Usar el cumplimiento de comunicaciones con soluciones de SIEM
Importante
Cumplimiento de comunicaciones de Microsoft Purview proporciona las herramientas para ayudar a las organizaciones a detectar el cumplimiento normativo (por ejemplo, SEC o FINRA) y las infracciones de conducta empresarial, como información confidencial o confidencial, hostigamiento o amenazante del lenguaje y uso compartido de contenido para adultos. Creados con privacidad por diseño, los nombres de usuario se seudonimizan de forma predeterminada, los controles de acceso basados en roles están integrados, los investigadores son admitidos por un administrador y los registros de auditoría están en su lugar para ayudar a garantizar la privacidad del nivel de usuario.
El cumplimiento de Microsoft Purview Communication es una solución de riesgo interno que ayuda a minimizar los riesgos de comunicación al ayudarle a detectar, capturar y actuar sobre mensajes potencialmente inadecuados en su organización. Las soluciones de administración de eventos e información de seguridad (SIEM), como Microsoft Sentinel o Splunk, se usan normalmente para agregar y realizar un seguimiento de las amenazas dentro de una organización.
Una necesidad común de las organizaciones es integrar las alertas de cumplimiento de comunicaciones y sus soluciones SIEM. Con esta integración, las organizaciones pueden ver las alertas de cumplimiento de comunicaciones en su solución SIEM y, a continuación, corregir las alertas dentro del flujo de trabajo de cumplimiento de comunicaciones y la experiencia del usuario.
Por ejemplo, un empleado envía un mensaje ofensivo a otro empleado y ese mensaje lo detecta una directiva de cumplimiento de comunicaciones para contenido potencialmente inadecuado. Eventos como este se registran en Microsoft 365 Audit (también conocido como "registro de auditoría unificado") por la solución de cumplimiento de comunicaciones y, a continuación, se importan en la solución SIEM. Las alertas desencadenadas en la solución SIEM que se incluyen en la auditoría de Microsoft 365 se asocian a las alertas de cumplimiento de comunicaciones. A los investigadores se les notifican estas alertas en su solución SIEM y, a continuación, pueden investigar y corregir las alertas correspondientes en el panel de cumplimiento de comunicaciones.
Sugerencia
Empiece a trabajar con Microsoft Security Copilot para explorar nuevas formas de trabajar de forma más inteligente y rápida con el poder de la inteligencia artificial. Obtenga más información sobre Microsoft Security Copilot en Microsoft Purview.
Alertas de cumplimiento de comunicaciones en la auditoría de Microsoft 365
Todas las coincidencias de directivas de cumplimiento de comunicaciones se capturan en Auditoría de Microsoft 365. En los ejemplos siguientes se muestran los detalles disponibles para las actividades de coincidencia de directivas de cumplimiento de comunicaciones seleccionadas:
Ejemplo de entrada de registro de auditoría para una coincidencia de plantilla de directiva de contenido inadecuado:
RunspaceId: 5c7bc9b0-7672-4091-a112-0635bd5f7732
RecordType: ComplianceSupervisionExchange
CreationDate: 7/7/2022 5:30:11 AM
UserIds: user1@contoso.onmicrosoft.com
Operations: SupervisionRuleMatch
AuditData: {"CreationTime":"2022-07-07T05:30:11","Id":"44e98a7e-57fd-4f89-79b8-08d941084a35","Operation":"SupervisionRuleMatch","OrganizationId":"338397e6\-697e-4dbe-a66b-2ea3497ef15c","RecordType":68,"ResultStatus":"{\\"ItemClass\\":\\"IPM.Note\\",\\"CcsiResults\\":\\"\\"}","UserKey":"SupervisionStoreDeliveryAgent","UserType":0,"Version":1,"Workload":"Exchange","ObjectId":"\<HE1P190MB04600526C0524C75E5750C5AC61A9@HE1P190MB0460.EURP190.PROD.OUTLOOK.COM\>","UserId":"user1@contoso.onmicrosoft.com","IsPolicyHit":true,"SRPolicyMatchDetails":{"SRPolicyId":"53be0bf4-75ee-4315-b65d-17d63bdd53ae","SRPolicyName":"Adult images","SRRuleMatchDetails":\[\]}}
ResultIndex: 24
ResultCount: 48
Identity: 44e98a7e-57fd-4f89-79b8-08d941084a35
IsValid: True
ObjectState: Unchanged
Ejemplo de una entrada de registro de auditoría de Microsoft 365 para una directiva con coincidencia de palabra clave personalizada (tipo de información confidencial personalizada):
RunspaceId: 5c7bc9b0-7672-4091-a112-0635bd5f7732
RecordType: ComplianceSupervisionExchange
CreationDate: 7/6/2022 9:50:12 PM
UserIds: user2@contoso.onmicrosoft.com
Operations: SupervisionRuleMatch
AuditData: {"CreationTime":"2022-07-06T21:50:12","Id":"5c61aae5-26fc-4c8e-0791-08d940c8086f","Operation":"SupervisionRuleMatch","OrganizationId":"338397e6\-697e-4dbe-a66b-2ea3497ef15c","RecordType":68,"ResultStatus":"{\\"ItemClass\\":\\"IPM.Note\\",\\"CcsiResults\\":\\"public\\"}","UserKey":"SupervisionStoreDeliveryAgent","UserType":0,"Version":1,"Workload":"Exchange","ObjectId":"\<20210706174831.24375086.807067@sailthru.com\>","UserId":"user2@contoso.onmicrosoft.com","IsPolicyHit":true,"SRPolicyMatchDetails":{"SRPolicyId":"a97cf128-c0fc-42a1-88e3-fd3b88af9941","SRPolicyName":"Insiders","SRRuleMatchDetails":\[{"SRCategoryName":"New insiders lexicon"}\]}}
ResultIndex: 46
ResultCount: 48
Identity: 5c61aae5-26fc-4c8e-0791-08d940c8086f
IsValid: True
ObjectState: Unchanged
Nota:
Actualmente, puede haber un retraso de hasta 24 horas entre el momento en que se registra una coincidencia de directiva en la auditoría de Microsoft 365 y la hora en la que puede investigar las coincidencias de directivas en el cumplimiento de la comunicación.
Configuración del cumplimiento de las comunicaciones y la integración Microsoft Sentinel
Cuando usa la Microsoft Sentinel para agregar coincidencias de directivas de cumplimiento de comunicaciones, Sentinel usa Microsoft 365 Audit como origen de datos. Para integrar alertas de cumplimiento de comunicaciones con Sentinel, siga estos pasos:
Incorporación a Microsoft Sentinel. Como parte del proceso de incorporación, configurará los orígenes de datos.
Configure el conector de datos Microsoft Sentinel Microsoft Office 365 y, en Configuración del conector, seleccione Exchange.
Configure la consulta de búsqueda para recuperar las alertas de cumplimiento de comunicaciones. Por ejemplo:
| OfficeActivity | where OfficeWorkload == "Exchange" y Operation == "SupervisionRuleMatch" | ordenar por TimeGenerated
Para filtrar por un usuario específico, usaría el siguiente formato de consulta:
| OfficeActivity | where OfficeWorkload == "Exchange" y Operation == "SupervisionRuleMatch" y UserId == "User1@Contoso.com" | ordenar por TimeGenerated
Para obtener más información sobre los registros de auditoría de Microsoft 365 para Office 365 recopilados por Microsoft Sentinel, consulte Referencia de registros de Azure Monitor.
Configuración del cumplimiento de comunicaciones y la integración de Splunk
Para integrar alertas de cumplimiento de comunicaciones con Splunk, siga estos pasos:
Instale el complemento Splunk para Microsoft Office 365
Configuración de una aplicación de integración en Microsoft Entra ID para el complemento Splunk para Microsoft Office 365
Configure las consultas de búsqueda en la solución Splunk. Use el ejemplo de búsqueda siguiente para identificar todas las alertas de cumplimiento de comunicaciones:
index=* sourcetype="o365:management:activity" Workload=Exchange Operation=SupervisionRuleMatch
Para filtrar los resultados de una directiva de cumplimiento de comunicaciones específica, puede usar el parámetro SRPolicyMatchDetails.SRPolicyName .
Por ejemplo, el siguiente ejemplo de búsqueda devolvería alertas de coincidencias a una directiva de cumplimiento de comunicaciones denominada Contenido inadecuado:
index=* sourcetype='o365:management:activity' Workload=Exchange Operation=SupervisionRuleMatch SRPolicyMatchDetails.SRPolicyName=<Contenido inadecuado>
En la tabla siguiente se muestran resultados de búsqueda de ejemplo para diferentes tipos de directiva:
| Tipos de directivas | Resultados de búsqueda de ejemplo |
|---|---|
| Directiva que detecta una lista personalizada de palabras clave de tipo de información confidencial | { CreationTime: 2022-09-17T16:29:57 Identificador: 4b9ce23d-ee60-4f66-f38d-08d979f8631f IsPolicyHit: true ObjectId: CY1PR05MB27158B96AF7F3AFE62E1F762CFDD9@CY1PR05MB2715.namprd05.prod.outlook.com Operación: SupervisiónRuleMatch OrganizationId: d6a06676-95e8-4632-b949-44bc00f0793f RecordType: 68 ResultStatus: {"ItemClass":"IPM. Nota","CcsiResults":"leak"} SRPolicyMatchDetails: { [+] } UserId: user1@contoso.OnMicrosoft.com UserKey: SupervisionStoreDeliveryAgent UserType: 0 Versión: 1 Carga de trabajo: Exchange } |
| Directiva que detecta lenguaje potencialmente inadecuado | { CreationTime: 2022-09-17T23:44:35 Identificador: e0ef6f54-9a52-4e4c-9584-08d97a351ad0 IsPolicyHit: true ObjectId: BN6PR05MB3571AD9FBB85C4E12C1F66B4CCDD9@BN6PR05MB3571.namprd05.prod.outlook.com Operación: SupervisiónRuleMatch OrganizationId: d6a06676-95e8-4632-b949-44bc00f0793f RecordType: 68 ResultStatus: {"ItemClass":"IPM. Yammer.Message","CcsiResults":""} SRPolicyMatchDetails: { [+] } UserId: user1@contoso.com UserKey: SupervisionStoreDeliveryAgent UserType: 0 Versión: 1 } |
Configuración del cumplimiento de las comunicaciones con otras soluciones SIEM
Para recuperar las coincidencias de directivas de cumplimiento de comunicaciones de Microsoft 365 Audit, puede usar PowerShell o la API de administración de Office 365.
Al usar PowerShell, puede usar cualquiera de estos parámetros con el cmdlet Search-UnifiedAuditLog para filtrar los eventos de registro de auditoría para las actividades de cumplimiento de comunicaciones.
| Parámetro de registro de auditoría | Valor del parámetro de cumplimiento de comunicaciones |
|---|---|
| Operaciones | SupervisionRuleMatch |
| RecordType | ComplianceSupervisionExchange |
Por ejemplo, a continuación se muestra una búsqueda de ejemplo con el parámetro Operations y el valor SupervisionRuleMatch :
Search-UnifiedAuditLog -StartDate $startDate -EndDate $endDate -Operations SupervisionRuleMatch | ft CreationDate,UserIds,AuditData
A continuación se muestra una búsqueda de ejemplo con el parámetro RecordsType y el valor ComplianceSupervisionExchange :
Search-UnifiedAuditLog -StartDate $startDate -EndDate $endDate -RecordType ComplianceSuperVisionExchange | ft CreationDate,UserIds,AuditData