Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird beschrieben, wie Sie Daten aus Microsoft Purview Information Protection (früher Microsoft Information Protection oder MIP) an Microsoft Sentinel streamen. Sie können die von den Microsoft Purview-Bezeichnungsclients und -Scannern erfassten Daten verwenden, um die Daten nachzuverfolgen, zu analysieren, zu melden und für Compliancezwecke zu verwenden.
Wichtig
Der Microsoft Purview Information Protection-Connector befindet sich derzeit in der VORSCHAU. Die zusätzlichen Azure-Vorschaubedingungen enthalten zusätzliche rechtliche Bestimmungen, die für Azure Features gelten, die sich in der Betaversion, Vorschauversion oder anderweitig noch nicht in der allgemeinen Verfügbarkeit befinden.
Übersicht
Überwachung und Berichterstellung sind ein wichtiger Bestandteil der Sicherheits- und Compliancestrategie von Organisationen. Mit der kontinuierlichen Erweiterung der Technologielandschaft mit einer ständig wachsenden Anzahl von Systemen, Endpunkten, Vorgängen und Vorschriften wird es noch wichtiger, über eine umfassende Protokollierungs- und Berichterstellungslösung zu verfügen.
Mit dem Microsoft Purview Information Protection Connector streamen Sie Überwachungsereignisse, die von Clients und Scannern für einheitliche Bezeichnungen generiert wurden. Die Daten werden dann in das Microsoft 365-Überwachungsprotokoll für die zentrale Berichterstellung in Microsoft Sentinel ausgegeben.
Mit dem Connector haben Sie folgende Möglichkeiten:
- Nachverfolgen der Einführung von Bezeichnungen, Untersuchen, Abfragen und Erkennen von Ereignissen.
- Überwachen bezeichneter und geschützter Dokumente und E-Mails.
- Überwachen Sie den Benutzerzugriff auf bezeichnete Dokumente und E-Mails, während Sie Klassifizierungsänderungen nachverfolgen.
- Erhalten Sie Einblick in Aktivitäten, die für Bezeichnungen, Richtlinien, Konfigurationen, Dateien und Dokumente ausgeführt werden. Diese Sichtbarkeit hilft Sicherheitsteams dabei, Sicherheitsverletzungen sowie Risiko- und Complianceverstöße zu identifizieren.
- Verwenden Sie die Connectordaten während einer Überwachung, um nachzuweisen, dass die organization konform ist.
Azure Information Protection-Connector im Vergleich zu Microsoft Purview Information Protection-Connector
Dieser Connector ersetzt den AIP-Datenconnector (Azure Information Protection). Der Azure Information Protection-Datenconnector (AIP) verwendet das Feature AIP-Überwachungsprotokolle (öffentliche Vorschau).
Wichtig
Ab dem 31. März 2023 wird die öffentliche Vorschau der AIP-Analyse- und Überwachungsprotokolle eingestellt, und in Zukunft wird die Microsoft 365-Überwachungslösung verwendet.
Weitere Informationen:
- Weitere Informationen finden Sie unter Entfernte und eingestellte Dienste.
- Erfahren Sie, wie Sie die Verbindung mit dem AIP-Connector trennen.
Wenn Sie den Microsoft Purview Information Protection-Connector aktivieren, werden Überwachungsprotokolle in die standardisierte Tabelle gestreamtMicrosoftPurviewInformationProtection. Die Daten werden über die Office Management-API gesammelt, die ein strukturiertes Schema verwendet. Das neue standardisierte Schema wird angepasst, um das veraltete Schema zu verbessern, das von AIP verwendet wird, mit mehr Feldern und einem einfacheren Zugriff auf Parameter.
Überprüfen Sie die Liste der unterstützten Überwachungsprotokolldatensatztypen und -aktivitäten.
Voraussetzungen
Bevor Sie beginnen, überprüfen Sie, ob Sie über Folgendes verfügen:
- Die Microsoft Sentinel Lösung aktiviert.
- Ein definierter Microsoft Sentinel Arbeitsbereich.
- Eine gültige Lizenz für M365 E3, M365 A3, Microsoft Business Basic oder eine andere audit-berechtigte Lizenz. Erfahren Sie mehr über Überwachungslösungen in Microsoft Purview.
- Vertraulichkeitsbezeichnungen für Office und Überwachung aktiviert.
- Die Rolle "Sicherheitsadministrator" für den Mandanten oder die entsprechenden Berechtigungen.
