この記事では、Microsoft Purview Information Protection (旧称 Microsoft Information Protection または MIP) からMicrosoft Sentinelにデータをストリーミングする方法について説明します。 Microsoft Purview ラベル付けクライアントとスキャナーから取り込まれたデータを使用して、データを追跡、分析、レポートし、コンプライアンスのために使用できます。
重要
Microsoft Purview Information Protection コネクタは現在プレビュー段階です。 Azureプレビュー補足条項には、ベータ版、プレビュー版、または一般公開されていないAzure機能に適用される追加の法的条件が含まれています。
概要
監査とレポートは、組織のセキュリティとコンプライアンス戦略の重要な部分です。 システム、エンドポイント、運用、規制の数が増え続けるテクノロジ環境の継続的な拡大に伴い、包括的なログ記録とレポート ソリューションを用意することがさらに重要になります。
Microsoft Purview Information Protection コネクタでは、統合ラベル付けクライアントとスキャナーから生成された監査イベントをストリーミングします。 その後、データは、Microsoft Sentinelの中央レポート用に Microsoft 365 監査ログに出力されます。
コネクタを使用すると、次のことができます。
- ラベルの導入を追跡し、イベントを探索、クエリ、検出します。
- ラベルが付けられて保護されているドキュメントと電子メールの監視。
- 分類の変更を追跡しながら、ラベル付きドキュメントやメールへのユーザー アクセスを監視します。
- ラベル、ポリシー、構成、ファイル、ドキュメントで実行されるアクティビティを可視化します。 この可視性は、セキュリティ チームがセキュリティ違反、リスクとコンプライアンス違反を特定するのに役立ちます。
- 監査中にコネクタ データを使用して、organizationが準拠していることを証明します。
Azure Information Protection コネクタとMicrosoft Purview Information Protection コネクタ
このコネクタは、Azure Information Protection (AIP) データ コネクタを置き換えます。 Azure Information Protection (AIP) データ コネクタでは、AIP 監査ログ (パブリック プレビュー) 機能が使用されます。
重要
2023 年 3 月 31 日の時点で、AIP 分析と監査ログのパブリック プレビューは廃止され、今後は Microsoft 365 監査ソリューションを使用します。
詳細情報:
- 「削除されたサービスと廃止されたサービス」を参照してください。
- AIP コネクタを切断する方法について説明します。
Microsoft Purview Information Protection コネクタを有効にすると、監査ログは標準化されたMicrosoftPurviewInformationProtection テーブルにストリームされます。 データは、構造化スキーマを使用する Office Management API を使用して収集されます。 新しい標準化されたスキーマは、AIP で使用される非推奨のスキーマを強化するように調整され、より多くのフィールドとパラメーターへのアクセスが容易になります。
サポートされている 監査ログ レコードの種類とアクティビティの一覧を確認します。
前提条件
開始する前に、次のことを確認します。
- Microsoft Sentinel ソリューションが有効になっています。
- 定義済みのMicrosoft Sentinel ワークスペース。
- M365 E3、M365 A3、Microsoft Business Basic、またはその他の監査対象ライセンスに対する有効なライセンス。 詳細については、 Microsoft Purview の監査ソリューションに関するページを参照してください。
- Office の秘密度ラベルを有効 にし、 監査を有効にしました。
- テナントのセキュリティ管理者ロール、または同等のアクセス許可。
コネクタを設定する
注:
Office 365の場所とは異なるリージョンにあるワークスペースにコネクタを設定すると、リージョン間でデータがストリーミングされる可能性があります。
Azure portalを開き、Microsoft Sentinel サービスに移動します。
[ データ コネクタ ] ブレードの検索バーに「 Purview」と入力します。
Microsoft Purview Information Protection (プレビュー) コネクタを選択します。
コネクタの説明の下にある [ コネクタ ページを開く] を選択します。
[ 構成] で、[接続] を選択 します。
接続が確立されると、[ 接続 ] ボタンが [切断] に変わります。 これで、Microsoft Purview Information Protectionに接続されました。
サポートされている 監査ログ レコードの種類とアクティビティの一覧を確認します。
Azure Information Protection コネクタを取り外す
Azure Information Protection コネクタとMicrosoft Purview Information Protection コネクタを同時に使用することをお勧めします (両方とも有効)。 テスト期間が過ぎると、データの重複や冗長コストを回避するために、Azure Information Protection コネクタを切断することをお勧めします。
Azure Information Protection コネクタを切断するには:
- [データ コネクタ] ブレードの検索バーに「Azure Information Protection」と入力します。
- [Azure Information Protection] を選択します。
- コネクタの説明の下にある [ コネクタ ページを開く] を選択します。
- [構成] で、[Azure Information Protection ログの接続] を選択します。
- コネクタを切断するワークスペースの選択を解除し、[ OK] を選択します。
既知の問題と制限事項
Office Management API を介して収集された秘密度ラベル イベントは、ラベル名を設定しません。 お客様は、以下の例のように KQL で定義されているウォッチリストまたはエンリッチメントを使用できます。
Office Management API では、ダウングレード前後のラベルの名前を含むダウングレード ラベルは取得されません。 この情報を取得するには、各ラベルの
labelIdを抽出し、結果をエンリッチします。KQL クエリの例を次に示します。
let labelsMap = parse_json('{' '"566a334c-ea55-4a20-a1f2-cef81bfaxxxx": "MyLabel1",' '"aa1c4270-0694-4fe6-b220-8c7904b0xxxx": "MyLabel2",' '"MySensitivityLabelId": "MyLabel3"' '}'); MicrosoftPurviewInformationProtection | extend SensitivityLabelName = iff(isnotempty(SensitivityLabelId), tostring(labelsMap[tostring(SensitivityLabelId)]), "") | extend OldSensitivityLabelName = iff(isnotempty(OldSensitivityLabelId), tostring(labelsMap[tostring(OldSensitivityLabelId)]), "")MicrosoftPurviewInformationProtectionテーブルとOfficeActivityテーブルには、重複するイベントがいくつか含まれる場合があります。
前の例で使用した次の項目の詳細については、Kusto のドキュメントを参照してください。
KQL の詳細については、「Kusto 照会言語 (KQL) の概要」を参照してください。
その他のリソース:
次の手順
この記事では、Microsoft Purview Information Protection コネクタを設定して、データを追跡、分析、レポートし、コンプライアンスのために使用する方法について説明しました。 Microsoft Sentinelの詳細については、次の記事を参照してください。
- データと潜在的な脅威を可視化する方法について説明します。
- Microsoft Sentinelで脅威の検出を開始します。
- ブックを使用して データを監視します。