Usar a conformidade de comunicação com soluções SIEM
Importante
Conformidade de Comunicações do Microsoft Purview fornece as ferramentas para ajudar as organizações a detetar conformidade regulamentar (por exemplo, SEC ou FINRA) e violações de conduta empresarial, tais como informações confidenciais, assédio ou ameaça de linguagem e partilha de conteúdo para adultos. Desenvolvida com a privacidade em mente, os nomes de usuário são pseudonimizados por padrão, os controles de acesso baseados em função são internos, os investigadores são aceitos por um administrador e os logs de auditoria estão em vigor para ajudar a garantir a privacidade no nível do usuário.
A conformidade com a Comunicação do Microsoft Purview é uma solução de risco interno que ajuda a minimizar os riscos de comunicação ao ajudá-lo a detetar, capturar e agir sobre mensagens potencialmente inadequadas na sua organização. As soluções de gestão de informações e eventos de segurança (SIEM), como Microsoft Sentinel ou Splunk, são frequentemente utilizadas para agregar e controlar ameaças numa organização.
Uma necessidade comum para as organizações é integrar alertas de conformidade de comunicação e as respetivas soluções SIEM. Com esta integração, as organizações podem ver alertas de conformidade de comunicação na solução SIEM e, em seguida, remediar alertas no fluxo de trabalho de conformidade de comunicação e na experiência do utilizador.
Por exemplo, um funcionário envia uma mensagem ofensiva a outro funcionário e essa mensagem é detetada por uma política de conformidade de comunicação para conteúdo potencialmente inadequado. Eventos como este são registados na Auditoria do Microsoft 365 (também conhecido como "registo de auditoria unificado") pela solução de conformidade de comunicação e, em seguida, são importados para a solução SIEM. Os alertas acionados na solução SIEM que estão incluídos na Auditoria do Microsoft 365 são associados a alertas de conformidade de comunicação. Os investigadores são notificados destes alertas na sua solução SIEM e, em seguida, podem investigar e remediar os alertas correspondentes na dashboard de conformidade de comunicação.
Dica
Comece a utilizar Microsoft Security Copilot para explorar novas formas de trabalhar de forma mais inteligente e rápida com o poder da IA. Saiba mais sobre Microsoft Security Copilot no Microsoft Purview.
Alertas de conformidade de comunicação na Auditoria do Microsoft 365
Todas as correspondências de políticas de conformidade de comunicação são capturadas na Auditoria do Microsoft 365. Os exemplos seguintes mostram os detalhes disponíveis para atividades de correspondência de políticas de conformidade de comunicação selecionadas:
Exemplo de entrada de registo de auditoria para uma correspondência de modelo de política conteúdo inapropriado:
RunspaceId: 5c7bc9b0-7672-4091-a112-0635bd5f7732
RecordType: ComplianceSupervisionExchange
CreationDate: 7/7/2022 5:30:11 AM
UserIds: user1@contoso.onmicrosoft.com
Operations: SupervisionRuleMatch
AuditData: {"CreationTime":"2022-07-07T05:30:11","Id":"44e98a7e-57fd-4f89-79b8-08d941084a35","Operation":"SupervisionRuleMatch","OrganizationId":"338397e6\-697e-4dbe-a66b-2ea3497ef15c","RecordType":68,"ResultStatus":"{\\"ItemClass\\":\\"IPM.Note\\",\\"CcsiResults\\":\\"\\"}","UserKey":"SupervisionStoreDeliveryAgent","UserType":0,"Version":1,"Workload":"Exchange","ObjectId":"\<HE1P190MB04600526C0524C75E5750C5AC61A9@HE1P190MB0460.EURP190.PROD.OUTLOOK.COM\>","UserId":"user1@contoso.onmicrosoft.com","IsPolicyHit":true,"SRPolicyMatchDetails":{"SRPolicyId":"53be0bf4-75ee-4315-b65d-17d63bdd53ae","SRPolicyName":"Adult images","SRRuleMatchDetails":\[\]}}
ResultIndex: 24
ResultCount: 48
Identity: 44e98a7e-57fd-4f89-79b8-08d941084a35
IsValid: True
ObjectState: Unchanged
Exemplo de uma entrada de registo de auditoria do Microsoft 365 para uma política com correspondência de palavra-chave personalizada (tipo de informações confidenciais personalizadas):
RunspaceId: 5c7bc9b0-7672-4091-a112-0635bd5f7732
RecordType: ComplianceSupervisionExchange
CreationDate: 7/6/2022 9:50:12 PM
UserIds: user2@contoso.onmicrosoft.com
Operations: SupervisionRuleMatch
AuditData: {"CreationTime":"2022-07-06T21:50:12","Id":"5c61aae5-26fc-4c8e-0791-08d940c8086f","Operation":"SupervisionRuleMatch","OrganizationId":"338397e6\-697e-4dbe-a66b-2ea3497ef15c","RecordType":68,"ResultStatus":"{\\"ItemClass\\":\\"IPM.Note\\",\\"CcsiResults\\":\\"public\\"}","UserKey":"SupervisionStoreDeliveryAgent","UserType":0,"Version":1,"Workload":"Exchange","ObjectId":"\<20210706174831.24375086.807067@sailthru.com\>","UserId":"user2@contoso.onmicrosoft.com","IsPolicyHit":true,"SRPolicyMatchDetails":{"SRPolicyId":"a97cf128-c0fc-42a1-88e3-fd3b88af9941","SRPolicyName":"Insiders","SRRuleMatchDetails":\[{"SRCategoryName":"New insiders lexicon"}\]}}
ResultIndex: 46
ResultCount: 48
Identity: 5c61aae5-26fc-4c8e-0791-08d940c8086f
IsValid: True
ObjectState: Unchanged
Observação
Atualmente, pode haver um atraso de até 24 horas entre o momento em que uma correspondência de política é registada na Auditoria do Microsoft 365 e o tempo em que pode investigar correspondências de políticas em conformidade com a comunicação.
Configurar a conformidade de comunicações e a integração de Microsoft Sentinel
Quando estiver a utilizar o Microsoft Sentinel para agregar correspondências de políticas de conformidade de comunicação, Sentinel utiliza a Auditoria do Microsoft 365 como origem de dados. Para integrar alertas de conformidade de comunicação com Sentinel, conclua os seguintes passos:
Integrar no Microsoft Sentinel. Como parte do processo de integração, irá configurar as origens de dados.
Configure o Microsoft Sentinel Microsoft Office 365 conector de dados e, em configuração do conector, selecione Exchange.
Configure a consulta de pesquisa para obter alertas de conformidade de comunicação. Por exemplo:
| OfficeActivity | em que OfficeWorkload == "Exchange" e Operation == "SupervisionRuleMatch" | ordenar por TimeGenerated
Para filtrar um utilizador específico, utilizaria o seguinte formato de consulta:
| OfficeActivity | em que OfficeWorkload == "Exchange" e Operação == "SupervisãoRuleMatch" e UserId == "User1@Contoso.com" | ordenar por TimeGenerated
Para obter mais informações sobre os Registos de auditoria do Microsoft 365 para Office 365 recolhidos pelo Microsoft Sentinel, veja Referência dos Registos do Azure Monitor.
Configurar a conformidade de comunicação e a integração do Splunk
Para integrar alertas de conformidade de comunicação com o Splunk, conclua os seguintes passos:
Instalar o Suplemento Splunk para Microsoft Office 365
Configurar uma aplicação de integração no Microsoft Entra ID para o Suplemento Splunk para Microsoft Office 365
Configure consultas de pesquisa na sua solução Splunk. Utilize o seguinte exemplo de pesquisa para identificar todos os alertas de conformidade de comunicação:
index=* sourcetype="o365:management:activity" Workload=Exchange Operation=SupervisionRuleMatch
Para filtrar os resultados de uma política de conformidade de comunicação específica, pode utilizar o parâmetro SRPolicyMatchDetails.SRPolicyName .
Por exemplo, o exemplo de pesquisa seguinte devolveria alertas para correspondências com uma política de conformidade de comunicação denominada Conteúdo inadequado:
index=* sourcetype='o365:management:activity' Workload=Exchange Operation=SupervisionRuleMatch SRPolicyMatchDetails.SRPolicyName=<Conteúdo inadequado>
A tabela seguinte mostra os resultados da pesquisa de exemplo para diferentes tipos de política:
| Tipos de política | Resultados da pesquisa de exemplo |
|---|---|
| Política que deteta um tipo de informação confidencial personalizado palavra-chave lista | { CreationTime: 2022-09-17T16:29:57 ID: 4b9ce23d-ee60-4f66-f38d-08d979f8631f IsPolicyHit: true ObjectId: CY1PR05MB27158B96AF7F3AFE62E1F762CFDD9@CY1PR05MB2715.namprd05.prod.outlook.com Operação: SupervisionRuleMatch OrganizationId: d6a06676-95e8-4632-b949-44bc00f0793f RecordType: 68 ResultStatus: {"ItemClass":"IPM. Nota","CcsiResults":"leak"} SRPolicyMatchDetails: { [+] } UserId: user1@contoso.OnMicrosoft.com UserKey: SupervisionStoreDeliveryAgent UserType: 0 Versão: 1 Carga de trabalho: Exchange } |
| Política que deteta linguagem potencialmente inadequada | { CreationTime: 2022-09-17T23:44:35 ID: e0ef6f54-9a52-4e4c-9584-08d97a351ad0 IsPolicyHit: true ObjectId: BN6PR05MB3571AD9FBB85C4E12C1F66B4CCDD9@BN6PR05MB3571.namprd05.prod.outlook.com Operação: SupervisionRuleMatch OrganizationId: d6a06676-95e8-4632-b949-44bc00f0793f RecordType: 68 ResultStatus: {"ItemClass":"IPM. Yammer.Message","CcsiResults":""} SRPolicyMatchDetails: { [+] } UserId: user1@contoso.com UserKey: SupervisionStoreDeliveryAgent UserType: 0 Versão: 1 } |
Configurar a conformidade de comunicação com outras soluções SIEM
Para obter as correspondências da política de conformidade de comunicação da Auditoria do Microsoft 365, pode utilizar o PowerShell ou a API de Gestão de Office 365.
Ao utilizar o PowerShell, pode utilizar qualquer um destes parâmetros com o cmdlet Search-UnifiedAuditLog para filtrar eventos de registo de auditoria para atividades de conformidade de comunicação.
| Parâmetro de registo de auditoria | Valor do parâmetro de conformidade de comunicação |
|---|---|
| Operações | SupervisionRuleMatch |
| RecordType | ComplianceSupervisionExchange |
Por exemplo, segue-se uma pesquisa de exemplo com o parâmetro Operações e o valor SupervisionRuleMatch :
Search-UnifiedAuditLog -StartDate $startDate -EndDate $endDate -Operations SupervisionRuleMatch | ft CreationDate,UserIds,AuditData
Segue-se uma pesquisa de exemplo com o parâmetro RecordsType e o valor ComplianceSupervisionExchange :
Search-UnifiedAuditLog -StartDate $startDate -EndDate $endDate -RecordType ComplianceSuperVisionExchange | ft CreationDate,UserIds,AuditData