Потоковая передача данных из Защита информации Microsoft Purview в Microsoft Sentinel

В этой статье описывается, как передавать данные из Защита информации Microsoft Purview (ранее Microsoft Information Protection или MIP) в Microsoft Sentinel. Данные, полученные из клиентов и сканеров меток Microsoft Purview, можно использовать для отслеживания, анализа, отчета о данных и использования в целях соответствия требованиям.

Внимание

Соединитель Защита информации Microsoft Purview в настоящее время находится в предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.

Обзор

Аудит и отчетность являются важной частью стратегии безопасности и соответствия организации. Благодаря постоянному расширению технологического ландшафта, который имеет все большее число систем, конечных точек, операций и правил, становится еще более важным иметь комплексное решение для ведения журнала и отчетности.

С помощью соединителя Защита информации Microsoft Purview выполняется потоковая передача событий аудита, созданных из клиентов и сканеров унифицированных меток. Затем данные отправляются в журнал аудита Microsoft 365 для централизованной отчетности в Microsoft Sentinel.

С помощью соединителя вы можете:

• Отслеживание внедрения меток, изучение, запрос и обнаружение событий.
• Отслеживайте помеченные и защищенные документы и сообщения электронной почты.
• Отслеживайте доступ пользователей к помеченным документам и сообщениям электронной почты при отслеживании изменений классификации.
• Получите представление о действиях, выполняемых на метках, политиках, конфигурациях, файлах и документах. Эта видимость помогает командам безопасности выявлять нарушения безопасности, а также нарушения риска и соответствия требованиям.
• Используйте данные соединителя во время аудита, чтобы доказать, что организация соответствует требованиям.

Соединитель Azure Information Protection и соединитель Защита информации Microsoft Purview

Этот соединитель заменяет соединитель данных Azure Information Protection (AIP). Соединитель данных Azure Information Protection (AIP) использует журналы аудита AIP (предварительная версия).

Внимание

По состоянию на 31 марта 2023 г. общедоступная предварительная версия аналитики AIP и журналов аудита будет прекращена, а далее будет использоваться решение аудита Microsoft 365.

Дополнительные сведения см. в следующих разделах:

• См. раздел "Удаленные и устаревшие службы".
• Узнайте, как отключить соединитель AIP.

При включении соединителя Защита информации Microsoft Purview журналы аудита передаются в стандартизованную MicrosoftPurviewInformationProtection таблицу. Данные собираются через API управления Office, который использует структурированную схему. Новая стандартизованная схема корректируется для улучшения устаревшей схемы, используемой AIP, с большими полями и более простым доступом к параметрам.

Просмотрите список поддерживаемых типов записей журнала аудита и действий.

Необходимые компоненты

Прежде чем начать, убедитесь в том, что у вас есть:

• Включенное решение Microsoft Sentinel.
• Определенная рабочая область Microsoft Sentinel.
• Допустимая лицензия на M365 E3, M365 A3, Microsoft Business Basic или любую другую лицензию на аудит. Дополнительные сведения о решениях аудита в Microsoft Purview.
• Включенные метки конфиденциальности для Office и включенные аудиты.
• Роль администратора безопасности в клиенте или эквивалентные разрешения.

Настройка соединителя

Примечание.

Если установить соединитель в рабочей области, расположенной в другом регионе, отличном от расположения Office 365, данные могут передаваться в разных регионах.

1. Войдите на портал Azure и перейдите к службе Microsoft Sentinel.

2. В колонке соединителей данных в строке поиска введите Purview.

3. Выберите соединитель Защита информации Microsoft Purview (предварительная версия).

4. Под описанием соединителя выберите Открыть страницу соединителя.

5. В разделе "Конфигурация" выберите "Подключиться".

   При установке подключения кнопка "Подключить " изменяется на "Отключить". Теперь вы подключены к Защита информации Microsoft Purview.

Просмотрите список поддерживаемых типов записей журнала аудита и действий.

Отключение соединителя Azure Information Protection

Мы рекомендуем использовать соединитель Azure Information Protection и соединитель Защита информации Microsoft Purview одновременно (оба включено) в течение короткого периода тестирования. После периода тестирования рекомендуется отключить соединитель Azure Information Protection, чтобы избежать дублирования данных и избыточных затрат.

Чтобы отключить соединитель Azure Information Protection, выполните следующие действия.

1. В колонке соединителей данных в строке поиска введите Azure Information Protection.
2. Выберите Azure Information Protection.
3. Под описанием соединителя выберите Открыть страницу соединителя.
4. В разделе Конфигурация (Configuration) выберите подключить журналы Azure Information Protection (Connect Azure Information Protection logs).
5. Снимите флажок для рабочей области, из которой необходимо отключить соединитель, и нажмите кнопку "ОК".

Известные проблемы и ограничения

• События метки конфиденциальности, собранные через API управления Office, не заполняют имена меток. Клиенты могут использовать списки наблюдения или обогащения, определенные в KQL, как показано ниже.

• API-интерфейс управления Office не получает метку перехода на использование более ранней версии с именами меток до и после перехода. Чтобы получить эти сведения, извлеките labelId каждую метку и обогатите результаты.

  Ниже приведен пример запроса KQL:

  let labelsMap = parse_json('{'
   '"566a334c-ea55-4a20-a1f2-cef81bfaxxxx": "MyLabel1",'
   '"aa1c4270-0694-4fe6-b220-8c7904b0xxxx": "MyLabel2",'
   '"MySensitivityLabelId": "MyLabel3"'
   '}');
   MicrosoftPurviewInformationProtection
   | extend SensitivityLabelName = iff(isnotempty(SensitivityLabelId), 
  tostring(labelsMap[tostring(SensitivityLabelId)]), "")
   | extend OldSensitivityLabelName = iff(isnotempty(OldSensitivityLabelId), 
  tostring(labelsMap[tostring(OldSensitivityLabelId)]), "")
  

• Таблица MicrosoftPurviewInformationProtection и OfficeActivity таблица могут включать некоторые повторяющиеся события.

Дополнительные сведения о следующих элементах, используемых в предыдущих примерах, см. в документации Kusto:

• Оператор let
• Оператор расширения
• функция parse_json()
• Функция iff()
• функция tostring()

Дополнительные сведения о KQL см. в обзоре язык запросов Kusto (KQL).

Другие ресурсы:

• Краткий справочник по KQL
• язык запросов Kusto учебные ресурсы

Следующие шаги

В этой статье вы узнали, как настроить соединитель Защита информации Microsoft Purview для отслеживания, анализа, анализа данных и использования его в целях соответствия требованиям. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях:

• Узнайте, как отслеживать свои данные и потенциальные угрозы.
• Узнайте, как приступить к обнаружению угроз с помощью Microsoft Sentinel.
• Используйте книги для мониторинга данных.