Microsoft Purview Information Protection から Microsoft Sentinel にデータをストリーミングする

  • [アーティクル]

この記事では、Microsoft Purview Information Protection (以前の Microsoft Information Protection (MIP)) から Microsoft Sentinel にデータをストリーミングする方法を説明します。 Microsoft Purview ラベル付けクライアントとスキャナーから取り込まれたデータを使用して、データの追跡、分析、レポートを実行し、コンプライアンスの目的でそれを使用することができます。

重要

Microsoft Purview Information Protection コネクタは現在、プレビュー段階です。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。

概要

監査とレポートは、組織のセキュリティとコンプライアンスの戦略の重要な部分です。 システム、エンドポイント、運用、規制の数が増え続けるテクノロジ ランドスケープは継続的に拡大しているため、包括的なログ記録とレポートのソリューションの導入は、さらに重要になります。

Microsoft Purview Information Protection コネクタを使用すると、統合ラベル付けクライアントとスキャナーで生成された監査イベントをストリーミングできます。 その後、Microsoft Sentinel の中央レポートの Microsoft 365 監査ログにデータが出力されます。

このコネクタを使用すると、次のことができます。

  • ラベルの導入を追跡し、イベントの調査、クエリ、検出を行います。
  • ラベルが付けられ、保護されているドキュメントと電子メールを監視します。
  • ラベルが付けられたドキュメントと電子メールへのユーザーのアクセスを監視すると同時に、分類の変更を追跡します。
  • ラベル、ポリシー、構成、ファイル、ドキュメントに対して実行されたアクティビティを可視化します。 この可視性は、セキュリティ違反、リスク、およびコンプライアンス違反をセキュリティ チームが特定するために役立ちます。
  • 監査中にコネクタ データを使用して、組織が準拠していることを証明します。

Azure Information Protection コネクタと Microsoft Purview Information Protection コネクタ

このコネクタは、Azure Information Protection (AIP) データ コネクタに代わって使用されます。 Azure Information Protection (AIP) データ コネクタは、AIP 監査ログ (パブリック プレビュー) 機能を使用します。

重要

2023 年 3 月 31 日の時点で、AIP の分析と監査ログのパブリック プレビューが終了し、その後は、Microsoft 365 監査ソリューションが使用されます。

詳細情報:

Microsoft Purview Information Protection コネクタを有効にすると、標準化されたMicrosoftPurviewInformationProtectionテーブルに監査ログがストリーミングされます。 データは、構造化スキーマを使用する Office Management API を介して収集されます。 標準化された新しいスキーマは、AIP で使用される非推奨のスキーマを拡張するように調整されているため、より多くのフィールドを使用し、容易にパラメーターにアクセスすることができます。

サポートされている監査ログ レコードの種類とアクティビティの一覧を確認できます。

前提条件

開始する前に、次のものがあることを確認します。

  • 有効になっている Microsoft Sentinel ソリューション。
  • 定義済みの Microsoft Sentinel ワークスペース。
  • M365 E3、M365 A3、Microsoft Business Basic、またはその他の監査対象ライセンスに対する有効なライセンス。 詳細については、Microsoft Purview の監査ソリューションに関するページを参照してください。
  • Office の秘密度ラベルが有効になっており、 監査が有効になっていること。
  • ワークスペースでのグローバル管理者またはセキュリティ管理者の役割。

コネクタを設定する

Note

Office 365 の場所とは異なるリージョンにあるワークスペースにコネクタを設定すると、複数のリージョンにわたってデータがストリーミングされる可能性があります。

  1. Azure portal を開き、Microsoft Sentinel サービスに移動します。

  2. [データ コネクタ] ブレードの検索バーに「Purview」と入力します。

  3. Microsoft Purview Information Protection (Preview) コネクタを選択します。

  4. コネクタの説明の下にある [コネクタ ページを開く] を選びます。

  5. [構成][接続] を選択します。

    接続が確立されると、[接続] ボタンが [接続解除] に変わります。 これで、Microsoft Purview Information Protection に接続されました。

サポートされている監査ログ レコードの種類とアクティビティの一覧を確認できます。

Azure Information Protection コネクタの接続を切断する

テスト期間が短い場合は、Azure Information Protection コネクタと Microsoft Purview Information Protection コネクタ (両方とも有効にする) を同時に使用することをお勧めします。 テスト期間後は Azure Information Protection コネクタの接続を切断して、データの重複と余分なコストを回避することをお勧めします。

Azure Information Protection コネクタの接続を切断するには:

  1. [データ コネクタ] ブレードの検索バーに「Azure Information Protection」と入力します。
  2. [Azure Information Protection] を選択します。
  3. コネクタの説明の下にある [コネクタ ページを開く] を選びます。
  4. [構成] で、 [Azure Information Protection ログを接続する] を選択します。
  5. コネクタを切断するワークスペースの選択を解除して、[OK] を選びます。

既知の問題と制限事項

  • Office Management API 経由で収集された秘密度ラベル イベントは、ラベル名にデータを設定しません。 顧客は、以下の例のように KQL で定義されているウォッチリストまたはエンリッチメントを使用できます。

  • Office Management API では、ダウングレードの前後に、ラベルの名前を含むダウングレード ラベルが取得されません。 この情報を取得するには、各ラベルの labelId を抽出し、結果をエンリッチします。

    KQL クエリの例を以下に示します。

    let labelsMap = parse_json('{'
 '"566a334c-ea55-4a20-a1f2-cef81bfaxxxx": "MyLabel1",'
 '"aa1c4270-0694-4fe6-b220-8c7904b0xxxx": "MyLabel2",'
 '"MySensitivityLabelId": "MyLabel3"'
 '}');
 MicrosoftPurviewInformationProtection
 | extend SensitivityLabelName = iif(isnotempty(SensitivityLabelId), 
tostring(labelsMap[tostring(SensitivityLabelId)]), "")
 | extend OldSensitivityLabelName = iif(isnotempty(OldSensitivityLabelId), 
tostring(labelsMap[tostring(OldSensitivityLabelId)]), "")

  • MicrosoftPurviewInformationProtection テーブルと OfficeActivity テーブルには、重複するイベントが含まれている場合があります。

次の手順

この記事では、Microsoft Purview Information Protection コネクタを設定してデータの追跡、分析、レポートを行い、コンプライアンスの目的で使用する方法を説明しました。 Microsoft Sentinel の詳細については、次の記事を参照してください。