你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
集成 Microsoft Sentinel 和 Microsoft Purview (公共预览版)
Azure Purview 使组织能够了解敏感信息存储位置,帮助确定风险数据的保护优先级。 有关详细信息,请参阅 Microsoft Purview 数据治理文档
将 Microsoft Purview 与 Microsoft Sentinel 集成,以帮助缩小 Microsoft Sentinel 中发生的大量事件和威胁,并了解要开始的最关键领域。
首先,通过数据连接器将 Microsoft Purview 日志引入 Microsoft Sentinel。 然后,使用 Microsoft Sentinel 工作簿查看数据,例如扫描的资产、找到的分类和 Microsoft Purview 应用的标签。 使用分析规则为数据敏感度中的变化创建警报。
自定义 Microsoft Purview 工作簿和分析规则以使其最适合你组织的需求,并将 Microsoft Purview 日志与从其他源引入的数据相结合,以便在 Microsoft Sentinel 中创建丰富的见解。
重要
Microsoft Purview 解决方案为预览版。 请参阅 Microsoft Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
本文内容:
- 为 Microsoft Purview 安装 Microsoft Sentinel 解决方案
- 启用 Microsoft Purview 数据连接器
- 了解使用 Microsoft Purview 解决方案部署到 Microsoft Sentinel 工作区的工作簿和分析规则
先决条件
在启动之前,请确保已加入 Microsoft Sentinel 工作区和 Microsoft Purview ,并且用户具有以下角色:
Microsoft Sentinel 参与者角色,具有启用数据连接器、查看工作簿和创建分析规则的写入权限。
安装 Microsoft Purview 解决方案
Microsoft Purview 解决方案是一组捆绑内容,包括专门为 Microsoft Purview 数据配置的数据连接器、工作簿和分析规则。
提示
Microsoft Sentinel 解决方案可以帮助你在单个过程中为特定数据连接器加入 Microsoft Sentinel 安全内容。
安装解决方案
在 Microsoft Sentinel 的内容管理下,选择内容中心 ,然后下 Microsoft Purview 解决方案。
在右下方,选择“查看详细信息”,然后选择“创建”。 选择要在其中安装解决方案的订阅、资源组和工作区,然后查看将要部署的数据连接器和相关安全内容。
完成后,选择“查看 + 创建”来安装解决方案。
有关更多信息,请参阅关于 Azure Sentinel 内容和解决方案和集中发现和部署现成可用的内容和解决方案。
开始在 Microsoft Sentinel 中引入 Microsoft Purview 数据
配置诊断设置,以使 Microsoft Purview 数据敏感度日志流入 Microsoft Sentinel,然后运行 Microsoft Purview 扫描以开始引入数据。
诊断设置仅在运行完全扫描或在增量扫描期间检测到更改时发送日志活动。 日志通常需要大约 10-15 分钟才能开始显示在 Microsoft Sentinel 中。
提示
有关启用数据连接器的说明,也可在 Microsoft Sentinel 的 Microsoft Purview 数据连接器页上获得。
若要使数据敏感度日志能够流入 Microsoft Sentinel:
在 Azure 门户中,导航到 Microsoft Purview 帐户,然后选择“诊断设置”。
选择 + 添加诊断设置,并将新设置配置为将日志从 Microsoft Purview 发送至 Microsoft Sentinel:
- 为设置输入一个有意义的名称。
- 在日志下,选择 DataSensitivityLogEvent。
- 在目标详细信息下,选择发送到 Log Analytics 工作区,然后选择用于 Microsoft Sentinel 的订阅和工作区详细信息。
选择“保存”。
有关详细信息,请参阅使用基于诊断设置的连接将 Microsoft Sentinel 连接到其他 Microsoft 服务。
若要在 Microsoft Sentinel 中运行 Microsoft Purview 扫描和查看数据:
在 Microsoft Purview 中,对资源运行完全扫描。 有关详细信息,请参阅在 Microsoft Purview 中扫描数据源。
完成 Microsoft Purview 扫描后,返回到 Microsoft Sentinel 中的 Microsoft Purview 数据连接器,并确认已收到数据。
查看由 Microsoft Purview 发现的最新数据
Microsoft Purview 解决方案提供了两个可启用的开箱即用分析规则模板,包括通用规则和自定义规则。
- 通用版本过去 24 小时内发现的敏感数据,监视在 Microsoft Purview 扫描期间跨数据资产发现的任何分类检测。
- 自定义版本过去 24 小时内发现的敏感数据 - 自定义,每次检测到指定的分类(如社会保障号码)时,都会监视并生成警报。
使用此过程自定义 Microsoft Purview 分析规则的查询,以检测具有特定分类、敏感度标签、源区域等的资产。 将生成的数据与 Microsoft Sentinel 中的其他数据结合,以扩充检测和警报。
注意
Microsoft Sentinel 分析规则是检测到可疑活动时触发警报的 KQL 查询。 自定义规则并组合在一起,以创建供 SOC 团队调查的事件。
修改 Microsoft Purview 分析规则模板
在 Microsoft Sentinel 的配置下,选择分析>活动规则,然后搜索名为过去 24 小时内发现的敏感数据 - 自定义的规则。
默认情况下,Microsoft Sentinel 解决方案创建的分析规则设置为"已禁用"。 在继续操作之前,请确保为工作区启用规则:
选择规则,然后在右下角选择编辑。
在分析规则向导的常规选项卡底部,将状态切换为已启用。
在设置规则逻辑选项卡上,调整规则查询以查询要生成警报的数据字段和分类。 有关查询中可包含内容的信息,请参阅:
- 支持的数据字段是 PurviewDataSensitivityLogs 表的列
- 支持的分类
格式化查询具有以下语法:
| where {data-field} contains {specified-string}
。例如:
PurviewDataSensitivityLogs | where Classification contains “Social Security Number” | where SourceRegion contains “westeurope” | where SourceType contains “Amazon” | where TimeGenerated > ago (24h)
在查询计划下,定义设置,以便规则显示过去 24 小时内发现的数据。 我们还建议设置活动分组,以将所有活动分组到单个警报中。
如果需要,请自定义事件设置和自动响应选项卡。 例如,在事件设置选项卡中,验证是否选择了基于此分析规则触发的警报创建事件。
在查看和创建选项卡上,选择保存。
有关详细信息,请参阅创建自定义分析规则以检测威胁。
在 Microsoft Sentinel 工作簿中查看 Microsoft Purview 数据
在 Microsoft Sentinel 的威胁管理下,选择工作簿>我的工作簿,然后定位用 Microsoft Purview 解决方案部署的 Microsoft Purview 工作簿。 打开工作簿并根据需要自定义任何参数。
Microsoft Purview 工作簿显示以下选项卡:
- 概述:显示数据所在的区域和资源类型。
- 分类:显示包含指定分类的资产,如信用卡号。
- 敏感度标签:显示具有机密标签的资产,以及当前没有标签的资产。
若要深入研究 Microsoft Purview 工作簿:
- 选择特定的数据源以跳转到 Azure 中的该资源。
- 选择一个资产路径链接以显示更多详细信息,所有数据字段在所输入的日志中共享。
- 在数据源、分类或敏感度标签表中选择一行,以按配置筛选资产级别数据。
调查由 Microsoft Purview 活动触发的事件
调查由 Microsoft Purview 分析规则触发的事件时,请查找有关在事件的活动中找到的资产和分类的详细信息。
例如:
后续步骤
有关详细信息,请参阅: