tietojen Stream Microsoft Purview Information Protection Microsoft Sentinel

Tässä artikkelissa kerrotaan, miten voit suoratoistaa tietoja Microsoft Purview Information Protection (aiemmin Microsoft Information Protection tai MIP) Microsoft Sentinel. Voit käyttää Microsoft Purview'n asiakastunnisteista ja skannereista saamiasi tietoja tietojen seuraamiseen, analysointiin, raportoimiseen ja niiden käyttämiseen yhteensopivuussyistä.

Tärkeää

Microsoft Purview Information Protection yhdistin on tällä hetkellä ESIKATSELU-tilassa. Azure Esikatselun lisäehdot sisältävät muita oikeudellisia ehtoja, jotka koskevat Azure ominaisuuksia, jotka ovat beetaversiossa, esikatselussa tai muussa tapauksessa julkaisematta.

Yleiskatsaus

Valvonta ja raportointi ovat tärkeä osa organisaatioiden suojaus- ja yhteensopivuusstrategiaa. Kun yhä suurempi määrä järjestelmiä, päätepisteitä, toimintoja ja säädöksiä käy jatkuvasti laajenevia teknologiaympäristöjä, on entistäkin tärkeämpää, että käytössä on kattava kirjaus- ja raportointiratkaisu.

Microsoft Purview Information Protection-liittimen avulla voit suoratoistaa yhdistettyjen tunnisteasiakkaiden ja skannereiden luomia valvontatapahtumia. Tiedot lähetetään sitten Microsoft 365:n valvontalokiin keskitettyä raportointia varten Microsoft Sentinel.

Liittimen avulla voit:

  • Seuraa otsikoiden käyttöönottoa, tutki, tee kyselyjä ja tunnista tapahtumia.
  • Valvo merkittyjä ja suojattuja asiakirjoja ja sähköpostiviestejä.
  • Valvo käyttäjien selitetiedostojen ja sähköpostien käyttöoikeuksia luokitusmuutosten seurannan aikana.
  • Saat näkyvyyttä selitteissä, käytännöissä, kokoonpanoissa, tiedostoissa ja asiakirjoissa suoritettaviin toimintoihin. Tämä näkyvyys auttaa suojausryhmiä tunnistamaan suojausrikkomukset sekä riskin ja yhteensopivuuden rikkomukset.
  • Käytä liittimen tietoja valvonnan aikana sen todistamiseksi, että organisaatio on yhteensopiva.

Azure Information Protection yhdistin vs. Microsoft Purview Information Protection liitin

Tämä yhdistin korvaa Azure Information Protection (AIP) -tietoliittimen. Azure Information Protection (AIP) -tietoliitin käyttää AIP-valvontalokeja (julkinen esikatselu) -ominaisuutta.

Tärkeää

31.3.2023 alkaen AIP-analytiikan ja valvontalokien julkinen esikatselu poistetaan käytöstä, ja jatkossa käytetään Microsoft 365:n valvontaratkaisua.

Lisätietoja:

Kun otat käyttöön Microsoft Purview Information Protection-liittimen, valvonta kirjaa virran standardoituun MicrosoftPurviewInformationProtection taulukkoon. Tiedot kerätään Officen hallinnan ohjelmointirajapinnan kautta, joka käyttää jäsenneltyä rakennetta. Uutta standardoitua rakennetta mukautetaan parantamaan AIP:n käyttämää vanhentunutta rakennetta lisäämällä kenttiä ja helpottamalla parametrien käyttöä.

Tarkista luettelo tuetuista valvontalokin tietuetyypeistä ja toiminnoista.

Ennakkovaatimukset

Ennen kuin aloitat, varmista, että sinulla on:

Liittimen määrittäminen

Huomautus

Jos määrität liittimen työtilassa, joka sijaitsee eri alueella kuin Office 365 sijaintisi, tiedot saatetaan suoratoistaa alueiden välillä.

  1. Avaa Azure-portaali ja siirry Microsoft Sentinel palveluun.

  2. Kirjoita Tietoliittimet-ruudun hakupalkkiin Purview.

  3. Valitse Microsoft Purview Information Protection (esikatselu) -liitin.

  4. Valitse liittimen kuvauksen alapuolelta Avaa liitin -sivu.

  5. Valitse Määritys-kohdastaYhdistä.

    Kun yhteys muodostetaan, Yhdistä-painike muuttuu Katkaise yhteys -painikkeeksi. Olet nyt yhteydessä Microsoft Purview Information Protection.

Tarkista luettelo tuetuista valvontalokin tietuetyypeistä ja toiminnoista.

Katkaise Azure Information Protection-liittimen yhteys

Suosittelemme käyttämään Azure Information Protection-liitintä ja Microsoft Purview Information Protection-liitintä samanaikaisesti (molemmat käytössä) lyhyen testausjakson ajan. Testausjakson jälkeen suosittelemme, että katkaiset Azure Information Protection liittimen yhteyden, jotta vältät tietojen päällekkäisyyden ja ylimääräiset kustannukset.

Voit katkaista Azure Information Protection liittimen yhteyden seuraavasti:

  1. Kirjoita Tietoliittimet-ruudun hakupalkkiin Azure Information Protection.
  2. Valitse Azure Information Protection.
  3. Valitse liittimen kuvauksen alapuolelta Avaa liitin -sivu.
  4. Valitse Määritys-kohdastaYhdistä Azure Information Protection lokit.
  5. Tyhjennä sen työtilan valinta, josta haluat katkaista liittimen yhteyden, ja valitse OK.

Tunnetut ongelmat ja rajoitukset

  • Officen hallinnan ohjelmointirajapinnan kautta kerätyt luottamuksellisuustunnistetapahtumat eivät täytä tunnisteiden nimiä. Asiakkaat voivat käyttää katseluluetteloita tai täydennyksiä, jotka on määritetty KQL:ssä alla olevan esimerkin mukaisesti.

  • Office Management -ohjelmointirajapinta ei saa downgrade-tunnistetta, jossa on selitteiden nimet ennen ja jälkeen alennuksen. Jos haluat noutaa nämä tiedot, poimi labelId kunkin selitteen tiedot ja täydennä tuloksia.

    Tässä on esimerkki KQL-kyselystä:

    let labelsMap = parse_json('{'
 '"566a334c-ea55-4a20-a1f2-cef81bfaxxxx": "MyLabel1",'
 '"aa1c4270-0694-4fe6-b220-8c7904b0xxxx": "MyLabel2",'
 '"MySensitivityLabelId": "MyLabel3"'
 '}');
 MicrosoftPurviewInformationProtection
 | extend SensitivityLabelName = iff(isnotempty(SensitivityLabelId), 
tostring(labelsMap[tostring(SensitivityLabelId)]), "")
 | extend OldSensitivityLabelName = iff(isnotempty(OldSensitivityLabelId), 
tostring(labelsMap[tostring(OldSensitivityLabelId)]), "")

  • Taulukkoon MicrosoftPurviewInformationProtection ja taulukkoon OfficeActivity saattaa sisältyä päällekkäisiä tapahtumia.

Katso lisätietoja seuraavista edellisissä esimerkeissä käytetyistä kohteista Kusto-dokumentaatiosta:

Lisätietoja KQL:stä on Kusto Query Languagen (KQL) yleiskatsauksessa.

Muut resurssit:

Seuraavat vaiheet

Tässä artikkelissa opit määrittämään Microsoft Purview Information Protection-liittimen tietojen seuraamista, analysointia, raportoimista ja käyttöä varten. Lisätietoja Microsoft Sentinel on seuraavissa artikkeleissa:

  • Last updated on