Microsoft Sentinelと Microsoft Purview の統合

Microsoft Purview を使用すると、組織は機密情報が格納されている場所を可視化し、保護のために危険なデータの優先順位を付けるのに役立ちます。 Microsoft Purview をMicrosoft Sentinelと統合して、Microsoft Sentinelで発生する大量のインシデントや脅威を絞り込み、開始する最も重要な領域を理解するのに役立ちます。

まず、Microsoft Purview ログをデータ コネクタを介してMicrosoft Sentinelに取り込みます。 次に、Microsoft Sentinel ブックを使用して、スキャンされた資産、見つかった分類、Microsoft Purview によって適用されたラベルなどのデータを表示します。 分析ルールを使用して、データの機密性内の変更に関するアラートを作成します。

organizationのニーズに最適な Microsoft Purview ブックと分析ルールをカスタマイズし、Microsoft Purview ログと他のソースから取り込まれたデータを組み合わせて、Microsoft Sentinel内にエンリッチされた分析情報を作成します。

前提条件

開始する前に、Microsoft Sentinel ワークスペースMicrosoft Purview の両方がオンボードされていること、およびユーザーに次のロールがあることを確認します。

  • 診断設定を設定し、データ コネクタを構成するための Microsoft Purview アカウントの所有者または共同作成者ロール

  • データ コネクタを有効にし、ブックを表示し、分析ルールを作成するための書き込みアクセス許可を持つ、Microsoft Sentinel共同作成者ロール

  • Microsoft Sentinelが有効になっている Log Analytics ワークスペースにインストールされている Microsoft Purview ソリューション。

    Microsoft Purview ソリューションは、Microsoft Purview データ専用に構成されたデータ コネクタ、ブック、分析ルールなど、バンドルされたコンテンツのセットです。 詳細については、「Microsoft Sentinelコンテンツとソリューションについて」および「Microsoft Sentinelすぐに使えるコンテンツを検出して管理する」を参照してください。

    データ コネクタを有効にする手順は、Microsoft Sentinelの Microsoft Purview データ コネクタ ページでも使用できます。

Microsoft Sentinelでの Microsoft Purview データの取り込みを開始する

診断設定を構成して、Microsoft Purview データ秘密度ログをMicrosoft Sentinelにフローさせ、Microsoft Purview スキャンを実行してデータの取り込みを開始します。

診断設定は、フル スキャンが実行された後、または増分スキャン中に変更が検出された場合にのみログ イベントを送信します。 通常、ログがMicrosoft Sentinelに表示されるまでに約 10 分から 15 分かかります。

データ秘密度ログがMicrosoft Sentinelに流れ込むのを有効にするには:

  1. Azure portalで Microsoft Purview アカウントに移動し、[診断設定] を選択します。

    Microsoft Purview アカウントの [診断設定] ページのスクリーンショット。

  2. [+ 診断設定の追加] を選択し、新しい設定を構成して、Microsoft Purview からログをMicrosoft Sentinelに送信します。

    • 設定のわかりやすい名前を入力します。
    • [ ログ] で、[ DataSensitivityLogEvent] を選択します。
    • [宛先の詳細] で[Log Analytics ワークスペースに送信] を選択し、Microsoft Sentinelに使用するサブスクリプションとワークスペースの詳細を選択します。

  3. [保存] を選択します。

詳細については、「診断設定ベースの接続を使用してMicrosoft Sentinelを他の Microsoft サービスに接続する」を参照してください。

Microsoft Purview スキャンを実行し、Microsoft Sentinelでデータを表示するには:

  1. Microsoft Purview で、リソースのフル スキャンを実行します。 詳細については、「 Microsoft Purview でデータ ソースをスキャンする」を参照してください。

  2. Microsoft Purview スキャンが完了したら、Microsoft Sentinelの Microsoft Purview データ コネクタに戻り、データが受信されたことを確認します。

Microsoft Purview によって検出された最近のデータを表示する

Microsoft Purview ソリューションには、汎用ルールとカスタマイズされたルールなど、有効にできる 2 つの分析ルール テンプレートがすぐに用意されています。

  • 一般的なバージョンである 過去 24 時間で検出された機密データは、Microsoft Purview スキャン中にデータ資産全体で検出されたすべての分類の検出を監視します。
  • カスタマイズされたバージョンである[ 過去 24 時間 - カスタマイズ済み] で検出された機密データは、社会保障番号などの指定された分類が検出されるたびにアラートを監視および生成します。

Microsoft Purview 分析ルールのクエリをカスタマイズして、特定の分類、秘密度ラベル、ソースリージョンなどの資産を検出するには、次の手順を使用します。 Microsoft Sentinel内の他のデータと生成されたデータを組み合わせて、検出とアラートを強化します。

注:

Microsoft Sentinel分析ルールは、疑わしいアクティビティが検出されたときにアラートをトリガーする KQL クエリです。 ルールをカスタマイズしてグループ化し、SOC チームが調査するインシデントを作成します。

Microsoft Purview 分析ルール テンプレートを変更する

  1. Microsoft Sentinelで Microsoft Purview ソリューションを開き、[過去 24 時間 - カスタマイズ] ルールで検出された機密データを見つけて選択します。 サイド ウィンドウで、[ルールの 作成 ] を選択して、テンプレートに基づいて新しいルールを作成します。

  2. [構成>分析] ページ移動し、[アクティブなルール] を選択します。 [過去 24 時間 - カスタマイズ済み] で [機密データ検出] という名前のルールを検索します。

    既定では、Microsoft Sentinel ソリューションによって作成された分析ルールは無効に設定されます。 続行する前に、ワークスペースのルールを必ず有効にしてください。

    1. ルールを選択します。 サイド ウィンドウで、[編集] を選択 します

    2. 分析ルール ウィザードの [ 全般 ] タブの下部にある [ 状態][有効] に切り替えます。

  3. [ ルール ロジックの設定 ] タブで、アラートを生成するデータ フィールドと分類に対してクエリを実行する ルール クエリ を調整します。 クエリに含めることができる内容の詳細については、次を参照してください。

    書式設定されたクエリには、次の構文があります: | where {data-field} contains {specified-string}

    例:

    PurviewDataSensitivityLogs
| where Classification contains “Social Security Number”
| where SourceRegion contains “westeurope”
| where SourceType contains “Amazon”
| where TimeGenerated > ago (24h)

    前の例で使用した次の項目の詳細については、Kusto のドキュメントを参照してください。

    KQL の詳細については、「Kusto 照会言語 (KQL) の概要」を参照してください。

    その他のリソース:

  4. [ クエリ スケジュール] で、ルールに過去 24 時間以内に検出されたデータが表示されるように設定を定義します。 また、 イベント グループ化 を設定して、すべてのイベントを 1 つのアラートにグループ化することをお勧めします。

    過去 24 時間に検出されたデータを表示するように定義された分析ルール ウィザードのスクリーンショット。

  5. 必要に応じて、[ インシデント設定 ] タブと [自動応答 ] タブをカスタマイズします。 たとえば、[ インシデントの設定 ] タブで、[ この分析ルールによってトリガーされたアラートからインシデントを作成 する] が選択されていることを確認します。

  6. [ 確認と作成 ] タブで、[ 保存] を選択します。

詳細については、「脅威を 検出するためのカスタム分析ルールを作成する」を参照してください。

Microsoft Sentinel ブックで Microsoft Purview データを表示する

  1. Microsoft Sentinelで Microsoft Purview ソリューションを開き、Microsoft Purview ブックを見つけて選択します。 サイド ウィンドウで、[ 構成 ] を選択して、ブックをワークスペースに追加します。

  2. Microsoft Sentinelの [脅威の管理] で、[ブック>My ブック] を選択し、Microsoft Purview ブックを見つけます。 ブックをワークスペースに保存し、[ 保存されたブックの表示] を選択します。 例:

    Microsoft Purview ブックのスクリーンショット。

Microsoft Purview ブックには、次のタブが表示されます。

  • 概要: データが配置されているリージョンとリソースの種類を表示します。
  • 分類: クレジット カード番号など、指定した分類を含む資産を表示します。
  • 秘密度ラベル: 機密ラベルを持つ資産と、現在ラベルがない資産を表示します。

Microsoft Purview ブックをドリルダウンするには:

  • 特定のデータ ソースを選択して、Azureでそのリソースにジャンプします。
  • アセット パス リンクを選択すると、取り込まれたログ内のすべてのデータ フィールドが共有され、詳細が表示されます。
  • [ データ ソース]、[ 分類]、または [ 秘密度ラベル] テーブルの行を選択して、構成どおりに資産レベルのデータをフィルター処理します。

Microsoft Purview イベントによってトリガーされるインシデントを調査する

Microsoft Purview 分析ルールによってトリガーされるインシデントを調査する場合は、インシデントの イベントで見つかった資産と分類に関する詳細情報を確認してください。

例:

Purview イベントによってトリガーされるインシデントのスクリーンショット。

関連コンテンツ

詳細については、以下を参照してください:

  • Last updated on