Intégrer Microsoft Sentinel et Microsoft Purview

Microsoft Purview offre aux organisations une visibilité sur l’emplacement où sont stockées les informations sensibles, ce qui permet de hiérarchiser les données à risque pour la protection. Intégrez Microsoft Purview à Microsoft Sentinel pour vous aider à limiter le volume élevé d’incidents et de menaces exposés dans Microsoft Sentinel, et à comprendre les domaines les plus critiques pour commencer.

Commencez par ingérer vos journaux Microsoft Purview dans Microsoft Sentinel via un connecteur de données. Utilisez ensuite un classeur Microsoft Sentinel pour afficher des données telles que les ressources analysées, les classifications trouvées et les étiquettes appliquées par Microsoft Purview. Utilisez des règles d’analyse pour créer des alertes pour les modifications apportées à la sensibilité des données.

Personnalisez le classeur Microsoft Purview et les règles d’analyse en fonction des besoins de votre organization, puis combinez les journaux Microsoft Purview avec les données ingérées à partir d’autres sources pour créer des insights enrichis dans Microsoft Sentinel.

Configuration requise

Avant de commencer, vérifiez que vous disposez à la fois d’un espace de travail Microsoft Sentinel et de Microsoft Purview intégré, et que votre utilisateur dispose des rôles suivants :

  • Un rôle propriétaire ou contributeur de compte Microsoft Purview pour configurer les paramètres de diagnostic et configurer le connecteur de données.

  • Un rôle contributeur Microsoft Sentinel, avec des autorisations d’écriture pour activer le connecteur de données, afficher le classeur et créer des règles analytiques.

  • Solution Microsoft Purview installée dans votre espace de travail Log Analytics activée pour Microsoft Sentinel.

    La solution Microsoft Purview est un ensemble de contenu groupé, y compris un connecteur de données, un classeur et des règles d’analyse configurés spécifiquement pour les données Microsoft Purview. Pour plus d’informations, consultez À propos de Microsoft Sentinel contenu et solutions et Découvrir et gérer Microsoft Sentinel contenu prête à l’emploi.

    Les instructions d’activation de votre connecteur de données sont également disponibles dans Microsoft Sentinel, sur la page connecteur de données Microsoft Purview.

Commencer à ingérer des données Microsoft Purview dans Microsoft Sentinel

Configurez les paramètres de diagnostic pour que les journaux de confidentialité des données Microsoft Purview circulent dans Microsoft Sentinel, puis exécutez une analyse Microsoft Purview pour commencer à ingérer vos données.

Les paramètres de diagnostic envoient des événements de journal uniquement après l’exécution d’une analyse complète ou lorsqu’une modification est détectée lors d’une analyse incrémentielle. Il faut généralement environ 10 à 15 minutes pour que les journaux commencent à apparaître dans Microsoft Sentinel.

Pour permettre aux journaux de sensibilité des données de circuler dans Microsoft Sentinel :

  1. Accédez à votre compte Microsoft Purview dans le Portail Azure et sélectionnez Paramètres de diagnostic.

    Capture d’écran d’une page paramètres de diagnostic de compte Microsoft Purview.

  2. Sélectionnez + Ajouter un paramètre de diagnostic et configurez le nouveau paramètre pour envoyer des journaux à partir de Microsoft Purview vers Microsoft Sentinel :

    • Entrez un nom explicite pour votre paramètre.
    • Sous Journaux, sélectionnez DonnéesSensitivityLogEvent.
    • Sous Détails de la destination, sélectionnez Envoyer à l’espace de travail Log Analytics, puis sélectionnez les détails de l’abonnement et de l’espace de travail utilisés pour Microsoft Sentinel.

  3. Sélectionnez Enregistrer.

Pour plus d’informations, consultez Se connecter Microsoft Sentinel à d’autres services Microsoft à l’aide de connexions basées sur les paramètres de diagnostic.

Pour exécuter une analyse Microsoft Purview et afficher des données dans Microsoft Sentinel :

  1. Dans Microsoft Purview, exécutez une analyse complète de vos ressources. Pour plus d’informations, consultez Analyser les sources de données dans Microsoft Purview.

  2. Une fois vos analyses Microsoft Purview terminées, revenez au connecteur de données Microsoft Purview dans Microsoft Sentinel et vérifiez que les données ont été reçues.

Afficher les données récentes découvertes par Microsoft Purview

La solution Microsoft Purview fournit deux modèles de règles d’analytique prêtes à l’emploi que vous pouvez activer, notamment une règle générique et une règle personnalisée.

  • La version générique, Les données sensibles découvertes au cours des dernières 24 heures, surveille la détection des classifications trouvées dans votre patrimoine de données lors d’une analyse Microsoft Purview.
  • La version personnalisée, Les données sensibles découvertes au cours des dernières 24 heures - Personnalisé, surveille et génère des alertes chaque fois que la classification spécifiée, telle que le numéro de sécurité sociale, a été détectée.

