Trasmettere dati da Microsoft Purview Information Protection a Microsoft Sentinel

Questo articolo descrive come trasmettere dati da Microsoft Purview Information Protection (in precedenza Microsoft Information Protection o MIP) a Microsoft Sentinel. È possibile usare i dati inseriti dai client di etichettatura e dagli scanner di Microsoft Purview per tenere traccia, analizzare, segnalare i dati e usarli a scopo di conformità.

Importante

Il connettore Microsoft Purview Information Protection è attualmente in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.

Panoramica

Il controllo e la creazione di report sono una parte importante della strategia di sicurezza e conformità delle organizzazioni. Con l'espansione continua del panorama tecnologico che ha un numero sempre crescente di sistemi, endpoint, operazioni e normative, diventa ancora più importante avere una soluzione completa di registrazione e creazione di report.

Con il connettore Microsoft Purview Information Protection è possibile trasmettere gli eventi di controllo generati da client e scanner di etichettatura unificata. I dati vengono quindi generati nel log di controllo di Microsoft 365 per la creazione di report centrali in Microsoft Sentinel.

Con il connettore è possibile:

• Tenere traccia dell'adozione di etichette, esplorare, eseguire query e rilevare gli eventi.
• Monitorare documenti e messaggi di posta elettronica protetti e etichettati.
• Monitorare l'accesso utente ai documenti e ai messaggi di posta elettronica etichettati, durante il rilevamento delle modifiche alla classificazione.
• Ottenere visibilità sulle attività eseguite su etichette, criteri, configurazioni, file e documenti. Questa visibilità consente ai team di sicurezza di identificare le violazioni della sicurezza e le violazioni dei rischi e della conformità.
• Usare i dati del connettore durante un controllo per dimostrare che l'organizzazione è conforme.

Connettore di Azure Information Protection e Microsoft Purview Information Protection connettore

Questo connettore sostituisce il connettore dati di Azure Information Protection (AIP). Il connettore dati di Azure Information Protection (AIP) usa la funzionalità log di controllo AIP (anteprima pubblica).

Importante

A partire dal 31 marzo 2023, l'anteprima pubblica dei log di analisi E controllo AIP verrà ritirata e lo spostamento in avanti verrà usata la soluzione di controllo di Microsoft 365.

Per altre informazioni:

• Vedere Servizi rimossi e ritirati.
• Informazioni su come disconnettere il connettore AIP.

Quando si abilita il connettore Microsoft Purview Information Protection, i log di controllo vengono trasmessi alla tabella standardizzataMicrosoftPurviewInformationProtection. I dati vengono raccolti tramite l'API di gestione di Office, che usa uno schema strutturato. Il nuovo schema standardizzato viene modificato per migliorare lo schema deprecato usato da AIP, con più campi e più facile accesso ai parametri.

Esaminare l'elenco dei tipi di record e delle attività del log di controllo supportati.

Prerequisiti

Prima di iniziare, verificare di avere:

• Soluzione Microsoft Sentinel abilitata.
• Area di lavoro Di Microsoft Sentinel definita.
• Licenza valida per M365 E3, M365 A3, Microsoft Business Basic o qualsiasi altra licenza idonea per il controllo. Altre informazioni sulle soluzioni di controllo in Microsoft Purview.
• Etichette di riservatezza abilitate per Office e controllo abilitato.
• Ruolo Amministratore globale o Amministratore sicurezza nell'area di lavoro.

Configurare il connettore

Nota

Se si imposta il connettore in un'area di lavoro in un'area diversa rispetto alla posizione Office 365, i dati potrebbero essere trasmessi tra aree.

1. Aprire il portale di Azure e passare al servizio Microsoft Sentinel.

2. Nel pannello Connettori dati digitare Purview nella barra di ricerca.

3. Selezionare il connettore Microsoft Purview Information Protection (anteprima).

4. Sotto la descrizione del connettore selezionare Apri pagina connettore.

5. In Configurazione selezionare Connetti.

   Quando viene stabilita una connessione, il pulsante Connetti viene modificato in Disconnetti. A questo momento si è connessi all'Microsoft Purview Information Protection.

Esaminare l'elenco dei tipi di record e delle attività del log di controllo supportati.

Disconnettere il connettore di Azure Information Protection

È consigliabile usare il connettore azure Information Protection e il connettore Microsoft Purview Information Protection contemporaneamente (entrambi abilitati) per un breve periodo di test. Dopo il periodo di test, è consigliabile disconnettere il connettore azure Information Protection per evitare la duplicazione dei dati e i costi ridondanti.

Per disconnettere il connettore di Information Protection di Azure:

1. Nel pannello Connettori dati digitare Azure Information Protection nella barra di ricerca.
2. Selezionare Azure Information Protection.
3. Sotto la descrizione del connettore selezionare Apri pagina connettore.
4. In Configurazione selezionare Connetti i log di Azure Information Protection.
5. Deselezionare la selezione per l'area di lavoro da cui si vuole disconnettere il connettore e selezionare OK.

Limitazioni e problemi noti

• Gli eventi di etichetta di riservatezza raccolti tramite l'API di gestione di Office non popolano i nomi delle etichette. I clienti possono usare elenchi di controllo o arricchimenti definiti in KQL come esempio seguente.

• L'API di gestione di Office non ottiene un'etichetta di downgrade con i nomi delle etichette prima e dopo il downgrade. Per recuperare queste informazioni, estrarre l'etichetta labelId di ogni etichetta e arricchire i risultati.

  Di seguito è riportata una query KQL di esempio:

  let labelsMap = parse_json('{'
   '"566a334c-ea55-4a20-a1f2-cef81bfaxxxx": "MyLabel1",'
   '"aa1c4270-0694-4fe6-b220-8c7904b0xxxx": "MyLabel2",'
   '"MySensitivityLabelId": "MyLabel3"'
   '}');
   MicrosoftPurviewInformationProtection
   | extend SensitivityLabelName = iif(isnotempty(SensitivityLabelId), 
  tostring(labelsMap[tostring(SensitivityLabelId)]), "")
   | extend OldSensitivityLabelName = iif(isnotempty(OldSensitivityLabelId), 
  tostring(labelsMap[tostring(OldSensitivityLabelId)]), "")
  

• La MicrosoftPurviewInformationProtection tabella e la OfficeActivity tabella potrebbero includere alcuni eventi duplicati.

Passaggi successivi

In questo articolo si è appreso come configurare il connettore Microsoft Purview Information Protection per tenere traccia, analizzare, segnalare i dati e usarli a scopo di conformità. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti:

• Informazioni su come ottenere visibilità sui dati e sulle potenziali minacce.
• Iniziare a rilevare le minacce con Microsoft Sentinel.
• Usare le cartelle di lavoro per monitorare i dati.