Transmisión de datos de Microsoft Purview Information Protection a Microsoft Sentinel

En este artículo se indica cómo transmitir datos de Microsoft Purview Information Protection (anteriormente Microsoft Information Protection o MIP) a Microsoft Sentinel. Puede usar los datos ingeridos desde los clientes y escáneres de etiquetado de Microsoft Purview para realizar un seguimiento, analizar e informar sobre los datos y usarlos con fines de cumplimiento.

Importante

El conector de Microsoft Purview Information Protection está actualmente en VERSIÓN PRELIMINAR. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.

Información general

La auditoría y los informes son una parte importante de la estrategia de seguridad y cumplimiento de las organizaciones. Con la expansión continua del panorama tecnológico con un número cada vez mayor de sistemas, puntos de conexión, operaciones y regulaciones, se vuelve aún más importante tener una solución completa de registro e informes en funcionamiento.

Con el conector de Microsoft Purview Information Protection, puede transmitir eventos de auditoría generados a partir de clientes y escáneres de etiquetado unificados. A continuación, los datos se emiten al registro de auditoría de Microsoft 365 para la generación de informes centrales en Microsoft Sentinel.

Con este conector, puede hacer lo siguiente:

• Realice un seguimiento de la adopción de etiquetas, explore, consulte y detecte eventos.
• Supervise los documentos y correos electrónicos protegidos y etiquetados.
• Supervise el acceso de los usuarios a documentos y correos electrónicos con etiquetas y haga seguimiento de los cambios en la clasificación.
• Obtenga visibilidad de las actividades realizadas en etiquetas, directivas, configuraciones, archivos y documentos. Esta visibilidad ayuda a los equipos de seguridad a identificar las vulneraciones de seguridad y las infracciones de riesgo y cumplimiento.
• Use los datos del conector durante una auditoría para demostrar que la organización cumple con los requisitos normativos.

Conector de Azure Information Protection en comparación con el conector de Microsoft Purview Information Protection

Este conector reemplaza al conector de datos de Azure Information Protection (AIP). El conector de datos de Azure Information Protection (AIP) usa la característica de registros de auditoría de AIP (versión preliminar pública).

Importante

A partir del 31 de marzo de 2023, se retirará la versión preliminar pública de los registros de auditoría y análisis de AIP y, en adelante, se usará la solución de auditoría de Microsoft 365.

Para obtener más información:

• Consulte Servicios eliminados y retirados.
• Aprenda a desconectar el conector de AIP.

Al habilitar el conector de Microsoft Purview Information Protection, los registros de auditoría se transmiten a la tabla estandarizada MicrosoftPurviewInformationProtection. Los datos se recopilan mediante la API de administración de Office, que usa un esquema estructurado. El nuevo esquema estandarizado se ajusta para mejorar el esquema en desuso utilizado por AIP, con más campos y un acceso más fácil a los parámetros.

Revise la lista de tipos y actividades de registro de auditoría admitidos.

Requisitos previos

Antes de empezar, compruebe que dispone de lo siguiente:

• La solución de Microsoft Sentinel habilitada.
• Un área de trabajo de Microsoft Sentinel definida.
• Una licencia válida para M365 E3, M365 A3, Microsoft Business Basic o cualquier otra licencia apta para auditoría. Obtenga más información sobre soluciones de auditoría en Microsoft Purview.
• Etiquetas de confidencialidad habilitadas para Office y auditoría habilitada.
• El rol Administrador global o Administrador de seguridad en el área de trabajo.

Configuración del conector

Nota:

Si establece el conector en un área de trabajo ubicada en una región diferente de la de Office 365, los datos se podrían transmitir entre regiones.

1. Abra Azure Portal y vaya al servicio Microsoft Sentinel.

2. En la hoja Conectores de datos, en la barra de búsqueda, escriba Purview.

3. Seleccione el conector Microsoft Purview Information Protection (versión preliminar).

4. Debajo de la descripción del conector, seleccione Abrir página del conector.

5. En Configuración, seleccione Conectar.

   Cuando se establece una conexión, el botón Conectar cambia a Desconectar. Ahora está conectado a Microsoft Purview Information Protection.

Revise la lista de tipos y actividades de registro de auditoría admitidos.

Desconexión del conector de Azure Information Protection

Se recomienda usar el conector de Azure Information Protection y el de Microsoft Purview Information Protection simultáneamente (ambos habilitados) durante un breve período de prueba. Después del período de prueba, se recomienda desconectar el conector de Azure Information Protection para evitar la duplicación de datos y costos redundantes.

Para desconectar el conector de Azure Information Protection

1. En la hoja Conectores de datos, en la barra de búsqueda, escriba Azure Information Protection.
2. Seleccione Azure Information Protection.
3. Debajo de la descripción del conector, seleccione Abrir página del conector.
4. En Configuración, seleccione Connect Azure Information Protection logs (Registros de conexión de Azure Information Protection).
5. Desactive la selección del área de trabajo desde la que quiera desconectar el conector y seleccione Aceptar.

Limitaciones y problemas conocidos

• Los eventos de etiqueta de confidencialidad recopilados a través de la API de administración de Office no rellenan los nombres de etiqueta. Los clientes pueden usar listas de reproducción o enriquecimientos definidos en KQL como se muestra en el ejemplo siguiente.

• La API de administración de Office no obtiene una etiqueta de cambio a una versión anterior con los nombres de las etiquetas antes y después de dicho cambio. Para recuperar esta información, extraiga el valor de labelId de cada etiqueta y enriquezca los resultados.

  Este es un ejemplo de consulta KQL:

  let labelsMap = parse_json('{'
   '"566a334c-ea55-4a20-a1f2-cef81bfaxxxx": "MyLabel1",'
   '"aa1c4270-0694-4fe6-b220-8c7904b0xxxx": "MyLabel2",'
   '"MySensitivityLabelId": "MyLabel3"'
   '}');
   MicrosoftPurviewInformationProtection
   | extend SensitivityLabelName = iif(isnotempty(SensitivityLabelId), 
  tostring(labelsMap[tostring(SensitivityLabelId)]), "")
   | extend OldSensitivityLabelName = iif(isnotempty(OldSensitivityLabelId), 
  tostring(labelsMap[tostring(OldSensitivityLabelId)]), "")
  

• Las tablas MicrosoftPurviewInformationProtection y OfficeActivity pueden incluir algunos eventos duplicados.

Pasos siguientes

En este artículo, ha aprendido a configurar el conector de Microsoft Purview Information Protection para realizar un seguimiento de los datos, analizarlos, informar sobre ellos y usarlos con fines de cumplimiento. Para obtener más información sobre Microsoft Sentinel, consulte los siguientes artículos:

• Aprenda a obtener visibilidad de los datos y de posibles amenazas.
• Empiece a detectar amenazas con Microsoft Sentinel.
• Use libros para supervisar los datos.