Sdílet prostřednictvím

Integrace Služby Microsoft Sentinel a Microsoft Purview (Public Preview)

  • Článek

Microsoft Purview poskytuje organizacím přehled o tom, kde se ukládají citlivé informace, a pomáhá tak určit prioritu rizikových dat pro ochranu. Další informace najdete v dokumentaci k zásadám správného řízení dat v Microsoft Purview.

Integrujte Microsoft Purview s Microsoft Sentinelem, abyste zúžili velký objem incidentů a hrozeb, které se v Microsoft Sentinelu promítnou, a seznamte se s nejdůležitějšími oblastmi, které je potřeba začít.

Začněte ingestováním protokolů Microsoft Purview do Microsoft Sentinelu prostřednictvím datového konektoru. Potom pomocí sešitu Služby Microsoft Sentinel zobrazte data, jako jsou skenované prostředky, nalezené klasifikace a popisky použité službou Microsoft Purview. Pomocí analytických pravidel můžete vytvářet upozornění na změny v rámci citlivosti dat.

Přizpůsobte si sešit a analytická pravidla Microsoft Purview tak, aby co nejlépe vyhovovala potřebám vaší organizace, a zkombinujte protokoly Microsoft Purview s daty přijatými z jiných zdrojů a vytvořte v Microsoft Sentinelu rozšířené přehledy.

Důležité

Řešení Microsoft Purview je ve verzi PREVIEW. Další právní podmínky týkající se funkcí Azure, které jsou v beta verzi, preview nebo jinak ještě nejsou vydané v obecné dostupnosti, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview.

V tomto článku:

  • Instalace řešení Microsoft Sentinel pro Microsoft Purview
  • Povolení datového konektoru Microsoft Purview
  • Informace o pravidlech sešitu a analýz nasazených do pracovního prostoru Microsoft Sentinelu pomocí řešení Microsoft Purview

Požadavky

Než začnete, ujistěte se, že máte nasazený pracovní prostor Microsoft Sentinelu i Microsoft Purview a že má váš uživatel následující role:

  • Role vlastníka nebo přispěvatele účtu Microsoft Purview, která nastaví nastavení diagnostiky a nakonfiguruje datový konektor.

  • Role Přispěvatel Microsoft Sentinelu s oprávněními k zápisu pro povolení datového konektoru, zobrazení sešitu a vytvoření analytických pravidel.

Instalace řešení Microsoft Purview

Řešení Microsoft Purview je sada sbaleného obsahu, včetně datového konektoru, sešitu a analytických pravidel nakonfigurovaných speciálně pro data Microsoft Purview.

Tip

Řešení Microsoft Sentinel vám můžou pomoct připojit obsah zabezpečení služby Microsoft Sentinel pro konkrétní datový konektor pomocí jednoho procesu.

Instalace řešení

  1. Ve službě Microsoft Sentinel v části Správa obsahu vyberte Centrum obsahu a vyhledejte řešení Microsoft Purview.

  2. V pravém dolním rohu vyberte Zobrazit podrobnosti a pak Vytvořte. Vyberte předplatné, skupinu prostředků a pracovní prostor, do kterého chcete řešení nainstalovat, a zkontrolujte datový konektor a související obsah zabezpečení, který se nasadí.

    Až budete hotovi, vyberte Zkontrolovat a vytvořit a nainstalujte řešení.

Další informace najdete v tématu O obsahu a řešeních služby Microsoft Sentinel a centrálně zjišťovat a nasazovat předefinovaný obsah a řešení.

Zahájení ingestování dat Microsoft Purview v Microsoft Sentinelu

Nakonfigurujte nastavení diagnostiky tak, aby protokoly citlivosti dat Microsoft Purview běžely do Microsoft Sentinelu, a pak spusťte kontrolu Microsoft Purview, abyste mohli začít ingestovat vaše data.

Nastavení diagnostiky odesílají události protokolu až po spuštění úplné kontroly nebo při zjištění změny během přírůstkové kontroly. Obvykle trvá přibližně 10 až 15 minut, než se protokoly začnou zobrazovat v Microsoft Sentinelu.

Tip

Pokyny pro povolení datového konektoru dostupného také v Microsoft Sentinelu na stránce datového konektoru Microsoft Purview

Povolení toku protokolů citlivosti dat do Microsoft Sentinelu:

  1. Na webu Azure Portal přejděte ke svému účtu Microsoft Purview a vyberte Nastavení diagnostiky.

    Snímek obrazovky se stránkou nastavení diagnostiky účtu Microsoft Purview

  2. Vyberte + Přidat nastavení diagnostiky a nakonfigurujte nové nastavení pro odesílání protokolů z Microsoft Purview do Microsoft Sentinelu:

    • Zadejte smysluplný název nastavení.
    • V části Protokoly vyberte DataSensitivityLogEvent.
    • V části Podrobnosti o cíli vyberte Možnost Odeslat do pracovního prostoru služby Log Analytics a vyberte podrobnosti o předplatném a pracovním prostoru používaném pro Microsoft Sentinel.

  3. Zvolte Uložit.

Další informace najdete v tématu Připojení Služby Microsoft Sentinel k jiným služby Microsoft pomocí připojení založených na nastavení diagnostiky.

Spuštění kontroly a zobrazení dat Microsoft Purview v Microsoft Sentinelu:

  1. V Microsoft Purview spusťte úplnou kontrolu vašich prostředků. Další informace naleznete v tématu Skenování zdrojů dat v Microsoft Purview.

  2. Po dokončení kontrol Microsoft Purview se vraťte do datového konektoru Microsoft Purview v Microsoft Sentinelu a ověřte, že se data přijala.

Zobrazení nedávných dat zjištěných službou Microsoft Purview

Řešení Microsoft Purview nabízí dvě výchozí šablony analytických pravidel, které můžete povolit, včetně obecného pravidla a přizpůsobeného pravidla.

  • Obecná verze Citlivá data zjištěná za posledních 24 hodin monitoruje detekci všech klasifikací nalezených v rámci vašeho datového majetku během kontroly Microsoft Purview.
  • Přizpůsobená verze Citlivá data zjištěná za posledních 24 hodin – Přizpůsobená, monitoruje a generuje výstrahy při každém zjištění zadané klasifikace, jako je číslo sociálního pojištění.

Pomocí tohoto postupu můžete přizpůsobit dotazy analytických pravidel Microsoft Purview tak, aby detekly prostředky s konkrétní klasifikací, popiskem citlivosti, zdrojovou oblastí a dalšími prostředky. Zkombinujte data vygenerovaná s dalšími daty v Microsoft Sentinelu, abyste mohli rozšířit detekce a výstrahy.

Poznámka:

Analytická pravidla Služby Microsoft Sentinel jsou dotazy KQL, které aktivují výstrahy při zjištění podezřelé aktivity. Přizpůsobte si pravidla a seskupte je, abyste vytvořili incidenty, které tým SOC prošetří.

Úprava šablon analytických pravidel Microsoft Purview

  1. V Microsoft Sentinelu v části Konfigurace vyberte> Analytická aktivní pravidla a vyhledejte pravidlo s názvem Citlivá data zjištěná za posledních 24 hodin – přizpůsobené.

    Ve výchozím nastavení jsou analytická pravidla vytvořená řešeními Microsoft Sentinelu zakázaná. Než budete pokračovat, nezapomeňte pravidlo pro váš pracovní prostor povolit:

    1. Vyberte pravidlo a pak v pravém dolním rohu vyberte Upravit.

    2. V průvodci analytickým pravidlem v dolní části karty Obecné přepněte stav na Povoleno.

  2. Na kartě Nastavit logiku pravidla upravte dotaz na dotaz na datová pole a klasifikace, pro která chcete generovat výstrahy. Další informace o tom, co můžete zahrnout do dotazu, najdete tady:

    Formátované dotazy mají následující syntaxi: | where {data-field} contains {specified-string}.

    Příklad:

    PurviewDataSensitivityLogs
| where Classification contains “Social Security Number”
| where SourceRegion contains “westeurope”
| where SourceType contains “Amazon”
| where TimeGenerated > ago (24h)

  3. V části Plánování dotazů definujte nastavení tak, aby pravidla zobrazovala data zjištěná za posledních 24 hodin. Doporučujeme také nastavit seskupení událostí tak, aby seskupily všechny události do jediné výstrahy.

    Snímek obrazovky s průvodcem analytickým pravidlem definovaným k zobrazení dat zjištěných za posledních 24 hodin

  4. V případě potřeby upravte nastavení incidentu a karty Automatizované odpovědi. Například na kartě Nastavení incidentů ověřte, že je vybráno vytvoření incidentů z výstrah aktivovaných tímto analytickým pravidlem .

  5. Na kartě Revize a aktualizace vyberte Uložit.

Další informace najdete v tématu Vytvoření vlastních analytických pravidel pro detekci hrozeb.

Zobrazení dat Microsoft Purview v sešitech Microsoft Sentinelu

Ve službě Microsoft Sentinel v části Správa hrozeb vyberte Sešity Moje sešity> a vyhledejte sešit Microsoft Purview nasazený s řešením Microsoft Purview. Otevřete sešit a podle potřeby upravte všechny parametry.

Snímek obrazovky se sešitem Microsoft Purview

Sešit Microsoft Purview zobrazuje následující karty:

  • Přehled: Zobrazí oblasti a typy prostředků, ve kterých se data nacházejí.
  • Klasifikace: Zobrazí prostředky, které obsahují zadané klasifikace, jako jsou čísla platebních karet.
  • Popisky citlivosti: Zobrazí prostředky, které mají důvěrné popisky, a prostředky, které aktuálně nemají žádné popisky.

Přechod k podrobnostem v sešitu Microsoft Purview:

  • Výběrem konkrétního zdroje dat přejdete na tento prostředek v Azure.
  • Výběrem odkazu na cestu k prostředku zobrazíte další podrobnosti se všemi datovými poli sdílenými v přijatých protokolech.
  • Výběrem řádku v tabulkách Zdroj dat, Klasifikace nebo Popisek citlivosti můžete filtrovat data na úrovni prostředků podle konfigurace.

Vyšetřování incidentů aktivovaných událostmi Microsoft Purview

Při vyšetřování incidentů aktivovaných analytickými pravidly Microsoft Purview vyhledejte podrobné informace o prostředcích a klasifikacích nalezených v událostech incidentu.

Příklad:

Snímek obrazovky s incidentem aktivovaným událostmi Purview

Další kroky

Další informace naleznete v tématu: