Gegevens streamen van Microsoft Purview Informatiebeveiliging naar Microsoft Sentinel

In dit artikel wordt beschreven hoe u gegevens van Microsoft Purview Informatiebeveiliging (voorheen Microsoft Information Protection of MIP) naar Microsoft Sentinel kunt streamen. U kunt de gegevens die zijn opgenomen van de Microsoft Purview-labelclients en -scanners gebruiken om de gegevens bij te houden, te analyseren, te rapporteren en te gebruiken voor nalevingsdoeleinden.

Belangrijk

De Microsoft Purview Informatiebeveiliging-connector is momenteel in PREVIEW. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

Overzicht

Controle en rapportage vormen een belangrijk onderdeel van de beveiligings- en nalevingsstrategie van organisaties. Met de voortdurende uitbreiding van het technologielandschap met een steeds groter aantal systemen, eindpunten, bewerkingen en regelgeving, wordt het nog belangrijker om een uitgebreide oplossing voor logboekregistratie en rapportage te hebben.

Met de Microsoft Purview Informatiebeveiliging-connector streamt u controle-gebeurtenissen die zijn gegenereerd op basis van geïntegreerde labelclients en scanners. De gegevens worden vervolgens verzonden naar het Microsoft 365-auditlogboek voor centrale rapportage in Microsoft Sentinel.

Met de connector kunt u het volgende doen:

• Acceptatie van labels bijhouden, gebeurtenissen verkennen, opvragen en detecteren.
• Gelabelde en beveiligde documenten en e-mailberichten bewaken.
• Gebruikerstoegang tot gelabelde documenten en e-mailberichten bewaken tijdens het bijhouden van classificatiewijzigingen.
• Krijg inzicht in activiteiten die worden uitgevoerd op labels, beleid, configuraties, bestanden en documenten. Deze zichtbaarheid helpt beveiligingsteams beveiligingsschendingen en schendingen van risico's en naleving te identificeren.
• Gebruik de connectorgegevens tijdens een controle om te bewijzen dat de organisatie compatibel is.

Azure Information Protection-connector versus Microsoft Purview Informatiebeveiliging-connector

Deze connector vervangt de AIP-gegevensconnector (Azure Information Protection). De AIP-gegevensconnector (Azure Information Protection) maakt gebruik van de functie AIP-auditlogboeken (openbare preview).

Belangrijk

Vanaf 31 maart 2023 wordt de openbare preview van AIP-analyse en auditlogboeken buiten gebruik gesteld en wordt de microsoft 365-controleoplossing gebruikt.

Voor meer informatie:

• Zie Verwijderde en buiten gebruik gestelde services.
• Meer informatie over het verbreken van de verbinding met de AIP-connector.

Wanneer u de Microsoft Purview Informatiebeveiliging-connector inschakelt, worden auditlogboeken naar de gestandaardiseerde tabel gestreamdMicrosoftPurviewInformationProtection. Gegevens worden verzameld via de Office Management-API, die gebruikmaakt van een gestructureerd schema. Het nieuwe gestandaardiseerde schema wordt aangepast om het afgeschafte schema dat door AIP wordt gebruikt, te verbeteren, met meer velden en eenvoudigere toegang tot parameters.

Bekijk de lijst met ondersteunde typen en activiteiten voor auditlogboekrecords.

Vereisten

Controleer voordat u begint of u het volgende hebt:

• De Microsoft Sentinel-oplossing is ingeschakeld.
• Een gedefinieerde Microsoft Sentinel-werkruimte.
• Een geldige licentie voor M365 E3, M365 A3, Microsoft Business Basic of een andere in aanmerking komende auditlicentie. Lees meer over controleoplossingen in Microsoft Purview.
• Gevoeligheidslabels ingeschakeld voor Office en controle ingeschakeld.
• De rol Globale beheerder of Beveiligingsbeheerder voor de werkruimte.

De connector instellen

Notitie

Als u de connector instelt voor een werkruimte in een andere regio dan uw Office 365 locatie, worden gegevens mogelijk gestreamd tussen regio's.

1. Open de Azure Portal en navigeer naar de Microsoft Sentinel-service.

2. Typ purview op de blade Gegevensconnectors in de zoekbalk.

3. Selecteer de connector Microsoft Purview Informatiebeveiliging (preview).

4. Selecteer onder de beschrijving van de connector de optie Connectorpagina openen.

5. Selecteer onder Configuratiede optie Verbinding maken.

   Wanneer een verbinding tot stand is gebracht, verandert de knop Verbinding maken in Verbinding verbreken. U bent nu verbonden met de Microsoft Purview Informatiebeveiliging.

Bekijk de lijst met ondersteunde typen en activiteiten voor auditlogboekrecords.

Verbinding met de Azure Information Protection-connector verbreken

U wordt aangeraden de Azure Information Protection-connector en de Microsoft Purview Informatiebeveiliging-connector tegelijkertijd te gebruiken (beide ingeschakeld) voor een korte testperiode. Na de testperiode raden we u aan de Azure Information Protection-connector los te koppelen om dubbele gegevens en redundante kosten te voorkomen.

De verbinding met de Azure Information Protection-connector verbreken:

1. Typ op de blade Gegevensconnectors in de zoekbalk Azure Information Protection.
2. Selecteer Azure Information Protection.
3. Selecteer onder de beschrijving van de connector de optie Connectorpagina openen.
4. Selecteer onder Configuratiede optie Azure Information Protection-logboeken verbinden.
5. Schakel de selectie uit voor de werkruimte waaruit u de verbinding met de connector wilt verbreken en selecteer OK.

Bekende problemen en beperkingen

• Vertrouwelijkheidslabels die zijn verzameld via de Office Management-API vullen de labelnamen niet. Klanten kunnen volglijsten of verrijkingen gebruiken die zijn gedefinieerd in KQL, zoals in het onderstaande voorbeeld.

• De Office Management-API krijgt geen downgradelabel met de namen van de labels vóór en na de downgrade. Als u deze informatie wilt ophalen, extraheert u de labelId van elk label en verrijkt u de resultaten.

  Hier volgt een voorbeeld van een KQL-query:

  let labelsMap = parse_json('{'
   '"566a334c-ea55-4a20-a1f2-cef81bfaxxxx": "MyLabel1",'
   '"aa1c4270-0694-4fe6-b220-8c7904b0xxxx": "MyLabel2",'
   '"MySensitivityLabelId": "MyLabel3"'
   '}');
   MicrosoftPurviewInformationProtection
   | extend SensitivityLabelName = iif(isnotempty(SensitivityLabelId), 
  tostring(labelsMap[tostring(SensitivityLabelId)]), "")
   | extend OldSensitivityLabelName = iif(isnotempty(OldSensitivityLabelId), 
  tostring(labelsMap[tostring(OldSensitivityLabelId)]), "")
  

• De MicrosoftPurviewInformationProtection tabel en de OfficeActivity tabel kunnen enkele gedupliceerde gebeurtenissen bevatten.

Volgende stappen

In dit artikel hebt u geleerd hoe u de Microsoft Purview Informatiebeveiliging-connector instelt om de gegevens bij te houden, te analyseren, te rapporteren en te gebruiken voor nalevingsdoeleinden. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel:

• Meer informatie over het verkrijgen van inzicht in uw gegevens en mogelijke bedreigingen.
• Ga aan de slag met het detecteren van bedreigingen met Microsoft Sentinel.
• Gebruik werkmappen om uw gegevens te bewaken.