Compartir a través de

Integración de Microsoft Sentinel y Microsoft Purview (Versión preliminar pública)

  • Artículo

Microsoft Purview proporciona a las organizaciones visibilidad sobre dónde se almacena la información confidencial, lo que ayuda a priorizar los datos en riesgo para poder protegerlos. Para más información, consulte la documentación de gobernanza de datos de Microsoft Purview

Integre Microsoft Purview con Microsoft Sentinel para ayudar a reducir el gran volumen de incidentes y amenazas que aparecen en Microsoft Sentinel y saber cuáles son las áreas más críticas por las que hay que empezar.

Empiece por ingerir los registros de Microsoft Purview en Microsoft Sentinel a través de un conector de datos. A continuación, use un libro de Microsoft Sentinel para ver tanto los datos como los recursos analizados, las clasificaciones encontradas y las etiquetas que aplica Microsoft Purview. Use reglas de análisis para crear alertas de cambios dentro de la confidencialidad de los datos.

Personalice el libro de Microsoft Purview y las reglas de análisis para satisfacer mejor las necesidades de su organización y combine los registros de Microsoft Purview con los datos ingeridos de otros orígenes de datos para crear información enriquecida en Microsoft Sentinel.

Importante

La solución Microsoft Purview está en versión preliminar. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

En este artículo:

  • Instalar la solución de Microsoft Sentinel para Microsoft Purview
  • Habilitar el conector de datos de Microsoft Purview
  • Más información sobre el libro y las reglas de análisis implementadas en el área de trabajo de Microsoft Sentinel con la solución de Microsoft Purview

Requisitos previos

Antes de empezar, asegúrese de que tiene incorporados tanto un área de trabajo de Microsoft Sentinel como Microsoft Purview, y que el usuario tiene los siguientes roles:

  • Un rol de Propietario o Colaborador de la cuenta de Microsoft Purview, para configurar los valores del diagnóstico y el conector de datos.

  • Un rol colaborador de Microsoft Sentinel, con permisos de escritura para habilitar el conector de datos, ver el libro y crear reglas de análisis.

Instalación de la solución de Microsoft Purview

La solución de Microsoft Purview es un conjunto de contenido agrupado, que incluye un conector de datos, un libro y reglas de análisis configuradas específicamente para los datos de Microsoft Purview.

Sugerencia

Las soluciones de Microsoft Sentinel pueden ayudarle a incorporar contenido de seguridad de Microsoft Sentinel para un conector de datos específico mediante un único proceso.

Para instalar la solución

  1. En Microsoft Sentinel, en Administración de contenido, seleccione Centro de contenido y, a continuación, busque la solución de Microsoft Purview.

  2. En la parte inferior derecha, seleccione Ver detalles y, luego, Crear. Seleccione la suscripción, el grupo de recursos y el área de trabajo donde quiere instalar la solución y, después, revise el conector de datos y el contenido de seguridad relacionado que se implementará.

    Cuando haya terminado, seleccione Revisar y crear para instalar la solución.

Para obtener más información, consulte Acerca del contenido y las soluciones de Microsoft Sentinel y Detección e implementación centralizadas de soluciones y contenido de serie.

Inicie la ingesta de datos de Microsoft Purview en Microsoft Sentinel

Configure las opciones de diagnóstico para que los registros de confidencialidad de datos de Microsoft Purview vayan a Microsoft Sentinel y, a continuación, ejecute un examen de Microsoft Purview para empezar a ingerir los datos.

La configuración de diagnóstico envía los eventos de registro únicamente después de ejecutar un examen completo o si se detecta un cambio durante un examen incremental. Normalmente, los registros tardan entre 10 y 15 minutos en empezar a aparecer en Microsoft Sentinel.

Sugerencia

Las instrucciones para habilitar el conector de datos también están disponibles en Microsoft Sentinel, en la página del conector de datos en Microsoft Purview.

Para permitir que los registros de confidencialidad de datos fluyan a Microsoft Sentinel:

  1. Vaya a la cuenta de Microsoft Purview en Azure Portal y seleccione la Configuración de diagnóstico.

    Captura de pantalla de una página de configuración de diagnóstico de la cuenta de Purview Microsoft.

  2. Seleccione + Agregar configuración de diagnóstico y configure el nuevo valor para enviar los registros de Microsoft Purview a Microsoft Sentinel:

    • Escriba un nombre significativo para la configuración.
    • En Registros, seleccione DataSensitivityLogEvent.
    • En Detalles de destino, seleccione Enviar al área de trabajo de Log Analytics y seleccione los detalles de suscripción y área de trabajo que se usan para Microsoft Sentinel.

  3. Seleccione Guardar.

Para obtener más información, consulte Conexión de Microsoft Sentinel a otros servicios de Microsoft mediante conexiones basadas en la configuración de diagnóstico.

Para ejecutar un examen de Microsoft Purview y ver los datos en Microsoft Sentinel:

  1. En Microsoft Purview, ejecute un examen completo de los recursos. Para obtener más información, vea Examinar orígenes de datos en Microsoft Purview.

  2. Una vez completados los exámenes de Microsoft Purview, vuelva al conector de datos de Microsoft Purview en Microsoft Sentinel y confirme que los datos se han recibido.

Ver los datos recientes detectados por Microsoft Purview

La solución de Microsoft Purview proporciona dos plantillas de reglas de análisis listas para usar que puede habilitar, e incluye una regla genérica y una regla personalizada.

  • La versión genérica, Datos confidenciales detectados en las últimas 24 horas, supervisa la detección de cualquier clasificación encontrada en el conjunto de datos durante un examen de Microsoft Purview.
  • La versión personalizada, Datos confidenciales detectados en las últimas 24 horas: personalizados, supervisa y genera alertas cada vez que se detecta la clasificación especificada, como el número de la seguridad social.

Use este procedimiento para personalizar las consultas de las reglas de análisis de Microsoft Purview para detectar recursos con una clasificación específica, una etiqueta de confidencialidad, una región de origen y mucho más. Combine los datos generados con otros datos en Microsoft Sentinel para enriquecer las detecciones y alertas.

Nota:

Las reglas de análisis de Microsoft Sentinel son consultas KQL que desencadenan alertas cuando se detecta actividad sospechosa. Personalice y agrupe las reglas para crear incidentes y que el equipo de SOC los investigue.

Modificación de las plantillas de las reglas de análisis de Microsoft Purview

  1. En Microsoft Sentinel, en Configuración, seleccione Análisis>Reglas activas y busque una regla denominada Datos confidenciales detectados en las últimas 24 horas: personalizados.

    De forma predeterminada, las reglas de análisis creadas por las soluciones de Microsoft Sentinel están deshabilitadas. Asegúrese de habilitar la regla para el área de trabajo antes de continuar:

    1. Seleccione la regla y, a continuación, en la parte inferior derecha, seleccione Editar.

    2. En el Asistente para reglas de análisis, en la parte inferior de la pestaña General, cambie Estado a Habilitado.

  2. En la pestaña Establecer lógica de regla, ajuste Consulta de regla para consultar los campos de datos y las clasificaciones para los que desea generar alertas. Para más información sobre lo que se puede incluir en la consulta, consulte:

    Las consultas con formato tienen la sintaxis siguiente: | where {data-field} contains {specified-string}.

    Por ejemplo:

    PurviewDataSensitivityLogs
| where Classification contains “Social Security Number”
| where SourceRegion contains “westeurope”
| where SourceType contains “Amazon”
| where TimeGenerated > ago (24h)

  3. En Programación de consultas, defina la configuración para que las reglas muestren los datos detectados en las últimas 24 horas. También se recomienda establecer la agrupación de eventos para agrupar todos los eventos en una sola alerta.

    Captura de pantalla del Asistente para reglas de análisis definida para mostrar los datos detectados en las últimas 24 horas.

  4. Si es necesario, personalice las pestañas Configuración de incidentes y Respuesta automatizada. Por ejemplo, en la pestaña Configuración de incidentes, compruebe que está seleccionada la opción Crear incidentes a partir de alertas desencadenadas por esta regla de análisis.

  5. En la pestaña Revisar y actualizar, seleccione Guardar.

Para más información, consulte Creación de reglas de análisis personalizadas para detectar amenazas.

Visualización de datos de Microsoft Purview en los libros de Microsoft Sentinel

En Microsoft Sentinel, en Administración de amenazas, seleccione Libros>Mis libros y busque el libro Microsoft Purview implementado con la solución de Microsoft Purview. Abra el libro y personalice los parámetros según sea necesario.

Captura de pantalla del programador de exámenes de Microsoft Purview.

El libro de Microsoft Purview muestra las siguientes pestañas:

  • Información general: muestra las regiones y tipos de recursos donde se encuentran los datos.
  • Clasificaciones: muestra los recursos que contienen clasificaciones especificadas, como números de tarjeta de crédito.
  • Etiquetas de confidencialidad: muestra los recursos que tienen etiquetas confidenciales y los recursos que actualmente no tienen etiquetas.

Para explorar en profundidad el libro de Microsoft Purview:

  • Seleccione un origen de datos específico para ir a ese recurso en Azure.
  • Seleccione el vínculo de la ruta de un recurso para mostrar más detalles, con todos los campos de datos compartidos en los registros ingeridos.
  • Seleccione una fila en las tablas Origen de datos, Clasificación o Etiqueta de confidencialidad para filtrar los datos de nivel de recurso según lo configurado.

Investigación de incidentes desencadenados por eventos de Microsoft Purview

Al investigar los incidentes desencadenados por las reglas de análisis de Microsoft Purview, busque información detallada sobre los recursos y clasificaciones que se encuentran en los Eventos del incidente.

Por ejemplo:

Captura de pantalla de un incidente desencadenado por eventos de Purview.

Pasos siguientes

Para más información, consulte: