Melakukan streaming data dari Perlindungan Informasi Microsoft Purview ke Microsoft Azure Sentinel
Artikel ini menjelaskan cara mengalirkan data dari Perlindungan Informasi Microsoft Purview (sebelumnya Microsoft Information Protection atau MIP) ke Microsoft Azure Sentinel. Anda dapat menggunakan data yang diserap dari klien dan pemindai pelabelan Microsoft Purview untuk melacak, menganalisis, melaporkan data, dan menggunakannya untuk tujuan kepatuhan.
Penting
Konektor Perlindungan Informasi Microsoft Purview saat ini dalam PRATINJAU. Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.
Gambaran Umum
Audit dan pelaporan adalah bagian penting dari strategi keamanan dan kepatuhan organisasi. Dengan terus berkembangnya lanskap teknologi yang memiliki jumlah sistem, titik akhir, operasi, dan peraturan yang terus meningkat, semakin penting untuk memiliki solusi pengelogan dan pelaporan yang komprehensif.
Dengan konektor Perlindungan Informasi Microsoft Purview, Anda mengalirkan peristiwa audit yang dihasilkan dari klien dan pemindai pelabelan terpadu. Data kemudian dipancarkan ke log audit Microsoft 365 untuk pelaporan pusat di Microsoft Azure Sentinel.
Dengan konektor, Anda dapat:
- Lacak adopsi label, jelajahi, kueri, dan deteksi peristiwa.
- Pantau dokumen dan email berlabel dan terproteksi.
- Pantau akses pengguna ke dokumen dan email berlabel, sambil melacak perubahan klasifikasi.
- Dapatkan visibilitas ke dalam aktivitas yang dilakukan pada label, kebijakan, konfigurasi, file, dan dokumen. Visibilitas ini membantu tim keamanan mengidentifikasi pelanggaran keamanan, serta pelanggaran risiko dan kepatuhan.
- Gunakan data konektor selama audit, untuk membuktikan bahwa organisasi mematuhinya.
Konektor Azure Information Protection vs. konektor Perlindungan Informasi Microsoft Purview
Konektor ini menggantikan konektor data Azure Information Protection (AIP). Konektor data Azure Information Protection (AIP) menggunakan fitur log audit AIP (pratinjau publik).
Penting
Mulai 31 Maret 2023, analitik AIP dan pratinjau publik log audit akan dihentikan, dan ke depannya akan menggunakan solusi audit Microsoft 365.
Untuk informasi selengkapnya:
- Lihat Layanan yang dihapus dan dihentikan.
- Pelajari cara memutuskan sambungan konektor AIP.
Saat Anda mengaktifkan konektor Perlindungan Informasi Microsoft Purview, log audit mengalir ke tabel standarMicrosoftPurviewInformationProtection
. Data dikumpulkan melalui Office Management API, yang menggunakan skema terstruktur. Skema standar baru disesuaikan untuk meningkatkan skema yang tidak digunakan lagi yang digunakan oleh AIP, dengan lebih banyak bidang dan akses yang lebih mudah ke parameter.
Tinjau daftar jenis dan aktivitas catatan log audit yang didukung.
Prasyarat
Sebelum Anda mulai, pastikan Anda memiliki:
- Solusi Microsoft Sentinel diaktifkan.
- Ruang kerja Microsoft Sentinel yang ditentukan.
- Lisensi yang valid untuk M365 E3, M365 A3, Microsoft Business Basic, atau lisensi audit lainnya yang memenuhi syarat. Baca selengkapnya tentang solusi audit di Microsoft Purview.
- Mengaktifkan label Sensitivitas untuk Office dan mengaktifkan audit.
- Peran Administrator Global atau Administrator Keamanan di ruang kerja.
Menyiapkan konektor
Catatan
Jika Anda mengatur konektor di ruang kerja yang terletak di wilayah yang berbeda dari lokasi Office 365 Anda, data mungkin dialirkan di seluruh wilayah.
Buka portal Microsoft Azure dan navigasikan ke layanan Microsoft Azure Sentinel.
Di bilah Konektor data, di bilah pencarian, ketik Purview.
Pilih konektor Perlindungan Informasi Microsoft Purview (Pratinjau).
Di bawah deskripsi konektor, pilih Buka halaman konektor.
Di bawah Konfigurasi, pilih Sambungkan.
Saat koneksi dibuat, tombol Sambungkan berubah menjadi Putuskan sambungan. Anda sekarang terhubung ke Perlindungan Informasi Microsoft Purview.
Tinjau daftar jenis dan aktivitas catatan log audit yang didukung.
Memutuskan sambungan konektor Azure Information Protection
Sebaiknya gunakan konektor Azure Information Protection dan konektor Perlindungan Informasi Microsoft Purview secara bersamaan (keduanya diaktifkan) untuk periode pengujian singkat. Setelah periode pengujian, kami sarankan Anda memutuskan konektor Azure Information Protection untuk menghindari duplikasi data dan biaya redundan.
Untuk memutuskan sambungan konektor Azure Information Protection:
- Di bilah Konektor data, di bilah pencarian, ketik Azure Information Protection.
- Pilih Perlindungan Informasi Azure.
- Di bawah deskripsi konektor, pilih Buka halaman konektor.
- Di bawahKonfigurasi, pilih Sambungkan log Perlindungan Informasi Azure.
- Kosongkan pilihan untuk ruang kerja tempat Anda ingin memutuskan sambungan konektor, dan pilih OK.
Masalah dan batasan yang diketahui
Peristiwa label sensitivitas yang dikumpulkan melalui Api Manajemen Office tidak mengisi Nama Label. Pelanggan dapat menggunakan daftar tonton atau pengayaan yang ditentukan dalam KQL seperti contoh di bawah ini.
Api Manajemen Office tidak mendapatkan Label Penurunan Tingkat dengan nama label sebelum dan sesudah penurunan tingkat. Untuk mengambil informasi ini, ekstrak
labelId
dari setiap label dan perkaya hasilnya.Berikut adalah contoh kueri KQL:
let labelsMap = parse_json('{' '"566a334c-ea55-4a20-a1f2-cef81bfaxxxx": "MyLabel1",' '"aa1c4270-0694-4fe6-b220-8c7904b0xxxx": "MyLabel2",' '"MySensitivityLabelId": "MyLabel3"' '}'); MicrosoftPurviewInformationProtection | extend SensitivityLabelName = iif(isnotempty(SensitivityLabelId), tostring(labelsMap[tostring(SensitivityLabelId)]), "") | extend OldSensitivityLabelName = iif(isnotempty(OldSensitivityLabelId), tostring(labelsMap[tostring(OldSensitivityLabelId)]), "")
Tabel
MicrosoftPurviewInformationProtection
danOfficeActivity
tabel mungkin menyertakan beberapa peristiwa duplikat.
Langkah berikutnya
Dalam artikel ini, Anda mempelajari cara menyiapkan konektor Perlindungan Informasi Microsoft Purview untuk melacak, menganalisis, melaporkan data, dan menggunakannya untuk tujuan kepatuhan. Untuk mempelajari selengkapnya tentang Microsoft Azure Sentinel, lihat artikel berikut:
- Pelajari cara mendapatkan visibilitas ke data Anda dan potensi ancaman.
- Mulai mendeteksi ancaman dengan Microsoft Azure Sentinel.
- Gunakan buku kerja untuk memantau data Anda.