Microsoft Sentinel ve Microsoft Purview'u tümleştirme

Microsoft Purview , kuruluşlara hassas bilgilerin nerede depolandığına ilişkin görünürlük sağlayarak koruma için risk altındaki verilerin önceliklerini belirlemeye yardımcı olur. Microsoft Purview'u Microsoft Sentinel ile tümleştirerek Microsoft Sentinel ortaya sürülecek yüksek hacimli olayları ve tehditleri daraltın ve başlamak için en kritik alanları anlayın.

Microsoft Purview günlüklerinizi bir veri bağlayıcısı aracılığıyla Microsoft Sentinel alarak başlayın. Ardından taranan varlıklar, bulunan sınıflandırmalar ve Microsoft Purview tarafından uygulanan etiketler gibi verileri görüntülemek için bir Microsoft Sentinel çalışma kitabı kullanın. Veri duyarlılığındaki değişikliklere yönelik uyarılar oluşturmak için analiz kurallarını kullanın.

Microsoft Purview çalışma kitabını ve analiz kurallarını kuruluşunuzun gereksinimlerine en uygun şekilde özelleştirin ve microsoft Purview günlüklerini diğer kaynaklardan alınan verilerle birleştirerek Microsoft Sentinel zenginleştirilmiş içgörüler oluşturun.

Önkoşullar

Başlamadan önce, hem Microsoft Sentinel çalışma alanınızın hem de Microsoft Purview'un ekli olduğundan ve kullanıcınızın aşağıdaki rollere sahip olduğundan emin olun:

  • Tanılama ayarlarını ayarlamak ve veri bağlayıcısını yapılandırmak için bir Microsoft Purview hesabı Sahibi veya Katkıda Bulunan rolü.

  • Veri bağlayıcısını etkinleştirme, çalışma kitabını görüntüleme ve analiz kuralları oluşturma izinlerine sahip Microsoft Sentinel Katkıda Bulunan rolü.

  • Log Analytics çalışma alanınızda yüklü olan Microsoft Purview çözümü Microsoft Sentinel için etkinleştirildi.

    Microsoft Purview çözümü, microsoft Purview verileri için özel olarak yapılandırılmış bir veri bağlayıcısı, çalışma kitabı ve analiz kuralları da dahil olmak üzere paketlenmiş bir içerik kümesidir. Daha fazla bilgi için bkz. Microsoft Sentinel içerik ve çözümler hakkında ve kullanıma hazır Microsoft Sentinel içeriği bulma ve yönetme.

    Veri bağlayıcınızı etkinleştirme yönergeleri Microsoft Sentinel, Microsoft Purview veri bağlayıcısı sayfasında da sağlanır.

Microsoft Sentinel'de Microsoft Purview verilerini almaya başlama

Tanılama ayarlarını, Microsoft Purview veri duyarlılığı günlüklerinin Microsoft Sentinel akması için yapılandırın ve ardından verilerinizi almaya başlamak için bir Microsoft Purview taraması çalıştırın.

Tanılama ayarları günlük olaylarını yalnızca tam tarama çalıştırıldıktan sonra veya artımlı tarama sırasında bir değişiklik algılandığında gönderir. Günlüklerin Microsoft Sentinel görünmeye başlaması genellikle yaklaşık 10-15 dakika sürer.

Veri duyarlılığı günlüklerinin Microsoft Sentinel akmasını sağlamak için:

  1. Azure portal Microsoft Purview hesabınıza gidin ve Tanılama ayarları'nı seçin.

    Microsoft Purview hesabı Tanılama ayarları sayfasının ekran görüntüsü.

  2. + Tanılama ayarı ekle'yi seçin ve günlükleri Microsoft Purview'dan Microsoft Sentinel göndermek için yeni ayarı yapılandırın:

    • Ayarınız için anlamlı bir ad girin.
    • Günlükler'in altında DataSensitivityLogEvent'i seçin.
    • Hedef ayrıntıları'nın altında Log Analytics çalışma alanına gönder'i seçin ve Microsoft Sentinel için kullanılan abonelik ve çalışma alanı ayrıntılarını seçin.

  3. Kaydet'i seçin.

Daha fazla bilgi için bkz. Tanılama ayarları tabanlı bağlantıları kullanarak Microsoft Sentinel diğer Microsoft hizmetlerine bağlama.

Microsoft Purview taraması çalıştırmak ve verileri Microsoft Sentinel görüntülemek için:

  1. Microsoft Purview'da kaynaklarınızı tam olarak tarayın. Daha fazla bilgi için bkz. Microsoft Purview'da veri kaynaklarını tarama.

  2. Microsoft Purview taramalarınız tamamlandıktan sonra Microsoft Sentinel'daki Microsoft Purview veri bağlayıcısına dönün ve verilerin alındığını onaylayın.

Microsoft Purview tarafından bulunan son verileri görüntüleme

Microsoft Purview çözümü, genel bir kural ve özelleştirilmiş bir kural dahil olmak üzere etkinleştirebileceğiniz iki analiz kuralı şablonu sunar.

  • Son 24 Saatte Bulunan Hassas Veriler adlı genel sürüm, Bir Microsoft Purview taraması sırasında veri varlığınız genelinde bulunan sınıflandırmaların algılanması için izler.
  • Son 24 Saatte Bulunan Hassas Veriler - Özelleştirilmiş olan özelleştirilmiş sürüm, belirtilen sınıflandırma her algılandıysa (Sosyal Güvenlik Numarası gibi) uyarıları izler ve oluşturur.

Belirli sınıflandırma, duyarlılık etiketi, kaynak bölge ve daha fazlasına sahip varlıkları algılamak üzere Microsoft Purview analiz kurallarının sorgularını özelleştirmek için bu yordamı kullanın. Algılamalarınızı ve uyarılarınızı zenginleştirmek için Microsoft Sentinel'da oluşturulan verileri diğer verilerle birleştirin.

Not

Microsoft Sentinel analiz kuralları, şüpheli etkinlik algılandığında uyarıları tetikleyen KQL sorgularıdır. SOC ekibinizin araştıracağı olaylar oluşturmak için kurallarınızı özelleştirin ve gruplandırın.

Microsoft Purview analiz kuralı şablonlarını değiştirme

  1. Microsoft Sentinel'da Microsoft Purview çözümünü açın ve ardından Son 24 Saat - Özelleştirilmiş kuralında Bulunan Hassas Veriler'i bulup seçin. Yan bölmede Kural oluştur'u seçerek şablona dayalı yeni bir kural oluşturun.

  2. Yapılandırma>Analizi sayfasına gidin ve Etkin kurallar'ı seçin. Son 24 Saatte Bulunan Hassas Veriler - Özelleştirilmiş adlı bir kural arayın.

    Varsayılan olarak, Microsoft Sentinel çözümleri tarafından oluşturulan analiz kuralları devre dışı olarak ayarlanır. Devam etmeden önce çalışma alanınız için kuralı etkinleştirdiğinizden emin olun:

    1. Kuralı seçin. Yan bölmede Düzenle'yi seçin.

    2. Analiz kuralı sihirbazında, Genel sekmesinin en altında Durum seçeneğini Etkin olarak değiştirin.

  3. Kural mantığını ayarla sekmesinde, uyarı oluşturmak istediğiniz veri alanlarını ve sınıflandırmaları sorgulamak için Kural sorgusunu ayarlayın. Sorgunuza nelerin dahil edilebileceği hakkında daha fazla bilgi için bkz:

    Biçimlendirilmiş sorguların söz dizimi şu şekildedir: | where {data-field} contains {specified-string}.

    Örneğin:

    PurviewDataSensitivityLogs
| where Classification contains “Social Security Number”
| where SourceRegion contains “westeurope”
| where SourceType contains “Amazon”
| where TimeGenerated > ago (24h)

    Yukarıdaki örnekte kullanılan aşağıdaki öğeler hakkında daha fazla bilgiyi Kusto belgelerinde bulabilirsiniz:

    KQL hakkında daha fazla bilgi için bkz. Kusto Sorgu Dili (KQL) genel bakış.

    Diğer kaynaklar:

  4. Sorgu zamanlaması'nın altında, kuralların son 24 saatte bulunan verileri göstermesi için ayarları tanımlayın. Ayrıca Olay gruplandırma özelliğini tüm olayları tek bir uyarıda gruplandıracak şekilde ayarlamanızı öneririz.

    Son 24 saatte algılanan verileri göstermek için tanımlanan analiz kuralı sihirbazının ekran görüntüsü.

  5. Gerekirse Olay ayarlarını ve Otomatik yanıt sekmelerini özelleştirin. Örneğin, Olaylar ayarları sekmesinde Bu analiz kuralı tarafından tetiklenen uyarılardan olay oluştur'un seçili olduğunu doğrulayın.

  6. Gözden Geçir + oluştur sekmesinde Kaydet'i seçin.

Daha fazla bilgi için bkz. Tehditleri algılamak için özel analiz kuralları oluşturma.

Microsoft Sentinel çalışma kitaplarında Microsoft Purview verilerini görüntüleme

  1. Microsoft Sentinel'da Microsoft Purview çözümünü açın ve ardından Microsoft Purview çalışma kitabını bulup seçin. Çalışma kitabını çalışma alanınıza eklemek için yan bölmede Yapılandırma'yı seçin.

  2. Microsoft Sentinel'da, Tehdit yönetimi'nin altında Çalışma KitaplarıÇalışma Kitapları> Çalışma Kitaplarım'ı seçin ve Microsoft Purview çalışma kitabını bulun. Çalışma kitabını çalışma alanınıza kaydedin ve kaydedilmiş çalışma kitabını görüntüle'yi seçin. Örneğin:

    Microsoft Purview çalışma kitabının ekran görüntüsü.

Microsoft Purview çalışma kitabı aşağıdaki sekmeleri görüntüler:

  • Genel bakış: Verilerin bulunduğu bölgeleri ve kaynak türlerini görüntüler.
  • Sınıflandırmalar: Kredi Kartı Numaraları gibi belirtilen sınıflandırmaları içeren varlıkları görüntüler.
  • Duyarlılık etiketleri: Gizli etiketleri olan varlıkları ve şu anda etiketi olmayan varlıkları görüntüler.

Microsoft Purview çalışma kitabında detaya gitmek için:

  • Azure'da bu kaynağa atlamak için belirli bir veri kaynağını seçin.
  • Alınan günlüklerde paylaşılan tüm veri alanlarıyla birlikte daha fazla ayrıntı göstermek için bir varlık yolu bağlantısı seçin.
  • Varlık Düzeyi verilerini yapılandırıldığı gibi filtrelemek için Veri Kaynağı, Sınıflandırma veya Duyarlılık Etiketi tablolarında bir satır seçin.

Microsoft Purview olayları tarafından tetiklenen olayları araştırma

Microsoft Purview analiz kuralları tarafından tetiklenen olayları araştırırken, olayın Olaylarında bulunan varlıklar ve sınıflandırmalar hakkında ayrıntılı bilgi bulabilirsiniz.

Örneğin:

Purview olayları tarafından tetiklenen bir olayın ekran görüntüsü.

İlgili içerik

Daha fazla bilgi için bkz.:

  • Last updated on