Streamen von Daten aus Microsoft Purview Information Protection an Microsoft Sentinel

In diesem Artikel wird beschrieben, wie Sie Daten aus Microsoft Purview Information Protection (früher Microsoft Information Protection oder MIP) an Microsoft Sentinel streamen. Sie können die aus den Microsoft Purview-Clients und -Scannern für Bezeichnungen erfassten Daten verwenden, um die Daten nachzuverfolgen, zu analysieren, zu melden und für Compliancezwecke zu nutzen.

Wichtig

Der Microsoft Purview Information Protection-Connector befindet sich derzeit in der Vorschauphase. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Überblick

Überwachung und Berichterstellung sind ein wichtiger Bestandteil der Sicherheits- und Compliancestrategie von Organisationen. Bei der kontinuierlichen Erweiterung der Technologielandschaft mit einer stetig wachsenden Anzahl von Systemen, Endpunkten, Vorgängen und Vorschriften wird es immer wichtiger, über eine umfassende Protokollierungs- und Berichterstellungslösung zu verfügen.

Mit dem Microsoft Purview Information Protection-Connector streamen Sie Überwachungsereignisse, die von Clients und Scannern für einheitliche Bezeichnungen generiert werden. Die Daten werden dann an das Microsoft 365-Überwachungsprotokoll für die zentrale Berichterstellung in Microsoft Sentinel ausgegeben.

Mit dem Connector haben Sie folgende Möglichkeiten:

• Nachverfolgen der Einführung von Bezeichnungen sowie Untersuchen, Abfragen und Erkennen von Ereignissen.
• Überwachen bezeichneter und geschützter Dokumente und E-Mails.
• Überwachen des Benutzerzugriffs auf bezeichnete Dokumente und E-Mails beim Nachverfolgen von Klassifizierungsänderungen.
• Gewinnen eines Einblicks in Aktivitäten, die für Bezeichnungen, Richtlinien, Konfigurationen, Dateien und Dokumente ausgeführt werden. Diese Sichtbarkeit hilft Sicherheitsteams beim Identifizieren von Sicherheitsverletzungen sowie Risiko- und Complianceverstößen.
• Verwenden Sie die Connectordaten bei einer Überwachung, um die Konformität der Organisation nachzuweisen.

Azure Information Protection-Connector im Vergleich zum Microsoft Purview Information Protection-Connector

Dieser Connector ersetzt den AIP-Datenconnector (Azure Information Protection). Der AIP-Datenconnector (Azure Information Protection) verwendet das Feature für AIP-Überwachungsprotokolle (Public Preview).

Wichtig

Am 31. März 2023 wird die öffentliche Vorschauversion der AIP-Analyse und -Überwachungsprotokolle eingestellt. In Zukunft wird die Überwachungslösung von Microsoft 365 verwendet.

Weitere Informationen finden Sie unter:

• Informationen finden Sie unter Entfernte und eingestellte Dienste.
• Erfahren Sie, wie Sie die Verbindung mit dem AIP-Connector trennen.

Wenn Sie den Microsoft Purview Information Protection-Connector aktivieren, werden Überwachungsprotokolle in die standardisierte MicrosoftPurviewInformationProtection-Tabelle gestreamt. Die Daten werden über die Office Management-API gesammelt, die ein strukturiertes Schema verwendet. Das neue standardisierte Schema wird angepasst, um das von AIP verwendete veraltete Schema durch weitere Felder und einen einfacheren Zugriff auf Parameter zu verbessern.

Überprüfen Sie die Liste der unterstützten Überwachungsprotokoll-Datensatztypen und -aktivitäten.

Voraussetzungen

Überprüfen Sie zunächst, dass Folgendes erfolgt ist:

• Sie haben die Microsoft Sentinel-Lösung aktiviert.
• Sie haben einen Microsoft Sentinel-Arbeitsbereich definiert.
• Eine gültige Lizenz für M365 E3, M365 A3, Microsoft Business Basic oder eine andere für die Überwachung geeignete Lizenz. Erfahren Sie mehr über Überwachungslösungen in Microsoft Purview.
• Sie haben Vertraulichkeitsbezeichnungen für Office und die Überwachung aktiviert.
• Sie verfügen im Arbeitsbereich über die Rollen „Globaler Administrator“ oder „Sicherheitsadministrator“.

