Trasmettere dati da Microsoft Purview Information Protection a Microsoft Sentinel
Questo articolo descrive come trasmettere dati da Microsoft Purview Information Protection (in precedenza Microsoft Information Protection o MIP) a Microsoft Sentinel. È possibile usare i dati inseriti dai client e dagli scanner di etichettatura di Microsoft Purview per tenere traccia, analizzare, creare report sui dati e usarli a scopo di conformità.
Importante
Il connettore Microsoft Purview Information Protection è attualmente disponibile in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.
Panoramica
Il controllo e la creazione di report sono una parte importante della strategia di sicurezza e conformità delle organizzazioni. Con l'espansione continua del panorama tecnologico con un numero sempre crescente di sistemi, endpoint, operazioni e normative, diventa ancora più importante avere una soluzione completa di registrazione e creazione di report.
Con il connettore Microsoft Purview Information Protection, è possibile trasmettere gli eventi di controllo generati da client e scanner di etichettatura unificata. I dati vengono quindi generati nel log di controllo di Microsoft 365 per la creazione di report centralizzati in Microsoft Sentinel.
Con il connettore è possibile:
- Tenere traccia dell'adozione di etichette, esplorare, eseguire query e rilevare eventi.
- Monitorare documenti e messaggi di posta elettronica protetti con etichetta.
- Monitorare l'accesso degli utenti a documenti e messaggi di posta elettronica etichettati, tenendo traccia delle modifiche alla classificazione.
- Ottenere visibilità sulle attività eseguite su etichette, criteri, configurazioni, file e documenti. Questa visibilità consente ai team di sicurezza di identificare le violazioni della sicurezza e le violazioni dei rischi e della conformità.
- Usare i dati del connettore durante un controllo per dimostrare che l'organizzazione è conforme.
Connettore Azure Information Protection e connettore Microsoft Purview Information Protection
Questo connettore sostituisce il connettore dati di Azure Information Protection (AIP). Il connettore dati di Azure Information Protection (AIP) usa la funzionalità Log di controllo AIP (anteprima pubblica).
Importante
A partire dal 31 marzo 2023, l'anteprima pubblica dei log di controllo e dei analitica AIP verrà ritirata e verrà usata la soluzione di controllo di Microsoft 365.
Per altre informazioni:
- Vedere Servizi rimossi e ritirati.
- Informazioni su come disconnettere il connettore AIP.
Quando si abilita il connettore Microsoft Purview Information Protection, i log di controllo vengono trasmessi nella tabella standardizzata MicrosoftPurviewInformationProtection
. I dati vengono raccolti tramite l'API di gestione di Office, che usa uno schema strutturato. Il nuovo schema standardizzato viene modificato per migliorare lo schema deprecato usato da AIP, con più campi e un accesso più semplice ai parametri.
Esaminare l'elenco dei tipi di record e delle attività del log di controllo supportati.
Prerequisiti
Prima di iniziare, verificare di avere:
- La soluzione Microsoft Sentinel abilitata.
- Area di lavoro di Microsoft Sentinel definita.
- Una licenza valida per M365 E3, M365 A3, Microsoft Business Basic o qualsiasi altra licenza idonea audit. Altre informazioni sulle soluzioni di controllo in Microsoft Purview.
- Etichette di riservatezza abilitate per Office e controllo abilitato.
- Ruolo Amministratore della sicurezza nel tenant o autorizzazioni equivalenti.
Configura il connettore
Nota
Se si imposta il connettore in un'area di lavoro che si trova in un'area diversa dalla posizione di Office 365, i dati potrebbero essere trasmessi tra aree.
Aprire il portale di Azure e andare al servizio Microsoft Sentinel.
Nel pannello Connettori dati digitare Purview nella barra di ricerca.
Selezionare il connettore Microsoft Purview Information Protection (anteprima).
Sotto la descrizione del connettore selezionare la pagina Apri connettore.
In Configurazione selezionare Connetti.
Quando viene stabilita una connessione, il pulsante Connetti cambia in Disconnetti. A questo momento si è connessi a Microsoft Purview Information Protection.
Esaminare l'elenco dei tipi di record e delle attività del log di controllo supportati.
Disconnettere il connettore Azure Information Protection
È consigliabile usare il connettore Azure Information Protection e il connettore Microsoft Purview Information Protection contemporaneamente (entrambi abilitati) per un breve periodo di test. Dopo il periodo di test, è consigliabile disconnettere il connettore Azure Information Protection per evitare la duplicazione dei dati e i costi ridondanti.
Per disconnettere il connettore Azure Information Protection:
- Nella barra di ricerca del pannello Connettori dati digitare Azure Information Protection.
- Selezionare Azure Information Protection.
- Sotto la descrizione del connettore selezionare la pagina Apri connettore.
- In Configurazione selezionare Connetti i log di Azure Information Protection.
- Deselezionare la selezione per l'area di lavoro da cui si vuole disconnettere il connettore e selezionare OK.
Problemi noti e limitazioni
Gli eventi delle etichette di riservatezza raccolti tramite l'API di gestione di Office non popolano i nomi delle etichette. I clienti possono usare watchlist o arricchimenti definiti in KQL come nell'esempio seguente.
L'API di gestione di Office non ottiene un'etichetta di downgrade con i nomi delle etichette prima e dopo il downgrade. Per recuperare queste informazioni, estrarre l'oggetto
labelId
di ogni etichetta e arricchire i risultati.Di seguito è riportata una query KQL di esempio:
let labelsMap = parse_json('{' '"566a334c-ea55-4a20-a1f2-cef81bfaxxxx": "MyLabel1",' '"aa1c4270-0694-4fe6-b220-8c7904b0xxxx": "MyLabel2",' '"MySensitivityLabelId": "MyLabel3"' '}'); MicrosoftPurviewInformationProtection | extend SensitivityLabelName = iif(isnotempty(SensitivityLabelId), tostring(labelsMap[tostring(SensitivityLabelId)]), "") | extend OldSensitivityLabelName = iif(isnotempty(OldSensitivityLabelId), tostring(labelsMap[tostring(OldSensitivityLabelId)]), "")
La
MicrosoftPurviewInformationProtection
tabella e laOfficeActivity
tabella possono includere alcuni eventi duplicati.
Passaggi successivi
In questo articolo si è appreso come configurare il connettore Microsoft Purview Information Protection per tenere traccia, analizzare, creare report sui dati e usarlo a scopo di conformità. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti:
- Informazioni su come ottenere visibilità sui dati e sulle potenziali minacce.
- Iniziare a rilevare minacce con Microsoft Sentinel.
- Usare le cartelle di lavoro per monitorare i dati.