Использование соответствия требованиям к обмену данными в решениях SIEM
Важно!
Соответствие требованиям к обмену данными Microsoft Purview предоставляет средства, помогающие организациям обнаруживать соответствие нормативным требованиям (например, SEC или FINRA) и нарушения бизнес-поведения, такие как конфиденциальная или конфиденциальная информация, преследования или угрозы языка, а также предоставление общего доступа к содержимому для взрослых. Соответствие требованиям к обмену данными строится на основе конфиденциальности. Имена пользователей по умолчанию псевдонимизируются, элементы управления доступом на основе ролей встроены, администратор выбирает следователей, а журналы аудита используются для обеспечения конфиденциальности на уровне пользователей.
Соответствие требованиям к обмену данными Microsoft Purview — это решение для внутренних рисков, которое помогает свести к минимуму риски связи, помогая обнаруживать, собирать и реагировать на потенциально неподходящие сообщения в вашей организации. Решения для управления информационной безопасностью и событиями безопасности (SIEM), такие как Microsoft Sentinel или Splunk, обычно используются для агрегирования и отслеживания угроз в организации.
Организации часто нуждаются в интеграции оповещений о соответствии связи и их решений SIEM. Благодаря этой интеграции организации могут просматривать оповещения о соответствии требованиям к обмену данными в решении SIEM, а затем исправлять оповещения в рамках рабочего процесса соответствия требованиям к обмену данными и пользовательского интерфейса.
Например, сотрудник отправляет оскорбительное сообщение другому сотруднику, и это сообщение обнаруживается политикой соответствия требованиям к обмену данными для потенциально неуместного содержимого. Такие события регистрируются в журнале аудита Microsoft 365 (также известном как "единый журнал аудита") решением по соответствию требованиям к обмену данными, а затем импортируются в решение SIEM. Оповещения, активированные в решении SIEM, включенные в аудит Microsoft 365, затем связываются с оповещениями о соответствии связи. Следователи получают уведомления об этих оповещениях в решении SIEM, а затем могут исследовать и исправлять соответствующие оповещения на панели мониторинга соответствия требованиям к обмену данными.
Совет
Приступая к работе с Microsoft Security Copilot изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Security Copilot в Microsoft Purview.
Оповещения о соответствии требованиям к обмену данными в аудите Microsoft 365
Все соответствия политик соответствия требованиям к обмену данными фиксируются в аудите Microsoft 365. В следующих примерах показаны сведения, доступные для выбранных действий соответствия политике связи:
Пример записи журнала аудита для сопоставления шаблона политики недопустимого содержимого:
RunspaceId: 5c7bc9b0-7672-4091-a112-0635bd5f7732
RecordType: ComplianceSupervisionExchange
CreationDate: 7/7/2022 5:30:11 AM
UserIds: user1@contoso.onmicrosoft.com
Operations: SupervisionRuleMatch
AuditData: {"CreationTime":"2022-07-07T05:30:11","Id":"44e98a7e-57fd-4f89-79b8-08d941084a35","Operation":"SupervisionRuleMatch","OrganizationId":"338397e6\-697e-4dbe-a66b-2ea3497ef15c","RecordType":68,"ResultStatus":"{\\"ItemClass\\":\\"IPM.Note\\",\\"CcsiResults\\":\\"\\"}","UserKey":"SupervisionStoreDeliveryAgent","UserType":0,"Version":1,"Workload":"Exchange","ObjectId":"\<HE1P190MB04600526C0524C75E5750C5AC61A9@HE1P190MB0460.EURP190.PROD.OUTLOOK.COM\>","UserId":"user1@contoso.onmicrosoft.com","IsPolicyHit":true,"SRPolicyMatchDetails":{"SRPolicyId":"53be0bf4-75ee-4315-b65d-17d63bdd53ae","SRPolicyName":"Adult images","SRRuleMatchDetails":\[\]}}
ResultIndex: 24
ResultCount: 48
Identity: 44e98a7e-57fd-4f89-79b8-08d941084a35
IsValid: True
ObjectState: Unchanged
Пример записи журнала аудита Microsoft 365 для политики с пользовательским ключевое слово совпадением (настраиваемый тип конфиденциальной информации):
RunspaceId: 5c7bc9b0-7672-4091-a112-0635bd5f7732
RecordType: ComplianceSupervisionExchange
CreationDate: 7/6/2022 9:50:12 PM
UserIds: user2@contoso.onmicrosoft.com
Operations: SupervisionRuleMatch
AuditData: {"CreationTime":"2022-07-06T21:50:12","Id":"5c61aae5-26fc-4c8e-0791-08d940c8086f","Operation":"SupervisionRuleMatch","OrganizationId":"338397e6\-697e-4dbe-a66b-2ea3497ef15c","RecordType":68,"ResultStatus":"{\\"ItemClass\\":\\"IPM.Note\\",\\"CcsiResults\\":\\"public\\"}","UserKey":"SupervisionStoreDeliveryAgent","UserType":0,"Version":1,"Workload":"Exchange","ObjectId":"\<20210706174831.24375086.807067@sailthru.com\>","UserId":"user2@contoso.onmicrosoft.com","IsPolicyHit":true,"SRPolicyMatchDetails":{"SRPolicyId":"a97cf128-c0fc-42a1-88e3-fd3b88af9941","SRPolicyName":"Insiders","SRRuleMatchDetails":\[{"SRCategoryName":"New insiders lexicon"}\]}}
ResultIndex: 46
ResultCount: 48
Identity: 5c61aae5-26fc-4c8e-0791-08d940c8086f
IsValid: True
ObjectState: Unchanged
Примечание.
В настоящее время между моментом записи соответствия политики в аудите Microsoft 365 и временем, в течение которого можно исследовать соответствие политик в соответствии с данными, может быть задержка до 24 часов.
Настройка соответствия требованиям к обмену данными и интеграции Microsoft Sentinel
При использовании Microsoft Sentinel для агрегирования соответствия политик соответствия требованиям к обмену данными Sentinel использует аудит Microsoft 365 в качестве источника данных. Чтобы интегрировать оповещения о соответствии требованиям к обмену данными с Sentinel, выполните следующие действия.
Подключение к Microsoft Sentinel. В процессе подключения вы настроите источники данных.
Настройте соединитель данных Microsoft Sentinel Microsoft Office 365 и в разделе Конфигурация соединителя выберите Exchange.
Настройте поисковый запрос для получения оповещений о соответствии требованиям к обмену данными. Например:
| OfficeActivity | where OfficeWorkload == "Exchange" и Operation == "SupervisionRuleMatch" | sort by TimeGenerated
Чтобы отфильтровать определенного пользователя, используйте следующий формат запроса:
| OfficeActivity | where OfficeWorkload == "Exchange" и Operation == "SupervisionRuleMatch" и UserId == "User1@Contoso.com" | sort by TimeGenerated
Дополнительные сведения о журналах аудита Microsoft 365 для Office 365, собираемых Microsoft Sentinel, см. в справочнике по журналам Azure Monitor.
Настройка соответствия требованиям к обмену данными и интеграции Splunk
Чтобы интегрировать оповещения о соответствии требованиям к обмену данными с Splunk, выполните следующие действия.
Установите надстройку Splunk для Microsoft Office 365
Настройка приложения интеграции в Microsoft Entra ID для надстройки Splunk для Microsoft Office 365
Настройте поисковые запросы в решении Splunk. Используйте следующий пример поиска, чтобы определить все оповещения о соответствии требованиям к обмену данными:
index=* sourcetype="o365:management:activity" Workload=Exchange Operation=SupervisionRuleMatch
Чтобы отфильтровать результаты по определенной политике соответствия требованиям к обмену данными, можно использовать параметр SRPolicyMatchDetails.SRPolicyName .
Например, в следующем примере поиска будут возвращены оповещения о совпадениях с политикой соответствия обмену данными с именем Недопустимое содержимое:
index=* sourcetype='o365:management:activity' Workload=Exchange Operation=SupervisionRuleMatch SRPolicyMatchDetails.SRPolicyName=<Недопустимое содержимое>
В следующей таблице показаны примеры результатов поиска для различных типов политик.
| Типы политик | Пример результатов поиска |
|---|---|
| Политика, обнаруживающая настраиваемый тип конфиденциальной информации ключевое слово списке | { CreationTime: 2022-09-17T16:29:57 Идентификатор: 4b9ce23d-ee60-4f66-f38d-08d979f8631f IsPolicyHit: true ObjectId: CY1PR05MB27158B96AF7F3AFE62E1F762CFDD9@CY1PR05MB2715.namprd05.prod.outlook.com Операция: SupervisionRuleMatch OrganizationId: d6a06676-95e8-4632-b949-44bc00f0793f RecordType: 68 ResultStatus: {"ItemClass":"IPM. Примечание","CcsiResults":"leak"} SRPolicyMatchDetails: { [+] } UserId: user1@contoso.OnMicrosoft.com UserKey: SupervisionStoreDeliveryAgent UserType: 0 Версия: 1 Рабочая нагрузка: Exchange } |
| Политика, обнаруживающая потенциально недопустимый язык | { Время создания: 2022-09-17T23:44:35 Идентификатор: e0ef6f54-9a52-4e4c-9584-08d97a351ad0 IsPolicyHit: true ObjectId: BN6PR05MB3571AD9FBB85C4E12C1F66B4CCDD9@BN6PR05MB3571.namprd05.prod.outlook.com Операция: SupervisionRuleMatch OrganizationId: d6a06676-95e8-4632-b949-44bc00f0793f RecordType: 68 ResultStatus: {"ItemClass":"IPM. Yammer.Message","CcsiResults":"} SRPolicyMatchDetails: { [+] } UserId: user1@contoso.com UserKey: SupervisionStoreDeliveryAgent UserType: 0 Версия: 1 } |
Настройка соответствия требованиям к обмену данными с другими решениями SIEM
Чтобы получить соответствие политике соответствия требованиям к обмену данными из аудита Microsoft 365, можно использовать PowerShell или API управления Office 365.
При использовании PowerShell можно использовать любой из этих параметров с помощью командлета Search-UnifiedAuditLog для фильтрации событий журнала аудита для действий соответствия требованиям к обмену данными.
| Параметр журнала аудита | Значение параметра соответствия требованиям к обмену данными |
|---|---|
| Операции | SupervisionRuleMatch |
| RecordType | ComplianceSupervisionExchange |
Например, ниже приведен пример поиска с использованием параметра Operations и значения SupervisionRuleMatch :
Search-UnifiedAuditLog -StartDate $startDate -EndDate $endDate -Operations SupervisionRuleMatch | ft CreationDate,UserIds,AuditData
Ниже приведен пример поиска с использованием параметра RecordsType и значения ComplianceSupervisionExchange .
Search-UnifiedAuditLog -StartDate $startDate -EndDate $endDate -RecordType ComplianceSuperVisionExchange | ft CreationDate,UserIds,AuditData