Einrichten des Connectors

Hinweis

Wenn Sie den Connector für einen Arbeitsbereich festlegen, der sich in einer anderen Region als Ihr Office 365-Standort befindet, werden die Daten möglicherweise regionsübergreifend gestreamt.

1. Öffnen Sie das Azure-Portal, und navigieren Sie zum Dienst Microsoft Sentinel.

2. Geben Sie auf dem Blatt Datenconnectors in der Suchleiste Purview ein.

3. Wählen Sie den Connector Microsoft Purview Information Protection (Vorschau) aus.

4. Wählen Sie unterhalb der Beschreibung des Connectors die Option Connectorseite öffnen aus.

5. Wählen Sie unter Konfiguration die Option Verbinden aus.

   Wenn eine Verbindung hergestellt ist, ändert sich die Schaltfläche Verbinden in Trennen. Sie sind jetzt mit Microsoft Purview Information Protection verbunden.

Überprüfen Sie die Liste der unterstützten Überwachungsprotokoll-Datensatztypen und -aktivitäten.

Trennen des Azure Information Protection-Connectors

Es wird empfohlen, den Azure Information Protection-Connector und den Microsoft Purview Information Protection-Connector für einen kurzen Testzeitraum gleichzeitig zu verwenden (beide zu aktivieren). Nach dem Testzeitraum wird empfohlen, die Verbindung mit dem Azure Information Protection-Connector zu trennen, um Datenduplizierung und redundante Kosten zu vermeiden.

So trennen Sie den Azure Information Protection-Connector

1. Geben Sie auf dem Blatt Datenconnectors in der Suchleiste Azure Information Protection ein.
2. Wählen Sie Azure Information Protection aus.
3. Wählen Sie unterhalb der Beschreibung des Connectors die Option Connectorseite öffnen aus.
4. Wählen Sie unter Konfiguration die Option Azure Information Protection-Protokolle verbinden aus.
5. Deaktivieren Sie die Auswahl für den Arbeitsbereich, von dem Sie den Connector trennen möchten, und wählen Sie OK aus.

Einschränkungen und bekannte Probleme

• Über die Office Management-API gesammelte Vertraulichkeitsbezeichnungsereignisse werden nicht in die Bezeichnungsnamen eingetragen. Kunden können wie im folgenden Beispiel in KQL definierte Watchlists oder Anreicherungen verwenden.

• Die Office Management-API erhält keine Downgradebezeichnung mit den Namen der Bezeichnungen vor und nach dem Downgrade. Um diese Informationen abzurufen, extrahieren Sie die labelId der einzelnen Bezeichnungen, und reichern Sie die Ergebnisse an.

  Hier folgt eine KQL-Beispielabfrage:

  let labelsMap = parse_json('{'
   '"566a334c-ea55-4a20-a1f2-cef81bfaxxxx": "MyLabel1",'
   '"aa1c4270-0694-4fe6-b220-8c7904b0xxxx": "MyLabel2",'
   '"MySensitivityLabelId": "MyLabel3"'
   '}');
   MicrosoftPurviewInformationProtection
   | extend SensitivityLabelName = iif(isnotempty(SensitivityLabelId), 
  tostring(labelsMap[tostring(SensitivityLabelId)]), "")
   | extend OldSensitivityLabelName = iif(isnotempty(OldSensitivityLabelId), 
  tostring(labelsMap[tostring(OldSensitivityLabelId)]), "")
  

• Die Tabelle MicrosoftPurviewInformationProtection und die Tabelle OfficeActivity können einige doppelte Ereignisse enthalten.

Nächste Schritte

In diesem Artikel haben Sie erfahren, wie Sie den Microsoft Purview Information Protection-Connector einrichten, um die Daten nachzuverfolgen, zu analysieren, zu melden und für Compliancezwecke zu verwenden. Weitere Informationen über Microsoft Sentinel finden Sie in den folgenden Artikeln:

• Erfahren Sie, wie Sie Einblick in Ihre Daten und potenzielle Bedrohungen erhalten.
• Beginnen Sie mit Erkennung von Bedrohungen mithilfe von Microsoft Sentinel.
• Verwenden Sie Arbeitsmappen, um Ihre Daten zu überwachen.