Gegevens streamen van Microsoft Purview Informatiebeveiliging naar Microsoft Sentinel

In dit artikel wordt beschreven hoe u gegevens van Microsoft Purview Informatiebeveiliging (voorheen Microsoft Information Protection of MIP) naar Microsoft Sentinel streamt. U kunt de gegevens die zijn opgenomen van de Microsoft Purview-labelclients en scanners gebruiken om de gegevens bij te houden, te analyseren, te rapporteren en te gebruiken voor nalevingsdoeleinden.

Belangrijk

De Microsoft Purview Informatiebeveiliging-connector bevindt zich momenteel in PREVIEW. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

Overzicht

Controle en rapportage vormen een belangrijk onderdeel van de beveiligings- en nalevingsstrategie van organisaties. Met de voortdurende uitbreiding van het technologielandschap dat een steeds groter aantal systemen, eindpunten, bewerkingen en regelgeving heeft, wordt het nog belangrijker om een uitgebreide oplossing voor logboekregistratie en rapportage te hebben.

Met de Microsoft Purview Informatiebeveiliging-connector streamt u controle-gebeurtenissen die zijn gegenereerd op basis van geïntegreerde labelclients en scanners. De gegevens worden vervolgens verzonden naar het Microsoft 365-auditlogboek voor centrale rapportage in Microsoft Sentinel.

Met de connector kunt u het volgende doen:

• Houd de acceptatie van labels bij, verken, voer query's uit en detecteer gebeurtenissen.
• Bewaak gelabelde en beveiligde documenten en e-mailberichten.
• Bewaak gebruikerstoegang tot gelabelde documenten en e-mailberichten, terwijl de classificatiewijzigingen worden bijgehouden.
• Krijg inzicht in activiteiten die worden uitgevoerd op labels, beleid, configuraties, bestanden en documenten. Deze zichtbaarheid helpt beveiligingsteams beveiligingsschendingen en schendingen van risico's en naleving te identificeren.
• Gebruik de connectorgegevens tijdens een controle om te bewijzen dat de organisatie compatibel is.

Azure Information Protection-connector versus Microsoft Purview Informatiebeveiliging-connector

Deze connector vervangt de AIP-gegevensconnector (Azure Information Protection). De AIP-gegevensconnector (Azure Information Protection) maakt gebruik van de functie AIP-auditlogboeken (openbare preview).

Belangrijk

Vanaf 31 maart 2023 worden de openbare preview-versie van AIP-analyses en auditlogboeken buiten gebruik gesteld en wordt de microsoft 365-controleoplossing gebruikt.

Bekijk voor meer informatie:

• Zie Verwijderde en buiten gebruik gestelde services.
• Meer informatie over het loskoppelen van de AIP-connector.

Wanneer u de Microsoft Purview Informatiebeveiliging-connector inschakelt, worden auditlogboeken naar de gestandaardiseerde tabel gestreamdMicrosoftPurviewInformationProtection. Gegevens worden verzameld via de Office Management-API, die gebruikmaakt van een gestructureerd schema. Het nieuwe gestandaardiseerde schema wordt aangepast om het afgeschafte schema dat door AIP wordt gebruikt, te verbeteren, met meer velden en eenvoudiger toegang tot parameters.

Bekijk de lijst met ondersteunde recordtypen en activiteiten in het auditlogboek.

Vereisten

Controleer voordat u begint of u het volgende hebt:

• De Microsoft Sentinel-oplossing ingeschakeld.
• Een gedefinieerde Microsoft Sentinel-werkruimte.
• Een geldige licentie voor M365 E3, M365 A3, Microsoft Business Basic of een andere in aanmerking komende licentie voor audit. Lees meer over controleoplossingen in Microsoft Purview.
• Vertrouwelijkheidslabels ingeschakeld voor Office en ingeschakelde controle.
• De rol Beveiligingsbeheerder voor de tenant of de equivalente machtigingen.

De connector instellen

Notitie

Als u de connector instelt op een werkruimte in een andere regio dan uw Office 365-locatie, kunnen gegevens worden gestreamd in verschillende regio's.

1. Open Azure Portal en navigeer naar de Microsoft Sentinel-service .

2. Typ Purview in de blade Gegevensconnectors in de zoekbalk.

3. Selecteer de connector Microsoft Purview Informatiebeveiliging (preview).

4. Selecteer onder de beschrijving van de connector de optie Connector openen.

5. Selecteer Verbinding maken onder Configuratie.

   Wanneer er een verbinding tot stand is gebracht, verandert de knop Verbinding maken in Verbinding verbreken. U bent nu verbonden met het Microsoft Purview Informatiebeveiliging.

Bekijk de lijst met ondersteunde recordtypen en activiteiten in het auditlogboek.

Verbinding verbreken met de Azure Information Protection-connector

Het is raadzaam om de Azure Information Protection-connector en de Microsoft Purview Informatiebeveiliging-connector tegelijkertijd (beide ingeschakeld) te gebruiken voor een korte testperiode. Na de testperiode wordt u aangeraden de Azure Information Protection-connector los te koppelen om dubbele gegevens en redundante kosten te voorkomen.

De Verbinding met de Azure Information Protection-connector verbreken:

1. Typ Azure Information Protection in de blade Gegevensconnectors in de zoekbalk.
2. Selecteer Azure Information Protection.
3. Selecteer onder de beschrijving van de connector de optie Connector openen.
4. Selecteer azure Information Protection-logboeken verbinden onder Configuratie.
5. Wis de selectie voor de werkruimte waaruit u de verbinding met de connector wilt verbreken en selecteer OK.

Bekende problemen en beperkingen

• Gebeurtenissen voor vertrouwelijkheidslabels die worden verzameld via de Office Management-API vullen de labelnamen niet in. Klanten kunnen volglijsten of verrijkingen gebruiken die in KQL zijn gedefinieerd, zoals in het onderstaande voorbeeld.

• De Office Management-API krijgt geen downgradelabel met de namen van de labels vóór en na de downgrade. Als u deze informatie wilt ophalen, extraheert u het labelId label en verrijkt u de resultaten.

  Hier volgt een voorbeeld van een KQL-query:

  let labelsMap = parse_json('{'
   '"566a334c-ea55-4a20-a1f2-cef81bfaxxxx": "MyLabel1",'
   '"aa1c4270-0694-4fe6-b220-8c7904b0xxxx": "MyLabel2",'
   '"MySensitivityLabelId": "MyLabel3"'
   '}');
   MicrosoftPurviewInformationProtection
   | extend SensitivityLabelName = iff(isnotempty(SensitivityLabelId), 
  tostring(labelsMap[tostring(SensitivityLabelId)]), "")
   | extend OldSensitivityLabelName = iff(isnotempty(OldSensitivityLabelId), 
  tostring(labelsMap[tostring(OldSensitivityLabelId)]), "")
  

• De MicrosoftPurviewInformationProtection tabel en de OfficeActivity tabel kunnen enkele gedupliceerde gebeurtenissen bevatten.

Zie de Kusto-documentatie voor meer informatie over de volgende items die in de voorgaande voorbeelden worden gebruikt:

• let-instructie
• operator uitbreiden
• parse_json() functie
• iff() functie
• tostring() functie

Zie het overzicht van Kusto-querytaal (KQL) voor meer informatie over KQL.

Andere resources:

• KQL-snelzoekgids
• Kusto-querytaal leerbronnen

Volgende stappen

In dit artikel hebt u geleerd hoe u de Microsoft Purview Informatiebeveiliging-connector instelt om de gegevens bij te houden, te analyseren, te rapporteren en te gebruiken voor nalevingsdoeleinden. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel:

• Meer informatie over het verkrijgen van inzicht in uw gegevens en mogelijke bedreigingen.
• Ga aan de slag met het detecteren van bedreigingen met Microsoft Sentinel.
• Werkmappen gebruiken om uw gegevens te bewaken.