Utilisez cette procédure pour personnaliser les requêtes des règles d’analyse Microsoft Purview afin de détecter les ressources avec une classification spécifique, une étiquette de confidentialité, une région source, etc. Combinez les données générées avec d’autres données dans Microsoft Sentinel pour enrichir vos détections et alertes.

Remarque

Microsoft Sentinel règles d’analyse sont des requêtes KQL qui déclenchent des alertes quand une activité suspecte a été détectée. Personnalisez et regroupez vos règles pour créer des incidents que votre équipe SOC peut examiner.

Modifier les modèles de règles d’analyse Microsoft Purview

  1. Dans Microsoft Sentinel, ouvrez la solution Microsoft Purview, puis recherchez et sélectionnez la règle Données sensibles découvertes au cours des dernières 24 heures - Personnalisé. Dans le volet latéral, sélectionnez Créer une règle pour créer une règle basée sur le modèle.

  2. Accédez à la pageAnalyse de la configuration> et sélectionnez Règles actives. Recherchez une règle nommée Données sensibles découvertes au cours des dernières 24 heures - Personnalisé.

    Par défaut, les règles d’analyse créées par Microsoft Sentinel solutions sont définies sur désactivées. Veillez à activer la règle pour votre espace de travail avant de continuer :

    1. Sélectionnez la règle. Dans le volet latéral, sélectionnez Modifier.

    2. Dans l’Assistant Règle d’analyse, en bas de l’onglet Général , basculez l’état sur Activé.

  3. Sous l’onglet Définir la logique de règle , ajustez la requête Règle pour interroger les champs de données et les classifications pour lesquels vous souhaitez générer des alertes. Pour plus d’informations sur ce qui peut être inclus dans votre requête, consultez :

    Les requêtes mises en forme ont la syntaxe suivante : | where {data-field} contains {specified-string}.

    Par exemple :

    PurviewDataSensitivityLogs
| where Classification contains “Social Security Number”
| where SourceRegion contains “westeurope”
| where SourceType contains “Amazon”
| where TimeGenerated > ago (24h)

    Pour plus d’informations sur les éléments suivants utilisés dans l’exemple précédent, consultez la documentation Kusto :

    Pour plus d’informations sur KQL, consultez vue d’ensemble de Langage de requête Kusto (KQL).

    Autres ressources :

  4. Sous Planification des requêtes, définissez les paramètres afin que les règles affichent les données découvertes au cours des dernières 24 heures. Nous vous recommandons également de définir le regroupement d’événements pour regrouper tous les événements en une seule alerte.

    Capture d’écran de l’Assistant Règle d’analytique défini pour afficher les données détectées au cours des dernières 24 heures.

  5. Si nécessaire, personnalisez les onglets Paramètres d’incident et Réponse automatisée . Par exemple, sous l’onglet Paramètres des incidents , vérifiez que l’option Créer des incidents à partir d’alertes déclenchées par cette règle d’analyse est sélectionnée.

  6. Sous l’onglet Vérifier + créer , sélectionnez Enregistrer.

Pour plus d’informations, consultez Créer des règles d’analyse personnalisées pour détecter les menaces.

Afficher les données Microsoft Purview dans des classeurs Microsoft Sentinel

  1. Dans Microsoft Sentinel, ouvrez la solution Microsoft Purview, puis recherchez et sélectionnez le classeur Microsoft Purview. Dans le volet latéral, sélectionnez Configuration pour ajouter le classeur à votre espace de travail.

  2. Dans Microsoft Sentinel, sous Gestion des menaces, sélectionnez Classeurs>Mes classeurs, puis recherchez le classeur Microsoft Purview. Enregistrez le classeur dans votre espace de travail, puis sélectionnez Afficher le classeur enregistré. Par exemple :

    Capture d’écran du classeur Microsoft Purview.

Le classeur Microsoft Purview affiche les onglets suivants :

  • Vue d’ensemble : affiche les régions et les types de ressources où se trouvent les données.
  • Classifications : affiche les ressources qui contiennent des classifications spécifiées, comme les numéros de carte de crédit.
  • Étiquettes de confidentialité : affiche les ressources qui ont des étiquettes confidentielles et les ressources qui n’ont actuellement aucune étiquette.

Pour explorer le classeur Microsoft Purview :

  • Sélectionnez une source de données spécifique pour accéder à cette ressource dans Azure.
  • Sélectionnez un lien de chemin d’accès à la ressource pour afficher plus de détails, avec tous les champs de données partagés dans les journaux ingérés.
  • Sélectionnez une ligne dans les tables Source de données, Classification ou Étiquette de confidentialité pour filtrer les données de niveau de ressource comme configuré.

Examiner les incidents déclenchés par les événements Microsoft Purview

Lorsque vous examinez les incidents déclenchés par les règles d’analyse Microsoft Purview, recherchez des informations détaillées sur les ressources et les classifications trouvées dans les événements de l’incident.

Par exemple :

Capture d’écran d’un incident déclenché par des événements Purview.

Contenu connexe

Pour plus d’informations, reportez-vous aux rubriques suivantes :

  • Last updated on