Przesyłanie strumieniowe danych z usługi Microsoft Purview Information Protection do usługi Microsoft Sentinel

W tym artykule opisano sposób przesyłania strumieniowego danych z usługi Microsoft Purview Information Protection (dawniej Microsoft Information Protection lub MIP) do usługi Microsoft Sentinel. Możesz użyć danych pozyskanych z klientów i skanerów etykietowania Microsoft Purview, aby śledzić, analizować, raportować dane i używać ich do celów zgodności.

Ważne

Łącznik usługi Microsoft Purview Information Protection jest obecnie w wersji ZAPOZNAWCZEJ. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Omówienie

Inspekcja i raportowanie są ważną częścią strategii zabezpieczeń i zgodności organizacji. Dzięki ciągłemu rozszerzaniu środowiska technologicznego, który ma coraz większą liczbę systemów, punktów końcowych, operacji i przepisów, staje się jeszcze ważniejszy, aby zapewnić kompleksowe rozwiązanie do rejestrowania i raportowania.

Łącznik Microsoft Purview Information Protection umożliwia przesyłanie strumieniowe zdarzeń inspekcji generowanych na podstawie ujednoliconych klientów etykietowania i skanerów. Dane są następnie emitowane do dziennika inspekcji platformy Microsoft 365 na potrzeby centralnego raportowania w usłudze Microsoft Sentinel.

Za pomocą łącznika można wykonywać następujące czynności:

• Śledzenie wdrażania etykiet, eksplorowanie, wykonywanie zapytań i wykrywanie zdarzeń.
• Monitorowanie dokumentów i wiadomości e-mail oznaczonych etykietami oraz chronionych.
• Monitorowanie dostępu użytkowników do dokumentów i wiadomości e-mail oznaczonych etykietami podczas śledzenia zmian klasyfikacji.
• Uzyskaj wgląd w działania wykonywane na etykietach, zasadach, konfiguracjach, plikach i dokumentach. Ta widoczność pomaga zespołom ds. zabezpieczeń identyfikować naruszenia zabezpieczeń oraz naruszenia ryzyka i zgodności.
• Użyj danych łącznika podczas inspekcji, aby udowodnić, że organizacja jest zgodna.

Łącznik usługi Azure Information Protection a łącznik usługi Microsoft Purview Information Protection

Ten łącznik zastępuje łącznik danych usługi Azure Information Protection (AIP). Łącznik danych usługi Azure Information Protection (AIP) używa funkcji dzienników inspekcji usługi AIP (publiczna wersja zapoznawcza).

Ważne

Od 31 marca 2023 r. publiczna wersja zapoznawcza dzienników analizy i inspekcji usługi AIP zostanie wycofana i będzie korzystać z rozwiązania do inspekcji platformy Microsoft 365.

Więcej informacji można znaleźć na stronie

• Zobacz Usunięte i wycofane usługi.
• Dowiedz się, jak rozłączyć łącznik usługi AIP.

Po włączeniu łącznika usługi Microsoft Purview Information Protection dzienniki inspekcji są przesyłane strumieniowo do standardowej MicrosoftPurviewInformationProtection tabeli. Dane są zbierane za pośrednictwem interfejsu API zarządzania pakietem Office, który używa schematu strukturalnego. Nowy ustandaryzowany schemat jest dostosowywany w celu ulepszenia przestarzałego schematu używanego przez usługę AIP, przy użyciu większej liczby pól i łatwiejszego dostępu do parametrów.

Przejrzyj listę obsługiwanych typów rekordów i działań dziennika inspekcji.

Wymagania wstępne

Przed rozpoczęciem sprawdź, czy masz:

• Rozwiązanie Microsoft Sentinel jest włączone.
• Zdefiniowany obszar roboczy usługi Microsoft Sentinel.
• Ważna licencja na M365 E3, M365 A3, Microsoft Business Basic lub dowolną inną licencję kwalifikującą się do inspekcji. Przeczytaj więcej na temat rozwiązań do inspekcji w usłudze Microsoft Purview.
• Włączone etykiety poufności dla pakietu Office i włączone inspekcje.
• Rola Administrator zabezpieczeń w dzierżawie lub równoważne uprawnienia.

Ustaw łącznik

Uwaga

Jeśli ustawisz łącznik w obszarze roboczym znajdującym się w innym regionie niż lokalizacja usługi Office 365, dane mogą być przesyłane strumieniowo w różnych regionach.

1. Otwórz witrynę Azure Portal i przejdź do usługi Microsoft Sentinel .

2. W bloku Łączniki danych na pasku wyszukiwania wpisz Purview.

3. Wybierz łącznik Microsoft Purview Information Protection (wersja zapoznawcza).

4. Poniżej opisu łącznika wybierz pozycję Otwórz stronę łącznika.

5. W obszarze Konfiguracja wybierz pozycję Połącz.

   Po nawiązaniu połączenia przycisk Połącz zmieni się na Rozłącz. Masz teraz połączenie z usługą Microsoft Purview Information Protection.

Przejrzyj listę obsługiwanych typów rekordów i działań dziennika inspekcji.

Odłączanie łącznika usługi Azure Information Protection

Zalecamy jednoczesne używanie łącznika usługi Azure Information Protection i łącznika usługi Microsoft Purview Information Protection (włączone) przez krótki okres testowania. Po okresie testowania zalecamy rozłączenie łącznika usługi Azure Information Protection, aby uniknąć duplikowania danych i nadmiarowych kosztów.

Aby odłączyć łącznik usługi Azure Information Protection:

1. W bloku Łączniki danych na pasku wyszukiwania wpisz Azure Information Protection.
2. Wybierz usługę Azure Information Protection.
3. Poniżej opisu łącznika wybierz pozycję Otwórz stronę łącznika.
4. W obszarze Konfiguracja wybierz pozycję Połącz dzienniki usługi Azure Information Protection.
5. Wyczyść zaznaczenie obszaru roboczego, z którego chcesz odłączyć łącznik, i wybierz przycisk OK.

Znane problemy i ograniczenia

• Zdarzenia etykiet poufności zebrane za pośrednictwem interfejsu API zarządzania pakietem Office nie wypełniają nazw etykiet. Klienci mogą używać list do obejrzenia lub wzbogacenia zdefiniowanych w języku KQL, jak pokazano poniżej.

• Interfejs API zarządzania pakietu Office nie uzyskuje etykiety obniżenia poziomu z nazwami etykiet przed i po obniżeniu poziomu. Aby pobrać te informacje, wyodrębnij labelId każdą etykietę i wzbogacij wyniki.

  Oto przykładowe zapytanie KQL:

  let labelsMap = parse_json('{'
   '"566a334c-ea55-4a20-a1f2-cef81bfaxxxx": "MyLabel1",'
   '"aa1c4270-0694-4fe6-b220-8c7904b0xxxx": "MyLabel2",'
   '"MySensitivityLabelId": "MyLabel3"'
   '}');
   MicrosoftPurviewInformationProtection
   | extend SensitivityLabelName = iif(isnotempty(SensitivityLabelId), 
  tostring(labelsMap[tostring(SensitivityLabelId)]), "")
   | extend OldSensitivityLabelName = iif(isnotempty(OldSensitivityLabelId), 
  tostring(labelsMap[tostring(OldSensitivityLabelId)]), "")
  

• Tabela MicrosoftPurviewInformationProtection i OfficeActivity tabela mogą zawierać niektóre zduplikowane zdarzenia.

Następne kroki

W tym artykule przedstawiono sposób konfigurowania łącznika usługi Microsoft Purview Information Protection w celu śledzenia, analizowania, raportowania danych i używania go do celów zgodności. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły:

• Dowiedz się, jak uzyskać wgląd w dane i potencjalne zagrożenia.
• Rozpocznij wykrywanie zagrożeń za pomocą usługi Microsoft Sentinel.
• Monitorowanie danych za pomocą skoroszytów .