Einrichten des Connectors
Hinweis
Wenn Sie den Connector in einem Arbeitsbereich festlegen, der sich in einer anderen Region als ihrem Office 365 Standort befindet, werden daten möglicherweise regionsübergreifend gestreamt.
Öffnen Sie die Azure-Portal, und navigieren Sie zum Microsoft Sentinel Dienst.
Geben Sie auf dem Blatt Datenconnectors in der Suchleiste Purview ein.
Wählen Sie den connector Microsoft Purview Information Protection (Vorschau) aus.
Wählen Sie unter der Connectorbeschreibung die Option Connectorseite öffnen aus.
Wählen Sie unter Konfiguration die Option Verbinden aus.
Wenn eine Verbindung hergestellt wird, ändert sich die Schaltfläche Verbinden in Trennen. Sie sind jetzt mit dem Microsoft Purview Information Protection verbunden.
Überprüfen Sie die Liste der unterstützten Überwachungsprotokolldatensatztypen und -aktivitäten.
Trennen des Azure Information Protection-Connectors
Es wird empfohlen, den Azure Information Protection-Connector und den Microsoft Purview Information Protection-Connector (beide aktiviert) für einen kurzen Testzeitraum gleichzeitig zu verwenden. Nach dem Testzeitraum wird empfohlen, den Azure Information Protection Connector zu trennen, um Datenduplizierung und redundante Kosten zu vermeiden.
So trennen Sie den Azure Information Protection Connector:
- Geben Sie auf dem Blatt Datenconnectors in der Suchleiste Azure Information Protection ein.
- Wählen Sie Azure Information Protection aus.
- Wählen Sie unter der Connectorbeschreibung die Option Connectorseite öffnen aus.
- Wählen Sie unter Konfigurationdie Option Azure Information Protection Protokollen verbinden aus.
- Deaktivieren Sie die Auswahl für den Arbeitsbereich, von dem Sie die Verbindung trennen möchten, und wählen Sie OK aus.
Bekannte Probleme und Einschränkungen
Vertraulichkeitsbezeichnungsereignisse, die über die Office Management-API gesammelt werden, füllen die Bezeichnungsnamen nicht auf. Kunden können Watchlists oder Anreicherungen verwenden, die in KQL wie im folgenden Beispiel definiert sind.
Die Office Management-API ruft keine Downgrade-Bezeichnung mit den Namen der Bezeichnungen vor und nach dem Downgrade ab. Um diese Informationen abzurufen, extrahieren Sie die
labelIdder einzelnen Bezeichnungen, und erweitern Sie die Ergebnisse.Hier sehen Sie ein Beispiel für eine KQL-Abfrage:
let labelsMap = parse_json('{' '"566a334c-ea55-4a20-a1f2-cef81bfaxxxx": "MyLabel1",' '"aa1c4270-0694-4fe6-b220-8c7904b0xxxx": "MyLabel2",' '"MySensitivityLabelId": "MyLabel3"' '}'); MicrosoftPurviewInformationProtection | extend SensitivityLabelName = iff(isnotempty(SensitivityLabelId), tostring(labelsMap[tostring(SensitivityLabelId)]), "") | extend OldSensitivityLabelName = iff(isnotempty(OldSensitivityLabelId), tostring(labelsMap[tostring(OldSensitivityLabelId)]), "")Die
MicrosoftPurviewInformationProtectionTabelle und dieOfficeActivityTabelle können einige duplizierte Ereignisse enthalten.
Weitere Informationen zu den folgenden Elementen, die in den vorherigen Beispielen verwendet wurden, finden Sie in der Kusto-Dokumentation:
Weitere Informationen zu KQL finden Sie unter übersicht über Kusto-Abfragesprache (KQL).
Weitere Ressourcen:
Nächste Schritte
In diesem Artikel haben Sie erfahren, wie Sie den Microsoft Purview Information Protection Connector einrichten, um die Daten zu verfolgen, zu analysieren, zu melden und für Compliancezwecke zu verwenden. Weitere Informationen zu Microsoft Sentinel finden Sie in den folgenden Artikeln:
- Erfahren Sie, wie Sie Einblick in Ihre Daten und potenzielle Bedrohungen erhalten.
- Erste Schritte beim Erkennen von Bedrohungen mit Microsoft Sentinel.
- Verwenden Sie Arbeitsmappen , um Ihre Daten zu überwachen.