Sdílet prostřednictvím

Streamování dat z Microsoft Purview Information Protection do Microsoft Sentinelu

  • Článek

Tento článek popisuje, jak streamovat data z Microsoft Purview Information Protection (dříve Microsoft Information Protection nebo MIP) do Služby Microsoft Sentinel. Pomocí dat přijatých z klientů a skenerů popisků Microsoft Purview můžete sledovat, analyzovat, hlásit data a používat je pro účely dodržování předpisů.

Důležité

Konektor Microsoft Purview Information Protection je aktuálně ve verzi PREVIEW. Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.

Přehled

Auditování a vytváření sestav jsou důležitou součástí strategie zabezpečení a dodržování předpisů v organizacích. S pokračujícím rozšířením technologické krajiny, která má stále rostoucí počet systémů, koncových bodů, provozu a předpisů, je ještě důležitější mít komplexní řešení protokolování a generování sestav.

Pomocí konektoru Microsoft Purview Information Protection streamujete události auditování generované z klientů a skenerů sjednocených popisků. Data se pak vygeneruje do protokolu auditu Microsoftu 365 pro centrální generování sestav v Microsoft Sentinelu.

Pomocí konektoru můžete:

  • Sledujte přijetí popisků, prozkoumání, dotazování a zjišťování událostí.
  • Monitorujte označené a chráněné dokumenty a e-maily.
  • Sledujte přístup uživatelů k označeným dokumentům a e-mailům a sledujte změny klasifikace.
  • Získejte přehled o aktivitách prováděných s popisky, zásadami, konfiguracemi, soubory a dokumenty. Tato viditelnost pomáhá týmům zabezpečení identifikovat porušení zabezpečení a porušení rizik a dodržování předpisů.
  • Pomocí dat konektoru během auditu prokážete, že organizace dodržuje předpisy.

Konektor Azure Information Protection vs. Konektor Microsoft Purview Information Protection

Tento konektor nahrazuje datový konektor Azure Information Protection (AIP). Datový konektor Azure Information Protection (AIP) používá funkci protokolů auditu AIP (Public Preview).

Důležité

Od 31. března 2023 se verze Public Preview vyřadí protokoly analýzy AIP a auditování a v budoucnu bude používat řešení auditování Microsoftu 365.

Další informace:

Když povolíte konektor Microsoft Purview Information Protection, protokoly auditu se streamuje do standardizované MicrosoftPurviewInformationProtection tabulky. Data se shromažďují prostřednictvím rozhraní API pro správu Office, které používá strukturované schéma. Nové standardizované schéma se upraví tak, aby vylepšilo zastaralé schéma používané AIP, s více poli a jednodušším přístupem k parametrům.

Projděte si seznam podporovaných typů záznamů protokolu auditu a aktivit.

Požadavky

Než začnete, ověřte, že máte:

Nastavení konektoru

Poznámka:

Pokud nastavíte konektor v pracovním prostoru umístěném v jiné oblasti než umístění Office 365, můžou se data streamovat napříč oblastmi.

  1. Otevřete Azure Portal a přejděte do služby Microsoft Sentinel .

  2. V okně Datové konektory na panelu hledání zadejte Purview.

  3. Vyberte konektor Microsoft Purview Information Protection (Preview).

  4. Pod popisem konektoru vyberte Otevřít stránku konektoru.

  5. V části Konfigurace vyberte Připojit.

    Po navázání připojení se tlačítko Připojit změní na Odpojit. Teď jste připojení k Microsoft Purview Information Protection.

Projděte si seznam podporovaných typů záznamů protokolu auditu a aktivit.

Odpojení konektoru služby Azure Information Protection

Doporučujeme používat konektor Azure Information Protection a konektor Microsoft Purview Information Protection současně (oba povolené) po krátkou testovací dobu. Po testovacím období doporučujeme odpojit konektor Azure Information Protection, abyste se vyhnuli duplikaci dat a redundantním nákladům.

Odpojení konektoru služby Azure Information Protection:

  1. V okně Datové konektory na panelu hledání zadejte Azure Information Protection.
  2. Vyberte Azure Information Protection.
  3. Pod popisem konektoru vyberte Otevřít stránku konektoru.
  4. V části Konfigurace vyberte Připojit protokoly služby Azure Information Protection.
  5. Zrušte výběr pracovního prostoru, ze kterého chcete konektor odpojit, a vyberte OK.

Známé problémy a omezení

  • Události popisků citlivosti shromážděné prostřednictvím rozhraní API pro správu Office nenaplní názvy popisků. Zákazníci můžou jako příklad níže používat seznamy ke zhlédnutí nebo rozšiřování definované v jazyce KQL.

  • Rozhraní API pro správu Office nezíská popisek downgradu s názvy popisků před a po downgradu. Chcete-li načíst tyto informace, extrahujte labelId každý popisek a obohacení výsledků.

    Tady je příklad dotazu KQL:

    let labelsMap = parse_json('{'
 '"566a334c-ea55-4a20-a1f2-cef81bfaxxxx": "MyLabel1",'
 '"aa1c4270-0694-4fe6-b220-8c7904b0xxxx": "MyLabel2",'
 '"MySensitivityLabelId": "MyLabel3"'
 '}');
 MicrosoftPurviewInformationProtection
 | extend SensitivityLabelName = iif(isnotempty(SensitivityLabelId), 
tostring(labelsMap[tostring(SensitivityLabelId)]), "")
 | extend OldSensitivityLabelName = iif(isnotempty(OldSensitivityLabelId), 
tostring(labelsMap[tostring(OldSensitivityLabelId)]), "")

  • Tabulka MicrosoftPurviewInformationProtection a OfficeActivity tabulka můžou obsahovat některé duplicitní události.

Další kroky

V tomto článku jste zjistili, jak nastavit konektor Microsoft Purview Information Protection pro sledování, analýzu, vytváření sestav dat a jejich použití pro účely dodržování předpisů. Další informace o službě Microsoft Sentinel najdete v následujících článcích: