使用 SIEM 解決方案的通訊合規性
重要事項
Microsoft Purview 通訊合規性 提供工具來協助組織偵測法規合規性 (例如 SEC 或 FINRA) 和商務行為違規,例如敏感或機密資訊、偽裝或威脅性語言,以及共用成人內容。 根據設計,通訊合規性是以隱私權建置的。 根據預設,用戶名稱會以假名化,內建角色型訪問控制、由系統管理員選擇加入調查人員,並備妥稽核記錄,以協助確保用戶層級的隱私權。
Microsoft Purview 通訊合規性 是內部風險解決方案,可協助您偵測、擷取及處理組織中可能不適當的訊息,以協助將通訊風險降至最低。 安全性資訊和事件管理 (SIEM) 解決方案,例如 Microsoft Sentinel 或 Splunk,通常用來匯總和追蹤組織內的威脅。
組織常見的需求是整合通訊合規性警示及其 SIEM 解決方案。 透過這項整合,組織可以在 SIEM 解決方案中檢視通訊合規性警示,然後在通訊合規性工作流程和用戶體驗中補救警示。
例如,員工將冒犯性訊息傳送給另一位員工,而且通訊合規性政策偵測到該訊息是否有可能不適當的內容。 這類事件會記錄在 Microsoft 365 稽核 (也稱為「整合稽核記錄」) 通訊合規性解決方案,然後匯入 SIEM 解決方案。 然後,Microsoft 365 稽核中包含的 SIEM 解決方案中觸發的警示會與通訊合規性警示相關聯。 調查人員會在其 SIEM 解決方案中收到這些警示的通知,然後他們可以在通訊合規性儀錶板中調查並補救對應的警示。
提示
開始使用 Microsoft Security Copilot,探索使用 AI 功能來更聰明且更快速地工作的新方式。 深入瞭解 Microsoft Purview 中的 Microsoft Security Copilot。
Microsoft 365 稽核中的通訊合規性警示
所有通訊合規性政策相符項目都會在 Microsoft 365 稽核中擷取。 下列範例顯示所選通訊合規性原則比對活動可用的詳細數據:
不適當的內容原則範本相符的稽核記錄專案範例:
RunspaceId: 5c7bc9b0-7672-4091-a112-0635bd5f7732
RecordType: ComplianceSupervisionExchange
CreationDate: 7/7/2022 5:30:11 AM
UserIds: user1@contoso.onmicrosoft.com
Operations: SupervisionRuleMatch
AuditData: {"CreationTime":"2022-07-07T05:30:11","Id":"44e98a7e-57fd-4f89-79b8-08d941084a35","Operation":"SupervisionRuleMatch","OrganizationId":"338397e6\-697e-4dbe-a66b-2ea3497ef15c","RecordType":68,"ResultStatus":"{\\"ItemClass\\":\\"IPM.Note\\",\\"CcsiResults\\":\\"\\"}","UserKey":"SupervisionStoreDeliveryAgent","UserType":0,"Version":1,"Workload":"Exchange","ObjectId":"\<HE1P190MB04600526C0524C75E5750C5AC61A9@HE1P190MB0460.EURP190.PROD.OUTLOOK.COM\>","UserId":"user1@contoso.onmicrosoft.com","IsPolicyHit":true,"SRPolicyMatchDetails":{"SRPolicyId":"53be0bf4-75ee-4315-b65d-17d63bdd53ae","SRPolicyName":"Adult images","SRRuleMatchDetails":\[\]}}
ResultIndex: 24
ResultCount: 48
Identity: 44e98a7e-57fd-4f89-79b8-08d941084a35
IsValid: True
ObjectState: Unchanged
自定義關鍵詞比對 (自定義敏感性資訊類型) 之原則的Microsoft 365 稽核記錄專案範例:
RunspaceId: 5c7bc9b0-7672-4091-a112-0635bd5f7732
RecordType: ComplianceSupervisionExchange
CreationDate: 7/6/2022 9:50:12 PM
UserIds: user2@contoso.onmicrosoft.com
Operations: SupervisionRuleMatch
AuditData: {"CreationTime":"2022-07-06T21:50:12","Id":"5c61aae5-26fc-4c8e-0791-08d940c8086f","Operation":"SupervisionRuleMatch","OrganizationId":"338397e6\-697e-4dbe-a66b-2ea3497ef15c","RecordType":68,"ResultStatus":"{\\"ItemClass\\":\\"IPM.Note\\",\\"CcsiResults\\":\\"public\\"}","UserKey":"SupervisionStoreDeliveryAgent","UserType":0,"Version":1,"Workload":"Exchange","ObjectId":"\<20210706174831.24375086.807067@sailthru.com\>","UserId":"user2@contoso.onmicrosoft.com","IsPolicyHit":true,"SRPolicyMatchDetails":{"SRPolicyId":"a97cf128-c0fc-42a1-88e3-fd3b88af9941","SRPolicyName":"Insiders","SRRuleMatchDetails":\[{"SRCategoryName":"New insiders lexicon"}\]}}
ResultIndex: 46
ResultCount: 48
Identity: 5c61aae5-26fc-4c8e-0791-08d940c8086f
IsValid: True
ObjectState: Unchanged
注意事項
目前,在 365 稽核 Microsoft中記錄原則相符項目的時間,以及您可以調查通訊合規性中原則相符項目的時間之間,最多可能會有 24 小時的延遲。
設定通訊合規性與 Microsoft Sentinel 整合
當您使用 Microsoft Sentinel 匯總通訊合規性政策相符專案時,Sentinel 會使用 Microsoft 365 稽核作為數據源。 若要整合通訊合規性警示與 Sentinel,請完成下列步驟:
上線以 Microsoft Sentinel。 在上線程式中,您將設定數據源。
設定 Microsoft Sentinel Microsoft Office 365 數據連接器,然後在 [連接器設定] 下,選取 [Exchange]。
設定搜尋查詢以擷取通訊合規性警示。 例如:
|OfficeActivity |其中 OfficeWorkload == “Exchange” and Operation == “SupervisionRuleMatch” |依 TimeGenerated 排序
若要篩選特定使用者,您可以使用下列查詢格式:
|OfficeActivity |其中 OfficeWorkload == “Exchange” and Operation == “SupervisionRuleMatch” and UserId == “User1@Contoso.com” | sort by TimeGenerated
如需 Microsoft Sentinel 所收集 Office 365 Microsoft 365 稽核記錄的詳細資訊,請參閱 Azure 監視器記錄參考。
設定通訊合規性和 Splunk 整合
若要整合通訊合規性警示與Splunk,請完成下列步驟:
在適用於 Microsoft Office 365的 Splunk 附加元件 Microsoft Entra ID 中設定整合應用程式
在Splunk解決方案中設定搜尋查詢。 使用下列搜尋範例來識別所有通訊合規性警示:
index=* sourcetype=“o365:management:activity” Workload=Exchange Operation=SupervisionRuleMatch
若要篩選特定通訊合規性原則的結果,您可以使用 SRPolicyMatchDetails.SRPolicyName 參數。
例如,下列搜尋範例會將相符專案的警示傳回給名為 「不當內容」的通訊合規性原則:
index=* sourcetype='o365:management:activity' Workload=Exchange Operation=SupervisionRuleMatch SRPolicyMatchDetails.SRPolicyName=<Inappropriate content>
下表顯示不同原則類型的範例搜尋結果:
| 原則類型 | 範例搜尋結果 |
|---|---|
| 偵測自定義敏感性資訊類型關鍵詞清單的原則 | { CreationTime:2022-09-17T16:29:57 標識符:4b9ce23d-ee60-4f66-f38d-08d979f8631f IsPolicyHit:true ObjectId: CY1PR05MB27158B96AF7F3AFE62E1F762CFDD9@CY1PR05MB2715.namprd05.prod.outlook.com 作業:監督RuleMatch OrganizationId:d6a06676-95e8-4632-b949-44bc00f0793f RecordType:68 ResultStatus: {“ItemClass”:“IPM.注意“,”CcsiResults“:”leak“} SRPolicyMatchDetails: { [+] } UserId: user1@contoso.OnMicrosoft.com UserKey:SupervisionStoreDeliveryAgent UserType:0 版本:1 工作負載:Exchange } |
| 偵測可能不適當語言的原則 | { CreationTime:2022-09-17T23:44:35 標識碼:e0ef6f54-9a52-4e4c-9584-08d97a351ad0 IsPolicyHit:true ObjectId: BN6PR05MB3571AD9FBB85C4E12C1F66B4CCDD9@BN6PR05MB3571.namprd05.prod.outlook.com 作業:監督RuleMatch OrganizationId:d6a06676-95e8-4632-b949-44bc00f0793f RecordType:68 ResultStatus: {“ItemClass”:“IPM.Yammer.Message“,”CcsiResults“:”“} SRPolicyMatchDetails: { [+] } UserId: user1@contoso.com UserKey:SupervisionStoreDeliveryAgent UserType:0 版本:1 } |
設定與其他 SIEM 解決方案的通訊合規性
若要從 Microsoft 365 稽核擷取通訊合規性政策相符專案,您可以使用 PowerShell 或 Office 365 管理 API。
使用 PowerShell 時,您可以使用其中一個參數搭配 Search-UnifiedAuditLog Cmdlet 來篩選通訊合規性活動的稽核記錄事件。
| 稽核記錄參數 | 通訊合規性參數值 |
|---|---|
| 作業 | SupervisionRuleMatch |
| RecordType | ComplianceSupervisionExchange |
例如,以下是使用 Operations 參數和 SupervisionRuleMatch 值的範例搜尋:
Search-UnifiedAuditLog -StartDate $startDate -EndDate $endDate -Operations SupervisionRuleMatch | ft CreationDate,UserIds,AuditData
以下是使用 RecordsType 參數和 ComplianceSupervisionExchange 值的範例搜尋:
Search-UnifiedAuditLog -StartDate $startDate -EndDate $endDate -RecordType ComplianceSuperVisionExchange | ft CreationDate,UserIds,AuditData