Verwenden der Kommunikationscompliance mit SIEM-Lösungen
Wichtig
Microsoft Purview-Kommunikationscompliance stellt tools bereit, die Organisationen dabei unterstützen, die Einhaltung gesetzlicher Bestimmungen (z. B. SEC oder FINRA) und Verstöße gegen Geschäftsverhalten wie vertrauliche oder vertrauliche Informationen, belästigende oder bedrohliche Sprache und das Teilen von nicht jugendfreien Inhalten zu erkennen. Kommunikationscompliance ist designbedingt mit Datenschutz aufgebaut. Benutzernamen werden standardmäßig pseudonymisiert, rollenbasierte Zugriffssteuerungen sind integriert, Ermittler werden von einem Administrator ausgewählt, und Überwachungsprotokolle sind vorhanden, um den Datenschutz auf Benutzerebene zu gewährleisten.
Microsoft Purview-Kommunikationscompliance ist eine Insider-Risikolösung, die Ihnen hilft, Kommunikationsrisiken zu minimieren, indem Sie potenziell unangemessene Nachrichten in Ihrem organization erkennen, erfassen und darauf reagieren können. SIEM-Lösungen (Security Information and Event Management) wie Microsoft Sentinel oder Splunk werden häufig verwendet, um Bedrohungen innerhalb eines organization zu aggregieren und nachzuverfolgen.
Organisationen müssen häufig Warnungen zur Kommunikationscompliance und ihre SIEM-Lösungen integrieren. Mit dieser Integration können Organisationen Warnungen zur Kommunikationscompliance in ihrer SIEM-Lösung anzeigen und dann Warnungen innerhalb des Kommunikationscomplianceworkflows und der Benutzeroberfläche korrigieren.
Beispielsweise sendet ein Mitarbeiter eine anstößige Nachricht an einen anderen Mitarbeiter, und diese Nachricht wird von einer Kommunikationscompliancerichtlinie für potenziell unangemessene Inhalte erkannt. Solche Ereignisse werden von der Kommunikationscompliancelösung in Microsoft 365 Audit (auch als "einheitliches Überwachungsprotokoll" bezeichnet) protokolliert und dann in die SIEM-Lösung importiert. Warnungen, die in der SIEM-Lösung ausgelöst werden und in der Microsoft 365-Überwachung enthalten sind, werden dann mit Warnungen zur Kommunikationskonformität verknüpft. Die Ermittler werden über diese Warnungen in ihrer SIEM-Lösung benachrichtigt und können dann die entsprechenden Warnungen im kommunikationskonformen Dashboard untersuchen und korrigieren.
Tipp
Beginnen Sie mit Microsoft Security Copilot, um neue Wege zu erkunden, um mithilfe der Leistungsfähigkeit von KI intelligenter und schneller zu arbeiten. Erfahren Sie mehr über Microsoft Security Copilot in Microsoft Purview.
Kommunikationscompliancewarnungen in Microsoft 365 Audit
Alle Übereinstimmungen der Kommunikationskonformitätsrichtlinien werden in Microsoft 365 Audit erfasst. Die folgenden Beispiele zeigen die Verfügbaren Details für ausgewählte Übereinstimmungsaktivitäten für die Kommunikationskonformitätsrichtlinie:
Beispiel für einen Überwachungsprotokolleintrag für eine Richtlinienvorlage für unangemessene Inhalte:
RunspaceId: 5c7bc9b0-7672-4091-a112-0635bd5f7732
RecordType: ComplianceSupervisionExchange
CreationDate: 7/7/2022 5:30:11 AM
UserIds: user1@contoso.onmicrosoft.com
Operations: SupervisionRuleMatch
AuditData: {"CreationTime":"2022-07-07T05:30:11","Id":"44e98a7e-57fd-4f89-79b8-08d941084a35","Operation":"SupervisionRuleMatch","OrganizationId":"338397e6\-697e-4dbe-a66b-2ea3497ef15c","RecordType":68,"ResultStatus":"{\\"ItemClass\\":\\"IPM.Note\\",\\"CcsiResults\\":\\"\\"}","UserKey":"SupervisionStoreDeliveryAgent","UserType":0,"Version":1,"Workload":"Exchange","ObjectId":"\<HE1P190MB04600526C0524C75E5750C5AC61A9@HE1P190MB0460.EURP190.PROD.OUTLOOK.COM\>","UserId":"user1@contoso.onmicrosoft.com","IsPolicyHit":true,"SRPolicyMatchDetails":{"SRPolicyId":"53be0bf4-75ee-4315-b65d-17d63bdd53ae","SRPolicyName":"Adult images","SRRuleMatchDetails":\[\]}}
ResultIndex: 24
ResultCount: 48
Identity: 44e98a7e-57fd-4f89-79b8-08d941084a35
IsValid: True
ObjectState: Unchanged
Beispiel für einen Microsoft 365-Überwachungsprotokolleintrag für eine Richtlinie mit benutzerdefinierter Schlüsselwort (keyword) Übereinstimmung (benutzerdefinierter Typ vertraulicher Informationen):
RunspaceId: 5c7bc9b0-7672-4091-a112-0635bd5f7732
RecordType: ComplianceSupervisionExchange
CreationDate: 7/6/2022 9:50:12 PM
UserIds: user2@contoso.onmicrosoft.com
Operations: SupervisionRuleMatch
AuditData: {"CreationTime":"2022-07-06T21:50:12","Id":"5c61aae5-26fc-4c8e-0791-08d940c8086f","Operation":"SupervisionRuleMatch","OrganizationId":"338397e6\-697e-4dbe-a66b-2ea3497ef15c","RecordType":68,"ResultStatus":"{\\"ItemClass\\":\\"IPM.Note\\",\\"CcsiResults\\":\\"public\\"}","UserKey":"SupervisionStoreDeliveryAgent","UserType":0,"Version":1,"Workload":"Exchange","ObjectId":"\<20210706174831.24375086.807067@sailthru.com\>","UserId":"user2@contoso.onmicrosoft.com","IsPolicyHit":true,"SRPolicyMatchDetails":{"SRPolicyId":"a97cf128-c0fc-42a1-88e3-fd3b88af9941","SRPolicyName":"Insiders","SRRuleMatchDetails":\[{"SRCategoryName":"New insiders lexicon"}\]}}
ResultIndex: 46
ResultCount: 48
Identity: 5c61aae5-26fc-4c8e-0791-08d940c8086f
IsValid: True
ObjectState: Unchanged
Hinweis
Derzeit kann es bis zu einer Verzögerung von bis zu 24 Stunden zwischen dem Zeitpunkt, zu dem eine Richtlinieneinstimmung in Microsoft 365 Audit aufgezeichnet wird, und der Zeit, in der Sie Richtlinienkonformität untersuchen können, auftreten.
Konfigurieren von Kommunikationscompliance und Microsoft Sentinel Integration
Wenn Sie die Microsoft Sentinel verwenden, um Übereinstimmungen der Kommunikationskonformitätsrichtlinie zu aggregieren, verwendet Microsoft Sentinel Microsoft 365 Audit als Datenquelle. Führen Sie die folgenden Schritte aus, um Kommunikationscompliancewarnungen in Microsoft Sentinel zu integrieren:
Onboarding in Microsoft Sentinel. Im Rahmen des Onboardingprozesses konfigurieren Sie Ihre Datenquellen.
Konfigurieren Sie den Microsoft Sentinel Microsoft Office 365 Datenconnector, und wählen Sie unter Connectorkonfiguration die Option Exchange aus.
Konfigurieren Sie die Suchabfrage zum Abrufen von Kommunikationscompliancewarnungen. Zum Beispiel:
| OfficeActivity | where OfficeWorkload == "Exchange" and Operation == "SupervisionRuleMatch" | sortieren nach TimeGenerated
Um nach einem bestimmten Benutzer zu filtern, verwenden Sie das folgende Abfrageformat:
| OfficeActivity | where OfficeWorkload == "Exchange" and Operation == "SupervisionRuleMatch" and UserId == "User1@Contoso.com" | sort by TimeGenerated
Weitere Informationen zu den Microsoft 365-Überwachungsprotokollen für Office 365, die von Microsoft Sentinel gesammelt werden, finden Sie unter Referenz zu Azure Monitor-Protokollen.
Konfigurieren von Kommunikationscompliance und Splunk-Integration
Führen Sie die folgenden Schritte aus, um Kommunikationscompliancewarnungen in Splunk zu integrieren:
Installieren des Splunk-Add-Ons für Microsoft Office 365
Konfigurieren einer Integrationsanwendung in Microsoft Entra ID für das Splunk-Add-On für Microsoft Office 365
Konfigurieren Sie Suchabfragen in Ihrer Splunk-Lösung. Verwenden Sie das folgende Suchbeispiel, um alle Kommunikationscompliance-Warnungen zu identifizieren:
index=* sourcetype="o365:management:activity" Workload=Exchange Operation=SupervisionRuleMatch
Um Ergebnisse für eine bestimmte Kommunikationskonformitätsrichtlinie zu filtern, können Sie den SrPolicyMatchDetails.SRPolicyName-Parameter verwenden.
Das folgende Suchbeispiel würde z. B. Warnungen für Übereinstimmungen mit einer Kommunikationskonformitätsrichtlinie mit dem Namen Unangemessene Inhalte zurückgeben:
index=* sourcetype='o365:management:activity' Workload=Exchange Operation=SupervisionRuleMatch SRPolicyMatchDetails.SRPolicyName=<Unangemessene Inhalte>
Die folgende Tabelle enthält Beispielsuchergebnisse für verschiedene Richtlinientypen:
| Richtlinientypen | Beispielsuchergebnisse |
|---|---|
| Richtlinienerkennung eines benutzerdefinierten vertraulichen Informationstyps Schlüsselwort (keyword) Liste | { CreationTime: 2022-09-17T16:29:57 ID: 4b9ce23d-ee60-4f66-f38d-08d979f8631f IsPolicyHit: true ObjectId: CY1PR05MB27158B96AF7F3AFE62E1F762CFDD9@CY1PR05MB2715.namprd05.prod.outlook.com Vorgang: SupervisionRuleMatch OrganizationId: d6a06676-95e8-4632-b949-44bc00f0793f RecordType: 68 ResultStatus: {"ItemClass":"IPM. Hinweis","CcsiResults":"leak"} SRPolicyMatchDetails: { [+] } UserId: user1@contoso.OnMicrosoft.com UserKey: SupervisionStoreDeliveryAgent UserType: 0 Version: 1 Workload: Exchange } |
| Richtlinie zur Erkennung potenziell unangemessener Sprache | { CreationTime: 2022-09-17T23:44:35 ID: e0ef6f54-9a52-4e4c-9584-08d97a351ad0 IsPolicyHit: true ObjectId: BN6PR05MB3571AD9FBB85C4E12C1F66B4CCDD9@BN6PR05MB3571.namprd05.prod.outlook.com Vorgang: SupervisionRuleMatch OrganizationId: d6a06676-95e8-4632-b949-44bc00f0793f RecordType: 68 ResultStatus: {"ItemClass":"IPM. Yammer.Message","CcsiResults":""} SRPolicyMatchDetails: { [+] } UserId: user1@contoso.com UserKey: SupervisionStoreDeliveryAgent UserType: 0 Version: 1 } |
Konfigurieren der Kommunikationskonformität mit anderen SIEM-Lösungen
Zum Abrufen von Übereinstimmungen der Kommunikationscompliancerichtlinien aus Microsoft 365 Audit können Sie entweder PowerShell oder die Office 365 Management-API verwenden.
Wenn Sie PowerShell verwenden, können Sie einen dieser Parameter mit dem Cmdlet Search-UnifiedAuditLog verwenden, um Überwachungsprotokollereignisse nach Kommunikationscomplianceaktivitäten zu filtern.
| Überwachungsprotokollparameter | Wert des Kommunikationskonformitätsparameters |
|---|---|
| Vorgänge | SupervisionRuleMatch |
| RecordType | ComplianceSupervisionExchange |
Im Folgenden finden Sie beispielsweise eine Beispielsuche mit dem Operations-Parameter und dem SupervisionRuleMatch-Wert :
Search-UnifiedAuditLog -StartDate $startDate -EndDate $endDate -Operations SupervisionRuleMatch | ft CreationDate,UserIds,AuditData
Im Folgenden finden Sie eine Beispielsuche mit dem RecordsType-Parameter und dem Wert ComplianceSupervisionExchange :
Search-UnifiedAuditLog -StartDate $startDate -EndDate $endDate -RecordType ComplianceSuperVisionExchange | ft CreationDate,UserIds,AuditData