Stream dati da Microsoft Purview Information Protection a Microsoft Sentinel

Questo articolo descrive come trasmettere dati da Microsoft Purview Information Protection (in precedenza Microsoft Information Protection o MIP) a Microsoft Sentinel. È possibile usare i dati inseriti dai client e dagli scanner di etichettatura di Microsoft Purview per tenere traccia, analizzare, creare report sui dati e usarli a scopo di conformità.

Importante

Il connettore Microsoft Purview Information Protection è attualmente disponibile in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima Azure includono termini legali aggiuntivi che si applicano alle funzionalità Azure in versione beta, in anteprima o in altro modo non ancora rilasciate nella disponibilità generale.

Panoramica

Il controllo e la creazione di report sono una parte importante della strategia di sicurezza e conformità delle organizzazioni. Con la continua espansione del panorama tecnologico che ha un numero sempre crescente di sistemi, endpoint, operazioni e normative, diventa ancora più importante avere una soluzione completa di registrazione e creazione di report.

Con il connettore Microsoft Purview Information Protection, è possibile trasmettere in streaming gli eventi di controllo generati da client e scanner di etichettatura unificata. I dati vengono quindi emessi nel log di controllo di Microsoft 365 per la creazione di report centralizzati in Microsoft Sentinel.

Con il connettore è possibile:

• Tenere traccia dell'adozione di etichette, esplorare, eseguire query e rilevare eventi.
• Monitorare documenti e messaggi di posta elettronica protetti ed etichettati.
• Monitorare l'accesso degli utenti a documenti e messaggi di posta elettronica etichettati, tenendo traccia delle modifiche di classificazione.
• Ottenere visibilità sulle attività eseguite su etichette, criteri, configurazioni, file e documenti. Questa visibilità consente ai team di sicurezza di identificare le violazioni della sicurezza e le violazioni dei rischi e della conformità.
• Usare i dati del connettore durante un controllo per dimostrare che l'organizzazione è conforme.

connettore Azure Information Protection e connettore Microsoft Purview Information Protection

Questo connettore sostituisce il connettore dati Azure Information Protection (AIP). Il connettore dati Azure Information Protection (AIP) usa la funzionalità log di controllo AIP (anteprima pubblica).

Importante

A partire dal 31 marzo 2023, l'anteprima pubblica dei log di analisi e controllo AIP verrà ritirata e in futuro verrà usata la soluzione di controllo di Microsoft 365.

Per altre informazioni:

• Vedere Servizi rimossi e ritirati.
• Informazioni su come disconnettere il connettore AIP.

Quando si abilita il connettore Microsoft Purview Information Protection, i log di controllo vengono trasmessi nella tabella standardizzataMicrosoftPurviewInformationProtection. I dati vengono raccolti tramite l'API di gestione di Office, che usa uno schema strutturato. Il nuovo schema standardizzato viene regolato per migliorare lo schema deprecato usato da AIP, con più campi e un accesso più semplice ai parametri.

Esaminare l'elenco di attività e tipi di record del log di controllo supportati.

Prerequisiti

Prima di iniziare, verificare di avere:

• Soluzione Microsoft Sentinel abilitata.
• Area di lavoro Microsoft Sentinel definita.
• Una licenza valida per M365 E3, M365 A3, Microsoft Business Basic o qualsiasi altra licenza idonea per Audit. Altre informazioni sulle soluzioni di controllo in Microsoft Purview.
• Abilitate le etichette di riservatezza per Office e il controllo abilitato.
• Ruolo Amministratore della sicurezza nel tenant o autorizzazioni equivalenti.

Configurare il connettore

Nota

Se si imposta il connettore in un'area di lavoro che si trova in un'area diversa dalla posizione Office 365, i dati potrebbero essere trasmessi tra aree.

1. Aprire il portale di Azure e passare al servizio Microsoft Sentinel.

2. Nella barra di ricerca del pannello Connettori dati digitare Purview.

3. Selezionare il connettore Microsoft Purview Information Protection (anteprima).

4. Sotto la descrizione del connettore selezionare Apri pagina connettore.

5. In Configurazione selezionare Connetti.

   Quando viene stabilita una connessione, il pulsante Connetti diventa Disconnetti. A questo momento si è connessi al Microsoft Purview Information Protection.

Esaminare l'elenco di attività e tipi di record del log di controllo supportati.

Disconnettere il connettore Azure Information Protection

È consigliabile usare il connettore Azure Information Protection e il connettore Microsoft Purview Information Protection contemporaneamente (entrambi abilitati) per un breve periodo di test. Dopo il periodo di test, è consigliabile disconnettere il connettore Azure Information Protection per evitare la duplicazione dei dati e i costi ridondanti.

Per disconnettere il connettore Azure Information Protection:

1. Nella barra di ricerca del pannello Connettori dati digitare Azure Information Protection.
2. Selezionare Azure Information Protection.
3. Sotto la descrizione del connettore selezionare Apri pagina connettore.
4. In Configurazione selezionare Connetti Azure Information Protection log.
5. Deselezionare la selezione per l'area di lavoro da cui si vuole disconnettere il connettore e selezionare OK.

Problemi noti e limitazioni

• Gli eventi delle etichette di riservatezza raccolti tramite l'API di gestione di Office non popolano i nomi delle etichette. I clienti possono usare watchlist o arricchimenti definiti in KQL come esempio seguente.

• L'API di gestione di Office non ottiene un'etichetta downgrade con i nomi delle etichette prima e dopo il downgrade. Per recuperare queste informazioni, estrarre l'oggetto labelId di ogni etichetta e arricchire i risultati.

  Ecco un esempio di query KQL:

  let labelsMap = parse_json('{'
   '"566a334c-ea55-4a20-a1f2-cef81bfaxxxx": "MyLabel1",'
   '"aa1c4270-0694-4fe6-b220-8c7904b0xxxx": "MyLabel2",'
   '"MySensitivityLabelId": "MyLabel3"'
   '}');
   MicrosoftPurviewInformationProtection
   | extend SensitivityLabelName = iff(isnotempty(SensitivityLabelId), 
  tostring(labelsMap[tostring(SensitivityLabelId)]), "")
   | extend OldSensitivityLabelName = iff(isnotempty(OldSensitivityLabelId), 
  tostring(labelsMap[tostring(OldSensitivityLabelId)]), "")
  

• La MicrosoftPurviewInformationProtection tabella e la OfficeActivity tabella potrebbero includere alcuni eventi duplicati.

Per altre informazioni sugli elementi seguenti usati negli esempi precedenti, vedere la documentazione di Kusto:

• istruzione let
• operatore extend
• funzione parse_json()
• Funzione iff()
• funzione tostring()

Per altre informazioni su KQL, vedere panoramica di Linguaggio di query Kusto (KQL).

Altre risorse:

• Riferimento rapido KQL
• Linguaggio di query Kusto risorse di apprendimento

Passaggi successivi

In questo articolo si è appreso come configurare il connettore Microsoft Purview Information Protection per tenere traccia, analizzare, creare report sui dati e usarli a scopo di conformità. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti:

• Informazioni su come ottenere visibilità sui dati e sulle potenziali minacce.
• Introduzione al rilevamento delle minacce con Microsoft Sentinel.
• Usare le cartelle di lavoro per monitorare i dati.