Microsoft Sentinel en Microsoft Purview integreren

Microsoft Purview biedt organisaties inzicht in de locatie waar gevoelige informatie is opgeslagen en helpt zo risicogegevens te prioriteren voor beveiliging. Integreer Microsoft Purview met Microsoft Sentinel om het grote aantal incidenten en bedreigingen in Microsoft Sentinel te beperken en inzicht te hebben in de meest kritieke gebieden om te beginnen.

Begin met het opnemen van uw Microsoft Purview-logboeken bij Microsoft Sentinel via een gegevensconnector. Gebruik vervolgens een Microsoft Sentinel werkmap om gegevens weer te geven, zoals gescande assets, gevonden classificaties en labels die zijn toegepast door Microsoft Purview. Gebruik analyseregels om waarschuwingen te maken voor wijzigingen binnen gegevensgevoeligheid.

Pas de Microsoft Purview-werkmap en analyseregels aan de behoeften van uw organisatie aan en combineer Microsoft Purview-logboeken met gegevens die zijn opgenomen uit andere bronnen om verrijkte inzichten te creëren binnen Microsoft Sentinel.

Vereisten

Voordat u begint, moet u ervoor zorgen dat u zowel een Microsoft Sentinel-werkruimte als Microsoft Purview-onboarding hebt en dat uw gebruiker de volgende rollen heeft:

  • De rol Eigenaar of Inzender van het Microsoft Purview-account om diagnostische instellingen in te stellen en de gegevensconnector te configureren.

  • Een Microsoft Sentinel rol Inzender, met schrijfmachtigingen om de gegevensconnector in te schakelen, de werkmap weer te geven en analytische regels te maken.

  • De Microsoft Purview-oplossing die in uw Log Analytics-werkruimte is geïnstalleerd, is ingeschakeld voor Microsoft Sentinel.

    De Microsoft Purview-oplossing is een set gebundelde inhoud, waaronder een gegevensconnector, werkmap en analyseregels die specifiek zijn geconfigureerd voor Microsoft Purview-gegevens. Zie Over Microsoft Sentinel inhoud en oplossingen en Ontdek en beheer Microsoft Sentinel out-of-the-box inhoud voor meer informatie.

    Instructies voor het inschakelen van uw gegevensconnector zijn ook beschikbaar in Microsoft Sentinel op de pagina Microsoft Purview-gegevensconnector.

Microsoft Purview-gegevens opnemen in Microsoft Sentinel

Configureer diagnostische instellingen om microsoft Purview-logboeken voor gegevensgevoeligheid naar Microsoft Sentinel te laten stromen en voer vervolgens een Microsoft Purview-scan uit om te beginnen met het opnemen van uw gegevens.

Diagnostische instellingen verzenden alleen logboeken nadat een volledige scan is uitgevoerd of wanneer een wijziging wordt gedetecteerd tijdens een incrementele scan. Het duurt meestal ongeveer 10-15 minuten voordat de logboeken worden weergegeven in Microsoft Sentinel.

Ga als volgt te werk om gegevensgevoeligheidslogboeken naar Microsoft Sentinel te laten stromen:

  1. Navigeer naar uw Microsoft Purview-account in de Azure Portal en selecteer Diagnostische instellingen.

    Schermopname van de pagina diagnostische instellingen van een Microsoft Purview-account.

  2. Selecteer + Diagnostische instelling toevoegen en configureer de nieuwe instelling om logboeken van Microsoft Purview te verzenden naar Microsoft Sentinel:

    • Voer een betekenisvolle naam in voor uw instelling.
    • Selecteer onder Logboekende optie DataSensitivityLogEvent.
    • Selecteer onder Doeldetailsde optie Verzenden naar Log Analytics-werkruimte en selecteer de abonnements- en werkruimtegegevens die worden gebruikt voor Microsoft Sentinel.

  3. Klik op Opslaan.

Zie Verbinding maken Microsoft Sentinel met andere Microsoft-services via verbindingen op basis van diagnostische instellingen voor meer informatie.

Een Microsoft Purview-scan uitvoeren en gegevens weergeven in Microsoft Sentinel:

  1. Voer in Microsoft Purview een volledige scan van uw resources uit. Zie Gegevensbronnen scannen in Microsoft Purview voor meer informatie.

  2. Nadat uw Microsoft Purview-scans zijn voltooid, gaat u terug naar de Microsoft Purview-gegevensconnector in Microsoft Sentinel en controleert u of de gegevens zijn ontvangen.

Recente gegevens weergeven die zijn gedetecteerd door Microsoft Purview

De Microsoft Purview-oplossing biedt twee standaardsjablonen voor analyseregels die u kunt inschakelen, waaronder een algemene regel en een aangepaste regel.

  • De algemene versie , Gevoelige gegevens gedetecteerd in de afgelopen 24 uur, controleert op de detectie van eventuele classificaties die zijn gevonden in uw gegevensdomein tijdens een Microsoft Purview-scan.
  • De aangepaste versie , Gevoelige gegevens gedetecteerd in de afgelopen 24 uur - Aangepast, bewaakt en genereert waarschuwingen telkens wanneer de opgegeven classificatie, zoals burgerservicenummer, is gedetecteerd.

Gebruik deze procedure om de query's van de Microsoft Purview-analyseregels aan te passen om assets met specifieke classificatie, gevoeligheidslabel, bronregio en meer te detecteren. Combineer de gegenereerde gegevens met andere gegevens in Microsoft Sentinel om uw detecties en waarschuwingen te verrijken.

Opmerking

Microsoft Sentinel analyseregels zijn KQL-query's die waarschuwingen activeren wanneer verdachte activiteit is gedetecteerd. Pas uw regels aan en groepeer deze om incidenten te maken die uw SOC-team kan onderzoeken.

De microsoft Purview Analytics-regelsjablonen wijzigen

  1. Open in Microsoft Sentinel de Microsoft Purview-oplossing en zoek en selecteer vervolgens de regel Gevoelige gegevens gedetecteerd in de afgelopen 24 uur - Aangepast. Selecteer in het zijdeelvenster Regel maken om een nieuwe regel te maken op basis van de sjabloon.

  2. Ga naar de pagina Configuration>Analytics en selecteer Actieve regels. Zoek naar een regel met de naam Gevoelige gegevens gedetecteerd in de afgelopen 24 uur - Aangepast.

    Analyseregels die door Microsoft Sentinel oplossingen zijn gemaakt, zijn standaard ingesteld op uitgeschakeld. Zorg ervoor dat u de regel voor uw werkruimte inschakelt voordat u doorgaat:

    1. Selecteer de regel. Selecteer Bewerken in het zijvenster.

    2. Zet in de wizard Analyseregel onderaan het tabblad Algemeen de optie Status op Ingeschakeld.

  3. Pas op het tabblad Regellogica instellen de regelquery aan voor de gegevensvelden en classificaties waarvoor u waarschuwingen wilt genereren. Zie voor meer informatie over wat er in uw query kan worden opgenomen:

    Opgemaakte query's hebben de volgende syntaxis: | where {data-field} contains {specified-string}.

    Bijvoorbeeld:

    PurviewDataSensitivityLogs
| where Classification contains “Social Security Number”
| where SourceRegion contains “westeurope”
| where SourceType contains “Amazon”
| where TimeGenerated > ago (24h)

    Zie de Kusto-documentatie voor meer informatie over de volgende items die in het vorige voorbeeld worden gebruikt:

    Zie overzicht van Kusto-querytaal (KQL) voor meer informatie over KQL.

    Andere resources:

  4. Definieer onder Queryplanning instellingen zodat in de regels gegevens worden weergegeven die in de afgelopen 24 uur zijn gedetecteerd. We raden u ook aan om gebeurtenisgroepering in te stellen om alle gebeurtenissen in één waarschuwing te groeperen.

    Schermopname van de wizard Analyseregel die is gedefinieerd om gegevens weer te geven die in de afgelopen 24 uur zijn gedetecteerd.

  5. Pas indien nodig de instellingen voor incidenten en de tabbladen Automatische reactie aan . Controleer bijvoorbeeld op het tabblad Incidenteninstellingen of Incidenten maken op basis van waarschuwingen die door deze analyseregel worden geactiveerd , is geselecteerd.

  6. Selecteer opslaan op het tabblad Controleren en maken.

Zie Aangepaste analyseregels maken om bedreigingen te detecteren voor meer informatie.

Microsoft Purview-gegevens weergeven in Microsoft Sentinel werkmappen

  1. Open in Microsoft Sentinel de Microsoft Purview-oplossing en zoek en selecteer de Microsoft Purview-werkmap. Selecteer in het zijdeelvenster Configuratie om de werkmap toe te voegen aan uw werkruimte.

  2. Selecteer in Microsoft Sentinel onder Bedreigingsbeheer de optie Werkmappen>Mijn werkmappen en zoek de Microsoft Purview-werkmap. Sla de werkmap op in uw werkruimte en selecteer vervolgens Opgeslagen werkmap weergeven. Bijvoorbeeld:

    Schermopname van de Microsoft Purview-werkmap.

In de Microsoft Purview-werkmap worden de volgende tabbladen weergegeven:

  • Overzicht: geeft de regio's en resourcetypen weer waar de gegevens zich bevinden.
  • Classificaties: geeft assets weer die opgegeven classificaties bevatten, zoals Creditcardnummers.
  • Vertrouwelijkheidslabels: geeft de assets weer met vertrouwelijke labels en de assets die momenteel geen labels hebben.

Inzoomen op de Microsoft Purview-werkmap:

  • Selecteer een specifieke gegevensbron om naar die resource in Azure te gaan.
  • Selecteer een koppeling naar een assetpad om meer details weer te geven, waarbij alle gegevensvelden worden gedeeld in de opgenomen logboeken.
  • Selecteer een rij in de tabellen Gegevensbron, Classificatie of Vertrouwelijkheidslabel om de gegevens op assetniveau te filteren zoals geconfigureerd.

Incidenten onderzoeken die worden geactiveerd door Microsoft Purview-gebeurtenissen

Wanneer u incidenten onderzoekt die worden geactiveerd door de Microsoft Purview-analyseregels, vindt u gedetailleerde informatie over de assets en classificaties die zijn gevonden in de gebeurtenissen van het incident.

Bijvoorbeeld:

Schermopname van een incident dat wordt geactiveerd door Purview-gebeurtenissen.

Verwante onderwerpen

Zie voor meer informatie:

  • Last updated on