Aracılığıyla paylaş

Microsoft Sentinel ve Microsoft Purview'u tümleştirme (Genel Önizleme)

  • Makale

Microsoft Purview, kuruluşlara hassas bilgilerin nerede depolandığı konusunda görünürlük sağlayarak koruma için risk altında olan verilerin önceliklerini belirlemeye yardımcı olur. Daha fazla bilgi için Microsoft Purview veri idaresi belgelerine bakın

Microsoft Purview'u Microsoft Sentinel ile tümleştirerek Microsoft Sentinel'de ortaya çıkmış olan yüksek hacimli olayları ve tehditleri daraltın ve başlamak için en kritik alanları anlayın.

Microsoft Purview günlüklerinizi bir veri bağlayıcısı aracılığıyla Microsoft Sentinel'e alarak başlayın. Ardından taranan varlıklar, bulunan sınıflandırmalar ve Microsoft Purview tarafından uygulanan etiketler gibi verileri görüntülemek için bir Microsoft Sentinel çalışma kitabı kullanın. Veri duyarlılığı içindeki değişikliklere yönelik uyarılar oluşturmak için analiz kurallarını kullanın.

Microsoft Purview çalışma kitabını ve analiz kurallarını kuruluşunuzun gereksinimlerine en uygun şekilde özelleştirin ve Microsoft Purview günlüklerini diğer kaynaklardan alınan verilerle birleştirerek Microsoft Sentinel'de zenginleştirilmiş içgörüler oluşturun.

Önemli

Microsoft Purview çözümü ÖNİzLEME aşamasındadır. Beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşullar için Bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları .

Bu makalede şunları yapacaksınız:

  • Microsoft Purview için Microsoft Sentinel çözümünü yükleme
  • Microsoft Purview veri bağlayıcınızı etkinleştirme
  • Microsoft Purview çözümüyle Microsoft Sentinel çalışma alanınıza dağıtılan çalışma kitabı ve analiz kuralları hakkında bilgi edinin

Ön koşullar

Başlamadan önce, hem Microsoft Sentinel çalışma alanınızın hem de Microsoft Purview'un ekli olduğundan ve kullanıcınızın aşağıdaki rollere sahip olduğundan emin olun:

  • Tanılama ayarlarını ayarlamak ve veri bağlayıcısını yapılandırmak için bir Microsoft Purview hesabı Sahibi veya Katkıda Bulunan rolü.

  • Veri bağlayıcısını etkinleştirme, çalışma kitabını görüntüleme ve analiz kuralları oluşturma izinlerine sahip bir Microsoft Sentinel Katkıda Bulunanı rolü.

Microsoft Purview çözümünü yükleme

Microsoft Purview çözümü, microsoft Purview verileri için özel olarak yapılandırılmış bir veri bağlayıcısı, çalışma kitabı ve analiz kuralları da dahil olmak üzere paketlenmiş bir içerik kümesidir.

İpucu

Microsoft Sentinel çözümleri , tek bir işlem kullanarak belirli bir veri bağlayıcısı için Microsoft Sentinel güvenlik içeriği eklemenize yardımcı olabilir.

Çözümü yüklemek için

  1. Microsoft Sentinel'de İçerik yönetimi'nin altında İçerik hub'ı seçin ve microsoft Purview çözümünü bulun.

  2. Sağ alt kısımda Ayrıntıları görüntüle'yi ve ardından Oluştur'u seçin. Çözümü yüklemek istediğiniz aboneliği, kaynak grubunu ve çalışma alanını seçin ve ardından dağıtılacak veri bağlayıcısını ve ilgili güvenlik içeriğini gözden geçirin.

    İşiniz bittiğinde, çözümü yüklemek için Gözden Geçir + Oluştur'u seçin.

Daha fazla bilgi için bkz . Microsoft Sentinel içeriği ve çözümleri hakkında ve Kullanıma hazır içeriği ve çözümleri merkezi olarak keşfetme ve dağıtma.

Microsoft Sentinel'de Microsoft Purview verilerini almaya başlama

Tanılama ayarlarını Microsoft Purview veri duyarlılığı günlüklerinin Microsoft Sentinel'e akmasını sağlamak için yapılandırın ve ardından verilerinizi almaya başlamak için bir Microsoft Purview taraması çalıştırın.

Tanılama ayarları günlük olaylarını yalnızca tam tarama çalıştırıldıktan sonra veya artımlı tarama sırasında bir değişiklik algılandığında gönderir. Günlüklerin Microsoft Sentinel'de görünmeye başlaması genellikle yaklaşık 10-15 dakika sürer.

İpucu

Veri bağlayıcınızı etkinleştirme yönergeleri Microsoft Purview veri bağlayıcısı sayfasındaki Microsoft Sentinel'de de bulunabilir.

Veri duyarlılığı günlüklerinin Microsoft Sentinel'e akmasını sağlamak için:

  1. Azure portal Microsoft Purview hesabınıza gidin ve Tanılama ayarları'nı seçin.

    Microsoft Purview hesabı Tanılama ayarları sayfasının ekran görüntüsü.

  2. + Tanılama ayarı ekle'yi seçin ve günlükleri Microsoft Purview'dan Microsoft Sentinel'e göndermek için yeni ayarı yapılandırın:

    • Ayarınız için anlamlı bir ad girin.
    • Günlükler'in altında DataSensitivityLogEvent'i seçin.
    • Hedef ayrıntıları'nın altında Log Analytics çalışma alanına gönder'i seçin ve Microsoft Sentinel için kullanılan abonelik ve çalışma alanı ayrıntılarını seçin.

  3. Kaydet’i seçin.

Daha fazla bilgi için bkz . Tanılama ayarları tabanlı bağlantıları kullanarak Microsoft Sentinel'i diğer Microsoft hizmetlerine bağlama.

Microsoft Purview taraması çalıştırmak ve Microsoft Sentinel'de verileri görüntülemek için:

  1. Microsoft Purview'da kaynaklarınızı tam olarak tarayın. Daha fazla bilgi için bkz. Microsoft Purview'da veri kaynaklarını yönetme.

  2. Microsoft Purview taramalarınız tamamlandıktan sonra Microsoft Sentinel'de Microsoft Purview veri bağlayıcısına dönün ve verilerin alındığını onaylayın.

Microsoft Purview tarafından bulunan son verileri görüntüleme

Microsoft Purview çözümü, genel bir kural ve özelleştirilmiş bir kural dahil olmak üzere etkinleştirebileceğiniz kullanıma hazır iki analiz kuralı şablonu sağlar.

  • Son 24 Saatte Bulunan Hassas Veriler adlı genel sürüm, Microsoft Purview taraması sırasında veri varlığınızda bulunan sınıflandırmaların algılanmasını izler.
  • Özelleştirilmiş sürüm olan Son 24 Saatte Bulunan Hassas Veriler - Özelleştirilmiş, belirtilen sınıflandırma her algılandıysa (Sosyal Güvenlik Numarası gibi) uyarı izler ve oluşturur.

Belirli bir sınıflandırma, duyarlılık etiketi, kaynak bölge ve daha fazlasına sahip varlıkları algılamak üzere Microsoft Purview analiz kurallarının sorgularını özelleştirmek için bu yordamı kullanın. Algılamalarınızı ve uyarılarınızı zenginleştirmek için Microsoft Sentinel'de oluşturulan verileri diğer verilerle birleştirin.

Not

Microsoft Sentinel analiz kuralları, şüpheli etkinlik algılandığında uyarıları tetikleyen KQL sorgularıdır. SOC ekibinizin araştıracağı olaylar oluşturmak için kurallarınızı özelleştirin ve gruplandırın.

Microsoft Purview analiz kuralı şablonlarını değiştirme

  1. Microsoft Sentinel'de , Yapılandırma'nın altında Analitik>Etkin kuralları'nı seçin ve Son 24 Saatte Bulunan Hassas Veriler - Özelleştirilmiş adlı bir kural arayın.

