Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wichtig
Microsoft Purview Communication Compliance stellt Tools bereit, die Organisationen dabei unterstützen, die Einhaltung gesetzlicher Bestimmungen (z. B. SEC oder FINRA) und Verstöße gegen Geschäftsverhalten wie vertrauliche oder vertrauliche Informationen, belästigende oder bedrohliche Sprache und das Teilen von nicht jugendfreien Inhalten zu erkennen. Kommunikationscompliance ist designbedingt mit Datenschutz aufgebaut. Benutzernamen werden standardmäßig pseudonymisiert, rollenbasierte Zugriffssteuerungen sind integriert, Ermittler werden von einem Administrator ausgewählt, und Überwachungsprotokolle sind vorhanden, um den Datenschutz auf Benutzerebene zu gewährleisten.
Microsoft Purview Communication Compliance ist eine Insider-Risikolösung, mit der Sie Kommunikationsrisiken minimieren können, indem Sie potenziell unangemessene Nachrichten in Ihrem organization erkennen, erfassen und darauf reagieren können. SIEM-Lösungen (Security Information and Event Management) wie Microsoft Sentinel oder Splunk werden häufig verwendet, um Bedrohungen innerhalb eines organization zu aggregieren und nachzuverfolgen.
Ein häufiges Bedürfnis für Organisationen besteht darin, Communication Compliance-Warnungen und ihre SIEM-Lösungen zu integrieren. Mit dieser Integration können Organisationen Communication Compliance-Warnungen in ihrer SIEM-Lösung anzeigen und dann Warnungen innerhalb des Kommunikationscompliance-Workflows und der Benutzeroberfläche korrigieren.
Beispielsweise sendet ein Mitarbeiter eine anstößige Nachricht an einen anderen Mitarbeiter, und diese Nachricht wird von einer Kommunikationscompliancerichtlinie für potenziell unangemessene Inhalte erkannt. Die Kommunikationscompliancelösung protokolliert Ereignisse wie diese in Microsoft 365 Audit (auch als "einheitliches Überwachungsprotokoll" bezeichnet) und importiert sie in die SIEM-Lösung. Sie können Warnungen zuordnen, die in der SIEM-Lösung ausgelöst wurden und in den Warnungen microsoft 365 Audit with Communication Compliance enthalten sind. Ermittler erhalten Benachrichtigungen zu diesen Warnungen in ihrer SIEM-Lösung und können die entsprechenden Warnungen im Communication Compliance Dashboard untersuchen und korrigieren.
Tipp
Beginnen Sie mit Microsoft Security Copilot, um neue Wege zu erkunden, um mithilfe der Leistungsfähigkeit von KI intelligenter und schneller zu arbeiten. Erfahren Sie mehr über Microsoft Security Copilot in Microsoft Purview.
Kommunikationscompliancewarnungen in Microsoft 365 Audit
Microsoft 365 Audit erfasst alle Übereinstimmungen der Kommunikationscompliance-Richtlinie. In den folgenden Beispielen werden die verfügbaren Details für ausgewählte Übereinstimmungsaktivitäten der Kommunikationskonformitätsrichtlinie veranschaulicht:
Beispiel für einen Überwachungsprotokolleintrag für eine Richtlinienvorlage für unangemessene Inhalte:
RunspaceId: 5c7bc9b0-7672-4091-a112-0635bd5f7732
RecordType: ComplianceSupervisionExchange
CreationDate: 7/7/2022 5:30:11 AM
UserIds: user1@contoso.onmicrosoft.com
Operations: SupervisionRuleMatch
AuditData: {"CreationTime":"2022-07-07T05:30:11","Id":"44e98a7e-57fd-4f89-79b8-08d941084a35","Operation":"SupervisionRuleMatch","OrganizationId":"338397e6\-697e-4dbe-a66b-2ea3497ef15c","RecordType":68,"ResultStatus":"{\\"ItemClass\\":\\"IPM.Note\\",\\"CcsiResults\\":\\"\\"}","UserKey":"SupervisionStoreDeliveryAgent","UserType":0,"Version":1,"Workload":"Exchange","ObjectId":"\<HE1P190MB04600526C0524C75E5750C5AC61A9@HE1P190MB0460.EURP190.PROD.OUTLOOK.COM\>","UserId":"user1@contoso.onmicrosoft.com","IsPolicyHit":true,"SRPolicyMatchDetails":{"SRPolicyId":"53be0bf4-75ee-4315-b65d-17d63bdd53ae","SRPolicyName":"Adult images","SRRuleMatchDetails":\[\]}}
ResultIndex: 24
ResultCount: 48
Identity: 44e98a7e-57fd-4f89-79b8-08d941084a35
IsValid: True
ObjectState: Unchanged
Beispiel für einen Microsoft 365-Überwachungsprotokolleintrag für eine Richtlinie mit benutzerdefinierter Schlüsselwort (keyword) Übereinstimmung (benutzerdefinierter Typ vertraulicher Informationen):
RunspaceId: 5c7bc9b0-7672-4091-a112-0635bd5f7732
RecordType: ComplianceSupervisionExchange
CreationDate: 7/6/2022 9:50:12 PM
UserIds: user2@contoso.onmicrosoft.com
Operations: SupervisionRuleMatch
AuditData: {"CreationTime":"2022-07-06T21:50:12","Id":"5c61aae5-26fc-4c8e-0791-08d940c8086f","Operation":"SupervisionRuleMatch","OrganizationId":"338397e6\-697e-4dbe-a66b-2ea3497ef15c","RecordType":68,"ResultStatus":"{\\"ItemClass\\":\\"IPM.Note\\",\\"CcsiResults\\":\\"public\\"}","UserKey":"SupervisionStoreDeliveryAgent","UserType":0,"Version":1,"Workload":"Exchange","ObjectId":"\<20210706174831.24375086.807067@sailthru.com\>","UserId":"user2@contoso.onmicrosoft.com","IsPolicyHit":true,"SRPolicyMatchDetails":{"SRPolicyId":"a97cf128-c0fc-42a1-88e3-fd3b88af9941","SRPolicyName":"Insiders","SRRuleMatchDetails":\[{"SRCategoryName":"New insiders lexicon"}\]}}
ResultIndex: 46
ResultCount: 48
Identity: 5c61aae5-26fc-4c8e-0791-08d940c8086f
IsValid: True
ObjectState: Unchanged
Hinweis
Derzeit kann es eine Verzögerung von bis zu 24 Stunden zwischen dem Zeitpunkt, zu dem Microsoft 365 Audit eine Richtlinieneinstimmung aufzeichnet, und dem Zeitpunkt, an dem Sie Richtlinienmatches unter Kommunikationscompliance untersuchen können, auftreten.
Konfigurieren von Kommunikationscompliance und Microsoft Sentinel-Integration
Wenn Sie Microsoft Sentinel zum Aggregieren von Übereinstimmungen der Kommunikationskonformität verwenden, verwendet Microsoft Sentinel Microsoft 365 Audit als Datenquelle. Führen Sie die folgenden Schritte aus, um Communication Compliance-Warnungen in Microsoft Sentinel zu integrieren:
Onboarding in Microsoft Sentinel. Im Rahmen des Onboardingprozesses konfigurieren Sie Ihre Datenquellen.
Konfigurieren Sie den Microsoft Sentinel Microsoft Office 365-Datenconnector, und wählen Sie unter Connectorkonfiguration die Option Exchange aus.
Konfigurieren Sie die Suchabfrage zum Abrufen von Kommunikationscompliancewarnungen. Zum Beispiel:
| OfficeActivity | where OfficeWorkload == "Exchange" and Operation == "SupervisionRuleMatch" | sortieren nach TimeGenerated
Verwenden Sie das folgende Abfrageformat, um nach einem bestimmten Benutzer zu filtern:
| OfficeActivity | where OfficeWorkload == "Exchange" and Operation == "SupervisionRuleMatch" and UserId == "User1@Contoso.com" | sort by TimeGenerated
Weitere Informationen zu den Microsoft 365-Überwachungsprotokollen für Office 365, die Von Microsoft Sentinel erfasst werden, finden Sie unter Referenz zu Azure Monitor-Protokollen.
