将 Microsoft Purview 与 Azure 安全产品集成
本文档介绍将 Microsoft Purview 帐户与各种 Azure 安全产品连接以丰富数据分类和敏感度标签的安全体验所需的步骤。
Microsoft Defender for Cloud
Microsoft Purview 提供有关数据敏感性的丰富见解。 这使得使用 Microsoft Defender for Cloud 的安全团队能够管理组织的安全状况并防范其工作负载受到威胁,这让安全团队很有价值。 数据资源仍然是恶意参与者的热门目标,因此安全团队在云环境中识别敏感数据资源并确定其优先级并保护敏感数据资源至关重要。 与 Microsoft Purview 的集成扩展了数据层的可见性,使安全团队能够确定包含敏感数据的资源的优先级。
应用于 Microsoft Purview 中的数据资源的分类和标签被引入到 Microsoft Defender for Cloud 中,这为保护资源提供了有价值的上下文。 Microsoft Defender for Cloud 使用资源分类和标签来识别与敏感数据相关的潜在攻击路径和安全风险。 Defender for Cloud 的“清单和警报”页中的资源还包含 Microsoft Purview 发现的分类和标签,因此安全团队可以筛选和集中精力,确定保护最敏感资产的优先级。
若要在 Microsoft Defender for Cloud 中利用此扩充,Microsoft Purview 中无需执行更多步骤。 使用 Microsoft Defender for Cloud 的“清单”页开始探索安全扩充,可在其中查看包含分类和敏感度标签的数据源列表。
支持的数据源
集成支持 Azure 和 AWS 中的数据源;在这些资源中发现的敏感数据与 Microsoft Defender for Cloud 共享:
- Azure Blob 存储
- Azure Cosmos DB
- Azure 数据资源管理器
- Azure Data Lake Storage Gen1
- Azure Data Lake Storage Gen2
- Azure 文件存储
- Azure Database for MySQL
- Azure Database for PostgreSQL
- Azure SQL 托管实例
- Azure 专用 SQL 池 (以前为 SQL DW)
- Azure SQL数据库
- Azure Synapse Analytics (工作区)
- Amazon S3
已知问题
- 当前不会为虚拟机内托管的源(如 SAP、Erwin 和 Teradata)共享数据敏感度信息。
- Amazon RDS 目前不共享数据敏感度信息。
- 对于使用连接字符串注册的 Azure PaaS 数据源,目前不会共享数据敏感度信息。
- 在 Microsoft Purview 中注销数据源不会删除 Microsoft Defender for Cloud 中的数据敏感度扩充。
- 删除 Microsoft Purview 帐户会将数据敏感度扩充保留在 Microsoft Defender for Cloud 中 30 天。
- Microsoft Purview 合规门户或 Microsoft Purview 治理门户中定义的自定义分类不会与 Microsoft Defender for Cloud 共享。
常见问题
为什么我在 Microsoft Defender for Cloud 中看不到使用 Microsoft Purview 扫描的 AWS 数据源?
数据源也必须载入到 Microsoft Defender for Cloud。 详细了解如何连接 AWS 帐户并在 Microsoft Defender for Cloud 中查看 AWS 数据源。
为什么在 Microsoft Defender for Cloud 中看不到敏感度标签?
必须先在 Microsoft Purview 数据映射 中标记资产,然后才能在 Microsoft Defender for Cloud 中显示标签。 检查是否具备 敏感度标签的必要先决条件 。 扫描数据后,标签将显示在 Microsoft Purview 数据映射 中,然后自动显示在 Microsoft Defender for Cloud 中。
Microsoft Sentinel
Microsoft Sentinel 是一种可缩放的云原生解决方案,适用于安全信息和事件管理 (SIEM) 以及安全业务流程、自动化和响应 (SOAR) 。 Microsoft Sentinel 在整个企业中提供智能安全分析和威胁情报,为攻击检测、威胁可见性、主动搜寻和威胁响应提供单一解决方案。
将 Microsoft Purview 与 Microsoft Sentinel 集成,以帮助你确定风险数据进行保护的优先级,并了解 Microsoft Sentinel 中要调查的最关键事件和威胁,从而了解网络敏感信息的存储位置。
- 首先,通过数据源将 Microsoft Purview 日志引入 Microsoft Sentinel。
- 然后使用 Microsoft Sentinel 工作簿查看数据,例如扫描的资产、找到的分类以及 Microsoft Purview 应用的标签。
- 使用分析规则为数据敏感度内的更改创建警报。
自定义 Microsoft Purview 工作簿和分析规则以最大程度地满足组织的需求,并将 Microsoft Purview 日志与从其他源引入的数据相结合,以在 Microsoft Sentinel 中创建扩充的见解。
有关详细信息,请参阅 教程:集成 Microsoft Sentinel 和 Microsoft Purview。