Поделиться через


Настройка соединителя для импорта физических данных о вреде

Вы можете настроить соединитель данных для импорта физических данных, таких как необработанные события физического доступа сотрудников или любые оповещения о физическом доступе, созданные системой badging вашей организации. Примерами физических точек доступа являются вход в здание или в серверную комнату или центр обработки данных. Решение Microsoft Purview Insider Risk Management может использовать данные физического нарушения, чтобы защитить организацию от вредоносных действий или кражи данных внутри организации.

Настройка физического соединителя badging состоит из следующих задач:

  • Создание приложения в Microsoft Entra ID для доступа к конечной точке API, которая принимает полезные данные JSON, содержащие физические данные о вреде.

  • Создание полезных данных JSON со схемой, определенной с помощью соединителя данных физической защиты.

  • Создание физического соединителя данных badging на портале Microsoft Purview или на портале соответствия требованиям Microsoft Purview.

  • Выполнение скрипта для отправки физических данных badging в конечную точку API.

  • При необходимости можно запланировать автоматический запуск скрипта для импорта текущих данных о физических ошибках.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Перед настройкой соединителя

  • Пользователю, создающему физический соединитель badging на шаге 3, должна быть назначена роль администратора соединителя данных. Эта роль необходима для добавления соединителей на странице Соединители данных на портале Microsoft Purview или на портале соответствия требованиям. Эта роль по умолчанию добавляется в несколько групп ролей. Список этих групп ролей см. в разделе Роли в Microsoft Defender для Office 365 и соответствие требованиям Microsoft Purview. Кроме того, администратор в организации может создать пользовательскую группу ролей, назначить роль администратора соединителя данных, а затем добавить соответствующих пользователей в качестве участников. Инструкции см. в следующих статьях:

    Примечание.

    Роль администратора соединителя данных в настоящее время не поддерживается в средах GCC High и DoD государственных организаций США. Поэтому пользователю, который создает соединитель отдела кадров в средах GCC High и DoD, должна быть назначена роль "Импорт и экспорт почтовых ящиков" в Exchange Online. По умолчанию эта роль не назначена ни одной группе ролей в Exchange Online. Можно добавить роль "Импорт и экспорт почтовых ящиков" в группу ролей "Управление организацией" в Exchange Online. Также можно создать группу ролей, назначить ей роль "Импорт и экспорт почтовых ящиков" и добавить соответствующих пользователей в качестве участников. Дополнительные сведения см. в разделах Создание групп ролей или Изменение групп ролей статьи "Управление группами ролей в Exchange Online".

  • Вам нужно определить, как извлекать или экспортировать данные из физической системы защиты данных организации (на ежедневной основе) и создать JSON-файл, описанный в шаге 2. Скрипт, выполняемый на шаге 4, отправляет данные из JSON-файла в конечную точку API.

  • Пример скрипта, выполняемого на шаге 4, отправляет физические данные о нарушениях из JSON-файла в API соединителя, чтобы их можно было использовать решением для управления внутренними рисками. Пример сценария не поддерживается стандартными вспомогательными программами и службами Майкрософт. Пример сценария приводится в виде "как есть", без каких-либо гарантий. Кроме того, корпорация Microsoft отказывается от всех подразумеваемых гарантий, включая в том числе все подразумеваемые гарантии пригодности для продажи или определенной цели. Все риски, возникающие в результате использования примера сценария и документации, берет на себя пользователь. Корпорация Майкрософт, ее штатные авторы и другие лица, принимающие участие в создании, подготовке и выпуске сценариев, ни при каких обстоятельствах не несут ответственность за какой-либо ущерб (в том числе, ущерб, вызванный потерей доходов предприятия, остановкой его работы, потерей бизнес-данных и другими материальными потерями), вызванный использованием или неспособностью использовать примеры сценариев и документацию, даже если корпорации Майкрософт известно о возможности нанесения такого ущерба.

  • Этот соединитель доступен в средах GCC в облаке Microsoft 365 для государственных организаций США. Сторонние приложения и службы могут включать хранение, передачу и обработку данных клиентов вашей организации в сторонних системах, которые находятся за пределами инфраструктуры Microsoft 365 и, следовательно, не охватываются обязательствами по защите данных и Microsoft Purview. Корпорация Майкрософт не делает никаких заявлений о том, что использование этого продукта для подключения к сторонним приложениям подразумевает, что эти сторонние приложения соответствуют требованиям FEDRAMP.

Шаг 1. Создание приложения в Идентификаторе Microsoft Entra

Первым шагом является создание и регистрация приложения в Microsoft Entra ID. Приложение будет соответствовать физическому соединителю badging, который вы создали на шаге 3. Создание этого приложения позволит идентификатору Microsoft Entra пройти проверку подлинности push-запроса для полезных данных JSON, содержащих физические данные о вреде. Во время создания этого приложения Microsoft Entra обязательно сохраните следующие сведения. Эти значения будут использоваться на последующих шагах.

  • Идентификатор приложения Microsoft Entra (также называемый идентификатором приложения или идентификатором клиента)

  • Секрет приложения Microsoft Entra (также называемый секретом клиента)

  • Идентификатор клиента (также называемый идентификатором каталога)

Пошаговые инструкции по созданию приложения в Microsoft Entra ID см. в статье Регистрация приложения с помощью платформы удостоверений Майкрософт.

Шаг 2. Подготовка JSON-файла с физическими данными об устранении неполадок

Далее необходимо создать JSON-файл, содержащий сведения о данных физического доступа сотрудников. Как описано в разделе перед началом работы, необходимо определить, как создать этот JSON-файл из физической системы badging вашей организации.

Примечание.

Не добавляйте в JSON-файл символы, отличные от английского. Соединитель поддерживает только символы на английском языке; Прием данных может завершиться ошибкой, если JSON содержит символы, отличные от английского языка.

JSON-файл должен соответствовать определению схемы, требуемому соединителем. Ниже приведены описания необходимых свойств схемы для JSON-файла:

Свойство Описание Тип данных
UserId Сотрудник может иметь несколько цифровых удостоверений в системах. Входные данные должны иметь идентификатор Microsoft Entra, уже разрешенный исходной системой. Имя участника-пользователя или адрес электронной почты
AssetId Идентификатор ссылки физического ресурса или физической точки доступа. Буквенно-цифровая строка
AssetName Понятное имя физического ресурса или физической точки доступа. Буквенно-цифровая строка
EventTime Метка времени доступа. Дата и время в формате UTC
AccessStatus Success Значение илиFailed String

Ниже приведен пример JSON-файла, который соответствует требуемой схеме:

[
    {
        "UserId":"sarad@contoso.com",
        "AssetId":"Mid-Sec-7",
        "AssetName":"Main Building 1st Floor Mid Section",
        "EventTime":"2019-07-04T01:57:49",
        "AccessStatus":"Failed"
    },
    {
        "UserId":"pilarp@contoso.com",
        "AssetId":"Mid-Sec-7",
        "AssetName":"Main Building 1st Floor Mid Section",
        "EventTime":"2019-07-04T02:57:49",
        "AccessStatus":"Success"
    }
]

Вы также можете скачать следующее определение схемы для JSON-файла из мастера при создании физического соединителя badging на шаге 3.

{
   "title" : "Physical Badging Signals",
   "description" : "Access signals from physical badging systems",
   "DataType" : {
      "description" : "Identify what is the data type for input signal",
      "type" : "string",
   },
   "type" : "object",
   "properties": {
      "UserId" : {
         "description" : "Unique identifier AAD Id resolved by the source system",
         "type" : "string",
      },
      "AssetId": {
         "description" : "Unique ID of the physical asset/access point",
         "type" : "string",
      },
      "AssetName": {
         "description" : "friendly name of the physical asset/access point",
         "type" : "string",
      },
      "EventTime" : {
         "description" : "timestamp of access",
         "type" : "string",
      },
      "AccessStatus" : {
         "description" : "what was the status of access attempt - Success/Failed",
         "type" : "string",
      },
   }
   "required" : ["UserId", "AssetId", "EventTime" "AccessStatus"]
}

Шаг 3. Создание физического соединителя badging

Следующим шагом является создание физического соединителя badging на портале Microsoft Purview или на портале соответствия требованиям. После выполнения скрипта на шаге 4 JSON-файл, созданный на шаге 3, будет обработан и отправлен в конечную точку API, настроенную на шаге 1. На этом шаге обязательно скопируйте JobId, сгенерированный при создании соединителя. Этот JobId следует использовать при выполнении сценария.

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. на портале соответствия требованиям Microsoft Purview.

  1. Войдите на портал Microsoft Purview.

  2. Выберите Параметры Соединители>данных.

  3. Выберите Мои соединители, а затем — Добавить соединитель.

  4. В списке выберите Физический вред.

  5. На странице Учетные данные для проверки подлинности выполните следующие действия и выберите Далее.

    1. Введите или вставьте идентификатор приложения Microsoft Entra для приложения Azure, созданного на шаге 1.

    2. Скачайте пример схемы для ссылки, чтобы создать JSON-файл.

    3. Введите уникальное имя физического соединителя badging.

  6. На странице Просмотр просмотрите параметры и выберите Готово, чтобы создать соединитель.

  7. Отображается страница состояния, подтверждающая создание соединителя. Эта страница также содержит идентификатор задания. Идентификатор задания можно скопировать с этой страницы или с всплывающей страницы соединителя. Этот идентификатор задания требуется при выполнении скрипта.

    Страница состояния также содержит ссылку на скрипт. См. этот скрипт, чтобы понять, как опубликовать JSON-файл в конечной точке API.

  8. Нажмите кнопку Готово.

    Новый соединитель отображается в списке на вкладке Соединители.

  9. Выберите только что созданный физический соединитель badging, чтобы отобразить всплывающую страницу, содержащую свойства и другие сведения о соединителе.

Шаг 4. Запустите скрипт, чтобы отправить JSON-файл, содержащий физические данные об ошибках

Следующим шагом при настройке физического соединителя badging является выполнение скрипта, который будет отправлять физические данные badging в JSON-файле (созданном на шаге 2) в конечную точку API, созданную на шаге 1. Мы предоставляем пример скрипта для справки, и вы можете использовать его или создать собственный скрипт для публикации JSON-файла в конечную точку API.

После выполнения скрипта JSON-файл, содержащий физические данные о нарушениях, отправляется в организацию Microsoft 365, где к нему можно получить доступ с помощью решения для управления внутренними рисками. Рекомендуется ежедневно публиковать данные о физических ошибках. Это можно сделать, автоматизив процесс создания JSON-файла каждый день из физической системы badging, а затем запланируя скрипт для отправки данных.

Примечание.

Максимальное количество записей в JSON-файле, которое может обработать API, составляет 50 000 записей.

  1. Перейдите на этот сайт GitHub , чтобы получить доступ к примеру скрипта.

  2. Нажмите кнопку Raw (Необработанный ), чтобы отобразить скрипт в текстовом режиме.

  3. Скопируйте все строки в примере сценария и сохраните их в текстовый файл.

  4. При необходимости измените пример сценария для организации.

  5. Сохраните текстовый файл как файл скрипта Windows PowerShell, используя суффикс имени файла .ps1; например, PhysicalBadging.ps1.

  6. Откройте командную строку на локальном компьютере и перейдите в каталог, в котором сохранен сценарий.

  7. Выполните следующую команду, чтобы отправить физические данные badging в JSON-файле в облако Майкрософт. Например:

    .\PhysicalBadging.ps1 -tenantId "<Tenant Id>" -appId "<Azure AD App Id>" -appSecret "<Azure AD App Secret>" -jobId "Job Id" -jsonFilePath "<records file path>"
    

    В следующей таблице описаны параметры, используемые в данном сценарии, и их необходимые значения. Сведения, полученные на предыдущих шагах, используются в значениях этих параметров.

    Параметр Описание
    tenantId Это идентификатор организации Microsoft 365, полученный на шаге 1. Вы также можете получить tenantId для своей организации в колонке Обзор в Центре администрирования Microsoft Entra. Он используется для идентификации организации.
    appId Это идентификатор приложения Microsoft Entra для приложения, созданного в microsoft Entra ID на шаге 1. Он используется идентификатором Microsoft Entra для проверки подлинности, когда скрипт пытается получить доступ к вашей организации Microsoft 365.
    appSecret Это секрет приложения Microsoft Entra для приложения, созданного в идентификаторе Microsoft Entra на шаге 1. Он также используется для проверки подлинности.
    jobId Это идентификатор задания для физического соединителя badging, созданного на шаге 3. Он используется для связывания физических данных badging, которые отправляются в облако Майкрософт, с физическим соединителем badging.
    JsonFilePath Это путь к файлу на локальном компьютере (который используется для выполнения скрипта) для JSON-файла, созданного на шаге 2. Этот файл должен соответствовать образцу схемы, описанной в шаге 3.

    Ниже приведен пример синтаксиса для скрипта физического соединителя badging с использованием фактических значений для каждого параметра:

    .\PhysicalBadging.ps1 -tenantId d5723623-11cf-4e2e-b5a5-01d1506273g9 -appId 29ee526e-f9a7-4e98-a682-67f41bfd643e -appSecret MNubVGbcQDkGCnn -jobId b8be4a7d-e338-43eb-a69e-c513cd458eba -jsonFilePath 'C:\Users\contosoadmin\Desktop\Data\physical_badging_data.json'
    

    Если отправка успешно выполнена, сценарий отобразит сообщение Отправка выполнена.

    Если у вас несколько JSON-файлов, необходимо выполнить скрипт для каждого файла.

Шаг 5. Мониторинг физического соединителя badging

После создания физического соединителя badging и отправки физических данных о недоставке можно просмотреть соединитель и отправить состояние на портале Microsoft Purview или на портале соответствия требованиям. Если запланировать автоматическое выполнение сценария на регулярной основе, можно также просмотреть текущее состояние после последнего выполнения сценария.

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. на портале соответствия требованиям Microsoft Purview.

  1. Войдите на портал Microsoft Purview.

  2. Выберите Параметры Соединители>данных.

  3. Выберите Мои соединители, а затем выберите физический соединитель badging, созданный для отображения всплывающей страницы. Эта страница содержит свойства и сведения о соединителе.

  4. В окне Последний импорт выберите ссылку на журнал загрузки, чтобы открыть (или сохранить) журнал состояния соединителя. Этот журнал содержит сведения о каждом запуске скрипта и отправляет данные из JSON-файла в облако Майкрософт.

    Файл журнала физического соединителя badging отображает количество объектов из json-файла, которые были отправлены.

    Поле RecordsSaved указывает количество записей в json-файле, которые были отправлены. Например, если JSON-файл содержит четыре записи, то значение полей RecordsSaved равно 4, если скрипт успешно загрузил все записи в JSON-файле. Поле RecordsSkipped указывает количество пропущенных записей в JSON-файле. Перед отправкой записей в JSON-файле будут проверены идентификаторы электронной почты записей. Любая запись с недопустимым идентификатором электронной почты будет пропущена, а соответствующий идентификатор электронной почты отобразится в поле EmailIdsNotSaved.

Если сценарий не был выполнен на шаге 4, ссылка для загрузки сценария отображается в области Последний импорт. Можно загрузить сценарий и выполнить действия, которые требуются на шаге 4.

Шаг 6 (необязательно). планирование автоматического запуска сценария

Чтобы убедиться, что последние физические данные о нарушениях из вашей организации доступны для таких средств, как решение для управления внутренними рисками, рекомендуется запланировать автоматический запуск скрипта на регулярной основе, например один раз в день. Для этого также требуется обновить физические данные badging в JSON-файл по аналогичному (если не тому же) расписанию, чтобы в нем содержались последние сведения о сотрудниках, покидающих организацию. Цель состоит в том, чтобы передать самые актуальные физические данные о недопустимом, чтобы физический соединитель badging смог сделать их доступными для решения управления внутренними рисками.

Также можно использовать приложение "Планировщик задач" в Windows для автоматического ежедневного выполнения сценария.

  1. На локальном компьютере нажмите кнопку Пуск Windows и введите Планировщик задач.

  2. Выберите приложение Планировщик задач, чтобы открыть его.

  3. В разделе Действия выберите Создать задачу.

  4. На вкладке Общие введите описательное имя запланированной задачи. например, скрипт физического соединителя badging. Также можно добавить описание (необязательно).

  5. В разделе Параметры безопасности выполните следующие действия.

    1. Определите, необходимо ли выполнять сценарий при входе в систему компьютера, после входа в систему или сценарий не следует выполнять.

    2. Убедитесь, что установлен флажок Выполнить с наивысшими правами.

  6. На вкладке Триггеры выберите Создать и выполните следующие действия.

    1. В разделе Параметрывыберите параметр Ежедневно, а затем выберите дату и время первого выполнения сценария. Сценарий будет выполняться каждый день в указанное время.

    2. В разделе Дополнительные параметры убедитесь, что установлен флажок Включено.

    3. Нажмите OK.

  7. На вкладке Действия выберите Создать и выполните следующие действия.

    Параметры действий для создания новой запланированной задачи для скрипта физического соединителя badging.

    1. В раскрывающемся списке Действие убедитесь, что выбран параметр Запуск программы.

    2. В поле Программа или скрипт выберите Обзор, перейдите в следующее расположение и выберите его, чтобы в поле отображался путь: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe.

    3. В поле Добавить аргументы (необязательно) вставьте ту же команду сценария, которая была выполнена на шаге 4. Например, .\PhysicalBadging.ps1-tenantId "d5723623-11cf-4e2e-b5a5-01d1506273g9" -appId "c12823b7-b55a-4989-faba-02de41bb97c -appSecret "MNubVGbcQDkGCnn" -jobId "e081f4f4-3831-48d6-7bb3-fcfab1581458" -jsonFilePath "C:\Users\contosoadmin\Desktop\Data\physical_badging_data.json"

    4. В поле Запуск в (необязательно) вставьте расположение папки со сценарием, выполненным на шаге 4. Например, C:\Users\contosoadmin\Desktop\Scripts.

    5. Чтобы сохранить параметры нового действия, выберите ОК.

  8. В окне Создание задачи выберите ОК, чтобы сохранить запланированную задачу. Возможно, отобразится запрос на ввод данных учетной записи пользователя.

    Новая задача отображается в библиотеке планировщика задач.

    Новая задача отображается в библиотеке планировщика задач.

Отображается время последнего выполнения сценария и время следующего запланированного выполнения. Чтобы изменить задачу, дважды щелкните ее.

Вы также можете проверить время последнего запуска скрипта на всплывающей странице соответствующего физического соединителя badging в центре соответствия требованиям.