Konfigurieren von Kommunikationscompliance und Splunk-Integration
Führen Sie die folgenden Schritte aus, um Communication Compliance-Warnungen in Splunk zu integrieren:
Installieren des Splunk-Add-Ons für Microsoft Office 365
Konfigurieren einer Integrationsanwendung in Microsoft Entra ID für das Splunk-Add-On für Microsoft Office 365
Konfigurieren Sie Suchabfragen in Ihrer Splunk-Lösung. Verwenden Sie das folgende Suchbeispiel, um alle Communication Compliance-Warnungen zu identifizieren:
index=* sourcetype="o365:management:activity" Workload=Exchange Operation=SupervisionRuleMatch
Verwenden Sie den SrPolicyMatchDetails.SRPolicyName-Parameter , um Ergebnisse für eine bestimmte Kommunikationskonformitätsrichtlinie zu filtern.
Das folgende Suchbeispiel gibt z. B. Warnungen für Übereinstimmungen mit einer Kommunikationskonformitätsrichtlinie mit dem Namen Unangemessene Inhalte zurück:
index=* sourcetype='o365:management:activity' Workload=Exchange Operation=SupervisionRuleMatch SRPolicyMatchDetails.SRPolicyName=<Unangemessene Inhalte>
Die folgende Tabelle enthält Beispielsuchergebnisse für verschiedene Richtlinientypen:
| Richtlinientypen | Beispielsuchergebnisse |
|---|---|
| Richtlinienerkennung eines benutzerdefinierten vertraulichen Informationstyps Schlüsselwort (keyword) Liste | { CreationTime: 2022-09-17T16:29:57 ID: 4b9ce23d-ee60-4f66-f38d-08d979f8631f IsPolicyHit: true ObjectId: CY1PR05MB27158B96AF7F3AFE62E1F762CFDD9@CY1PR05MB2715.namprd05.prod.outlook.com Vorgang: SupervisionRuleMatch OrganizationId: d6a06676-95e8-4632-b949-44bc00f0793f RecordType: 68 ResultStatus: {"ItemClass":"IPM. Hinweis","CcsiResults":"leak"} SRPolicyMatchDetails: { [+] } UserId: user1@contoso.OnMicrosoft.com UserKey: SupervisionStoreDeliveryAgent UserType: 0 Version: 1 Workload: Exchange } |
| Richtlinie zur Erkennung potenziell unangemessener Sprache | { CreationTime: 2022-09-17T23:44:35 ID: e0ef6f54-9a52-4e4c-9584-08d97a351ad0 IsPolicyHit: true ObjectId: BN6PR05MB3571AD9FBB85C4E12C1F66B4CCDD9@BN6PR05MB3571.namprd05.prod.outlook.com Vorgang: SupervisionRuleMatch OrganizationId: d6a06676-95e8-4632-b949-44bc00f0793f RecordType: 68 ResultStatus: {"ItemClass":"IPM. Yammer.Message","CcsiResults":""} SRPolicyMatchDetails: { [+] } UserId: user1@contoso.com UserKey: SupervisionStoreDeliveryAgent UserType: 0 Version: 1 } |
Konfigurieren der Kommunikationscompliance mit anderen SIEM-Lösungen
Verwenden Sie PowerShell oder die Office 365 Management-API, um Übereinstimmungen von Kommunikationskonformitätsrichtlinien aus Microsoft 365 Audit abzurufen.
Wenn Sie PowerShell verwenden, können Sie einen dieser Parameter mit dem Cmdlet Search-UnifiedAuditLog verwenden, um Überwachungsprotokollereignisse für Kommunikationskonformitätsaktivitäten zu filtern.
| Überwachungsprotokollparameter | Wert des Kommunikationskonformitätsparameters |
|---|---|
| Vorgänge | SupervisionRuleMatch |
| RecordType | ComplianceSupervisionExchange |
Die folgenden Beispiele zeigen, wie Sie nach Übereinstimmungen zur Kommunikationscompliance suchen.
Search-UnifiedAuditLog -StartDate $startDate -EndDate $endDate -Operations SupervisionRuleMatch | ft CreationDate,UserIds,AuditData
Im Folgenden finden Sie eine Beispielsuche mit dem RecordsType-Parameter und dem Wert ComplianceSupervisionExchange :
Search-UnifiedAuditLog -StartDate $startDate -EndDate $endDate -RecordType ComplianceSuperVisionExchange | ft CreationDate,UserIds,AuditData