整合 Microsoft Sentinel 和 Microsoft Purview (公開預覽)
Microsoft Purview 讓組織能夠了解敏感性資訊的儲存位置,協助排定風險資料的優先順序以進行保護。 如需詳細資訊,請參閱 Microsoft Purview 資料控管文件
整合 Microsoft Purview 與 Microsoft Sentinel,以協助縮小 Microsoft Sentinel 中呈現的大量事件和威脅,並從了解最關鍵的領域開始。
首先,透過資料連接器來將 Microsoft Purview 記錄內嵌到 Microsoft Sentinel。 然後使用 Microsoft Sentinel 活頁簿來檢視資料,例如 Microsoft Purview 掃描到的資產、找到的分類,以及套用的標籤。 使用分析規則,為資料敏感度內的變更建立警示。
自訂 Microsoft Purview 活頁簿和分析規則以便最符合組織的需求,並將 Microsoft Purview 記錄與內嵌自其他來源的資料合併,以在 Microsoft Sentinel 中建立豐富的見解。
重要
Microsoft Purview 解決方案目前處於預覽狀態。 請參閱 Microsoft Azure Preview 補充使用規定,了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。
在本文章中,您將:
- 安裝適用於 Microsoft Purview 的 Microsoft Sentinel 解決方案
- 啟用 Microsoft Purview 資料連接器
- 了解使用 Microsoft Purview 解決方案部署至 Microsoft Sentinel 工作區的活頁簿和分析規則
必要條件
開始之前,確定您已將 Microsoft Sentinel 工作區和 Microsoft Purview 上線,而且您的使用者具有下列角色:
Microsoft Sentinel 參與者角色,並具有啟用資料連接器、檢視活頁簿及建立分析規則的寫入權限。
安裝 Microsoft Purview 解決方案
Microsoft Purview 解決方案是一組搭售內容,包括專為 Microsoft Purview 資料設定的資料連接器、活頁簿和分析規則。
提示
Microsoft Sentinel 解決方案可協助您使用單一流程,將適用於特定資料連接器的 Microsoft Sentinel 安全性內容上線。
安裝解決方案
在 Microsoft Sentinel 的 [內容管理] 底下,選取 [內容中樞],然後找出 Microsoft Purview 解決方案。
在右下角,選取 [檢視詳細資料],然後選取 [建立]。 選取您要安裝解決方案的訂用帳戶、資源群組及工作區,然後檢閱將部署的資料連接器和相關安全性內容。
完成時,選取 [檢閱 + 建立] 以安裝解決方案。
如需詳細資訊,請參閱關於 Microsoft Sentinel 內容和解決方案及集中探索和部署現成可用的內容與解決方案。
開始在 Microsoft Sentinel 中內嵌 Microsoft Purview 資料
設定診斷設定,讓 Microsoft Purview 資料敏感度記錄流入 Microsoft Sentinel,然後執行 Microsoft Purview 掃描以開始內嵌您的資料。
診斷設定只有在執行完整掃描之後,或在累加掃描期間偵測到變更時,才會傳送記錄事件。 記錄通常大約需要 10-15 分鐘,才會開始出現在 Microsoft Sentinel 中。
提示
您也可以在 Microsoft Sentinel 中的 Microsoft Purview 資料連接器分頁上,取得啟用資料連接器的指示。
讓資料敏感度記錄流入 Microsoft Sentinel:
在 Azure 入口網站中瀏覽至您的 Microsoft Purview 帳戶,然後選取 [診斷設定]。
選取 [+ 新增診斷設定],並設定新設定,以便將記錄從 Microsoft Purview 傳送至 Microsoft Sentinel:
- 針對設定輸入有意義的名稱。
- 在 [記錄] 底下,選取 [DataSensitivityLogEvent]。
- 在 [目的地詳細資料] 底下,選取 [傳送至 Log Analytics 工作區],然後選取用於 Microsoft Sentinel 的訂用帳戶和工作區詳細資料。
選取 [儲存]。
如需詳細資訊,請參閱使用診斷設定型連線將 Microsoft Sentinel 連線至其他 Microsoft 服務。
若要在 Microsoft Sentinel 中執行 Microsoft Purview 掃描和檢視資料:
在 Microsoft Purview 中,執行資源的完整掃描。 如需詳細資訊,請參閱在 Microsoft Purview 中掃描資料來源。
完成 Microsoft Purview 掃描之後,返回 Microsoft Sentinel 中的 Microsoft Purview 資料連接器,並確認已收到資料。
檢視 Microsoft Purview 探索到的最新資料
Microsoft Purview 解決方案提供兩個您可啟用的現成分析規則範本,包括一般規則和自訂規則。
- 一般版本 (「過去 24 小時內探索到的敏感性資料」) 會在 Microsoft Purview 掃描期間,監視對於資料資產中所發現之任何分類的偵測。
- 自訂版本 (「過去 24 小時內探索到的敏感性資料 - 自訂」) 會在每次偵測到指定的分類 (例如社會安全號碼) 時監視並產生警示。
使用此程序來自訂 Microsoft Purview 分析規則的查詢,以偵測具有特定分類、敏感度標籤、來源區域等內容的資產。 將產生的資料與 Microsoft Sentinel 中的其他資料合併,以擴充您的偵測和警示。
注意
Microsoft Sentinel 分析規則是 KQL 查詢,可在偵測到可疑活動時觸發警示。 自訂規則並將規則分組,為您的 SOC 小組建立事件以進行調查。
修改 Microsoft Purview 分析規則範本
在 Microsoft Sentinel 的 [設定] 底下,選取 [分析]>[作用中的規則],然後搜尋名為過去 24 小時內探索到的敏感性資料 - 自訂的規則。
根據預設,Microsoft Sentinel 解決方案所建立的分析規則會設定為停用。 繼續之前,務必為您的工作區啟用規則:
選取規則,然後在右下角選取 [編輯]。
在分析規則精靈的 [一般] 索引標籤底部,將 [狀態] 切換為 [已啟用]。
在 [設定規則邏輯] 索引標籤上,調整 [規則查詢],以查詢您要為其產生警示的資料欄位和分類。 如需可在查詢中包含的內容詳細資訊,請參閱:
- 支援的資料欄位是 PurviewDataSensitivityLogs 資料表的資料行
- 支援的分類
格式化的查詢具有下列語法:
| where {data-field} contains {specified-string}。例如:
PurviewDataSensitivityLogs | where Classification contains “Social Security Number” | where SourceRegion contains “westeurope” | where SourceType contains “Amazon” | where TimeGenerated > ago (24h)在 [查詢排程] 底下定義設定,讓規則能夠顯示過去 24 小時內探索到的資料。 此外,也建議您設定事件群組,以將所有事件群組為單一警示。
如有需要,請自訂 [事件設定] 和 [自動回應] 索引標籤。 例如,在 [事件設定] 索引標籤中,確認已選取 [從由此分析規則觸發的警示建立事件]。
在 [檢閱和更新] 索引標籤中,選取 [儲存]。
如需詳細資訊,請參閱建立自訂分析規則以偵測威脅。
檢視 Microsoft Sentinel 活頁簿中的 Microsoft Purview 資料
在 Microsoft Sentinel 的 [威脅管理] 下,選取 [活頁簿] > [我的活頁簿],然後找出使用 Microsoft Purview 解決方案部署的 Microsoft Purview 活頁簿。 開啟活頁簿,並視需要自訂任何參數。
Microsoft Purview 活頁簿會顯示下列索引標籤:
- 概觀:顯示資料所在的區域和資源類型。
- 分類:顯示包含指定分類的資產,例如信用卡號碼。
- 敏感度標籤:顯示具有機密標籤的資產,以及目前沒有標籤的資產。
在 Microsoft Purview 活頁簿中向下鑽研:
- 選取特定的資料來源,以跳至 Azure 中的該資源。
- 選取資產路徑連結以顯示更多詳細資料,其中包含內嵌記錄中共用的所有資料欄位。
- 選取 [資料來源]、[分類] 或 [敏感度標籤] 資料表中的資料列,依設定篩選資產層級資料。
調查 Microsoft Purview 事件 (Event) 觸發的事件 (Incident)
調查 Microsoft Purview 分析規則所觸發的事件時,尋找事件 (Incident) 的事件 (Event) 中找到的資產和分類詳細資訊。
例如:
下一步
如需詳細資訊,請參閱