使用带有 SIEM 解决方案的通信合规性
重要
Microsoft Purview 通信合规性提供的工具可帮助组织检测法规合规性 (例如 SEC 或 FINRA) 和业务行为违规行为,例如敏感或机密信息、骚扰或威胁性语言以及成人内容的共享。 根据隐私设计构建,用户名默认为假名化,内置基于角色的访问控制,管理员选择调查人员,审核日志已到位,以帮助确保用户级隐私。
Microsoft Purview 通信合规性 是一种内部风险解决方案,可帮助你检测、捕获和处理组织中可能不适当的消息,从而最大程度地降低通信风险。 安全信息和事件管理 (SIEM) 解决方案(如 Microsoft Sentinel 或 Splunk)通常用于聚合和跟踪组织内的威胁。
组织的一个常见需求是集成通信合规性警报及其 SIEM 解决方案。 通过此集成,组织可以在其 SIEM 解决方案中查看通信合规性警报,然后在通信合规性工作流和用户体验中修正警报。
例如,员工向另一名员工发送冒犯性消息,通信合规性策略检测到该消息中可能存在的不当内容。 此类事件记录在 Microsoft 365 审核 (也称为通信合规性解决方案 ) 的“统一审核日志”中,然后导入到 SIEM 解决方案中。 Microsoft 365 审核中包含的 SIEM 解决方案中触发的警报随后与通信合规性警报相关联。 调查人员在其 SIEM 解决方案中收到有关这些警报的通知,然后他们可以调查和修正通信合规性仪表板中的相应警报。
提示
开始使用Microsoft Security Copilot,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的Microsoft Security Copilot。
Microsoft 365 审核中的通信合规性警报
所有通信合规性策略匹配项都在 Microsoft 365 审核中捕获。 以下示例显示了可用于所选通信合规性策略匹配活动的详细信息:
不适当的内容策略模板匹配的审核日志条目示例:
RunspaceId: 5c7bc9b0-7672-4091-a112-0635bd5f7732
RecordType: ComplianceSupervisionExchange
CreationDate: 7/7/2022 5:30:11 AM
UserIds: user1@contoso.onmicrosoft.com
Operations: SupervisionRuleMatch
AuditData: {"CreationTime":"2022-07-07T05:30:11","Id":"44e98a7e-57fd-4f89-79b8-08d941084a35","Operation":"SupervisionRuleMatch","OrganizationId":"338397e6\-697e-4dbe-a66b-2ea3497ef15c","RecordType":68,"ResultStatus":"{\\"ItemClass\\":\\"IPM.Note\\",\\"CcsiResults\\":\\"\\"}","UserKey":"SupervisionStoreDeliveryAgent","UserType":0,"Version":1,"Workload":"Exchange","ObjectId":"\<HE1P190MB04600526C0524C75E5750C5AC61A9@HE1P190MB0460.EURP190.PROD.OUTLOOK.COM\>","UserId":"user1@contoso.onmicrosoft.com","IsPolicyHit":true,"SRPolicyMatchDetails":{"SRPolicyId":"53be0bf4-75ee-4315-b65d-17d63bdd53ae","SRPolicyName":"Adult images","SRRuleMatchDetails":\[\]}}
ResultIndex: 24
ResultCount: 48
Identity: 44e98a7e-57fd-4f89-79b8-08d941084a35
IsValid: True
ObjectState: Unchanged
具有自定义关键字 (keyword) 匹配的策略Microsoft 365 审核日志条目的示例 (自定义敏感信息类型) :
RunspaceId: 5c7bc9b0-7672-4091-a112-0635bd5f7732
RecordType: ComplianceSupervisionExchange
CreationDate: 7/6/2022 9:50:12 PM
UserIds: user2@contoso.onmicrosoft.com
Operations: SupervisionRuleMatch
AuditData: {"CreationTime":"2022-07-06T21:50:12","Id":"5c61aae5-26fc-4c8e-0791-08d940c8086f","Operation":"SupervisionRuleMatch","OrganizationId":"338397e6\-697e-4dbe-a66b-2ea3497ef15c","RecordType":68,"ResultStatus":"{\\"ItemClass\\":\\"IPM.Note\\",\\"CcsiResults\\":\\"public\\"}","UserKey":"SupervisionStoreDeliveryAgent","UserType":0,"Version":1,"Workload":"Exchange","ObjectId":"\<20210706174831.24375086.807067@sailthru.com\>","UserId":"user2@contoso.onmicrosoft.com","IsPolicyHit":true,"SRPolicyMatchDetails":{"SRPolicyId":"a97cf128-c0fc-42a1-88e3-fd3b88af9941","SRPolicyName":"Insiders","SRRuleMatchDetails":\[{"SRCategoryName":"New insiders lexicon"}\]}}
ResultIndex: 46
ResultCount: 48
Identity: 5c61aae5-26fc-4c8e-0791-08d940c8086f
IsValid: True
ObjectState: Unchanged
注意
目前,在 Microsoft 365 Audit 中记录策略匹配的时间与在通信合规性中调查策略匹配的时间之间,最多可能会延迟 24 小时。
配置通信合规性和Microsoft Sentinel集成
使用 Microsoft Sentinel 聚合通信合规性策略匹配项时,Sentinel使用 Microsoft 365 Audit 作为数据源。 若要将通信合规性警报与Sentinel集成,请完成以下步骤:
载入到Microsoft Sentinel。 作为载入过程的一部分,你将配置数据源。
配置Microsoft Sentinel Microsoft Office 365数据连接器,然后在“连接器配置”下,选择“Exchange”。
配置搜索查询以检索通信合规性警报。 例如:
|OfficeActivity |where OfficeWorkload == “Exchange” and Operation == “SupervisionRuleMatch” |按 TimeGenerated 排序
若要筛选特定用户,可使用以下查询格式:
|OfficeActivity |其中 OfficeWorkload == “Exchange” and Operation == “SupervisionRuleMatch” and UserId == “”User1@Contoso.com | sort by TimeGenerated
有关 Microsoft Sentinel 收集的Office 365的 Microsoft 365 审核日志的详细信息,请参阅 Azure Monitor 日志参考。
配置通信合规性和 Splunk 集成
若要将通信合规性警报与 Splunk 集成,请完成以下步骤:
在 Microsoft Entra ID 中为适用于 Microsoft Office 365 的 Splunk 加载项配置集成应用程序
在 Splunk 解决方案中配置搜索查询。 使用以下搜索示例标识所有通信合规性警报:
index=* sourcetype=“o365:management:activity” Workload=Exchange Operation=SupervisionRuleMatch
若要筛选特定通信合规性策略的结果,可以使用 SRPolicyMatchDetails.SRPolicyName 参数。
例如,以下搜索示例将返回与名为 “不适当的内容”的通信合规性策略匹配项的警报:
index=* sourcetype='o365:management:activity' Workload=Exchange Operation=SupervisionRuleMatch SRPolicyMatchDetails.SRPolicyName=<不适当的内容>
下表显示了不同策略类型的示例搜索结果:
| 策略类型 | 示例搜索结果 |
|---|---|
| 检测自定义敏感信息类型的策略关键字 (keyword) 列表 | { CreationTime: 2022-09-17T16:29:57 ID:4b9ce23d-ee60-4f66-f38d-08d979f8631f IsPolicyHit: true ObjectId: CY1PR05MB27158B96AF7F3AFE62E1F762CFDD9@CY1PR05MB2715.namprd05.prod.outlook.com 操作:监督RuleMatch OrganizationId:d6a06676-95e8-4632-b949-44bc00f0793f RecordType:68 ResultStatus: {“ItemClass”:“IPM。注意“,”CcsiResults“:”leak“} SRPolicyMatchDetails: { [+] } UserId: user1@contoso.OnMicrosoft.com UserKey:SupervisionStoreDeliveryAgent UserType:0 版本:1 工作负载:Exchange } |
| 策略检测潜在不当语言 | { CreationTime: 2022-09-17T23:44:35 ID:e0ef6f54-9a52-4e4c-9584-08d97a351ad0 IsPolicyHit: true ObjectId: BN6PR05MB3571AD9FBB85C4E12C1F66B4CCDD9@BN6PR05MB3571.namprd05.prod.outlook.com 操作:监督RuleMatch OrganizationId:d6a06676-95e8-4632-b949-44bc00f0793f RecordType:68 ResultStatus: {“ItemClass”:“IPM。Yammer.Message“,”CcsiResults“:”“} SRPolicyMatchDetails: { [+] } UserId: user1@contoso.com UserKey:SupervisionStoreDeliveryAgent UserType:0 版本:1 } |
配置与其他 SIEM 解决方案的通信合规性
若要从 Microsoft 365 Audit 检索通信合规性策略匹配项,可以使用 PowerShell 或 Office 365 管理 API。
使用 PowerShell 时,可以通过 Search-UnifiedAuditLog cmdlet 使用这些参数之一来筛选通信合规性活动的审核日志事件。
| 审核日志参数 | 通信合规性参数值 |
|---|---|
| 运营 | SupervisionRuleMatch |
| RecordType | ComplianceSupervisionExchange |
例如,下面是使用 Operations 参数和 SupervisionRuleMatch 值的示例搜索:
Search-UnifiedAuditLog -StartDate $startDate -EndDate $endDate -Operations SupervisionRuleMatch | ft CreationDate,UserIds,AuditData
下面是使用 RecordsType 参数和 ComplianceSupervisionExchange 值的示例搜索:
Search-UnifiedAuditLog -StartDate $startDate -EndDate $endDate -RecordType ComplianceSuperVisionExchange | ft CreationDate,UserIds,AuditData