Melakukan streaming data dari Perlindungan Informasi Microsoft Purview ke Microsoft Azure Sentinel

  • Artikel

Artikel ini menjelaskan cara mengalirkan data dari Perlindungan Informasi Microsoft Purview (sebelumnya Microsoft Information Protection atau MIP) ke Microsoft Azure Sentinel. Anda dapat menggunakan data yang diserap dari klien dan pemindai pelabelan Microsoft Purview untuk melacak, menganalisis, melaporkan data, dan menggunakannya untuk tujuan kepatuhan.

Penting

Konektor Perlindungan Informasi Microsoft Purview saat ini dalam PRATINJAU. Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Gambaran Umum

Audit dan pelaporan adalah bagian penting dari strategi keamanan dan kepatuhan organisasi. Dengan terus berkembangnya lanskap teknologi yang memiliki jumlah sistem, titik akhir, operasi, dan peraturan yang terus meningkat, semakin penting untuk memiliki solusi pengelogan dan pelaporan yang komprehensif.

Dengan konektor Perlindungan Informasi Microsoft Purview, Anda mengalirkan peristiwa audit yang dihasilkan dari klien dan pemindai pelabelan terpadu. Data kemudian dipancarkan ke log audit Microsoft 365 untuk pelaporan pusat di Microsoft Azure Sentinel.

Dengan konektor, Anda dapat:

  • Lacak adopsi label, jelajahi, kueri, dan deteksi peristiwa.
  • Pantau dokumen dan email berlabel dan terproteksi.
  • Pantau akses pengguna ke dokumen dan email berlabel, sambil melacak perubahan klasifikasi.
  • Dapatkan visibilitas ke dalam aktivitas yang dilakukan pada label, kebijakan, konfigurasi, file, dan dokumen. Visibilitas ini membantu tim keamanan mengidentifikasi pelanggaran keamanan, serta pelanggaran risiko dan kepatuhan.
  • Gunakan data konektor selama audit, untuk membuktikan bahwa organisasi mematuhinya.

Konektor Azure Information Protection vs. konektor Perlindungan Informasi Microsoft Purview

Konektor ini menggantikan konektor data Azure Information Protection (AIP). Konektor data Azure Information Protection (AIP) menggunakan fitur log audit AIP (pratinjau publik).

Penting

Mulai 31 Maret 2023, analitik AIP dan pratinjau publik log audit akan dihentikan, dan ke depannya akan menggunakan solusi audit Microsoft 365.

Untuk informasi selengkapnya:

Saat Anda mengaktifkan konektor Perlindungan Informasi Microsoft Purview, log audit mengalir ke tabel standarMicrosoftPurviewInformationProtection. Data dikumpulkan melalui Office Management API, yang menggunakan skema terstruktur. Skema standar baru disesuaikan untuk meningkatkan skema yang tidak digunakan lagi yang digunakan oleh AIP, dengan lebih banyak bidang dan akses yang lebih mudah ke parameter.

Tinjau daftar jenis dan aktivitas catatan log audit yang didukung.

Prasyarat

Sebelum Anda mulai, pastikan Anda memiliki:

Menyiapkan konektor

Catatan

Jika Anda mengatur konektor di ruang kerja yang terletak di wilayah yang berbeda dari lokasi Office 365 Anda, data mungkin dialirkan di seluruh wilayah.

  1. Buka portal Microsoft Azure dan navigasikan ke layanan Microsoft Azure Sentinel.

  2. Di bilah Konektor data, di bilah pencarian, ketik Purview.

  3. Pilih konektor Perlindungan Informasi Microsoft Purview (Pratinjau).

  4. Di bawah deskripsi konektor, pilih Buka halaman konektor.

  5. Di bawah Konfigurasi, pilih Sambungkan.

    Saat koneksi dibuat, tombol Sambungkan berubah menjadi Putuskan sambungan. Anda sekarang terhubung ke Perlindungan Informasi Microsoft Purview.

Tinjau daftar jenis dan aktivitas catatan log audit yang didukung.

Memutuskan sambungan konektor Azure Information Protection

Sebaiknya gunakan konektor Azure Information Protection dan konektor Perlindungan Informasi Microsoft Purview secara bersamaan (keduanya diaktifkan) untuk periode pengujian singkat. Setelah periode pengujian, kami sarankan Anda memutuskan konektor Azure Information Protection untuk menghindari duplikasi data dan biaya redundan.

Untuk memutuskan sambungan konektor Azure Information Protection:

  1. Di bilah Konektor data, di bilah pencarian, ketik Azure Information Protection.
  2. Pilih Perlindungan Informasi Azure.
  3. Di bawah deskripsi konektor, pilih Buka halaman konektor.
  4. Di bawahKonfigurasi, pilih Sambungkan log Perlindungan Informasi Azure.
  5. Kosongkan pilihan untuk ruang kerja tempat Anda ingin memutuskan sambungan konektor, dan pilih OK.

Masalah dan batasan yang diketahui

  • Peristiwa label sensitivitas yang dikumpulkan melalui Api Manajemen Office tidak mengisi Nama Label. Pelanggan dapat menggunakan daftar tonton atau pengayaan yang ditentukan dalam KQL seperti contoh di bawah ini.

  • Api Manajemen Office tidak mendapatkan Label Penurunan Tingkat dengan nama label sebelum dan sesudah penurunan tingkat. Untuk mengambil informasi ini, ekstrak labelId dari setiap label dan perkaya hasilnya.

    Berikut adalah contoh kueri KQL:

    let labelsMap = parse_json('{'
 '"566a334c-ea55-4a20-a1f2-cef81bfaxxxx": "MyLabel1",'
 '"aa1c4270-0694-4fe6-b220-8c7904b0xxxx": "MyLabel2",'
 '"MySensitivityLabelId": "MyLabel3"'
 '}');
 MicrosoftPurviewInformationProtection
 | extend SensitivityLabelName = iif(isnotempty(SensitivityLabelId), 
tostring(labelsMap[tostring(SensitivityLabelId)]), "")
 | extend OldSensitivityLabelName = iif(isnotempty(OldSensitivityLabelId), 
tostring(labelsMap[tostring(OldSensitivityLabelId)]), "")

  • Tabel MicrosoftPurviewInformationProtection dan OfficeActivity tabel mungkin menyertakan beberapa peristiwa duplikat.

Langkah berikutnya

Dalam artikel ini, Anda mempelajari cara menyiapkan konektor Perlindungan Informasi Microsoft Purview untuk melacak, menganalisis, melaporkan data, dan menggunakannya untuk tujuan kepatuhan. Untuk mempelajari selengkapnya tentang Microsoft Azure Sentinel, lihat artikel berikut: