이 문서에서는 Microsoft Purview Information Protection(이전의 Microsoft Information Protection 또는 MIP)에서 Microsoft Sentinel 데이터를 스트리밍하는 방법을 설명합니다. Microsoft Purview 레이블 지정 클라이언트 및 스캐너에서 수집된 데이터를 사용하여 데이터를 추적, 분석, 보고하고 규정 준수 목적으로 사용할 수 있습니다.
중요
Microsoft Purview Information Protection 커넥터는 현재 미리 보기로 제공됩니다. Azure 미리 보기 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법적 조건이 포함됩니다.
개요
감사 및 보고는 조직의 보안 및 규정 준수 전략에서 중요한 부분입니다. 시스템, 엔드포인트, 운영 및 규정의 수가 계속 증가하는 기술 환경이 계속 확장됨에 따라 포괄적인 로깅 및 보고 솔루션을 마련하는 것이 더욱 중요해집니다.
Microsoft Purview Information Protection 커넥터를 사용하면 통합 레이블 지정 클라이언트 및 스캐너에서 생성된 감사 이벤트를 스트리밍할 수 있습니다. 그런 다음 데이터는 Microsoft Sentinel 중앙 보고를 위해 Microsoft 365 감사 로그로 내보내집니다.
커넥터를 사용하면 다음을 수행할 수 있습니다.
- 레이블 채택을 추적하고, 이벤트를 탐색, 쿼리 및 검색합니다.
- 레이블이 지정된 문서 및 전자 메일을 모니터링합니다.
- 분류 변경 내용을 추적하는 동안 레이블이 지정된 문서 및 전자 메일에 대한 사용자 액세스를 모니터링합니다.
- 레이블, 정책, 구성, 파일 및 문서에서 수행되는 활동에 대한 가시성을 확보합니다. 이러한 가시성을 통해 보안 팀은 보안 위반 및 위험 및 규정 준수 위반을 식별할 수 있습니다.
- 감사 중에 커넥터 데이터를 사용하여 organization 규격임을 증명합니다.
Azure Information Protection 커넥터 및 Microsoft Purview Information Protection 커넥터
이 커넥터는 AIP(Azure Information Protection) 데이터 커넥터를 대체합니다. AIP(Azure Information Protection) 데이터 커넥터는 AIP 감사 로그(공개 미리 보기) 기능을 사용합니다.
중요
2023년 3월 31일부터 AIP 분석 및 감사 로그 공개 미리 보기가 사용 중지되고 앞으로 Microsoft 365 감사 솔루션을 사용할 예정입니다.
자세한 내용은 다음을 참조하세요.
- 제거된 서비스 및 사용 중지된 서비스를 참조하세요.
- AIP 커넥터의 연결을 끊는 방법을 알아봅니다.
Microsoft Purview Information Protection 커넥터를 사용하도록 설정하면 감사 로그가 표준화된 MicrosoftPurviewInformationProtection 테이블로 스트리밍됩니다. 데이터는 구조적 스키마를 사용하는 Office 관리 API를 통해 수집됩니다. 새 표준화된 스키마는 더 많은 필드와 매개 변수에 더 쉽게 액세스할 수 있는 AIP에서 사용하는 사용되지 않는 스키마를 향상시키기 위해 조정됩니다.
지원되는 감사 로그 레코드 유형 및 활동 목록을 검토합니다.
필수 구성 요소
시작하기 전에 다음이 있는지 확인합니다.
- Microsoft Sentinel 솔루션을 사용하도록 설정했습니다.
- 정의된 Microsoft Sentinel 작업 영역입니다.
- M365 E3, M365 A3, Microsoft Business Basic 또는 기타 감사 적격 라이선스에 대한 유효한 라이선스입니다. Microsoft Purview의 감사 솔루션에 대해 자세히 알아보세요.
- Office에 민감도 레이블을사용하도록 설정하고 감사를 사용하도록 설정했습니다.
- 테넌트 또는 해당 권한에 대한 보안 관리자 역할입니다.
커넥터 설정
참고
Office 365 위치와 다른 지역에 있는 작업 영역에 커넥터를 설정하면 데이터가 지역 간에 스트리밍될 수 있습니다.
Azure Portal 열고 Microsoft Sentinel 서비스로 이동합니다.
데이터 커넥터 블레이드의 검색 창에 Purview를 입력합니다.
Microsoft Purview Information Protection(미리 보기) 커넥터를 선택합니다.
커넥터 설명 아래에서 커넥터 페이지 열기를 선택합니다.
구성에서 연결을 선택합니다.
연결이 설정되면 연결 단추가 연결 끊기로 변경됩니다. 이제 Microsoft Purview Information Protection 연결되었습니다.
지원되는 감사 로그 레코드 유형 및 활동 목록을 검토합니다.
Azure Information Protection 커넥터 연결 끊기
짧은 테스트 기간 동안 Azure Information Protection 커넥터와 Microsoft Purview Information Protection 커넥터를 동시에 사용하는 것이 좋습니다(둘 다 사용). 테스트 기간이 지나면 데이터 중복 및 중복 비용을 방지하기 위해 Azure Information Protection 커넥터의 연결을 끊는 것이 좋습니다.
Azure Information Protection 커넥터의 연결을 끊려면 다음을 수행합니다.
- 데이터 커넥터 블레이드의 검색 창에 Azure Information Protection 입력합니다.
- Azure Information Protection을 선택합니다.
- 커넥터 설명 아래에서 커넥터 페이지 열기를 선택합니다.
- 구성에서 Azure Information Protection 로그 연결을 선택합니다.
- 커넥터의 연결을 끊을 작업 영역에 대한 선택을 취소하고 확인을 선택합니다.
알려진 문제점 및 제한
Office 관리 API를 통해 수집된 민감도 레이블 이벤트는 레이블 이름을 채웁니다. 고객은 아래 예제와 같이 KQL에 정의된 관심 목록 또는 보강을 사용할 수 있습니다.
Office 관리 API는 다운그레이드 전후에 레이블 이름이 포함된 다운그레이드 레이블을 가져오지 않습니다. 이 정보를 검색하려면 각 레이블의 를
labelId추출하고 결과를 보강합니다.다음은 예제 KQL 쿼리입니다.
let labelsMap = parse_json('{' '"566a334c-ea55-4a20-a1f2-cef81bfaxxxx": "MyLabel1",' '"aa1c4270-0694-4fe6-b220-8c7904b0xxxx": "MyLabel2",' '"MySensitivityLabelId": "MyLabel3"' '}'); MicrosoftPurviewInformationProtection | extend SensitivityLabelName = iff(isnotempty(SensitivityLabelId), tostring(labelsMap[tostring(SensitivityLabelId)]), "") | extend OldSensitivityLabelName = iff(isnotempty(OldSensitivityLabelId), tostring(labelsMap[tostring(OldSensitivityLabelId)]), "")MicrosoftPurviewInformationProtection테이블과OfficeActivity테이블에 중복된 이벤트가 포함될 수 있습니다.
이전 예제에서 사용된 다음 항목에 대한 자세한 내용은 Kusto 설명서를 참조하세요.
KQL에 대한 자세한 내용은 Kusto 쿼리 언어(KQL) 개요를 참조하세요.
기타 리소스:
다음 단계
이 문서에서는 데이터를 추적, 분석, 보고하고 규정 준수 목적으로 사용하도록 Microsoft Purview Information Protection 커넥터를 설정하는 방법을 알아보았습니다. Microsoft Sentinel 대한 자세한 내용은 다음 문서를 참조하세요.
- 데이터에 대한 가시성과 잠재적 위협을 파악하는 방법을 알아봅니다.
- Microsoft Sentinel 사용하여 위협 검색을 시작합니다.
- 통합 문서를 사용하여 데이터를 모니터링합니다.