Mengintegrasikan Microsoft Azure Sentinel dan Microsoft Purview (Pratinjau Umum)

  • Artikel

Microsoft Purview memberi organisasi visibilitas ke tempat penyimpanan informasi sensitif, membantu memprioritaskan data yang berisiko untuk perlindungan. Untuk informasi selengkapnya, lihat dokumentasi tata kelola data Microsoft Purview

Integrasikan Microsoft Purview dengan Microsoft Sentinel untuk membantu mempersempit tingginya volume insiden dan ancaman yang muncul di Microsoft Sentinel, dan memahami area paling kritis untuk memulai.

Mulailah dengan menyerap log Microsoft Purview Anda ke Microsoft Sentinel melalui konektor data. Kemudian gunakan buku kerja Microsoft Sentinel untuk menampilkan data seperti aset yang dipindai, klasifikasi yang ditemukan, dan label yang diterapkan oleh Microsoft Purview. Gunakan aturan analitik untuk membuat peringatan untuk perubahan dalam sensitivitas data.

Sesuaikan buku kerja Microsoft Purview dan aturan analitik agar sesuai dengan kebutuhan organisasi Anda, dan gabungkan log Microsoft Azure Purview dengan data yang diambil dari sumber lain untuk membuat insight yang diperkaya dalam Microsoft Sentinel.

Penting

Solusi Microsoft Purview dalam tahap PRATINJAU. Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk ketentuan hukum tambahan yang berlaku untuk fitur Azure dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Dalam artikel ini, Anda:

  • Menginstal solusi Microsoft Sentinel untuk Microsoft Purview
  • Mengaktifkan konektor data Microsoft Purview Anda
  • Pelajari terkait buku kerja dan aturan analitik yang disebarkan ke ruang kerja Microsoft Sentinel Anda dengan solusi Microsoft Purview

Prasyarat

Sebelum memulai, pastikan Anda memiliki ruang kerja Microsoft Sentinel dan Microsoft Purview, serta pengguna Anda memiliki peran berikut:

  • Peran Pemilik atau Kontributor akun Microsoft Purview, untuk menyiapkan pengaturan diagnostik dan mengonfigurasi konektor data.

  • Peran Konektor Microsoft Sentinel, dengan izin menulis untuk mengaktifkan konektor data, melihat buku kerja, dan membuat aturan analitik.

Menginstal solusi Microsoft Purview

Solusi Microsoft Purview adalah kumpulan konten yang dibundel, termasuk konektor data, buku kerja, dan aturan analitik yang dikonfigurasi secara khusus untuk data Microsoft Purview.

Tip

Solusi Microsoft Sentinel dapat melakukan onboard konten keamanan Microsoft Sentinel untuk konektor data tertentu dengan menggunakan satu proses.

Untuk memasang solusi

  1. Di Microsoft Sentinel, di bagian Manajemen konten, pilih Hub konten lalu cari solusi Microsoft Purview.

  2. Di kanan bawah, pilih Tampilkan detail, lalu Buat. Pilih langganan, grup sumber daya, dan ruang kerja tempat Anda ingin menginstal solusi, lalu tinjau konektor data dan konten keamanan terkait yang akan disebarkan.

    Setelah selesai, pilih Tinjau + Buat untuk memasang solusi.

Untuk informasi selengkapnya, lihat Tentang konten dan solusi Microsoft Sentinel dan Temukan dan terapkan konten dan solusi di luar kotak secara terpusat.

Mulai menyerap data Microsoft Purview di Microsoft Sentinel

Konfigurasikan pengaturan diagnostik agar log sensitivitas data Microsoft Purview mengalir ke Microsoft Sentinel, lalu jalankan pemindaian Microsoft Purview untuk mulai menyerap data Anda.

Pengaturan diagnostik mengirim peristiwa log hanya setelah pemindaian penuh dijalankan, atau ketika perubahan terdeteksi selama pemindaian bertahap. Biasanya diperlukan waktu sekitar 10-15 menit agar log mulai muncul di Microsoft Sentinel.

Tip

Petunjuk untuk mengaktifkan konektor data Anda juga tersedia di Microsoft Sentinel, pada halaman konektor data Microsoft Purview.

Untuk mengaktifkan log sensitivitas data agar mengalir ke Microsoft Sentinel:

  1. Buka akun Microsoft Purview Anda di portal Azure dan pilih Pengaturan diagnostik.

    Cuplikan layar halaman pengaturan Diagnostik akun Microsoft Purview.

  2. Pilih + Tambahkan pengaturan diagnostik dan konfigurasikan pengaturan baru untuk mengirim log dari Microsoft Purview ke Microsoft Sentinel:

    • Masukkan nama yang bermakna untuk pengaturan Anda.
    • Di bawah Log, pilih DataSensitivityLogEvent.
    • Di bawah Detail tujuan, pilih Kirim ke ruang kerja Analytics Log, lalu pilih langganan dan detail ruang kerja yang digunakan untuk Microsoft Sentinel.

  3. Pilih Simpan.

Untuk informasi selengkapnya, lihat Menyambungkan Microsoft Sentinel ke layanan Microsoft lainnya dengan menggunakan koneksi berbasis pengaturan diagnostik.

Untuk menjalankan pemindaian Microsoft Purview dan menampilkan data di Microsoft Sentinel:

  1. Di Microsoft Purview, jalankan pemindaian penuh sumber daya Anda. Untuk informasi selengkapnya, lihat Mengelola sumber data di Microsoft Purview.

  2. Setelah pemindaian Microsoft Purview selesai, kembali ke konektor data Microsoft Purview di Microsoft Sentinel dan konfirmasikan bahwa data telah diterima.

Menampilkan data terbaru yang ditemukan oleh Microsoft Purview

Solusi Microsoft Purview menyediakan dua templat aturan analitik luar biasa yang dapat Anda aktifkan, termasuk aturan umum dan aturan kustom.

  • Versi umum, Data Sensitif Ditemukan dalam 24 Jam Terakhir, memantau deteksi klasifikasi apa pun yang ditemukan di seluruh data Anda selama pemindaian Microsoft Purview.
  • Versi yang disesuaikan, Data Sensitif Ditemukan dalam 24 Jam Terakhir - Disesuaikan, memantau dan menghasilkan peringatan setiap kali klasifikasi yang ditentukan, seperti Nomor Jaminan Sosial, telah terdeteksi.

Gunakan prosedur ini untuk menyesuaikan kueri aturan analitik Microsoft Purview guna mendeteksi aset dengan klasifikasi tertentu, label sensitivitas, wilayah sumber, dan lainnya. Gabungkan data yang dihasilkan dengan data lain di Microsoft Sentinel untuk memperkaya deteksi dan peringatan Anda.

Catatan

Aturan analitik Microsoft Sentinel adalah kueri KQL yang memicu peringatan saat aktivitas mencurigakan terdeteksi. Sesuaikan dan kelompokkan aturan Anda bersama-sama untuk membuat insiden yang akan diselidiki oleh tim SOC Anda.

Memodifikasi templat aturan analitik Microsoft Purview

  1. Di Microsoft Sentinel, di bawah Konfigurasi pilih Analytics>Aturan aktif, dan telusuri aturan bernama Data Sensitif Ditemukan dalam 24 Jam Terakhir - Disesuaikan.

    Secara default, aturan analitik yang dibuat oleh solusi Microsoft Sentinel diatur untuk dinonaktifkan. Pastikan untuk mengaktifkan aturan untuk ruang kerja Anda sebelum melanjutkan:

    1. Pilih aturan, lalu di kanan bawah, pilih Edit.

    2. Di wizard aturan analitik, di bagian bawah tab Umum, alihkan Status ke Aktif.

  2. Pada tab Atur logika aturan, sesuaikan Kueri aturan untuk membuat kueri bidang data dan klasifikasi yang ingin Anda buat peringatannya. Untuk informasi selengkapnya tentang apa yang bisa disertakan dalam kueri Anda, lihat:

    Kueri yang diformat memiliki sintaksis berikut: | where {data-field} contains {specified-string}.

    Contohnya:

    PurviewDataSensitivityLogs
| where Classification contains “Social Security Number”
| where SourceRegion contains “westeurope”
| where SourceType contains “Amazon”
| where TimeGenerated > ago (24h)

  3. Di bawah Penjadwalan kueri, tentukan pengaturan sehingga aturan menunjukkan data yang ditemukan dalam 24 jam terakhir. Sebaiknya Anda juga mengatur Pengelompokan peristiwa untuk mengelompokkan semua peristiwa ke dalam satu peringatan.

    Cuplikan layar wizard aturan analitik yang ditentukan untuk menampilkan data yang terdeteksi dalam 24 jam terakhir.

  4. Jika perlu, sesuaikan tab Pengaturan insiden dan Respons otomatis. Misalnya, di tab Pengaturan insiden, verifikasi bahwa Buat insiden dari peringatan yang dipicu oleh aturan analitik ini dipilih.

  5. Pada tab Tinjau dan perbarui, pilih Simpan.

Untuk informasi selengkapnya, lihat Membuat aturan analitik kustom untuk mendeteksi ancaman.

Menampilkan data Microsoft Purview di buku kerja Microsoft Sentinel

Di Microsoft Sentinel, di bagianManajemen ancaman, pilih Buku kerja>Buku kerja saya, dan cari buku kerja Microsoft Purview yang disebarkan dengan solusi Microsoft Purview. Buka buku kerja dan sesuaikan parameter apa pun sesuai kebutuhan.

Cuplikan layar buku kerja Microsoft Purview.

Buku kerja Microsoft Purview menampilkan tab berikut:

  • Ringkasan: Menampilkan wilayah dan jenis sumber daya tempat data berada.
  • Klasifikasi: Menampilkan aset yang berisi klasifikasi tertentu, seperti Nomor Kartu Kredit.
  • Label sensitivitas: Menampilkan aset yang memiliki label rahasia, dan aset yang saat ini tidak memiliki label.

Untuk menelusuri lebih detail di buku kerja Microsoft Purview:

  • Pilih sumber data tertentu untuk melompat ke sumber daya tersebut di Azure.
  • Pilih link jalur aset untuk menampilkan detail selengkapnya, dengan semua bidang data dibagikan di log yang diserap.
  • Pilih baris dalam tabel Sumber Data, Klasifikasi, atau Label Sensitivitas untuk memfilter data Tingkat Aset sebagaimana dikonfigurasi.

Menyelidiki insiden yang dipicu oleh peristiwa Microsoft Purview

Saat menyelidiki insiden yang dipicu oleh aturan analitik Microsoft Purview, temukan informasi mendetail tentang aset dan klasifikasi yang ditemukan di Peristiwa insiden.

Contohnya:

Cuplikan layar insiden yang dipicu oleh peristiwa Purview.

Langkah berikutnya

Untuk informasi selengkapnya, lihat: