Przesyłanie strumieniowe danych z Microsoft Purview Information Protection do usługi Microsoft Sentinel
W tym artykule opisano sposób przesyłania strumieniowego danych z Microsoft Purview Information Protection (dawniej Microsoft Information Protection lub MIP) do usługi Microsoft Sentinel. Możesz użyć danych pozyskanych z klientów i skanerów etykiet usługi Microsoft Purview, aby śledzić, analizować, raportować dane i używać ich do celów zgodności.
Ważne
Łącznik Microsoft Purview Information Protection jest obecnie dostępny w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Omówienie
Inspekcja i raportowanie są ważną częścią strategii zabezpieczeń i zgodności organizacji. Wraz z ciągłym rozszerzaniem środowiska technologicznego, który ma coraz większą liczbę systemów, punktów końcowych, operacji i przepisów, staje się jeszcze ważniejszy, aby zapewnić kompleksowe rozwiązanie do rejestrowania i raportowania.
Za pomocą łącznika Microsoft Purview Information Protection przesyłasz strumieniowo zdarzenia inspekcji generowane na podstawie ujednoliconych klientów i skanerów etykietowania. Dane są następnie emitowane do dziennika inspekcji usługi Microsoft 365 na potrzeby centralnego raportowania w usłudze Microsoft Sentinel.
Za pomocą łącznika można wykonywać następujące czynności:
- Śledzenie wdrażania etykiet, eksplorowanie, wykonywanie zapytań i wykrywanie zdarzeń.
- Monitorowanie dokumentów i wiadomości e-mail z etykietami i chronionymi.
- Monitoruj dostęp użytkowników do oznaczonych dokumentów i wiadomości e-mail podczas śledzenia zmian klasyfikacji.
- Uzyskaj wgląd w działania wykonywane na etykietach, zasadach, konfiguracjach, plikach i dokumentach. Ta widoczność pomaga zespołom ds. zabezpieczeń identyfikować naruszenia zabezpieczeń oraz naruszenia ryzyka i zgodności.
- Użyj danych łącznika podczas inspekcji, aby udowodnić, że organizacja jest zgodna.
Łącznik usługi Azure Information Protection a łącznik Microsoft Purview Information Protection
Ten łącznik zastępuje łącznik danych usługi Azure Information Protection (AIP). Łącznik danych usługi Azure Information Protection (AIP) używa funkcji dzienników inspekcji usługi AIP (publiczna wersja zapoznawcza).
Ważne
Od 31 marca 2023 r. publiczna wersja zapoznawcza dzienników analizy i inspekcji usługi AIP zostanie wycofana i będzie korzystać z rozwiązania do inspekcji platformy Microsoft 365.
Więcej informacji:
- Zobacz Usunięte i wycofane usługi.
- Dowiedz się, jak rozłączyć łącznik usługi AIP.
Po włączeniu łącznika Microsoft Purview Information Protection dzienniki inspekcji są przesyłane strumieniowo do standardowej MicrosoftPurviewInformationProtection
tabeli. Dane są zbierane za pośrednictwem interfejsu API zarządzania pakietem Office, który używa schematu strukturalnego. Nowy ustandaryzowany schemat jest dostosowywany w celu ulepszenia przestarzałego schematu używanego przez usługę AIP, przy użyciu większej liczby pól i łatwiejszego dostępu do parametrów.
Przejrzyj listę obsługiwanych typów rekordów i działań dziennika inspekcji.
Wymagania wstępne
Przed rozpoczęciem sprawdź, czy masz:
- Włączone rozwiązanie usługi Microsoft Sentinel.
- Zdefiniowany obszar roboczy usługi Microsoft Sentinel.
- Ważna licencja na M365 E3, M365 A3, Microsoft Business Basic lub dowolną inną licencję kwalifikującą się do inspekcji. Przeczytaj więcej na temat rozwiązań inspekcji w usłudze Microsoft Purview.
- Włączone etykiety poufności dla pakietu Office i włączono inspekcję.
- Rola Administrator globalny lub Administrator zabezpieczeń w obszarze roboczym.
Konfigurowanie łącznika
Uwaga
Jeśli łącznik zostanie ustawiony w obszarze roboczym znajdującym się w innym regionie niż lokalizacja Office 365, dane mogą być przesyłane strumieniowo między regionami.
Otwórz Azure Portal i przejdź do usługi Microsoft Sentinel.
W bloku Łączniki danych na pasku wyszukiwania wpisz Purview.
Wybierz łącznik Microsoft Purview Information Protection (wersja zapoznawcza).
Poniżej opisu łącznika wybierz pozycję Otwórz stronę łącznika.
W obszarze Konfiguracja wybierz pozycję Połącz.
Po nawiązaniu połączenia przycisk Połącz zmieni się na Rozłącz. Masz teraz połączenie z Microsoft Purview Information Protection.
Przejrzyj listę obsługiwanych typów rekordów i działań dziennika inspekcji.
Odłącz łącznik usługi Azure Information Protection
Zalecamy jednoczesne używanie łącznika usługi Azure Information Protection i łącznika Microsoft Purview Information Protection (oba włączone) w krótkim okresie testowania. Po okresie testowania zalecamy rozłączenie łącznika usługi Azure Information Protection w celu uniknięcia duplikowania danych i nadmiarowych kosztów.
Aby odłączyć łącznik usługi Azure Information Protection:
- W bloku Łączniki danych na pasku wyszukiwania wpisz Azure Information Protection.
- Wybierz usługę Azure Information Protection.
- Poniżej opisu łącznika wybierz pozycję Otwórz stronę łącznika.
- W obszarze Konfiguracja wybierz pozycję Połącz dzienniki usługi Azure Information Protection.
- Wyczyść zaznaczenie obszaru roboczego, z którego chcesz odłączyć łącznik, i wybierz przycisk OK.
Znane problemy i ograniczenia
Zdarzenia etykiet poufności zebrane za pośrednictwem interfejsu API zarządzania pakietem Office nie wypełniają nazw etykiet. Klienci mogą używać list do obejrzenia lub wzbogacenia zdefiniowanych w języku KQL, jak pokazano poniżej.
Interfejs API zarządzania pakietu Office nie uzyskuje etykiety obniżenia poziomu z nazwami etykiet przed i po obniżeniu poziomu. Aby pobrać te informacje, wyodrębnij
labelId
każdą etykietę i wzbogacij wyniki.Oto przykładowe zapytanie KQL:
let labelsMap = parse_json('{' '"566a334c-ea55-4a20-a1f2-cef81bfaxxxx": "MyLabel1",' '"aa1c4270-0694-4fe6-b220-8c7904b0xxxx": "MyLabel2",' '"MySensitivityLabelId": "MyLabel3"' '}'); MicrosoftPurviewInformationProtection | extend SensitivityLabelName = iif(isnotempty(SensitivityLabelId), tostring(labelsMap[tostring(SensitivityLabelId)]), "") | extend OldSensitivityLabelName = iif(isnotempty(OldSensitivityLabelId), tostring(labelsMap[tostring(OldSensitivityLabelId)]), "")
Tabela
MicrosoftPurviewInformationProtection
iOfficeActivity
tabela mogą zawierać niektóre zduplikowane zdarzenia.
Następne kroki
W tym artykule przedstawiono sposób konfigurowania łącznika Microsoft Purview Information Protection w celu śledzenia, analizowania, raportowania danych i używania go do celów zgodności. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły:
- Dowiedz się , jak uzyskać wgląd w dane i potencjalne zagrożenia.
- Rozpocznij wykrywanie zagrożeń za pomocą usługi Microsoft Sentinel.
- Użyj skoroszytów do monitorowania danych.
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla