Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Purview bietet Organisationen Einblick in den Speicherort vertraulicher Informationen und hilft dabei, risikobehaftete Daten für den Schutz zu priorisieren. Integrieren Sie Microsoft Purview in Microsoft Sentinel, um die große Anzahl von Vorfällen und Bedrohungen einzugrenzen, die in Microsoft Sentinel auftreten, und die wichtigsten Bereiche zu verstehen.
Erfassen Sie zunächst Ihre Microsoft Purview-Protokolle über einen Datenconnector in Microsoft Sentinel. Verwenden Sie dann eine Microsoft Sentinel Arbeitsmappe, um Daten wie gescannte Ressourcen, gefundene Klassifizierungen und von Microsoft Purview angewendete Bezeichnungen anzuzeigen. Verwenden Sie Analyseregeln, um Warnungen für Änderungen bei der Vertraulichkeit von Daten zu erstellen.
Passen Sie die Microsoft Purview-Arbeitsmappe und die Analyseregeln an die Anforderungen Ihrer organization an, und kombinieren Sie Microsoft Purview-Protokolle mit Daten, die aus anderen Quellen erfasst wurden, um angereicherte Erkenntnisse in Microsoft Sentinel zu gewinnen.
Voraussetzungen
Bevor Sie beginnen, stellen Sie sicher, dass Sie sowohl einen Microsoft Sentinel Arbeitsbereich als auch Microsoft Purview integriert haben und dass Ihr Benutzer über die folgenden Rollen verfügt:
Eine Microsoft Purview-Kontorolle "Besitzer " oder "Mitwirkender ", um Diagnoseeinstellungen einzurichten und den Datenconnector zu konfigurieren.
Eine Microsoft Sentinel Rolle Mitwirkender mit Schreibberechtigungen zum Aktivieren des Datenconnectors, Anzeigen der Arbeitsmappe und Erstellen von Analyseregeln.
Die microsoft Purview-Lösung, die in Ihrem Log Analytics-Arbeitsbereich installiert ist und für Microsoft Sentinel aktiviert ist.
Die Microsoft Purview-Lösung besteht aus einer Reihe gebündelter Inhalte, einschließlich eines Datenconnectors, einer Arbeitsmappe und Analyseregeln, die speziell für Microsoft Purview-Daten konfiguriert sind. Weitere Informationen finden Sie unter Informationen zu Microsoft Sentinel Inhalten und Lösungen und Ermitteln und Verwalten von Microsoft Sentinel sofort einsatzbereiten Inhalten.
Anweisungen zum Aktivieren Ihres Datenconnectors finden Sie auch in Microsoft Sentinel auf der Seite Microsoft Purview-Datenconnector.
Beginnen Sie mit der Erfassung von Microsoft Purview-Daten in Microsoft Sentinel
Konfigurieren Sie Diagnoseeinstellungen, damit Microsoft Purview-Datensensitivitätsprotokolle in Microsoft Sentinel fließen, und führen Sie dann eine Microsoft Purview-Überprüfung aus, um mit der Erfassung Ihrer Daten zu beginnen.
Diagnoseeinstellungen senden Protokollereignisse nur, nachdem eine vollständige Überprüfung ausgeführt wurde oder wenn eine Änderung während einer inkrementellen Überprüfung erkannt wird. Es dauert in der Regel etwa 10 bis 15 Minuten, bis die Protokolle in Microsoft Sentinel angezeigt werden.
So aktivieren Sie datensensitive Protokolle, die in Microsoft Sentinel fließen:
Navigieren Sie im Azure-Portal zu Ihrem Microsoft Purview-Konto, und wählen Sie Diagnoseeinstellungen aus.
Wählen Sie + Diagnoseeinstellung hinzufügen aus, und konfigurieren Sie die neue Einstellung zum Senden von Protokollen von Microsoft Purview an Microsoft Sentinel:
- Geben Sie einen aussagekräftigen Namen für Ihre Einstellung ein.
- Wählen Sie unter Protokolle die Option DataSensitivityLogEvent aus.
- Wählen Sie unter Zieldetails die Option An Log Analytics-Arbeitsbereich senden aus, und wählen Sie die Abonnement- und Arbeitsbereichsdetails aus, die für Microsoft Sentinel verwendet werden.
Klicken Sie auf Speichern.
Weitere Informationen finden Sie unter Verbinden Microsoft Sentinel mit anderen Microsoft-Diensten mithilfe von Auf Diagnoseeinstellungen basierenden Verbindungen.
So führen Sie eine Microsoft Purview-Überprüfung aus und zeigen Daten in Microsoft Sentinel an:
Führen Sie in Microsoft Purview eine vollständige Überprüfung Ihrer Ressourcen durch. Weitere Informationen finden Sie unter Überprüfen von Datenquellen in Microsoft Purview.
Nachdem Ihre Microsoft Purview-Überprüfungen abgeschlossen sind, kehren Sie zum Microsoft Purview-Datenconnector in Microsoft Sentinel zurück, und vergewissern Sie sich, dass die Daten empfangen wurden.
Anzeigen der zuletzt von Microsoft Purview ermittelten Daten
Die Microsoft Purview-Lösung bietet zwei sofort einsatzbereite Analyseregelvorlagen, die Sie aktivieren können, einschließlich einer generischen Regel und einer benutzerdefinierten Regel.
- Die generische Version , Vertrauliche Daten, die in den letzten 24 Stunden ermittelt wurden, überwacht die Erkennung von Klassifizierungen, die während einer Microsoft Purview-Überprüfung in Ihrem gesamten Datenbestand gefunden wurden.
- Die angepasste Version, Vertrauliche Daten, die in den letzten 24 Stunden ermittelt wurden – Angepasst, überwacht und generiert Warnungen jedes Mal, wenn die angegebene Klassifizierung, z. B. Sozialversicherungsnummer, erkannt wurde.
Verwenden Sie dieses Verfahren, um die Abfragen der Microsoft Purview-Analyseregeln anzupassen, um Ressourcen mit spezifischer Klassifizierung, Vertraulichkeitsbezeichnung, Quellregion und mehr zu erkennen. Kombinieren Sie die generierten Daten mit anderen Daten in Microsoft Sentinel, um Ihre Erkennungen und Warnungen zu erweitern.
Hinweis
Microsoft Sentinel Analyseregeln sind KQL-Abfragen, die Warnungen auslösen, wenn verdächtige Aktivitäten erkannt wurden. Passen Sie Ihre Regeln an, und gruppieren Sie sie, um Incidents zu erstellen, die Ihr SOC-Team untersuchen kann.
Ändern der Microsoft Purview-Analyseregelvorlagen
Öffnen Sie in Microsoft Sentinel die Microsoft Purview-Lösung, und suchen Sie dann die Regel Vertrauliche Daten, die in den letzten 24 Stunden – Angepasst ermittelt wurden, und wählen Sie sie aus. Wählen Sie im Seitenbereich Regel erstellen aus, um eine neue Regel basierend auf der Vorlage zu erstellen.
Wechseln Sie zur Seite Konfigurationsanalyse>, und wählen Sie Aktive Regeln aus. Suchen Sie nach einer Regel mit dem Namen Vertrauliche Daten, die in den letzten 24 Stunden – Angepasst ermittelt wurden.
Standardmäßig sind von Microsoft Sentinel Lösungen erstellte Analyseregeln auf deaktiviert festgelegt. Stellen Sie sicher, dass Sie die Regel für Ihren Arbeitsbereich aktivieren, bevor Sie fortfahren:
Wählen Sie die Regel aus. Wählen Sie im Seitenbereich Bearbeiten aus.
Schalten Sie im Analyseregel-Assistenten unten auf der Registerkarte Allgemein den Status auf Aktiviert um.
Passen Sie auf der Registerkarte Regellogik festlegen die Regelabfrage an, um die Datenfelder und Klassifizierungen abzufragen, für die Sie Warnungen generieren möchten. Weitere Informationen dazu, was in Ihrer Abfrage enthalten sein kann, finden Sie unter:
- Unterstützte Datenfelder sind die Spalten der PurviewDataSensitivityLogs-Tabelle .
- Unterstützte Klassifizierungen
Formatierte Abfragen weisen die folgende Syntax auf:
| where {data-field} contains {specified-string}.Zum Beispiel:
PurviewDataSensitivityLogs | where Classification contains “Social Security Number” | where SourceRegion contains “westeurope” | where SourceType contains “Amazon” | where TimeGenerated > ago (24h)Weitere Informationen zu den folgenden Elementen, die im vorherigen Beispiel verwendet wurden, finden Sie in der Kusto-Dokumentation:
Weitere Informationen zu KQL finden Sie unter übersicht über Kusto-Abfragesprache (KQL).
Weitere Ressourcen:
Definieren Sie unter Abfrageplanung Einstellungen, damit die Regeln Daten anzeigen, die in den letzten 24 Stunden ermittelt wurden. Es wird auch empfohlen, die Ereignisgruppierung so festzulegen, dass alle Ereignisse in einer einzigen Warnung gruppiert werden.
Passen Sie bei Bedarf die Registerkarten Incidenteinstellungen und Automatisierte Reaktion an. Überprüfen Sie beispielsweise auf der Registerkarte Incidenteinstellungen , ob Incidents aus Warnungen erstellen, die von dieser Analyseregel ausgelöst werden ausgewählt ist.
Wählen Sie auf der Registerkarte Überprüfen + erstellendie Option Speichern aus.
Weitere Informationen finden Sie unter Erstellen benutzerdefinierter Analyseregeln zum Erkennen von Bedrohungen.
Anzeigen von Microsoft Purview-Daten in Microsoft Sentinel Arbeitsmappen
Öffnen Sie Microsoft Sentinel die Microsoft Purview-Lösung, suchen Sie die Microsoft Purview-Arbeitsmappe, und wählen Sie sie aus. Wählen Sie im Seitenbereich Konfiguration aus, um die Arbeitsmappe Ihrem Arbeitsbereich hinzuzufügen.
Wählen Sie in Microsoft Sentinel unter Bedrohungsverwaltung die Option Arbeitsmappen>Meine Arbeitsmappen aus, und suchen Sie die Microsoft Purview-Arbeitsmappe. Speichern Sie die Arbeitsmappe in Ihrem Arbeitsbereich, und wählen Sie dann Gespeicherte Arbeitsmappe anzeigen aus. Zum Beispiel:
Die Microsoft Purview-Arbeitsmappe zeigt die folgenden Registerkarten an:
- Übersicht: Zeigt die Regionen und Ressourcentypen an, in denen sich die Daten befinden.
- Klassifizierungen: Zeigt Ressourcen an, die angegebene Klassifizierungen enthalten, z. B. Kreditkartennummern.
- Vertraulichkeitsbezeichnungen: Zeigt die Ressourcen mit vertraulichen Bezeichnungen und die Ressourcen an, die derzeit keine Bezeichnungen aufweisen.
So führen Sie einen Drilldown in der Microsoft Purview-Arbeitsmappe aus:
- Wählen Sie eine bestimmte Datenquelle aus, um zu dieser Ressource in Azure zu springen.
- Wählen Sie einen Ressourcenpfadlink aus, um weitere Details anzuzeigen, wobei alle Datenfelder in den erfassten Protokollen freigegeben sind.
- Wählen Sie eine Zeile in den Tabellen Datenquelle, Klassifizierung oder Vertraulichkeitsbezeichnung aus, um die Daten auf Ressourcenebene wie konfiguriert zu filtern.
Untersuchen von Vorfällen, die durch Microsoft Purview-Ereignisse ausgelöst werden
Bei der Untersuchung von Vorfällen, die durch die Microsoft Purview-Analyseregeln ausgelöst werden, finden Sie ausführliche Informationen zu den Ressourcen und Klassifizierungen in den Ereignissen des Incidents.
Zum Beispiel:
Verwandte Inhalte
Weitere Informationen finden Sie unter: