Stream dat z Microsoft Purview Information Protection do Microsoft Sentinel

Tento článek popisuje, jak streamovat data z Microsoft Purview Information Protection (dříve Microsoft Information Protection nebo MIP) do Microsoft Sentinel. Data přijatá z klientů a skenerů s popisky Microsoft Purview můžete použít ke sledování, analýze, vytváření sestav dat a jejich použití pro účely dodržování předpisů.

Důležité

Konektor Microsoft Purview Information Protection je momentálně ve verzi PREVIEW. Dodatkové podmínky Azure Preview obsahují další právní podmínky, které se vztahují na Azure funkce, které jsou ve verzi beta, preview nebo jinak ještě nejsou obecně dostupné.

Přehled

Auditování a vytváření sestav jsou důležitou součástí strategie zabezpečení a dodržování předpisů v organizacích. S neustále se rozšiřujícím technologickým prostředím, které má stále rostoucí počet systémů, koncových bodů, operací a předpisů, je ještě důležitější mít komplexní řešení protokolování a generování sestav.

Pomocí konektoru Microsoft Purview Information Protection streamujete události auditování vygenerované z klientů a skenerů sjednoceného popisování. Data se pak vygenerují do protokolu auditu Microsoftu 365 pro centrální generování sestav v Microsoft Sentinel.

Pomocí konektoru můžete:

  • Sledujte přijetí popisků, prozkoumejte, dotazujte se a detekujte události.
  • Monitorujte označené a chráněné dokumenty a e-maily.
  • Monitorujte přístup uživatelů k dokumentům a e-mailům s popisky a současně sledujte změny klasifikace.
  • Získejte přehled o aktivitách prováděných s popisky, zásadami, konfiguracemi, soubory a dokumenty. Tato viditelnost pomáhá bezpečnostním týmům identifikovat porušení zabezpečení a porušení rizik a dodržování předpisů.
  • Data konektoru během auditu použijte k prokázání, že organizace dodržuje předpisy.

konektor Azure Information Protection vs. konektor Microsoft Purview Information Protection

Tento konektor nahrazuje datový konektor Azure Information Protection (AIP). Datový konektor Azure Information Protection (AIP) používá funkci protokolů auditu AIP (Public Preview).

Důležité

Od 31. března 2023 budou analytické protokoly AIP a protokoly auditu ve verzi Public Preview vyřazeny a v budoucnu se bude používat řešení auditování Microsoft 365.

Další informace:

Když povolíte konektor Microsoft Purview Information Protection, protokoly auditu se streamuje do standardizované MicrosoftPurviewInformationProtection tabulky. Data se shromažďují prostřednictvím rozhraní API pro správu Office, které používá strukturované schéma. Nové standardizované schéma je upraveno tak, aby vylepšilo zastaralé schéma používané AIP, s více poli a snadnějším přístupem k parametrům.

Projděte si seznam podporovaných typů a aktivit záznamů protokolu auditu.

Požadavky

Než začnete, ověřte, že máte:

Nastavení konektoru

Poznámka

Pokud nastavíte konektor v pracovním prostoru, který se nachází v jiné oblasti, než je vaše Office 365 umístění, můžou se data streamovat napříč oblastmi.

  1. Otevřete Azure Portal a přejděte do služby Microsoft Sentinel.

  2. V okně Datové konektory na panelu hledání zadejte Purview.

  3. Vyberte konektor Microsoft Purview Information Protection (Preview).

  4. Pod popisem konektoru vyberte Otevřít stránku konektoru.

  5. V části Konfigurace vyberte Připojit.

    Po navázání připojení se tlačítko Připojit změní na Odpojit. Teď jste připojení k Microsoft Purview Information Protection.

Projděte si seznam podporovaných typů a aktivit záznamů protokolu auditu.

Odpojení konektoru Azure Information Protection

Doporučujeme používat konektor Azure Information Protection a konektor Microsoft Purview Information Protection současně (oba jsou povolené) po krátkou dobu testování. Po uplynutí testovacího období doporučujeme konektor Azure Information Protection odpojit, abyste se vyhnuli duplikaci dat a redundantním nákladům.

Odpojení konektoru Azure Information Protection:

  1. V okně Datové konektory zadejte do vyhledávacího panelu Azure Information Protection.
  2. Vyberte Azure Information Protection.
  3. Pod popisem konektoru vyberte Otevřít stránku konektoru.
  4. V části Konfigurace vyberte Připojit Azure Information Protection protokoly.
  5. Zrušte výběr pracovního prostoru, od kterého chcete konektor odpojit, a vyberte OK.

Známé problémy a omezení

  • Události popisků citlivosti shromážděné prostřednictvím rozhraní API pro správu Office nenaplní názvy popisků. Zákazníci můžou použít seznamy ke zhlédnutí nebo rozšíření definovaná v KQL jako následující příklad.

  • Rozhraní API pro správu Office nezíská popisek downgradu s názvy popisků před a po downgradu. Pokud chcete tyto informace načíst, extrahujte labelId z každého popisku a rozšiřte výsledky.

    Tady je příklad dotazu KQL:

    let labelsMap = parse_json('{'
 '"566a334c-ea55-4a20-a1f2-cef81bfaxxxx": "MyLabel1",'
 '"aa1c4270-0694-4fe6-b220-8c7904b0xxxx": "MyLabel2",'
 '"MySensitivityLabelId": "MyLabel3"'
 '}');
 MicrosoftPurviewInformationProtection
 | extend SensitivityLabelName = iff(isnotempty(SensitivityLabelId), 
tostring(labelsMap[tostring(SensitivityLabelId)]), "")
 | extend OldSensitivityLabelName = iff(isnotempty(OldSensitivityLabelId), 
tostring(labelsMap[tostring(OldSensitivityLabelId)]), "")

  • Tabulka MicrosoftPurviewInformationProtection a OfficeActivity tabulka můžou obsahovat některé duplicitní události.

Další informace o následujících položkách použitých v předchozích příkladech najdete v dokumentaci k Kusto:

Další informace o KQL najdete v přehledu dotazovací jazyk Kusto (KQL).

Další zdroje informací:

Další kroky

V tomto článku jste zjistili, jak nastavit konektor Microsoft Purview Information Protection pro sledování, analýzu, vytváření sestav dat a jeho použití pro účely dodržování předpisů. Další informace o Microsoft Sentinel najdete v následujících článcích:

  • Last updated on