Integrare Microsoft Sentinel e Microsoft Purview

Microsoft Purview offre alle organizzazioni visibilità sulla posizione in cui vengono archiviate le informazioni sensibili, consentendo di assegnare priorità ai dati a rischio per la protezione. Integrare Microsoft Purview con Microsoft Sentinel per ridurre il volume elevato di eventi imprevisti e minacce che si sono verificati in Microsoft Sentinel e comprendere le aree più critiche da avviare.

Per iniziare, inserire i log di Microsoft Purview in Microsoft Sentinel tramite un connettore dati. Usare quindi una cartella di lavoro Microsoft Sentinel per visualizzare i dati, ad esempio gli asset analizzati, le classificazioni trovate e le etichette applicate da Microsoft Purview. Usare le regole di analisi per creare avvisi per le modifiche all'interno della riservatezza dei dati.

Personalizzare le regole di analisi e cartella di lavoro di Microsoft Purview per soddisfare al meglio le esigenze dell'organizzazione e combinare i log di Microsoft Purview con i dati inseriti da altre origini per creare informazioni dettagliate arricchite all'interno di Microsoft Sentinel.

Prerequisiti

Prima di iniziare, assicurarsi di avere sia un'area di lavoro Microsoft Sentinel che Microsoft Purview a cui è stato eseguito l'onboarding e che l'utente abbia i ruoli seguenti:

• Un ruolo proprietario o collaboratore dell'account Microsoft Purview per configurare le impostazioni di diagnostica e configurare il connettore dati.

• Un ruolo collaboratore Microsoft Sentinel, con autorizzazioni di scrittura per abilitare il connettore dati, visualizzare la cartella di lavoro e creare regole di analisi.

• La soluzione Microsoft Purview installata nell'area di lavoro Log Analytics abilitata per Microsoft Sentinel.

  La soluzione Microsoft Purview è un set di contenuto in bundle, tra cui un connettore dati, una cartella di lavoro e regole di analisi configurate specificamente per i dati di Microsoft Purview. Per altre informazioni, vedere Informazioni sul contenuto e sulle soluzioni Microsoft Sentinel e Individuare e gestire Microsoft Sentinel contenuto predefinito.

  Istruzioni per abilitare il connettore dati disponibile anche in Microsoft Sentinel nella pagina Connettore dati Microsoft Purview.

Iniziare a inserire i dati di Microsoft Purview in Microsoft Sentinel

Configurare le impostazioni di diagnostica in modo che i log di riservatezza dei dati di Microsoft Purview scoraggino in Microsoft Sentinel, quindi eseguire un'analisi di Microsoft Purview per iniziare a inserire i dati.

Le impostazioni di diagnostica inviano eventi di log solo dopo l'esecuzione di un'analisi completa o quando viene rilevata una modifica durante un'analisi incrementale. La visualizzazione dei log in Microsoft Sentinel richiede in genere circa 10-15 minuti.

Per abilitare il flusso dei log di riservatezza dei dati in Microsoft Sentinel:

1. Passare all'account Microsoft Purview nel portale di Azure e selezionare Impostazioni di diagnostica.

   

2. Selezionare + Aggiungi impostazione di diagnostica e configurare la nuova impostazione per inviare i log da Microsoft Purview a Microsoft Sentinel:

   • Immettere un nome significativo per l'impostazione.
   • In Log selezionare DataSensitivityLogEvent.
   • In Dettagli destinazione selezionare Invia all'area di lavoro Log Analytics e selezionare i dettagli della sottoscrizione e dell'area di lavoro usati per Microsoft Sentinel.

3. Seleziona Salva.

Per altre informazioni, vedere Connettere Microsoft Sentinel ad altri servizi Microsoft usando connessioni basate su impostazioni di diagnostica.

Per eseguire un'analisi di Microsoft Purview e visualizzare i dati in Microsoft Sentinel:

1. In Microsoft Purview eseguire un'analisi completa delle risorse. Per altre informazioni, vedere Analizzare le origini dati in Microsoft Purview.

2. Al termine delle analisi di Microsoft Purview, tornare al connettore dati Microsoft Purview in Microsoft Sentinel e verificare che i dati siano stati ricevuti.

Visualizzare i dati recenti individuati da Microsoft Purview

La soluzione Microsoft Purview offre due modelli di regole di analisi predefiniti che è possibile abilitare, tra cui una regola generica e una regola personalizzata.

• La versione generica, Dati sensibili individuati nelle ultime 24 ore, monitora il rilevamento di eventuali classificazioni rilevate nell'insieme di dati durante un'analisi di Microsoft Purview.
• La versione personalizzata, Dati sensibili individuati nelle ultime 24 ore - Personalizzata, monitora e genera avvisi ogni volta che viene rilevata la classificazione specificata, ad esempio il numero di previdenza sociale.

Usare questa procedura per personalizzare le query delle regole di analisi di Microsoft Purview per rilevare gli asset con classificazione, etichetta di riservatezza, area di origine e altro ancora specifici. Combinare i dati generati con altri dati in Microsoft Sentinel per arricchire i rilevamenti e gli avvisi.

Nota

Microsoft Sentinel regole di analisi sono query KQL che attivano avvisi quando è stata rilevata un'attività sospetta. Personalizzare e raggruppare le regole per creare eventi imprevisti da analizzare per il team soc.

Modificare i modelli di regola di analisi di Microsoft Purview

1. In Microsoft Sentinel aprire la soluzione Microsoft Purview, quindi individuare e selezionare i dati sensibili individuati nella regola Ultime 24 ore - Personalizzato. Nel riquadro laterale selezionare Crea regola per creare una nuova regola basata sul modello.

2. Passare alla pagina Analisi configurazione> e selezionare Regole attive. Cercare una regola denominata Dati sensibili individuati nelle ultime 24 ore - Personalizzato.

   Per impostazione predefinita, le regole di analisi create da Microsoft Sentinel soluzioni sono disabilitate. Assicurarsi di abilitare la regola per l'area di lavoro prima di continuare:

   1. Selezionare la regola. Nel riquadro laterale selezionare Modifica.

   2. Nella procedura guidata della regola di analisi, nella parte inferiore della scheda Generale , impostare Stato su Abilitato.

3. Nella scheda Imposta logica regola modificare la query Regola per eseguire una query per i campi dati e le classificazioni per cui si desidera generare avvisi. Per altre informazioni su cosa può essere incluso nella query, vedere:

   • I campi dati supportati sono le colonne della tabella PurviewDataSensitivityLogs
   • Classificazioni supportate

   Le query formattate hanno la sintassi seguente: | where {data-field} contains {specified-string}.

   Ad esempio:

   PurviewDataSensitivityLogs
   | where Classification contains “Social Security Number”
   | where SourceRegion contains “westeurope”
   | where SourceType contains “Amazon”
   | where TimeGenerated > ago (24h)
   

   Per altre informazioni sugli elementi seguenti usati nell'esempio precedente, vedere la documentazione di Kusto:

   • operatore where
   • funzione ago()

   Per altre informazioni su KQL, vedere panoramica di Linguaggio di query Kusto (KQL).

   Altre risorse:

   • Riferimento rapido KQL
   • Linguaggio di query Kusto risorse di apprendimento

4. In Pianificazione query definire le impostazioni in modo che le regole mostrino i dati individuati nelle ultime 24 ore. È anche consigliabile impostare Raggruppamento eventi per raggruppare tutti gli eventi in un singolo avviso.

   

5. Se necessario, personalizzare le impostazioni degli eventi imprevisti e le schede Risposta automatizzata . Ad esempio, nella scheda Impostazioni eventi imprevisti verificare che sia selezionata l'opzione Crea eventi imprevisti da avvisi attivati da questa regola di analisi .

6. Nella scheda Rivedi e crea selezionare Salva.

Per altre informazioni, vedere Creare regole di analisi personalizzate per rilevare le minacce.

Visualizzare i dati di Microsoft Purview nelle cartelle di lavoro di Microsoft Sentinel

1. In Microsoft Sentinel aprire la soluzione Microsoft Purview, quindi individuare e selezionare la cartella di lavoro di Microsoft Purview. Nel riquadro laterale selezionare Configurazione per aggiungere la cartella di lavoro all'area di lavoro.

2. In Microsoft Sentinel, in Gestione delle minacce selezionare Cartelle di lavoro>Cartelle di lavoro personali e individuare la cartella di lavoro di Microsoft Purview. Salvare la cartella di lavoro nell'area di lavoro e quindi selezionare Visualizza cartella di lavoro salvata. Ad esempio:

   

La cartella di lavoro di Microsoft Purview visualizza le schede seguenti:

• Panoramica: visualizza le aree e i tipi di risorse in cui si trovano i dati.
• Classificazioni: visualizza gli asset che contengono classificazioni specificate, ad esempio i numeri di carta di credito.
• Etichette di riservatezza: visualizza gli asset con etichette riservate e gli asset che attualmente non dispongono di etichette.

Per eseguire il drill-down nella cartella di lavoro di Microsoft Purview:

• Selezionare un'origine dati specifica per passare a tale risorsa in Azure.
• Selezionare un collegamento al percorso dell'asset per visualizzare altri dettagli, con tutti i campi dati condivisi nei log inseriti.
• Selezionare una riga nelle tabelle Origine dati, Classificazione o Etichetta di riservatezza per filtrare i dati del livello di asset come configurato.

Analizzare gli eventi imprevisti attivati dagli eventi di Microsoft Purview

Quando si analizzano gli eventi imprevisti attivati dalle regole di analisi di Microsoft Purview, trovare informazioni dettagliate sugli asset e le classificazioni presenti negli eventi dell'evento imprevisto.

Ad esempio:

Contenuto correlato

Per altre informazioni, vedere:

• Visualizzare i dati raccolti
• Creare regole di analisi personalizzate per rilevare le minacce
• Analizzare gli eventi imprevisti con Microsoft Sentinel