Transmitir os dados de Proteção de Informações do Microsoft Purview ao Microsoft Sentinel

Este artigo descreve como transmitir os dados de Proteção de Informações do Microsoft Purview (anteriormente Proteção de Informações da Microsoft ou MIP) ao Microsoft Sentinel. É possível usar os dados ingeridos dos clientes e dos scanners de rotulagem do Microsoft Purview para rastrear, analisar, relatar os dados e usá-los para fins de conformidade.

Importante

O conector de Proteção de Informações do Microsoft Purview atualmente está em VERSÃO PRÉVIA. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Visão geral

A auditoria e os relatórios são uma parte importante da estratégia de segurança e conformidade das organizações. Com a expansão contínua do cenário tecnológico que possui um número cada vez maior de sistemas, pontos de extremidade, operações e regulamentações, torna-se ainda mais importante ter uma solução abrangente de registro e geração de relatórios em vigor.

Com o conector de Proteção de Informações do Microsoft Purview, você transmite os eventos de auditoria gerados dos clientes e dos scanners de rotulagem unificados. Em seguida, os dados serão emitidos para o log de auditoria do Microsoft 365 para relatórios centrais no Microsoft Sentinel.

Com o conector, você pode:

• Rastreie a adoção de rótulos, explore, consulte e detecte eventos.
• Monitore os documentos e emails rotulados e protegidos.
• Monitore o acesso de usuário a documentos e emails rotulados ao rastrear as alterações de classificação.
• Obtenha visibilidade sobre atividades realizadas em rótulos, políticas, configurações, arquivos e documentos. Essa visibilidade ajudará as equipes de segurança a identificar as violações de segurança e as violações de risco e conformidade.
• Use os dados do conector durante uma auditoria para provar que a organização está em conformidade.

Conector de Proteção de Informações do Azure versus conector de Proteção de Informações do Microsoft Purview

Este conector substitui o conector de dados da AIP (Proteção de Informações do Azure). O conector de Proteção de Informações do Azure (AIP) usa o recurso logs de auditoria da AIP (versão prévia pública).

Importante

A partir de 31 de março de 2023, a análise de AIP e a visualização pública dos logs de auditoria serão desativadas, e avançaremos usando a solução de auditoria do Microsoft 365.

Para mais informações:

• Consulte Serviços removidos e desativados.
• Saiba como desconectar o conector de AIP.

Ao habilitar o conector de Proteção de Informações do Microsoft Purview, os logs de auditoria serão transmitidos para a tabela MicrosoftPurviewInformationProtection. Os dados são coletados por meio da API de Gerenciamento do Office, que usa um esquema estruturado. O novo esquema padronizado é ajustado para aprimorar o esquema preterido usado pela AIP, com mais campos e acesso mais fácil aos parâmetros.

Examine a lista de tipos e atividades de registro de log de auditoria com suporte.

Pré-requisitos

Antes de começar, verifique se você tem:

• A solução do Microsoft Sentinel habilitada.
• Um workspace do Microsoft Sentinel definido.
• Uma licença válida do M365 E3, M365 A3, Microsoft Business Basic ou qualquer outra licença qualificada para Auditoria. Leia mais sobre soluções de auditoria no Microsoft Purview.
• Rótulos de confidencialidade habilitados para o Office e auditoria habilitada.
• A função Administrador de Segurança ou Administrador Global no workspace.

Configurar o conector

Observação

Se você definir o conector em um workspace localizado em uma região diferente da localização do Office 365, os dados poderão ser transmitidos entre regiões.

1. Abra o portal do Azure, navegue até o serviço Microsoft Azure Sentinel.

2. Na folha Conectores de dadosna barra de pesquisa, digite Purview.

3. Selecione o conector Proteção de Informações do Microsoft Purview (versão prévia).

4. Abaixo da descrição do conector, selecione Abrir página do conector.

5. Em Configuração, selecione Conectar.

   Quando uma conexão for estabelecida, o botão Conectar mudará para Desconectar. Agora você está conectado à Proteção de Informações do Microsoft Purview.

Examine a lista de tipos e atividades de registro de log de auditoria com suporte.

Desconectar o conector de Proteção de Informações do Azure

É recomendável usar o conector de Proteção de informações do Azure e o conector de Proteção de Informações do Microsoft Purview simultaneamente (ambos habilitados) por um curto período de teste. Após o período de teste, é recomendável desconectar o conector da Proteção de Informações do Azure para evitar duplicação de dados e custos redundantes.

Para desconectar o conector da Proteção de Informações do Azure:

1. Na folha Conectores de dadosna barra de pesquisa, digite Proteção de Informações do Azure.
2. Selecione Proteção de Informações do Azure.
3. Abaixo da descrição do conector, selecione Abrir página do conector.
4. Em Configuração, selecione Conectar logs da Proteção de Informações do Azure.
5. Desmarque a seleção do workspace a partir do qual você deseja desconectar o conector e selecione OK.

Limitações e problemas conhecidos

• Os eventos de rótulo de confidencialidade coletados por meio da API de Gerenciamento do Office não preenchem os Nomes de Rótulos. Os clientes podem usar watchlists ou enriquecimentos definidos na KQL conforme o exemplo abaixo.

• A API de Gerenciamento do Office não obtém um Rótulo para Fazer Downgrade com os nomes dos rótulos antes e depois do downgrade. Para recuperar essas informações, extraia o labelId de cada rótulo e enriqueça os resultados.

  A seguir, é apresentado um exemplo de consulta KQL:

  let labelsMap = parse_json('{'
   '"566a334c-ea55-4a20-a1f2-cef81bfaxxxx": "MyLabel1",'
   '"aa1c4270-0694-4fe6-b220-8c7904b0xxxx": "MyLabel2",'
   '"MySensitivityLabelId": "MyLabel3"'
   '}');
   MicrosoftPurviewInformationProtection
   | extend SensitivityLabelName = iif(isnotempty(SensitivityLabelId), 
  tostring(labelsMap[tostring(SensitivityLabelId)]), "")
   | extend OldSensitivityLabelName = iif(isnotempty(OldSensitivityLabelId), 
  tostring(labelsMap[tostring(OldSensitivityLabelId)]), "")
  

• A tabela MicrosoftPurviewInformationProtection e a tabela OfficeActivity podem incluir alguns eventos duplicados.

Próximas etapas

Neste artigo, você aprendeu como configurar o conector de Proteção de Informações do Microsoft Purview para rastrear, analisar, relatar os dados e usá-los para fins de conformidade. Para saber mais sobre o Microsoft Sentinel, confira os artigos a seguir:

• Saiba como obter visibilidade dos seus dados e possíveis ameaças.
• Introdução à detecção de ameaças com o Microsoft Sentinel.
• Use pastas de trabalho para monitorar seus dados.