecordType: ComplianceSupervisionExchange
CreationDate: 7/7/2021 5:30:11 AM
UserIds: user1@contoso.onmicrosoft.com
Operations: SupervisionRuleMatch
AuditData: {"CreationTime":"2021-07-07T05:30:11","Id":"44e98a7e-57fd-4f89-79b8-08d941084a35","Operation":"SupervisionRuleMatch","OrganizationId":"338397e6\-697e-4dbe-a66b-2ea3497ef15c","RecordType":68,"ResultStatus":"{\\"ItemClass\\":\\"IPM.Note\\",\\"CcsiResults\\":\\"\\"}","UserKey":"SupervisionStoreDeliveryAgent","UserType":0,"Version":1,"Workload":"Exchange","ObjectId":"\<HE1P190MB04600526C0524C75E5750C5AC61A9@HE1P190MB0460.EURP190.PROD.OUTLOOK.COM\>","UserId":"user1@contoso.onmicrosoft.com","IsPolicyHit":true,"SRPolicyMatchDetails":{"SRPolicyId":"53be0bf4-75ee-4315-b65d-17d63bdd53ae","SRPolicyName":"Adult images","SRRuleMatchDetails":\[\]}}
ResultIndex: 24
ResultCount: 48
Identity: 44e98a7e-57fd-4f89-79b8-08d941084a35
IsValid: True
ObjectState: Unchanged
Exempel på en Microsoft 365 granskningsloggpost för en princip med anpassad matchning av nyckelord (anpassad typ av känslig information):
RunspaceId: 5c7bc9b0-7672-4091-a112-0635bd5f7732
RecordType: ComplianceSupervisionExchange
CreationDate: 7/6/2021 9:50:12 PM
UserIds: user2@contoso.onmicrosoft.com
Operations: SupervisionRuleMatch
AuditData: {"CreationTime":"2021-07-06T21:50:12","Id":"5c61aae5-26fc-4c8e-0791-08d940c8086f","Operation":"SupervisionRuleMatch","OrganizationId":"338397e6\-697e-4dbe-a66b-2ea3497ef15c","RecordType":68,"ResultStatus":"{\\"ItemClass\\":\\"IPM.Note\\",\\"CcsiResults\\":\\"public\\"}","UserKey":"SupervisionStoreDeliveryAgent","UserType":0,"Version":1,"Workload":"Exchange","ObjectId":"\<20210706174831.24375086.807067@sailthru.com\>","UserId":"user2@contoso.onmicrosoft.com","IsPolicyHit":true,"SRPolicyMatchDetails":{"SRPolicyId":"a97cf128-c0fc-42a1-88e3-fd3b88af9941","SRPolicyName":"Insiders","SRRuleMatchDetails":\[{"SRCategoryName":"New insiders lexicon"}\]}}
ResultIndex: 46
ResultCount: 48
Identity: 5c61aae5-26fc-4c8e-0791-08d940c8086f
IsValid: True
ObjectState: Unchanged
Anteckning
Det kan för närvarande finnas upp till en fördröjning på upp till 24 timmar mellan det att en principmatchning registreras i Microsoft 365-granskning och den tid då du kan undersöka principmatchning i kommunikationsefterlevnad.
Konfigurera kommunikationsefterlevnad och Microsoft Sentinel-integrering
När du använder Microsoft Sentinel för att sammanställa matchningar av policyer för kommunikation använder Sentinel Microsoft 365 Granskning som datakälla. Integrera aviseringar om kommunikationsefterlevnad med Sentinel genom att utföra följande steg:
Onboard to Microsoft Sentinel. Som en del av onboarding-processen konfigurerar du dina datakällor.
Konfigurera Microsoft Sentinel-Microsoft Office 365 och under anslutningskonfiguration väljer du Exchange.
Konfigurera sökfråga för att hämta aviseringar om kommunikationsefterlevnad. Till exempel:
| OfficeActivity | där OfficeWorkload == "Exchange" och Operation == "SupervisionRuleMatch" | sortera efter TimeGenerated
Om du vill filtrera efter en viss användare använder du följande frågeformat:
| OfficeActivity | där OfficeWorkload == "Exchange" och Operation == "SupervisionRuleMatch" och UserId == "User1@Contoso.com" | sortera efter TimeGenerated
Mer information om hur du Microsoft 365 granskningsloggar för Office 365 som samlas in av Microsoft Sentinel finns i Referens för Azure-bildskärmsloggar.