    Varsayılan olarak, Microsoft Sentinel çözümleri tarafından oluşturulan analiz kuralları devre dışı olarak ayarlanır. Devam etmeden önce çalışma alanınız için kuralı etkinleştirdiğinizden emin olun:

    1. Kuralı seçin ve sağ altta Düzenle'yi seçin.

    2. Analiz kuralı sihirbazında, Genel sekmesinin en altında Durum'uEtkin olarak değiştirin.

  2. Kural mantığını ayarla sekmesinde, uyarı oluşturmak istediğiniz veri alanlarını ve sınıflandırmaları sorgulamak için Kural sorgusunu ayarlayın. Sorgunuza nelerin dahil edilebileceği hakkında daha fazla bilgi için bkz:

    Biçimlendirilmiş sorguların söz dizimi şu şekildedir: | where {data-field} contains {specified-string}.

    Örneğin:

    PurviewDataSensitivityLogs
| where Classification contains “Social Security Number”
| where SourceRegion contains “westeurope”
| where SourceType contains “Amazon”
| where TimeGenerated > ago (24h)

  3. Sorgu zamanlaması'nın altında, kuralların son 24 saat içinde bulunan verileri göstermesi için ayarları tanımlayın. Ayrıca Olay gruplandırma özelliğini tüm olayları tek bir uyarıda gruplandıracak şekilde ayarlamanızı öneririz.

    Son 24 saat içinde algılanan verileri göstermek için tanımlanan analiz kuralı sihirbazının ekran görüntüsü.

  4. Gerekirse Olay ayarlarını ve Otomatik yanıt sekmelerini özelleştirin. Örneğin, Olay ayarları sekmesinde Bu analiz kuralı tarafından tetiklenen uyarılardan olay oluştur'un seçili olduğunu doğrulayın.

  5. Gözden geçir ve güncelleştir sekmesinde Kaydet'i seçin.

Daha fazla bilgi için bkz. Tehditleri algılamak için özel analiz kuralları oluşturma.

Microsoft Sentinel çalışma kitaplarında Microsoft Purview verilerini görüntüleme

Microsoft Sentinel'de , Tehdit yönetimi'nin altında Çalışma Kitapları Çalışma Kitaplarım>çalışma kitapları'nı seçin ve Microsoft Purview çözümüyle dağıtılan Microsoft Purview çalışma kitabını bulun. Çalışma kitabını açın ve gerekli parametreleri özelleştirin.

Microsoft Purview çalışma kitabının ekran görüntüsü.

Microsoft Purview çalışma kitabı aşağıdaki sekmeleri görüntüler:

  • Genel bakış: Verilerin bulunduğu bölgeleri ve kaynak türlerini görüntüler.
  • Sınıflandırmalar: Kredi Kartı Numaraları gibi belirtilen sınıflandırmaları içeren varlıkları görüntüler.
  • Duyarlılık etiketleri: Gizli etiketleri olan varlıkları ve şu anda etiketleri olmayan varlıkları görüntüler.

Microsoft Purview çalışma kitabında detaya gitmek için:

  • Azure'da bu kaynağa atlamak için belirli bir veri kaynağını seçin.
  • Alınan günlüklerde paylaşılan tüm veri alanlarıyla birlikte daha fazla ayrıntı göstermek için bir varlık yolu bağlantısı seçin.
  • Varlık Düzeyi verilerini yapılandırıldığı gibi filtrelemek için Veri Kaynağı, Sınıflandırma veya Duyarlılık Etiketi tablolarında bir satır seçin.

Microsoft Purview olayları tarafından tetiklenen olayları araştırma

Microsoft Purview analiz kuralları tarafından tetiklenen olayları araştırırken, olayın Olaylarında bulunan varlıklar ve sınıflandırmalar hakkında ayrıntılı bilgi bulabilirsiniz.

Örneğin:

Purview olayları tarafından tetiklenen bir olayın ekran görüntüsü.

Sonraki adımlar

Daha fazla bilgi için bkz.