Diffuser en continu des données de Microsoft Purview Information Protection vers Microsoft Sentinel

Cet article explique comment diffuser en continu des données de Microsoft Purview Information Protection (anciennement Microsoft Information Protection ou MIP) vers Microsoft Sentinel. Vous pouvez utiliser les données ingérées à partir des scanneurs et des clients d’étiquetage Microsoft Purview pour suivre et analyser les données, générer des rapports sur les données et les utiliser à des fins de conformité.

Important

Le connecteur Microsoft Purview Information Protection est actuellement en PRÉVERSION. Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.

Vue d’ensemble

La création d’audits et de rapports est une partie importante de la stratégie de sécurité et de conformité des organisations. Compte tenu de l’expansion continue du paysage technologique qui compte un nombre toujours croissant de systèmes, de points de terminaison, d’opérations et de réglementations, il est encore plus important de disposer d’une solution complète de journalisation et de création de rapports.

Avec le connecteur Microsoft Purview Information Protection, vous diffusez en continu les événements d’audit générés à partir de scanneurs et de clients d’étiquetage unifié. Les données sont ensuite émises dans le journal d’audit Microsoft 365 pour une création de rapports centralisée dans Microsoft Sentinel.

Avec ce connecteur, vous pouvez :

• Suivez l’adoption des étiquettes, explorez, interrogez et détectez les événements.
• Surveillez les documents et les e-mails étiquetés et protégés.
• Surveillez l’accès utilisateur aux documents et aux e-mails étiquetés tout en effectuant le suivi des modifications apportées à la classification.
• Obtenez une visibilité sur les activités effectuées sur les étiquettes, les stratégies, les configurations, les fichiers et les documents. Cette visibilité permet aux équipes de sécurité d’identifier les violations de sécurité, ainsi que les risques et les violations de la conformité.
• Utilisez les données du connecteur lors d’un audit pour prouver que l’organisation est conforme.

Connecteur Azure Information Protection ou connecteur Microsoft Purview Information Protection

Ce connecteur remplace le connecteur de données Azure Information Protection (AIP). Le connecteur de données Azure Information Protection (AIP) utilise la fonctionnalité Journaux d’audit AIP (préversion).

Important

À compter du 31 mars 2023, la préversion publique des journaux d’analytique et d’audit AIP sera mise hors service. À l’avenir, la solution d’audit Microsoft 365 sera utilisée.

Pour plus d’informations :

• Consultez Services supprimés et retirés.
• Découvrez comment déconnecter le connecteur AIP.

Lorsque vous activez le connecteur Microsoft Purview Information Protection, les journaux d’audit sont diffusés en continu dans la table MicrosoftPurviewInformationProtection standardisée. Les données sont collectées via l’API Gestion d’Office, qui utilise un schéma structuré. Le nouveau schéma standardisé est ajusté pour améliorer le schéma déconseillé utilisé par AIP, avec plus de champs et un accès plus facile aux paramètres.

Passez en revue la liste des activités et types d’enregistrement de journal d’audit pris en charge.

Prérequis

Avant de commencer, vérifiez que vous disposez des éléments suivants :

• La solution Microsoft Sentinel activée.
• Un espace de travail Microsoft Sentinel défini.
• Une licence valide pour M365 E3, M365 A3, Microsoft Business de base ou toute autre licence éligible Audit. En savoir plus sur les solutions d’audit dans Microsoft Purview.
• Étiquettes de confidentialité activées pour Office et audit activé.
• Rôle Administrateur général ou Administrateur de sécurité sur l’espace de travail.

Configurer le connecteur

Notes

Si vous définissez le connecteur sur un espace de travail situé dans une autre région que votre emplacement Office 365, les données peuvent être diffusées en continu entre les régions.

1. Ouvrez le portail Azure et accédez au service Microsoft Sentinel.

2. Dans le panneau Connecteurs de données, dans la barre de recherche, tapez Purview.

3. Sélectionnez le connecteur Microsoft Purview Information Protection (préversion).

4. Sous la description du connecteur, sélectionnez Ouvrir la page du connecteur.

5. Sous Configuration, sélectionnez Connecter.

   Lorsqu’une connexion est établie, le bouton Connecter se transforme en Déconnecter. Vous êtes maintenant connecté à Microsoft Purview Information Protection.

Passez en revue la liste des activités et types d’enregistrement de journal d’audit pris en charge.

Déconnecter le connecteur Azure Information Protection

Nous vous recommandons d’utiliser simultanément le connecteur Azure Information Protection et le connecteur Microsoft Purview Information Protection (tous deux activés) pendant une courte période de test. Après la période de test, nous vous recommandons de déconnecter le connecteur Azure Information Protection pour éviter la duplication des données et les coûts redondants.

Pour déconnecter le connecteur Azure Information Protection :

1. Dans le panneau Connecteurs de données, dans la barre de recherche, tapez Azure Information Protection.
2. Sélectionnez Azure Information Protection.
3. Sous la description du connecteur, sélectionnez Ouvrir la page du connecteur.
4. Sous de configuration, sélectionnez Journaux Connecter Azure Information Protection.
5. Désactivez la sélection de l’espace de travail à partir duquel vous souhaitez déconnecter le connecteur, puis sélectionnez OK.

Problèmes connus et limitations

• Les événements concernant les étiquettes de confidentialité, collectés par l’API Gestion d’Office, ne remplissent pas les noms d’étiquettes. Les clients peuvent se servir des watchlists ou des enrichissements définis dans KQL comme illustré dans l’exemple ci-dessous.

• L’API Gestion d’Office n’obtient pas d’étiquette Passer à une version antérieure avec les noms des étiquettes avant et après la rétrogradation. Pour récupérer ces informations, extrayez le labelId de chaque étiquette et enrichissez les résultats.

  Voici un exemple de requête KQL :

  let labelsMap = parse_json('{'
   '"566a334c-ea55-4a20-a1f2-cef81bfaxxxx": "MyLabel1",'
   '"aa1c4270-0694-4fe6-b220-8c7904b0xxxx": "MyLabel2",'
   '"MySensitivityLabelId": "MyLabel3"'
   '}');
   MicrosoftPurviewInformationProtection
   | extend SensitivityLabelName = iif(isnotempty(SensitivityLabelId), 
  tostring(labelsMap[tostring(SensitivityLabelId)]), "")
   | extend OldSensitivityLabelName = iif(isnotempty(OldSensitivityLabelId), 
  tostring(labelsMap[tostring(OldSensitivityLabelId)]), "")
  

• Le tableau MicrosoftPurviewInformationProtection et le tableau OfficeActivity peuvent inclure des événements dupliqués.

Étapes suivantes

Dans cet article, vous avez appris à configurer le connecteur Microsoft Purview Information Protection pour suivre et analyser les données, générer des rapports sur les données et les utiliser à des fins de conformité. Pour en savoir plus sur Microsoft Sentinel, consultez les articles suivants :

• Découvrez comment avoir une visibilité sur vos données et les menaces potentielles.
• Prise en main de la détection des menaces avec Microsoft Sentinel.
• Utilisez des classeurs pour superviser vos données.