Konfigurera kommunikationsefterlevnad och Splunk-integrering
För att integrera aviseringar om kommunikationsefterlevnad med Splunk slutför du följande steg:
Installera Splunk-tillägget för Microsoft Office 365
Konfigurera ett integrationsprogram i Azure AD för Splunk-tillägget för Microsoft Office 365
Konfigurera sökfrågor i din Splunk-lösning. Använd följande sökexempel för att identifiera alla aviseringar om kommunikationsefterlevnad:
index= * sourcetype="o365:management:activity" Workload=Exchange Operation=SupervisionRuleMatch
Om du vill filtrera resultat för en specifik policy för kommunikationsefterlevnad kan du använda parametern SRPolicyMatchDetails.SRPolicyName.
I följande sökexempel returneras till exempel aviseringar om matchningar till en princip för kommunikationsefterlevnad som heter Olämpligt innehåll:
index= * sourcetype='o365:management:activity' Workload=Exchange Operation=SupervisionRuleMatch SRPolicyMatchDetails.SRPolicyName=<Inappropriate content>
I följande tabell visas exempelsökresultat för olika principtyper:
| Principtyper | Exempel på sökresultat |
|---|---|
| Princip som identifierar en anpassad nyckelordslista med känslig informationstyp | { CreationTime: 2021-09-17T16:29:57 ID: 4b9ce23d-ee60-4f66-f38d-08d979f8631f IsPolicyHit: true ObjectId: CY1PR05MB27158B96AF7F3AFE62E1F762CFDD9@CY1PR05MB2715.namprd05.prod.outlook.com Åtgärd: Överlappande matchning OrganizationId: d6a06676-95e8-4632-b949-44bc00f0793f RecordType: 68 ResultStatus: {"ItemClass":"IPM. Note","CcsiResults":"leak"} SRPolicyMatchDetails: { [+] } UserId: user1@contoso.OnMicrosoft.com UserKey: SupervisionStoreDeliveryAgent UserType: 0 Version: 1 Arbetsbelastning: Exchange } |
| Princip som identifierar olämpligt språk | { CreationTime: 2021-09-17T23:44:35 ID: e0ef6f54-9a52-4e4c-9584-08d97a351ad0 IsPolicyHit: true ObjectId: BN6PR05MB3571AD9FBB85C4E12C1F66B4CCDD9@BN6PR05MB3571.namprd05.prod.outlook.com Åtgärd: Överlappande matchning OrganizationId: d6a06676-95e8-4632-b949-44bc00f0793f RecordType: 68 ResultStatus: {"ItemClass":"IPM.Yammer. Meddelande","CcsiResults":""} SRPolicyMatchDetails: { [+] } UserId: user1@contoso.com UserKey: SupervisionStoreDeliveryAgent UserType: 0 Version: 1 } |
Konfigurera kommunikationsefterlevnad med andra SIEM-lösningar
Om du vill hämta matchningar för kommunikationsefterlevnadsprinciper från Microsoft 365 granskning kan du antingen använda PowerShell Office 365 Management API.
När du använder PowerShell kan du använda någon av dessa parametrar med cmdleten Search-UnifiedAuditLog för att filtrera granskningslogghändelser för kommunikationsefterlevnadsaktiviteter.
| Granskningsloggparameter | Parametervärde för kommunikationsefterlevnad |
|---|---|
| Drift | SupervisionRuleMatch |
| RecordType | ComplianceSupervisionExchange |
Följande är till exempel en exempelsökning med parametern Operations och Så här ser ett exempel på en matchning ut:
Search-UnifiedAuditLog -StartDate $startDate -EndDate $endDate -Operations SupervisionRuleMatch | ft CreationDate,UserIds,AuditData
Följande är en exempelsökning med hjälp av parametern RecordsType och värdet ComplianceSupervisionExchange:
Search-UnifiedAuditLog -StartDate $startDate -EndDate $endDate -RecordType ComplianceSuperVisionExchange | ft CreationDate,UserIds,AuditData